隨著安全教育，特別是保密教育的普及和重視，個人電腦都嚴格要求安裝了殺毒軟件和個人防火墻，病毒庫和系統(tǒng)漏洞補丁程序也及時進行了更新，對于大多數(shù)計算機來講，計算機系統(tǒng)安全隱患的風險得到了有效的降低，被入侵者主動攻擊成功的幾率大大降低;但是由于網(wǎng)絡(luò)的普及，很多家庭和單位具備上國際互聯(lián)網(wǎng)的條件，收看個人Email郵件已經(jīng)成為生活中的一部分。郵件攻擊已經(jīng)成為網(wǎng)絡(luò)攻擊的主要手段之一，特別是帶有惡意病毒、網(wǎng)頁木馬程序、特制木馬程序以及利用軟件漏洞的郵件木馬在互聯(lián)網(wǎng)上泛濫成災(zāi)，用戶打開和閱讀郵件時，木馬感染系統(tǒng)，并可借助移動存儲設(shè)備進行傳播;因此郵件安全已經(jīng)成為了安全領(lǐng)域一個不可忽視，而亟待解決的問題。

　　收發(fā)和查看Email郵件主要有兩種方式，一種是直接通過Web Mail服務(wù)器，另外一種是通過單獨的Email郵件客戶端軟件，例如Outlook、Foxmail等，賈培武給出了一些處理Foxmail帶毒郵件的方法，蔣華龍等對反垃圾郵件的原理以及技術(shù)手段等進行了分析。目前對郵件木馬的攻擊原理，郵件木馬實現(xiàn)原理等研究較少。

　　1.郵件安全隱患分析

　　1.1軟件隱患

　　完美無缺的軟件目前還沒有，任何軟件都存在缺陷，只是這種缺陷的危害程度大小不一樣，提供郵件服務(wù)的郵件服務(wù)器以及接收郵件的客戶端軟件都存在或多或少的缺陷。

　　(1)郵件軟件自身存在缺陷

　　到目前為止，市面上提供的郵件服務(wù)器軟件、郵件客戶端以及Web Mail服務(wù)器都存在過安全漏洞。QQ郵箱讀取其他用戶郵件漏洞、Elm 泄露任意郵件漏洞、Mail Security for Domino郵件中繼漏洞、The Bat !口令保護被繞過漏洞、Outlook Express標識不安全漏洞、263快信WinBox漏洞、Foxmail口令繞過漏洞等等。入侵者在控制存在這些漏洞的計算機后，可以輕易獲取Email地址以及相對應(yīng)的用戶名與密碼，如果存在Email通訊錄，還可以獲取與其聯(lián)系的其他人的Email地址信息等。還有一些郵件客戶端漏洞，入侵者可以通過構(gòu)造特殊格式郵件，在郵件中植入木馬程序，只要沒有打補丁，用戶一打開郵件，就會執(zhí)行木馬程序，安全風險極高。

　　(2)郵件服務(wù)器端軟件和客戶端軟件配置問題

　　郵件服務(wù)器軟件和客戶端軟件也會出現(xiàn)因為配置不當，而產(chǎn)生較高安全風險，例如Cedric郵件閱讀器皮膚配置腳本存在遠程文件包含漏洞。很多管理員由于郵件服務(wù)器配置不熟悉，搭建郵件服務(wù)器平臺時，僅僅考慮夠用或者能夠使用，而未考慮到應(yīng)該安全可靠的使用，在配置時僅僅設(shè)置為可使用，未對其進行郵箱安全滲透測試，因此安全風險也極大。

　　1.2電子郵件木馬隱患

　　一封正常的郵件，無論用戶怎么操作，都是安全的;而安全風險往往來自非正常郵件，目前郵件攻擊結(jié)合社會工程學(xué)方法，發(fā)送的郵件在表面上跟正常郵件沒有多大區(qū)別，不容易甄別。這些郵件常常采用以下方式。

　　(1)網(wǎng)頁木馬，郵件格式為網(wǎng)頁文件，查看郵件只能以html格式打開，這些網(wǎng)頁主要利用IE等漏洞，當打開這些郵件時，會到制定地址下載木馬程序并在后臺執(zhí)行。

　　(2)應(yīng)用軟件安全漏洞木馬，這些郵件往往包含一個附件，附件可能是exe文件類型，也可能是doc、pdf、xls、ppt等文件類型，入侵者通過構(gòu)造特殊的格式，將木馬軟件捆綁在文件或者軟件中，當用戶打開這些文件時，就會直接執(zhí)行木馬程序。還有一種更加隱蔽，將木馬軟件替換為下載者，下載者就是一個到指定站點下載木馬軟件，其本身不是病毒軟件;用戶查看文件時，首先執(zhí)行下載者，下載者然后再去下載木馬軟件并執(zhí)行，殺毒軟件將視下載者為正常軟件，不會進行查殺。這種方式隱蔽性好，木馬存活率，安全風險極高。

