【正文】 信息發(fā)出，但與信息中攜帶的圖標相聯系的腳本卻發(fā) 生了改變。因為用戶以為信息是從 MIS發(fā)出的，他們會敲擊圖標。圖標攜帶的指令，會刪去他們的本地硬盤驅動器，上載某個文件甚至系統(tǒng)信息，這個信息甚至可以不包括圖標。他可以要求用戶改變口令，用戶可能因為信息來自 MIS而真的改變口令。 ? 防火墻也不可能識別所有惡意的 applet和腳本。最多只能濾去郵件地址中有風險的字符，這些字符還應是防火墻識別得出來的。 (2) 匿名轉發(fā) ? 在正常的情況下，發(fā)送電子郵件會盡量將發(fā)送者的名字和地址包括進郵件的附加信息中。但有時候發(fā)送者希望將郵件發(fā)送出去，而不希望收件者知道是誰發(fā)的。這種發(fā)送郵件的方法被稱為匿名郵件。 ? 實現匿名的一種最簡單的發(fā)法是簡單地改變電子郵件軟件里發(fā)送者的名字。但這是一種表面現象，因為通過信息表頭中的其他信息，仍能夠跟蹤發(fā)送者。而讓發(fā)送者的地址完全不出現在郵件中的惟一的方法是讓其他人發(fā)送這個郵件，郵件中的發(fā)信地址就變成了轉發(fā)者的地址了?，F在 Inter網上有大量的匿名轉發(fā)者 (或稱為匿名服務器 )，發(fā)送者將郵件發(fā)送給匿名轉發(fā)者，并告訴這個郵件希望發(fā)送給誰。該匿名轉發(fā)者刪去所有的返回地址信息，再郵發(fā)給真正的收件者，并將自己的地址作為返回地址插入郵件中。 ? 有人認為，使用匿名轉發(fā)的動機是可疑的，發(fā)送的可能是非法的、恐怖的、不健康的信息。實際上并 不盡然。匿名轉發(fā)有一些重要的合法使用。例如，一些膽怯的人可以參加某種心理方面的討論組，可以就一些難以啟齒的問題向專家咨詢。 ? 從安全的角度考慮，匿名轉發(fā)也是會有用的。例如發(fā)送敏感信息，隱藏發(fā)送者的信息可以使窺竊者不知道這一信息是否有用。 (3) 利用 Email詐騙 ? Email詐騙是 Inter上應該特別注意的風險。這些行為不是新花樣，而是以前那種普通郵信、贈券之類搞詐騙的伎倆在 Inter上的翻版。 Web強大的功能和它在整個世界市場上的傳播力，在為人們創(chuàng)造利益的同時，也會引起一些不法分子的青睞。有的發(fā)布廣告，鼓勵消費者向通信技術投資，許諾 高回報和低風險；有的在 Web上散布假金融服務，制造高科技投資機會；有的還招攬競賭客戶，通過Web在其他國家轄區(qū)的服務器上參加賭博；有的甚至散發(fā)信用維護服務廣告，騙取錢財等。 Inter是一個開放的系統(tǒng)，接納好人也接納壞人，真?zhèn)尾⒋妗g覽器或 Web服務器都面臨著欺詐的風險。認識到這一事實，慎重對待所有潛在客戶在網頁上的廣告和可能發(fā)布的 Email。 (4) 利用 Email欺騙 ? Email欺騙行為，表現形式各異，但原理基本相同。它通常是騙用戶進行一個毀壞性的操作或者暴露敏感信息，如口令等。欺騙性 Email會制造安全漏洞。Email欺騙行為的表現如下： ① Email宣稱來自系統(tǒng)安全管理員，要求用戶將他們的口令改變?yōu)樘囟ǖ淖址⑼{如果用戶不照此辦理，將關閉用戶賬號。 ② Email宣稱來自上級管理員，要求用戶提供口令或其他敏感信息。 ? 由于簡單郵件傳輸協議 (SMTP)沒有驗證系統(tǒng)，偽造 Email十分方便。