第 1页 2011-10-16 山东师范大学管理学院
第 5章 组建 WebMail信息服务平台
知识要点,
SMTP的基本结构, 电子邮件工作原理, 电子邮件
信头结构及分析 。
Foxmail Server特点及构成, 设置域名和管理员
口令, 设置网络参数, IIS中的虚拟目录设置,
Webmail系统测试, 客户端收发邮件, 管理邮件服
务器 。
邮件安全的主要问题, 保密电子邮件及特性, 数
字证书与 S/MIME,邮件系统病毒防御, Webmail
系统安全 。
邮件安全的其他技术 。
第 2页 2011-10-16 山东师范大学管理学院
第 5章 组建 WebMail信息服务平台
重点知识,
? SMTP的基本结构
? 电子邮件工作原理
? 管理邮件服务器
? 邮件安全的主要问题
? 保密电子邮件及特性
? 数字证书与 S/MIME
? 邮件系统病毒防御
难点知识,
?电子邮件工作原理
?数字证书与 S/MIME
第 3页 2011-10-16 山东师范大学管理学院
5.1 电子邮件的基本知识
5.1.1 SMTP的基本结构
? SMTP的模型
用户
文件系统
发送
SMTP
接收
SMTP
文件系统
SM TP 命令/
应答和
邮件内容
SMTP提供了一种邮件传输的机制,当收件方和发件方都在
一个网络上时,可以把邮件直传给对方;当双方不在同一个
网络上时,需要通过一个或几个中间服务器转发。
第 4页 2011-10-16 山东师范大学管理学院
5.1.1 SMTP的基本结构 -2
?SMTP工作机理
发送命令
处理回复
发送命令
处理回复
处理命令
发送命令
处理命令
发送回复
发件方S M T P 收件方S M T P
第 5页 2011-10-16 山东师范大学管理学院
? SMTP的基本命令
5.1.1 SMTP的基本结构 -3
SMTP工作的基本的命令有 7个,分别为,HELO﹑ MAIL﹑ RCPT
DATA﹑ REST﹑ NOOP和 QUIT。
例 1:这封信是 Smith在主机 Alpha.ARPA发给主机 Beta.ARPA上的
Jones,Green和 Brown,假定两台主机在同一个网络上。
S,MAIL FROM:<Smith@Alpha.ARPA>
R,250 OK
S,RCPT TO:<Jones@Beta.ARPA>
R,250 OK
S,RCPT TO:<Green@Beta.ARPA>
R,550 No such user here
S,RCPT TO:<Brown@Beta.ARPA>
R,250 OK
S,DATA
R,354 Start mail input; end with <CRLF>.<CRLF>
S,Blah blah blah..,
S,...etc,etc,etc,
S,<CRLF>.<CRLF>
R,250 OK
第 6页 2011-10-16 山东师范大学管理学院
5.1.2 电子邮件工作原理 -1
? 邮件传输过程
当某个用户在自己的电脑 Client1前编写完一个邮件, 然后把它发送到他的 ISP的邮件服务器
SMTP1。 此时他的机器已经完成了所有的工作, 但邮件服务器 SMTP1还必须想法把邮件发送到
目的地 。 SMTP1通过阅读信头或信封上的地址, 找到收件人的邮件服务器 SMTP2,然后与该服务
器建立连接, 把邮件发到收件人的服务器上, 等待收件人来读取 。
第 7页 2011-10-16 山东师范大学管理学院
?邮件服务器
企业或组织有一个被称为, 邮件服务器, 的专用服务器来处理电
子邮件 。 邮件服务器具有企业或组织自己域名的邮箱管理系统, 如
mail.sxtu.edu.cn。 邮件服务器支持单域名, 多域名 ( 1个 IP地址对
应 2个及以上的域名 ), 支持 STMP,POP3,IMAP,WEB方式收发 。 可
设置 SMTP发信认证, 提供邮件转发, 邮件过滤, 系统公告, 群发,
内部通知, 日程安排, 签名管理和通讯录管理等功能 。
5.1.2 电子邮件工作原理 -2
第 8页 2011-10-16 山东师范大学管理学院
5.1.2 电子邮件工作原理 -3
?POP3协议
POP3是邮局协议版本 3的缩写 ( Version 3 of The
Post Office Protocol), 于 1988年 11月创立 。 POP3协
议允许客户机通过 ( 临时的或永久的 ) TCP/ IP连接或其
他网络协议的连接, 从一个服务器 ( 这时称为 POP3服务
器 ) 上获取电子邮件 。 POP3不负责发送邮件, 发送邮件
可以通过 SMTP协议来完成 。
邮局协议 ( POP) 的优势在于支持移动计算 。 由于用
户的信件是存放在 POP服务器中, 而不是直接自动存放
到用户的计算机中的, 这样用户就不必建立与, 邮局,
的永久性连接, 以等待随时可能寄来的电子邮件 。 这使
得那些不易于直接连入局域网络的台式 PC或笔记本机可
以通过拨号上网 ( 建立临时的 TCP/ IP连接 ) 的方式方
便的获得邮件服务 。
第 9页 2011-10-16 山东师范大学管理学院
? 邮件工作的机理
① MUA。 Mail User Agent。 邮件用户代理, 帮助用户读写
邮件 。
② MTA。 Mail Transport Agent。 邮件传输代理, 负责把邮
件由一个服务器传到另一个服务器或邮件投递代理 。
③ MDA。 Mail Delivery Agent。 邮件投递代理, 把邮件放到
用户的邮箱里 。
5.1.2 电子邮件工作原理 -4
MUA MTA MTA MTA MDA 邮箱
队列 队列 队列
第 10页 2011-10-16 山东师范大学管理学院
From,user1@domain1.com
To,user2@domain2.com
Subject,Explaination of mail format
Date,Thu,1 Apr 2004,10:00:00 GMT
Hi,Jack
This mail is to explain you the mail format
Thanks
Bob
5.1.3 电子邮件信头结构及分析
?邮件的结构
第 11页 2011-10-16 山东师范大学管理学院
5.1.3 电子邮件信头结构及分析 -2
?邮件的信头
例, 假 设 发 件 人 的 名 字 叫 Sender,Email 地 址 是
sender@domain1.com,使用的电脑名字叫 client1,IP 地址
是 111.11,1,1。 收件人的名字叫 receipt,Email地址是
receipt@domain2.com,使用的电脑的名字叫 client2,IP地
址是 222.22.2,2。 当邮件编辑完传送给其邮件服务器
mail.domain1.com 时, 邮件的信头格式为,
From,sender@domain1.com
To,receipt@domain2.com
Date,Tue,Mar 18 2004 15:36:24 GMT
X-mailer:Sendmail 8.9.0
Subject,Greetings
第 12页 2011-10-16 山东师范大学管理学院
5.1.3 电子邮件信头结构及分析 -3
当邮件服务器 mail.domain1.com把邮件传到接收方的服务器 mail.domain2.com 时, 接
受方服务器会在信头上记录下有关的计算机信息, 邮件的信头变成,
Received,from client1.domain1.com (client1.domain1.com [111.11.1.1]) by
mail.domain1.com ( 8.8.5) id 004A21; Tue,Mar 18 2004 15:37:24 GMT
From,sender@domain1.com
To,receipt@domain2.com
Date,Tue,Mar 18 1998 15:36:24 GMT
Message-Id,<client1254556544-45556454@mail.domain1.com>
X-mailer:Sendmail 8.9.0
Subject,Greetings
当收件人服务器 mail.domain2.com 把邮件接收并存储下来, 等待收件人来阅读时, 邮件
的信头将会再加入一条记录,
Received,from mail.domain1.com (mail.domain1.com [111.11.1.0]) by
mail.domain2.com (8.8.5/8.7.2) with ESMTP id LAA20869; Tue,Mar 18 2004
15:39:44 GMT
Received,from client1.domain1.com (client1.domain1.com [111.11.1.1]) by
