国内95%以上的Email通讯存在安全漏洞
2003-07-30
corpease
某日,C公司技术支持中心接到一位公司负责人的求助电话,反映他最近3天保留在服务器的电子邮件莫名其妙的丢失了,经过C公司技术人员对他公司网关服务器的运行日志分析后发现他的邮箱密码被公司的一位离职员工盗用,造成邮件被盗,该负责人痛心之余不禁满心疑惑:本人对邮箱密码一向妥善保管并且定期更换,为什么还会出现密码被盗邮件丢失的情况?
与早期的ICQ等实时通讯工具一样,Email通讯协议(包括发送时使用的SMTP协议以及接收时使用的POP3、IMAP4协议)都是明文的通讯协议,而Email通讯的过程与长途电话的传输过程类似,经过多个服务器,路由器和交换机的中继以及转发才可以完成一次完整的Email通讯。使用明文协议意味着发件人的账号密码甚至邮件的内容随时有可能在任何一个传递的中间环节被盗取。
SSL协议(安全套接字协议)是为了弥补一些已被广泛应用的明文协议(如www)的安全缺陷而设计的加密通讯协议,它可以用服务器的安全证书对通讯内容进行加密,以防止黑客中途截听通讯内容。
企业邮箱服务商--尚易计算机技术有限公司,对其客户的邮箱使用状况进行了一次调查,结果表明95%以上的国内客户都没有使用邮件加密通讯(SSL)功能,尽管其网站www.corpease.net已经有详细的功能介绍和使用说明,大部分客户依然习惯性地使用明文的SMTP,
POP服务端口。反观尚易的外资企业以及香港,新加坡地区的客户,则绝大部分都已使用SSL加密通讯功能,有的外资企业甚至在其企业防火墙内作了限制,只允许员工通过SSL加密端口收发邮件。
国内客户与国外客户在安全意识上的差异,反映出国内互联网安全教育相对落后,很多站点提供众多安全方面的功能,却没有详细解释为什么要使用这些功能,如何设置,这些功能客户通常要自行作复杂的配置,如果客户缺乏安全意识,常会心存侥幸,使用标准配置避免麻烦。
收费邮箱特别是企业邮箱特别是企业邮箱应该将SSL加密通讯作为一个标准的功能,并且积极教育客户使用这些功能,以保障收费用户的信息安全,这也是收费邮箱与免费邮箱的重要差异之一。另一方面SSL协议处理对系统资源的消耗较大,如果大规模的使用SSL,对邮箱服务商的技术支持能力,成本控制能力都是一个极大的考验。
|
