Email存在漏洞与安全防范重要性.docx

只要是接触过网络的朋友，相信对 Email都不会陌生，甚至有的用户就是从 Email开始，逐步感受到网络 给我们带来的方便和快捷 一般情况下，我们的邮件都能发往正确的目的地， 往往使我们忽略了其安全性，前不久，就曾经有用户利用搜索引擎轻易的将自己的邮件搜索到， 毫无保密性可言！其实电子邮件内容泄漏时，用户通常并不知情，就如同自己丢失了东西，而自己却还浑然不觉，这样就使用户的损失不可估量， 尤其是那些利用 Email传递商业信息的用户操作系统漏洞熟悉邮件服务器的朋友都知道，邮件服务器通常都是以软件的形式， 安装在一些服务器操作系统上的，如：WIN NT/2000/2003 、Linux或Unix等往往这些操作系统的默认安装配置都是不安全的，利用工具 软件的黑客们（绝大多数 黑客都是利用工具入侵的）可以轻易入侵邮件服务器， 而获得其中用户信息和密码对于 Windows平台下的Exchange Mail Server ,入侵的方法是很多的最简单的一种方法就是利用终端服务器结合中文输入法漏洞获得 Administrator（系统管理员）权限，用pwduMP3导出Hash过的密码，再用L0pht挂接字典或者Brute Force就能破解出用户密码。

如果密码比较简单，几分钟之内就能破解， 长度在8位及以下的用Brute Force方式在一天内就能破解而 Unix服务器上运行的 Sendmail邮件系统 数量众多，入侵者在获得了系统的控制权之后，用 John等软件就能从/etc/passwd或者/etc/shadow中破解出密码如果采用了数据库方式来保存用户信息和密码，也是比较容易被导出的，只是可能会多了猜解 或破解数据库密码的过程邮件服务器软件漏洞就拿最常见的邮件服务器软件 Sendmail、Qmail来说，都存在着一定的安全缺陷以 Sendmail的老版本为例，telnet到25端口，输入 wiz,然后接着输入shell，就能获得一个rootshell ,还有debug命令， 也能获得root权限Qmail相对Sendmail安全一些，但是其存在 Buffer Overflow 缺陷，能够远程得到 rootshell ,进而控制系统在保证了邮件服务器安全可靠的情况下，邮件服务器软件的缺陷就显得尤为重要入侵着可以利用其设计缺陷telnet到25端口，输入expn XXX或者vrfy XXX就能查询系统是否有 XXX用户当软件厂商 意识到其缺陷后，这两个命令在新版本中已经被禁用了， 但是仍然可以通过伪造发信人然后用 rcpt to来判断该用户是否存在。

如果入侵者得到用户名后，便可以 telnet到110端口，尝试猜解简单密码的连接，或 者利用字典进行暴力破解WEB页面更不安全除了使用OutLook、FoxMail等客户端软件方式收发邮件之外，还有许多用户喜欢登录 WEB页面管理邮件其实，这样也存在很多弱点，一般的邮件服务器都是通过 CGI来接受用户传递的表单（FORM）参数，其中必将传递 username（用户名）和password（密码）信息，如果正确，就可以进入处理邮件的页面破解已知用户的密码，有很多暴力破解的软件都可以轻松胜任，例如：小榕的 溯雪”，如果密码比较简单的话，很快就被破解了中途窃听中途窃听用户传递的用户名和密码更加方便， 在网络中安装Sniffer，指定监听往外部服务器 110端口发送的数据包，从收集下来的信息中获得用户名和密码可比暴力破解省事多了 [#page_需要注意之处之一#0#0#0#0#]看过以上的叙述，也许大家会觉得 Email的安全性主要是邮件服务器决定的，其实，很多大型的网站的安全性都是有保障的，一般都会有专业的人员或公司对系统进行维护，因此不必担心，恰恰 相反，是用户的使用习惯成为了 Email最大的安全隐患。