mail.domain1.com (8.8.5) id 004A21; Tue,Mar 18 2004 15:37:24 GMT
From,sender@domain1.com
To,receipt@domain2.com
Date,Tue,Mar 18 1998 15:36:24 GMT
Message-Id,<client1254556544-45556454@mail.domain1.com>
X-mailer:Sendmail 8.9.0
Subject,Greetings
第 13页 2011-10-16 山东师范大学管理学院
5.1.4 如何选择邮件服务器软件
?选择邮件服务器软件考虑的因素
第 14页 2011-10-16 山东师范大学管理学院
5.1.4 如何选择邮件服务器软件 -2
?邮件服务器软件的性能要求
( 1)安全性和垃圾邮件的防范
( 2)可靠性。
( 3)效率和灵活性。
( 4)可扩展性。
( 5)测试和服务支持。
第 15页 2011-10-16 山东师范大学管理学院
5.2 组建 Webmail邮件系统
5.2.1 Foxmail Server特点及构成
1,Foxmail Server产品特点
Foxmail Server是博大公司的邮件服务器软件, 秉承了
Foxmail邮件客户端软件的友好界面和易用性 。 该邮件软件
针对国内的中小企业或组织用户, 提供多种邮件服务, 包括
SMTP,POP3,并支持邮件扩充协议 MIME。 用户可以根据
使用习惯以 Foxmail,Outlook Express等流行客户端软件
收发邮件, 也可以在美观, 友好, 易用的全中文 Web浏览器
界面上登录处理邮件 。
在 2.0版本里, 还提供了 SMIME安全电子邮件, SyncML资
料同步, 日程事务管理等重大功能, 进一步健全完善了
Foxmail Server邮件服务器产品 。
第 16页 2011-10-16 山东师范大学管理学院
5.2.1 Foxmail Server特点及构成
2,Foxmail Server for Windows的基本构成
?Foxmail Server服务程序
?Web页面程序
?Sync Server同步服务程序
?扩展组件
3,Foxmail Server系统组成
?POP3 Server
?SMTP Server
?Web Server
?Authentication Server
?Sync Server
Fire W a ll
Fire W a ll
PO P3 SERVER SM T P SERVER W EB SERVER
Au th e n ti c a ti o n
Se rv e r
Mail
Bo xe s
Sy n c SERVER
U s e r
Dat a
Add re s s
Bo o ks
Inter ne t
第 17页 2011-10-16 山东师范大学管理学院
5.2.1 Foxmail Server特点及构成
U s e r
Manage r
S e c u r it y
W e b M a il
S t o r a g e
F o x M a il
S M T P / P O P 3
S e r v e r S id e O b je c t s
A d d r e s s
B o o k
D a t a B a s e O p e r a t o r
M I M E
S e n d / R e c ie v e
M e s s a g e s
S / M I M E
4,核心系统逻辑结构
第 18页 2011-10-16 山东师范大学管理学院
5.2.2 安装注意事项
?服务器硬件, CPU PII 350以上, 内存 256M以上, 硬盘 20G以上,
网卡 100Mbps。
?服务器软件,中文 Windows 2000 + IIS5.0下安装 Foxmail Server
?安装 Foxmail Server时计算机当前用户的身份一定要是系统管理
员 ( 即以 Administrator身份登录 )
?Foxmail Server安装程序在安装过程中可能会停掉 IIS本身的
SMTP服务器, 安装后如果 IIS本身的 SMTP服务器被激活,
Foxmail Server将不能正常工作 。
?计算机系统目录 ( WINNT和 WINNT\SYSTEM32目录 ) 下要有
regedit.exe和 egsvr32.exe这两个程序 。 Foxmail Server在安装时将
需要调用这两个程序来分别注册系统所需的数据和数据所需 COM
组件 。
?如果用户的机器以前安装有 低版本的 Foxmail Server,不需要卸
载, 直接运行 2.0版的安装包, 可以选择升级安装或者选择全新安
装 。
第 19页 2011-10-16 山东师范大学管理学院
?Foxmail Server的 安装
点击 Foxmail Server for Windows 2.0的安装程序,出现安装窗口。
第 20页 2011-10-16 山东师范大学管理学院
?Foxmail Server的 安装
第 21页 2011-10-16 山东师范大学管理学院
?Foxmail Server的 安装
第 22页 2011-10-16 山东师范大学管理学院
5.2.3 设置域名和管理员口令
sxtu.edu.cn
域
名
管
理
员
口
令
第 23页 2011-10-16 山东师范大学管理学院
5.2.4 设置网络参数
202.207.160.32
Esmtp功能是使用客户端软件向外发邮件时,必须经过身份认证才能进行。这
样可以避免邮件服务器被非授权用户用使用,即禁止了匿名邮件的发送,提高
了邮件发送的可信度
OpenRel
ay功能建
议关闭,
避免使服
务器成为
垃圾邮件
的中转站,
提高系统
安全性 。
设定
DNS地
址、
SMTP
端口、
POP3
端口等
信息
第 24页 2011-10-16 山东师范大学管理学院
5.2.5 IIS中的虚拟目录设置
FSW 2.0需要建立四个 IIS虚拟目录,
( 1) Webmail( 如果不存在,可能是安装时指定了“将虚拟目录置为站点
的根目录”,或者自定义了名称),用来指向 Webmail页面所在的目录;
( 2) WebUser,用户登录到 Webmail之后,用来存放用户临时信息的目录;
( 3) Cgi为 SyncML同步服务的虚拟目录;
( 4) Wapmail为用手机进行 Wapmail服务的虚拟目录。
第 25页 2011-10-16 山东师范大学管理学院
安装程序进行配置动作
第 26页 2011-10-16 山东师范大学管理学院
5.2.6 Webmail系统测试
( 1) Webmail和 Web管理的入口 。 IIS设置时, Webmail虚拟目录的名称
可以更改 。 如果按的默认选项的话, 安装完毕就可以用如下的地址使用
IE浏览器来访问,
http://服务器的 IP或默认域名 /Webmail
( 2) 确认 Foxmail Server正常开启 。 可以按以下步骤来进行确认,
确保, 控制面板, →, 管理工具, →, 服务, 选项中的, Aerofox
Mail Server”服务存在并已启动 。
确认 Foxmail Server正常开启
telnet 服务器地址 25
telnet 服务器地址 110
第 27页 2011-10-16 山东师范大学管理学院
5.2.7 客户端收发邮件
第 28页 2011-10-16 山东师范大学管理学院
Foxmail Server在 IIS中的虚拟目录
Foxmail Server for Windows 2.0需要建立 4个 IIS虚拟目录,Webmail
( 如果不存在,可能是安装时指定了, 将虚拟目录置为站点的根目
录,,或者自定义了名称),用来指向 Webmail页面所在的目录;
WebUser,用户登录到 Webmail之后,用来存放用户临时信息的目录;
Cgi为 SyncML同步服务的虚拟目录; Wapmail为用手机进行 Wapmail
服务的虚拟目录。
注意虚拟目录的属性权限不要随便更改,否则可能影响系统使用 。
第 29页 2011-10-16 山东师范大学管理学院
卸载 Foxmail Server
?点击, Foxmail Server” 程 序 组 中 的, 卸载
Foxmail Server for Windows”,弹出如下图所示
的卸载窗口 。
第 30页 2011-10-16 山东师范大学管理学院
?注册用户
http://localhost/webmail/
如果注册信息失败,那么可能是由以下几种原因所造成的,
? 密码长度不够。所输入的用户密码长度必须大于 3位。
? 二次所输入的密码不同。输入的密码和效验密码不同。
? 已经存在同名的用户。对于这种情况,只有重新选择一个用
户名进行信息注册。
? 系统一级错误。如果出现此种错误请与系统管理员联系。
