论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 19 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
 文章标题 : 我也说说邮件安全
帖子发表于 : 2012-05-03 14:35 
离线
初级用户

注册: 2010-08-04 16:51
最近: 2015-11-23 11:06
拥有: 1,006.00 安全币

奖励: 3 安全币
在线: 1102 点
帖子: 40
这些文字来源是一个方案。

引 言
电子邮件是互联网出现最早的基础服务之一,随着互联网在中国的兴起,电子邮箱作为一种新兴的网络服务,逐步显现沟通优势。
我们每天都在发送电子邮件,用来处理个人信和商务的信息交流,按每个拥有1个邮箱计算,国内的邮箱用户早就数以亿计。其中当然有很多邮件泄密事件,这是由于电子邮件本身是通过明文在互联网上传输,是极其不安全的。
国内早在2005年就报道过电子邮件泄密的事件。2005年12月5日,广州市天河区法院对一起邮件欺诈事件进行了判决。犯罪嫌疑人柳青展被判处有期徒刑10年,并责以处罚金人民币2万元。回顾一下案件缘由,柳青展在网吧上网时,利用专业知识,潜入夏某的电子邮箱,发现夏某正在利用电子邮件与远在也门的客户进行生意洽谈,且也门的客户正准备向夏某汇来货款。柳青展便伪造邮箱地址,假冒夏某名义把虚假开户行信息发给也门的客户,致使也门客户将4万美元货款汇入骗子柳青展的银行户头内。
2011年04月07日《京华时报 》报道了一个新闻,张某破解并进入国务院国有资产监督管理委员会(以下简称“国资委”)一领导的邮箱后,发现了胡某求职的邮件。随后,张某以该领导名义回信,要求胡某与自己联系,并索要2万元办事费。海淀检察院认定张某已涉嫌诈骗罪,对其提起公诉。
还有一个非常著名的案例。2011年2月6日,HBGary Federal公司创始人Greg Hoglund尝试登录Google企业邮箱的时候,发现密码被人修改了。糟糕的是,HBGary Federal企业邮箱里有涉及包括美商会、美国司法部、美洲银行和WikiLeak的大量异常敏感的甚至是见不得光的“商业机密”。里面有HBgary Federal公司的客户:索尼、强生、杜邦等500强企业的私密信息,当然,还有那些涉及政府部门和组织的“特殊商业计划”。

其实这样的案例非常多(当然有些不能公开)。邮件本身的原理就导致了无法验证发件人身份、无法鉴别邮件的内容是否被篡改、无法得知收到邮件的时候是否已经被复制过等等…


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 我也说说邮件安全
帖子发表于 : 2012-05-03 14:37 
离线
初级用户

注册: 2010-08-04 16:51
最近: 2015-11-23 11:06
拥有: 1,006.00 安全币

奖励: 3 安全币
在线: 1102 点
帖子: 40
1.1. 电子邮件原理和安全漏洞分析
以两个人互发电子邮件为例,假设A@168.com发给B@268.com ,A和B都分别有自己的邮件服务器168.com和268.com(服务器可以自建或购买运营商服务),首先,A需要登录168.com服务器或者用邮件客户端写好了发给168.com的服务器,这里面需要登录服务器、撰写并发送邮件;168.com邮件服务器收到邮件后,查询后是给B@268.com的,会发给268.com的服务器;同样,B也会到自己的邮件服务器上登录并查看邮件。以上所有过程,普通的邮件系统是完全明文传输的。

这个过程中,那些有安全隐患呢?
1、 发件人到发件服务器之间的通讯:如何保证发件人的身份?如果保证发件人到服务器之间的信息是安全的?没有被篡改和仿冒?没有别人窃听?
2、 发件服务器到收件服务器之间的通讯:如何保证两个服务器直接的传输过程是安全的?没有被篡改和仿冒?没有别人窃听?
3、 收件服务器到收件人之间的通讯:同1一样也需要考虑各种安全隐患。
1.2. 邮件安全需要解决什么问题
经过以上分析,可以看到有很多风险。



用一个图标识这些安全点,可以看到很多环节都会有安全风险:
1、 在登录过程中,Sniffer技术常常被黑客们用来截获用户的口令。如果在网络中安装Sniffer,指定监听往外部服务器110端口发送的数据包,从收集下来的信息中查看user和pass后的字符串就能看到用户名和相应的密码;
2、 在邮件传输过程中,也可以用很多技术拦截电子邮件的内容;
3、 对服务器的安全也需要加强。黑客可以用破解用户名和密码的方式来攻击服务器。最简单就是字典攻击。


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 我也说说邮件安全
帖子发表于 : 2012-05-03 14:38 
离线
初级用户

注册: 2010-08-04 16:51
最近: 2015-11-23 11:06
拥有: 1,006.00 安全币

奖励: 3 安全币
在线: 1102 点
帖子: 40
所以,要解决邮件安全,应该考虑以下几个方面的问题:
(一) 身份鉴别:要鉴别收件人、发件人的身份没有被仿冒。
(二) 收发过程的安全传输:收发邮件的过程,客户端到服务器之间要安全;
(三) 邮件服务器之间的安全传输:由于不同的邮件服务器要通过互联网明文传递邮件,这是非常大的安全隐患,尤其要考虑安全;
(四) 存储安全:邮件存储在服务器上要安全。

所有的过程中,传输的安全尤其重要。设想一个场景:BOB出差到酒店,发出一个邮件。这个的时候,他会先和他的服务器进行身份认证的登录,其中经过了他的电脑到酒店的网关、酒店到当地线路运营商、当地运营商到发件邮件服务器运营商、再到收件服务器运营商…….而所有的环节,都是明文传输的。很明显,最重要的是要保证邮件在传输过程中的安全,因为这个时间最长、经历的过程最多,最容易被各种环节所捕获。只要部署了监控设备(现在很多酒店、公司都部署了监控设备)收发的邮件均被完整的记录。
下图是通过上网行为管理设备拦截的邮件截图。


上网行为管理拦截的邮件中,正文、附件一览无余。


1.3. 目前市场上安全邮件的误区
邮件安全需求其实由来已久,要解决这四个问题,最常见的方式就是通过建立证书认证中心,并对邮件内容进行加密传输。但是由于证书体系的设计机制问题,在邮件的使用过程中非常不方便(后面有详细的比较),所以很多邮件服务商采取的安全措施仅仅是升级邮件服务器为SSL传输方式。


这种简单的方式是升级邮件服务器支持SSL访问,有些甚至都没有申请证书机构的SSL证书。这确实解决了部分问题,可以一定程度上解决发件人收件人到服务器直接传输的安全性问题,但是仅仅解决这一个问题是远远不够的:
1) 收件人、发件人身份没有被密码技术保证,还是通过用户名密码方式传递,这导致了最开始的安全隐患;
2) 现在的SSL解决方案都是单向认证,很多上网行为管理设备,通过squid建立 SSL 代理转发的方式,一样可以拦截到SSL方式收发的邮件,所以不能说通过SSL登录就解决了传输安全的问题;
3) 邮件传到服务器后还是明文存放,也不安全;
4) 更重要的是,到其他服务器也是明文方式,所以同样可以被拦截。
很明显,只有同时解决了身份鉴别、通道安全、存储安全、内容传输安全,才能做到真正的安全电子邮件。其中最重要的是对邮件的内容进行加密。


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 我也说说邮件安全
帖子发表于 : 2012-05-08 13:46 
离线
顶级用户

关注按钮

注册: 2011-05-15 08:39
最近: 2014-04-16 11:54
拥有: 12,487.00 安全币

奖励: 28127 安全币
在线: 14420 点
帖子: 1085
楼主想表达什么呢?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 我也说说邮件安全
帖子发表于 : 2012-05-11 23:54 
离线
初级用户

注册: 2010-08-04 16:51
最近: 2015-11-23 11:06
拥有: 1,006.00 安全币

奖励: 3 安全币
在线: 1102 点
帖子: 40
哈哈,其实想说IBC(IBE)比较适合做邮件加密。没人捧场,就没写了。


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 我也说说邮件安全
帖子发表于 : 2012-05-12 09:26 
离线
中级用户

