什么是安全邮箱？

安全邮箱就是一个你的邮箱。

具体内容如下：

一些门户类网站或者网络游戏等等在要求你填写信息的时候让你填写的一个邮箱，以便于日后你丢失你的账号密码时候通过该邮箱找回你的账号密码。

标准邮箱格式：用户名@域名，比如QQ邮箱地址:自己QQ号@qqcom

抵御电子邮箱入侵措施中，不正确的是自己做服务器。

抵御电子邮箱入侵措施有：不用生日做密码；不要使用少于5位的密码；不要使用纯数字。

客最常运用的三大邮件攻击手法为：Office漏洞入侵、离线钓鱼攻击（Offline Phishing），以及恶意VBA攻击。事实上这三种攻击入侵手法都是老把戏，虽然运用的技术各有不同，但是搭配战术都是透过精心设计的社交工程邮件对使用者设下骗局；并且在三个之中就有两个是利用微软的Office发动的攻击。

扩展资料：

黑客透过电子邮件递送特制的Word或RTF格式附件，搭配社交工程手法诱骗使用者开启。只要使用者开启附件，便会触发OLE漏洞或方程式漏洞，自动执行内嵌的恶意指令从远方下载并植入恶意程序，使攻击者可取得受感染电脑的控制权，借以发动其他恶意攻击。

虽然最常用的攻击工具能够了解，然而黑客搭配运用的社交工程手法千变万化，瞄准人性弱点透过各种佯装与欺骗技俩，诱导使用者配合执行动作或提供帐号密码及其他机敏数据。

为了防范垃圾电子邮件，互联网电子邮件服务提供者应当按照信息产业部制定的技术标准建设互联网电子邮件服务系统，关闭电子邮件服务器匿名转发功能，并加强电子邮件服务系统的安全管理，发现网络安全漏洞后应当及时采取安全防范措施。

《互联网电子邮件服务管理办法》第七条　互联网电子邮件服务提供者应当按照信息产业部制定的技术标准建设互联网电子邮件服务系统，关闭电子邮件服务器匿名转发功能，并加强电子邮件服务系统的安全管理，发现网络安全漏洞后应当及时采取安全防范措施。

　　第八条　互联网电子邮件服务提供者向用户提供服务，应当明确告知用户服务内容和使用规则。

　　第九条　互联网电子邮件服务提供者对用户的个人注册信息和互联网电子邮件地址，负有保密的义务。

　　互联网电子邮件服务提供者及其工作人员不得非法使用用户的个人注册信息资料和互联网电子邮件地址；未经用户同意，不得泄露用户的个人注册信息和互联网电子邮件地址，但法律、行政法规另有规定的除外。

SSL/TLS漏洞目前还是比较普遍的，首先关闭协议：SSL2、SSL3（比较老的SSL协议）配置完成ATS安全标准就可以避免以下的攻击了，最新的服务器环境都不会有一下问题，当然这种漏洞都是自己部署证书没有配置好导致的。

Export 加密算法

Export是一种老旧的弱加密算法，是被美国法律标示为可出口的加密算法，其限制对称加密最大强度位数为40位，限制密钥交换强度为最大512位。这是一个现今被强制丢弃的算法。

Downgrade（降级攻击）

降级攻击是一种对计算机系统或者通信协议的攻击，在降级攻击中，攻击者故意使系统放弃新式、安全性高的工作方式，反而使用为向下兼容而准备的老式、安全性差的工作方式，降级攻击常被用于中间人攻击，讲加密的通信协议安全性大幅削弱，得以进行原本不可能做到的攻击。 在现代的回退防御中，使用单独的信号套件来指示自愿降级行为，需要理解该信号并支持更高协议版本的服务器来终止协商，该套件是TLS_FALLBACK_SCSV(0x5600)

MITM（中间人攻击）

MITM(Man-in-the-MiddleAttack) ，是指攻击者与通讯的两端分别创建独立的联系，并交换其所有收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方直接对话，但事实上整个对话都被攻击者完全控制，在中间人攻击中，攻击者可以拦截通讯双方的通话并插入新的内容。一个中间人攻击能成功的前提条件是攻击者能够将自己伪装成每个参与会话的终端，并且不被其他终端识破。

