第九章
电子邮件系统安全
第九章 电子邮件安全系统
9.1 电子邮件系统简介
9.1.1 邮件收发机制
9.1.2 邮件一般格式
9.1.3 简单邮件传输协议
9.2 电子邮件系统安全防范
9,2.1 邮件炸弹防范
9.2.2 邮件欺骗防范
9.2.3 匿名转发防范
第九章 电子邮件安全系统 (续 )
9.2.4 邮件病毒防范
9.2.5 垃圾邮件防范
9.3 安全电子邮件系统
9.3.1 安全邮件系统模型
9.3.2 安全邮件协议
9.3.3 常用安全邮件系统
9.1.1 邮件收发机制
? 邮件系统主要构件, 用户代理、邮件服务器、电子邮件协议
? 邮件服务方式, 存储 ——转发
? 用户代理 UA, 负责与用户进行数据交换来发送和读取邮
件。如,Outlook,Foxmail
? 邮件服务器, 在因特网上充当“邮局”角色。
? 电子邮件协议, 如 SMTP 简单邮件传送协议
POP3和 IMAP 邮件读取协议
终端上的
用户
用户代理
UA
要发送的
邮件队列
报文传送
代理 MTA 客户
TCP连接
报文传送
代理 MTA用户邮箱
用户代理
UA
终端上的
用户 服务器
发送方
接收方
报文传送代理 MTA:完成邮件交换工作,根据电子邮件的目标
地址找到对应的目标服务器,将信件在服务器之间传输,用户不和
MTA打交道。
邮件收发工作模式
发送方
邮件缓存 接收端
邮件服务器
用户代理
发送端
邮件服务器
用户代理
接收方
用
户
代
理
用
户
代
理
邮件
服务器
邮件
服务器
(发送邮件 )
SMTP
SMTP
(发送邮件 )
(TCP 连接 )
(1) 发信人调用用户代理来编辑要发送的邮件。
用户代理用 SMTP 把邮件传送给发送端邮件服务器。
电子邮件的发送和接收过程
Internet
发送方
接收端
邮件服务器
用户代理
SMTP
发送端
邮件服务器
邮件缓存
用户代理
接收方
用
户
代
理
用
户
代
理
邮件
服务器
邮件
服务器
SMTP
(发送邮件 )
(发送邮件 )
(TCP 连接 )
因特网
(2) 发送端邮件服务器将邮件放入邮件缓存队列中,等待发送 。
电子邮件的发送和接收过程
Internet
发送方
邮件缓存 接收端
邮件服务器
用户代理
SMTP
发送端
邮件服务器
用户代理
接收方
用
户
代
理
用
户
代
理
邮件
服务器
SMTP
(发送邮件 )
(发送邮件 )
(TCP 连接 )
邮件
服务器
SMTP
SMTP
(发送邮件)
(发送邮件 )
(TCP 连接 )
因特网
(3) 运行在发送端邮件服务器的 SMTP 客户进程,发现在邮件缓存中有待发送
的邮件,就向运行在接收端邮件服务器的 SMTP 服务器进程发起 TCP 连接的
建立。
电子邮件的发送和接收过程
Internet
发送方
邮件缓存 接收端
邮件服务器
用户代理
SMTP
发送端
邮件服务器
用户代理
用户邮箱 接收方
用
户
代
理
用
户
代
理
邮件
服务器
邮件
服务器
SMTP
(发送邮件 )
(发送邮件 )
(TCP 连接 )
SMTP
SMTP
(发送邮件)
(发送邮件 )
(TCP 连接 )
因特网
(4) TCP 连接建立后,SMTP 客户进程开始向远程的 SMTP 服务器进程发送邮件。
当所有的待发送邮件发完了,SMTP 就关闭所建立的 TCP 连接。
电子邮件的发送和接收过程
Internet
发送方
邮件缓存 接收端
邮件服务器
用户代理
SMTP
发送端
邮件服务器
用户代理
用户邮箱 接收方
用
户
代
理
用
户
代
理
邮件
服务器
邮件
服务器
SMTP
(发送邮件 )
(发送邮件 )
(TCP 连接 )
SMTP
SMTP
(发送邮件)
(发送邮件 )
(TCP 连接 )
因特网
(5) 运行在接收端邮件服务器中的 SMTP 服务器进程收到邮件后,将邮件放
入收信人的用户邮箱中,等待收信人在方便时进行读取。
电子邮件的发送和接收过程
Internet
发送方
邮件缓存 接收端
邮件服务器
用户代理
SMTP
发送端
邮件服务器
用户代理
用户邮箱 接收方
用
户
代
理
用
户
代
理
邮件
服务器
邮件
服务器
SMTP
(发送邮件 )
(发送邮件 )
(TCP 连接 )
SMTP
SMTP
(发送邮件)
(发送邮件 )
(TCP 连接 )
POP3
POP3
(读取邮件 )
(读取邮件 )
(TCP 连接 )
因特网
(6) 收信人在打算收信时,调用用户代理,使用 POP3(或 IMAP)协议将自己的
邮件从接收端邮件服务器的用户邮箱中的取回(如果邮箱中有来信的话)。
电子邮件的发送和接收过程
Internet
9.1.2 邮件一般格式
一封电子邮件
信封
内容
首部 header
主体 body
信封:邮件自动提取所需信息写在信封上,用户无需填写。
首部:因特网文报本格式过规定了首部格式,包含一些关键字。
主体:用户自由撰写。
邮件首部关键字
To,后面填写的是一个或多个收信人的电子邮件地址
Subject,是邮件的主题
From,发信人的电子邮件地址
Date,发信日期
Reply-to,对方回信所用地址,可与发信时所用地址不同
Cc, 抄送,指再给某人发送一个邮件副本,收件人在收到的
邮件中是可以知道的。
Bcc,暗送,这是使发信人能将邮件的副本送给某人,但此事
收件人是无法得知的。
9.1.3 简单邮件传送协议
一些主要的电子邮件系统的协议和标准:
SMTP (simple mail transfer protocol),简单邮件传送协议
POP3 (post office protocol-version 3),邮局协议 -版本 3
IMAP4 (internet message access protocol-version4):
因特网消息访问协议
RFC822 (standard for the format of APPR):因特网 text message
MIME (multipurpose internet mail extensions):
多用途因特网邮件扩展协议
HTTP (hypertext transfer protocol),超文本传输协议
HTML(hypertext markup language),超文本标志语言
SMTP 的命令特点
每条命令用 4个字母组成,共 14条命令
如,HELO —— 客户标志自己
(例如,HELO smtp.163.com)
MAIL —— 标志报文的发送者
(例如,MAIL FROM:<LX@163.COM>)
RCPT ——标志报文的接受者
(例如,RCPT TO:<qindk@126.com>)
DATA —— 邮件报文内容通过该命令发送,末尾一行只有
一个句点。
QUIT —— 结束此次会话
每个命令返回一个应答,由 3个数字代码开始,后面接着字符串
如,220 Welcome to coremail System…… ——服务就绪
221 Closing connection.Good bye.——服务关闭传输通道
SMTP 的命令特点 ( 续 )
信封:报文传送代理 MTA用来交付的信息,如:
MAIL FROM,< lx@163.com>
RCPT TO,< qindk@126.com>
信头:由用户代理 UA使用的首部字段。每个首部字段都包
含一个名称,紧跟一个冒号,接着是字段值。
信体:用户自由编撰所要传送的报文和数据。
SMTP 规定的邮件组成
SMTP通信的主要的命令和响应信息
(1) 建立连接
( 2)邮件传送
( 3)连接释放
建立连接
SMTP 客户 SMTP 服务器
? 发现有邮件,就使用 SMTP的熟知端口
号码( 25)与目的主机的 SMTP服务器建
立 TCP连接。
? 在连接建立后,SMTP服务器要发出
,220 Service ready(服务就绪 )”。
? 然后 SMTP客户向 SMTP服务器发送
HELO命令,附上发送方的主机名。
? SMTP服务器若回答:,250 OK”,则
表示有能力接收邮件,并已准备好接收。
若 SMTP服务器不可用,则回答:,421
Service not available(服务不可用 )”,表示
不能接收邮件。
邮件传送
? 邮件传送从 MAIL命令开始。 MAIL命令后面有发信人的地
