电子邮件的电子邮件的扩展
多用途因特网邮件扩展(MIME,Multipurpose Internet Mail Extensions)是一种使电子邮件除了包含一般的纯文本以外,还可携带、声音和视频等二进制文件的协议。当然,它要求邮件的发送方和接收方必须有能解读MIME电子邮件的程序。
MIME的基本思想是:对邮件主体增加结构,通过一定的编码规则将非ASCII消息转化为ASCII文本的形式,以实现正确传输。常用的MIME的信头字段有:MIME-Version字段指明MIME的版本;Content-Transfer-Encoding字段说明传送时是如何对邮件主体进行编码的,编码方式可以是普通的7位字符或8位字符,也可以是64基本字符编码(Base 64 encoding)或引用的可打印编码(Quoted-Printable encoding);Content-Type字段指明消息的类型,如text/palin、image/gif、video/mpeg等,斜杠前是大类,斜杠后是其下的子类型,目前共有7个大类,分别为文本(Text)、图像(Image)、音频(Audio)、视频(Video)、应用程序(Application)、消息(Message)和多重成分(Multipart)等。
Base 64 encoding是一种通用的编码方法,其原理是把3个字节的数据用4个字节来表示。这样的4个字节,每个字节中实际用到的都只有前六位,所以不受只能传输七位字符限制的影响。Quoted-Printable encoding的原理是把一个八位的字符用两个十六进制数值来表示,然后在前面加“=”。例如,经过这样编码的文件通常形如:=B3=C2=BF=A1=C7=E5=A3=AC=C4=FA=BA=C3。 电子邮件的安全问题包含两个方面,一个是邮件可能给系统带来的不安全因素,二是邮件内容本身的隐私性。对此,我想给大家分享一些电子邮件安全方面的小窍门。
1 浏览器的安全设置。
以IE为例,首先建议将IE升级到最新版本,然后点击“工具→Internet属性”,进入“安全”选项卡,在这里可以对四种不同区域(包括“Internet”、“本地Intranet”、“受信任的站点”以及“受限制的站点”)分别进行安全设置。对于“Internet”区域通过“自定义级别”可以按照自己的安全考虑加以设置。虽然大多数Cookie对于系统来说是安全的,但在“隐私”选项卡中对它加以设置可以适当保护自己的隐私。如果担心信件内容的泄露,可以在“内容”选项卡中进行证书的设置等。
2 关闭电子邮件地址自动处理功能。
由于软件中自动处理功能的日益增加,我们会越来越多地看到由于意外地选择了错误收件人而造成的安全事件了。微软Outlook中的“可怕的自动填写功能” 就是一个很明显的例子,在使用下拉式清单的时候很容易不小心选择临近实际收件人的收件人。在讨论类似商业机密之类敏感信息的时候,这样的操作很容易导致各种安全事件的出现。
3 群发邮件的时候采用密送(BCC)的设置。
从安全角度来说,将电子邮件地址与没有必要知道的人分享,是一个坏做法。在未经允许的情况下,将电子邮件地址与陌生人分享也是不礼貌的。在发送电子邮件给多个人的时候,可以选择收件人(TO)或者抄送(CC)的方式,这样的情况下,所有收件人可以分享所有的电子邮件地址。如果没有明确确认电子邮件地址应该被所有收件人分享的时候,应该使用密送(BCC)的设置。这样的话,收件人不会知道还有其它接收者的存在。
4 做好阅后的工作。
如果在公共场所收发信件,信件内容的隐私性就变得至关重要。可以通过“Internet 选项”的“常规”选项卡删除文件(包括所有脱机内容)、清除历史记录以及删除Cookie。另外,还可以到“内容”选项卡的“个人信息”栏进行自动完成设置,清除表单以及密码等。 安全考量包括传输安全、储存安全、发送者身份确认、接收者已收到确认、拒绝服务攻击等。有两种标准:PGP和S/MIME。
1、传输安全
传输过程可能被窃听。为了应付这情况,有两种解决方法:
使用SSL连接,当前的两种邮件接受协议和一种邮件发送协议都支持安全的服务器连接。在大多数流行的电子邮件客户端程序里面都集成了对SSL的支持。将邮件加密之后,用普通连接传输。比如由GnuPG等加密软件在寄送前加密,Outlook也可以。
2、储存安全
对已加密的邮件,可以选择不保存解密后的邮件。已加密的邮件是指发送者在发送之前对邮件本身进行加密,不是指加密传输。如果邮件本身已加密,则没有必要进行加密传输。对非加密的邮件(指发送者在发送之前没有对邮件本身进行加密,至于是否使用加密传输是另一回事),邮件的储存安全就如同于其他文件的储存安全一样,重点在于防范非授权使用。当然,就如同可以对一般文件进行加密一样,也可以对这些非加密的邮件在收到后进行加密。