远离垃圾邮件的困扰要知道垃圾邮件大多利用群发器发送，这是非常危险的，往往其中掺杂着许多阴谋刚刚 弗道”的用户喜欢到一些不知名的网站申请免费邮箱，然而，大量的垃圾邮件便随之而来目前大多数的知名网站的 邮箱，都具有垃圾邮件过滤的功能，例如： yahoo、163等其中笔者感觉最有效的要数 163的邮箱了，曾经有长达2多个月没有收到过一封垃圾邮件 （大家不要误会，绝对不是给 163做广告哦）！使用多帐户很多用户为了省事，都使用一个邮件帐户处理所有的邮件信息这并不是一个合理的方法，最好能够 多申请几个帐户，根据不同的用途将其分开使用，例如：一个收发普通邮件，一个收发公司邮件，一个收 发在各种网站订阅的信息等，必要时，收发重要信息的可以使用收费邮箱谨防网络钓鱼请相信，即使是非常资深的电子邮件用户，都有可能偶然地打开了一封含有钓鱼攻击的电子邮件如 果是这样的话，要减少你的风险的关键点就在于识别出钓鱼邮件的真面目钓鱼是一种的欺诈行为， 邮件的发送者试图欺骗你给出你的个人密码或是银行帐户信息这些邮件的发送者通常是盗用一些著名银 行或机构的标记，并将邮件的格式伪装成银行或机构的格式一般来说，钓鱼邮件都会要求你点击一个链 接，让你确认你的银行信息或密码，但它也许还会叫你回复一封带有你个人信息的邮件。

无论钓鱼攻击采 用的是何种方式，它的目标就是通过欺骗让你输入一些信息到看起来安全的地方，但实际上这只是攻击者 制造出来的假的网站如果你将个人信息提供给了钓鱼者，他就会使用这些信息窃取你的身份以及财物如果你怀疑一封电子邮件是钓鱼攻击，最好的防御措施就是不要马上打开这些邮件但如果你已经打 开了，不要对其回复或是点击邮件中的链接 如果你想要证实邮件的真实性， 请手动输入这家公司的网址,而不是点击邮件中嵌入的链接 [#page_需要注意之处之二#0#0#0#0#]时刻保持警惕大多数新手互联网用户在他们收到电子邮件时，对那些不认识的发件人都会保持警惕但如果是一位 朋友向他们发送邮件，所有的戒备心就飞到了九霄云外，心里就认为这一定是安全的，因为发件人他们认 识，不会伤害他们而实际上，来自朋友的 ID的邮件也可能像来自陌生人的邮件一样包含了病毒或恶意 软件原因就在于，大多数的恶意软件就是通过人们在不知情的情况下发送出去而循环不要发送个人和银行信息不应将银行信息写入电子邮件，而任何网上商店要求你将私人信息写入电子邮件中的话，你应该对它 们产生怀疑 与不要将银行信息通过电子邮件发送给网络商户的道理相同，在个人邮件的处理上，你也不应这么做。

例如，你需要将信用卡信息告诉你在学校读书的孩子，通过告诉他要比通过电子 邮件安全得多扫描所有附件感染计算机的病毒中，多数来源于邮件，许多网络新手都没有扫描电子邮件附件的习惯，而经常的升级你的杀毒软件，及时对电邮附件进行病毒扫描，是保障你不受病毒感染的重要方面 [#page_需要注意之处之三#0#0#0#0#] 进行邮件备份如今的电子邮件不仅仅是用来闲聊的，还能够用来签订合法的合同关系，以及引导一些专业的会议 就像你会对其它重要的商业以及个人文档备份一样，定期将你的电子邮件备份也是非常重要的，即使你的 邮件客户端软件出现问题， 你也不用过分担心和紧张 目前，大多数邮箱都提供了备份电子邮件的简功能，你可以根据邮件的重要程序安排备份的频率，但最好不要相隔太久加密重要邮件虽然有很多机构提供付费的邮件加密服务，不过也有廉价的选择，如果你花点时间安装 PGP（PrettyGood Privacy 基于RSA公匙加密体系的邮件加密软件 ），便可以使你的重要邮件拥有加密服务使用数字签名应付电子邮件欺骗的一个方法就是，当你需要签署重要电子邮件的场合，都使用数字签名一个数字 签名能够帮助你证明你是谁，电子邮件来自哪台计算机，以及这封邮件在传送过程中没有经过更改。