如果站點允許任何人都可以與SMTP端口聯系，并可以用虛構某人的名義發(fā)出 Email。黑客在發(fā)出欺騙性的 Email的同時，還可能修改相應的 Web瀏覽器界面，所以應花一些時間查看 Email的錯誤信息，其中經常會有闖入者的線索。應該查看 Email信息的抬頭，如果 Email閱讀器不允許用戶查看這些臺頭，則查看包含原始信息 的 ACSII文件。要小心這些抬頭，這些抬頭經常被偽造。如果懷疑自己已被黑客入侵過，可以與計算機緊急應急小組 (CERT)聯系 (cert＠ )，向他們描述自己的狀況。還可以查看在相關安全站點以獲取詳細資料 . (5) 電子郵件轟炸 ? 電子郵件轟炸可以描述為不停地接到大量的、同一內容的電子郵件。一條信息可能被傳給成千上萬的不斷擴大的用戶。主要風險來自電子郵件服務器，如果服務器很多，服務器會脫網，甚至導致系統(tǒng)崩潰。系統(tǒng)不能服務的原因很多，可能由于網絡連接超載，也可能由于缺少系統(tǒng)資源。對付電子郵件轟炸可以借助防火墻，阻止惡意信息產生和或者過濾 掉躍躍欲試的電子郵件，以確保所有的外部的SMTP只連接到電子郵件服務器上，而不連接到站點的其他系統(tǒng)上；從而將電子郵件轟炸的損失減小到最小。如果發(fā)現站點正遭受侵襲，試著找出轟炸的來源，再用防火墻進行過濾。 3. Email的安全措施 ? 為提高電子郵件安全，可在郵件服務器上建立電子郵件的安全模式，將安全策略施加給安全模式，進而對電子郵件傳輸進行安全控制。 ? 可以采取以下的安全措施： (1) 借助防火墻對進入郵件服務器的電子郵件進行控制，過濾、篩選和屏蔽掉那些有害的電子郵件或濾去那些郵件地址或郵件中有風險的字符，并預防黑客攻擊。 (2) 對于重要的電子郵件可以加密傳送，并進行數字簽名。加密的算法很多，如 RAS加密、 PGP加密，還可用 IDEA或 DES加密。目前在 Inter上傳送的電子郵件，多采用 PGP加密傳送，并同時進行數字簽名。加密時使用公開的密鑰加密，在收信端用秘密密鑰進行解密。用秘密密鑰進行數字簽名，用公開密鑰進行數字簽名驗證。 (3) 采用必要措施防范和解除郵件炸彈以及郵件垃圾，使這些郵件不占用郵箱的空間，以免干擾用戶接收正常的郵件，減少郵件使用費用。 (4) 檢查電子郵件的來源，進行郵件完整性檢測，查看郵件是否被非法更改。 (5) 檢查電子郵件是否感染病毒，以便采用相應的方法進行診斷和消除。 ? (6) 黑客攻擊具有一定的目的性，往往借助以電子郵件來實現其險惡用心。例如，黑客在電子郵件中使用損害服務器的命令。 Morros bug內就有一種會損壞 sendmail的指令，這個指令可以使用戶執(zhí)行黑客發(fā)出的命令。要注意登錄的文件和郵件及特殊日期，發(fā)現黑客后，切斷聯系，分析問題，采取行動，修復安全漏洞，并恢復系統(tǒng)。 Outlook Express的安全 ? Outlook Express是微軟公司出品的一個基于Inter標準的電子郵件和新聞閱讀程序，由于它是 Windows的一個組件，使用的用戶非常多，這一節(jié)將介紹 Outlook Express的安全性。 ? 要使用 Outlook Express系統(tǒng)閱讀電子郵件，必須 使用支持 SMTP和 POP或者 IMAP和 MIME，HTTP協議的郵件系統(tǒng)。一般的郵件服務器都支持這些協議，如 、 263免費郵局等。 