电子邮件认证与安全.docVIP

电子邮件认证与安全 　　[摘 要]目前发送电子邮件的方法大致分为网页发送和应用软件发送两种。对于用户而言,无论哪种方式都很简单快捷,但是在这方便的背后其实有一系列的协议在确保邮件准确的发送到目的地。本文介绍了邮件背后使用的基本传输协议,对其中的加密和认证进行了讨论,着重分析了邮件传输中的故障,给出了实际的解决建议。 　　[关键词]SMTP RFC SASL 　　[中图分类号]TP[文献标识码]A[文章编号]1007-9416(2010)02-0062-03 　　 　　1 邮件传输协议 　　在八十年代早期SMTP开始被广泛应用,当时他只是作为UUCP的补充。RFC2821(SMTP: Simple Mail Transfer Protocol)和2822(Internet消息格式,Internet Message Format)在2001年4月首次公布,在这两个标准中,整理了一些最常用的Internet邮件RFC文档,替代了以前的RFC821、822、974和1869,而RFC1869、1870、1891和1985把SMTP扩展成了ESMTP。 　　图1为SMTP的基本架构图: 　　邮件传送过程: 在邮件的传送过???中需要有三方参与其中,发送方MUA(Mail User Agent, 邮件用户代理) 帮助用户读写文件, 写好的文件再通过MTA(Mail Transport Agent, 邮件传送代理) 把邮件从一个服务器发送到另一个服务器, 然后再通过MDA(Mail Delivery Agent, 邮件投递代理) 把邮件发送到对方的邮箱中。 　　2 RFC中的SMTP认证 　　发件人身份冒用这个问题在垃圾邮件中非常常见,在本单位的这次邮件系统升级过程中,也出现了收件人和发件人地址一样的现象,为什么会出现发件人地址冒用问题呢?RFC中有没有关于该方面的考虑呢? 　　SMTP认证的相关标准来自于RFC 2222和RFC 2554两篇文档。 　　2.1 简单身份验证和安全层 　　在RFC 2222(SASL Simple Authentication and Security Layer 简单身份验证和安全层)中描述了一种给基于连接的协议(如SMTP)增加认证支持的方法,文章中并没有提到某具体的协议该如何实现,而是给出了一个一般性的指导原则,是一种为网络协议提供验证和可选安全性服务的框架。 　　2.2 SMTP服务认证扩展 　　在RFC2554(SMTP Service Extension for Authentication SMTP服务认证扩展)中扩展了SMTP协议,其中的关键字是“认证”,而“EHLO”是该文档的标志,也可以用这个命令来探测所想连接的邮件服务器是否支持ESMTP。“AUTH”是和关键字EHLO相关联的值,AUTH EHLO是一个有空格间隔的被SASL机制支持的名字列表的参数。AUTH被用做一个可选的参数被加入MAIL FORM命令中,并把MAIL FROM命令行的的最大长度扩展到500个ANSI字符[1]。 　　AUTH命令显示了一种和邮件服务器间的安全认证机制。如果邮件服务器支持这种认证机制,它就会执行一个认证协议交互来认证并识别邮件用户。作为可选的情况,他也会忽略这以后协议交互的一个安全层。如果服务器并不支持所需要的认证协议,就会用504的回答来拒绝这个AUTH命令。同样在一个成功的AUTH命令后,SMTP服务器用503标识的回应来拒绝任何以后的 AUTH命令。邮件传输过程中发出的AUTH命令是不被容许的。 　　认证过程如下[1],S为邮件服务器,C为客户端: 　　S:220 SMTP.省略 ESMTP server ready 　　C:EHLO jgm.省略 　　S:250-SMTP.省略 　　S:250 AUTH CRAM-MD5 DIGEST-MD5 　　C:AUTH FOOBAR 　　S:504 Unrecognized AUTHentication type. 　　C:AUTH CRAM-MD5 　　S:334 　　PENCeUxFREJoU0NnbmhNWitOMjNGNndAZWx3b29kLmlubm9zb2Z0LmNvbT4= 　　C:ZnJlZCA5ZTk1YWVlMDljNDBhZjJiODRhMGMyYjNiYmFlNzg2ZQ== 　　S:235 Authentication successful. 　　上述过程可以看出,该邮件服务器采用的是CRAM-MD5和DIGEST-MD5的认证方式,客户端最终选择了CRAM-MD5与其进行通信。通过上述例子,大家注意到了,在服务器端返回信息的时候前面都有一个三位的数字,这个三位数