|
|
 |
現在,網路竊聽太容易了!隨著無線網路的普及,網路竊聽愈演愈烈。接入同一個無線網路的電腦之間可以互相竊聽網路資料,一個不太懂電腦專業技術的人,從網上下載免費的竊聽軟體,通過電信、網通、移動等公司提供的無線網路(WLAN),就可以輕易的獲得其他人HTTP訪問記錄和內容、E-Mail帳戶資訊、無線上網的用戶名和密碼。電信、網通、移動等公司提供的無線網路(WLAN)已經網路帳戶盜竊的溫床。
傳統的郵件包括信封和信本身;電子郵件則包括信頭和信體。現存的端到端安全電子郵件技術(PGP)一般只對信體進行加密和簽名,而信頭則由於郵件傳輸中定址和路由的需要,必須保證原封不動。然而,一些應用環境下,可能會要求信頭在傳輸過程中也能保密,這就需要傳輸層的技術作為後盾。目前主要有兩種方式實現電子郵件在傳輸過程中的安全,一種是利用SSL SMTP和SSL POP3,另一利用VPN或者其他的IP通道技術,將所有的TCP/IP傳輸封裝起來,當然也就包括了電子郵件。VPN技術相對比較複雜,而且需要更新閘道並在用戶端安裝軟體,部署成本高,使用更複雜,而利用SSL SMTP和SSL POP3技術,則只需要在伺服器端做很少的改動,而用戶端不需要任何其他軟體,而且使用方式和傳統方式一樣,是目前最容易推廣的一種方案。
包括Google的Gmail在內的很多郵件服務商都開始使用SSL加密了,您也應該行動起來,避免郵件洩密。
我們推薦在安全郵件套件採用:Geotrust SSL 專業版(GeoTrust QuickSSL Premium) 或者 Geotrust SSL 企業版(GeoTrust True BusinessID),這是因為:
| • |
通過GeoTrust專有的線上申請技術,和迅通誠信的線上平臺,快速獲得憑證簽發。
|
| • |
安裝簡單,無需級聯安裝
|
| • |
100%相容1999年以後發佈的瀏覽器和郵件用戶端。
|
| • |
Google的Gmail就是使用全球信SSL企業版(GeoTrust True BusinessID)進行SMTP-SSL和POP3-SSL加密的。使用Internet Explorer打開 https://pop.gmail.com:995/ ,滑鼠右鍵單擊螢幕,選擇“屬性”->“憑證”可以看到SSL憑證。
|
本文將告訴您,如何配置郵件伺服器,讓POP3、SMTP、IMAP、HTTP都啟用SSL保護,免受網路竊聽,避免資料被盜竊。本文的方式適合所有的電子郵件伺服器,包括Exchange Server、Imail、Qmail、NTmail、MDaemon、Winmail等。
第一步:先下載並安裝TCP-to-SSL通用轉換軟體Stunnel,下載位址:這裏。
第二步:修改stunel.conf檔,如果郵件伺服器沒有提供IMAP或者HTTP服務,可以刪除對於的部分:
[pop3s]
accept = 995
; 郵件伺服器IP位址和POP3埠號
connect = 127.0.0.1:110
[imaps]
accept = 993
; 郵件伺服器IP位址和IMAP埠號
connect = 127.0.0.1:143
[ssmtp]
accept = 465
; 郵件伺服器IP位址和SMTP埠號
connect = 127.0.0.1:25
[https]
accept = 443
; 郵件伺服器IP位址和HTTP埠號
connect = 127.0.0.1:8080
TIMEOUTclose = 0
第三步,啟動Stunel軟體。如果你把Stunel安裝為Service模式,則啟動Stunel Service,否則啟動Stunel.exe 程式
第四步,如果你的郵件伺服器啟動了HTTP訪問模式,請用瀏覽器訪問 HTTPS://stunel伺服器位址/,你將看到一個安全警告“您與該網站交換的資訊不會被其他人查看或更改。但該網站的安全憑證有問題。是否繼續?”,選擇“是”。這時,你的瀏覽器已經和郵件伺服器通過SSL方式訪問了。如果無法訪問,請檢查一下是否使用的防火牆,如果使用防火牆,請開啟相應埠。
第五步,配置郵件用戶端,本文已Outlook Express 6.0為例,其他郵件用戶端的配置方式類似,先按照正常方式建立郵件帳戶,然後按下圖,選擇“屬性”
(點閱放大)
