邮件系统

电子邮件安全发展简史

发布时间:2013-04-15

近年来,电子邮件作为一种通讯方式在不断快速发展的同时,也为软件业和全球的公司创造了机遇和挑战。Internet工程任务组(IETF)于1986年正式成立,旨在建立Internet标准并影响使用Internet的最佳实践。

进入九十年代后,万维网的普及改变了计算行业的前景,成千上万的计算机用户争先使用Internet来处理业务和娱乐。

软件公司开发了大众喜爱的电子邮件客户端和企业邮箱服务器软件,并通过免费下载和高端商业应用程序提供了增强功能。在Internet和Web浏览使用量增长的同时,许多公司发布了基于Web的电子邮件解决方案,并在频繁的广告赞助的支持下通常免费向最终用户提供。企业软件的商业提供程序一直在不断的创新,提供了增强的功能以帮助IT部门更加有效和安全地管理电子邮件系统,同时帮助信息工作者应对大量电子邮件所带来的管理方面的挑战。现在,电话和企业邮箱系统的结合使用户能够通过电子邮件客户端访问语音邮件和传真,而且手持设备已广泛流行,用户通过手机就可访问电子邮件。

邮件技术的重要性越来越高,已成为全球企业的一个竞争优势。系统管理器也面临着更多挑战,如在提供增强功能使其人员具有竞争力的同时保护其网络和知识资本。

电子邮件安全性威胁的演变

在过去的五年当中,我们亲眼看到了电子邮件用户和公司所面临的安全性风险变得日益严重。病毒、蠕虫、垃圾邮件、网页仿冒欺诈、间谍软件和一系列更新、更复杂的攻击方法,使得电子邮件通信和电子邮件基础结构的管理成为了一种更加具有风险的行为。可能发生许多身份被窃的事件,结果将导致知识产权受到侵害和个人信息(如信用卡号和社会安全号)丢失。这些问题以及电子通信的成功促成了建立控制隐私、跟踪功能和日记功能的新法规。

病毒与蠕虫

第一个主要的电子邮件蠕虫是1999年3月出现的Melissa;而在2000年5月,ILOVEYOU电子邮件邮件病毒对Internet造成了严重的破坏。由于这些病毒,附件过滤和阻止已成为了标准电子邮件功能。现在,某些附件在传输过程通常会被诸如Outlook、OutlookExpress和OutlookWebAccess(OWA)的客户端从电子邮件中分离出来并阻止。防病毒解决方案可在电子邮件传递过程中运行,或者当其存储在服务器和电子邮件客户端中时运行。通常,在客户端和服务器上都要实施防病毒解决方案。事实上,许多公司都禁止将没有运行当前防病毒软件的机器连接到网络中。

垃圾邮件和网页仿冒欺诈

在2000年初,垃圾邮件就已成为了一个主要的问题,它对电子邮件的效用造成了严重影响。2002年,美国联邦交易委员会开始对欺骗性的垃圾邮件进行整治,但是由于各国家之间的法律存在巨大差异,使得法律措施很难在类似Internet的全球系统中执行。垃圾邮件不仅让人感到愤怒,而且还通常用于网页仿冒欺诈垃圾邮件中,以窃取信息和金钱。垃圾邮件是一种非常廉价的广告(或攻击)方法,即使点击率非常低,也非常有效。RadicatiGroup,Inc曾估计2006年每天将平均发送超过1000亿封垃圾邮件,占所有电子邮件通信的三分之二。要下载完整的报告,请参阅MicrosoftExchangeMarketShareStatistics,2005(英文)。

抵御垃圾邮件的技术源于一些非常简单的想法,如删除包含禁止词语的电子邮件。现如今,这些想法发展成了多种垃圾邮件检测和减少垃圾邮件的技术。当前的解决方案仍包括字词阻止程序,但现在它们还包括复杂的垃圾邮件检测工具,像MicrosoftSmartScreen%26#8482;技术。在Internet上快速搜索会找到很多销售抵御垃圾邮件技术的公司,同时又有很多人愿意帮助他人避开反垃圾邮件检测程序。遗憾的是,在反垃圾邮件检测技术不断提高的同时,避开反垃圾邮件检测的尝试也在不断改进。反垃圾邮件检测软件,就像防病毒软件一样,也需要定期更新才能始终保持有效。

攻击和新的挑战

九十年代,计算机专家了解到可以利用一些常见的编码错误(如缓冲区溢出)。在计算机通过网络进行连接变得越来越平常的同时,这些漏洞也变得更加容易被利用。在此之前,病毒仍是通过软盘进行传播,而在此以后,攻击变得更加复杂。存在很多利用内存管理错误(包括利用整数溢出)的巧妙方法,这些方法在秘密社区中很流行。跨站点脚本(CSS)和其他脚本置入技术用于攻击Web应用程序。目前的许多攻击是为了金钱,而以前的攻击通常是为了引起公众注意。

我们知道恶意用户通常使用工具自动地查找和利用漏洞。这些工具包括名为“fuzzer”的工具,此类工具可截取正常的输入,然后对其进行修改,或者生成错误的输出。使用这些工具还可标识编码错误,这些错误可被用来执行代码。在这些用于反向工程或用于标识程序中的更改的工具已经有了很多改进。现在,在Microsoft产品的开发过程中使用了各种“fuzzer”和分析工具,用于识别这些潜在的代码缺陷,以便在交付产品之前能够改正这些缺陷。例如,开发人员使用VisualStudio%26reg;2005中的分析选来查找其代码中的缺陷。运行一套代码分析工具是Microsoft作为SecurityDevelopmentLifecycle(SDL)(英文)的一部分所引入的变革之一。