骚扰者必须首先混入服务器中。擎空霹雳剑就如同一把倚天剑，斩断他们伸向邮件服务器的脏手。企业用户或家庭用户的邮件都是通过服务器转发过来的。企业网中一般有专用的电子邮件服务器，而通过Internet上网的家庭则通过ISP的电子邮件服务器接收邮件。通常来说，可在邮件服务器端或是在客户端采用一定的方法来阻隔垃圾邮件。相比之下，在邮件服务器端的防御会更为有效。因此，每个企业应该首先拿起这把利剑，以达到事半功倍的效果。

　　与在服务器端相比，在客户端防范垃圾邮件将要花费更多的时间。公司的网络管理员需要在每台客户端的机器上都安装、配置反垃圾邮件软件，并定时更新和升级反垃圾邮件软件的过滤文件。而且，在客户端的防御并不能阻止垃圾邮件到达客户端的邮件服务器上。其实在客户端反垃圾邮件软件清除那些垃圾邮件之前，它们已经消耗了邮件服务器上宝贵的网络带宽和存储资源。而且，许多垃圾邮件发送者都已熟知当今主要的客户端反垃圾邮件软件所用的检测方法，他们能使用一些技巧（如隐藏邮件中某些关键字），绕过反垃圾邮件软件的防范措施。

　　抓住要害解决问题，就可以做到事半功倍。在服务器端阻止垃圾邮件是效率最高的方式。所以，为了有效地阻止垃圾邮件，并将其所造成的损失减小到最少，需要在邮件服务器端采取相应的防范措施。在邮件服务器端阻隔垃圾邮件主要有以下优点。

　　1.可以在仅与Internet相连的前端服务器(或邮件转发网关)上采取防范措施，从而省去了在每个客户端进行安装和配置的繁琐工作。

　　2.在垃圾邮件进入客户端的邮件系统前就将其阻隔，节省了网络带宽和存储资源。

　　3.基于邮件服务器端的防范手法更为多样，结合使用，更为有效。

　　尽管市场上已经出现一些企业级的防垃圾邮件产品，但一般价格较高（像支持1000个以上用户的产品价格通常超过10万元），而且有些效果并不十分理想（漏判率较高，有些甚至超过20%，导致很多垃圾邮件“蒙混过关”）。所以，对很多用户来讲，在服务器端防范垃圾邮件主要是开发已有邮件服务器内嵌的相应功能。

　　企业邮件服务器主要有基于Windows操作系统平台的Exchange邮件服务器，基于Unix/Linux操作系统平台的Sendmail服务器，以及其他厂商的产品和一些共享软件。在这些邮件服务器中，都提供了抵御垃圾邮件的功能。我们可以充分利用这些功能，筑起阻止垃圾邮件的第一道防线。此外，结合企业网自身的结构，基于硬件的反垃圾邮件服务器也可有所作为。

　　掐起Exchange剑诀

　　Exchange 2000 Server（以下简称为Exchange）是目前微软在邮件服务器领域的旗舰产品，在企业中得到广泛应用。下面就介绍在Exchange服务器上防范垃圾邮件的主要方法。

　　一、切断恶意转发通道

　　不看不知道，在Exchange服务器上，还真有不少防范垃圾邮件的神奇招数，可采取防止恶意转发、控制邮件来源与数量、过滤等各种手段。

　　探明来路

　　到底什么是垃圾邮件呢?简单来说，垃圾邮件是那些收信人并不希望收到、并且也从未订阅过，但是却被人利用电子邮件可以随意发送的特点，强行塞入收信人的邮箱的电子邮件。以下电子邮件都被视为垃圾邮件：

　　（1）收信人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件

　　（2）收件人无法拒收的电子邮件

　　（3）隐藏发件人身份、地址和标题等信息的电子邮件

　　（4）含有虚假的信息源、发件人和路由等信息的电子邮件

　　垃圾邮件一次发给很多人，在Internet上同时传送很多副本。在英文中垃圾邮件通常称为Spam或Junk Mail，也有的叫做不请自来的商业电子邮件（Unsolicited Commercial Email，UCE）和不请自来的批量电子邮件（Unsolicited Bulk Email，UBE）。