址。如,MAIL FROM:< lx@public1.ptt.js.cn>。
? 若 SMTP服务器已准备好接收邮件,则回答,250 OK”。否
则,返回一个代码,指出原因。如,451(处理时出错),
452(存储空间不够),500(命令无法识别)等。
? 下面跟着一个或多个 RCPT命令,取决于将同一个邮件发送给
一个或多个收信人。其格式为 RCPT TO,<收信人地址>
?, 250 OK”,表示指明的邮箱在接收端的系统中。或,550
No
such user here(无此用户 )”,即不存在此邮箱。
邮件传送 ( 续 )
? 再下面就是 DATA命令,表示要开始传送邮件的内容了。
? SMTP服务器返回的信息是:,354 Start mail input ;end
with
< CRLF>, < CRLF>”。这里< CRLF>是“回车换行”的
意思。
若不能接受邮件,则返回 421(服务器不可用),500(命令无
法识别)等等。接着 SMTP客户就发送邮件的内容。
? 发送完毕后,再发送< CRLF>, < CRLF>(两个回车换行中
间用一个点隔开)表示邮件内容结束。实际上在服务器端看到
的可打印的字符只是一个英文的句点。
? 若邮件收到了,则 SMTP服务器返回信息,250 OK”,或返回
差
邮件传送 ( 续 )
SMTP 客户 SMTP 服务器 SMTP 客户 SMTP 服务器
连接释放
SMTP 客户 SMTP 服务器
? 邮件发送完毕后,SMTP客户应
发送 QUIT命令 。
? SMTP服务器返回的信息是
,221(服务关闭 )”,表示 SMTP同意
释放 TCP连接。邮件传送的全部程
即结束 。
9.2.1 邮件炸弹防范
? 邮件炸弹实质:就是邮件发送者利用伪造的 IP地址和特殊
的电子邮件软件,在很短的时间内将大量地址不详、容量
庞大的恶意邮件连续不断地邮寄给同一个收信人,以至造
成邮箱超负荷而崩溃。
? 邮件炸弹的危害:邮箱崩溃,消耗网络资源,网络拥塞,
严重时导致整个网络系统全部瘫痪。
KaBoom 是一种能够自动产生电子邮件炸弹的典型软件程
序。上面有三个按钮, Mailbomber,Mailing Lists,Close
实现 3种功能。
?MailBomber (发送邮件炸弹 )
?Mailing Lists (为别人订阅邮件 )
?Close (退出 )
邮件炸弹举例 KaBoom
Mailbomber 各实现功能
To,为收件人的地址
From,发件人地址,一般为匿名或冒充别人的名字
Server,选择要由哪一个匿名邮件服务器发信
Subject,信件标题
Message Body,信件内容
Number of Messages,要寄几封出去 (重覆的次数 )
Mail Perpetually,一直寄,直到按 Stop钮为止 ……
CC,同时还要攻击的地址
Send,开始发送 Open,将档案插入信件中
Finger,探测被攻击目标的活动情况
Mailbomber 各实现功能 ( 续 )
Mailing Lists各实现功能
? Address,邮件组收件人
? Name:订阅人名称
? Server,指定邮件服务器
? Send your condolences:你的问候语
? Subscribe,确定要订当前的邮件组
? 不要“惹事生非”,不要将自己的邮箱地址到处传播
? 向 ISP求援请求他们采取办法帮你清除 E-mail Bomb。
? 设置邮件过滤,用邮件程序的 Email- notify功能来过滤信件
? 拒收某个用户的信件,这种方法可使在收到某个特定用户的信
? 件后,自动把信退回,相当于查无此人。
? 使用, 自动转信, 功能,在一定程度上解决特大容量邮件的攻击,可以将垃
圾
邮件转移到自己其他免费的信箱中,避免此邮箱受到攻击。
? 谨慎使用, 自动回信, 功能
? 使用专用防范工具,如 PoP-It来清除这些垃圾信息。
邮件炸弹的防范和清除
9.2.2 邮件欺骗防范
电子邮件欺骗 常见的情况是攻击者佯称自己是系统管理员,给用
户发送邮件要求用户修改口令 ( 口令很可能是指定的字符串 ) 或
在附件中加载病毒或其他木马程序,
分类 佯称自己是系统管理员进行欺骗。一旦收到此类邮
件,
应发邮件询问或采用某一种验证方式来进行验证 。
佯称自己是某一授权人进行欺骗
邮件欺骗防范 (续 )
邮件欺骗并不是利用计算机技术上的漏洞攻击,要想绝
以后的类似仿冒信件,保证邮件的绝对安全,几乎是不可能
的。要防范此类的欺骗情况,用户所能做到的就是提高警惕,
增强防范意识,遇到此类危险邮件时一定要先证实其真实性,
再考虑需不需要对其做出回答。必要时还可以与邮箱所在网
络的运行商联系。并且对于重要信息的透漏,一定要三思而
后行,以免不必要的损失。
9.2.3 匿名转发防范
? 匿名邮件 ——隐藏自己的真实地址而使用另一名称发邮件 给收件人。
但通过信息表头中的其它信息,仍能够跟踪发送者。
? 匿名转发 —— 将要发送的信件先发送给其他人,再让其他 人来发送
这个邮件给收件人,那么邮件中的发信地址就变成了转发者的地址了,
而让发件人的地址完全不出现在邮件中 。
? 防范措施 ——如果收到不健康的匿名转发的信件常用的是一个地址,
如,8888@8888.8888,则可以利用防止垃圾邮件的相关办法来防范匿
名邮件。
9.2.4 邮件病毒防范
? 邮件病毒的危害,轻则影响工作,重则将磁盘中存储
的无法以价格来衡量的数据和程序全部破坏掉。甚至是
用于实施控制的计算机瘫痪,造成无法估计的损失。
? 邮件病毒的防范:
? 不要打开或运行来历不明的邮件或附件
? 选择具有, 远程邮箱管理, 的 E-mail客户端软
件,
远程邮箱管理,是在你收取邮件之前,直接对服
务器的邮件进行操作。
邮件病毒防范 ( 续 )
? 选择并安装一种自己熟悉的杀毒软件,保持最新的
病毒库
? 系统管理员定期对网络内的电子邮件系统、共享存
储区域、用户分区进行病毒扫描,发现异常情况应
及时处理,不使其扩散。
? 警惕特殊扩展名的邮件附件,如:,,PIF”,,.LNK”、
?,,BAT”,,.EXE”或,,COM”,以及双扩展名
例如, ABC.doc.pif”,
尼姆达病毒的病毒文件
? 尼姆达病毒 ——“尼姆达, 又称概念病毒 。 它是一种会通过 E-mail电子
邮件进行传播的恶意蠕虫病毒 。
? 尼姆达病毒的病毒文件
? 蠕虫文件, mmc.exe”:出现在 Windows文件 夹,
蠕虫扫描和创建 tftpd 的进程就是它 。
? riched20.dll:它除了出现在 Windows系统文件中, 还可能出现在任
何有 *.doc文件的文件夹里
? TFTP﹡﹡﹡﹡,形如 TFTP3233。 文件位置取决于 tftp的目录。
? Admin.dll,Admin.dll 除了存在于 C,D,E的 根目录外,还可能出现
在, TFTP﹡﹡﹡﹡,出现的地方。
尼姆达病毒的病毒文件 ( 续 )
? Load.exe,该病毒会在 Windows的 system目录中生成 Load.exe文件,
同时修改 system.ini中的 shell,把 shell=explorer.exe改为
explorer.exe load.exe-dontrunold,从而使病毒在下次系统启动时还能
被激活。
? readme.eml,这是尼姆达病毒的核心。尼姆达利用了 IE5(或者说 oE5)
的一个漏洞。把可执行文件指定为多媒体文件类型,会自动下载打开 。
? readme.nws:同 readme.eml,只是出现的几率很小。
? readme﹡,exe,中的附件程序。
尼姆达病毒的病毒文件 ( 续 )
? ﹡,tmp.exe,病毒复制到临时目录下的副本,会在系统下次启动时
将他们删除。
? readme.eml,这是尼姆达病毒的核心。尼姆达利用了 IE5( 或者
说 OE5)的一个漏洞。把可执行文件指定为多媒体文件类型,会自动
下载打开。
? readme.nws:同 readme.eml,只是出现的几率很小。
? readme﹡,exe,中的附件程序。
? ﹡,tmp.exe,病毒复制到临时目录下的副本,会在系统下次启动时
将他们删除。
?