BEAST（野兽攻击）

BEAST(CVE-2011-3389) BEAST是一种明文攻击，通过从SSL/TLS加密的会话中获取受害者的COOKIE值（通过进行一次会话劫持攻击），进而篡改一个加密算法的 CBC（密码块链）的模式以实现攻击目录，其主要针对TLS10和更早版本的协议中的对称加密算法CBC模式。

RC4 加密算法

由于早期的BEAST野兽攻击而采用的加密算法，RC4算法能减轻野兽攻击的危害，后来随着客户端版本升级，有了客户端缓解方案（Chrome 和 Firefox 提供了缓解方案），野兽攻击就不是什么大问题了。同样这是一个现今被强制丢弃的算法。

CRIME（罪恶攻击）

CRIME(CVE-2012-4929)，全称Compression Ratio Info-leak Made Easy，这是一种因SSL压缩造成的安全隐患，通过它可窃取启用数据压缩特性的HTTPS或SPDY协议传输的私密Web Cookie。在成功读取身份验证Cookie后，攻击者可以实行会话劫持和发动进一步攻击。

SSL 压缩在下述版本是默认关闭的： nginx 116及更高/109及更高（如果使用了 OpenSSL 100及更高）， nginx 132及更高/122及更高（如果使用较旧版本的 OpenSSL）。

如果你使用一个早期版本的 nginx 或 OpenSSL，而且你的发行版没有向后移植该选项，那么你需要重新编译没有一个 ZLIB 支持的 OpenSSL。这会禁止 OpenSSL 使用 DEFLATE 压缩方式。如果你禁用了这个，你仍然可以使用常规的 HTML DEFLATE 压缩。

Heartbleed（心血漏洞）

Heartbleed(CVE-2014-0160) 是一个于2014年4月公布的 OpenSSL 加密库的漏洞，它是一个被广泛使用的传输层安全（TLS）协议的实现。无论是服务器端还是客户端在 TLS 中使用了有缺陷的 OpenSSL，都可以被利用该缺陷。由于它是因 DTLS 心跳扩展（RFC 6520）中的输入验证不正确（缺少了边界检查）而导致的，所以该漏洞根据“心跳”而命名。这个漏洞是一种缓存区超读漏洞，它可以读取到本不应该读取的数据。如果使用带缺陷的Openssl版本，无论是服务器还是客户端，都可能因此受到攻击。

POODLE漏洞（卷毛狗攻击）

2014年10月14号由Google发现的POODLE漏洞，全称是Padding Oracle On Downloaded Legacy Encryption vulnerability，又被称为“贵宾犬攻击”（CVE-2014-3566），POODLE漏洞只对CBC模式的明文进行了身份验证，但是没有对填充字节进行完整性验证，攻击者窃取采用SSL30版加密通信过程中的内容，对填充字节修改并且利用预置填充来恢复加密内容，以达到攻击目的。

TLS POODLE（TLS卷毛狗攻击）

TLS POODLE(CVE-2014-8730) 该漏洞的原理和POODLE漏洞的原理一致，但不是SSL3协议。由于TLS填充是SSLv3的一个子集，因此可以重新使用针对TLS的POODLE攻击。TLS对于它的填充格式是非常严格的，但是一些TLS实现在解密之后不执行填充结构的检查。即使使用TLS也不会容易受到POODLE攻击的影响。

CCS

CCS(CVE-2014-0224) 全称openssl MITM CCS injection attack，Openssl 098za之前的版本、100m之前的以及101h之前的openssl没有适当的限制ChangeCipherSpec信息的处理，这允许中间人攻击者在通信之间使用0长度的主密钥。

FREAK

FREAK(CVE-2015-0204) 客户端会在一个全安全强度的RSA握手过程中接受使用弱安全强度的出口RSA密钥，其中关键在于客户端并没有允许协商任何出口级别的RSA密码套件。

