Qmail邮件系统的安全分析和改进研究

曾慧鹏
摘要
本文首先指出了著名的开源邮件系统Qmail在安全方面存在的问题，并借用UNIX系统上现有的安全工具对Qmail现存的安全隐患加以解决，接着介绍了一种比Base64编码效率更高的Base91编码技术对邮件编码进行改进。最后利用实验室的平台基本实现了该高速、简洁、安全的邮件系统。
引言
邮件服务是Internet中使用率仅次于WWW的服务，一个邮件服务器主要包括三个主要的功能：邮件传输代理MTA（Mail Transport Agent），邮件分发代理MDA（Mail Delevery Agent），邮件用户代理MUA（Mail User Agent）。前两者是核心模块，负责邮件收发和处理。
Qmail是全球安装使用量仅次于Linux/Unix上缺省安装的的Sendmail的邮件服务器软件，到目前为止Qmail的MTA依然是世界上转发速度最快的邮件传输代理[1]，Qmail几乎兼容所有的Linux/Unix类操作系统。由于在Linux/Unix类型的操作系统中，Sendmail被缺省安装，所以其使用量在该领域位居首位，但是其配置烦琐，而且仅仅支持单文件（/var/spool/mail/$USER）方式存储用户所有邮件，导致邮件收发仅能串行处理，效率低下，而且一旦存取该文件出错，用户的全部邮件将丢失。而Qmail支持以目录的形式管理用户的邮件[3]（$HOME/Maildir）,在数据安全和存取速度上比前者都有明显的优势。Qmail的整体模块如图1[2]所示,主要由MTA、MDA、MUA三大部分组成。

图1 Qmail系统框架图
由于体系结构比X.400 MHS(Message Handling System)体系简单，而且是基于TCP/IP协议，SMTP（Simple Mail Transfer Protocol）已成为事实上的邮件协议标准，由于该协议设计过于简单，其报文在网络上用明文方式传输，给网络监听者带来了极大的方便，Qmail系统的MTA协议用的就是SMTP，邮件在传输途中很容易被截获。
目前的Internet上垃圾、反动、病毒邮件泛滥，Qmail在设计时对这三个方面的安全问题考虑不足。
本文针对上述的问题，结合新的编码技术和UNIX系统现有的一些安全工具对其加以研究、改进。
1 问题的提出
垃圾邮件、反动邮件和病毒邮件是目前对所有邮件用户最大的威胁。从图1的框架图来看，qmail的MTA和MDA中没有任何对邮件的检测和过滤的措施，无疑对上述安全问题没有任何防护能力。
1.1针对垃圾邮件
Qmail缺省不支持对Smtp用户的认证，这就是说，任何能访问该Qmail服务器的用户均能利用它来向任何地址发送邮件，对于那些想利用邮件列表发布邮件广告的商人，或想借他人主机发送大量攻击性邮件的黑客来说，其可以被轻而易举地被拿来直接达到目的。事实统计90％的垃圾邮件是从那些打开了开放性转发（Open Relay）权限的服务器发出的。
1.2针对反动、色情邮件等非法邮件
反动、色情邮件主要是指邮件的内容中有违反国家法律的反动信息和黄色信息，这些信息通常也是使用邮件列表进行传播，其性质较商业广告垃圾邮件恶劣，对社会产生很大的负面影响。Qmail没有任何基于内容的过滤模块，不能拦截该类邮件。
1.3针对病毒邮件
病毒邮件是指携带了病毒体的邮件报文，该类邮件一般通过附件来携带病毒文件，如果要过滤该类恶意邮件，要求MTA、MDA、MUA三个模块中至少有一个模块拥有病毒查杀模块，Qmail设计中没有考虑到这一点，这也是Qmail系统存在的一大安全问题。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有