注册: 2012-04-18 14:27
最近: 2014-09-24 16:17
拥有: 1,192.00 安全币

奖励: 1560 安全币
在线: 2742 点
帖子: 80
继续写啊。。。。。。。。。。。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 我也说说邮件安全
帖子发表于 : 2012-05-12 11:07 
离线
新手

关注按钮

注册: 2011-01-27 20:35
最近: 2012-08-07 11:55
拥有: 444.00 安全币

奖励: 83 安全币
在线: 2566 点
帖子: 15
email---入侵的窗口,能基于角色跟外网交换文件和数据,能干的坏事太多,想想APT攻击那种,单凭现有的技术远不够,不少安全资深专家公开场合宣称不使用email。
LZ是从内容安全谈的,继续分解分解?
DNSSEC在邮件安全上有成熟应用了么?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 我也说说邮件安全
帖子发表于 : 2012-05-13 19:27 
离线
初级用户

注册: 2010-08-04 16:51
最近: 2015-11-23 11:06
拥有: 1,006.00 安全币

奖励: 3 安全币
在线: 1102 点
帖子: 40
那继续献丑。其实邮件安全一直都是有解决方案的,只是太繁琐。outlook也自带和第三方证书中心的认证、加密;而PGP也是非常流行的邮件安全解决方案。这些都是用PKI,证书体系来实现的,安全性上没问题,就是使用麻烦。
邮件加密最常用的方式还是产生一个随机密钥,再用对称算法加密正文,然后用非对称算法保护密钥,一起发给对方。
用PKI体系,给对方发加密邮件的时候,必须先拿到对方的证书。而且要安全还需去CA验证一下,这些在实际操作过程中比较麻烦。我见到一个XX所定制开放的安全邮件客户端,做的比较好的是把取对方证书、验证的过程做到通讯录中。发邮件的时候,先去通讯录查找或者新建对方信息,客户端会去实时连线去找对方证书。这小范围使用没问题,但稍微人一多,使用就很麻烦了。
IBC呢,那简单多了,对方邮件地址就是公钥,加密时候直接用了,可以离线,也可以在对方都没有私钥的情况下就直接发加密邮件给他了。欢迎提问、交流。


--------本帖迄今已累计获得9安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 我也说说邮件安全
帖子发表于 : 2012-05-13 19:30 
离线
初级用户

注册: 2010-08-04 16:51
最近: 2015-11-23 11:06
拥有: 1,006.00 安全币

奖励: 3 安全币
在线: 1102 点
帖子: 40
chn_main 写道:
email---入侵的窗口,能基于角色跟外网交换文件和数据,能干的坏事太多,想想APT攻击那种,单凭现有的技术远不够,不少安全资深专家公开场合宣称不使用email。
LZ是从内容安全谈的,继续分解分解?
DNSSEC在邮件安全上有成熟应用了么?

我说的这个方案不是用DNSSEC。如果要鉴别对方的邮件地址真伪,直接加上签名验签就知道了,因为对方的公钥就是邮件地址,验签成成功就代表发件人邮件地址没被仿冒


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 我也说说邮件安全
帖子发表于 : 2012-07-07 19:36 
离线
中级用户

注册: 2005-04-04 18:07
最近: 2013-07-22 17:27
拥有: 326.00 安全币

奖励: 0 安全币
在线: 1230 点
帖子: 117
PKI方式如果是公司邮箱还好些,但是如果是个人邮箱,就会不太容易推广,如果采取软件方式,个人的私钥安全就是大问题,如果采取硬件(ekey)又不方便。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 我也说说邮件安全
帖子发表于 : 2012-08-21 12:28 
离线
中级用户

注册: 2007-04-24 15:47
最近: 2014-04-15 11:13
拥有: 471.20 安全币

奖励: 54 安全币
在线: 1693 点
帖子: 70
outlook 结合AD域+windows CA服务器,使用起来很方便。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 我也说说邮件安全
帖子发表于 : 2012-09-20 10:23 
离线
初级用户