　　首次关于垃圾邮件的记录是1985年8月一封通过电子邮件发送的连锁信，一直持续到1993年。1993年6月，在Internet上出现了发财之道（Make Money Fast）的电子邮件。历史上比较著名的事件是1994年4月，两名从事移民生意的律师Laurence Canter和Martha Siegel，把一封信发到6000多个新闻组，向公众宣传获得美国国内绿卡的法律支持。垃圾邮件开始引起了人们的注意和反感。一些敏锐的商人立刻意识到了电子邮件带来的商机，许多人开始利用电子邮件作商业广告，1995年5月有人写出了第一个专门的应用程序Floodgate，一次可以自动把邮件发给很多人。紧接着在同年8月份，就有人拿200万个邮件地址出售。

　　随着垃圾邮件的逐渐增加，这一问题也慢慢得到重视。由于过滤垃圾邮件技术的发展，垃圾邮件发送者不得不采取更为隐蔽的技术，比如伪造信头中的发件人、域名和邮件地址等。然而这些方法还是逃不出IP地址的过滤。于是，垃圾邮件发送者又开始寻找其他方法，1997年3月，他们开始把目光转向开放转发。开放转发是解决Internet路由的一种很好的方法，但是存在以上安全漏洞。很快，大部分商业垃圾邮件就开始利用别人的服务器使用邮件转发的办法发送。这样做的原因是可以盗用别人的资源。

　　这里的恶意转发是指一个Internet上的SMTP服务器连接到企业邮件服务器，试图发送邮件到另外一个外部的电子邮件域。例如，某公司的邮件服务器A负责接收的是a.com的邮件地址，如果一台Internet上的外部SMTP服务器B连到该服务器，并想通过该邮件服务器来转发一封到c.com的邮件，这就是一种转发。如果该公司的邮件服务器允许这种转发，那么它就处于转发开放状态。许多垃圾邮件发送者并不用他们自己的邮件服务器来发送垃圾邮件，而是寻找Internet上那些开放转发的邮件服务器来转发垃圾邮件。

　　默认情况下Exchange不是，也不应该是开放转发。处于开放转发状态的邮件服务器会造成很大的危害性，主要有两点。第一，收信方会认为该邮件服务器在散播垃圾邮件，从而在他们的服务器端阻隔所有来自该服务器或其所在域的连接请求。这样该服务器就不能向那些域发信了。更糟的是，该邮件服务器的 IP地址还很有可能会被加入到Internet上公开的开放转发服务器黑名单上，所造成的后果是许多外部域都拒收来自该服务器的邮件，企业需要花费一定的人力财力才能将自己的服务器从黑名单上去除;第二，一般垃圾邮件是群发的，收件人会有成百上千个。垃圾邮件发送者通过企业邮件服务器转发垃圾邮件，他们只需用很少的网络带宽向您的服务器发一封信，此后该服务器若是允许转发，那么它将会占用大量的网络带宽，将这份信转发到所有的外部收信人那里。由于正常的网络带宽被过度占用，情况严重时会造成服务器停止响应，影响内部用户的正常通信。

　　二、堵住垃圾邮件来源

　　对于从Internet上收到的垃圾邮件，可以查看其Internet信头。从信头中可以得到发送这封垃圾邮件的服务器的IP地址，从而可以在Exchange服务器上限制来自这个IP地址的连接。

　　三、控制邮件数量

　　我们知道，垃圾邮件通常是以群发的形式发给大量的收件人。因此，在Exchange服务器上，可以通过限制每个SMTP连入请求所能发送的最大邮件数和每封邮件的最大收件人数，在一定程度上制止垃圾邮件的蔓延。

　　四、严格过滤

　　另外，Exchange服务器还提供了过滤器功能，可用于阻隔来自特定邮件地址、域名的邮件或是发件人为空的邮件。

　　五、自制武器

　　通过使用VB或VC等编写Event Sink，能够检测邮件标题或是信体中的特定内容，从而阻隔垃圾邮件。如果读者对此有更多的兴趣，可以参考微软知识库文档中的代码样例和Exchange 2000 SDK上的内容。