尼姆达的手工清除
? 断开网络连接, 最好的方法就是拔下网线 。
? 打开进程管理器, 查看进程列表 。 结束其中进程名称为
﹡,tmp.exe,MMC.EXE,tftp.exe 以及 Load.exe 的进程 ( 其中
﹡ 为任意文件名 ) 。
? 切换到系统的 TEMP目录, 寻找文件长度为 57344的文件, 删掉它们 。
? 切换到系统的 System目录, 寻找名称为 Riched20.dll的文件;
Concept病毒的副本大小为 57344字节, 如果有长度为 57344字节的
Riched20.dll,删掉它 。
尼姆达的手工清除 ( 续 )
? 继续在系统的 System目录下寻找名称为 load.exe,长度为 57344字
节的文件, 删掉它 。
? 在 C:\,D:\,E:\三个逻辑盘的根目录下寻找 Admin.dll文件, 如果存在,
删掉它 。
? 打开 System.ini文件, 在 [load]中如果有一行
shell=explorer.exe load.exe-dontrunold,则改为
shell=explorer.exe。
? 如果是 WinNT或者 Win2000以及 WinXP系统, 则打开, 控制面板 ----用户和
密码,, 将 Administrator组中的 guest账号删除 。
尼姆达的手工清除 ( 续 )
? 打开共享文件夹管理,将共享 C﹩ 去除,该共享为本地 C:\的完全共享。
? 搜索整个机器,查找文件名为 ﹡,eml、长度为 79225字节的文件。如果文
件内容中包含如下语句,删掉该文件。
<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff><br>
<iframe scr=3Dcid:EA4DMGBP9p height=3D0
width=3D0><br>
</iframe></BODY></HTML>
以及 Content-Type:audio/x-wav;
name=“readme.exe”
Content-Transfer-Encoding:base64
尼姆达的手工清除 ( 续 )
? 搜索整个机器,查找所有的超文本语言类文件(如 html,
htm,htt,asp,shtml和 shtm等),若发现其中包含
以下字符串,则删除该段字符串。
? 由于在某些情况下该蠕虫还会采用类似捆绑的方式感染
一些,exe文件,对于这些文件,借助杀毒软件杀毒。
9.2.5 垃圾邮件防范
垃圾邮件指与内容无关,而且收件人并没有明确要求接受
该邮件的、发送给多个收件人的信件或张贴物。
垃
圾
邮
件
良性垃圾邮件:指各种宣传广告等对收件
人影响不大的信息邮件;
恶性垃圾邮件:指邮件炸弹或附带有病毒的具
有破坏性的电子邮件。
垃圾邮件的危害
? 垃圾邮件严重影响用户的工作与生活。
? 严重影响网络的正常运行。
? 垃圾邮件携带病毒感染网络。
垃圾邮件的防范和清除
? 保护好邮箱地址
? 尽量避免使用邮箱的, 自动回复, 功能
? 不要回复来历不明的邮件
? 不要订阅一些不了解的网站邮件列表
? 邮箱地址, 变脸,
为了对付网上大量的 E-mail地址, 自动收集机,,我们可
以把邮箱地址, 乔装改扮, 一番再填写。
垃圾邮件的防范和清除 ( 续 )
? 完善邮箱账号
垃圾邮件发送者常使用, 字典档案, 这样的工具, 因此
在
申请邮箱账号的时候, 可以使用英文字母和数字相混合
的方法, 从而躲避大量的广告垃圾邮件 。
? 使用专业的工具
可以使用杀毒软件的邮件监控功能过滤掉含有病毒
的垃圾邮件, 使用专业的垃圾邮件清除软件来清理
一些有商业目的的垃圾邮件 。
9.3 安全电子邮件系统
电子邮件系统安全性取决于 邮件传输网络 的安全, 邮件服务
器 的安全以及 客户端邮件收发系统 的安全。
因特网
电子邮
件系统
电子邮件服务器系统
客户端电子邮件收发系统(如
Foxmail,Outlook等)。
客户端电子邮件收发系统安全
? 加密传输,在邮件上网传输之前,其内容及附件就应
该是密文了
? 身份验证,防止冒用的电子邮件地址发送电子邮件,
伪造身份从事网上活动,或者抵赖曾经发
过的邮件
? 签名和验证:让用户能够判断信件的真实来源与去处
邮件服务器安全
? 运行能力, 跨平台能力、事务处理能力、负荷均衡能力。
? 通信能力:连接支持能力、接入控制能力、带宽管理能力。
? 多服务器支持能力:一是在物理上支持多个服务器协 同
工作,二是在逻辑上支持多个虚拟服务器,也称为多域邮
件服务器。
? 软件支持能力:主要与服务器所使用的服务协议有关
? 系统管理能力:包括日志与审计能力和实时监控与性能调
整能力。
电子邮件系统对服务器的安全的要求
? 身份认证能力
? 合法地址设定能力
? 反垃圾和邮件过滤能力
? 穿越内部保护的能力
? 系统备份与灾难恢复能力
? 查杀病毒的能力
? 抵制 DoS(拒绝服务)攻击的能力
? 信息加密能力
9.3.2 安全邮件协议
安全邮件协议的作用:提供邮件的机密性,完整性以及
不可抵赖性等,使电子邮件的安全性得到了充分的保障,从而
使在因特网上通过电子邮件传送敏感、重要的信息成为可能。
PEM (privacy enhancement for internet electronic mail)
PGP (MIME security with pretty good rivacy)
S/MIME (secure MIME)
MOSS(MIME object security ervices)
PEM
保密增强邮件 PEM(privacy enhancement for
internet electronic mail),是一个只能够保密文本
信息的非常简单的信息格式。 PEM标准确定了一个简
单而又严格的全球认证分级。无论是公共的还是私人
的,商业的还是其他的,所有的认证中心( CA)都是
这个分级中的一部分。
PEM 使用的算法
DES、三重 DES算法加密报文消息
RSA算法加密会话密钥
RSA算法加密消息摘要,形成数字签名
MD2,MD5算法产生消息摘要
算法功能
PGP
PGP(pretty good privacy)所采用的算法经
过检验和审查后被证实为是非常安全的由于适用
范围广泛,它在机密性和身份验证服务上得到了
大量的应用。
安全服务
? 数字签名 PGP提供的数字签名服务包括哈希编码或
消息摘要的使用,签名算法以及公钥加密算法。它提
供了对发送方的身份验证。
? 保密性 PGP通过使用常规的加密算法,对将要传送
的消 息或在本地存储的文件进行加密,在 PGP中每个
常规密钥只使用一次,会话密钥和消息绑定在一起进
行传送,为了保护会话密钥,还要用接收方的公钥对
其进行加密。
安全服务 ( 续 )
? 压缩 在默认情况下, PGP在数字签名服务和保密性服务之
间提供压缩服务, 首先对消息进行签名, 然后进行压缩,
最后再对压缩消息加密 。
? 基数 64转换 为了达到签名, 加密及压缩的目的, PGP
使用了称为基数 64转换的方案 。 在该方案中, 每 3个二进
制数据组被映射为 4个 ASCII字符, 同时也使用了循环冗
余校验来检测传送中的错误, 基数 64转换作为对二进制
PGP消息的包装, 用于在一些非二进制通道 。
MIME 安全性
它具有良好的安全性和适用性,使得它能够使用符合
MIME规范的安全内容类型来提供保密性和身份验证服务。
S/MIME
S/MIME (secure/multipurpose internet
mail extension,安全 /多用途因特网邮件扩展 )提供
了与 MIME规模相一致的发送和接收安全数据的方法。
包括身份验证、信息完整性和不可抵赖性以及数据的
保密性。
安全服务
? 数字签名
当产生消息摘要时, 发送方代理和接收方代理都必须支持
SHA-1算法 。 为了兼容以前版本的 S/MIME,接收方代理还
应当支持 MD5算法 。 当产生数字签名时, 发送方代理和接
收方代理都必须支持 DSS算法, 并且该算法必须不带任何
参数 。 同样, 为了兼容以前版本的 S/MIME,接收方代理
和发送方代理都应当支持 RSA解密, 能够使用用户私钥对
所发送的信息进行签名 。
安全服务 ( 续 )
? 保密性
S/MIME使用了 CMS中定义的 EnvelopeData,内容类型
来对消息提供加密保护。使用保密性服务时,对于每一
个可能的信息接收者,发送者都要能够获取其公钥。在
