|
 |
现在,网络窃听太容易了!随着无线网络的普及,网络窃听愈演愈烈。接入同一个无线网络的计算机之间可以互相窃听网络数据,一个不太懂计算机专业技术的人,从网上下载免费的窃听软件,通过电信、网通、移动等公司提供的无线网络(WLAN),就可以轻易的获得其他人HTTP访问记录和内容、E-Mail帐户信息、无线上网的用户名和密码。电信、网通、移动等公司提供的无线网络(WLAN)已经成为网络帐户盗窃的温床。
传统的邮件包括信封和信本身;电子邮件则包括信头和信体。现存的端到端安全电子邮件技术(PGP)一般只对信体进行加密和签名,而信头则由于邮件传输中寻址和路由的需要,必须保证原封不动。然而,一些应用环境下,可能会要求信头在传输过程中也能保密,这就需要传输层的技术作为后盾。目前主要有两种方式实现电子邮件在传输过程中的安全,一种是利用SSL SMTP和SSL POP3,另一种是利用VPN或者其他的IP通道技术,将所有的TCP/IP传输封装起来,当然也就包括了电子邮件。VPN技术相对比较复杂,而且需要更新网关并在客户端安装软件,部署成本高,使用更复杂,而利用SSL SMTP和SSL POP3技术,则只需要在服务器端做很少的改动,而客户端不需要任何其他软件,而且使用方式和传统方式一样,是目前最容易推广的一种方案。
包括Google的Gmail在内的很多邮件服务商都开始使用SSL加密了,您也应该行动起来,避免邮件泄密。
我们推荐在安全邮件套件采用:全球信SSL专业版(GeoTrust QuickSSL Premium) 或者 全球信SSL企业版(GeoTrust True BusinessID),这是因为:
| • |
通过GeoTrust专有的在线申请技术,和迅通诚信的在线平台,快速获得证书签发。
|
| • |
安装简单,无需级联安装
|
| • |
100%兼容1999年以后发布的浏览器和邮件客户端。
|
| • |
Google的Gmail就是使用全球信SSL企业版(GeoTrust True BusinessID)进行SMTP-SSL和POP3-SSL加密的。使用Internet Explorer打开 https://pop.gmail.com:995/ ,鼠标右键单击屏幕,选择“属性”->“证书”可以看到SSL证书。
|
本文将告诉您,如何配置邮件服务器,让POP3、SMTP、IMAP、HTTP都启用SSL保护,免受网络窃听,避免资料被盗窃。本文的方式适合所有的电子邮件服务器,包括Exchange Server、Imail、Qmail、NTmail、MDaemon、Winmail等。
第一步:先下载并安装TCP-to-SSL通用转换软件Stunnel,下载地址:这里。
第二步:修改stunel.conf文件,如果邮件服务器没有提供IMAP或者HTTP服务,可以删除对于的部分:
[pop3s]
accept = 995
; 邮件服务器IP地址和POP3端口号
connect = 127.0.0.1:110
[imaps]
accept = 993
; 邮件服务器IP地址和IMAP端口号
connect = 127.0.0.1:143
[ssmtp]
accept = 465
; 邮件服务器IP地址和SMTP端口号
connect = 127.0.0.1:25
[https]
accept = 443
; 邮件服务器IP地址和HTTP端口号
connect = 127.0.0.1:8080
TIMEOUTclose = 0
第三步,启动Stunel软件。如果你把Stunel安装为Service模式,则启动Stunel Service,否则启动Stunel.exe 程序
第四步,如果你的邮件服务器启动了HTTP访问模式,请用浏览器访问 HTTPS://stunel服务器地址/,你将看到一个安全警告“您与该网站交换的信息不会被其它人查看或更改。但该网站的安全证书有问题。是否继续?”,选择“是”。这时,你的浏览器已经和邮件服务器通过SSL方式访问了。如果无法访问,请检查一下是否使用的防火墙,如果使用防火墙,请开启相应端口。
第五步,配置邮件客户端,本文已Outlook Express 6.0为例,其它邮件客户端的配置方式类似,先按照正常方式建立邮件帐户,然后按下图,选择“属性”
(点击放大)
在“服务器”属性页,接收邮件(POP3)和发送邮件(SMTP)的服务器都填写“stunel服务器地址”
(点击放大)
选择“高级”属性页后,设置发送邮件(SMTP)端口号为465,接收邮件(POP3)端口号为995,并选择“此服务器要求安全连接(SSL)”
(点击放大)
邮件客户端配置好了。在收发邮件时,Outlook express会出现一个“证书警告”,忽略这个警告。现在你通过SMTP发邮件和POP3收邮件都通过SSL加密保护了。
第一步:下载OpenSSL,下载地址 http://www.myssl.cn/download/OpenSSL_0.9.8.a_Win32.zip
第二步:解压缩到c:\openssl目录下
第三步:运行cmd.exe,进入命令行窗口,运行命令:
cd c:\openssl
set OPENSSL_CONF= openssl.cnf
openssl req -new -nodes -keyout server.key -out server.csr
于是当前目录下将产生两个文件:server.key 和 server.csr。请妥善保存这两个文件,请不要泄露server.key私钥文件。
在这一命令执行的过程中,系统会要求您填写如下信息:
Country Name (2 letter code):使用国际标准组织(ISO)国码格式,填写2个字母的国家代号。中国请填写CN。
State or Province Name (full name): 省份,比如填写Shanghai
Locality Name (eg, city): 城市,比如填写Shanghai
Organization Name (eg, company): 组织单位,比如填写公司名的拼音
Organizational Unit Name (eg, section): 比如填写IT Dept
Common Name (eg, your websites domain name): 行使 SSL 加密的网站地址。请注意这里并不是单指您的域名,而是直接使用 SSL 的网站名称 例如:pay.abc.com。 一个网站这里定义是:abc.com 是一个网站; www.abc.com 是另外一个网站; pay.abc.com 又是另外一个网站。 注意:这个服务器域名应该和邮件客户端软件设置的SMTP/POP3服务器名称一致。
Email Address: 邮件地址,可以不填
A challenge password: 可以不填
An optional company name:可以不填
第四步:为确认您对所申请的SSL服务器域名拥有管理权,认证系统将发电子邮件到指定的管理员邮箱中。 例如:您准备申请的SSL证书服务器域名为host.yourdomain.com,在递交申请时,请确认您可以接收 ssladmin@yourdomain.com 或者 ssladmin@host.yourdomain.com
第五步:到 这里 申请SSL证书 ,递交第三步产生的server.csr,并输入申请的相关信息
第六步:你将收到一份来自美国Geotrust的申请确认邮件,点击邮件中的URL,然后Approve你的申请
第七步:你将收到包含证书的邮件,将邮件中“-----BEGIN CERTIFICATE-----”到“-----END CERTIFICATE-----” 部分复制到notepad.exe中,然后用保存为server.crt
第八步:将第二步产生的server.key和第七步产生的server.crt,复制到Stunnel目录下,修改stunel.conf文件:
cert = server.crt
key = server.key
第九步:重启Stunnel
你再用浏览器访问HTTPS://Stunnel服务器/ 或者用Outlook express收发邮件,就没有安全警告了。
注意:
(1) 邮件客户端设置SMTP/POP3服务器时,名称必须与证书名字一致,否则可能无法收发邮件
(2) 启用SSL后,你可以用防火墙屏蔽掉原来的POP3的110端口,来强制用户使用POP3-SSL的995端口;但是你不能屏蔽掉原来邮件服务器的SMTP的25端口,因为这个端口不仅用来给邮件客户端发邮件,也用来服务器之间投递邮件。
|
|
|
|
