目录:
视频: postfix邮件服务基础配置 [LinuxCast视频教程] 2024
对于Security +考试,您需要了解可用于安全电子邮件和Internet使用的不同标准和应用程序。您还需要注意安全+考试中的一些漏洞和麻烦,包括病毒恶作剧和垃圾邮件。
电子邮件安全性为了提供
电子邮件通信,已经开发了多种采用密码技术的应用程序。- 安全多用途Internet邮件扩展(S / MIME)
- 安全多用途Internet邮件扩展
- 完整性
- 身份验证
不可否认
访问控制 >(S / MIME)提供了一种发送电子邮件的安全方法,并被合并到几个流行的浏览器和电子邮件应用程序中。 S / MIME通过使用RSA非对称密钥系统,数字签名和X. 509数字证书来提供机密性和身份验证。 S / MIME符合公钥加密标准(PKCS)#7格式,并已被提议作为Internet工程任务组(IETF)的标准。
<! MIME对象安全服务(MOSS)MIME对象安全服务
(MOSS)通过使用MD2或MD5提供机密性,完整性,身份验证和不可否认性,RSA不对称密钥和DES。 MOSS在互联网上还没有得到广泛的实施。 隐私增强邮件(PEM)
隐私增强邮件
(PEM)是IETF提出的符合PKCS标准的标准,但尚未在Internet上广泛实施。它通过使用3DES加密,MD2或MD5消息摘要,X.509数字证书和用于数字签名和安全密钥分发的RSA不对称系统来提供机密性和身份验证。
在本节中,为今天的任何电子邮件用户发现两个非常常见的(无疑是非常熟悉的)电子邮件漏洞:垃圾邮件和恶作剧。
垃圾邮件
垃圾邮件浪费宝贵的有限带宽和计算资源。它每年损失公司和个人数百万美元的生产力损失。目前可用的反垃圾邮件产品效果有限。
打击垃圾邮件的选项是有限的,但包括这些:
删除:
- 如果每天收到的垃圾邮件数量相对较少,最简单的办法就是将其删除。这样做并不是一个真正的解决方案,可能不是您的用户想要听到的内容,但是这是处理垃圾邮件最常用的方法。 过滤器:
- 大多数电子邮件应用程序和Internet电子邮件服务提供了一些过滤功能。几个商业第三方产品提供更好的过滤功能。只要确保您仔细配置过滤选项,以避免过滤合法的电子邮件! 教育:
- 教育您的用户关于垃圾邮件。用户应该知道 从不 回复或取消订阅垃圾电子邮件。这验证了电子邮件地址,并使问题变得更糟。不要接力! 或许公司要做的最重要的事情是确保它已经(或不成为)问题的一部分。设置为
- 开放邮件中继 (很多是默认情况下)的邮件服务器可用于向Internet上的任何人发送垃圾邮件。打开的邮件中继不会尝试验证电子邮件的发件人并转发收到的任何内容。 恶作剧 电子邮件恶作剧通常采用连锁信件的形式。一种特定类型的电子邮件骗局是病毒恶作剧。一个
病毒骗局
是一个电子邮件,描述使用伪科技语言的假病毒。所描述的威胁可能看起来相当合理,可能是您认识的人发送的。 (恶作剧程序通常会指示您将其转发给通讯录中的每个人。)许多恶作剧程序指示不知情的用户删除重要的系统文件。 防范恶作剧应该包括: 教育:
教育您的用户关于电子邮件恶作剧(特别是病毒恶作剧)。指导他们永远不要转发恶作剧,即使它是从他们认识的人那里收到的。确保他们向系统或安全管理员报告恶作剧。
- 验证: 如果您担心病毒恶作剧的合法性,请在Symantec或McAfee验证其是否存在(或不存在)。虽然这些防病毒软件巨头可能不一定立即修复新的病毒,但它们会为您提供有关任何新威胁(真实或欺诈)的可靠信息。互联网安全
- 与电子邮件应用程序一样,已经开发了多种协议和标准来为互联网通信和交易提供安全性。这些包括本文讨论的SSL / TLS和S-HTTP。您还将探索与两个Internet应用程序相关的漏洞:浏览器和即时消息。 安全套接字层(SSL)/传输层安全性(TLS)
安全套接字层
(SSL)协议为Internet上客户端和服务器之间的安全通信提供基于会话的加密和身份验证。
SSL在传输层运行,独立于应用程序协议,并提供服务器身份验证和可选的客户端身份验证。 SSL使用RSA非对称密钥系统; IDEA,DES和3DES对称密钥系统;和MD5哈希函数。当前版本为SSL 3.0。SSL 3. 0被标准化为TLS 1.0,并在1999年发布。 安全超文本传输协议(S-HTTP)
安全超文本传输协议
HTTP)是一种Internet协议,提供了与Web服务器进行安全通信的方法。S-HTTP是一种面向无连接的协议,它在会话的安全属性被成功协商之后封装数据。
协议使用
对称加密(用于保密) 消息摘要(用于完整性)
公钥加密(用于客户端服务器认证和不可否认)
- 即时消息
- 即时消息程序由于其易用性和即时通信能力而在互联网上变得非常流行。例子包括AIM,MSN Messenger和Yahoo!信使。
- 许多漏洞和安全风险(如以下内容)与即时消息程序相关联:
病毒和特洛伊木马程序:
IM程序正迅速成为传播恶意代码的首选媒体。
社交工程:
- 许多用户不知道即时消息的开放性,随便将个人,私人或敏感信息交换给不明身份的人。 共享文件:
- 许多IM程序(和相关程序)允许用户共享其硬盘或传输文件。 数据包嗅探:
- 与几乎所有的TCP / IP流量一样,IM会话可以很容易地被嗅探到有价值的信息和密码。 Internet浏览器 Internet浏览器(如Microsoft的Internet Explorer和Netscape Navigator)是基本的Web上网工具。为了增强您的网上冲浪体验,许多很酷的工具被设计为提供超越基本HTML的动态和交互式内容。当然,这些功能通常会带来额外的安全风险。
- 这些工具和风险包括: JavaScript:
JavaScript是一种由Netscape开发的为HTML网页提供动态内容的脚本语言。 JavaScript有许多已知的漏洞,例如,可以揭示有关用户的私人信息,或允许某人阅读本地机器上的文件。
ActiveX和Java小应用程序:
ActiveX和Java可以使Web浏览器做一些相当整洁的事情 - 和一些非常讨厌的东西。 ActiveX的安全模型基于信任关系。 (您接受数字证书,并下载小程序。)Java安全性基于
- 沙箱的概念, 将小程序限制为仅与源主机通信,并防止小程序直接访问PC的硬盘或其他资源 - 理论上。
- 缓冲区溢出: 缓冲区溢出可能是当今最常见,最容易犯的拒绝服务攻击。 Web浏览器(特别是Internet Explorer)中的漏洞可被利用,从而导致系统崩溃,甚至导致攻击者未经授权访问系统或目录。
