对邮件效劳器的进犯办法多种多样：有运用缓冲区溢出缝隙进行的进犯，还有回绝效劳进犯和目录搜集进犯等等。加固邮件效劳器、运用邮件过滤东西、选用被办理的效劳、装置集成软件等办法都可以从不一样的旁边面停止邮件效劳器所受到的进犯。本文对上述这些办法都有详细描绘。


加固邮件效劳器，首要在它前面装置邮件过滤网络东西，或许运用被办理的邮件过滤效劳将有助于减轻来自垃圾邮件发送者和其它路径的进犯。

跟着对于最终用户和他们的桌面体系的进犯日渐增多，直接进犯邮件效劳器的状况有所削减(虽然这种削减是相对的)。可是，效劳器仍然是软弱的，由于进犯者不断发现微软的EXChange server乃至Sendmail的缝隙。下面来看两个多见的进犯，以及削减或停止邮件效劳器遭受这些进犯的办法。

根源之一：缓冲区溢出缝隙

当一个软件程序，如邮件效劳器软件，在一个数据缓冲区中存储了超越开端答应量的更多的数据，而且未曾防备始料未及的输入时，就会发作缓冲区溢出。进犯者可以运用这个缺点让邮件效劳器履行它未方案履行的其它程序。假如邮件效劳器的运转享有特权的话，就会危及到全部体系的安全。即使邮件效劳器不享有特权，进犯者仍是可以危及它的安全，并取得对它的资本的彻底操控权限。

虽然缓冲区溢出是由于偶然的编程过错致使的，可是它关于数据完整性而言却是一种很多见的安全缝隙。当发作缓冲区溢出状况时，剩余的数据会包括被规划用于触发特定行动的代码，如：向被进犯的效劳器发送也许损坏用户文件、修正数据或暴露绝密信息的新指令。

曩昔进犯者常常运用缓冲区溢出缝隙使蠕虫在因特网上不一样的效劳器之间穿行，然后证实他们的身手。可是近来，缓冲区溢出缝隙有了更清晰的方针。它们让进犯者危及邮件效劳器的安全，以便接下来它们可以运用邮件效劳器来发送垃圾邮件。

这种进犯会致使两个严重后果。首要，邮件效劳器被危及安全意味着进犯者可以阅览公司的交游邮件。成果也许是灾难性的。其次，进犯者可以运用公司的效劳器资本发送垃圾邮件。这种状况会给公司带来坏名声，并违背ISP合同，常常意味着效劳停止。

加固邮件效劳器(以及任何其它公共效劳器)，避免缓冲区溢出缝隙和其它办法的进犯是非常重要的。还可以采纳其它一些保护办法。

应对之一：效劳器加固

削减邮件效劳器的安全受到要挟的时机的最好办法即是加固邮件效劳器自身。在任何状况下，加固都值得尽力做出。在加固过的效劳器上，特别是那些因特网上的效劳器，很少有用劳会被缝隙进犯到，那些效劳一般是被“区别对待” 的。加固一般需求采纳如下办法：

• 从物理上保证计算机的安全;

• 更新操作体系和运用软件;

• 启用日志，记载办理员拜访和运用资本的操作;

• 删去不必要的运用程序、效劳和东西;

• 启用本地防火墙效劳;

• 约束有特权账号的运用。

经过加固效劳器，可以大大削减它们的薄弱环节。但只是加固邮件效劳器一般是不够的。非常好的解决方案是在加固效劳器的一起，在邮件实习抵达效劳器之前供给额定的对邮件通讯的过滤。

可以经过运用网络东西、办理效劳和集成到现存的邮件体系(如：微软的EXChange)中的软件来预先对邮件通讯进行过滤。牢记防护要分红不一样的层次——例如：加固内部邮件效劳器，一起为保护周边环境而布置已被供货商加固的网络东西。

应对之二：网络东西

邮件过滤网络东西是布置在内部邮件效劳器前面的。这些东西一般供给两种类型的防火墙：包过滤防火墙和运用级防火墙。作为包过滤防火墙的网络东西只答应到邮件效劳(如：SMTP，一般是POP3和IMAP)所运用的端口的有用TCP/IP通讯。作为运用级防火墙的东西保证发送效劳器正确地运用SMTP，并遵从有关的IEEE Requests for Comments(RFCS)和惯例(如：支撑反向DNS设置)。

