白宫的电子邮件管理问题对很多机构来说都很普遍，解决方案也是现成的，而且这些解决方案价格便宜，实施简便。你问问任何一家电子邮件存档供应商就可以明白这一点。

　　MessageOne公司的营销副总裁Paul DArcy表示，“他们的电子邮件没有存档并不是由于什么技术原因。” MessageOne公司是一家电子邮件存档服务提供商，戴尔公司（Dell）在上周完成了对MessageOne公司的收购，收购价格1亿5500万美元。Paul DArcy还表示，“我们完全可以帮助他们解决这些问题，而且费用不会超过1000美元/月。服务中将包含硬件、软件、服务和存储。”

　　不过这并不是白宫的要求。在过去的八年中，该机构不断地在电子邮件保留技术方面遇到问题—或者是由于缺乏相关技术而遇到问题。该机构和目前担任该机构CIO的Theresa Payton仍然身陷法律的纷争之中：华盛顿公民责任和商业道德组织（Citizens for Responsibility and Ethics in Washington）和乔治华盛顿大学中的国家安全档案馆（National Security Archive at George Washington University）无法按照信息自由法（Freedom of Information Act）的要求提供特定的电子邮件文档。

　　情况可能已经到了最危急的时候。在上周发出的法院指令中，美国地方法官约翰·法乔拉要求美国总统执行办公室（Executive Office of the President，EOP）在星期一之前，也就是5月5日之前确认“2003年5月到2003年10月之间所有的备份磁带是否仍然存在—而且，如果这些磁带已经不在了，要提供在这段时间内，具体哪一天的磁带不存在的信息。”

　　白宫是否能够拿得出相关的证据目前还存在疑问。一系列的证据都似乎说明了这一点，一份美国众议院在 2月份发布的声明表示，根据Payton的陈述，白宫的一群IT专业人士没有建立起有效的电子邮件存档策略，而且除非现行的管理发生变化，否则这种局面还将持续下去。

　　例如，在布什入主美国白宫后，美国总统执行办公室意识到从Lotus Notes迁移到微软的Exchange可能会影响到正在使用的自动记录管理系统（Automatic Records Management System，ARMS）。可是，美国总统执行办公室的IT人员并没有替换掉旧的系统，反而开始间歇地将Exchange日志放到不同的服务器上。根据美国国会2008年2月的备忘录中的记录，这种不同寻常的流程从2002年9月一直持续到2006年10月。

　　即使在采购并实施完成了一款针对Exchange定制的存档系统项目之后，Payton还是在2006年8月份决定不使用该系统，他表示这是出于数据迁移和安全性等方面问题的考虑。

　　不过，Payton在2008年2月对美国国会众议院议员们表示，美国总统执行办公室正在实施一个文件管理系统项目，该系统由EMC公司提供，可以对电子邮件进行存档。Payton对议院委员会表示，“美国总统执行办公室目前正在实施文件管理项目，它的平台可以实现记录管理，这个系统得到了美国国防部（DOD）的批准，达到了NARA（U.S. National Archives and Records Administration，美国国家档案和记录管理）指导方针的要求，并将满足美国总统执行办公室的记录管理和存档需求。”

　　但是到目前为止，新的系统将在什么时候、以何种方式投入使用仍不清楚。EMC公司没有针对美国总统执行办公室的安排做出任何评论。没有哪一个新系统能够生成已经丢失或者没有存档的电子邮件。

　　白宫的案例显示出很多机构共同面临的挑战：首先，要以有效的方式存档电子邮件；其次，要对存档的电子邮件进行组织、管理，要能够进行电子邮件搜索；最后，如果遇到官司，应该能够限制它的使用和转移。

　　一点也不奇怪，电子邮件存档系统供应商表示这些问题非常常见，几乎所有的机构都会面临这样的问题。

　　戴尔MessageOne公司的DArcy表示，“从技术的角度看，政府遇到的问题和大企业所遇到的问题都是一样的。”

　　另一家供应商C2C公司表示，白宫在这方面要达到的法律要求并不比大型金融服务企业更高或者是更低。 C2C公司的CEO Dave Hunt表示，要达到这种要求的解决方案非常简单，而且成本也不高。他开玩笑地表示， “人们只是还没有意识到，他们只要花很少的钱，就可以避免让自己的名字出现在报纸标题上。”他表示，针对200个邮箱使用他所在公司ArchiveOne产品的成本不到10000美元。“这算不上多大一笔钱，对不对？”