这个内容类型中,并没有提供身份验证机制。
S/MIME 消息
是由 MIME实体和 CMS对象组合而成,其中使
用了一些 MIME类型和 CMS对象。一个很重要的类
型为 application/pkcs7-mime,它用来封装加密和签
名所使用的 CMS对象,以保证 MIME实体的安全性。
消息加密
值得注意的问题是, 在使用 S/MIME对消息进行加而
没有签名时, 此时没有提供消息的完整性验证 。 其传程
中, 密文有可能被更改或替换, 改变其含义 。
消息签名
为消息签名定义了两种格式:一种是使用
application/pkcs7-mime类型的 SignedData,另外一种
是 multipart/signed。 发送消息的时候通常使用后一种,
但接收方在接受消息的时候应当支持全部两种格式 。
加密和签名
用于加密和签名的所有格式都是安全的 MIME实体,
因此加密和签名可以进行嵌套, 这就要求 S/MIME的实现者
必须能够处理任意层次嵌套的消息格式 。
从安全方面考虑, 对于先签名而后加密的消息, 接受
者能够确认原始消息是否被修改过, 但却不能保证加密消
息块不被修改 。
纯证书消息
纯证书消息用于传输证书以及证书撤销列表( CRL)
例如在收到注册请求时发出证书。
具体步骤为,① 用需要传送的证书产生类型为
SignedData的 CMS对象,该对象中不包含涉及消息内容
的部分,而且涉及签名的部分为空;②将此 CMS对象封装
在 application/pkcs7-mime的 MIME实体中,该类型
中 smime-type参数的值为 certs-only,消息文件的扩展名
为,.p7c”。
注册请求
对消息进行签名的发送方代理必须拥有证书
这样接收方代理才能够验证签名。获得证书的方
法有很多,比如通过物理存储介质获得证书或访
问认证中心( CA)以获取证书
MOSS
MOSS(mime object security services,mime对象安全
服务 )在应用层的发送方和接收方之间提供端到端的安全服务,
其中使用非对称加密来提供数字签名和密钥管理服务, 使用
对称加密来提供保密性服务 。
安全服务
? 数字签名
产生 MOSS的数字签名有如下要求:①需要签名的数据;
②发送方的私钥。
验证数字签名时有以下要求:①被封装的实体应该有两
个部分:
被签名的数据和控制信息;②验证方应持有发送方的公
钥。
安全服务 (续 )
? 保密性
对数据进行加密时,在保密性方面有如下要求:①需
要加密的数据;②对数据进行加密的会话密钥;③接
收方的公钥。
在对加密的数据进行解密时的要求有:①解密数据的
接收方;②类型为 multipart/encrypted实体,包含两个
部分:加密的数据和控制信息;③接收方的私钥。
MOSS 消息
MOSS主要提供了签名的消息和加密的消息,
分别使用了 application/moss-signature类型
和 application/moss-keys类型来封装 MIME实体以
保证其安全性。
签名消息
使用 MOSS进行消息签名的步骤如下:①根据 MIME规
范准备要签名的实体;②产生控制信息,包括数字签名和
其他信息;③包含数字签名的控制信息必须封装在
application/moss-signature类型中;④封装后的实体和原始
数据实体必须封装在 multipart/signed类型中
签名消息 ( 续 )
验证数字签名的步骤:①将签了名的数据和包含
数字签名的控制信息从封装的 multipart/signed实体中分
离出来;②使用发送方的公钥对包含在控制信息里的数
字签名进行解密,得到一个摘要值。然后,对签名的数
据进行计算得到一个的摘要值,最后,将两个摘要值进
行比较,验证其数字签名的真实性;③将验证结果和数
据提供给用户。
加密消息
使用 MOSS加密消息的步骤:①根据 MIME规范准备
要签名的实体;②产生控制信息,包括用于加密数据的会
话密钥和其他信息,其中会话密钥使用接收方的公钥进行
加密;③包含加密会话密钥的控制信息必须被封装在
application/mosskey类型中;④用会话密钥加密 MIME实
体并封装在 application/octet-strea类型中,然后再把他和
封装后 application/mosskey实体一起封装在
multipart/encrypted类型中
解密信息
解密信息的步骤如下:①将加密的数据和包含会话密
钥的控制信息从封装的 multipart/signed实体中分离出来,
并解码加密的数据;②使用接收方的私钥对包含在控制信
息里的加密密钥进行解密,得到会话密钥。然后,使用该
会话密钥对加密的数据进行解密,得到原始的 MIME数据;
③将最后的结果提供给用户。
密钥管理
MOSS中提供了两种类型来进行密钥管理:一
种是密钥请求类型 application/mosskey-
request,一种是密钥传送类型
application/mosskey-data。
PGP安全电子邮件系统
? PGP(pretty good privacy) 是一个完整的电子邮件安全
软件包,包括加密,鉴别、电子签名和压缩等技术。
? PGP 并没有使用什么新的概念,它只是将现有的一些算
法如 MD5,RSA,以及 IDEA 等综合在一起而已。
? 虽然 PGP 已被广泛使用,但 PGP 并不是因特网的正式
标准。
PGP 的加密过程
MD5 RSA ? ?ZIP IDEA base64
RSA
A 的
明文 P
P
P1 P1.Z
KM
至因特网
ASCII
文本
B 的 RSA
公开密钥 EB
KM,IDEA 的加密密钥(一次一密)
?:拼接
P 与 H 拼接
H
压缩后的 P1
用密钥 KM 加密后的 P1.Z 与
用密钥 EB 加密后的 KM 拼接
A 的 RSA
秘密密钥 DA
PGP 的报文格式
E
B
的
标
识
符
MD5
散列
函数
KM
EA
的
标
识
符
签
字
首
部
时
间
类
型
报
文
首
部
文
件
名
时
间
报 文
报文部分签字部分
密钥
部分
IDEA 加密,压缩
Base64 编码的 PGP 报文
用 DA 加密用 EB 加密
PEM安全电子邮件系统
PEM 是因特网的邮件加密建议标准,由四个 RFC 文档来描述:
? RFC 1421:报文加密与鉴别过程
? RFC 1422:基于证书的密钥管理
? RFC 1423,PEM 的算法、工作方式和 标识符
? RFC 1424:密钥证书和相关的服务
PEM 的功能和 PGP 的差不多,都是对基于 [RFC 822]的电子
邮件进行加密和鉴别。
PEM 的主要特点
? 每个报文都是使用一次一密的方法进行加密,并且密钥
也是放在报文中一起在网络上传送。
? 对密钥还必须加密。可以使用 RSA 或三重 DES。
? PEM 有比 PGP 更完善的密钥管理机制。由证书管理机
构 (Certificate Authority)发布证书。
9.4 本章知识点小结
1.电子邮件系统简介
( 1)邮件收发机制
电子邮件服务通过“存储 — 转发”的方式为用户传递信息。
邮件传输是从服务器到服务器的
( 2)邮件一般格式
一个电子邮件分为内容和信封两大部分。邮件的内容是由
用户自己填写的,其中内容又分为首部和主体,邮件系统
会从用户所填写的首部信息中自动提取所需信息,写到信
封上构成邮件的另一部分 —— 信封。
9.4 本章知识点小结 ( 续 )
( 3)简单邮件传输协议
SMTP协议是最早出现的,也是被普遍使用的最基本的
因特网邮件服务协议。是始发点到终结点之间单一的、
直接的连接,不使用中间任何邮件服务器。
2,电子邮件系统安全防范
( 1)邮件炸弹防范
要防范邮件炸弹也就是要防止接收超容量的邮件,防止
接收来自不明地址或者特殊地址的邮件。
9.4 本章知识点小结 ( 续 )
( 2)邮件欺骗防范
邮件欺骗并不是利用计算机技术上的漏洞进行攻击的。
要防范此类的欺骗情况功,用户所能做到的就是提高
警惕,增强防范意识。
( 3)匿名转发防范
对于匿名转发的防范,用户只需提高邮件接收系统的
安全性,对来历不明,不认识的邮件地址发来的邮件
不进行接收即可。
9.4 本章知识点小结 ( 续 )
( 4)邮件病毒防范
电子邮件是传播病毒最直接的一条途径,要防止邮件
病毒就必须拒绝有毒邮件的进入。
( 5)垃圾邮件防范
要防范垃圾邮件首先保护好邮箱地址,尽量避免使用
邮箱的“自动回复”功能,不要回复来历不明的邮件,不
