隨著安全教育，特別是保密教育的普及和重視，個(gè)人電腦都嚴(yán)格要求安裝了殺毒軟件和個(gè)人防火墻，病毒庫(kù)和系統(tǒng)漏洞補(bǔ)丁程序也及時(shí)進(jìn)行了更新，對(duì)于大多數(shù)計(jì)算機(jī)來(lái)講，計(jì)算機(jī)系統(tǒng)安全隱患的風(fēng)險(xiǎn)得到了有效的降低，被入侵者主動(dòng)攻擊成功的幾率大大降低;但是由于網(wǎng)絡(luò)的普及，很多家庭和單位具備上國(guó)際互聯(lián)網(wǎng)的條件，收看個(gè)人Email郵件已經(jīng)成為生活中的一部分。郵件攻擊已經(jīng)成為網(wǎng)絡(luò)攻擊的主要手段之一，特別是帶有惡意病毒、網(wǎng)頁(yè)木馬程序、特制木馬程序以及利用軟件漏洞的郵件木馬在互聯(lián)網(wǎng)上泛濫成災(zāi)，用戶打開(kāi)和閱讀郵件時(shí)，木馬感染系統(tǒng)，并可借助移動(dòng)存儲(chǔ)設(shè)備進(jìn)行傳播;因此郵件安全已經(jīng)成為了安全領(lǐng)域一個(gè)不可忽視，而亟待解決的問(wèn)題。

收發(fā)和查看Email郵件主要有兩種方式，一種是直接通過(guò)Web Mail服務(wù)器，另外一種是通過(guò)單獨(dú)的Email郵件客戶端軟件，例如Outlook、Foxmail等，賈培武給出了一些處理Foxmail帶毒郵件的方法，蔣華龍等對(duì)反垃圾郵件的原理以及技術(shù)手段等進(jìn)行了分析。目前對(duì)郵件木馬的攻擊原理，郵件木馬實(shí)現(xiàn)原理等研究較少。

一、郵件安全隱患分析

1、軟件隱患

完美無(wú)缺的軟件目前還沒(méi)有，任何軟件都存在缺陷，只是這種缺陷的危害程度大小不一樣，提供郵件服務(wù)的郵件服務(wù)器以及接收郵件的客戶端軟件都存在或多或少的缺陷。

(1)郵件軟件自身存在缺陷

到目前為止，市面上提供的郵件服務(wù)器軟件、郵件客戶端以及Web Mail服務(wù)器都存在過(guò)安全漏洞。QQ郵箱讀取其他用戶郵件漏洞、Elm 泄露任意郵件漏洞、Mail Security for Domino郵件中繼漏洞、The Bat !口令保護(hù)被繞過(guò)漏洞、Outlook Express標(biāo)識(shí)不安全漏洞、263快信WinBox漏洞、Foxmail口令繞過(guò)漏洞等等。入侵者在控制存在這些漏洞的計(jì)算機(jī)后，可以輕易獲取Email地址以及相對(duì)應(yīng)的用戶名與密碼，如果存在Email通訊錄，還可以獲取與其聯(lián)系的其他人的Email地址信息等。還有一些郵件客戶端漏洞，入侵者可以通過(guò)構(gòu)造特殊格式郵件，在郵件中植入木馬程序，只要沒(méi)有打補(bǔ)丁，用戶一打開(kāi)郵件，就會(huì)執(zhí)行木馬程序，安全風(fēng)險(xiǎn)極高。

(2)郵件服務(wù)器端軟件和客戶端軟件配置問(wèn)題

郵件服務(wù)器軟件和客戶端軟件也會(huì)出現(xiàn)因?yàn)榕渲貌划?dāng)，而產(chǎn)生較高安全風(fēng)險(xiǎn)。很多管理員由于郵件服務(wù)器配置不熟悉，搭建郵件服務(wù)器平臺(tái)時(shí)，僅僅考慮夠用或者能夠使用，而未考慮到應(yīng)該安全可靠的使用，在配置時(shí)僅僅設(shè)置為可使用，未對(duì)其進(jìn)行郵箱安全滲透測(cè)試，因此安全風(fēng)險(xiǎn)也極大。

2、電子郵件木馬隱患

一封正常的郵件，無(wú)論用戶怎么操作，都是安全的;而安全風(fēng)險(xiǎn)往往來(lái)自非正常郵件，目前郵件攻擊結(jié)合社會(huì)工程學(xué)方法，發(fā)送的郵件在表面上跟正常郵件沒(méi)有多大區(qū)別，不容易甄別。這些郵件常常采用以下方式。

