1 電子郵件系統(tǒng)存在的安全隱患
由于早期技術(shù)水平落后,主機之間很少直接對話。SMTP就規(guī)定了當郵件在不同網(wǎng)絡(luò)間傳送時,必須借助毫不相干的第三方服務(wù)器。我們把一個MTA將郵件傳遞到下一個MTA的行為稱為郵件轉(zhuǎn)發(fā)(RELAY)。如圖1所示。
圖1 郵件轉(zhuǎn)發(fā)示意圖
如果出現(xiàn)網(wǎng)絡(luò)上所有的用戶都可以借助這臺RELAY SMTP服務(wù)器轉(zhuǎn)發(fā)郵件的情況,則稱之為Open RELAY(開放性中繼)或Third Party RE—LAY(第三方中繼)。由于Internet上使用端口掃描工具的人很多,導致RELAY SMTP服務(wù)器必定會在短時間內(nèi)被察覺,并且被利用來發(fā)送一些不法廣告、垃圾郵件等,繼而導致的主要問題有:
*由于網(wǎng)絡(luò)帶寬被垃圾郵件占用,因此該郵件服務(wù)器所在網(wǎng)絡(luò)的連接速度減慢;
*大量發(fā)送郵件可能耗盡該郵件服務(wù)器資源,容易產(chǎn)生不明原因的關(guān)機之類的問題;
* 該郵件服務(wù)器將會被Internet定義為黑名單,從此無法收發(fā)正常的郵件;
*該郵件服務(wù)器所在的IP將會被上層ISP封鎖,直到解決Open RELAY的問題為止;
*如果該郵件服務(wù)器被用來發(fā)送黑客郵件,則將會被追蹤為最終站。
此外,作為一個網(wǎng)絡(luò)服務(wù)器,電子郵件系統(tǒng)存在著配置和誤操作上的安全威脅和隱患,如沒有合理配置服務(wù)器的相關(guān)配置文件中的重要選項等,極有可能造成潛在的安全隱患。另外,郵件系統(tǒng)版本的及時更新與否也影響到其安全。
2 多重機制應(yīng)對郵件系統(tǒng)安全問題
1)限制轉(zhuǎn)發(fā)和主機過濾
垃圾郵件問題是當今最讓網(wǎng)絡(luò)用戶頭疼的頑疾之一。許多不請自來的垃圾郵件不但占據(jù)網(wǎng)絡(luò)帶寬,也極大地消耗了郵件服務(wù)器的存儲資源,給用戶帶來極大的不便。Open RELAY接引起郵件系統(tǒng)的濫用,甚至成為垃圾郵件的溫床,它是郵件系統(tǒng)中的“定時炸彈’。目前多數(shù)Linux發(fā)行版都將SMTP服務(wù)器的Open RELAY功能關(guān)閉,默認啟動為僅監(jiān)聽lo口,極大地減少了本地服務(wù)器轉(zhuǎn)遞垃圾郵件的可能性。Linux中通過訪問數(shù)據(jù)庫/etc/mail/access.db來設(shè)置RELAY。數(shù)據(jù)庫中不但定義了可以訪問本地郵件服務(wù)器的主機或者網(wǎng)絡(luò),也定義了其訪問類型(可能的選項包括OK、REJECT、RELAY或者通過Sendmail的出錯處理程序檢測出的、一個給定的簡單郵件錯誤信息)。如果希望某些合法主機或網(wǎng)絡(luò)能利用此SMTP服務(wù)器的RELAY功能來幫忙轉(zhuǎn)發(fā)郵件,則必須修改服務(wù)器上的訪問數(shù)據(jù)庫。
2)配置SMTP用戶認證
由于(尤其是同一網(wǎng)段內(nèi)的)用戶不斷增多,如果僅依靠規(guī)模不斷增大的Access數(shù)據(jù)庫,則很難有效管理SMTP服務(wù)器的使用,甚至出錯。這樣既不能保障合法用戶正常地使用郵件服務(wù)器的Open RELAY一些不法的用戶提供了可乘之機。
所以有必要配合Sendmail服務(wù)器一起使對SMTP用戶用身份認證程序庫。RHEL 5使用CyrusSASL(Cyrus Simple Authentication and SecurityLayer)身份認證程序庫對用戶進行身份認證。