要订阅一些不太了解的网站邮件列表,最好使用专业
的工具防止垃圾邮件的接收。
9.4 本章知识点小结 ( 续 )
3.安全电子邮件系统
( 1)安全邮件系统模型
安全的电子邮件系统模型应该包括客户端电子邮件收
发系统安全和电子邮件服务器安全。
( 2)安全邮件协议
安全电子邮件的发送要经过两个过程,邮件加密和邮
件签名。
( 3)常用安全邮件系统
PGP和 PEM是其中两个最常用最著名的安全邮件系统。
电子邮件系统安全
第九章 电子邮件安全系统
9.1 电子邮件系统简介
9.1.1 邮件收发机制
9.1.2 邮件一般格式
9.1.3 简单邮件传输协议
9.2 电子邮件系统安全防范
9,2.1 邮件炸弹防范
9.2.2 邮件欺骗防范
9.2.3 匿名转发防范
第九章 电子邮件安全系统 (续 )
9.2.4 邮件病毒防范
9.2.5 垃圾邮件防范
9.3 安全电子邮件系统
9.3.1 安全邮件系统模型
9.3.2 安全邮件协议
9.3.3 常用安全邮件系统
9.1.1 邮件收发机制
? 邮件系统主要构件, 用户代理、邮件服务器、电子邮件协议
? 邮件服务方式, 存储 ——转发
? 用户代理 UA, 负责与用户进行数据交换来发送和读取邮
件。如,Outlook,Foxmail
? 邮件服务器, 在因特网上充当“邮局”角色。
? 电子邮件协议, 如 SMTP 简单邮件传送协议
POP3和 IMAP 邮件读取协议
终端上的
用户
用户代理
UA
要发送的
邮件队列
报文传送
代理 MTA 客户
TCP连接
报文传送
代理 MTA用户邮箱
用户代理
UA
终端上的
用户 服务器
发送方
接收方
报文传送代理 MTA:完成邮件交换工作,根据电子邮件的目标
地址找到对应的目标服务器,将信件在服务器之间传输,用户不和
MTA打交道。
邮件收发工作模式
发送方
邮件缓存 接收端
邮件服务器
用户代理
发送端
邮件服务器
用户代理
接收方
用
户
代
理
用
户
代
理
邮件
服务器
邮件
服务器
(发送邮件 )
SMTP
SMTP
(发送邮件 )
(TCP 连接 )
(1) 发信人调用用户代理来编辑要发送的邮件。
用户代理用 SMTP 把邮件传送给发送端邮件服务器。
电子邮件的发送和接收过程
Internet
发送方
接收端
邮件服务器
用户代理
SMTP
发送端
邮件服务器
邮件缓存
用户代理
接收方
用
户
代
理
用
户
代
理
邮件
服务器
邮件
服务器
SMTP
(发送邮件 )
(发送邮件 )
(TCP 连接 )
因特网
(2) 发送端邮件服务器将邮件放入邮件缓存队列中,等待发送 。
电子邮件的发送和接收过程
Internet
发送方
邮件缓存 接收端
邮件服务器
用户代理
SMTP
发送端
邮件服务器
用户代理
接收方
用
户
代
理
用
户
代
理
邮件
服务器
SMTP
(发送邮件 )
(发送邮件 )
(TCP 连接 )
邮件
服务器
SMTP
SMTP
(发送邮件)
(发送邮件 )
(TCP 连接 )
因特网
(3) 运行在发送端邮件服务器的 SMTP 客户进程,发现在邮件缓存中有待发送
的邮件,就向运行在接收端邮件服务器的 SMTP 服务器进程发起 TCP 连接的
建立。
电子邮件的发送和接收过程
Internet
发送方
邮件缓存 接收端
邮件服务器
用户代理
SMTP
发送端
邮件服务器
用户代理
用户邮箱 接收方
用
户
代
理
用
户
代
理
邮件
服务器
邮件
服务器
SMTP
(发送邮件 )
(发送邮件 )
(TCP 连接 )
SMTP
SMTP
(发送邮件)
(发送邮件 )
(TCP 连接 )
因特网
(4) TCP 连接建立后,SMTP 客户进程开始向远程的 SMTP 服务器进程发送邮件。
当所有的待发送邮件发完了,SMTP 就关闭所建立的 TCP 连接。
电子邮件的发送和接收过程
Internet
发送方
邮件缓存 接收端
邮件服务器
用户代理
SMTP
发送端
邮件服务器
用户代理
用户邮箱 接收方
用
户
代
理
用
户
代
理
邮件
服务器
邮件
服务器
SMTP
(发送邮件 )
(发送邮件 )
(TCP 连接 )
SMTP
SMTP
(发送邮件)
(发送邮件 )
(TCP 连接 )
因特网
(5) 运行在接收端邮件服务器中的 SMTP 服务器进程收到邮件后,将邮件放
入收信人的用户邮箱中,等待收信人在方便时进行读取。
电子邮件的发送和接收过程
Internet
发送方
邮件缓存 接收端
邮件服务器
用户代理
SMTP
发送端
邮件服务器
用户代理
用户邮箱 接收方
用
户
代
理
用
户
代
理
邮件
服务器
邮件
服务器
SMTP
(发送邮件 )
(发送邮件 )
(TCP 连接 )
SMTP
SMTP
(发送邮件)
(发送邮件 )
(TCP 连接 )
POP3
POP3
(读取邮件 )
(读取邮件 )
(TCP 连接 )
因特网
(6) 收信人在打算收信时,调用用户代理,使用 POP3(或 IMAP)协议将自己的
邮件从接收端邮件服务器的用户邮箱中的取回(如果邮箱中有来信的话)。
电子邮件的发送和接收过程
Internet
9.1.2 邮件一般格式
一封电子邮件
信封
内容
首部 header
主体 body
信封:邮件自动提取所需信息写在信封上,用户无需填写。
首部:因特网文报本格式过规定了首部格式,包含一些关键字。
主体:用户自由撰写。
邮件首部关键字
To,后面填写的是一个或多个收信人的电子邮件地址
Subject,是邮件的主题
From,发信人的电子邮件地址
Date,发信日期
Reply-to,对方回信所用地址,可与发信时所用地址不同
Cc, 抄送,指再给某人发送一个邮件副本,收件人在收到的
邮件中是可以知道的。
Bcc,暗送,这是使发信人能将邮件的副本送给某人,但此事
收件人是无法得知的。
9.1.3 简单邮件传送协议
一些主要的电子邮件系统的协议和标准:
SMTP (simple mail transfer protocol),简单邮件传送协议
POP3 (post office protocol-version 3),邮局协议 -版本 3
IMAP4 (internet message access protocol-version4):
因特网消息访问协议
RFC822 (standard for the format of APPR):因特网 text message
MIME (multipurpose internet mail extensions):
多用途因特网邮件扩展协议
HTTP (hypertext transfer protocol),超文本传输协议
HTML(hypertext markup language),超文本标志语言
SMTP 的命令特点
每条命令用 4个字母组成,共 14条命令
如,HELO —— 客户标志自己
(例如,HELO smtp.163.com)
MAIL —— 标志报文的发送者
(例如,MAIL FROM:<LX@163.COM>)
RCPT ——标志报文的接受者
(例如,RCPT TO:<qindk@126.com>)
DATA —— 邮件报文内容通过该命令发送,末尾一行只有
一个句点。
QUIT —— 结束此次会话
每个命令返回一个应答,由 3个数字代码开始,后面接着字符串
如,220 Welcome to coremail System…… ——服务就绪
221 Closing connection.Good bye.——服务关闭传输通道
SMTP 的命令特点 ( 续 )
信封:报文传送代理 MTA用来交付的信息,如:
MAIL FROM,< lx@163.com>
RCPT TO,< qindk@126.com>
信头:由用户代理 UA使用的首部字段。每个首部字段都包
含一个名称,紧跟一个冒号,接着是字段值。
信体:用户自由编撰所要传送的报文和数据。
SMTP 规定的邮件组成
SMTP通信的主要的命令和响应信息
(1) 建立连接
( 2)邮件传送
( 3)连接释放
建立连接
SMTP 客户 SMTP 服务器
? 发现有邮件,就使用 SMTP的熟知端口
号码( 25)与目的主机的 SMTP服务器建
立 TCP连接。
? 在连接建立后,SMTP服务器要发出
,220 Service ready(服务就绪 )”。
? 然后 SMTP客户向 SMTP服务器发送
HELO命令,附上发送方的主机名。
? SMTP服务器若回答:,250 OK”,则
