日前,“電子郵件:威脅與安全的角力”主題研討會在北京舉行。中國互聯網協會反垃圾郵件中心主任曾明發、清華大學網絡行為研究所副所長李旭、中國互聯網協會反垃圾郵件中心高級技術專家陳勇、國際密碼學專家程朝暉、中國萬網產品總監宋瑛橋等電子郵件安全領域的專家學者出席研討會。本次研討會圍繞“電子郵件的‘隱私合理期待’”、“用戶名口令無法保證互聯網服務的安全”、“電子郵件安全技術新方向”、“目前電子郵件服務商的服務狀況”等問題進行了深入探討。

　　在研討會上,陳勇指出,網民最應該知道的就是:擁有了用戶名和口令并不意味著就能保證你在使用互聯網服務的時侯就是安全的。陳勇用一個發生在他身邊的真事印證了他的這一觀點。據陳勇稱,日前,他和一位朋友用QQ聊天,聊完各自就下線,第二天他發現朋友的QQ簽名改成了一句廣告語。后來,他向朋友確認后才得知,朋友QQ號的密碼被盜了。這種事可能會給這位朋友帶來很多隱患:第一,他的QQ好友全部泄露了;第二,他和別人QQ聊天的記錄泄露了;第三,他用的郵箱就是QQ郵箱,許多人把郵箱當作信息保存庫,里面的信息也全泄露了。這位朋友當時是在一個網吧上網的,據陳勇分析這個網吧的電腦可能被安裝了木馬,這位朋友很幸運只是被木馬把簽名改成了廣告語而沒有形成更嚴重的危害。

　　據了解,有些郵箱的附件地址或者是網絡相冊中的照片地址等是沒有進行安全保護的,任何人得到這一地址都可以直接進行訪問,而個別搜索引擎的桌面工具會自動抓取這種地址傳至網絡,從而可能造成網民本以為已經有密碼保護,需要登陸后才能看到的郵件附件、網絡相冊中的照片等泄露。陳勇強調,網民必須增加安全意識,同時,郵件、博客、相冊等服務的運營商也應該負起自己的責任,要讓網民清楚自己在什么情況下是安全的,在什么情況下是不安全的。陳勇也指出運營商可以從技術上對“用戶名口令(即入口)”、“通道”以及“信息本身”三個環節進行安全保護。

　　據宋瑛橋介紹,為了幫助用戶防范電子郵箱口令和密碼的安全隱患,萬網的商務安全郵采用了SSL加密技術和獨立域名證書相結合的方式來防范個人機密的泄露。據宋瑛橋解釋,比如在網吧上網時訪問webmail郵箱,登陸時需要輸入用戶名、密碼,當用戶輸入的這一刻開始實現通道密碼加密,用戶名和密碼已經加密成無法閱讀的文字,即使信息被竊取也不知道輸入的信息是什么。這樣,用戶名、密碼就不會在這一過程中被竊取。

　　另據宋瑛橋介紹,萬網的商務安全郵通過采用獨立域名證書的方式,實現了POP3S、SSMTP和HTTPS通道的加密,即對收郵件的POP3和發郵件的SMTP通道過程進行加密,以確保用戶在酒店、機場、網吧都可以收發郵件,且郵件在這個過程中不會被竊取。另外,在webmail上看郵件時,信件并沒有從服務器下載到本地,而是通過訪問服務器的郵件存儲看到這個郵件,看的時候原來是HTTP的訪問,現在是HTTPS的。也就是說,webmail訪問的郵件,所有的數據都是加密的,相當于在全球實現了數據的加密。

　　同時,宋瑛橋表示,目前通過全通道加密,用戶可以放心在一些公共場合使用商務安全郵,但信本身并沒有加密,當出現發錯郵件的時候,收到的人是可以閱讀的,實現了對正文加密之后,如果收件人或盜取到信件的第三方沒有得到授權,看到的就會是一堆亂碼。據宋瑛橋透露萬網下一步將和技術伙伴合作增加郵件正文加密,以確保郵件傳輸通道和正文信息都萬無一失。