第 31页 2011-10-16 山东师范大学管理学院
5.3 电子邮件的安全
5.3.1 影响邮件安全的因素
网络病毒也是造成邮件服务器不安全的另外一个因素。
例如 E-mail轰炸,其表现是不停地接到大量同一内容的
E-mail。 E-mail Spamming与 E-mail轰炸类似。这里,一
条信息被传给成千上万的不断扩大的用户。更糟的是,
如果是一个人回复了 E-mail Spamming,那么表头里所有
的用户都会收到这封回信。
电子邮件在 Internet上传输,是从一个机器传输到另一个
机器。这种方式下,电子邮件所经过网络上的任一系统管
理员或黑客都有可能截获和更改该邮件,甚至伪造某人的
电子邮件。
与传统邮政系统相比,电子邮件与密封邮寄的信件并不相
像,而与明信片更为相似。因此电子邮件本身的安全性是
以邮件经过的网络系统的安全性和管理人员的诚实、对信
息的漠不关心为基础的。
第 32页 2011-10-16 山东师范大学管理学院
5.3.2 邮件安全的主要问题 -假冒
普通的电子邮件缺乏安全认证, 这样冒充别人发
送邮件并不是难事 。 这种假冒问题的发生, 是因
为核心 SMTP不提供任何验证, 所以很容易伪造
电子邮件 。 可采用发件 验证机制 解决此问题。
假定密码不再以明文传送, 这并不意味着问题就解决了 。 另外还有两
个问题需要解决, 第一个问题是黑客仍可能使用字典式攻击, 反复尝
试不同的密码, 试图进入系统 。 这种类型的攻击在 Internet上是相当常
见的, 保护在网络上发送的密码并不一定能防止字典式攻击 。 但大多
数用户并不擅长保护密码, 即使他们对密码进行了保护, 仍有存在对
密码的蛮力组合攻击问题 。 对付字典式攻击, 可使用长序列的真正随
机的密码数据;另外, 一次性的密码也能防止假冒问题 。
密码不再以明文发送的第二个问题是中间人( man in middle) 攻击,
这涉及一个人或程序插入在通信的双方之间。通信通道被这样暗中破
坏,第三方可以截取在两个人之间发送的数据,修改数据,并发送给
接收方。许多验证机制都或多或少的易于受这种类型的攻击。
如果不想让别人冒充你的名义发送邮件,数字验证技术不失为一个好
办法。
第 33页 2011-10-16 山东师范大学管理学院
?邮件安全的主要问题 - 系统完整性
电子邮件就是通信。在一般条件下,邮件通
信必须有三个安全特征才有用。这三个安全
特征是:需要是可用的,需要是可信赖的,
需要有时候是私有的。
为了提供这些安全特征,通信通道和实现电
子邮件收发的系统必须具有完整性。然而,
缺省情况下 SMTP,POP3和信件的核心协议
,没有提供传送数据的完整性指示,使验证
数据的完整性需要一些额外的方法。
第 34页 2011-10-16 山东师范大学管理学院
?邮件安全的主要问题 -窃听
另外一种问题是面临被 窃听 的威胁 。 许多网卡提供查看网络
段上所有网络报文的功能, 而不是查看进出该机器的帧 。 这
个窃听有时候称为 Snooping或 Sniffing,且以明文传送的任何
数据都是窃听的目标 。
窃听可分为两种窃听方式,
?一种是局域网内的窃听 。 通常使用嗅探器对局域网内传输的
数据进行窃听 。 例如, POP3协议通常都是明文传输, 所以
很容易就被嗅探器嗅探到邮箱密码 。
?另外一种窃听就是来自信箱内部的窃听 。 当用户密码被破解
之后, 攻击者并没有修改密码;而是把信箱设置成转发邮件,
转发到攻击者的信箱;然后在他的信箱中设置转发到这个被
破解密码的信箱, 同时设置, 保留备份, 。 这样攻击者就可
以完全控制该信箱的流量了, 当窃听者想让你收邮件的时候
就转发给你, 不想让你收就取消转发, 这种方法相当隐蔽 。
解决窃听的办法是在网络传输密码和邮件之前加密
处理这些内容, 这种方法对保护机密信息的安全特
别有效 。 这样即使黑客窃听, 攻击者面对加密信息
也无计可施 。
某些客户端软件实现了诸如 PGP( Pretty Good
Privacy) 加密的功能, 解决了被窃听的问题, 实现
了安全电子邮件的部分要求 。 但对于一般的
Webmail,要实现加密传输, 就需要使用加密软件
对邮件附件进行加密处理 。 对于普通用户而言, 这
是件很麻烦的事, 必须首先经过加密系统的培训 。
第 35页 2011-10-16 山东师范大学管理学院
5.3.3 保密电子邮件及特性
?保密电子邮件 -数字签名 和信件验证代码 。
?保密电子邮件的特性
( 1) 防假冒 。 通过数字签名进行身份认证 。
例如, 某用户自己申请了证书 ( 私钥 ), 获得了数字标识,
可以实现向别人发送, 数字签名, 的邮件, 别人就可以判
断相关邮件确实是该用户发送的 。
( 2) 保密性 。 只有收件人才能解密查看 。
( 3) 完整性 。 保证邮件没有被中途篡改 。
( 4) 不可否认性 。 发件人的数字证书中的, 私钥, 只有
发件人唯一拥有, 发件人利用其数字证书在传送前对电子
邮件进行数字签名, 发件人就无法否认发送过这个电子邮
件 。
第 36页 2011-10-16 山东师范大学管理学院
?数字证书
数字证书应集成加密与签名的双重安全措施, 以确保电子邮件
的真实性和保密性 。 对于企业或组织内部的邮件用户无需到
Internet 上申请, 可 以 由 管 理 员 统 一 发 放 和 管 理 证 书 。
Internet上的用户可以通过新版 Foxmail邮件客户端软件方便的
申请到博大公司提供的个人安全电子邮件证书 。
5.3.4 数字证书与 S/MIME 数字证书
第 37页 2011-10-16 山东师范大学管理学院
?非对称加密
对称加密使用相同的密钥加密和解密数据, 它的主要困难是密钥
必须在保密通信涉及双方之间传递 。 1976年, Whitfield Diffie和
Martin Hellman发明了一个叫做非对称 ( Asymmetric) 或公共密
钥 ( Public-key) 加密方法, 作为对称加密的替换 。
通过公钥密码算法, 通常是 RSA算法, 能生成一对密钥 A和 B。
用密钥 A加密的信息, 只能由密钥 B才能解密;同样用密钥 B加密
的信息, 也只有由密钥 A才能解密 。 为了应用, 密钥的主人要把
这对密钥中的一条 ( 密钥 A) 公开出去, 交给其他人, 而把另一
条 ( 密钥 B) 留给自己保存 。 习惯上把公开出去的密钥叫做公钥,
而留给自己保存的密钥叫做私钥 。
构造证书的最常见格式是 X.509v3,由 ITU发布 。 X.509v3证书包
含的信息:版本, 序列号, 签名算法, 发出者姓名, 合法性期限,
主题名称, 主题公共密钥数据, 发出者唯一标识符, 主题唯一标
识符和扩展 。 最后提供的信息是证书的数字签名, 由发出者创建
第 38页 2011-10-16 山东师范大学管理学院
?S/MIME协议 安全多功能互联网邮件扩展
?S/MIME 提供验证、信件完整性、数字签名和加密
S/MIME中的加密和签名过程基于 RSA实验室开发的 PKCS公共密钥加密标
准 。 这是一组用于 RSA加密, Diffie-Hellman密钥交换和传统加密的标
准, 以及证书, 密码信件, 私有密钥信息和验证请求的语法描述 。 以下
是几个 RFC含有与 S/MIME有关的一些 PKCS标准的文本 。
① RFC2313( PKCS# l,RSA加密版本 1.5) 。
② RFC2314( PKCS# l0,证书请求语法版本 1.5) 。
③ RFC2315( PKCS# 7,密码信件语法版本 1.5) 。
④ RFC2437( PKCS# l,RSA密码规范版本 2.0) 。
该协议的版本 2在 RFC2311和 RFC2312中定义 。 它要求使用 RSA密钥交换算
法, S/MIME使用 X.509标准的树状认证结构 。 这个标准得到了 Microsoft
和 Netscape等大多数商业公司的支持 。 由于 S/MIME使用树状信任管理模
型, 而 Open PGP( 另外一种安全协议 ) 使用链状结构;因此 IT经理们对
S/MIME更感兴趣的, 正逐渐成为事实上的安全邮件标准 。 Foxmail安全
电子邮件也是以 S/MIME为安全规范的 。
第 39页 2011-10-16 山东师范大学管理学院
可以,
我在这里。
?邮件数字签名过程
当用户向外发送邮件时,他首先使用一种单向分解函数从邮件中
得到固定长度的分解值,该值与邮件的内容相关,称为该邮件的指纹;
然后使用自己的私钥对指纹进行加密。接受者能使用他的公钥进行解
密,然后重新生成指纹进行比较。这样可以保证邮件是由他本人发送
的而非假冒,同时也保证邮件在发送过程中没有被更改,这个过程称
为数字签名和核实。
1, 签名过程 2, 通过网络传输 3, 接收验证签名
H a s h 运算
H a s h 运算
文摘 签名
私钥加密
文件同签名一起发送
签名
文摘
