邮件服务器的安全管理

前言：这是我半年前写的文章，看到里面的加密和SSL等。感觉对网络安全不懂的人是挺有用的，特别是在这些大公司企业里，做为一个网管就应该掌握好各种安全措施。所以发了上来。我以后会从最基本的IIS，FTP等一直做教程到组网所用到的所有配置。第一章项目背景及意义1.1E-Mail背景1.2E-Mail的安全隐患1.2.1邮件的隐私性1.2.2邮件的真实性1.2.3邮件的认证性1.2.4邮件的安全性第二章先决条件和组织准备2.1邮件服务器的运行环境2.2邮件服务器的安装架设第三章邮件安全管理与分析3.1WinMailServer身份认证3.2WinMailServer传输加密3.2.1PGP173.2.2S/MIME3.3垃圾邮件过滤3.4邮件病毒过滤3.5安全审计3.5.1日志的审计3.5.2主机的审计3.5.3网络的审计第四章个人心得第五章结语参考文献[此贴被百年独孤在2007-10-2511:48重新编辑]【楼主最新主题】»求购QB10个急用2008-12-26»VS对战平台VIP1个月2008-10-14»收个8位QQ2008-05-311元注册.COM域名香港主机免费试用本帖最近评分记录：LTB:+10(心有灵犀)您的贴子很精彩！希望很快能再分享您的下一贴！叶子的离开，是因为风，还是树，还是人的走过！最近很忙……顶端回复|引用|举报|收藏|转帖分享举报百年独孤蓦然回首作者资料发送短消息使用道具UID:19666级别:论坛贵宾精华:8发帖:36711楼发表于:2007-10-2511:05只看该作者|小中大正版悠嘻猴阿狸公仔玩偶周边官方授权店-郁郁的游乐园第一章项目背景及意义随着网络通讯技术的不断发展，E-mail使用得越来越频繁，它是Internet中最为流行的一种通信形式，是一种通过网络与其他用户进行联系的简便、迅速、廉价的现代通讯方式。它不但可以传送文本，还可以传递多媒体信息，如图像、声音等.但是，同时也带来了它的安全问题，垃圾邮件，邮件病毒，数据侦听，身份认证等问题日益严重，甚至导致公司或企业严重的经济损失。所以，我们必须在邮件服务器上做好防备工作，让邮件发送的过程中不会插入第三者。电子邮件同其它通信形式一样。通过电子邮件发送任何机密信息之前先要进行判断，这点很重要。因为在收到电子邮件之前，它经过了许多服务器传送，他人很可能拦截并阅读您的电子邮件。因此，我们要使用安全性措施来保护电子邮件的机密性和安全性。电子邮件的普及和应用，伴随而来的电子邮件安全方面问题也越来越多的引起人们的关注。我们已经认识到电子邮件用户所面临的安全性风险变得日益严重。病毒、蠕虫、垃圾邮件、网页仿冒欺诈、间谍软件和一系列更新、更复杂的攻击方法，使得电子邮件通信和电子邮件基础结构的管理成为了一种更加具有风险的行为。本论文通过电子邮件形成技术过程、安全技术现状、电子邮件安全因素、技术提高安全性的主要途径等方面来研究一下。威望:2500电元:7691朋友圈:剑仙天宗在线时间:862(小时)注册时间:2007-04-18最后登录:2010-08-231.1E-Mail背景电子邮件，简称电邮，来自英文单词Electronicmail（即E-mail），是指通过网络传输介质电子通讯系统进行书写、发送和接收的信件。电子邮件是Internet上最早使用的服务之一，在互联网日益发展的今天，E-mail已经成为了现在企业界不可少的沟通工具。下面是E-Mail的简单通讯过程。（图1.1）1.2E-Mail的安全隐患1.2.1邮件的隐私性电子邮件是通过网络介质来传播的，当你在internet上发送邮件的时候，它是通过明文封装来传输的，很容易受到来自网络上的监听。攻击者只要使用简单的监测软件（如超级网管）就能截获网络上传输的数据包，获得邮件的内容，这使我们的隐私受到了威胁。1.2.2邮件的真实性电子邮件在发送过程中如果被人截取到了，那就意味着你的电子邮件真实性的问题，会不会是被人改了再发送过来的，而且攻击者这样做往往是有目的的，这样有时候会给双方造成很大的误会和损失。