1. Outlook Express的安全設置 ? Outlook Express為了保護郵件的安全，使用了加密等手段，不過這些設置不是默認設置的，要用戶自己添加，下面就介紹這些設置。 (1) 啟動 Outlook→ 菜單中選擇“工具” → “選項”，出現 Outlook的設置對話框，然后選擇“安全”選項卡，如圖 。 圖 (2) 在“安全區(qū)域”框中，用戶可以選擇兩個選項。 ? Inter區(qū)域 ? 用戶可以使用整個 Intemet網上的所有地址的郵箱。 ? 受限站點區(qū)域 ? 用戶使用的郵箱必須是在指定的 IP地址范圍內，用戶可以在 IE中設置指定的 IP地址范圍。 (3) 在“安全郵件”框中，要求用戶使用數字證書，這是一個高級使用，只有在對郵件的安全要求很高的情況下才可能需要使用這種加密手段。 2. 定義接收郵件的規(guī)則 ? 用戶可以定義對符合一定規(guī)定的郵件的操作，這些規(guī)定就是“郵件規(guī)則”?！班]件規(guī)則”可以使用戶排除郵件垃圾、防止惡意郵件、除去指定的發(fā)件人發(fā)的郵件等功能。使用戶的郵件處于安全保護之下。 (1) 單擊菜單中的“工具” → “郵件規(guī)則”，出現“新建郵件規(guī)則”對話框，如圖 。 ? 這個對話框的界面說明如下： 圖 ? 選擇規(guī)則條件 ? 即當郵件符合下列某一條規(guī)則時，啟動所指定的對郵件的操作。 ? 選擇規(guī)則操作 ? 定義當郵件符合指定的規(guī)則時所啟動的操作。 ? 規(guī)則說明 ? 定義每個規(guī)則特定的屬性。 ? 規(guī)則名稱 ? 用戶可以在同一個規(guī)則中使用幾個“郵件規(guī)則條件”，并在這個編輯框中輸入指定的規(guī)則名稱。 (2) 用戶要定義郵件規(guī)則時，首先定義郵件規(guī)則條件。例如，選擇“若發(fā)件人中包含用戶”規(guī)則條件，就單擊它前面的復選框。 (3) 在“規(guī)則說明”中將出現用戶設置的規(guī)則條件，如圖 所示。 圖 (4) 單擊藍色的“包含用戶”鏈接，出現“選擇用戶”對話框，如圖 。 (5) 用戶可以在這個對話框中輸入指定的用戶名或者單擊“通訊簿”按鈕，在出現的對話框中選擇用戶。 (6) 用戶選擇好發(fā)件人后，可以單擊“添加”按鈕，將發(fā)件人添加到列表中。 (7) 在“選擇規(guī)則操作”窗口中選擇對郵件采取的動作。在上述的例子中，就是當用戶收到指定的用戶名發(fā)的郵件時對這個郵件采取的動作。如用戶可以選擇“刪除”按鈕。這樣，這個用戶發(fā)來的郵件就會被自動刪除。 圖 (8) 最后在“規(guī)則名稱”中輸入規(guī)則名稱，再單擊“確定”按鈕，出現“郵件規(guī)則”對話框，如圖。 圖 (9) 用戶可以看到這個規(guī)則已經添加到列表中了。單擊“馬上應用”按鈕，這個規(guī)則就開始使用了。 ? 在郵件規(guī)則中，用戶可以設置多種規(guī)則保護自己的電子郵件安全。其中包括防止大郵件的入侵，防止惡意郵件的發(fā)生、防止郵件的擴散等強大的功能，用戶只要知道了郵件規(guī)則的設置，可以自己在使用中應用這些規(guī)則，保證自己郵箱的安全。 3. 郵件加密 ? 在 Outlook Express中可以通過數字簽名來證明用戶郵件的身份，即讓對方確信該郵件是由發(fā)送方的機器發(fā)送的。 