注册: 2010-08-04 16:51
最近: 2015-11-23 11:06
拥有: 1,006.00 安全币

奖励: 3 安全币
在线: 1102 点
帖子: 40
用PKI的确实只能适合在一个内部使用的场合,如楼上所说的AD域+CA这样。前提是:1、每个邮箱用户都有了对应的证书。2、发件客户端可以方便的获得收件人证书。其中关于2,也有公司自己做看邮件客户端,带证书查询验证功能,发邮件之前,通过组织结构去选择收件人,其实此时就是去查询收件人证书。

但需要对其他“非内部收件人”发邮件怎么办?即使是内部,也可能突然要发加密邮件发现对方还没申请证书呢,就还得等他申请了再说。这在实际应用环境中会有诸多不变。


--------本帖迄今已累计获得35安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 我也说说邮件安全
帖子发表于 : 2012-12-06 11:43 
离线
初级用户

注册: 2012-09-10 13:53
最近: 2012-12-21 15:35
拥有: 83.00 安全币

奖励: 0 安全币
在线: 206 点
帖子: 25
楼主所说的方法正是【中讯亚太科技有限公司】研发的产品,电子邮件安全卫士简称邮件卫士,使用简单方便,专门保证邮件或重要信息的安全,邮件卫士是结合先进的数字证书加密方式,不仅可以对文件本身加密、而且可以还有识别加密者身份、文件传送过程中不被修改、保证完整性等特点。如果公司的业务对信息安全考虑较多,整个公司都可以申请使用邮件卫士,面向所有对电子邮件有安全需求的用户,
请立即拨打咨询服务热线4000-216-278或登陆http://www.zxtrust.com
2012年12月31日之前订购产品可享受特别优惠!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 我也说说邮件安全
帖子发表于 : 2012-12-06 12:38 
离线
中级用户

关注按钮

注册: 2011-02-09 11:21
最近: 2016-06-14 22:21
拥有: 2,134.00 安全币

奖励: 76 安全币
在线: 1837 点
帖子: 76
niotai 写道:
用PKI的确实只能适合在一个内部使用的场合,如楼上所说的AD域+CA这样。前提是:1、每个邮箱用户都有了对应的证书。2、发件客户端可以方便的获得收件人证书。其中关于2,也有公司自己做看邮件客户端,带证书查询验证功能,发邮件之前,通过组织结构去选择收件人,其实此时就是去查询收件人证书。

但需要对其他“非内部收件人”发邮件怎么办?即使是内部,也可能突然要发加密邮件发现对方还没申请证书呢,就还得等他申请了再说。这在实际应用环境中会有诸多不变。


使用pki保证邮件安全的话,证书的发布确实是个问题,有一种办法可以让所有人获取到所有人的证书,每个新人领取到证书后,群发一个签名的邮件,这样其他人就可以获取到每个新人的证书了


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 我也说说邮件安全
帖子发表于 : 2013-02-20 10:34 
离线
初级用户

注册: 2010-08-04 16:51
最近: 2015-11-23 11:06
拥有: 1,006.00 安全币

奖励: 3 安全币
在线: 1102 点
帖子: 40
zxyt 写道:
楼主所说的方法正是【中讯亚太科技有限公司】研发的产品,电子邮件安全卫士简称邮件卫士,使用简单方便,专门保证邮件或重要信息的安全,邮件卫士是结合先进的数字证书加密方式,不仅可以对文件本身加密、而且可以还有识别加密者身份、文件传送过程中不被修改、保证完整性等特点。如果公司的业务对信息安全考虑较多,整个公司都可以申请使用邮件卫士,面向所有对电子邮件有安全需求的用户,
请立即拨打咨询服务热线4000-216-278或登陆http://www.zxtrust.com
2012年12月31日之前订购产品可享受特别优惠!



哈哈,我没给自己公司做广告,您到来做广告来了。
我讨论的是实现方法,而且我本意是说数字证书实现确实在使用上很麻烦,尤其在基于云端的签名验签,传统数字证书技术是很难做到的。


--------本帖迄今已累计获得36安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 19 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:BingBot [Bot] 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012