4.6 电子邮件传输安全

从第4.2节可知，一封电子邮件写好之后需要通过一定的传输协议传送给本地邮件服务器，然后由本地邮件服务器转发给目标邮件服务器，最后由目标邮件服务器交给目标客户端。在这个过程中，邮件的收发默认采用最基本的POP3/SMTP协议。POP3/SMTP协议是建立在TCP/IP协议上的一种邮件服务。众所周知，TCP/IP协议是以明文进行传输的，也就是说，邮件在发送和接收过程中都是明文。这就给攻击者提供了一个窃听的机会，攻击者只要在发送端和接收端中间的任何一个环节窃取到邮件的相关报文，就可以获知邮箱的用户名、密码和邮件内容。很显然，这是极为不安全的。

基于这些问题，SSL/TLS应运而生，SSL（Secure Sockets Layer，安全套接层）及其继任者TLS（Transport Layer Security，传输层安全）是为网络通信提供安全及数据完整性的一种安全协议。使用SSL/TLS可以进行安全的TCL/IP连接，数据在传输过程中都是以密文的形式显示。目前，基本所有的Web邮箱在进行数据传输的时候都是使用SSL/TLS。以网易163邮箱为例，对登录过程进行抓包的结果如图4-7所示。

图4-7 网易163邮箱登录过程中的报文交互

除此之外，为了方便邮件收发和处理，用户经常会用到邮箱客户端软件，如OutLook、FoxMail等。目前，新版的邮箱客户端软件在创建账户时就会默认把POP3协议端口直接设置为邮件服务提供商使用SSL的端口号。以OutLook为例，首次打开OutLook，在弹出的“添加新电子邮件账户”对话框中，只须在对应的文本框中填入邮件地址和密码，OutLook就会自动与电子邮件服务器建立联系，并根据网易邮箱的要求进行账户配置，如图4-8所示。

账户添加完成，选中该账户，单击“更改”按钮，弹出“更改电子邮件账户”对话框，单击“其他设置”按钮进入“Internet电子邮件设置”对话框，选择“高级”选项卡，可以看到接收服务器端口号为995而不是默认的110，“此服务器要求加密连接（SSL）”复选框已被勾选，如图4-9所示。

图4-8 在OutLook中添加网易163邮箱账户

图4-9 OutLook中自动设置的高级选项

如果单击“使用默认设置”按钮，可以看到接收服务器端口号立刻变为110，“此服务器要求加密连接（SSL）”复选框也不会被选中，而“使用以下加密连接类型”下拉列表框也会自动选择“无”选项，如图4-10所示。

图4-10 OutLook中恢复默认设置的高级选项

此时，单击“确定”按钮后虽然可以完成设置，但是，当用户要收发邮件的时候就会出现图4-11所示的提示。

图4-11 恢复默认设置后收发邮件受阻

可见，SSL/TSL已经成为邮件收发系统中强制使用的传输协议。