Outlook Express同時提供郵件加密功能，使用戶的郵件只有預定的接收者才能接收并閱讀它們，但前提是用戶必須先獲得對方的數字標識。 ? 要對郵件進行數字簽名必須首先獲得一個私人的數字標識 (digital ID,發(fā)送方的數字身份證 )。所謂數字標識是指由獨立的授權機構發(fā)放的證明用戶在Inter上身份的證件，即用戶在 Inter上的身份證。這些發(fā)證的商業(yè)機構將發(fā)放給用戶這個身份證并不斷效驗其有效性。用戶首先向這些公司申請數字標識，然后就可以利用這個數字標識對自己寫的郵件進行數字簽名。如果獲得了接收方的數字標識，那么用戶就可以給他發(fā)送加密郵件。 (1) 數字標識的工作原理 ? 數字標識由“公用密鑰”、“私人密鑰”和“數字簽名”等 3部分組成。你通過對發(fā)送的郵件進行數字簽名可以把你的數字標識發(fā)送給他人，這時他們收到的 實際上是公用密鑰，以后他們就可以通過這個公用密鑰對發(fā)給你的郵件進行加密，你再在 Outlook Express中使用私人密鑰對加密郵件進行解密和閱讀。 數字標識的數字簽名部分是你的電子身份卡，數字簽名可使收件人確信郵件是你發(fā)送的，并且未被偽造或篡改。 (2) 數字標識的申請和使用 ? 既然數字標識有這么大的作用，那么不掏點銀子是不太現實的 (每年才 )，不過可以先申請一個免費的數字標識感受一下。 ? 目前在 Inter上有較多的數字標識商業(yè)發(fā)證機構，其中VeriSign 公司是 Microsoft 的首選數字標識提供商。通過 VeriSign 的特別饋贈， Microsoft Inter Explorer 用戶均可獲得一個免費使用 60天的數字標識。 ? 向該公司申請的方法如下： 止，注意該口令不能包含標點。還有一項“ Payment Information”是針對收費用戶的，如果申請者在前面選的是“ I39。d like a free 60 day trial Digital ID”即先試用 60天，則此項不填。 ? 確認無誤并提交后，過一會兒就會收到一封Verisign公司發(fā)來的電子郵件，其中就包含數字標識 PIN。在一般情況下只需簡單地按最后那個“ NEXT”按鈕就可以繼續(xù)了，不過有時可能會提示上一頁面錯誤 (筆者就曾遇到 )，建議直接將回信末尾提供的 PIN記下來，然后到 續(xù)下一步。這時只需在要求輸入 Digital ID PIN的框內輸入已經收到的 PIN然后單擊“ Retrieve button”即可。如果一切順利的話，這時將開始安裝你的數 字標識到本機的 Outlook Express中，這次的申請也大功告成了！ (3) 對郵件進行數字簽名 ? 獲得數字標識以后，就可以通過 Outlook Express很容易地對自己所發(fā)送的電子郵件進行數字簽名。如果希望對所有待發(fā)的郵件都進行數字簽名，請選擇“工具” → “選項” → “安全”選項頁，在“在所有待發(fā)郵件中添加數字簽名”檢查框前面打上勾選中即可，如圖 。如果只希望對某一封郵件進行數字簽名的話，只需在撰寫郵件時將“數字簽名郵件”按鈕 (如圖 )按下即可。當對郵件數字簽名以后，該郵件將出現簽名圖標，數字簽名可以使別人確認郵件確實是從你這兒發(fā)出去的，并且可以 ? 保證郵件在傳送過程中不會被改變。但是，假如預定的接收者的電子郵件收發(fā)軟件不支持 S/MIME協議，他仍然可以閱讀數字簽名的郵件，這時你的數字簽名只是簡單