　　解决方案也并不难找到。可能的买主在挑选电子邮件存档解决方案方面有很多选择。既可以选择C2C公司之类的厂商提供的硬件或软件产品，也可以选择戴尔MessageOne公司、Autonomy Zantaz公司之类的公司提供的服务。Oracle最近也进入了这个市场，此举标志着大型企业软件供应商也对这个市场产生了兴趣。

　　所有这些供应商都忍不住要宣传一下避免电子邮件存档错误所带来的美妙前景。总的来说，他们的建议主要集中在以下三个方面：

　　1、自动进行电子邮件存档。供应商们表示，在今天的电子邮件管理世界里，手工保存电子邮件日志文件的做法完全没有自己的位置。绝大部分的产品会每天自动地在指定的时间中清除电子邮件日志。Mimosa之类的公司则提供了另一种可供选择的方法，该公司的产品提供了其他的信息获取方式，也非常有效。MessageOne公司宣布该公司的产品可以直接同Exchange集成，以便在电子邮件组织内提供粒状过滤。Dave Hunt表示，“我们可以只针对总统的人进行独立的存档。”

　　2、让存储的电子邮件可以搜索。在存档中能够找到某一电子邮件和/或附件的能力非常重要。这通常需要对特定的电子邮件增加存根或数字“发送”标记。这种类型的标记方式通常是通过读取电子邮件的元数据实现的。它是为不同用户创建自动保持计划的关键。

　　3、达到法律保持要求。戴尔MessageOne公司的Paul DArcy表示，能够按照法律的要求保存电子邮件信息和首先进行存档一样重要。他认为，实现这一目标就必须要有有效的电子邮件标记和策略设置。今天，绝大部分的系统都可以按照用户或者特定邮箱达到法律保持要求。无论是哪种方式，关键都在于当律师打来电话的时候，能够提供完整的证据。

　　厂商们一点也不讳言自己完全有能力解决白宫的电子邮件存档问题。例如，Dave Hunt就宣称C2C公司有一个程序，该程序可以在联网服务器上自动跟踪.pst文件，然后将它们保存到电子邮件存档系统之中，并对发现的所有副本进行同步。

　　最后，白宫的问题对于那些还没有保存电子邮件的人来说，是个很好的教训。起码这一事件帮助人们将争论的焦点集中到越来越严重的电子邮件管理问题上来。

　　IT安全与控制公司Sophos公布了2008年第三季度最新的垃圾邮件趋势调查结果，并揭示了排名前12的垃圾邮件转发国家。

　　数据显示出2008年7月—9月发送出的带有恶意附件的垃圾邮件，正在以惊人的比例增长，并且增加了利用垃圾邮件攻击对社会工程技术陷阱不知情的计算机用户。

　　Sophos的最新报告显示，7月—9月间每416封电子邮件就有一份包含有意感染收件人电脑的危险附件。和前一季度的每3333封中便有一份相比，统计数字上升为惊人的八倍。

　　Sophos公司已经确定，在这期间增加的大部分可以归因于几个大型恶意的垃圾邮件所为。最严重的一次攻击是Agent-HNY木马病毒通过垃圾邮件伪装成为苹果iPhone中《企鹅快跑》游戏的形式进行恶意攻击。

　　其他主要事件包括EncPk-CZ木马病毒和Invo-Zip恶意软件伪装成一个微软的安全补丁，它们伪装为来自于联邦快递和UPS的通知，内容则是有关于包裹递送失败。

　　Windows用户打开这些附件，就会使他们的电脑产生受到感染的风险，这将会使自己的身份信息和财务信息陷于危险之中，Sophos公司认为最普遍的攻击方式不会在Unix和Mac OS X上运行。

　　“对于苹果Mac和Unix爱好者，这些垃圾邮件的主要攻击手段只是意味着收件箱被堵塞，而不是一个受感染的操作系统。但是有组织的犯罪团伙对Windows用户造成的破坏是在窃取现金。Sophos的高级技术顾问说。 “很多人没有思考一下就点击，这样是把自己暴露给那些挖空心思来获取机密信息和银行账户的黑客们。有关于此的建议很简单：永远不要打开那些不请自来的附件，无论它们的出现是多么诱人。”

　　对out-fox用户的创新型社会工程继续进行

　　与使用恶意的电子邮件附件一样，电脑犯罪分子继续嵌入恶意链接、制造垃圾邮件并快速攻击来掠取用户的好奇心。

　　例如在8月，Sophos警告了一个自称是来自MSNBC和有线电视新闻网突发新闻报警的垃圾邮件广泛传播。每封电子邮件鼓励用户点击一个链接来阅读新闻，但是替代的是使用户在不知情的情况下链接到一个恶意网页，从而导致Windows电脑感染Mal/EncPk-DA木马病毒。