文摘
公钥解密
对
比
第 40页 2011-10-16 山东师范大学管理学院
?5.3.5 邮件系统病毒防御
? Client/Server网络
病毒防御
?SMTP端口防毒扫
描
?邮件服务器内嵌防
毒引擎
第 41页 2011-10-16 山东师范大学管理学院
5.3.7 邮件安全的其他技术
?过滤器防御及访问拒绝
?攻击预警
?邮件监视
?系统备份
?禁止构建 Open Relay的邮件服务器
第 42页 2011-10-16 山东师范大学管理学院
Foxmail Server
系统安全管理
第 43页 2011-10-16 山东师范大学管理学院
? 系统管理主页面中,单击, 访问限制,,可以在这里
编辑拒绝访问的 IP地址黑名单已经确保访问的 VIP白名
单,通过访问限制来保证系统安全。
系统安全管理 —— 访问限制
第 44页 2011-10-16 山东师范大学管理学院
?拒绝访问所有名单
? 单击, 拒绝访问所有名单,, 管理员可将 IP地址或 IP地址
段列入黑名单, 拒绝这些 IP地址对 Foxmail Server邮件服
务的访问, 包括 Smtp,Pop3和 Webmail访问服务 。
在页面上方,可以输入
单独的 IP地址,单击, 添
加,,可以将一个 IP加入拒
绝访问的 IP黑名单列表;在
页面下方,可以输入 2个同
一网段的 IP地址,单击, 添
加,,则 2个 IP之间的 IP段
都将被列入 IP段黑名单列表,
之间的所有 IP都将被拒绝访
问。
选中列表中的一项,单
击, 删除,,则该 IP或 IP段
将从黑名单中移除。
需要说明的是,设置修
改后必须重新启动 Foxmail
Server服务才能生效。
第 45页 2011-10-16 山东师范大学管理学院
?拒绝 SMTP服务名单
?单击, 拒绝 SMTP服务名单,,管理员可将域名,IP地址或
IP地址段列入黑名单,拒绝访问 Smtp服务。
?如果被拒绝 Smtp服务,符合黑名单条件的连接将无法使用邮
件客户端软件发送邮件。
在页面上方,可以输入单独
的 IP地址,单击, 添加,,
可以将一个 IP加入拒绝 Smtp
访问的 IP黑名单列表;在页
面中间,您可以输入 2个同一
网段的 IP地址,单击, 添
加,,则 2个 IP之间的 IP段都
将被列入 IP段黑名单列表,
之间的所有 IP都将被拒绝
Smtp访问;在页面下方,您
可以输入一个域名,单击
,添加,,来自该域的计算
机将被禁止访问邮件系统的
Smtp服务。
第 46页 2011-10-16 山东师范大学管理学院
?拒绝 Pop3服务名单,
单击, 拒绝 Pop3服务名单,, 管理员可将 IP地址或 IP地址
段列入黑名单, 拒绝访问 Pop3服务 。
如果被拒绝 Pop3服务, 符合黑名单条件的连接将无法使用
邮件客户端软件收取邮件 。
第 47页 2011-10-16 山东师范大学管理学院
?? 拒绝 Web服务名单,
单击, 拒绝 Web服务名单,,管理员可将 IP地址或 IP地址段
列入黑名单,拒绝访问 Webmail服务。
如果被拒绝 Web服务,符合黑名单条件的连接将无法使用
Webmail。 使用 Web来管理系统不受此限制。
第 48页 2011-10-16 山东师范大学管理学院
?VIP名单
?单击, VIP名单,,管理员可将 IP地址列入 VIP白名单,确保在 VIP列
表中的 IP地址不会被拒绝访问。
?位于 VIP列表中的计算机即使出现在被禁止访问列表中也能正常访问
邮件系统,此项配合黑名单的 IP段设置,可以做到对 IP地址访问控制
有很好的灵活性。
第 49页 2011-10-16 山东师范大学管理学院
?系统安全管理 —— 邮件安全处理
系统管理主页面中,单击, 邮件安全处理,,设置邮件安
全规则,使邮件系统避免攻击,避免因用户使用不当而导
致系统负担过重。
页面中列出当前
对于接收邮件和发
送邮件的安全设置
情况。初始状态下
未做任何限制。
单击接收邮件安
全设置的, 编辑,
,进入设置界面。
第 50页 2011-10-16 山东师范大学管理学院
系统安全管理 —— S/MIME支持
系统管理主页面中,单击, S/MIME支持,,选择是否开启
安全电子邮件功能。开启 S/MIME将使用户邮件可以进行数
字签名和证书加密,保证邮件的安全性。
单击, 使用 S/MIME支持,,
开启安全电子邮件功能,单
击, 不使用 S/MIME支持,,
关闭安全电子邮件功能。
单击, 导入系统根证书,,
使 Foxmail Server系统信任
来自该根证书所属的 CA中心
。
第 51页 2011-10-16 山东师范大学管理学院
?系统管理主页面中,单击, SSL支持,,查
看设置 SSL安全通道的方法。
?安全套接字层 (SSL) 是一套提供身份验证
、保密性和数据完整性的加密技术。 SSL 提
供传输过程的加密防护,最常用来在 Web
浏览器和 Web 服务器之间建立安全通信通
道。它也可以在客户端应用程序和服务端之
间使用。
?系统安全管理 —— SSL支持
第 52页 2011-10-16 山东师范大学管理学院
?系统安全管理 —— ESmtp设置
系统管理主页面中,单击, ESmtp设置,,选择是否
开启 ESmtp发信身份认证功能。开启该功能可以避免非授
权用户通过用户的服务器发送邮件,提高系统安全性。
单击, 打开 ESmtp开关,,开启发信
身份认证功能,单击, 关闭 ESmtp开
关,,关闭发信身份认证功能。
需要说明的是,ESmtp开关修改后必
须重新启动 Foxmail Server服务才能
生效。
如果开启了 ESmtp,邮件客户端软件也必须开启这个选项才能够正常
发信。
第 53页 2011-10-16 山东师范大学管理学院
?系统安全管理 —— OpenRelay设置
系统管理主页面中,单击, OpenRelay设置,,选
择是否开启 OpenRelay功能。您可以通过关闭 OpenRelay
功能,避免使服务器成为垃圾邮件的中转站,提高系统安
全性。
如果 open relay设置为开启,将允许其他系统将您的邮件服
务器作为转发邮件的中继站。将可能会导致一些垃圾邮件发送
者将您的邮件服务器作为转发垃圾邮件的中继站,这将使垃圾
邮件的接收者将矛头对准您,可能会导致报复性的邮件炸弹。
垃圾邮件还能消耗您大量的资源,占用您的带宽。更为糟糕的
事情可能是您的名字可能会上了黑名单,成为其他邮件接收者
共同抵制的目标,您的邮件将被这些接收者所拒绝。
为了避免系统被用来中转垃圾邮件,消耗资源,甚至由此而
引发其他邮件接收者的黑名单抵制,建议关闭 open relay。
如果关闭 open relay,邮件服务器将不能作为中转服务器。
而用户使用客户端发送邮件的话,自己的邮件地址(即发件人
)必须保证是系统本地的邮件地址。否则会出现以下提示,并
拒绝发送。
需要说明的是,OpenRelay开关修改后必须重新启
动 Foxmail Server服务才能生效。
第 54页 2011-10-16 山东师范大学管理学院
?系统安全管理 — 攻击示警设置
系统管理主页面中,单击, 攻击示警设置,,设置触发攻击示警的条件,
满足条件的异常行为将被纪录到攻击示警日志里。
第 55页 2011-10-16 山东师范大学管理学院
?系统安全管理 — 系统过滤器
系统管理主页面中, 单击, 系统过滤器,, 可以通过这项
功能在系统一级对邮件加以过滤, 避免所有用户阅读到不适
合的邮件 。
设置系统过滤器页面中,单击, 新建, 按钮,建立新的过滤器。
?过滤器的逻辑是符合某项条件,就执行某项动作。
?条件包括,
?? 主题包含某关键字
?? 发件人人姓名包含某关键字
?? 发件人地址包含某关键字
?? 邮件正文包含某关键字
?? 邮件来自某个邮件域
?? 邮件大小超过多少 K
?动作包括,
?? 复制到系统管理员邮箱(帐号为 postmaster) 的收件箱中
?? 复制到系统管理员邮箱的垃圾废件箱中
?? 复制到系统管理员邮箱的某项自建文件夹中(如果存在的话)
?? 删除该邮件
第 56页 2011-10-16 山东师范大学管理学院
?SMTP的基本结构
?电子邮件工作原理
?管理邮件服务器
?邮件安全的主要问题
?保密电子邮件及特性
?数字证书与 S/MIME
?邮件系统病毒防御
本章小结
第 57页 2011-10-16 山东师范大学管理学院
第 58页 2011-10-16 山东师范大学管理学院
思考与练习
1,画图描述 SMTP的模型和工作机理 。
2,电子邮件如何发送与接收?
3,接收一个电子邮件, 分析 信头结构 。
4,选择邮件服务器产品一般考虑的因素有哪些?
5,电子邮件安全问题主要涉及到哪些问题?
6,保密电子邮件的特性有哪些?
7,什么是数字证书?
8,画图描述邮件数字签名过程 。
9,邮件系统如何防御病毒?
10,为什么要禁止构建 Open Relay的邮件服务器?
