WebMail应用之安全隐患及对策
2005-12-19   

Internet用户通过Web页面收发Email的形式被称为WebMail。与使用专用邮件收发程序如OutLookExpress、The_bat相比，WebMail在具备便利优势的同时，也存在了很大的安全隐患。本文就对这些安全隐患及对策进行讨论，我想，无论对于普通WebMail用户，还是WebMail系统的提供者，都有一定的借鉴意义。

简 介

无论是国外的Hotmail、YahooMail，还是国内的SinaMail、SohuMail，都使Internet用户能够通过Web页面在世界各地方便地收发Email。但是，未经授权使用WebMail、从WebMail入口收到恶意代码等恶性案件也在不断地增加。因此，使用WebMail面临着安全性挑战，每个上网单位都应认真考虑这个问题！ 基本上，WebMail的安全隐患及对策主要体现在病毒防御、内容过滤、加密技术、WebMail系统安全构架、建立安全规则等方面。下面分别讨论。

病毒防御

在缺乏制约措施的情况下使用WebMail的最严重威胁就是可能下载携带计算机病毒的电子邮件。为此，需要在用户端和服务器端协同操作，共同创建一个良好的、分层次的反病毒防御环境。通常，反病毒软件要安装在网络的防火墙、SMTP网关、电子邮件服务器、文件服务器和用户工作站上。 如果使用专用邮件收发程序，在邮件抵达用户桌面前，可以首先经过SMTP网关上的反病毒软件的扫描和检查。如果发现了病毒，相关电子邮件将被剥离其附件后发送或者干脆删除此邮件。假设“初审过关”，还不算万事大吉，邮件服务器上的反病毒软件将对收到的邮件进行第二次扫描检测。最后，当用户真正接收邮件时，客户机上的反病毒软件再次执行扫描检测。呵呵，这过程象不象电影中进入秘密部门前的安检情景？Email在见到上帝前，得到了最严格的审查。 但是，如果使用WebMail，就会绕过SMTP网关以及电子邮件服务器这两道关卡。这时，解决方法有两个： 1、依靠用户PC机上的反病毒软件及防火墙单兵作战。维护好一个集中的、分层次的、可自动更新杀毒软件的反病毒防御体系，确保最后一关上的反病毒软件更新及时。这是技术层面上的关键解决措施。 2、完善病毒防范管理制度，在一个组织中严格WebMail的使用限制。比如，只允许PC管理部门的人员使用WebMail，因为他们的技术水平相对较高，遇到病毒感染时会采取正确的措施。

使用电子邮件内容过滤器进行防范 凡是使用电子邮件的用户，都会经常乃至天天收到来自世界各地的新朋友的甜言蜜语或者小道消息。或者，有些用户喜欢不断地制造这些信息，发送给其他人。“来而不往非礼也”吗！这样的事件很多。例如，2000年9月，Dow公司解雇了24名因在公司计算机上储存并发送有关性和暴力图片的雇员。这些事实表明，未经认可电子邮件的收发是一个组织中遭受的最实质性的威胁之一，在组织中强制安装电子邮件内容过滤系统非常重要！ 电子邮件内容过滤产品可以解决这个问题。例如， 的邮件提炼（Mail Essentials）产品可检查进出组织的数据信息，如果发现一个电子邮件包含一个指定的恶意关键字，那么这个邮件将被隔离进一步审查。 如果邮件经过SMTP网关，那么可以在其上安装电子邮件内容过滤产品。如果使用WebMail，那么这个过滤器应对WebMail的使用有所限制。 使用加密技术 加密是保护所有敏感电子邮件的最有效方法，许多专用邮件收发程序都提供了加密手段，例如我一直使用的The_bat!就具有PGP加密手段： 但是如果使用WebMail，通常情况下就没有这种加密保障了。要实现加密传输，就需要在使用WebMail前，使用加密软件手工对邮件附件进行加密处理。对于普通用户而言，这是件很麻烦的事，必须首先经过加密系统的培训。 万事总有特殊， 是一个提供加密技术的WebMail站点，感兴趣者可以前往一试：

增强WebMail提供商的系统安全

根据近几年安全事故数量统计，WebMail系统提供商的安全问题也值得重视。例如，1999年8月，在Hotmail网站发现了一个安全漏洞，通过它，攻击者无需口令即可直接访问用户帐号。而且，近几年来，Hotmail网站出现了一连串安全问题，每次事件都对上千个帐号的安全构成了潜在威胁。 因此，WebMail系统提供商必须努力加强其系统的安全鉴定程序。同时，还要尽可能地缩短邮件服务器进行安全检测的时间间隔，使之看上去在“永不疲倦地工作”。另外，如果邮件服务器中储存的信息非常紧急，还应着重考虑实施服务器镜像或热备份措施。

建立有效的安全规则和制度 要取得良好的效果，单纯依靠技术是远远不够的！“技术+管理”才是全面的、有效的根本策略。一个组织的安全规则要描述清晰，易理解、可操作，使普通用户和高级用户都能真正地贯彻执行。例如： 1、规定“本公司的工作人员在工作时间不得使用WebMail收发电子邮件，可能的WebMail系统包括Hotmail、Yahoo mail、SinaMail、SohuMail等等”。 2、规定“本公司的工作人员可以每周使用WebMail收发电子邮件不超过1次，除此之外，工作人员在工作时间不得使用WebMail收发电子邮件”。 另外，规则中还应描述违反规则可能造成的后果、如何对用户使用情况进行监控等情况。

禁止使用WebMail的方案

如果要严格禁止内部用户使用WebMail收发邮件，可以通过修改防火墙或路由器的网络配置来实现。首先，确定要阻断的WebMail网站之IP地址。然后，在防火墙或路由器上设置对这些地址进行阻断。但是请注意，单单设定IP地址信息还不行，因为提供WebMail的网站一般还提供其他的服务，例如Yahoo WebMail还兼有搜索引擎的功能。因此，必须进一步地确定WebMail服务的端口信息。 另外，我们还可以使用因特网过滤和监测软件来禁止使用WebMail。例如， 的Elron因特网管理器就是这么一款软件，通过在过滤字典中添加“Yahoo mail”，就可以有效阻断对Yahoo WebMail的访问： 除了Elron外，使用因特网监控软件，如 ，也可以达到限制访问WebMail站点的目的，所要做的就是在其安全策略中明确禁止访问站点的细节情况：

结 语

以上讨论了在Web上收发电子邮件的安全隐患及防范对策， 我希望普通用户和管理人员都可以从中学到了更多的防卫手段。安全从来就不是一蹴而就、一劳永逸的事情，它是网络时代的万里长征，需要技术、更需要管理，需要我们每一个网络人的不懈努力。