有关我的网络安全灾难的故事都集中于一个普通的东东:即e-mail,其中包括:破坏SMTP服务器的各种类型的e-mail蠕虫,不可靠的SMTP延迟,一个被指责为垃圾e-mail代理的Windows机器,或者是使用信息嗅探器来获得数据的中途攫取。
但是,在众多e-mail安全问题中,我觉得最主要的是网民们的无知。用户通常都想当然e-mail只是唯一的数据传输的方法,然而,e-mail有某些情况下并非为最佳的交流信息方式。
在任意两个因特网位置之间,记录和输送数字信息通常是被动的──这通常就会产生各种问题。信息技术发展之快,五花八门的e-mail客户软件诱导人们进入一个错误的安全方面的理解。但是,e-mail软件外表美观并且没有被崩溃,这并不能确保它的安全性。
即使使用先进的数据加密工具,比如Pretty Good Privacy (PGP),信息的记录痕迹依然存在,它可以位于系统的日志记录中,可以残留物的形式留在硬盘驱动器上,或者在你的计算机和别人计算机之间的某个位置被捕获。
我并非是第一个指出人们对e-mail的荒谬信任的人,但我想很多人还是不太相信。但最基本的道理是,使用于e-mail传输的STMP协议只不过是数据流而已,所以,很多问题的产生是不可避免的。
与很多因特网协议类似,STMP数据流没有加密方法或者其它的保护措施。当前,可以使用Secure Sockets Layer (SSL)来实现SMTP的更合理执行,但是,这些系统必须与现有的纯文本SMTP标准达到反向兼容。
在发送e-mail之前将内容进行加密,这是一条提高e-mail安全的最好方法。但是,却没有一种普通的工具来实现(PGP太复杂),而且对e-mail的安全意识尚待普及。所以,从这一点说来,e-mail在某些情况并非最佳的交流方式。
在我写这篇文章之前的几天,我曾经对有关coworker与e-mail安全性进行了大篇幅的讨论,尤其是针对于在不同位置的e-mail中涂攫取和保存。请记住,即使你已经对数据进行加密,通过e-mail服务器日志记录还是可能判断出e-mail的来源和去处。
当然,我不是说人们不应该使用e-mail,但我们应该以一种更加清醒和理智的方式来使用。但请确信,保护e-mail安全的唯一方法就是不要使用e-mail。