第 59页 2011-10-16 山东师范大学管理学院
?Webmail邮件系统安装
( 1) 实验目的 。 了解 Webmail系统的功能和特点, 掌
握 Webmail系统的 安装配置 。
( 2) 实验资源, 工具和准备工作 。 安装与配置好的
Windows 2000 Server,Windows 98/2000,均连
接在网络中 。 连接博大公司网站, 下载试用版
Foxmail Server for Windows 2.0。
( 3) 实验内容 。 安装 Foxmail Server for Windows
2.0,设置域名和管理员口令, 设置网络参数,
IIS中的虚拟目录设置, Webmail系统测试 。
( 4) 实验步骤 。 参照 5.2节进行 。 实验结束, 写出实
验报告 。
网络实验
第 60页 2011-10-16 山东师范大学管理学院
?电子邮件收发
( 1) 实验目的 。 熟悉邮件系统的工作过程, 掌握 Webmail系统
的使用 。
( 2) 实验资源, 工具和准备工作 。 安装与配置好的 Foxmail
Server for Windows 2.0,Windows 98/2000客户机, 均连接
在网络中 。 连接博大公司网站, 下载 新版 Foxmail客户端软件 。
( 3) 实验内容 。 安装 Foxmail 客户端软件, 设置 Foxmail收
发邮件的网络参数, 连接试验一安装好的邮件服务器, 使用
Foxmail 收发 邮件 。 随后, 使用 IE浏览器收发邮件 。
了解数字证书的使用方法 。 将实验计算机连接博大公司网站,
利用 Foxmail邮件客户端软件申请博大公司提供的个人安全电
子邮件证书 。
( 4) 实验步骤 。 参照 5.2节进行 。 实验结束, 写出实验报告 。
网络实验
第 5章 组建 WebMail信息服务平台
知识要点,
SMTP的基本结构, 电子邮件工作原理, 电子邮件
信头结构及分析 。
Foxmail Server特点及构成, 设置域名和管理员
口令, 设置网络参数, IIS中的虚拟目录设置,
Webmail系统测试, 客户端收发邮件, 管理邮件服
务器 。
邮件安全的主要问题, 保密电子邮件及特性, 数
字证书与 S/MIME,邮件系统病毒防御, Webmail
系统安全 。
邮件安全的其他技术 。
第 2页 2011-10-16 山东师范大学管理学院
第 5章 组建 WebMail信息服务平台
重点知识,
? SMTP的基本结构
? 电子邮件工作原理
? 管理邮件服务器
? 邮件安全的主要问题
? 保密电子邮件及特性
? 数字证书与 S/MIME
? 邮件系统病毒防御
难点知识,
?电子邮件工作原理
?数字证书与 S/MIME
第 3页 2011-10-16 山东师范大学管理学院
5.1 电子邮件的基本知识
5.1.1 SMTP的基本结构
? SMTP的模型
用户
文件系统
发送
SMTP
接收
SMTP
文件系统
SM TP 命令/
应答和
邮件内容
SMTP提供了一种邮件传输的机制,当收件方和发件方都在
一个网络上时,可以把邮件直传给对方;当双方不在同一个
网络上时,需要通过一个或几个中间服务器转发。
第 4页 2011-10-16 山东师范大学管理学院
5.1.1 SMTP的基本结构 -2
?SMTP工作机理
发送命令
处理回复
发送命令
处理回复
处理命令
发送命令
处理命令
发送回复
发件方S M T P 收件方S M T P
第 5页 2011-10-16 山东师范大学管理学院
? SMTP的基本命令
5.1.1 SMTP的基本结构 -3
SMTP工作的基本的命令有 7个,分别为,HELO﹑ MAIL﹑ RCPT
DATA﹑ REST﹑ NOOP和 QUIT。
例 1:这封信是 Smith在主机 Alpha.ARPA发给主机 Beta.ARPA上的
Jones,Green和 Brown,假定两台主机在同一个网络上。
S,MAIL FROM:<Smith@Alpha.ARPA>
R,250 OK
S,RCPT TO:<Jones@Beta.ARPA>
R,250 OK
S,RCPT TO:<Green@Beta.ARPA>
R,550 No such user here
S,RCPT TO:<Brown@Beta.ARPA>
R,250 OK
S,DATA
R,354 Start mail input; end with <CRLF>.<CRLF>
S,Blah blah blah..,
S,...etc,etc,etc,
S,<CRLF>.<CRLF>
R,250 OK
第 6页 2011-10-16 山东师范大学管理学院
5.1.2 电子邮件工作原理 -1
? 邮件传输过程
当某个用户在自己的电脑 Client1前编写完一个邮件, 然后把它发送到他的 ISP的邮件服务器
SMTP1。 此时他的机器已经完成了所有的工作, 但邮件服务器 SMTP1还必须想法把邮件发送到
目的地 。 SMTP1通过阅读信头或信封上的地址, 找到收件人的邮件服务器 SMTP2,然后与该服务
器建立连接, 把邮件发到收件人的服务器上, 等待收件人来读取 。
第 7页 2011-10-16 山东师范大学管理学院
?邮件服务器
企业或组织有一个被称为, 邮件服务器, 的专用服务器来处理电
子邮件 。 邮件服务器具有企业或组织自己域名的邮箱管理系统, 如
mail.sxtu.edu.cn。 邮件服务器支持单域名, 多域名 ( 1个 IP地址对
应 2个及以上的域名 ), 支持 STMP,POP3,IMAP,WEB方式收发 。 可
设置 SMTP发信认证, 提供邮件转发, 邮件过滤, 系统公告, 群发,
内部通知, 日程安排, 签名管理和通讯录管理等功能 。
5.1.2 电子邮件工作原理 -2
第 8页 2011-10-16 山东师范大学管理学院
5.1.2 电子邮件工作原理 -3
?POP3协议
POP3是邮局协议版本 3的缩写 ( Version 3 of The
Post Office Protocol), 于 1988年 11月创立 。 POP3协
议允许客户机通过 ( 临时的或永久的 ) TCP/ IP连接或其
他网络协议的连接, 从一个服务器 ( 这时称为 POP3服务
器 ) 上获取电子邮件 。 POP3不负责发送邮件, 发送邮件
可以通过 SMTP协议来完成 。
邮局协议 ( POP) 的优势在于支持移动计算 。 由于用
户的信件是存放在 POP服务器中, 而不是直接自动存放
到用户的计算机中的, 这样用户就不必建立与, 邮局,
的永久性连接, 以等待随时可能寄来的电子邮件 。 这使
得那些不易于直接连入局域网络的台式 PC或笔记本机可
以通过拨号上网 ( 建立临时的 TCP/ IP连接 ) 的方式方
便的获得邮件服务 。
第 9页 2011-10-16 山东师范大学管理学院
? 邮件工作的机理
① MUA。 Mail User Agent。 邮件用户代理, 帮助用户读写
邮件 。
② MTA。 Mail Transport Agent。 邮件传输代理, 负责把邮
件由一个服务器传到另一个服务器或邮件投递代理 。
③ MDA。 Mail Delivery Agent。 邮件投递代理, 把邮件放到
用户的邮箱里 。
5.1.2 电子邮件工作原理 -4
MUA MTA MTA MTA MDA 邮箱
队列 队列 队列
第 10页 2011-10-16 山东师范大学管理学院
From,user1@domain1.com
To,user2@domain2.com
Subject,Explaination of mail format
Date,Thu,1 Apr 2004,10:00:00 GMT
Hi,Jack
This mail is to explain you the mail format
Thanks
Bob
5.1.3 电子邮件信头结构及分析
?邮件的结构
第 11页 2011-10-16 山东师范大学管理学院
5.1.3 电子邮件信头结构及分析 -2
?邮件的信头
例, 假 设 发 件 人 的 名 字 叫 Sender,Email 地 址 是
sender@domain1.com,使用的电脑名字叫 client1,IP 地址
是 111.11,1,1。 收件人的名字叫 receipt,Email地址是
receipt@domain2.com,使用的电脑的名字叫 client2,IP地
址是 222.22.2,2。 当邮件编辑完传送给其邮件服务器
mail.domain1.com 时, 邮件的信头格式为,
From,sender@domain1.com
To,receipt@domain2.com
Date,Tue,Mar 18 2004 15:36:24 GMT
X-mailer:Sendmail 8.9.0
Subject,Greetings
第 12页 2011-10-16 山东师范大学管理学院
5.1.3 电子邮件信头结构及分析 -3
当邮件服务器 mail.domain1.com把邮件传到接收方的服务器 mail.domain2.com 时, 接
受方服务器会在信头上记录下有关的计算机信息, 邮件的信头变成,
Received,from client1.domain1.com (client1.domain1.com [111.11.1.1]) by
mail.domain1.com ( 8.8.5) id 004A21; Tue,Mar 18 2004 15:37:24 GMT
From,sender@domain1.com
To,receipt@domain2.com
Date,Tue,Mar 18 1998 15:36:24 GMT
Message-Id,<client1254556544-45556454@mail.domain1.com>