　　查清危害

　　垃圾邮件可以说是Internet带来的严重危害之一，它对于个人、对企业和ISP，甚至对社会都造成了非常严重的损害。

　　从个人用户来看，垃圾邮件浪费了人们的大量时间、精力和金钱。一般人们需要至少10秒钟的时间来判断一封邮件是否为垃圾邮件，如果每天收到几十份垃圾邮件，就得花大约10分钟的时间来处理它们，实在是非常痛苦的事情。

　　更重要的是，垃圾邮件侵犯收件人的隐私权，侵占收件人信箱空间。个人邮件箱中充斥的垃圾邮件可能装载了供人跟踪您网上行踪的软件，而您甚至无法意识到一切秘密都呈现在别人眼前。有的垃圾邮件还盗用他人的电子邮件地址做发信地址，严重损害了他人的信誉。

　　对于企业，垃圾邮件占用网络带宽，造成邮件服务器拥塞，进而降低整个网络的运行效率。垃圾邮件也威胁企业网络的安全。某单位在2003年曾经发现，他们的服务器在以每秒60封的速度转发邮件，占用了大量的系统资源，其他正常运作被迫终止。还有某单位的网络管理员发现出国流量突然增加，检查后发现该服务器转发了200万封国外的来源不明的邮件，而且在发现时还在转发。

　　垃圾邮件对ISP的危害更加深重。首先，垃圾邮件严重影响ISP的服务形象。在国际上，频繁转发垃圾邮件的主机会被上级国际因特网服务提供商列入国际垃圾邮件数据库，从而导致该主机不能访问国外许多网络。而且收到垃圾邮件的用户会因为ISP没有建立完善的垃圾邮件过滤机制，而转向其他ISP。

　　其次，被黑客利用成助纣为虐的工具。如在2000年2月，黑客攻击雅虎等5大热门ISP就是一个例子。黑客先是侵入并控制了一些高带宽的网站，集中众多服务器的带宽能力，然后用数以亿万计的垃圾邮件猛烈袭击目标，造成被攻击网站网路堵塞，最终瘫痪。

　　最后从整个Internet的资源利用来看，目前带宽资源还比较有限。垃圾邮件里的信息几乎没有什么价值，每次发送上万、上百万，甚至上亿份，占用了大量的带宽资源，严重时甚至拥塞整个Internet链路，中断Internet的部分线路的运营。

　　妖言惑众、骗人钱财和传播色情等内容的垃圾邮件，已经对现实社会造成了危害。

　　祭起Sendmail番天印

　　基于Unix/Linux平台的Sendmail系统使用非常广泛，它虽然非常实用，但在安全方面都有着明显的不足，它们在默认模式下都不具备SMTP认证功能，这也是垃圾邮件散发者最容易利用的漏洞。

　　SMTP服务有一个与生俱来的缺点，那就是没有任何的认证机制，这是历史原因造成的。因为在设计这些SMTP服务器时，全球范围的 Internet主机还不是很多，彼此间都有很高的可信任级别，所以没有全面考虑安全性问题。利用这一缺陷，非法用户可以在邮件头放置任何信息和任何邮件地址，而SMTP根本不检查这些，一律发出。因此垃圾邮件可以顺利地从这些服务器上转发。

　　在新版的Sendmail中（Sendmail 8.10以后）已经增加了SMTP认证。如果在编译时将SMTP认证加进了Sendmail服务，那么在用户发送邮件时，服务器就会要求用户输入口令。如果口令正确，则服务器为他发送邮件，如果口令错误，服务器将拒绝为他发送邮件。这将有效地遏制垃圾邮件的传播。

　　在具体实现时，需要首先安装Sasl库（cyrus-sasl-X.X.X），该函数库提供了安全认证所需的功能，然后配置Sendmail，增加认证用户，并更改密码，并在客户端进行设置即可。

　　妖术揭秘

　　垃圾邮件危害深重，引起了人们极大的反感，已经成为过街老鼠。但是，为什么还会有人乐此不疲呢?利益驱动是最直接的原因。垃圾邮件具有低成本和易于匿名的特点。在国外，发送10万封电子邮件的成本低于200美元，花100美元就可以买到100万个邮件地址列表。