通过 养成在签署重要电子邮件时使用数字签名的习惯，你就不仅能够让其他人来修改你的邮件变得困难，也能 够在为你的合法邮件提供有效的证明结束语：以上讲述的只是些加强 Email的原理和基础概念，而其中每一项都需要一篇文章的内容来阐述和讲解因此，本文的目的旨在能提高大家的安全意识，养成良好的 Email使用习惯，切实做好其安全防护工作个人工作业务总结本人于2009年7月进入新疆中正鑫磊地矿技术服务有限公司 （前身为“西安中正矿业信息咨询有限公司” ）,主要从事测量技术工作，至今已有三年在这宝贵的三年时间里，我边工作、边学习测绘相专业书籍，遇到不懂得问题积极的请教工程师们，在他们耐心的教授和指导下，我的专业知识水平得到了很到的提高，并在实地测量工作中加以运用、总结，不断的 提高自己的专业技术水平同时积极的参与技术培训学习，加速自身知识的不断更新和自身素质的提高努力使自己成为一名合格的测绘技术人员在这三年中，在公司各领导及同事的帮助带领下，按照岗位职责要求和行为规范，努力做好本职工作，认真完成了领导所交给的各项工作，在思想觉悟及工作能力方面有了很大的提高在思想上积极向上，能够认真贯彻党的基本方针政策，积极学习政治理论，坚持四项基本原则，遵纪守法，爱岗敬业，具有强烈的责任感和事业心。

积极主动学习专业知识，工作态度端正，认真负责，具有良好的思 想政治素质、思想品质和职业道德在工作态度方面，勤奋敬业，热爱本职工作，能够正确认真的对待每一项工作，能够主动寻找自己的不足并及时学习补充，始终保持严谨认真的工作态度和一丝不苟的工作作风在公司领导的关怀以及同事们的支持和帮助下，我迅速的完成了职业角色的转变一、回顾这四年来的职业生涯，我主要做了以下工作:1、参与了新疆库车县新疆库车县胡同布拉克石灰岩矿的野外测绘和放线工作、点之记的编写工作、 1:2000地形地质图修测、1:1000勘探剖面测量、测绘内业资料的编写工作，提交成果《新疆库车县胡同布拉克石灰岩矿普查报告〉〉已通过评审2、3评审参与了《新疆库车县巴西克其克盐矿普查》项目的野外地质勘查工作，参与项目包括:1:2000地质测图、1:1000勘查线剖面测量、测绘内业资料的编写工作；最终提交的《新疆库车县康村盐矿普查报告》已通过参与了新疆哈密市南坡子泉金矿 2009年度矿山储量监测工作，项目包括：野外地质测量与室内地质资料的编写，提交成果为《新疆哈密市南坡子泉金矿2009年度矿山储量年报》，现已通过评审参与了《新疆博乐市浑德伦切亥尔石灰岩矿勘探》项目的野外地质勘查工作，项目包括: 评审已通过。

1:5000地质填图、1:2000勘探剖面测量、测绘内业资料的编写工作,最终提交《新疆库车县胡同布拉克石灰岩矿普查报告》&参与了《新疆博乐市五台石灰岩矿 9号矿区勘探》项目的野外地质勘查工作，项目包括:1:2000地质测图、1:1000勘探剖面测量、测绘内业资料的编写工作,并绘制相应图件7、参与了《新疆博乐市托特克斜花岗岩矿详查报告〉〉项目的野外地质勘查工作，项目包括:1:2000地质测图、1:1000勘探剖面测量、测绘内业资料的编写工作,并绘制相应图件参与了库车县城北水厂建设项目用地压覆矿产资源评估项目的室内地质资料编写工作，提交成果为《库车县城北水厂建设项目用地压覆矿产资源评估报告》，现已通过评审通过以上的这些工作，我学习并具备了以下工作能力：1、通过实习，对测绘这门学科的研究内容及实际意义有了系统的认识加深对测量学基本理论的理解，能够用有关理论指导作业实践，做到理论与实践相统一，提高分析问题、解决问题的能力，从而对测量学的基 本内容得到一次实际应用，使所学知识进一步巩固、深化2、熟悉了三、四等控制测量的作业程序及施测方法，并。