表示有能力接收邮件,并已准备好接收。
若 SMTP服务器不可用,则回答:,421
Service not available(服务不可用 )”,表示
不能接收邮件。
邮件传送
? 邮件传送从 MAIL命令开始。 MAIL命令后面有发信人的地
址。如,MAIL FROM:< lx@public1.ptt.js.cn>。
? 若 SMTP服务器已准备好接收邮件,则回答,250 OK”。否
则,返回一个代码,指出原因。如,451(处理时出错),
452(存储空间不够),500(命令无法识别)等。
? 下面跟着一个或多个 RCPT命令,取决于将同一个邮件发送给
一个或多个收信人。其格式为 RCPT TO,<收信人地址>
?, 250 OK”,表示指明的邮箱在接收端的系统中。或,550
No
such user here(无此用户 )”,即不存在此邮箱。
邮件传送 ( 续 )
? 再下面就是 DATA命令,表示要开始传送邮件的内容了。
? SMTP服务器返回的信息是:,354 Start mail input ;end
with
< CRLF>, < CRLF>”。这里< CRLF>是“回车换行”的
意思。
若不能接受邮件,则返回 421(服务器不可用),500(命令无
法识别)等等。接着 SMTP客户就发送邮件的内容。
? 发送完毕后,再发送< CRLF>, < CRLF>(两个回车换行中
间用一个点隔开)表示邮件内容结束。实际上在服务器端看到
的可打印的字符只是一个英文的句点。
? 若邮件收到了,则 SMTP服务器返回信息,250 OK”,或返回
差
邮件传送 ( 续 )
SMTP 客户 SMTP 服务器 SMTP 客户 SMTP 服务器
连接释放
SMTP 客户 SMTP 服务器
? 邮件发送完毕后,SMTP客户应
发送 QUIT命令 。
? SMTP服务器返回的信息是
,221(服务关闭 )”,表示 SMTP同意
释放 TCP连接。邮件传送的全部程
即结束 。
9.2.1 邮件炸弹防范
? 邮件炸弹实质:就是邮件发送者利用伪造的 IP地址和特殊
的电子邮件软件,在很短的时间内将大量地址不详、容量
庞大的恶意邮件连续不断地邮寄给同一个收信人,以至造
成邮箱超负荷而崩溃。
? 邮件炸弹的危害:邮箱崩溃,消耗网络资源,网络拥塞,
严重时导致整个网络系统全部瘫痪。
KaBoom 是一种能够自动产生电子邮件炸弹的典型软件程
序。上面有三个按钮, Mailbomber,Mailing Lists,Close
实现 3种功能。
?MailBomber (发送邮件炸弹 )
?Mailing Lists (为别人订阅邮件 )
?Close (退出 )
邮件炸弹举例 KaBoom
Mailbomber 各实现功能
To,为收件人的地址
From,发件人地址,一般为匿名或冒充别人的名字
Server,选择要由哪一个匿名邮件服务器发信
Subject,信件标题
Message Body,信件内容
Number of Messages,要寄几封出去 (重覆的次数 )
Mail Perpetually,一直寄,直到按 Stop钮为止 ……
CC,同时还要攻击的地址
Send,开始发送 Open,将档案插入信件中
Finger,探测被攻击目标的活动情况
Mailbomber 各实现功能 ( 续 )
Mailing Lists各实现功能
? Address,邮件组收件人
? Name:订阅人名称
? Server,指定邮件服务器
? Send your condolences:你的问候语
? Subscribe,确定要订当前的邮件组
? 不要“惹事生非”,不要将自己的邮箱地址到处传播
? 向 ISP求援请求他们采取办法帮你清除 E-mail Bomb。
? 设置邮件过滤,用邮件程序的 Email- notify功能来过滤信件
? 拒收某个用户的信件,这种方法可使在收到某个特定用户的信
? 件后,自动把信退回,相当于查无此人。
? 使用, 自动转信, 功能,在一定程度上解决特大容量邮件的攻击,可以将垃
圾
邮件转移到自己其他免费的信箱中,避免此邮箱受到攻击。
? 谨慎使用, 自动回信, 功能
? 使用专用防范工具,如 PoP-It来清除这些垃圾信息。
邮件炸弹的防范和清除
9.2.2 邮件欺骗防范
电子邮件欺骗 常见的情况是攻击者佯称自己是系统管理员,给用
户发送邮件要求用户修改口令 ( 口令很可能是指定的字符串 ) 或
在附件中加载病毒或其他木马程序,
分类 佯称自己是系统管理员进行欺骗。一旦收到此类邮
件,
应发邮件询问或采用某一种验证方式来进行验证 。
佯称自己是某一授权人进行欺骗
邮件欺骗防范 (续 )
邮件欺骗并不是利用计算机技术上的漏洞攻击,要想绝
以后的类似仿冒信件,保证邮件的绝对安全,几乎是不可能
的。要防范此类的欺骗情况,用户所能做到的就是提高警惕,
增强防范意识,遇到此类危险邮件时一定要先证实其真实性,
再考虑需不需要对其做出回答。必要时还可以与邮箱所在网
络的运行商联系。并且对于重要信息的透漏,一定要三思而
后行,以免不必要的损失。
9.2.3 匿名转发防范
? 匿名邮件 ——隐藏自己的真实地址而使用另一名称发邮件 给收件人。
但通过信息表头中的其它信息,仍能够跟踪发送者。
? 匿名转发 —— 将要发送的信件先发送给其他人,再让其他 人来发送
这个邮件给收件人,那么邮件中的发信地址就变成了转发者的地址了,
而让发件人的地址完全不出现在邮件中 。
? 防范措施 ——如果收到不健康的匿名转发的信件常用的是一个地址,
如,8888@8888.8888,则可以利用防止垃圾邮件的相关办法来防范匿
名邮件。
9.2.4 邮件病毒防范
? 邮件病毒的危害,轻则影响工作,重则将磁盘中存储
的无法以价格来衡量的数据和程序全部破坏掉。甚至是
用于实施控制的计算机瘫痪,造成无法估计的损失。
? 邮件病毒的防范:
? 不要打开或运行来历不明的邮件或附件
? 选择具有, 远程邮箱管理, 的 E-mail客户端软
件,
远程邮箱管理,是在你收取邮件之前,直接对服
务器的邮件进行操作。
邮件病毒防范 ( 续 )
? 选择并安装一种自己熟悉的杀毒软件,保持最新的
病毒库
? 系统管理员定期对网络内的电子邮件系统、共享存
储区域、用户分区进行病毒扫描,发现异常情况应
及时处理,不使其扩散。
? 警惕特殊扩展名的邮件附件,如:,,PIF”,,.LNK”、
?,,BAT”,,.EXE”或,,COM”,以及双扩展名
例如, ABC.doc.pif”,
尼姆达病毒的病毒文件
? 尼姆达病毒 ——“尼姆达, 又称概念病毒 。 它是一种会通过 E-mail电子
邮件进行传播的恶意蠕虫病毒 。
? 尼姆达病毒的病毒文件
? 蠕虫文件, mmc.exe”:出现在 Windows文件 夹,
蠕虫扫描和创建 tftpd 的进程就是它 。
? riched20.dll:它除了出现在 Windows系统文件中, 还可能出现在任
何有 *.doc文件的文件夹里
? TFTP﹡﹡﹡﹡,形如 TFTP3233。 文件位置取决于 tftp的目录。
? Admin.dll,Admin.dll 除了存在于 C,D,E的 根目录外,还可能出现
在, TFTP﹡﹡﹡﹡,出现的地方。
尼姆达病毒的病毒文件 ( 续 )
? Load.exe,该病毒会在 Windows的 system目录中生成 Load.exe文件,
同时修改 system.ini中的 shell,把 shell=explorer.exe改为
explorer.exe load.exe-dontrunold,从而使病毒在下次系统启动时还能
被激活。
? readme.eml,这是尼姆达病毒的核心。尼姆达利用了 IE5(或者说 oE5)
的一个漏洞。把可执行文件指定为多媒体文件类型,会自动下载打开 。
? readme.nws:同 readme.eml,只是出现的几率很小。
? readme﹡,exe,中的附件程序。
尼姆达病毒的病毒文件 ( 续 )
? ﹡,tmp.exe,病毒复制到临时目录下的副本,会在系统下次启动时
将他们删除。
? readme.eml,这是尼姆达病毒的核心。尼姆达利用了 IE5( 或者
说 OE5)的一个漏洞。把可执行文件指定为多媒体文件类型,会自动
下载打开。
? readme.nws:同 readme.eml,只是出现的几率很小。
? readme﹡,exe,中的附件程序。
? ﹡,tmp.exe,病毒复制到临时目录下的副本,会在系统下次启动时
将他们删除。
?