　　例如，一个业余的邮件广告人只需要一台普通的电脑，一个Internet帐户加上一个免费的邮件客户端软件就足够了。更为专业一点的，投资几百美元就可以买到专门的应用软件，每小时可以发送25万个邮件，并且自动伪装了邮件的信头;并且还可以不断的从Web上截获邮件地址。由于低廉的成本，即使只有很少很少的部分得到了反馈，就足以支付这些费用了，比起昂贵的其他方式广告自然很划算。然而，事实上成本低只是针对于那些用邮件做广告的人，其他的成本由ISP和收件人承担了。国内就收到过若干起因为转发垃圾邮件而承担每月几万元的国际流量的事故报告。

　　因此，垃圾邮件这种公害还呈现越演越烈之势。美国一家从事电子邮件服务的公司的统计表明，2002年Internet上"垃圾邮件"数量比 2001年激增150%。一家为ISP或企业提供电子邮件过滤服务的公司发表报告说，2002年底公司每天处理的4000万封电子邮件中，60%为"垃圾邮件"，而这个数字在一年前还是20%。一般认为，垃圾邮件在最近一两年内会保持上升的趋势。照此发展下去，很多人可能会放弃使用电子邮件作为联络手段。

　　软硬双刃剑

　　通过反垃圾邮件服务器硬件来解决“信骚扰”，漏判率一般会比纯软件方式要低很多，像国外的一些产品的漏判率很低，但是价格很高，因此更适合大中型企业。

　　今年的RSA大会上云计算安全成为了绝对的主流，随着云计算被越来越多的企业用户所了解，人们对于“云”背后所产生的安全问题提出众多质疑，在本次大会上将出现许多针对云安全的讨论，相信本次大会将为云计算安全带来全新的理念!

　　随着更全面的安全应用程序和数据库技术的迅猛发展，企业现在有了更多的方法来进行实时的身份监控、权限和证书检查。然而，日渐复杂的安全问题依然有增无减，使得其带来的威胁仍然不容忽视。云计算的产生将给互联网带来天翻地覆的变化，企业坚定不移的走上了云计算道路的大趋势将不会受到任何挑战，但数据保护和虚拟环境中的风险管理却让人望而却步，毋庸置疑在云计算的发展道路上，安全问题已经成为了它最大的“绊脚石”。

　　隐藏在云计算背后的诸多安全问题

　　RSA CONFERENCE 2010大会上，云安全联盟发表了他们全新的调查研究，在这份调查中显示企业在选择网络服务时面临着恶意和意外数据丢失的双重危险。而恶意攻击和来自内部的合作伙伴或最终用户无意的行为所带来的这些漏洞也不尽相同。

　　报告中提出最关键领域是应用程序编程接口（API）开发工具最为脆弱。研究人员表示，企业将众多的其他服务捆绑到一个云计算应用程序上，无形中使得“自己暴露在最薄弱的环节”，其中任意一个服务受到了损害，将会导致其他所有连接的应用程序遭到攻击。

　　该报告指出，其他可能的风险包括恶意攻击或管理员及内部员工的发泄行为，在线恶意攻击和僵尸网络以及帐号被盗的可能。

　　云安全联盟的创始人兼安全顾问Jim Reavis表示，“很显然，云服务是企业必须掌握的下一代信息技术。这份报告的目的不仅在于帮助IT企业确定那些至关重要的安全威胁问题，更重要的是有利于企业懂得如何主动保护自己。”

　　云安全是转变安全交付的全新方式

　　在本次大会上，RSA总裁亚瑟·科维洛先生表示，“有些事情阻碍了云这一愿景的充分实现。简单地说，那就是安全。51%的首席信息官认为安全是云计算最大的顾虑。在当今日益虚拟化和超扩展的企业迈向云的演进中，安全的步伐没有跟上。简而言之，各地的人们必须能够信任云，即使他们不能真正或似乎看到云。”

　　科维洛先生指出，将一个虚拟抽象层嵌入到技术堆栈，为业界提供了一个难得的机会实施安全“改装”，能够比我们现有的物理基础架构更安全。科维洛还补充说，“企业可以从以基础架构为中心，转变到以信息为中心的策略，集中力量做最重要的东西：信息及访问权限，而不是一个毫无意义的边界或单纯管道。”