　　当一个垃圾邮件貌似来自可信任的来源，很多用户就会上当，最终通过点击链接至一个恶意网页。许多互联网用户表现出的天真烂漫是彻头彻尾的危险。在过去，黑客更像是十几岁的恶作剧者闯入鸡舍看看他们能找到的东西。但是在今天，他们就像是一个顽固不化的罪犯，穿着平头钉靴没有任何顾虑地侵入您的家中，并偷窃到一切他们能得到的。

　　新领域

　　在过去3个月里，垃圾邮件已经证明自己是不怕尝试新的方法分发他们的营销信息，以及传播恶意软件到不设防的公共空间。Sophos发现垃圾邮件通过社交网络网站升级，如Facebook和Twitter，并预测此趋势将继续上升。

　　发展中国家得以呈现于排名前12的转发垃圾邮件国家名单中

　　本季度的报告中哥伦比亚和泰国，分列名单的第十一和第十二位，而印度已经连续在名单上排名第七。

　　“不安全的电脑，无论他们在世界上的哪个位置，都是是垃圾邮件发送者的梦想—他们可以轻易地远程控制加入到庞大的僵尸网络，制造混乱、派遣海量的垃圾邮件并进行拒绝服务攻击，”Cluley解释说。“这些讯息需要明晰而准确的传递：如果没有适当保护您的电脑，那不仅会使你的数据、财务、和身份信息承担风险，也会危及互联网的其他成员。”

　　虽然美国依然在转发垃圾邮件的名单中占据榜首，但俄罗斯为世界的垃圾邮件增长贡献了自己的力量，从去年的4.4个百分点飙升至现阶段的8.3个百分点。

　　转发垃圾邮件的洲际分布 2008年7月至9月

　　Sophos发布2008年7月至9月之间，世界范围内的洲际转发垃圾邮件名单：

　　据Sophos的研究人员表示，最近没有任何迹象表明当局对垃圾邮件的主要团伙采取法律行动来影响垃圾邮件的传播。

　　Sophos建议公司对他们企业的病毒防护采用自动更新，并对他们的电子邮件和网络网关运行一个综合的解决方案以抵御病毒和垃圾邮件。

　　随着安全教育，特别是保密教育的普及和重视，个人电脑都严格要求安装了杀毒软件和个人防火墙，病毒库和系统漏洞补丁程序也及时进行了更新，对于大多数计算机来讲，计算机系统安全隐患的风险得到了有效的降低，被入侵者主动攻击成功的几率大大降低 ; 但是由于网络的普及，很多家庭和单位具备上国际互联网的条件，收看个人Email邮件已经成为生活中的一部分。邮件攻击已经成为网络攻击的主要手段之一，特别是带有恶意病毒、网页木马程序、特制木马程序以及利用软件漏洞的邮件木马在互联网上泛滥成灾，用户打开和阅读邮件时，木马感染系统，并可借助移动存储设备进行传播 ; 因此邮件安全已经成为了安全领域一个不可忽视，而亟待解决的问题。

　　收发和查看Email邮件主要有两种方式，一种是直接通过WebMail服务器，另外一种是通过单独的Email邮件客户端软件，例如Outlook、Foxmail等。

　　1.邮件安全隐患分析

　　1.1 软件隐患

　　完美无缺的软件目前还没有，任何软件都存在缺陷，只是这种缺陷的危害程度大小不一样，提供邮件服务的邮件服务器以及接收邮件的客户端软件都存在或多或少的缺陷。

　　（1）邮件软件自身存在缺陷

　　到目前为止，市面上提供的邮件服务器软件、邮件客户端以及WebMail服务器都存在过安全漏洞。QQ邮箱读取其他用户邮件漏洞、Elm泄露任意邮件漏洞、Mail Security for Domino邮件中继漏洞、The Bat!口令保护被绕过漏洞、Outlook Express标识不安全漏洞、263快信WinBox漏洞、Foxmail口令绕过漏洞等等。入侵者在控制存在这些漏洞的计算机后，可以轻易获取Email地址以及相对应的用户名与密码，如果存在通讯录，还可以获取与其联系的其他人的Email地址信息等。还有一些邮件客户端漏洞，入侵者可以通过构造特殊格式邮件，在邮件中植入木马程序，只要没有打补丁，用户一打开邮件，就会执行木马程序，安全风险极高。