3 一個支持多域的安全電子郵件系統(tǒng)案例
某公司網(wǎng)采用兩個網(wǎng)段(對應(yīng)兩個域:keyan1.stiei.edu.en和keyan2.stiei.edu.cn)來管理內(nèi)部員工,其絡(luò)拓撲如圖2所示。已知公司擬使用一臺IP地址為192.168.11.1的Linux主機實現(xiàn)郵件服務(wù),為簡化實驗拓撲,該主機同時提供域名解析服務(wù)和路由服務(wù),其FQDN 擬定為mail.keyan1.stiei.edu.cn和mail.keyan2.stiei.edu.cn。
圖2 某科研機構(gòu)網(wǎng)絡(luò)拓撲
公司員工數(shù)量多,其業(yè)務(wù)特點決定了流動辦公的經(jīng)常性。公司希望設(shè)計一個安全的電子郵件系統(tǒng),具體能做到:①員工可以自由收發(fā)內(nèi)部郵件,并且可以通過郵件服務(wù)器往外網(wǎng)發(fā)信;② 禁止接待室的主機192.168.12.100使用Sendmail服務(wù)器;③有效拒絕垃圾郵件。
1)關(guān)鍵因素分析
這是一個典型的安全電子郵件系統(tǒng)配置案例。擬解決的關(guān)鍵問題有:多域間的郵件傳送、主機過濾、垃圾郵件過濾等。由于處理垃圾郵件會增加服務(wù)器負荷,占用其硬件資源,造成正常響應(yīng)的延遲,并且會導致嚴重的安全隱患,因此,從安全和效率兩方面考慮,都必須使用access數(shù)據(jù)庫限制轉(zhuǎn)發(fā)來拒絕垃圾郵件。另外,由于員工辦公地點不固定,并且郵件需要在內(nèi)外網(wǎng)之間轉(zhuǎn)發(fā),因此還需要結(jié)合郵件的認證機制,通過驗證郵件用戶的賬戶和密碼,就能有效拒絕非法用戶使用郵件服務(wù)器的中繼功本報共。
2)解決方案
(1)搭建虛擬網(wǎng)絡(luò)環(huán)境,在一臺多宿主的Linux主機上開啟內(nèi)核的路由功能:
# echo“1”>/proc/sys/net/ipv4/ip—forward
(2)在BIND服務(wù)器上注冊郵件服務(wù)有關(guān)的域名。在DNS主配置文件“/etc/named.conf”中至少定義的兩個正向解析區(qū)域,為規(guī)范化配置,建議再添加相應(yīng)的兩個反向解析區(qū)域,如圖3所示。每個區(qū)域?qū)?yīng)一個解析文件。圖4列出了區(qū)域keyan1.stiei.edu.CD的正向解析文件內(nèi)容,區(qū)域keyan2.stiei.edu.cn的正向文件類似。
在所有要使用郵件服務(wù)的主機上指定提供域名解析的DNS服務(wù)器的IP地址,并設(shè)置默認的域名后綴。此外,還需要在“/etc/mail/local—hostnames”中添加所支持的域名及主機名。
圖3 定義新的區(qū)域
(3)配置具有認證功能的SMTP服務(wù)器。
在Sendmail的腳本Sendmail.mc中修改SMTP偵聽范圍為公司內(nèi)部網(wǎng)段或者0.0.0.0,使郵件能正常發(fā)送到其它主機。此外還需要設(shè)置本地郵箱的域名,將如下一行括號內(nèi)的內(nèi)容修改成自己的域:
LOCAL— DOMAIN (‘keyan1.stiei.edu.cn,key—an2.stiei.edu.cn’)dnl
而最為關(guān)鍵的是要設(shè)置SMTP用戶安全認證功能。首先確保sasl庫(軟件包cyrus—sas1)已經(jīng)安裝,然后編輯sendmail.mc文件,取消如下三行的注釋;
