1、简介
互联网上仍然有超过一半的人使用电子邮件[1],Web of Science 上的师生比例更高。由于大众使用的邮件传输协议(SMTP、POP3、IMAP等)过于陈旧,存在诸多安全隐患;然而,Email 的不安全性并未受到公众的重视。下面说说Email可能存在的安全问题。
2、电子邮件安全风险的类型和预防策略
2.1 电子邮件病毒
电子邮件病毒是早期最流行的破坏行为之一。通常,邮件附件携带病毒,引导用户打开或利用系统漏洞自动执行。更知名的电子邮件蠕虫,例如 Melissa, I Love You;当然,也有针对性的Email木马,诱使用户执行。
预防策略:由于杀毒软件和Email客户端的不断完善,目前Email蠕虫已经得到很好的控制;但是Email病毒木马,尤其是针对性更强的木马,依然难以控制——唯一能做的就是不要随便执行邮件附件中的程序。
2.2 电子邮件欺诈
有许多类型的电子邮件诈骗。与传统诈骗类似邮件安全策略有哪些,它们都提供虚假信息并通过某种方式欺骗电子邮件收件人。最臭名昭著的是尼日利亚邮件骗局;有财产继承转让、交易查询等诈骗模式。这场电子邮件骗局已经持续了20多年,至今仍历历在目;科学网络上的一些博主也收到了这封电子邮件骗局。
预防策略:与处理其他欺诈行为一样,并不容易,是一个系统工程;但可能有一个反欺诈的核心:不贪婪,不腐败。
2.3 电子邮件伪造
邮件伪造是指由于邮件发送协议SMTP缺乏验证能力,任何人都可以使用任意Email地址向目标发送邮件;例如:
此脚本告诉我们以 billgates@microsoft.com 的身份将标题为“测试邮件”的电子邮件发送到 target@163.com。这是一个严重的安全风险,尤其是与2.1 和2.2 中提到的病毒和诈骗相结合,可能会导致许多信息安全问题。但据我所知,在国内的免费邮箱系统中,只有QQ邮箱关注和改进了。
预防策略:即使是专业人士也未必能有效防止电子邮件伪造;普通用户更难防范。国内免费邮件服务商中,QQ邮箱系统对同一QQ用户的邮件进行验证。
2.4 电子邮件嗅探
电子邮件嗅探是指在局域网等环境中泄露电子邮件内容可能导致比特流嗅探的问题。由于Email传输协议(POP3、SMTP等)一般都是明文传输,一旦攻击者嗅到email发送或接收的数据,就可以恢复为明文email——这种危险就出现了当用户使用邮件客户端(如Foxmail等)时。如果用户使用Web-based Email,只要不是HTTPS协议(目前163、QQ等登录可以选择HTTPS协议,邮件内容浏览还是HTTP协议),邮件内容有被嗅探的风险。
预防策略:在Email嗅探方面,信息安全问题变得更加严重,例如LAN渗透和Email监控。更简单的解决方案是使用 pgp 等加密方法来传输电子邮件;使用Web Email登录时,尽量选择安全的登录方式(HTTPS协议)——数据加密是最后一道防线。
3、结束语
“互联网上没有隐私”,只要使用互联网邮件安全策略有哪些,就很难有绝对的信息安全;因此,仍需提高信息安全意识,时刻注意机密信息的处理,不要过分依赖电脑和互联网。
下一篇博文将整理个人数据安全相关资料:内容可能包括数据加密、隐藏、恢复和删除等,欢迎有空关注我的博客(),或加入QQ群:72575661交流。
[1] CNNIC 第 28 次中国互联网发展统计报告,2011 年 7 月。
全文PDF下载:Insecure Email.pdf(WPS个人版生成)
转载本文请联系原作者授权,并注明本文来自浏阳科学网博客。
链接地址:
