31、保障互联网电子邮件安全的实用指南

保障互联网电子邮件安全的实用指南

1. 滥用与探测的区别

在互联网电子邮件环境中，滥用和探测的主要区别在于意图。那些通过你的服务器转发未经请求的商业电子邮件（UCE）的人，可能并不关心服务器本身或其所连接的网络，他们只在乎能否利用这些资源来实现自己的目的。而那些探测 SMTP 服务器以获取用户名、组成员信息或调试信息的人，几乎可以肯定是想攻破该 SMTP 服务器及其所在的网络。

历史上，RFC 2821 规定的两个 SMTP 命令是泄露此类信息的常见源头：
- VRFY ：验证给定的用户名在系统上是否有效，如果有效，还会显示用户的全名。
- EXPN ：将指定的邮件列表名称扩展为单个账户名称列表。

还有一个 SMTP 命令 VERB，可用于使某些邮件传输代理（MTA）进入“详细”模式。VERB 是一个扩展 SMTP 命令，在 RFC 1700 中引入。由于信息安全的一个指导原则是“永远不要不必要地向陌生人透露任何信息”，所以不应允许任何可公开访问的 MTA 服务器以详细模式运行。

MTA 应配置为忽略 VRFY 和 EXPN 请求，或者对这些请求返回虚假响应，并忽略 VERB 请求。

2. 未经请求的商业电子邮件（UCE）

UCE 通常不被视为传统意义上的安全威胁，发送 UCE 一般并不违法（除非涉及某种欺诈行为），也不会直接威胁任何人数据的完整性或保密性。然而，如果有人使用你的带宽和计算资源（这两者都可能成本高昂）向你发送你不想要的东西，这实际上难道不是一种盗窃吗？许多人都认同这一观点。UCE 不仅仅是一种烦扰，实际上它