网络东西由于这样几个原因而不易受到进犯。首要，绝大多数东西都运转在高度定制的操作体系上。这些操作体系已经将绝大多数也许使进犯者安身的额定效劳制止掉了(或许从最开端就专门为东西的运用而对操作体系进行了定制)。

其次，工程师们在加固东西时严格遵守最好实习。

最终，一个东西只答应进出邮件效劳器的限定类型的通讯(即与邮件传输有关的通讯)，乃至这类通讯都要经过细心的查看。

应对之三：被办理的效劳

选用被办理的效劳，一切的邮件都先被发送到一个过滤邮件的offsite效劳中，这个效劳随后将有用的邮件转发到公司的邮件效劳器。

要运用这个战略有用地避免直接运用邮件协议的进犯，内部邮件效劳器必须只接纳被办理的效劳建议的衔接，而不接纳任何其它衔接。可是这些效劳只对进入的邮件通讯有用。出去的邮件通讯仍是直接被发送到因特网上的其它效劳器，然后激活运用邮件协议的也许缝隙(例如：在SMTP传输过程中一个接纳邮件效劳器会进犯发送邮件效劳器软件中的缓冲区溢出缝隙)。

应对之四：集成软件

最终，可以装置集成软件来协助保护邮件效劳器。这个装置在本地的软件能防范网络进犯，使效劳器更稳固。集成软件一般运转在运用层(即SMTP)来保护效劳器免受缝隙进犯。一些集成软件用一个定制的加固版别替代效劳器本地的TCP/IP栈。

可是，更为多见的是本地过滤软件和邮件软件合作，而不是在邮件软件和外部体系之间树立一堵墙。当进犯者可以直接拜访到邮件效劳器时(例如：假如一个内部的可信任的用户建议进犯)，选用这种办法的集成软件就可以发挥作用。

应对五：回绝效劳进犯和目录搜集进犯

回绝效劳(Denia1 of Service，DoS)进犯会下降方针体系的能力。比方说一个邮件效劳器，进犯者企图怠慢它或许把它搞瘫痪。进犯者以几种办法建议回绝效劳进犯，包括耗费网络资本和建议目录搜集进犯。

当进犯者经过网络资本耗费施行回绝效劳进犯时，进犯常常会集在耗费方针机器的一切可取得的进入衔接上。由于SMTP是一个TCP协议，一个成功的缝隙进犯只需求进犯者请求的TCP衔接的数目比可以取得的TCP衔接数更多。也即是说，进犯者创立比邮件效劳器所能处理的衔接数更多的指向邮件效劳器的衔接。这样邮件效劳器就不能再承受来自合法的邮件效劳器的有用的进入衔接了。

简直找不到啥根据效劳器的解决方案可以避免回绝安全效劳进犯。大多数邮件效劳器运转在一般用处的操作体系上，这些操作体系不会为避免回绝效劳进犯而做调整。即使在一个加固过的UNIX体系上，要进步效劳器耐受大量回绝效劳进犯的能力也需求不一样的网络设置。因而，公司一般会采购为发现和避免回绝效劳进犯而特别创立的体系，或可以承受比一般用处的邮件效劳器多得多的一起衔接的加固的过滤东西。这种过滤设备一般可以非常好地发现回绝效劳进犯，并采纳防护办法。

目录搜集进犯是由垃圾邮件发送者建议的资本密集型进犯，然后为将来发送垃圾邮件断定可用的有用地址。在发作目录搜集进犯时，邮件效劳器负载会大大添加，影响有用邮件的传输。此外，本地邮件效劳器会为无效地址企图向垃圾邮件发送者所运用的From地址回来未送达陈述。

回来未送达陈述生成别的的外发邮件通讯，耗费贵重的带宽，进而添加邮件效劳器的负载。由于垃圾邮件发送者运用的大多数From地址都是假的，所以传输未送达陈述总是超时，需求邮件效劳器晚些时候再尝试传输。总归，目录搜集进犯是一种价值贵重的进犯邮件效劳器的办法。

惋惜的是，简直找不到减轻目录搜集进犯风险的办法。一种解决方案是运用被办理的效劳。一般被办理的效劳保护的邮件效劳器的数量比一个公司所能供给的邮件效劳器的数量要多得多，因而，目录搜集进犯并不会在很大程度上影响邮件传输。

另一种解决方案是装置对于这类进犯优化过的前端过滤东西。在东西中保护一份合法邮件用户列表(经过静态列表或轻型目录拜访协议拜访内部目录)，以便过滤器不会将发给无功效