(1)網(wǎng)頁(yè)木馬，郵件格式為網(wǎng)頁(yè)文件，查看郵件只能以html格式打開(kāi)，這些網(wǎng)頁(yè)主要利用IE等漏洞，當(dāng)打開(kāi)這些郵件時(shí)，會(huì)到制定地址下載木馬程序并在后臺(tái)執(zhí)行。

(2)應(yīng)用軟件安全漏洞木馬，這些郵件往往包含一個(gè)附件，附件可能是exe文件類型，也可能是doc、pdf、xls、ppt等文件類型，入侵者通過(guò)構(gòu)造特殊的格式，將木馬軟件捆綁在文件或者軟件中，當(dāng)用戶打開(kāi)這些文件時(shí)，就會(huì)直接執(zhí)行木馬程序。還有一種更加隱蔽，將木馬軟件替換為下載者，下載者就是一個(gè)到指定站點(diǎn)下載木馬軟件，其本身不是病毒軟件;用戶查看文件時(shí)，首先執(zhí)行下載者，下載者然后再去下載木馬軟件并執(zhí)行，殺毒軟件將視下載者為正常軟件，不會(huì)進(jìn)行查殺。這種方式隱蔽性好，木馬存活率，安全風(fēng)險(xiǎn)極高。

(3)信息泄露隱患，用戶在注冊(cè)BBS論壇、Blog以及一些公司的相關(guān)服務(wù)中，都要求提供Email地址等相關(guān)信息，有些公司和個(gè)人為了商業(yè)目的會(huì)將郵件地址等進(jìn)行出售來(lái)獲利，這些個(gè)人信息泄露將會(huì)帶來(lái)安全隱患;還有一種情況，就是個(gè)人注冊(cè)信息在網(wǎng)絡(luò)上沒(méi)有得到屏蔽，任何用戶都可以查看和搜索，通過(guò)Google等搜索引擎可以獲取較為詳盡的資料信息，危害極高。

3、系統(tǒng)安全隱患

系統(tǒng)安全隱患的范圍比較大，系統(tǒng)在安裝過(guò)程、配置以及后期使用過(guò)程中由于使用不當(dāng)，都有可能造成安全隱患;例如下載并執(zhí)行未經(jīng)安全檢查的軟件，系統(tǒng)存在未公開(kāi)的漏洞等，這些安全隱患風(fēng)險(xiǎn)極高，且不容易防止，往往只能通過(guò)規(guī)范培訓(xùn)，加強(qiáng)制度管理等來(lái)降低風(fēng)險(xiǎn)。

二、郵件木馬技術(shù)

1、網(wǎng)頁(yè)木馬技術(shù)

網(wǎng)頁(yè)木馬是最近幾年比較流行的一種木馬技術(shù)，其原理就是利用IE本身或Windows組件的漏洞(一般為緩沖區(qū)溢出)來(lái)執(zhí)行任意命令(網(wǎng)頁(yè)木馬即執(zhí)行下載木馬和隱藏執(zhí)行命令)，一般常見(jiàn)的漏洞多產(chǎn)生于IE，畸形文件(如畸形的ANI，word文檔等，IE會(huì)自動(dòng)調(diào)用默認(rèn)關(guān)聯(lián)打開(kāi)，導(dǎo)致溢出)，程序組件(用java調(diào)用帶有漏洞的組件來(lái)執(zhí)行命令)，其核心代碼主要是利用vbs腳本下載木馬程序并執(zhí)行。早期的網(wǎng)頁(yè)木馬主要有兩個(gè)文件，一個(gè)為html網(wǎng)頁(yè)文件，另外一個(gè)為木馬文件。如果瀏覽者的操作系統(tǒng)中存在漏洞，在訪問(wèn)網(wǎng)頁(yè)文件時(shí)便會(huì)自動(dòng)執(zhí)行木馬程序。由于殺毒軟件的查殺，后期的網(wǎng)頁(yè)木馬開(kāi)始利用框架網(wǎng)頁(yè)，例如，將框架網(wǎng)頁(yè)嵌入在正常網(wǎng)頁(yè)中，由于框架網(wǎng)頁(yè)的寬度和高度均為0，所以在網(wǎng)頁(yè)中不會(huì)有視覺(jué)上的異常，不容易被察覺(jué)。后面陸續(xù)出現(xiàn)利用JavaScript、JavaScript變形加密、css、Java、圖片偽裝等多種方式將框架網(wǎng)頁(yè)代碼進(jìn)行轉(zhuǎn)換變形等處理，使其更難被發(fā)現(xiàn)和被殺毒軟件查殺。