X-mailer:Sendmail 8.9.0
Subject,Greetings
当收件人服务器 mail.domain2.com 把邮件接收并存储下来, 等待收件人来阅读时, 邮件
的信头将会再加入一条记录,
Received,from mail.domain1.com (mail.domain1.com [111.11.1.0]) by
mail.domain2.com (8.8.5/8.7.2) with ESMTP id LAA20869; Tue,Mar 18 2004
15:39:44 GMT
Received,from client1.domain1.com (client1.domain1.com [111.11.1.1]) by
mail.domain1.com (8.8.5) id 004A21; Tue,Mar 18 2004 15:37:24 GMT
From,sender@domain1.com
To,receipt@domain2.com
Date,Tue,Mar 18 1998 15:36:24 GMT
Message-Id,<client1254556544-45556454@mail.domain1.com>
X-mailer:Sendmail 8.9.0
Subject,Greetings
第 13页 2011-10-16 山东师范大学管理学院
5.1.4 如何选择邮件服务器软件
?选择邮件服务器软件考虑的因素
第 14页 2011-10-16 山东师范大学管理学院
5.1.4 如何选择邮件服务器软件 -2
?邮件服务器软件的性能要求
( 1)安全性和垃圾邮件的防范
( 2)可靠性。
( 3)效率和灵活性。
( 4)可扩展性。
( 5)测试和服务支持。
第 15页 2011-10-16 山东师范大学管理学院
5.2 组建 Webmail邮件系统
5.2.1 Foxmail Server特点及构成
1,Foxmail Server产品特点
Foxmail Server是博大公司的邮件服务器软件, 秉承了
Foxmail邮件客户端软件的友好界面和易用性 。 该邮件软件
针对国内的中小企业或组织用户, 提供多种邮件服务, 包括
SMTP,POP3,并支持邮件扩充协议 MIME。 用户可以根据
使用习惯以 Foxmail,Outlook Express等流行客户端软件
收发邮件, 也可以在美观, 友好, 易用的全中文 Web浏览器
界面上登录处理邮件 。
在 2.0版本里, 还提供了 SMIME安全电子邮件, SyncML资
料同步, 日程事务管理等重大功能, 进一步健全完善了
Foxmail Server邮件服务器产品 。
第 16页 2011-10-16 山东师范大学管理学院
5.2.1 Foxmail Server特点及构成
2,Foxmail Server for Windows的基本构成
?Foxmail Server服务程序
?Web页面程序
?Sync Server同步服务程序
?扩展组件
3,Foxmail Server系统组成
?POP3 Server
?SMTP Server
?Web Server
?Authentication Server
?Sync Server
Fire W a ll
Fire W a ll
PO P3 SERVER SM T P SERVER W EB SERVER
Au th e n ti c a ti o n
Se rv e r
Bo xe s
Sy n c SERVER
U s e r
Dat a
Add re s s
Bo o ks
Inter ne t
第 17页 2011-10-16 山东师范大学管理学院
5.2.1 Foxmail Server特点及构成
U s e r
Manage r
S e c u r it y
W e b M a il
S t o r a g e
F o x M a il
S M T P / P O P 3
S e r v e r S id e O b je c t s
A d d r e s s
B o o k
D a t a B a s e O p e r a t o r
M I M E
S e n d / R e c ie v e
M e s s a g e s
S / M I M E
4,核心系统逻辑结构
第 18页 2011-10-16 山东师范大学管理学院
5.2.2 安装注意事项
?服务器硬件, CPU PII 350以上, 内存 256M以上, 硬盘 20G以上,
网卡 100Mbps。
?服务器软件,中文 Windows 2000 + IIS5.0下安装 Foxmail Server
?安装 Foxmail Server时计算机当前用户的身份一定要是系统管理
员 ( 即以 Administrator身份登录 )
?Foxmail Server安装程序在安装过程中可能会停掉 IIS本身的
SMTP服务器, 安装后如果 IIS本身的 SMTP服务器被激活,
Foxmail Server将不能正常工作 。
?计算机系统目录 ( WINNT和 WINNT\SYSTEM32目录 ) 下要有
regedit.exe和 egsvr32.exe这两个程序 。 Foxmail Server在安装时将
需要调用这两个程序来分别注册系统所需的数据和数据所需 COM
组件 。
?如果用户的机器以前安装有 低版本的 Foxmail Server,不需要卸
载, 直接运行 2.0版的安装包, 可以选择升级安装或者选择全新安
装 。
第 19页 2011-10-16 山东师范大学管理学院
?Foxmail Server的 安装
点击 Foxmail Server for Windows 2.0的安装程序,出现安装窗口。
第 20页 2011-10-16 山东师范大学管理学院
?Foxmail Server的 安装
第 21页 2011-10-16 山东师范大学管理学院
?Foxmail Server的 安装
第 22页 2011-10-16 山东师范大学管理学院
5.2.3 设置域名和管理员口令
sxtu.edu.cn
域
名
管
理
员
口
令
第 23页 2011-10-16 山东师范大学管理学院
5.2.4 设置网络参数
202.207.160.32
Esmtp功能是使用客户端软件向外发邮件时,必须经过身份认证才能进行。这
样可以避免邮件服务器被非授权用户用使用,即禁止了匿名邮件的发送,提高
了邮件发送的可信度
OpenRel
ay功能建
议关闭,
避免使服
务器成为
垃圾邮件
的中转站,
提高系统
安全性 。
设定
DNS地
址、
SMTP
端口、
POP3
端口等
信息
第 24页 2011-10-16 山东师范大学管理学院
5.2.5 IIS中的虚拟目录设置
FSW 2.0需要建立四个 IIS虚拟目录,
( 1) Webmail( 如果不存在,可能是安装时指定了“将虚拟目录置为站点
的根目录”,或者自定义了名称),用来指向 Webmail页面所在的目录;
( 2) WebUser,用户登录到 Webmail之后,用来存放用户临时信息的目录;
( 3) Cgi为 SyncML同步服务的虚拟目录;
( 4) Wapmail为用手机进行 Wapmail服务的虚拟目录。
第 25页 2011-10-16 山东师范大学管理学院
安装程序进行配置动作
第 26页 2011-10-16 山东师范大学管理学院
5.2.6 Webmail系统测试
( 1) Webmail和 Web管理的入口 。 IIS设置时, Webmail虚拟目录的名称
可以更改 。 如果按的默认选项的话, 安装完毕就可以用如下的地址使用
IE浏览器来访问,
http://服务器的 IP或默认域名 /Webmail
( 2) 确认 Foxmail Server正常开启 。 可以按以下步骤来进行确认,
确保, 控制面板, →, 管理工具, →, 服务, 选项中的, Aerofox
Mail Server”服务存在并已启动 。
确认 Foxmail Server正常开启
telnet 服务器地址 25
telnet 服务器地址 110
第 27页 2011-10-16 山东师范大学管理学院
5.2.7 客户端收发邮件
第 28页 2011-10-16 山东师范大学管理学院
Foxmail Server在 IIS中的虚拟目录
Foxmail Server for Windows 2.0需要建立 4个 IIS虚拟目录,Webmail
( 如果不存在,可能是安装时指定了, 将虚拟目录置为站点的根目
录,,或者自定义了名称),用来指向 Webmail页面所在的目录;
WebUser,用户登录到 Webmail之后,用来存放用户临时信息的目录;
Cgi为 SyncML同步服务的虚拟目录; Wapmail为用手机进行 Wapmail
服务的虚拟目录。
注意虚拟目录的属性权限不要随便更改,否则可能影响系统使用 。
第 29页 2011-10-16 山东师范大学管理学院
卸载 Foxmail Server
?点击, Foxmail Server” 程 序 组 中 的, 卸载
Foxmail Server for Windows”,弹出如下图所示
的卸载窗口 。
第 30页 2011-10-16 山东师范大学管理学院
?注册用户
http://localhost/webmail/
如果注册信息失败,那么可能是由以下几种原因所造成的,
? 密码长度不够。所输入的用户密码长度必须大于 3位。
? 二次所输入的密码不同。输入的密码和效验密码不同。
? 已经存在同名的用户。对于这种情况,只有重新选择一个用
户名进行信息注册。
? 系统一级错误。如果出现此种错误请与系统管理员联系。
第 31页 2011-10-16 山东师范大学管理学院