尼姆达的手工清除
? 断开网络连接, 最好的方法就是拔下网线 。
? 打开进程管理器, 查看进程列表 。 结束其中进程名称为
﹡,tmp.exe,MMC.EXE,tftp.exe 以及 Load.exe 的进程 ( 其中
﹡ 为任意文件名 ) 。
? 切换到系统的 TEMP目录, 寻找文件长度为 57344的文件, 删掉它们 。
? 切换到系统的 System目录, 寻找名称为 Riched20.dll的文件;
Concept病毒的副本大小为 57344字节, 如果有长度为 57344字节的
Riched20.dll,删掉它 。
尼姆达的手工清除 ( 续 )
? 继续在系统的 System目录下寻找名称为 load.exe,长度为 57344字
节的文件, 删掉它 。
? 在 C:\,D:\,E:\三个逻辑盘的根目录下寻找 Admin.dll文件, 如果存在,
删掉它 。
? 打开 System.ini文件, 在 [load]中如果有一行
shell=explorer.exe load.exe-dontrunold,则改为
shell=explorer.exe。
? 如果是 WinNT或者 Win2000以及 WinXP系统, 则打开, 控制面板 ----用户和
密码,, 将 Administrator组中的 guest账号删除 。
尼姆达的手工清除 ( 续 )
? 打开共享文件夹管理,将共享 C﹩ 去除,该共享为本地 C:\的完全共享。
? 搜索整个机器,查找文件名为 ﹡,eml、长度为 79225字节的文件。如果文
件内容中包含如下语句,删掉该文件。
<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff><br>
<iframe scr=3Dcid:EA4DMGBP9p height=3D0
width=3D0><br>
</iframe></BODY></HTML>
以及 Content-Type:audio/x-wav;
name=“readme.exe”
Content-Transfer-Encoding:base64
尼姆达的手工清除 ( 续 )
? 搜索整个机器,查找所有的超文本语言类文件(如 html,
htm,htt,asp,shtml和 shtm等),若发现其中包含
以下字符串,则删除该段字符串。
? 由于在某些情况下该蠕虫还会采用类似捆绑的方式感染
一些,exe文件,对于这些文件,借助杀毒软件杀毒。
9.2.5 垃圾邮件防范
垃圾邮件指与内容无关,而且收件人并没有明确要求接受
该邮件的、发送给多个收件人的信件或张贴物。
垃
圾
邮
件
良性垃圾邮件:指各种宣传广告等对收件
人影响不大的信息邮件;
恶性垃圾邮件:指邮件炸弹或附带有病毒的具
有破坏性的电子邮件。
垃圾邮件的危害
? 垃圾邮件严重影响用户的工作与生活。
? 严重影响网络的正常运行。
? 垃圾邮件携带病毒感染网络。
垃圾邮件的防范和清除
? 保护好邮箱地址
? 尽量避免使用邮箱的, 自动回复, 功能
? 不要回复来历不明的邮件
? 不要订阅一些不了解的网站邮件列表
? 邮箱地址, 变脸,
为了对付网上大量的 E-mail地址, 自动收集机,,我们可
以把邮箱地址, 乔装改扮, 一番再填写。
垃圾邮件的防范和清除 ( 续 )
? 完善邮箱账号
垃圾邮件发送者常使用, 字典档案, 这样的工具, 因此
在
申请邮箱账号的时候, 可以使用英文字母和数字相混合
的方法, 从而躲避大量的广告垃圾邮件 。
? 使用专业的工具
可以使用杀毒软件的邮件监控功能过滤掉含有病毒
的垃圾邮件, 使用专业的垃圾邮件清除软件来清理
一些有商业目的的垃圾邮件 。
9.3 安全电子邮件系统
电子邮件系统安全性取决于 邮件传输网络 的安全, 邮件服务
器 的安全以及 客户端邮件收发系统 的安全。
因特网
电子邮
件系统
电子邮件服务器系统
客户端电子邮件收发系统(如
Foxmail,Outlook等)。
客户端电子邮件收发系统安全
? 加密传输,在邮件上网传输之前,其内容及附件就应
该是密文了
? 身份验证,防止冒用的电子邮件地址发送电子邮件,
伪造身份从事网上活动,或者抵赖曾经发
过的邮件
? 签名和验证:让用户能够判断信件的真实来源与去处
邮件服务器安全
? 运行能力, 跨平台能力、事务处理能力、负荷均衡能力。
? 通信能力:连接支持能力、接入控制能力、带宽管理能力。
? 多服务器支持能力:一是在物理上支持多个服务器协 同
工作,二是在逻辑上支持多个虚拟服务器,也称为多域邮
件服务器。
? 软件支持能力:主要与服务器所使用的服务协议有关
? 系统管理能力:包括日志与审计能力和实时监控与性能调
整能力。
电子邮件系统对服务器的安全的要求
? 身份认证能力
? 合法地址设定能力
? 反垃圾和邮件过滤能力
? 穿越内部保护的能力
? 系统备份与灾难恢复能力
? 查杀病毒的能力
? 抵制 DoS(拒绝服务)攻击的能力
? 信息加密能力
9.3.2 安全邮件协议
安全邮件协议的作用:提供邮件的机密性,完整性以及
不可抵赖性等,使电子邮件的安全性得到了充分的保障,从而
使在因特网上通过电子邮件传送敏感、重要的信息成为可能。
PEM (privacy enhancement for internet electronic mail)
PGP (MIME security with pretty good rivacy)
S/MIME (secure MIME)
MOSS(MIME object security ervices)
PEM
保密增强邮件 PEM(privacy enhancement for
internet electronic mail),是一个只能够保密文本
信息的非常简单的信息格式。 PEM标准确定了一个简
单而又严格的全球认证分级。无论是公共的还是私人
的,商业的还是其他的,所有的认证中心( CA)都是
这个分级中的一部分。
PEM 使用的算法
DES、三重 DES算法加密报文消息
RSA算法加密会话密钥
RSA算法加密消息摘要,形成数字签名
MD2,MD5算法产生消息摘要
算法功能
PGP
PGP(pretty good privacy)所采用的算法经
过检验和审查后被证实为是非常安全的由于适用
范围广泛,它在机密性和身份验证服务上得到了
大量的应用。
安全服务
? 数字签名 PGP提供的数字签名服务包括哈希编码或
消息摘要的使用,签名算法以及公钥加密算法。它提
供了对发送方的身份验证。
? 保密性 PGP通过使用常规的加密算法,对将要传送
的消 息或在本地存储的文件进行加密,在 PGP中每个
常规密钥只使用一次,会话密钥和消息绑定在一起进
行传送,为了保护会话密钥,还要用接收方的公钥对
其进行加密。
安全服务 ( 续 )
? 压缩 在默认情况下, PGP在数字签名服务和保密性服务之
间提供压缩服务, 首先对消息进行签名, 然后进行压缩,
最后再对压缩消息加密 。
? 基数 64转换 为了达到签名, 加密及压缩的目的, PGP
使用了称为基数 64转换的方案 。 在该方案中, 每 3个二进
制数据组被映射为 4个 ASCII字符, 同时也使用了循环冗
余校验来检测传送中的错误, 基数 64转换作为对二进制
PGP消息的包装, 用于在一些非二进制通道 。
MIME 安全性
它具有良好的安全性和适用性,使得它能够使用符合
MIME规范的安全内容类型来提供保密性和身份验证服务。
S/MIME
S/MIME (secure/multipurpose internet
mail extension,安全 /多用途因特网邮件扩展 )提供
了与 MIME规模相一致的发送和接收安全数据的方法。
包括身份验证、信息完整性和不可抵赖性以及数据的
保密性。
安全服务
? 数字签名
当产生消息摘要时, 发送方代理和接收方代理都必须支持
SHA-1算法 。 为了兼容以前版本的 S/MIME,接收方代理还
应当支持 MD5算法 。 当产生数字签名时, 发送方代理和接
收方代理都必须支持 DSS算法, 并且该算法必须不带任何
参数 。 同样, 为了兼容以前版本的 S/MIME,接收方代理
和发送方代理都应当支持 RSA解密, 能够使用用户私钥对
所发送的信息进行签名 。
安全服务 ( 续 )
? 保密性
S/MIME使用了 CMS中定义的 EnvelopeData,内容类型
来对消息提供加密保护。使用保密性服务时,对于每一
个可能的信息接收者,发送者都要能够获取其公钥。在
这个内容类型中,并没有提供身份验证机制。
S/MIME 消息
是由 MIME实体和 CMS对象组合而成,其中使
用了一些 MIME类型和 CMS对象。一个很重要的类
型为 application/pkcs7-mime,它用来封装加密和签