　　（2）邮件服务器端软件和客户端软件配置问题

　　邮件服务器软件和客户端软件也会出现因为配置不当，而产生较高安全风险，例如，Cedric邮件阅读器皮肤配置脚本存在远程文件包含漏洞。很多管理员由于邮件服务器配置不熟悉，搭建邮件服务器平台时，仅仅考虑够用或者能够使用，而未考虑到应该安全可靠的使用，在配置时仅仅设置为可使用，未对其进行邮箱安全渗透测试，因此安全风险也极大。

　　1.2 电子邮件木马隐患

　　一封正常的邮件，无论用户怎么操作都是安全的；而安全风险往往来自非正常邮件，目前邮件攻击结合社会工程学方法，发送的邮件在表面上跟正常邮件没有多大区别，不容易甄别。这些邮件常常采用以下方式。

　　（1）网页木马，邮件格式为网页文件，查看邮件只能以html格式打开，这些网页主要利用IE等漏洞，当打开这些邮件时，会到制定地址下载木马程序并在后台执行。

　　（2）应用软件安全漏洞木马，这些邮件往往包含一个附件，附件可能是exe文件类型，也可能是doc、pdf xls、ppt等文件类型，入侵者通过构造特殊的格式，将木马软件捆绑在文件或者软件中，当用户打开这些文件时，就会直接执行木马程序。还有一种更加隐蔽，将木马软件替换为下载者，下载者就是一个到指定站点下载木马软件，其本身不是病毒软件；用户查看文件时，首先执行下载者，下载者然后再去下载木马软件并执行，杀毒软件将视下载者为正常软件，不会进行查杀。这种方式隐蔽性好，木马存活率，安全风险极高。

　　（3）信息泄露隐患，用户在注册BBS论坛、Blog以及一些公司的相关服务中，都要求提供Email地址等相关信息，有些公司和个人为了商业目的会将邮件地址等出售来获利，这些个人信息泄露将会带来安全隐患；还有一种情况，就是个人注册信息在网络上没有得到屏蔽，任何用户都可以查看和搜索，通过Google等搜索引擎可以获取较为详尽的资料信息，危害极高。

　　1.3 系统安全隐患

　　系统安全隐患的范围比较大，系统在安装过程、配置以及后期使用过程中由于使用不当，都有可能造成安全隐患；例如下载并执行未经安全检查的软件，系统存在未公开的漏洞等，这些安全隐患风险极高，且不容易防止，往往只能通过规范培训，加强制度管理等来降低风险。

　　2. 邮件木马技术

　　2.1 网页木马技术

　　网页木马是最近几年比较流行的一种木马技术，其原理就是利用IE本身或Windows组件的漏洞（一般为缓冲区溢出）来执行任意命令（网页木马即执行下载木马和隐藏执行命令），一般常见的漏洞多产生于IE，畸形文件（如畸形的ANI，word文档等，IE会自动调用默认关联打开，导致溢出），程序组件（用java调用带有漏洞的组件来执行命令），其核心代码主要是利用vbs脚本下载木马程序并执行。早期的网页木马主要有两个文件，一个为html网页文件，另外一个为木马文件。如果浏览者的操作系统中存在漏洞，在访问网页文件时便会自动执行木马程序。由于杀毒软件的查杀，后期的网页木马开始利用框架网页，例如，将框架网页嵌入在正常网页中，由于框架网页的宽度和高度均为0，所以在网页中不会有视觉上的异常，不容易被察觉。后面陆续出现利用JavaScript、JavaScript变形加密、css、Java、图片伪装等多种方式将框架网页代码进行转换变形等处理，使其更难被发现和被杀毒软件查杀。

　　入侵者一方面在个人网站、商业网站以及门户网站等放置网页木马，控制个人计算机、盗取个人账号、出售流量等来牟取商业利益；另外还将这些网页木马制作成网页文件，大量发送垃圾邮件，如果接收者一不小心打开了网页文件，计算机将会感染和传播木马病毒，安全风险极高。

　　2.2 文件捆绑技术

　　文件捆绑的核心原理就是将b.exe附加到a.exe的末尾，当a.exe被执行的时候，b.exe也跟着执行了。早期的文件捆绑技术比较简单，文件捆绑器比较容易被查杀，后面逐渐出现通过利用资源来进行文件捆绑，在PE文件中的资源可以是任意的数据，将木马程序放入资源中，执行正常程序后再释放木马程序。

　　在邮件木马中，捆绑木马攻击是最常见的一种攻击方式，比较直接，只要打开邮件中的捆绑的文件，则会执行木马程序。常见以下几种捆绑文件类型：

　　（1）应用程序安装文件。这类可执行文件往往伪装成一个setup图标的安装文件。

　　（2）Ebook电子图书文件。Ebook电子图书是一种可执行的文件，这类文件是将html等文件通过编译生成一个可执行文件。

　　（3）Flash文件。Flash文件有两种类型，一种是可执行的flash文件，直接运行就可以观看flash；另外一种是以.swf结尾的文件，需要单独的Flash播放软件播放。