　　RSA认为，迈向私有云的旅程有四个清晰的阶段：

　　1. 首先，采用虚拟化技术整合非关键基础架构，例如测试和开发系统、低风险应用。它促使企业熟悉虚拟化工具，开始“硬化”虚拟基础架构的过程。

　　2. 虚拟化关键业务应用，确保该组织对虚拟环境的合规状态，保持与物理基础架构同等水平的能见度。

　　3. 开发内部云，将信息基础架构做成一个公共设施，由完全虚拟化、自动化的数据中心构成，应用负载以策略和服务级别来驱动。

　　4. 将基础架构外包给服务提供商。这一阶段需要仔细挑选，挑选依据是他们在“执行策略、证明合规、管理多租约”方面展示出来的能力。

　　科维络总结说：“如果我们从一开始就将安全内建到虚拟基础架构，我们不仅可以获得能见度和可管理性而且可以获得风险决策点，控制无处不在。总之，云计算将彻底转变我们交付安全的方式。同时，信息安全将使云计算充分利用互联网，彻底转变现有IT模式。这意味着，我们能够为各种规模的组织提供新一波的效率、灵活性和协同性。”

　　托管提供商和安全专家联手应对云计算安全挑战

　　随着云计算应用的增长，托管提供商将与安全厂商签署协议向用户提供“security-as-a-service”（安全即服务）的选择。对于这样的服务，业内人士也提出了质疑“企业IT经理会把这种新颖的安全方式结合到云计算环境中吗？”

　　在本次大会上，上述的问题似乎得到了答案：IT经理对于这样的服务有期待又害怕，因为他们始终在试图解决风险因素和法规遵从的问题。

　　安全研究公司TheInfoPro的总经理Bill Trussell说，相当多的机构正在使用他们认为是云计算服务的东西。这家研究公司刚刚发表了其半年度的对北美大型企业和中型企业的信息安全专业人员进行的调查。但是，当TheInfoPro询问受访者他们是否在云计算环境中使用基于云计算的安全服务的问题时，不到15%的受访者表示很可能使用这种服务。

　　Trussell说，当问到机构是否会向云计算提供商扩展用户接入与配置或者身份识别等功能的问题时，受访者表示这种情况并不太常见。企业安全人员对于那些基本上不太熟悉的东西、不在他们的现场的东西、不在他们直接控制之下的东西、甚至在他们使用的云计算提供商直接控制下的东西仍然感到很紧张，因为安全服务是由拥有安全技术专长的第三方厂商控制的。不过，这些新的安全即服务计划将很快应用到云计算。

　　毋庸置疑，RSA2010之后云计算安全将巩固它的地位成为信息安全领域新的发展趋势。

　　今天我们所面临的网络威胁，早已不仅仅是早期出现的那些攻击手段，如病毒、木马等。黑客攻击技术近年来的最新动态是什么？

　　电子商务和电子政务迅猛发展，黑客攻击的频率和强度有增无减。今天我们所面临的网络威胁，早已不仅仅是早期出现的那些攻击手段，如病毒、木马、间谍软件与网络监听、口令攻击、漏洞攻击等。黑客攻击技术近年来的最新动态是什么？

　　硬件安全

　　利用硬件的黑客技术虽然报道不多，但它的的确确出现了：在BIOS芯片中植入病毒木马，让目前防火墙、防毒软件都失效；针对主机板上的电磁辐射进行信息获取的技术……仅仅使用软件非法侵入的方式可能已经落伍，新时期的黑客技术应包括破解硬件本身。前几年微软公司曾经对硬件黑客侵犯其Xbox设备的行为采取法律与技术措施。索尼公司的PS2游戏机也成为一些专门修改芯片的黑客目标，其核心技术Sony的记忆棒被破解。美国苹果公司新推出的iPhone3Gs的加密系统也被硬件黑客破解，造成磁盘文件数据可以被实时偷走。

　　逆向工程

　　逆向工程是指对软件执行码直接进行分析，可被看做是“开发周期的逆行”。实际应用中逆向工程主要分成两种情况：第一种，软件的源代码可用，但描述文档不再适用或者丢失;第二种，软件没有可用的源代码，任何能找到它的源代码的努力都被称为逆向工程。软件的逆向工程实现方法有：通过观察信息交换进行分析、使用反汇编器进行反汇编和使用反编译器进行反编译等。黑客则利用反逆向工程的方法保护自己的恶意代码。