1.2.3邮件的认证性既然黑客能够截取并修改我们的电子邮件，那么，他会不会把发信人的名字改成别人的名字呢，例如：A发给B一封信，C是黑客，他想让B不知道这封信是A发的，就改了发信人的名字为D，当B接到信的时候，往往就会认为这封信是D发给他的。这个例子也说明了，邮件如果没有身份认证有可能会产生张冠李戴的事情，这样有时也会造成重大损失。1.2.4邮件的安全性所有邮件都是通过邮件服务器来转发的，因此，邮件服务器的安全问题变得严峻起来，黑客的攻击、病毒的感染、发件人的群发，乱发（垃圾邮件）等等问题都要求邮件服务器必需要有一个安全稳定的运行环境。随着网络技术的快速发展，这些问题都上升为邮件系统的核心技术问题。顶端回复|引用|举报分享举报百年独孤2楼发表于:2007-10-2511:05蓦然回首作者资料发送短消息使用道具UID:19666级别:论坛贵宾精华:8发帖:3671威望:2500电元:7691朋友圈:剑仙天宗在线时间:862(小时)注册时间:2007-04-18最后登录:2010-08-23只看该作者|小中大第二章先决条件和组织准备2.1邮件服务器的运行环境每一种邮件服务器都有它运作的需求，Winmail、U-mail、Send-mail、Exchange等都有它们不同的运行平台需求，需求的程度和Mail服务器的功能有关，下面以WinMail来说明一下,WinMailServer是大多数中、小企业所使用的Mail服务器，最新版本为WinMailServer4.4，它的功能比较全，也支持Webmail访问方式，要安装Winmail必需具备以下条件：1．要用来做Mail服务器的服务器最少要达到中等服务器需求。2．Mail服务器必需运行Windows操作系统。3．该操作系统必需安装IIS6.0或以上版本。4．该操作系统最好安装.NETFramework2.0或以上版本。5．该操作系统必需安装PHP扩展访问。6．该操作系统时间必需和internet上的时间相同。2.2邮件服务器的安装架设当邮件服务器的运行环境符合需求之后，就可以开始安装WinMailServer了，安装过程如图：图2.2.1软件会检测系统是否符合WinMailServer的安图2.2.2图2.2.3接受条款图2.2.4运行说明图2.2.5填写用户名图2.2.6选择目录图2.2.7选择组件图2.2.8选择任务图2.2.9按安装完成安装[此贴被百年独孤在2007-10-2511:12重新编辑]顶端回复|引用|举报分享举报百年独孤蓦然回首作者资料发送短消息使用道具UID:19666级别:论坛贵宾精华:8发帖:36713楼发表于:2007-10-2511:05只看该作者|小中大安装完成之后，把光标移到任务管理器上，会显示WinMailMailServerisrunning。这说明邮件服务器已经在运行，双击可以打开邮件服务器管理工具：如图(2.2.10)图2.2.10邮件服务器管理器威望:2500电元:7691朋友圈:剑仙天宗在线时间:862(小时)注册时间:2007-04-18最后登录:2010-08-23图2.2.11登录后能看到各项功能[此贴被百年独孤在2007-10-2511:15重新编辑]顶端回复|引用|举报分享举报百年独孤4楼发表于:2007-10-2511:05只看该作者|小中大第三章邮件安全管理与分析蓦然回首作者资料发送短消息使用道具UID:19666级别:论坛贵宾精华:8发帖:3671威望:2500电元:7691朋友圈:剑仙天宗在线时间:862(小时)注册时间:2007-04-18最后登录:2010-08-233.1WinMailServer身份认证原来安装好的Winmail用WEB浏览器浏览的效果如下图：（3.1.1）图3.1.1数字签名采用具有法律意义的传统签名的数字形式，它使用的技术是公开密钥加密技术和报文分解函数相结合,提供的安全功能包括有：1.