國內95%以上的Email通訊存在安全漏洞

   2003-07-30 corpease

　　某日，C公司技朮支持中心接到一位公司負責人的求助電話，反映他最近3天保留在服務器的電子郵件莫名其妙的丟失了，經過C公司技朮人員對他公司網關服務器的運行日志分析后發現他的郵箱密碼被公司的一位離職員工盜用，造成郵件被盜，該負責人痛心之余不禁滿心疑惑：本人對郵箱密碼一向妥善保管并且定期更換，為什么還會出現密碼被盜郵件丟失的情況？

　　與早期的ICQ等實時通訊工具一樣，Email通訊協議（包括發送時使用的SMTP協議以及接收時使用的POP3、IMAP4協議）都是明文的通訊協議，而Email通訊的過程與長途電話的傳輸過程類似，經過多個服務器，路由器和交換機的中繼以及轉發才可以完成一次完整的Email通訊。使用明文協議意味著發件人的賬號密碼甚至郵件的內容隨時有可能在任何一個傳遞的中間環節被盜取。

　　SSL協議（安全套接字協議）是為了彌補一些已被廣泛應用的明文協議（如www）的安全缺陷而設計的加密通訊協議，它可以用服務器的安全証書對通訊內容進行加密，以防止黑客中途截聽通訊內容。

　　企業郵箱服務商--尚易計算機技朮有限公司，對其客戶的郵箱使用狀況進行了一次調查，結果表明95%以上的國內客戶都沒有使用郵件加密通訊(SSL)功能，盡管其網站www.corpease.net已經有詳細的功能介紹和使用說明，大部分客戶依然習慣性地使用明文的SMTP, POP服務端口。反觀尚易的外資企業以及香港，新加坡地區的客戶，則絕大部分都已使用SSL加密通訊功能，有的外資企業甚至在其企業防火牆內作了限制，只允許員工通過SSL加密端口收發郵件。

　　國內客戶與國外客戶在安全意識上的差異，反映出國內互聯網安全教育相對落后，很多站點提供眾多安全方面的功能，卻沒有詳細解釋為什么要使用這些功能，如何設置，這些功能客戶通常要自行作復雜的配置，如果客戶缺乏安全意識，常會心存僥幸，使用標准配置避免麻煩。

　　收費郵箱特別是企業郵箱特別是企業郵箱應該將SSL加密通訊作為一個標准的功能，并且積極教育客戶使用這些功能，以保障收費用戶的信息安全，這也是收費郵箱與免費郵箱的重要差異之一。另一方面SSL協議處理對系統資源的消耗較大，如果大規模的使用SSL，對郵箱服務商的技朮支持能力，成本控制能力都是一個極大的考驗。