在“伺服器”屬性頁,接收郵件(POP3)和發送郵件(SMTP)的伺服器都填寫“stunel伺服器地址”
(點閱放大)
選擇“高級”屬性頁後,設置發送郵件(SMTP)埠號為465,接收郵件(POP3)埠號為995,並選擇“此伺服器要求安全連接(SSL)”
(點閱放大)
郵件用戶端配置好了。在收發郵件時,Outlook express會出現一個“憑證警告”,忽略這個警告。現在你通過SMTP發郵件和POP3收郵件都通過SSL加密保護了。
第一步:下載OpenSSL,下載地址 https://www.myssl.cn/download/OpenSSL_0.9.8.a_Win32.zip
第二步:解壓縮到c:\openssl目錄下
第三步:運行cmd.exe,進入命令行視窗,運行命令:
cd c:\openssl
set OPENSSL_CONF= openssl.cnf
openssl req -new -nodes -keyout server.key -out server.csr
於是當前目錄下將產生兩個檔:server.key 和 server.csr。請妥善保存這兩個檔,請不要洩露server.key私鑰文件。
在這一命令執行的過程中,系統會要求您填寫如下資訊:
Country Name (2 letter code):使用國際標準組織(ISO)國碼格式,填寫2個字母的國家代號。台灣請填寫TW。
State or Province Name (full name): 省縣,比如填寫 Tainan
Locality Name (eg, city): 城市,比如填寫Tainan
Organization Name (eg, company): 組織單位,比如填寫公司名的拼音
Organizational Unit Name (eg, section): 比如填寫IT Dept
Common Name (eg, your websites domain name): 行使 SSL 加密的網站地址。請注意這裏並不是單指您的網域名稱,而是直接使用 SSL 的網站名稱 例如:pay.abc.com。 一個網站這裏定義是:abc.com 是一個網站; www.abc.com 是另外一個網站; pay.abc.com 又是另外一個網站。 注意:這個伺服器網域名稱應該和郵件用戶端軟體設置的SMTP/POP3伺服器名稱一致。
Email Address: 郵件位址,可以不填
A challenge password: 可以不填
An optional company name:可以不填
第四步:為確認您對所申請的SSL伺服器網域名稱擁有管理權,認證系統將發電子郵件到指定的管理員郵箱中。 例如:您準備申請的 SSL 憑證伺服器網域名稱為host.yourdomain.com,在遞交申請時,請確認您可以接收 ssladmin@yourdomain.com 或者 ssladmin@host.yourdomain.com
第五步:到 這裏 申請SSL憑證 ,遞交第三步產生的server.csr,並輸入申請的相關資訊
第六步:你將收到一份來自美國Geotrust的申請確認郵件,點擊郵件中的URL,然後Approve你的申請
第七步:你將收到包含憑證的郵件,將郵件中“-----BEGIN CERTIFICATE-----”到“-----END CERTIFICATE-----” 部分複製到notepad.exe中,然後用保存為server.crt
第八步:將第二步產生的server.key和第七步產生的server.crt,複製到Stunnel目錄下,修改stunel.conf文件:
cert = server.crt
key = server.key
第九步:重啟Stunnel
你再用瀏覽器訪問HTTPS://Stunnel伺服器/ 或者用Outlook express收發郵件,就沒有安全警告了。
注意:
(1) 郵件用戶端設置SMTP/POP3伺服器時,名稱必須與憑證名字一致,否則可能無法收發郵件
(2) 啟用SSL後,你可以用防火牆遮罩掉原來的POP3的110埠,來強制用戶使用POP3-SSL的995埠;但是你不能遮罩掉原來郵件伺服器的SMTP的25埠,因為這個埠不僅用來給郵件用戶端發郵件,也用來伺服器之間投遞郵件。
|
|
|
|