　　社会工程学

　　社会工程学定位在计算机信息安全工作链的一个最脆弱的环节，即“人”这个环节上。“人”这个环节在整个信息安全体系中是非常重要的，这一点信息安全的脆弱性是普遍存在的，它不会因为系统平台、软件、网络或者是设备的新旧等因素不相同而有所差异。无论是在物理上，还是在虚拟的信息系统上，任何一个可以访问系统某个部分的人都有可能构成潜在的安全风险与威胁。任何细微的信息都会被黑客用做“补给资料”来运用，使其得到其他的信息。

　　0day

　　在计算机领域中，0day通常是指没有公布补丁的漏洞，或者是还没有被漏洞发现者公布出来的漏洞利用工具。一般，带有0day名字的黑客软件指的是软件公布时对应的漏洞还没有打补丁。0day漏洞的利用程序对于网络安全具有巨大威胁，因此0day不但是黑客的最爱，掌握多少0day也成为评价黑客技术水平的一个重要参数。

　　Rootkit

　　Rootkit已被大多数的防毒软件归类为具危害性的恶意软件。Rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击获得root访问权限，或者首先采用密码猜测或者密码强制破译的方式获得系统的访问权限，进入系统后，再通过某些安全漏洞获得系统的root权限。攻击者会在侵入的主机中安装rootkit，并经常通过rootkit的后门来检查系统是否有其他的用户登录，如果只有攻击者登录，攻击者就开始着手清理日志中的有关信息。攻击者通过rootkit的嗅探器获得其他系统的用户和密码之后，就会利用这些信息侵入其他的系统。

　　痕迹销毁与反取证

　　计算机取证将犯罪者留在计算机中的“痕迹”作为证据提供给法庭。可以用做计算机取证的信息源很多，如系统日志、防火墙与入侵检测的工作记录、反病毒软件日志、系统审计记录、网络监控流量、电子邮件、操作系统文件、数据库文件和操作记录、硬盘交换分区、软件设置参数和文件、完成特定功能的脚本文件、Web 浏览器数据缓冲、书签、历史记录或会话日志、实时聊天记录等。随着计算机取证技术的发展和取证工具的广泛使用，黑客在入侵过程中越来越多地使用痕迹销毁技术和反取证技术，以对抗调查人员的取证分析。因此，取证与反取证往往形成矛与盾的关系，成为黑客攻击技术与反黑客技术较量的技术制高点之一。

　　利用虚拟机实施攻击

　　近些年更多的攻击者倾向于在虚拟机环境中进行攻击，这是由于虚拟机可模拟多种系统平台，造成了攻击主机系统与位置的隐蔽性。黑客可通过快速卸载或简单删除等方式来逃避一般的搜查追踪。当前各黑客网站都有虚拟机安装和使用的详细教学资料，并且认为虚拟机相关知识是黑客重要的基本知识之一。因此，今后一旦发生类似于“熊猫烧香”事件时，黑客完全可能改用虚拟机作案，然后立即关闭虚拟机系统并删除该虚拟机文件夹。调查人员必须首先发现该机器上的虚拟机痕迹，再从中寻找黑客制造病毒并进行传播的证据，这项工作往往变得异常复杂，需要特殊的技术和工具。

　　无线入侵

　　无线通信包括手机、卫星电视、无线局域网、无线传感网络、红外、蓝牙、RFID等，它们在人们的日常工作生活中扮演着越来越重要的角色。无线通信在给人们带来很大便利的同时，也带来了很多安全隐患：一方面，针对无线通信的窃听和恶意代码能获取用户的通信内容、侵犯用户的隐私权; 另一方面，入侵者可以通过这些无线通信技术，进一步接入网络的核心部分。无线通信极大扩展了网络的边界，使得网络接入的控制变得复杂起来，黑客通过无线入侵往往能起到事半功倍的效果。

　　为了遏制日益扩张的黑客经济产业链的恶性发展，推动我国网络高手与国际同行的直接交流，由民间发起“无锡高科技园区”支持的（无锡）石中剑国际网络高峰论坛将于今年11月6～8日在江苏无锡召开。会议为期三天，将有国内外特邀高手的精彩演讲与讨论、专题分组研讨和比赛交流等各种形式的活动。