dnl TRUSTl-AUTH—MECH(EXTERNAL DI—GES MD5 CRAM —MD5 LOGIN PLAIN)dnl
//TRUST—AUTH—MECH 的作用是使sendmail不管access文件中如何設(shè)置都能RE—LAY那些通過LOGIN、PLAIN或DIGEST—MD5方式驗證的郵件。
dnl define(‘confAUTH —MECHANISMS’,‘EXTERNAL GSSAPI DIGEST—MD5 CRAM —MD5 L0GIN PLAIN’)dnl//‘confAUTH—MECHANISMS’的作用是確定系統(tǒng)的認證方式。
dnl DAEMON— OPTIONS(‘Port=submis=sion,Name=MSA,M=Ea’)dnl
//‘Port— submission,Name=MSA,M=Ea’的作用是開啟認證,并以子進程運行MSA實現(xiàn)郵件的賬戶和密碼的驗證。
最后利用m4工具生成主配置文件Sendmail.cf。分別啟動Sendmail服務(wù)和Saslauthd服務(wù),然后執(zhí)行命令“Sendmail-d0.1一by root|grep SASL”測試sasl。確認以下結(jié)果中包含SASL:
NETUNIX NEWDB NIS PIPELININGSASLv2 SCANF S0CKETM AP STARTTLS
也可以使用ehlo命令驗證Sendmail的SMTP認證功能
(4)設(shè)置訪問控制和轉(zhuǎn)發(fā)限制
根據(jù)案例對限制SMTP中繼的要求,在文件“/etc/mail/aceess”末尾添加如下三行內(nèi)容:
192.168.11 RELAY
192.168.12 RELAY
Connect:
192.168.12.100 REJECT
3)應(yīng)用測試
(1)首先測試同一網(wǎng)段192.168.12.0/24(域keyan2.stiei.edu.cn)內(nèi)的用戶相互收發(fā)郵件的情況。圖6是foxmail中usera向userb發(fā)送郵件時給出的拒絕訪問的錯誤提示,其原因在于我們在SMTP的轉(zhuǎn)發(fā)數(shù)據(jù)庫中設(shè)置了禁止主機192.168.12.100使用Sendmail服務(wù)器,從而導致郵件發(fā)送失敗。若取消主機過濾或改變該主機的地址,則能投遞成功,如所示:
圖4 SMTP拒絕訪問
(2)接下來測試跨域且群發(fā)郵件的情況。以域keyanl內(nèi)用戶user1向域keyan2內(nèi)群組team2發(fā)件為例,team2中的所有用戶usera、userb、userc將同時收到該郵件。
圖5 userb接受郵件成功
圖6 team2中的用戶接受郵件成功
4 結(jié)束語
郵件服務(wù)作為整個互聯(lián)網(wǎng)業(yè)務(wù)中最基本、最重要的組成部分之一,其應(yīng)用頻率接近甚至超過萬維網(wǎng)服務(wù)。然而,電子郵件的廉價性以及一些郵件服務(wù)器的開放性,使得郵件服務(wù)正面臨著嚴重的垃圾郵件、病毒感染以及服務(wù)器濫用等嚴重的安全問題。本文以一個完整的企業(yè)郵件系統(tǒng)為案例,研究了針對這些安全問題的關(guān)鍵技術(shù),描述了一個綜合的解決方案并通過了應(yīng)用測試,具有一定的實用參考價值。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:多重安全機制在電子郵件系統(tǒng)中的應(yīng)用
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112152471.html