Logjam

Logjam(CVE-2015-4000) 使用 Diffie-Hellman 密钥交换协议的 TLS 连接很容易受到攻击，尤其是DH密钥中的公钥强度小于1024bits。中间人攻击者可将有漏洞的 TLS 连接降级至使用 512 字节导出级加密。这种攻击会影响支持 DHE_EXPORT 密码的所有服务器。这个攻击可通过为两组弱 Diffie-Hellman 参数预先计算 512 字节质数完成，特别是 Apache 的 httpd 版本 215 到 247，以及 OpenSSL 的所有版本。

DROWN（溺水攻击/溺亡攻击）

2016年3月发现的针对TLS的新漏洞攻击——DROWN（Decrypting RSA with Obsolete and Weakened eNcryption，CVE-2016-0800），也即利用过时的、弱化的一种RSA加密算法来解密破解TLS协议中被该算法加密的会话密钥。 具体说来，DROWN漏洞可以利用过时的SSLv2协议来解密与之共享相同RSA私钥的TLS协议所保护的流量。 DROWN攻击依赖于SSLv2协议的设计缺陷以及知名的Bleichenbacher攻击。

通常检查以下两点服务器的配置

服务器允许SSL2连接，需要将其关闭。

私钥同时用于允许SSL2连接的其他服务器。例如，Web服务器和邮件服务器上使用相同的私钥和证书，如果邮件服务器支持SSL2，即使web服务器不支持SSL2，攻击者可以利用邮件服务器来破坏与web服务器的TLS连接。

Openssl Padding Oracle

Openssl Padding Oracle(CVE-2016-2107) openssl 101t到openssl 102h之前没有考虑某些填充检查期间的内存分配，这允许远程攻击者通过针对AES CBC会话的padding-oracle攻击来获取敏感的明文信息。

强制丢弃的算法

aNULL 包含了非验证的 Diffie-Hellman 密钥交换，这会受到中间人（MITM）攻击

eNULL 包含了无加密的算法（明文）

EXPORT 是老旧的弱加密算法，是被美国法律标示为可出口的

RC4 包含的加密算法使用了已弃用的 ARCFOUR 算法

DES 包含的加密算法使用了弃用的数据加密标准（DES）

SSLv2 包含了定义在旧版本 SSL 标准中的所有算法，现已弃用

MD5 包含了使用已弃用的 MD5 作为哈希算法的所有算法

摘要：随着互联网的发展，电子邮件的安全性问题也愈发严重，如邮件病毒、邮件炸弹、密码问题等。如果不做好防护工作，个人隐私和公司机密随时存在被截获和浏览的风险。那么电子邮件存在哪些安全性问题？如何做好邮件安全防护工作？下面小编就来介绍电子邮件安全相关知识。一、电子邮件存在哪些安全性问题

1、邮件病毒

“邮件病毒”一般是通过邮件中的“附件”进行扩散。邮件病毒已成为病毒发展的主流，目前多数蠕虫病毒都可以通过邮件方式传播。邮件蠕虫病毒使用自己的SMTP，将病毒邮件发送给搜索到的邮件地址，一旦用户打开带有病毒的邮件，或运行病毒程序，该计算机马上感染了病毒。

2、邮件炸弹

炸弹攻击的基本原理是利用特殊工具软件，在短时间内向目标机集中发送大量超出系统接收范围的信息，目的在于使对方目标机出现超负荷、网络堵塞等状况，从而造成目标的系统崩溃及拒绝服务。常见的炸弹攻击有邮件炸弹、逻辑炸弹、聊天室炸弹、特洛伊木马等。

3、密码问题

密码为抵御对邮件系统的非法访问构筑了第一道防线，但是却经常被人们低估甚至忽略。如果要想设置一个好的密码，你就要站在一个破解者的角度去思考。而对于破解者最容易想到的就是生日、电话号码、工号等，显然这些是我们生活中最容易记住的，但是也是最容易被破解的，密码应由大写字母、小写字母、数字、特殊符号组成，密码长度大于或等于12位，并定期修改变更，提升密码的安全性。

二、如何做好邮件安全防护工作

1、病毒邮件防护

由于电子邮件常常附带文件，而这些文件可能是应用程序、文档或者是病毒。因此，当接收邮件时，应及时对其进行病毒扫描，特别是当这些邮件来自一个可疑的或匿名的发送者时。在很多情况下，邮件和所附文件存放于邮件服务器中，大部分防毒程序不能访问这些信息文件，或者无法有效地检测和清除内藏于消息文件中的病毒。即使一些常驻内存的防毒程序在打开被感染文件时能检测到，但仍不能自动清除。