入侵者一方面在個(gè)人網(wǎng)站、商業(yè)網(wǎng)站以及門戶網(wǎng)站等上面放置網(wǎng)頁(yè)木馬，控制個(gè)人計(jì)算機(jī)、盜取個(gè)人賬號(hào)、出售流量等來(lái)牟取商業(yè)利益;另外還將這些網(wǎng)頁(yè)木馬制作成網(wǎng)頁(yè)文件，大量發(fā)送垃圾郵件，如果接收者一不小心打開(kāi)了網(wǎng)頁(yè)文件，計(jì)算機(jī)將會(huì)感染和傳播木馬病毒，安全風(fēng)險(xiǎn)極高。

2、文件捆綁技術(shù)

文件捆綁的核心原理就是將b.exe附加到a.exe的末尾，當(dāng)a.exe被執(zhí)行的時(shí)候，b.exe也跟著執(zhí)行了。早期的文件捆綁技術(shù)比較簡(jiǎn)單，文件捆綁器比較容易被查殺，后面逐漸出現(xiàn)通過(guò)利用資源來(lái)進(jìn)行文件捆綁，在PE文件中的資源可以是任意的數(shù)據(jù)，將木馬程序放入資源中，執(zhí)行正常程序后再釋放木馬程序。

在郵件木馬中，捆綁木馬攻擊是最常見(jiàn)的一種攻擊方式，比較直接，只要打開(kāi)郵件中的捆綁的文件，則會(huì)執(zhí)行木馬程序。常見(jiàn)以下幾種捆綁文件類型：

(1)應(yīng)用程序安裝文件。這類可執(zhí)行文件往往偽裝成一個(gè)setup圖標(biāo)的安裝文件。

(2)Ebook電子圖書(shū)文件。Ebook電子圖書(shū)是一種可執(zhí)行的文件，這類文件是將html等文件通過(guò)編譯生成一個(gè)可執(zhí)行文件。

(3)Flash文件。Flash文件有兩種類型，一種是可執(zhí)行的flash文件，直接運(yùn)行就可以觀看flash;另外一種是以.swf結(jié)尾的文件，需要單獨(dú)的Flash播放軟件播放。

文件捆綁的核心就是將一個(gè)正常的文件跟木馬文件捆綁，捆綁時(shí)會(huì)修改文件圖標(biāo)，以假亂真，誘使用戶打開(kāi)這類文件，達(dá)到控制計(jì)算機(jī)或者傳播病毒的目的。

3、應(yīng)用軟件漏洞利用技術(shù)

利用應(yīng)用軟件漏洞而制作的木馬程序，很難識(shí)別，危害最高。Office軟件中的Word、PowerPoint、Excel，Adobe Reader，超星圖書(shū)瀏覽器等都出現(xiàn)過(guò)高危安全漏洞，在日常辦公中這些文件被廣泛使用，利用應(yīng)用軟件的漏洞制作的木馬，跟正常文件沒(méi)有什么區(qū)別，當(dāng)用戶打開(kāi)時(shí)，會(huì)執(zhí)行木馬程序和打開(kāi)正常的文件。入侵者往往利用應(yīng)用軟件漏洞來(lái)制作木馬，將這些看似正常的文件通過(guò)郵件發(fā)送給被攻擊者，被攻擊者一旦打開(kāi)郵件中的文件，感染木馬病毒的幾率非常高。

三、郵件安全防范

1、郵件服務(wù)器安全防范

郵件服務(wù)器最基本的安全是保證操作系統(tǒng)的安全，由于操作系統(tǒng)安全涵蓋面比較大，本文主要是在假設(shè)操作系統(tǒng)安全的前提下，主要討論郵件安全，其系統(tǒng)安全建議采用以下措施：

(1)及時(shí)更新操作系統(tǒng)漏洞補(bǔ)丁。

(2)安裝殺毒軟件和防火墻，及時(shí)更新病毒庫(kù)，定期定時(shí)查殺病毒，如果有條件可以使用郵件安全網(wǎng)關(guān)。

(3)設(shè)立安全checklist，定期按照安全策略進(jìn)行安全檢查。

(4)嚴(yán)格限制IP地址訪問(wèn)，除了郵件服務(wù)器提供的郵件服務(wù)外，如果能夠做IP安全限制，就針對(duì)維護(hù)的IP地址等進(jìn)行信任網(wǎng)絡(luò)設(shè)置。

