電子郵件安全發展簡史

Internet工程任務組(IETF)于1986年正式成立，旨在建立Internet標準并影響使用Internet的最佳實踐；近年來，電子郵件作為一種通訊方式在不斷快速發展的同時，也為軟件業和全球的公司創造了機遇和挑戰。

進入九十年代后，萬維網的普及改變了計算行業的前景，成千上萬的計算機用戶爭先使用Internet來處理業務和娛樂。

軟件公司開發了大眾喜愛的電子郵件客戶端和企業郵箱服務器軟件，并通過免費下載和高端商業應用程序提供了增強功能。在Internet和Web瀏覽使用量增長的同時，許多公司發布了基于Web的電子郵件解決方案，并在頻繁的廣告贊助的支持下通常免費向最終用戶提供。企業軟件的商業提供程序一直在不斷的創新，提供了增強的功能以幫助IT部門更加有效和安全地管理電子郵件系統，同時幫助信息工作者應對大量電子郵件所帶來的管理方面的挑戰。現在，電話和企業郵箱系統的結合使用戶能夠通過電子郵件客戶端訪問語音郵件和傳真，而且手持設備已廣泛流行，用戶通過手機就可訪問電子郵件。

郵件技術的重要性越來越高，已成為全球企業的一個競爭優勢。系統管理器也面臨著更多挑戰，如在提供增強功能使其人員具有競爭力的同時保護其網絡和知識資本。

電子郵件安全性威脅的演變

在過去的五年當中，我們親眼看到了電子郵件用戶和公司所面臨的安全性風險變得日益嚴重。病毒、蠕蟲、垃圾郵件、網頁仿冒欺詐、間諜軟件和一系列更新、更復雜的攻擊方法，使得電子郵件通信和電子郵件基礎結構的管理成為了一種更加具有風險的行為。可能發生許多身份被竊的事件，結果將導致知識產權受到侵害和個人信息(如信用卡號和社會安全號)丟失。這些問題以及電子通信的成功促成了建立控制隱私、跟蹤功能和日記功能的新法規。

病毒與蠕蟲

第一個主要的電子郵件蠕蟲是1999年3月出現的Melissa;而在2000年5月，ILOVEYOU電子郵件郵件病毒對Internet造成了嚴重的破壞。由于這些病毒，附件過濾和阻止已成為了標準電子郵件功能。現在，某些附件在傳輸過程通常會被諸如Outlook、OutlookExpress和OutlookWebAccess(OWA)的客戶端從電子郵件中分離出來并阻止。防病毒解決方案可在電子郵件傳遞過程中運行，或者當其存儲在服務器和電子郵件客戶端中時運行。通常，在客戶端和服務器上都要實施防病毒解決方案。事實上，許多公司都禁止將沒有運行當前防病毒軟件的機器連接到網絡中。

垃圾郵件和網頁仿冒欺詐

在2000年初，垃圾郵件就已成為了一個主要的問題，它對電子郵件的效用造成了嚴重影響。2002年，美國聯邦交易委員會開始對欺騙性的垃圾郵件進行整治，但是由于各國家之間的法律存在巨大差異，使得法律措施很難在類似Internet的全球系統中執行。垃圾郵件不僅讓人感到憤怒，而且還通常用于網頁仿冒欺詐垃圾郵件中，以竊取信息和金錢。垃圾郵件是一種非常廉價的廣告(或攻擊)方法，即使點擊率非常低，也非常有效。RadicatiGroup,Inc曾估計2006年每天將平均發送超過1000億封垃圾郵件，占所有電子郵件通信的三分之二。要下載完整的報告，請參閱MicrosoftExchangeMarketShareStatistics,2005(英文)。

抵御垃圾郵件的技術源于一些非常簡單的想法，如刪除包含禁止詞語的電子郵件。現如今，這些想法發展成了多種垃圾郵件檢測和減少垃圾郵件的技術。當前的解決方案仍包括字詞阻止程序，但現在它們還包括復雜的垃圾郵件檢測工具，像MicrosoftSmartScreen%26#8482;技術。在Internet上快速搜索會找到很多銷售抵御垃圾郵件技術的公司，同時又有很多人愿意幫助他人避開反垃圾郵件檢測程序。遺憾的是，在反垃圾郵件檢測技術不斷提高的同時，避開反垃圾郵件檢測的嘗試也在不斷改進。反垃圾郵件檢測軟件，就像防病毒軟件一樣，也需要定期更新才能始終保持有效。

攻擊和新的挑戰

九十年代，計算機專家了解到可以利用一些常見的編碼錯誤(如緩沖區溢出)。在計算機通過網絡進行連接變得越來越平常的同時，這些漏洞也變得更加容易被利用。在此之前，病毒仍是通過軟盤進行傳播，而在此以后，攻擊變得更加復雜。存在很多利用內存管理錯誤(包括利用整數溢出)的巧妙方法，這些方法在秘密社區中很流行。跨站點腳本(CSS)和其他腳本置入技術用于攻擊Web應用程序。目前的許多攻擊是為了金錢，而以前的攻擊通常是為了引起公眾注意。

我們知道惡意用戶通常使用工具自動地查找和利用漏洞。這些工具包括名為“fuzzer”的工具，此類工具可截取正常的輸入，然后對其進行修改，或者生成錯誤的輸出。使用這些工具還可標識編碼錯誤，這些錯誤可被用來執行代碼。在這些用于反向工程或用于標識程序中的更改的工具已經有了很多改進。現在，在Microsoft產品的開發過程中使用了各種“fuzzer”和分析工具，用于識別這些潛在的代碼缺陷，以便在交付產品之前能夠改正這些缺陷。例如，開發人員使用VisualStudio%26reg;2005中的分析選來查找其代碼中的缺陷。運行一套代碼分析工具是Microsoft作為SecurityDevelopmentLifecycle(SDL)(英文)的一部分所引入的變革之一。