身份认证2.认可性3.数据完整性CA是CertificateAuthority的缩写，是认证中心的意思。为了保证客户之间的网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性，就需要对客户的身份真实性进行验证。安装CA证书服务使用户无法冒充他人发信，安装流程如下：打开控制面板——添加或删除程序——添加/删除Windows组件——钩上证书服务——下一步开始安装图3.1.2选择企业根图3.1.3写上CA的公用名称图3.1.4证书数据库路径图3.1.5点“是”图3.1.6放入系统光盘，安装过程中图3.1.7到此安装完成[此贴被百年独孤在2007-10-2511:19重新编辑]顶端回复|引用|举报分享举报百年独孤蓦然回首作者资料发送短消息使用道具UID:19666级别:论坛贵宾精华:8发帖:3671威望:2500电元:76915楼发表于:2007-10-2511:05只看该作者|小中大图3.1.8朋友圈:剑仙天宗在线时间:862(小时)注册时间:2007-04-18最后登录:2010-08-23图3.1.9要使用E-mail服务器WEB页面通过SSL安全通道来访问，要在IIS是安装服务器证书！选择安装证书后会生成一个txt文件，如图图3.1.10图3.1.11在CA服务器上申请一个证书，把刚刚生成的certreq.txt内容写到证书申请上图3.1.12点提交申请，这时CA服务器上会有一个挂起的证书图3.1.13点颁发证书，我们就可以在证书首页下载到我们的服务器证书了图3.1.14接着到IIS上导入证书，这样以后要访问邮件服务器就必需通过安全通道来访问了如下图:图3.1.15[此贴被百年独孤在2007-10-2511:25重新编辑]顶端回复|引用|举报分享举报百年独孤6楼发表于:2007-10-2511:05只看该作者|小中大登录邮件服务器，试发一下邮件，同时开着超级网管侦测软件蓦然回首作者资料发送短消息使用道具UID:19666级别:论坛贵宾精华:8发帖:3671威望:2500电元:7691朋友圈:剑仙天宗在线时间:862(小时)注册时间:2007-04-18最后登录:2010-08-23图3.1.16开始发送邮件图3.1.17会得到像这样的乱码文件！SSL加密能不让第三者侦听到我们所发邮件的内容！我们也可以用WinMail自带的SSL证书，在管理工具可以找到，如图：图3.1.183.2WinMailServer传输加密安全电子邮件技术是指在源和目标计算机之间建立一条逻辑链路连接，其中经过的线路不予考虑，保证了邮件在从发出到接收的整个过程中，内容保密，无法修改，并且不可否认（privacy，integrity，non－repudiation），其减少了邮件传递过程中环节，保证了电子邮件的安全性。目前，在Internet上，有两套成型的端到端的安全电子邮件标准：PGP和S/MIME。3.2.1PGPPGP是PrettyGoodPrivacy的简称，是一种长期在学术界和技术圈内得到广泛使用的邮件安全标准。其特点是通过单向散列算法对邮件进行签名，以保证邮件内容无法修改，使用公钥和私钥技术保证邮件内容保密并且不可否认。发信人与收信人的公钥都放在公开的地方，如FTP,WEB站点，而公钥本身地权威性，则可以由第三方、特别是收信人很熟悉或信任的第三方进行签名和认证，没有统一的集中的机构进行公钥和私钥的签发。即在PGP系统中，信任刚是双方之间的直接关系，或是通过第三者、第四者等的间接关系，但任意两方之间全都是对等的，整个信任关系构成网状的结构，这就是所谓的WebofTrust了。PGP加密发E-Mail图3.2.1先用PGP生成自己的密钥对图3.2.2密钥对已生成图3.2.3导出公钥图3.2.4用收件人的公钥进行数字签名。这样，就可以通过发件箱上的插入数字签名选项来发送邮件了。[此贴被百年独孤在2007-10-2511:30重新编辑]顶端回复|引用|举报