　　(3)信息泄露隱患，用戶在注冊BBS論壇、Blog以及一些公司的相關(guān)服務(wù)中，都要求提供Email地址等相關(guān)信息，有些公司和個人為了商業(yè)目的會將郵件地址等進行出售來獲利，這些個人信息泄露將會帶來安全隱患;還有一種情況，就是個人注冊信息在網(wǎng)絡(luò)上沒有得到屏蔽，任何用戶都可以查看和搜索，通過Google等搜索引擎可以獲取較為詳盡的資料信息，危害極高。

　　1.3系統(tǒng)安全隱患

　　系統(tǒng)安全隱患的范圍比較大，系統(tǒng)在安裝過程、配置以及后期使用過程中由于使用不當，都有可能造成安全隱患;例如下載并執(zhí)行未經(jīng)安全檢查的軟件，系統(tǒng)存在未公開的漏洞等，這些安全隱患風險極高，且不容易防止，往往只能通過規(guī)范培訓(xùn)，加強制度管理等來降低風險。

    2.郵件木馬技術(shù)

　　2.1網(wǎng)頁木馬技術(shù)

　　網(wǎng)頁木馬是最近幾年比較流行的一種木馬技術(shù)，其原理就是利用IE本身或Windows組件的漏洞(一般為緩沖區(qū)溢出)來執(zhí)行任意命令(網(wǎng)頁木馬即執(zhí)行下載木馬和隱藏執(zhí)行命令)，一般常見的漏洞多產(chǎn)生于IE，畸形文件(如畸形的ANI，word文檔等，IE會自動調(diào)用默認關(guān)聯(lián)打開，導(dǎo)致溢出)，程序組件(用java調(diào)用帶有漏洞的組件來執(zhí)行命令)，其核心代碼主要是利用vbs腳本下載木馬程序并執(zhí)行。早期的網(wǎng)頁木馬主要有兩個文件，一個為html網(wǎng)頁文件，另外一個為木馬文件。如果瀏覽者的操作系統(tǒng)中存在漏洞，在訪問網(wǎng)頁文件時便會自動執(zhí)行木馬程序。由于殺毒軟件的查殺，后期的網(wǎng)頁木馬開始利用框架網(wǎng)頁，例如，將框架網(wǎng)頁嵌入在正常網(wǎng)頁中，由于框架網(wǎng)頁的寬度和高度均為0，所以在網(wǎng)頁中不會有視覺上的異常，不容易被察覺。后面陸續(xù)出現(xiàn)利用JavaScript、JavaScript變形加密、css、Java、圖片偽裝等多種方式將框架網(wǎng)頁代碼進行轉(zhuǎn)換變形等處理，使其更難被發(fā)現(xiàn)和被殺毒軟件查殺。

　　入侵者一方面在個人網(wǎng)站、商業(yè)網(wǎng)站以及門戶網(wǎng)站等上面放置網(wǎng)頁木馬，控制個人計算機、盜取個人賬號、出售流量等來牟取商業(yè)利益;另外還將這些網(wǎng)頁木馬制作成網(wǎng)頁文件，大量發(fā)送垃圾郵件，如果接收者一不小心打開了網(wǎng)頁文件，計算機將會感染和傳播木馬病毒，安全風險極高。

　　2.2文件捆綁技術(shù)

　　文件捆綁的核心原理就是將b.exe附加到a.exe的末尾，當a.exe被執(zhí)行的時候，b.exe也跟著執(zhí)行了。早期的文件捆綁技術(shù)比較簡單，文件捆綁器比較容易被查殺，后面逐漸出現(xiàn)通過利用資源來進行文件捆綁，在PE文件中的資源可以是任意的數(shù)據(jù)，將木馬程序放入資源中，執(zhí)行正常程序后再釋放木馬程序。

　　在郵件木馬中，捆綁木馬攻擊是最常見的一種攻擊方式，比較直接，只要打開郵件中的捆綁的文件，則會執(zhí)行木馬程序。常見以下幾種捆綁文件類型：

　　(1)應(yīng)用程序安裝文件。這類可執(zhí)行文件往往偽裝成一個setup圖標的安裝文件。

　　(2)Ebook電子圖書文件。Ebook電子圖書是一種可執(zhí)行的文件，這類文件是將html等文件通過編譯生成一個可執(zhí)行文件。

　　(3)Flash文件。Flash文件有兩種類型，一種是可執(zhí)行的flash文件，直接運行就可以觀看flash;另外一種是以.swf結(jié)尾的文件，需要單獨的Flash播放軟件播放。