　　文件捆绑的核心就是将一个正常的文件跟木马文件捆绑，捆绑时会修改文件图标，以假乱真，诱使用户打开这类文件，达到控制计算机或者传播病毒的目的。

　　2.3 应用软件漏洞利用技术

　　利用应用软件漏洞而制作的木马程序，很难识别，危害最高。Office软件中的Word、PowerPoint、Excel Adobe Reader，超星图书浏览器等都出现过高危安全漏洞，在日常办公中这些文件被广泛使用，利用应用软件的漏洞制作的木马，跟正常文件没有什么区别，当用户打开时，会执行木马程序和打开正常的文件。入侵者往往利用应用软件漏洞来制作木马，将这些看似正常的文件通过邮件发送给被攻击者，被攻击者一旦打开邮件中的文件，感染木马病毒的几率非常高。

　　3.邮件安全防范

　　3.1 邮件服务器安全防范

　　邮件服务器最基本的安全是保证操作系统的安全，由于操作系统安全涵盖面比较大，本文主要是在假设操作系统安全的前提下，主要讨论邮件安全，其系统安全建议采用以下措施：

　　（1）及时更新操作系统漏洞补丁。

　　（2）安装杀毒软件和防火墙，及时更新病毒库，定时查杀病毒，如果有条件可以使用邮件安全网关。

　　（3）设立安全checklist，定期按照安全策略进行安全检查。

　　（4）严格限制IP地址访问，除了邮件服务器提供的邮件服务外，如果能够做IP安全限制，就针对维护的 IP地址等进行信任网络设置。

　　（5）安装的任何软件必须经过安全测试，确保无插件，确保安装的软件是“干净”的。

　　对于邮件服务器，不管配置什么样的邮件服务器，在配置服务器时，一定上网查找目前邮件服务器软件版本是否存在漏洞，以及一些相关的安全配置文章，做好其相关安全风险评估和风险应对措施。

　　3.2 邮件客户端安全防范技术

　　除了邮件服务器的安全外，邮件客户端是邮件木马攻击的主要对象，因此做好邮件客户端的安全防范在邮件安全防范方面至关重要。邮件客户端计算机应当安装有防火墙、杀毒软件，并及时更新病毒库和操作系统安全补丁。建议使用具有邮件监控的杀毒软件，对于国内普通用户可使用“瑞星免费防火墙+avast!杀毒软件” 的组合，avast!具有较强的邮件和网页木马监控能力，而且是免费的。对邮件木马的防范建议采用以下四种方法：

　　（1）一“查”：主要是在收看邮件时，如果存在附件，先将附件保存到本地，然后使用杀毒软件查杀。如果是可执行文件，一定要通过物理通讯方式，询问发件人，确保邮件的来源可靠。建议修改文件夹选项，取消 “隐藏文件已经文件后缀”选项，使其能够查看文件的实际后缀名称，防止入侵者修改文件后缀，以假乱真，诱使收件人执行木马程序。

　　（2）二“看”：主要是指像看邮件标题，以及寄件人地址，如果邮件有附件，需要先查看附件属性，附件文件是否隐藏了文件后缀。如果邮件客户端程序提供文本查看方式，建议先采用文本查看方式进行查看。

　　（3）三“堵”：就是在发现已经感染病毒的情况下，要及时堵漏，采取相应的补救措施，如果发现系统感染了木马程序，建议恢复系统或者重装操作系统。

　　（4）使用双向加密软件查看和收发邮件，例如使用具有 PGP 加密功能的软件来进行邮件的收发，通过个人签名证书等可信任方式来保证邮件的安全，防止假冒、篡改电子邮件。

　　如果在收看邮件时，不小心感染了邮件木马程序，应当即刻断掉网络，查杀病毒，做好数据备份，如果条件允许，尽量重新恢复系统，并报告网管人员，再次进行系统安全检查等，确保本地网络完全。

　　4.结束语

　　本文就邮件安全隐患进行了探讨，邮件攻击目前已经成为攻击的主要手段之一，由于邮件已经成为日常生活中不可缺少的一部分，绝大多数人都会上网使用电子邮件，如果没有邮件相关的安全防范意识，邮件木马入侵成功率较高，不管是发生在个人、公司、政府或者军队，均有极大的安全风险，本文对邮件木马等技术进行了研究，给出了一些可行的解决方法，供大家参考。