5.3 电子邮件的安全
5.3.1 影响邮件安全的因素
网络病毒也是造成邮件服务器不安全的另外一个因素。
例如 E-mail轰炸,其表现是不停地接到大量同一内容的
E-mail。 E-mail Spamming与 E-mail轰炸类似。这里,一
条信息被传给成千上万的不断扩大的用户。更糟的是,
如果是一个人回复了 E-mail Spamming,那么表头里所有
的用户都会收到这封回信。
电子邮件在 Internet上传输,是从一个机器传输到另一个
机器。这种方式下,电子邮件所经过网络上的任一系统管
理员或黑客都有可能截获和更改该邮件,甚至伪造某人的
电子邮件。
与传统邮政系统相比,电子邮件与密封邮寄的信件并不相
像,而与明信片更为相似。因此电子邮件本身的安全性是
以邮件经过的网络系统的安全性和管理人员的诚实、对信
息的漠不关心为基础的。
第 32页 2011-10-16 山东师范大学管理学院
5.3.2 邮件安全的主要问题 -假冒
普通的电子邮件缺乏安全认证, 这样冒充别人发
送邮件并不是难事 。 这种假冒问题的发生, 是因
为核心 SMTP不提供任何验证, 所以很容易伪造
电子邮件 。 可采用发件 验证机制 解决此问题。
假定密码不再以明文传送, 这并不意味着问题就解决了 。 另外还有两
个问题需要解决, 第一个问题是黑客仍可能使用字典式攻击, 反复尝
试不同的密码, 试图进入系统 。 这种类型的攻击在 Internet上是相当常
见的, 保护在网络上发送的密码并不一定能防止字典式攻击 。 但大多
数用户并不擅长保护密码, 即使他们对密码进行了保护, 仍有存在对
密码的蛮力组合攻击问题 。 对付字典式攻击, 可使用长序列的真正随
机的密码数据;另外, 一次性的密码也能防止假冒问题 。
密码不再以明文发送的第二个问题是中间人( man in middle) 攻击,
这涉及一个人或程序插入在通信的双方之间。通信通道被这样暗中破
坏,第三方可以截取在两个人之间发送的数据,修改数据,并发送给
接收方。许多验证机制都或多或少的易于受这种类型的攻击。
如果不想让别人冒充你的名义发送邮件,数字验证技术不失为一个好
办法。
第 33页 2011-10-16 山东师范大学管理学院
?邮件安全的主要问题 - 系统完整性
电子邮件就是通信。在一般条件下,邮件通
信必须有三个安全特征才有用。这三个安全
特征是:需要是可用的,需要是可信赖的,
需要有时候是私有的。
为了提供这些安全特征,通信通道和实现电
子邮件收发的系统必须具有完整性。然而,
缺省情况下 SMTP,POP3和信件的核心协议
,没有提供传送数据的完整性指示,使验证
数据的完整性需要一些额外的方法。
第 34页 2011-10-16 山东师范大学管理学院
?邮件安全的主要问题 -窃听
另外一种问题是面临被 窃听 的威胁 。 许多网卡提供查看网络
段上所有网络报文的功能, 而不是查看进出该机器的帧 。 这
个窃听有时候称为 Snooping或 Sniffing,且以明文传送的任何
数据都是窃听的目标 。
窃听可分为两种窃听方式,
?一种是局域网内的窃听 。 通常使用嗅探器对局域网内传输的
数据进行窃听 。 例如, POP3协议通常都是明文传输, 所以
很容易就被嗅探器嗅探到邮箱密码 。
?另外一种窃听就是来自信箱内部的窃听 。 当用户密码被破解
之后, 攻击者并没有修改密码;而是把信箱设置成转发邮件,
转发到攻击者的信箱;然后在他的信箱中设置转发到这个被
破解密码的信箱, 同时设置, 保留备份, 。 这样攻击者就可
以完全控制该信箱的流量了, 当窃听者想让你收邮件的时候
就转发给你, 不想让你收就取消转发, 这种方法相当隐蔽 。
解决窃听的办法是在网络传输密码和邮件之前加密
处理这些内容, 这种方法对保护机密信息的安全特
别有效 。 这样即使黑客窃听, 攻击者面对加密信息
也无计可施 。
某些客户端软件实现了诸如 PGP( Pretty Good
Privacy) 加密的功能, 解决了被窃听的问题, 实现
了安全电子邮件的部分要求 。 但对于一般的
Webmail,要实现加密传输, 就需要使用加密软件
对邮件附件进行加密处理 。 对于普通用户而言, 这
是件很麻烦的事, 必须首先经过加密系统的培训 。
第 35页 2011-10-16 山东师范大学管理学院
5.3.3 保密电子邮件及特性
?保密电子邮件 -数字签名 和信件验证代码 。
?保密电子邮件的特性
( 1) 防假冒 。 通过数字签名进行身份认证 。
例如, 某用户自己申请了证书 ( 私钥 ), 获得了数字标识,
可以实现向别人发送, 数字签名, 的邮件, 别人就可以判
断相关邮件确实是该用户发送的 。
( 2) 保密性 。 只有收件人才能解密查看 。
( 3) 完整性 。 保证邮件没有被中途篡改 。
( 4) 不可否认性 。 发件人的数字证书中的, 私钥, 只有
发件人唯一拥有, 发件人利用其数字证书在传送前对电子
邮件进行数字签名, 发件人就无法否认发送过这个电子邮
件 。
第 36页 2011-10-16 山东师范大学管理学院
?数字证书
数字证书应集成加密与签名的双重安全措施, 以确保电子邮件
的真实性和保密性 。 对于企业或组织内部的邮件用户无需到
Internet 上申请, 可 以 由 管 理 员 统 一 发 放 和 管 理 证 书 。
Internet上的用户可以通过新版 Foxmail邮件客户端软件方便的
申请到博大公司提供的个人安全电子邮件证书 。
5.3.4 数字证书与 S/MIME 数字证书
第 37页 2011-10-16 山东师范大学管理学院
?非对称加密
对称加密使用相同的密钥加密和解密数据, 它的主要困难是密钥
必须在保密通信涉及双方之间传递 。 1976年, Whitfield Diffie和
Martin Hellman发明了一个叫做非对称 ( Asymmetric) 或公共密
钥 ( Public-key) 加密方法, 作为对称加密的替换 。
通过公钥密码算法, 通常是 RSA算法, 能生成一对密钥 A和 B。
用密钥 A加密的信息, 只能由密钥 B才能解密;同样用密钥 B加密
的信息, 也只有由密钥 A才能解密 。 为了应用, 密钥的主人要把
这对密钥中的一条 ( 密钥 A) 公开出去, 交给其他人, 而把另一
条 ( 密钥 B) 留给自己保存 。 习惯上把公开出去的密钥叫做公钥,
而留给自己保存的密钥叫做私钥 。
构造证书的最常见格式是 X.509v3,由 ITU发布 。 X.509v3证书包
含的信息:版本, 序列号, 签名算法, 发出者姓名, 合法性期限,
主题名称, 主题公共密钥数据, 发出者唯一标识符, 主题唯一标
识符和扩展 。 最后提供的信息是证书的数字签名, 由发出者创建
第 38页 2011-10-16 山东师范大学管理学院
?S/MIME协议 安全多功能互联网邮件扩展
?S/MIME 提供验证、信件完整性、数字签名和加密
S/MIME中的加密和签名过程基于 RSA实验室开发的 PKCS公共密钥加密标
准 。 这是一组用于 RSA加密, Diffie-Hellman密钥交换和传统加密的标
准, 以及证书, 密码信件, 私有密钥信息和验证请求的语法描述 。 以下
是几个 RFC含有与 S/MIME有关的一些 PKCS标准的文本 。
① RFC2313( PKCS# l,RSA加密版本 1.5) 。
② RFC2314( PKCS# l0,证书请求语法版本 1.5) 。
③ RFC2315( PKCS# 7,密码信件语法版本 1.5) 。
④ RFC2437( PKCS# l,RSA密码规范版本 2.0) 。
该协议的版本 2在 RFC2311和 RFC2312中定义 。 它要求使用 RSA密钥交换算
法, S/MIME使用 X.509标准的树状认证结构 。 这个标准得到了 Microsoft
和 Netscape等大多数商业公司的支持 。 由于 S/MIME使用树状信任管理模
型, 而 Open PGP( 另外一种安全协议 ) 使用链状结构;因此 IT经理们对
S/MIME更感兴趣的, 正逐渐成为事实上的安全邮件标准 。 Foxmail安全
电子邮件也是以 S/MIME为安全规范的 。
第 39页 2011-10-16 山东师范大学管理学院
可以,
我在这里。
?邮件数字签名过程
当用户向外发送邮件时,他首先使用一种单向分解函数从邮件中
得到固定长度的分解值,该值与邮件的内容相关,称为该邮件的指纹;
然后使用自己的私钥对指纹进行加密。接受者能使用他的公钥进行解
密,然后重新生成指纹进行比较。这样可以保证邮件是由他本人发送
的而非假冒,同时也保证邮件在发送过程中没有被更改,这个过程称
为数字签名和核实。
1, 签名过程 2, 通过网络传输 3, 接收验证签名
H a s h 运算
H a s h 运算
文摘 签名
私钥加密
文件同签名一起发送
签名
文摘
文摘
公钥解密
对
比
第 40页 2011-10-16 山东师范大学管理学院
?5.3.5 邮件系统病毒防御
? Client/Server网络
病毒防御
?SMTP端口防毒扫
描
?邮件服务器内嵌防
毒引擎
第 41页 2011-10-16 山东师范大学管理学院
5.3.7 邮件安全的其他技术
?过滤器防御及访问拒绝
?攻击预警
?邮件监视
?系统备份
?禁止构建 Open Relay的邮件服务器
第 42页 2011-10-16 山东师范大学管理学院
Foxmail Server
系统安全管理
第 43页 2011-10-16 山东师范大学管理学院
? 系统管理主页面中,单击, 访问限制,,可以在这里
编辑拒绝访问的 IP地址黑名单已经确保访问的 VIP白名
单,通过访问限制来保证系统安全。
系统安全管理 —— 访问限制
第 44页 2011-10-16 山东师范大学管理学院