3、接收者已收到确认
接收者可能抵赖说他/她没有收到电子邮件。为了应付这情况,出现了不同的解决方法,还没有一套普遍被采纳的方案。微软公司的MicrosoftExchange Server就提供Delivery Receipt。因为是机器发的“接收者已收到确认”,所以接收者可能有意或无意地删除了邮件。
4、拒绝服务攻击
为了妨碍某一用户使用电子邮件(比如不让她/他收到电子邮件),拒绝服务攻击指往被攻击的用户的邮箱发送大量的垃圾邮件,将邮箱塞满。这样被攻击的用户就无法收到那些有用的电子邮件了。这种安全顾虑相当程度已被解决。一是邮箱不断增大,另一原因是邮件服务提供商都提供了一些的过滤措施。过滤措施有时也会把有用的电子邮件当成垃圾邮件。现已有一部分邮件服务供应商使用替身邮,防止外界对邮件帐户进行跟踪。 如果由于病毒或者黑客侵袭导致网站不能正常访问,无疑会对公司的形象产生不良影响,因此透视企业网站首先要关注一下网站的安全性防范。
1网络防火墙
其实很多企业已经意识到网站安全性的问题,可是出于成本考虑,大部分企业只是在网站服务器端安装了网络防火墙软件。虽说网络防火墙对于常见的恶意病毒和网络攻击能够起到一定的防护效果,但毕竟没有不透风的墙,任何一款网络防火墙软件都不可避免的存在着自身的漏洞,再加上木马、黑客类软件越来越多,更新的速度也越来越快,想要绕开防火墙侵入系统内部已经不再是天方夜谭。更何况一些网站服务器安装的网络防火墙还是过时的老版本,甚至已经很久没有更新过。如果从网站本身的网络安全防护角度考虑,采用硬件防火墙设备无疑是最佳的解决之道,毕竟更为灵活和丰富的设置功能可以增加网站服务器更高的安全系数。
2 网络安全架构
还有一些企业为了节约费用,将网络共享服务器、邮件服务器和网站服务器整合在一台计算机中,但是在投入使用之后却忽视了安全防范问题。这倒不是指服务器缺少邮件过滤和病毒防范措施,而是在网络架构方面存在着缺陷。大部分企业虽然配置了单独的SMTP网关防病毒系统,但是没有考虑到对于企业内部网络的安全防范,比如企业的内部邮件并没有进行处理,类似“网络天空”的邮件病毒很可能导致邮件服务器瘫痪,从而影响网站服务器的正常运行。其实只要在邮件服务器进行相应的配置,把所有来自于内部IP地址的邮件先转发至SMTP网关服务器进行过滤处理,然后再进行下一步转发渠道即可解决(如图1)。一般情况下,尽可能的不要在一台计算机中运行多个服务,毕竟多运行一种服务就会增加一份故障发生隐患,真正做到专机专用才是最佳方法。
3 人为防范
另外,网站安全性防范很重要一个环节在于人为防范。有些公司并没有配备专职网络管理员,网站服务器自从投入运行之后就鲜有人问津,或许数周甚至数月之后才会去维护一下。这种长时间不闻不问的态度也难以确保网站安全,倘若黑客在这期间攻破了防火墙入侵系统,并且将木马或者病毒移植在服务器中,那么很可能会导致大量浏览该网站的用户感染病毒,直接的后果就是对公司的形象和声誉造成影响。更有甚者,有些网络管理员把网站服务器变成自属的一块网络天地,擅自架设FTP、论坛或者其它网络服务,占用系统资源不说,更给黑客入侵系统提供了可乘之机。
国内企业网站的弊端
许多企业都投入可观的资金建立了自己的网站,但是时间一长,这些网站往往名存实亡,归纳起来不外乎这几种现象:
1 网站长期不更新,有的企业网站已经几年没有更新过,甚至公司已经搬迁但网页上什么都没有改,给客户造成很多麻烦,订单落入其他公司的手里也就不奇怪了。
2 网站永远没有客户想要的内容。有很多客户喜欢通过网站查阅进行比较,但有些企业网站能提供的资料实在太少,往往这些资料要从第三方网站上才能找到,结果往往是客户与提供完备资料的企业先行联系。
3 网站提供的信息太多太杂,没有重点,不仅浪费投资和运营成本,客户寻找所需资料也不容易。那么成功企业的网站究竟是怎样定位的呢?根据调查,在26家进入世界500强的美国企业中,769%的企业设立有专门的“产品与品牌”栏目; 385%的企业在网站首页上设有“网上服务”专栏,用户可享受方便快捷的在线办理服务;962%的企业在网站首页上设有“联系我们”的栏目,用户点击该处即可直接与企业取得联系,向企业反馈各种用户信息。反观国内同样进入世界500强的企业,75%的企业设立了产品介绍专栏,但是能够提供网上服务功能的寥寥无几,也只有一半的网站建立了“联系我们”栏目。从这些数字对比不难看出,国内网站并没有网络营销意识,不知道如何利用网站进行营销,尤其是对于网站的实际作用并不看好,网站的定位还只是一个初级的产品宣传介绍站点,与国外成型的网络咨询、网络订单、网络售后等一条龙完整网络营销服务还存在着相当大的差距。
0条评论