2018 年 11 月 22 日,央視重要欄目《焦點訪談》專門報道了多起境外間諜情報機關通過電子郵件渠道竊取中國****的案例,在看不見的網際網路網路中,間諜情報機關或者黑客組織隨時試圖開啟您的伺服器大門或者正在窺視著電腦中的各項檔案和秘密。
真相讓人咂舌,結果讓人後怕,無論您是在認真投入工作的過程,或者在茶餘飯後的休息中,危險可能正在降臨。網路時代的競爭是看不見硝煙的戰場,turbomail郵件伺服器搭建完畢後,為了保護在使用郵件系統的各個環節中資料都是安全保密防竊的,拓波技術支援工程師建議使用者上線全閉環郵件系統加密方案,構造在郵件儲存、郵件傳輸、收發郵件的全閉環安全加密的系統,確保企業郵件系統的資料安全。
郵件系統的應用過程中存在的安全隱患環節如下圖:
危險一:資訊傳輸的保密性
郵件內容包括很多商業或**機密,傳統的郵件系統是以明文的方式在網路上進行流通,很容易被不懷好意的人非法竊聽,造成損失。
傳輸過程包括mta—>mua、mua—>mta、mta—>mta、webmail—>mta等。
危險二: webmail服務的安全性
企業內部的郵件系統是供企業內部使用的,如果開放了webmail到外網,那麼其他無關人員也可以看到,為了避免來自惡意人員的威脅,可啟用客戶端認證功能,只有經過認證的客戶端才可以訪問webmail。
危險三: 資訊的完整性
由於傳統的郵件傳送模式,使得郵件中的敏感資訊和重要資料在傳輸過程中有可能被惡意篡改,使得郵件接受者可能收不到完整的郵件資訊而造成不必要的損失。
危險四: 資訊的不可抵賴性
由於傳統的郵件工作模式(使用者名稱+口令、明文傳輸等),發信方可以否認傳送過郵件,同事收信方也可以否認收取過郵件,很難在出現事故的時候追查某一方的責任 。
危險五: 資料儲存的保密性
傳統的郵件是以明文的方式存放在郵件伺服器中的,郵件管理員或者其他可以接觸到伺服器的人員可以開啟檢視所有的郵件。
可以看到,未進行加密部署的郵件系統在應用的各個環節中容易被不法分子擷取郵件資料、登陸郵箱或者郵件伺服器,均存在安全隱患。
誰才能給使用者交付完整無縫的郵件系統全程加密?
turbomail提供的郵件伺服器閉環全程加密的服務包括有:
一,webmail傳輸安全方案
https協議是http+ssl構建的可進行加密傳輸、身份認證的網路協議,可防止資料在傳輸過程中不被竊取、改變,並確保資料的完整性。 其會話建立的過程,可以簡單描述為,先使用非對稱加密的方式協商好加密演算法(通常是對稱加密演算法)和加密的金鑰,接下來就使用協商好的加密演算法進行加密通訊。
1, https加密+單向認證
server使用httstblvirps發布站點,client無需其他程式設計客棧條件就可以訪問,並通過該站點提供的證書確認站點是可信,這叫做單向認證。一般web應用都是採用單向認證的,原因很簡單,使用者數目廣泛且不固定,很難在通訊層做使用者身份驗證,通常的做法是在應用邏輯層做認證(比如賬號密碼認證)或者根本不需要認證(比如新聞站點)。 單項認證解決了兩個問題:
1) 站點可信;
2) 資訊傳輸的保密性。
turbomail內建tomcat,支援https訪問郵箱,並可根據需要關閉https,只能通過http訪問。自建站點,保證了站點可信,通過此策略,主要是保證web資料互動傳輸的安全性。
2, https加密+雙向認證
server通過https發布站點,client必須安裝被伺服器信任的個人證書才可以訪問,否則無法看到任何內容,並通過該站點提供的證書確認站點是可信,這叫做雙向認證。雙向認證是一種更加安全的做法,它將可能遇到的非法請求或其他安全隱患在通訊層就提前阻斷,保護站點、服務及資料的隱密性和安全性。
雙向認證解決了三個問題:
1) 站點可信;
2) 資訊傳輸的保密性;
3) webmail服務的安全性。
turbomailwww.cppcns.com內建tomcat,全面支援https雙向認證功能。雙向認證+邏輯層帳號密碼認證+ip登入安全,全面保護使用者安全、資料安全、服務安全和站點安全。
二,s/mime方案:傳輸加密、儲存加密、數字簽名
s/mime方案主要解決的問題有:
1) 資訊傳輸的保密性,通過發信方加密郵件實現,包括mua—>mta、mta?mta、mta?mua的傳輸保密性;
2) 資訊的完整性,通過發信方數字簽名實現;
3)資訊的不可抵賴性,通過發信方數字簽名和收信方的已讀資訊實現;
4)資料儲存的保密性,通過發信方加密郵件實現。
三,獨家技術:郵件儲存加密
turbomail郵件系統儲存加密解決的問題是:
1)資料儲存的保密性;
2)由不stblvir同在人員實現多員管理郵件資料機制,金鑰伺服器由專人管理,postmaster郵箱管理員也程式設計客棧無法獨自檢視郵件資料;
3)伺服器物理安全,即使硬碟被盜取甚至整個伺服器被盜取,資料依然被加密胡,是不可讀的。
turbomail採用des演算法對郵件儲存進行加密,包括了郵件的正文和附件。管理員可將此加密系統部署到另外的伺服器,郵件伺服器由管理員a管理,加密伺服器由管理員b管理,優勢:
1)支援第三方加密演算法,使用者可自行選擇,或者使用turbomail提供的des演算法;
2)管理員a和管理員b都無法單獨正常檢視郵件資料;
3)郵件伺服器和加密伺服器任何乙個伺服器出現被入侵等安全事件時,資料均不能被正常檢視;
4)伺服器物理安全,即使伺服器整個被盜取,也無法檢視資料。
本文標題: turbomail郵件系統捍衛檔案資料的安全
本文位址:
開源郵件系統
開源郵件系統 1 簡介 我們的開源企業級郵件系統包括伺服器端及web客戶端兩部分。其中伺服器端有postfix sendmail及qmail三種可選軟體,web客戶端有squirrelmail openwebmail及extmail三種可選軟體。我們所選的郵件伺服器及web客戶端,均為目前世界上使用...
winwebmail郵件系統
mail.autumn.info用a記錄解析到郵件伺服器ip 後面的各個客戶端配置的網域名稱都寫這個a記錄的 再把autumn.info用mx記錄解析到mail.autumn.info 這個是當遇到 autumn.info時會解析到mail.autumn.info 測試埠telnet命令也要用mai...
郵件系統 Postfix學習
郵件系統本來就是乙個資訊密集,併發請求大的系統。看一看主流郵件系統的一些結構對自己以後設計和實現更高效,更穩健的系統有幫助。這裡記錄了一些postfix的應用結構,在一些併發問題的處理等方面的特性。我是悲催的分界線 1.postfix簡介 postfix最初是由wietse venema開發後來由i...