Foxmail安全电子邮件.docVIP

Foxmail安全电子邮件 白 皮 书 博大国际互联网有限公司 索引： 第1章????? 为什么需要安全电子邮件？... 2 1.1 电子邮件的安全问题... 2 1.2 安全电子邮件的作用... 4 第2章???? 实现电子邮件安全的核心技术... 6 第3章???? 应用实例... 9 3.1 数字证书的申请... 9 3.2 使用Foxmail发送安全电子邮件... 11 3.3 在Foxmail Server的Web页面中应用安全电子邮件... 15 ????? 为什么需要安全电子邮件？ 1.1 电子邮件的安全问题 在沟通过程中，对交流的对象必须有某种程度的识别——你必须清楚你是在和老板还是和同学在说话。传统的沟通方式在这一点上来说应该是安全的——通过面对面的交谈，我们可以了解人的面貌体态，通过在文件中的笔迹，也可以了解是谁的手笔，每个人都有着自己不同的特征，可以被别人识别。沟通中的安全很重要，我们知道签名很难伪造，而且也有法律规定伪造签名是违法的——实际上很多法律条款就是为了保证交流过程的安全，避免出现冒名顶替或者偷梁换柱的情况。 ?????? 在互联网上，交流方式有着和传统方式的显著区别。例如，在互联网上交流的个体之间并没有实际的接触，很难去判别一个人的实际身份，听不到对方在说话、看不到对方的动作。这些障碍实际上也为网上交易和商务活动带来了很大的难度。实际上，在网上很多商务欺诈所牵涉的金额很大，但诈骗的过程却很隐蔽，如何界定各种行为的合法性、如何保证网上交流的安全，法律上一直没有完善的规定。 人们可能以为自己在网络上是很隐秘的，自己的数据是安全的，自己的E-mail只会给收到的人所阅读——但是所有的这些会被“隐私”网站简单的一个点击所击碎。 顷刻之间，你会看到你的IP地址、电脑主机名称和你从哪个页面访问的信息。如果你兴趣，另外的几个点击将会分析其他的信息。这个页面暴露了你的电脑配置，浏览器类型和操作系统，是否允许JavaScript，插件是否安装，甚至你的显示器的具体设置。 既然一个小小的页面就可以看到这么多的信息，那么对于一个黑客来说读取你的E-mail是否是一件难事呢？ 大多数人们不知道，Email信息也仅仅是一些文件，电子邮件在Internet上传输，从一个机器传输到另一个机器。在这种方式下，在电子邮件所经过网路上的任一系统管理员或黑客都有可能截获和更改该邮件，甚至伪造某人的电子邮件。一个中上水平的黑客可以轻易截取发送数月甚至数年的E-mail。但事实上，多数人以为E-mail是很安全的。 “这是一个非常错误的概念。”一个E-mail安全公司Certified Mail的创始人Mahesh Muchhall说。“E-mail就像是一张明信片，人们可以阅读、拷贝、储存，更坏的是可以截取它并可以不花一分钱的转送到数千人手中。那是人们没有注意到的。” 与传统邮政系统相比，电子邮件与密封邮寄的信件并不相像，而与明信片更为相似。因此电子邮件本身的安全性是以邮件经过的网络系统的安全性和管理人员的诚实、对信息的漠不关心为基础的。 主要的问题涉及到3个广泛的主题：假冒、窃听和系统完整性，它们之间是相互关联的。 ? 假冒 普通的电子邮件缺乏安全认证，所以冒充别人发送邮件并不是难事。曾几何时，假借腾讯公司发送中奖信息的电子邮件就不知道害了多少人。 因为核心SMTP不提供任何验证，所以很容易伪造电子邮件，只要给SMTP服务器提供合适的信封信息，并使用想要的数据产生有关的信件即可。 可用的最简单验证机制涉及使用一个身份字符串或帐号名和密码。为了验证，用户给服务器提供它的帐号名和密码，服务器检查这两个值，如果它们是正确的，则认为该用户被验证了。如果数据不需要在网络上传送，这个机制就是一个可行的解决方案。如果某个人在网络上窃听，他们可以看到传送的帐号名和密码，然后使用这个信息假冒这个用户。实现验证的大多数老协议都以明文方式在网络上传送密码信息，许多年来这一直是一个严重的问题。 假定密码不再以明文传送，这并不意味着问题就解决了，另外还有两个问题需要解决。第一个问题是黑客仍可能使用字典式攻击，反复尝试不同的密码，试图进入系统。这种类型的攻击在Internet上是相当常见的。保护在网络上发送的密码并不一定能防止字典式攻击，因为黑客仍可能正确地试出密码。至少使用字典式攻击不能发现的密码是有帮助的，但大多数用户并不擅长这样做。即使他们这样做了，仍有对密码的蛮力组合攻击的问题。有几个用于解决这个问题的技术： 至少使用长序列的真正随机的密码数据会使字典式攻击在计算上是不可行的，一次性的密码也能提供保护。 密码不再以明文发送的第二个问题是中间人（man in middloe）攻击，这涉及一个人或程序插入在通信的双方之间。通信通道