?拒绝访问所有名单
? 单击, 拒绝访问所有名单,, 管理员可将 IP地址或 IP地址
段列入黑名单, 拒绝这些 IP地址对 Foxmail Server邮件服
务的访问, 包括 Smtp,Pop3和 Webmail访问服务 。
在页面上方,可以输入
单独的 IP地址,单击, 添
加,,可以将一个 IP加入拒
绝访问的 IP黑名单列表;在
页面下方,可以输入 2个同
一网段的 IP地址,单击, 添
加,,则 2个 IP之间的 IP段
都将被列入 IP段黑名单列表,
之间的所有 IP都将被拒绝访
问。
选中列表中的一项,单
击, 删除,,则该 IP或 IP段
将从黑名单中移除。
需要说明的是,设置修
改后必须重新启动 Foxmail
Server服务才能生效。
第 45页 2011-10-16 山东师范大学管理学院
?拒绝 SMTP服务名单
?单击, 拒绝 SMTP服务名单,,管理员可将域名,IP地址或
IP地址段列入黑名单,拒绝访问 Smtp服务。
?如果被拒绝 Smtp服务,符合黑名单条件的连接将无法使用邮
件客户端软件发送邮件。
在页面上方,可以输入单独
的 IP地址,单击, 添加,,
可以将一个 IP加入拒绝 Smtp
访问的 IP黑名单列表;在页
面中间,您可以输入 2个同一
网段的 IP地址,单击, 添
加,,则 2个 IP之间的 IP段都
将被列入 IP段黑名单列表,
之间的所有 IP都将被拒绝
Smtp访问;在页面下方,您
可以输入一个域名,单击
,添加,,来自该域的计算
机将被禁止访问邮件系统的
Smtp服务。
第 46页 2011-10-16 山东师范大学管理学院
?拒绝 Pop3服务名单,
单击, 拒绝 Pop3服务名单,, 管理员可将 IP地址或 IP地址
段列入黑名单, 拒绝访问 Pop3服务 。
如果被拒绝 Pop3服务, 符合黑名单条件的连接将无法使用
邮件客户端软件收取邮件 。
第 47页 2011-10-16 山东师范大学管理学院
?? 拒绝 Web服务名单,
单击, 拒绝 Web服务名单,,管理员可将 IP地址或 IP地址段
列入黑名单,拒绝访问 Webmail服务。
如果被拒绝 Web服务,符合黑名单条件的连接将无法使用
Webmail。 使用 Web来管理系统不受此限制。
第 48页 2011-10-16 山东师范大学管理学院
?VIP名单
?单击, VIP名单,,管理员可将 IP地址列入 VIP白名单,确保在 VIP列
表中的 IP地址不会被拒绝访问。
?位于 VIP列表中的计算机即使出现在被禁止访问列表中也能正常访问
邮件系统,此项配合黑名单的 IP段设置,可以做到对 IP地址访问控制
有很好的灵活性。
第 49页 2011-10-16 山东师范大学管理学院
?系统安全管理 —— 邮件安全处理
系统管理主页面中,单击, 邮件安全处理,,设置邮件安
全规则,使邮件系统避免攻击,避免因用户使用不当而导
致系统负担过重。
页面中列出当前
对于接收邮件和发
送邮件的安全设置
情况。初始状态下
未做任何限制。
单击接收邮件安
全设置的, 编辑,
,进入设置界面。
第 50页 2011-10-16 山东师范大学管理学院
系统安全管理 —— S/MIME支持
系统管理主页面中,单击, S/MIME支持,,选择是否开启
安全电子邮件功能。开启 S/MIME将使用户邮件可以进行数
字签名和证书加密,保证邮件的安全性。
单击, 使用 S/MIME支持,,
开启安全电子邮件功能,单
击, 不使用 S/MIME支持,,
关闭安全电子邮件功能。
单击, 导入系统根证书,,
使 Foxmail Server系统信任
来自该根证书所属的 CA中心
。
第 51页 2011-10-16 山东师范大学管理学院
?系统管理主页面中,单击, SSL支持,,查
看设置 SSL安全通道的方法。
?安全套接字层 (SSL) 是一套提供身份验证
、保密性和数据完整性的加密技术。 SSL 提
供传输过程的加密防护,最常用来在 Web
浏览器和 Web 服务器之间建立安全通信通
道。它也可以在客户端应用程序和服务端之
间使用。
?系统安全管理 —— SSL支持
第 52页 2011-10-16 山东师范大学管理学院
?系统安全管理 —— ESmtp设置
系统管理主页面中,单击, ESmtp设置,,选择是否
开启 ESmtp发信身份认证功能。开启该功能可以避免非授
权用户通过用户的服务器发送邮件,提高系统安全性。
单击, 打开 ESmtp开关,,开启发信
身份认证功能,单击, 关闭 ESmtp开
关,,关闭发信身份认证功能。
需要说明的是,ESmtp开关修改后必
须重新启动 Foxmail Server服务才能
生效。
如果开启了 ESmtp,邮件客户端软件也必须开启这个选项才能够正常
发信。
第 53页 2011-10-16 山东师范大学管理学院
?系统安全管理 —— OpenRelay设置
系统管理主页面中,单击, OpenRelay设置,,选
择是否开启 OpenRelay功能。您可以通过关闭 OpenRelay
功能,避免使服务器成为垃圾邮件的中转站,提高系统安
全性。
如果 open relay设置为开启,将允许其他系统将您的邮件服
务器作为转发邮件的中继站。将可能会导致一些垃圾邮件发送
者将您的邮件服务器作为转发垃圾邮件的中继站,这将使垃圾
邮件的接收者将矛头对准您,可能会导致报复性的邮件炸弹。
垃圾邮件还能消耗您大量的资源,占用您的带宽。更为糟糕的
事情可能是您的名字可能会上了黑名单,成为其他邮件接收者
共同抵制的目标,您的邮件将被这些接收者所拒绝。
为了避免系统被用来中转垃圾邮件,消耗资源,甚至由此而
引发其他邮件接收者的黑名单抵制,建议关闭 open relay。
如果关闭 open relay,邮件服务器将不能作为中转服务器。
而用户使用客户端发送邮件的话,自己的邮件地址(即发件人
)必须保证是系统本地的邮件地址。否则会出现以下提示,并
拒绝发送。
需要说明的是,OpenRelay开关修改后必须重新启
动 Foxmail Server服务才能生效。
第 54页 2011-10-16 山东师范大学管理学院
?系统安全管理 — 攻击示警设置
系统管理主页面中,单击, 攻击示警设置,,设置触发攻击示警的条件,
满足条件的异常行为将被纪录到攻击示警日志里。
第 55页 2011-10-16 山东师范大学管理学院
?系统安全管理 — 系统过滤器
系统管理主页面中, 单击, 系统过滤器,, 可以通过这项
功能在系统一级对邮件加以过滤, 避免所有用户阅读到不适
合的邮件 。
设置系统过滤器页面中,单击, 新建, 按钮,建立新的过滤器。
?过滤器的逻辑是符合某项条件,就执行某项动作。
?条件包括,
?? 主题包含某关键字
?? 发件人人姓名包含某关键字
?? 发件人地址包含某关键字
?? 邮件正文包含某关键字
?? 邮件来自某个邮件域
?? 邮件大小超过多少 K
?动作包括,
?? 复制到系统管理员邮箱(帐号为 postmaster) 的收件箱中
?? 复制到系统管理员邮箱的垃圾废件箱中
?? 复制到系统管理员邮箱的某项自建文件夹中(如果存在的话)
?? 删除该邮件
第 56页 2011-10-16 山东师范大学管理学院
?SMTP的基本结构
?电子邮件工作原理
?管理邮件服务器
?邮件安全的主要问题
?保密电子邮件及特性
?数字证书与 S/MIME
?邮件系统病毒防御
本章小结
第 57页 2011-10-16 山东师范大学管理学院
第 58页 2011-10-16 山东师范大学管理学院
思考与练习
1,画图描述 SMTP的模型和工作机理 。
2,电子邮件如何发送与接收?
3,接收一个电子邮件, 分析 信头结构 。
4,选择邮件服务器产品一般考虑的因素有哪些?
5,电子邮件安全问题主要涉及到哪些问题?
6,保密电子邮件的特性有哪些?
7,什么是数字证书?
8,画图描述邮件数字签名过程 。
9,邮件系统如何防御病毒?
10,为什么要禁止构建 Open Relay的邮件服务器?
第 59页 2011-10-16 山东师范大学管理学院
?Webmail邮件系统安装
( 1) 实验目的 。 了解 Webmail系统的功能和特点, 掌
握 Webmail系统的 安装配置 。
( 2) 实验资源, 工具和准备工作 。 安装与配置好的
Windows 2000 Server,Windows 98/2000,均连
接在网络中 。 连接博大公司网站, 下载试用版
Foxmail Server for Windows 2.0。
( 3) 实验内容 。 安装 Foxmail Server for Windows
2.0,设置域名和管理员口令, 设置网络参数,
IIS中的虚拟目录设置, Webmail系统测试 。
( 4) 实验步骤 。 参照 5.2节进行 。 实验结束, 写出实
验报告 。
网络实验
第 60页 2011-10-16 山东师范大学管理学院
?电子邮件收发
( 1) 实验目的 。 熟悉邮件系统的工作过程, 掌握 Webmail系统
的使用 。
( 2) 实验资源, 工具和准备工作 。 安装与配置好的 Foxmail
Server for Windows 2.0,Windows 98/2000客户机, 均连接
在网络中 。 连接博大公司网站, 下载 新版 Foxmail客户端软件 。
( 3) 实验内容 。 安装 Foxmail 客户端软件, 设置 Foxmail收
发邮件的网络参数, 连接试验一安装好的邮件服务器, 使用
Foxmail 收发 邮件 。 随后, 使用 IE浏览器收发邮件 。
了解数字证书的使用方法 。 将实验计算机连接博大公司网站,
利用 Foxmail邮件客户端软件申请博大公司提供的个人安全电
子邮件证书 。
( 4) 实验步骤 。 参照 5.2节进行 。 实验结束, 写出实验报告 。
网络实验