(5)安裝的任何軟件必須經(jīng)過(guò)安全測(cè)試，確保無(wú)插件，確保安裝的軟件是“干凈”的。

對(duì)于郵件服務(wù)器，不管配置什么樣的郵件服務(wù)器，在配置服務(wù)器時(shí)，一定上網(wǎng)查找目前郵件服務(wù)器軟件版本是否存在漏洞，以及一些相關(guān)的安全配置文章，做好其相關(guān)安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)應(yīng)對(duì)措施。

2、郵件客戶端安全防范技術(shù)

除了郵件服務(wù)器的安全外，郵件客戶端是郵件木馬攻擊的主要對(duì)象，因此做好郵件客戶端的安全防范在郵件安全防范方面至關(guān)重要。郵件客戶端計(jì)算機(jī)應(yīng)當(dāng)安裝有防火墻、殺毒軟件，并及時(shí)更新病毒庫(kù)和操作系統(tǒng)安全補(bǔ)丁。建議使用具有郵件監(jiān)控的殺毒軟件，對(duì)于國(guó)內(nèi)普通用戶可使用“瑞星防火墻軟件”。對(duì)郵件木馬的防范建議采用以下四種方法：

(1)一“查”主要是在收看郵件時(shí)，如果存在附件，先將附件保存到本地，然后使用殺毒軟件進(jìn)行查殺。如果是可執(zhí)行文件，一定要通過(guò)物理通訊方式，詢問(wèn)發(fā)件人，確保郵件的來(lái)源可靠。建議修改文件夾選項(xiàng)，取消“隱藏文件已經(jīng)文件后綴”選項(xiàng)，使其能夠查看文件的實(shí)際后綴名稱，防止入侵者修改文件后綴，以假亂真，誘使收件人執(zhí)行木馬程序。

(2)二“看”主要是指像看郵件標(biāo)題，以及寄件人地址，如果郵件有附件，需要先查看附件屬性，附件文件是否隱藏了文件后綴。如果郵件客戶端程序提供文本查看方式，建議先采用文本查看方式進(jìn)行查看。

(3)三“堵”就是在發(fā)現(xiàn)已經(jīng)感染病毒的情況下，要及時(shí)堵漏，采取相應(yīng)的補(bǔ)救措施，如果發(fā)現(xiàn)系統(tǒng)感染了木馬程序，建議恢復(fù)系統(tǒng)或者重裝操作系統(tǒng)。

(4)使用雙向加密軟件查看和收發(fā)郵件，例如使用具有PGP加密功能的軟件來(lái)進(jìn)行郵件的收發(fā)，通過(guò)個(gè)人簽名證書(shū)等可信任方式來(lái)保證郵件的安全，防止假冒、篡改電子郵件。

如果在收看郵件時(shí)，不小心感染了郵件木馬程序，應(yīng)當(dāng)即刻斷掉網(wǎng)絡(luò)，查殺病毒，做好數(shù)據(jù)備份，如果條件允許，盡量重新恢復(fù)系統(tǒng)，并報(bào)告網(wǎng)管人員，再次進(jìn)行系統(tǒng)安全檢查等，確保本地網(wǎng)絡(luò)完全。

四、結(jié)束語(yǔ)

本文就郵件安全隱患進(jìn)行了探討，郵件攻擊目前已經(jīng)成為攻擊的主要手段之一，由于郵件已經(jīng)成為日常生活中不可缺少的一部分，絕大多數(shù)人都會(huì)上網(wǎng)使用電子郵件，如果沒(méi)有郵件相關(guān)的安全防范意識(shí)，郵件木馬入侵成功率較高，不管是發(fā)生在個(gè)人、公司、政府或者軍隊(duì)，均有極大的安全風(fēng)險(xiǎn)，本文對(duì)郵件木馬等技術(shù)進(jìn)行了研究，最后給出了一些切實(shí)可行的解決方法，對(duì)付郵件木馬有一定的參考價(jià)值。

【編輯推薦】

1. 巧妙抓出郵件病毒合理設(shè)置殺毒軟件
2. 如何建立電子郵件交換之間的安全關(guān)聯(lián)
3. 保證電子郵件安全的五個(gè)小竅門