名所使用的 CMS对象,以保证 MIME实体的安全性。
消息加密
值得注意的问题是, 在使用 S/MIME对消息进行加而
没有签名时, 此时没有提供消息的完整性验证 。 其传程
中, 密文有可能被更改或替换, 改变其含义 。
消息签名
为消息签名定义了两种格式:一种是使用
application/pkcs7-mime类型的 SignedData,另外一种
是 multipart/signed。 发送消息的时候通常使用后一种,
但接收方在接受消息的时候应当支持全部两种格式 。
加密和签名
用于加密和签名的所有格式都是安全的 MIME实体,
因此加密和签名可以进行嵌套, 这就要求 S/MIME的实现者
必须能够处理任意层次嵌套的消息格式 。
从安全方面考虑, 对于先签名而后加密的消息, 接受
者能够确认原始消息是否被修改过, 但却不能保证加密消
息块不被修改 。
纯证书消息
纯证书消息用于传输证书以及证书撤销列表( CRL)
例如在收到注册请求时发出证书。
具体步骤为,① 用需要传送的证书产生类型为
SignedData的 CMS对象,该对象中不包含涉及消息内容
的部分,而且涉及签名的部分为空;②将此 CMS对象封装
在 application/pkcs7-mime的 MIME实体中,该类型
中 smime-type参数的值为 certs-only,消息文件的扩展名
为,.p7c”。
注册请求
对消息进行签名的发送方代理必须拥有证书
这样接收方代理才能够验证签名。获得证书的方
法有很多,比如通过物理存储介质获得证书或访
问认证中心( CA)以获取证书
MOSS
MOSS(mime object security services,mime对象安全
服务 )在应用层的发送方和接收方之间提供端到端的安全服务,
其中使用非对称加密来提供数字签名和密钥管理服务, 使用
对称加密来提供保密性服务 。
安全服务
? 数字签名
产生 MOSS的数字签名有如下要求:①需要签名的数据;
②发送方的私钥。
验证数字签名时有以下要求:①被封装的实体应该有两
个部分:
被签名的数据和控制信息;②验证方应持有发送方的公
钥。
安全服务 (续 )
? 保密性
对数据进行加密时,在保密性方面有如下要求:①需
要加密的数据;②对数据进行加密的会话密钥;③接
收方的公钥。
在对加密的数据进行解密时的要求有:①解密数据的
接收方;②类型为 multipart/encrypted实体,包含两个
部分:加密的数据和控制信息;③接收方的私钥。
MOSS 消息
MOSS主要提供了签名的消息和加密的消息,
分别使用了 application/moss-signature类型
和 application/moss-keys类型来封装 MIME实体以
保证其安全性。
签名消息
使用 MOSS进行消息签名的步骤如下:①根据 MIME规
范准备要签名的实体;②产生控制信息,包括数字签名和
其他信息;③包含数字签名的控制信息必须封装在
application/moss-signature类型中;④封装后的实体和原始
数据实体必须封装在 multipart/signed类型中
签名消息 ( 续 )
验证数字签名的步骤:①将签了名的数据和包含
数字签名的控制信息从封装的 multipart/signed实体中分
离出来;②使用发送方的公钥对包含在控制信息里的数
字签名进行解密,得到一个摘要值。然后,对签名的数
据进行计算得到一个的摘要值,最后,将两个摘要值进
行比较,验证其数字签名的真实性;③将验证结果和数
据提供给用户。
加密消息
使用 MOSS加密消息的步骤:①根据 MIME规范准备
要签名的实体;②产生控制信息,包括用于加密数据的会
话密钥和其他信息,其中会话密钥使用接收方的公钥进行
加密;③包含加密会话密钥的控制信息必须被封装在
application/mosskey类型中;④用会话密钥加密 MIME实
体并封装在 application/octet-strea类型中,然后再把他和
封装后 application/mosskey实体一起封装在
multipart/encrypted类型中
解密信息
解密信息的步骤如下:①将加密的数据和包含会话密
钥的控制信息从封装的 multipart/signed实体中分离出来,
并解码加密的数据;②使用接收方的私钥对包含在控制信
息里的加密密钥进行解密,得到会话密钥。然后,使用该
会话密钥对加密的数据进行解密,得到原始的 MIME数据;
③将最后的结果提供给用户。
密钥管理
MOSS中提供了两种类型来进行密钥管理:一
种是密钥请求类型 application/mosskey-
request,一种是密钥传送类型
application/mosskey-data。
PGP安全电子邮件系统
? PGP(pretty good privacy) 是一个完整的电子邮件安全
软件包,包括加密,鉴别、电子签名和压缩等技术。
? PGP 并没有使用什么新的概念,它只是将现有的一些算
法如 MD5,RSA,以及 IDEA 等综合在一起而已。
? 虽然 PGP 已被广泛使用,但 PGP 并不是因特网的正式
标准。
PGP 的加密过程
MD5 RSA ? ?ZIP IDEA base64
RSA
A 的
明文 P
P
P1 P1.Z
KM
至因特网
ASCII
文本
B 的 RSA
公开密钥 EB
KM,IDEA 的加密密钥(一次一密)
?:拼接
P 与 H 拼接
H
压缩后的 P1
用密钥 KM 加密后的 P1.Z 与
用密钥 EB 加密后的 KM 拼接
A 的 RSA
秘密密钥 DA
PGP 的报文格式
E
B
的
标
识
符
MD5
散列
函数
KM
EA
的
标
识
符
签
字
首
部
时
间
类
型
报
文
首
部
文
件
名
时
间
报 文
报文部分签字部分
密钥
部分
IDEA 加密,压缩
Base64 编码的 PGP 报文
用 DA 加密用 EB 加密
PEM安全电子邮件系统
PEM 是因特网的邮件加密建议标准,由四个 RFC 文档来描述:
? RFC 1421:报文加密与鉴别过程
? RFC 1422:基于证书的密钥管理
? RFC 1423,PEM 的算法、工作方式和 标识符
? RFC 1424:密钥证书和相关的服务
PEM 的功能和 PGP 的差不多,都是对基于 [RFC 822]的电子
邮件进行加密和鉴别。
PEM 的主要特点
? 每个报文都是使用一次一密的方法进行加密,并且密钥
也是放在报文中一起在网络上传送。
? 对密钥还必须加密。可以使用 RSA 或三重 DES。
? PEM 有比 PGP 更完善的密钥管理机制。由证书管理机
构 (Certificate Authority)发布证书。
9.4 本章知识点小结
1.电子邮件系统简介
( 1)邮件收发机制
电子邮件服务通过“存储 — 转发”的方式为用户传递信息。
邮件传输是从服务器到服务器的
( 2)邮件一般格式
一个电子邮件分为内容和信封两大部分。邮件的内容是由
用户自己填写的,其中内容又分为首部和主体,邮件系统
会从用户所填写的首部信息中自动提取所需信息,写到信
封上构成邮件的另一部分 —— 信封。
9.4 本章知识点小结 ( 续 )
( 3)简单邮件传输协议
SMTP协议是最早出现的,也是被普遍使用的最基本的
因特网邮件服务协议。是始发点到终结点之间单一的、
直接的连接,不使用中间任何邮件服务器。
2,电子邮件系统安全防范
( 1)邮件炸弹防范
要防范邮件炸弹也就是要防止接收超容量的邮件,防止
接收来自不明地址或者特殊地址的邮件。
9.4 本章知识点小结 ( 续 )
( 2)邮件欺骗防范
邮件欺骗并不是利用计算机技术上的漏洞进行攻击的。
要防范此类的欺骗情况功,用户所能做到的就是提高
警惕,增强防范意识。
( 3)匿名转发防范
对于匿名转发的防范,用户只需提高邮件接收系统的
安全性,对来历不明,不认识的邮件地址发来的邮件
不进行接收即可。
9.4 本章知识点小结 ( 续 )
( 4)邮件病毒防范
电子邮件是传播病毒最直接的一条途径,要防止邮件
病毒就必须拒绝有毒邮件的进入。
( 5)垃圾邮件防范
要防范垃圾邮件首先保护好邮箱地址,尽量避免使用
邮箱的“自动回复”功能,不要回复来历不明的邮件,不
要订阅一些不太了解的网站邮件列表,最好使用专业
的工具防止垃圾邮件的接收。
9.4 本章知识点小结 ( 续 )
3.安全电子邮件系统
( 1)安全邮件系统模型
安全的电子邮件系统模型应该包括客户端电子邮件收
发系统安全和电子邮件服务器安全。
( 2)安全邮件协议
安全电子邮件的发送要经过两个过程,邮件加密和邮
件签名。
( 3)常用安全邮件系统
PGP和 PEM是其中两个最常用最著名的安全邮件系统。