　　文件捆綁的核心就是將一個正常的文件跟木馬文件捆綁，捆綁時會修改文件圖標，以假亂真，誘使用戶打開這類文件，達到控制計算機或者傳播病毒的目的。

　　2.3應(yīng)用軟件漏洞利用技術(shù)

　　利用應(yīng)用軟件漏洞而制作的木馬程序，很難識別，危害最高。Office軟件中的Word、PowerPoint、Excel，Adobe Reader，超星圖書瀏覽器等都出現(xiàn)過高危安全漏洞，在日常辦公中這些文件被廣泛使用，利用應(yīng)用軟件的漏洞制作的木馬，跟正常文件沒有什么區(qū)別，當用戶打開時，會執(zhí)行木馬程序和打開正常的文件。入侵者往往利用應(yīng)用軟件漏洞來制作木馬，將這些看似正常的文件通過郵件發(fā)送給被攻擊者，被攻擊者一旦打開郵件中的文件，感染木馬病毒的幾率非常高。

    3.郵件安全防范

　　3.1郵件服務(wù)器安全防范

　　郵件服務(wù)器最基本的安全是保證操作系統(tǒng)的安全，由于操作系統(tǒng)安全涵蓋面比較大，本文主要是在假設(shè)操作系統(tǒng)安全的前提下，主要討論郵件安全，其系統(tǒng)安全建議采用以下措施：

　　(1)及時更新操作系統(tǒng)漏洞補丁。

　　(2)安裝殺毒軟件和防火墻，及時更新病毒庫，定期定時查殺病毒，如果有條件可以使用郵件安全網(wǎng)關(guān)。

　　(3)設(shè)立安全checklist，定期按照安全策略進行安全檢查。

　　(4)嚴格限制IP地址訪問，除了郵件服務(wù)器提供的郵件服務(wù)外，如果能夠做IP安全限制，就針對維護的IP地址等進行信任網(wǎng)絡(luò)設(shè)置。

　　(5)安裝的任何軟件必須經(jīng)過安全測試，確保無插件，確保安裝的軟件是“干凈”的。

　　對于郵件服務(wù)器，不管配置什么樣的郵件服務(wù)器，在配置服務(wù)器時，一定上網(wǎng)查找目前郵件服務(wù)器軟件版本是否存在漏洞，以及一些相關(guān)的安全配置文章，做好其相關(guān)安全風險評估和風險應(yīng)對措施。

　　3.2郵件客戶端安全防范技術(shù)

　　除了郵件服務(wù)器的安全外，郵件客戶端是郵件木馬攻擊的主要對象，因此做好郵件客戶端的安全防范在郵件安全防范方面至關(guān)重要。郵件客戶端計算機應(yīng)當安裝有防火墻、殺毒軟件，并及時更新病毒庫和操作系統(tǒng)安全補丁。建議使用具有郵件監(jiān)控的殺毒軟件，對于國內(nèi)普通用戶可使用“瑞星免費防火墻+avast!殺毒軟件”的組合，avast!具有較強的郵件和網(wǎng)頁木馬監(jiān)控能力，而且是免費的。對郵件木馬的防范建議采用以下四種方法：

　　(1)一“查”主要是在收看郵件時，如果存在附件，先將附件保存到本地，然后使用殺毒軟件進行查殺。如果是可執(zhí)行文件，一定要通過物理通訊方式，詢問發(fā)件人，確保郵件的來源可靠。建議修改文件夾選項，取消“隱藏文件已經(jīng)文件后綴”選項，使其能夠查看文件的實際后綴名稱，防止入侵者修改文件后綴，以假亂真，誘使收件人執(zhí)行木馬程序。

　　(2)二“看”主要是指像看郵件標題，以及寄件人地址，如果郵件有附件，需要先查看附件屬性，附件文件是否隱藏了文件后綴。如果郵件客戶端程序提供文本查看方式，建議先采用文本查看方式進行查看。

　　(3)三“堵”就是在發(fā)現(xiàn)已經(jīng)感染病毒的情況下，要及時堵漏，采取相應(yīng)的補救措施，如果發(fā)現(xiàn)系統(tǒng)感染了木馬程序，建議恢復(fù)系統(tǒng)或者重裝操作系統(tǒng)。

　　(4)使用雙向加密軟件查看和收發(fā)郵件，例如使用具有PGP加密功能的軟件來進行郵件的收發(fā)，通過個人簽名證書等可信任方式來保證郵件的安全，防止假冒、篡改電子郵件。

　　如果在收看郵件時，不小心感染了郵件木馬程序，應(yīng)當即刻斷掉網(wǎng)絡(luò)，查殺病毒，做好數(shù)據(jù)備份，如果條件允許，盡量重新恢復(fù)系統(tǒng)，并報告網(wǎng)管人員，再次進行系統(tǒng)安全檢查等，確保本地網(wǎng)絡(luò)完全。