防护电子邮件病毒的方法有：

①使用防毒软件同时保护客户机和服务器。一方面，只有服务器的防毒软件才能访问个人目录，并且防止病毒从外部入侵。另一方面，只有服务器的防毒软件才能进行全局检测和清除病毒。

②使用特定的Smtp杀毒软件。SMTP杀毒软件具有独特的功能，它能在那些从Internet上下载的被感染邮件到达本地邮件服务器之前拦截它们，从而保持本地网络的无毒状态。

③保护所有的服务器，即使它们没有与外界连接。

④用优秀的防毒软件对邮件系统进行专门的防护。

⑤保护整个网络而不是其中一部分。对于整个网络的病毒防护，建议使用特定的杀毒软件对服务器和工作站进行全方位的保护。

2、防范邮件炸弹

（1）解除电子邮件炸弹威胁重在预防

邮件炸弹的原理是向有限容量的信箱投入足够多或足够大的邮件使邮箱崩溃。这类邮件炸弹很多，如Nimingxin，Quickfyre、雪崩等，炸弹邮件的使用也很简单填上收信人的E-mail地址、输入要发送的次数、选择SMTP主机、随意填上自己的地址，按“发信”就开始发送炸弹了。使用如下方法尽可能地避免邮件炸弹的袭击：不随意公开自己的信箱地址；隐藏自己的电子邮件地址；谨慎使用自动回信功能。

（2）公用密匙系统

公开密钥加密技术需要使用一对密钥来分别完成加密和解密操作，以保证电子邮件的完整性和真实性。这对密钥中的一个公开发布，称为公开密钥，另一个由用户自己安全保存，称为私有密钥。信息发送者首先用公开密钥去加密信息，而信息接收者则用相应的私有密钥去解密。通过数学的手段保证加密过程是一个不可逆过程，即用公钥加密的信息只能用于该公钥配对的私有密钥才能解密。用户利用自己的私有密钥签名的消息就只能被相应的公钥验证（解密），从而可以确信消息来自特定的用户，因为只有该用户才拥有该私钥的使用权。

（3）预防监听

外部上，许多基于Web的电子邮件系统都提供了一个“记住”用户名和密码的功能。如果在公用计算机上错误地选择了简易登录选项，那么其他人都会很容易地访问到用户的密码和账号。所以要确保系统不会把用户的登录证书保存在缓存中；不使用电子邮件系统时，要确保退出登录。

内部上，在发送邮件时，电子邮件并不是直接发送到了对方的电子邮件信箱里，而是会经过数量不可预知的中间服务器。任何人只要能访问到该路径上的任何服务器，就都可以读到正在传输的消息内容。电子邮件的传送也与距离有关，电子邮件信箱之间的中间服务器节点越少，被人偷看的可能性就越低。因此对于需要保密的邮件，采用数字证书帮助安全发送是最常见的方法。

（4）其他防攻击保障措施

a系统安全措施

第一，网络安全：云解密平台系统应设置相应的防火墙策略，只开放443端口对外提供服务。

第二，自身系统安全：及时升级最新的版本和系统补丁，确保没有已知的漏洞。

b使用时身份鉴别

第一，支持强身份认证：支持挑战—应答、双因子认证、对设备终端认证。

第二，支持弱口令检测：如用户使用弱口令则提醒其更改。

c防钓鱼措施

第一，解密平台证书：为解密平台申请权威机构的SSL证书。

第二，双因子认_：对于高安全用户要求绑定用户手机号，需要输入验证码才能解密，黑客即使获得解密密码也无法登录云解密平台。

电子邮件给人们带来了便利，也同时带来了很大的安全隐患。邮件系统是网络安全中的一个重要环节，单靠纯粹的技术手段是无法解决的，还是应当采用管理与技术相结合的方式，以先进的技术手段为基础，以完善的管理制度和法律法规为依托，依靠各运营商和邮件服务商的协调合作，对社会各主体的邮件活动进行规范，才能达到理想的目标。