聚焦IDC

在垃圾邮件和伴随而来的邮件欺诈问题愈演愈烈的今天，其安全风险的主要威胁在于用户处理邮件安全问题的经验不足，事实上针对此类威胁需要展开有针对性的防御手段加以防护。

一 采用身份盗窃保护

多数身份盗窃保护提供个人信用报告，用户可以从中查看自己的信用历史并验证其是否最新、最精确。多数服务允许用户每天监控信用情况，并提醒任何可疑的活动，比如非法使用该用户姓名开账户或查询用户的信用文件。身份盗窃保护还可以帮助用户改正信用文件中的任何错误，在一定程度上提高用户的防欺诈能力。

二 不要使用主邮件地址

在网上随意使用主邮件地址让垃圾邮件制造者有更多的机会把用户加入他们的邮件列表中。使用临时或不重要的账号进行在线交易。

三 使用临时或一次性信用卡

在可疑的情况下，使用临时或一次性信用卡。多数大银行都提供此类信用卡以避免信用卡被滥用。

四 不要打开

尽可能不要打开垃圾邮件。垃圾邮件经常包含特定软件程序，让垃圾邮件制造者能够判断多少或哪些邮件地址收到并打开了邮件。绝大多数可疑邮件都是垃圾邮件。

五 不要回应

对于来自未知或可疑地址的邮件，最好的方法是删除它们，或让垃圾邮件过滤器隔离它们。如果用户回复垃圾邮件，甚至要求把自己的邮箱地址从发送的邮件列表中删除，垃圾邮件发送方会确定用户的邮箱地址是有效的，那么用户的收件箱将成为更多垃圾邮件的目标。如果用户不确定来自某个公司的个人信息请求是否合法，请直接联络这家公司或通过浏览器直接访问其网站。

六 不要点击

如果用户点击垃圾邮件中的链接（即使是”退订”链接），用户的计算机会可能感染间谍软件或病毒。如果邮件（来自银行、信用卡公司、eBay、PayPal等等）中要求用户点击某个链接验证账户信息，千万不要这样做。这些金融机构已经拥有用户的详细账户信息，因此验证或确认是不必要的。简单地删除这样的邮件即可。如果对一封来自你熟悉的机构的邮件存有疑问，请通过电话联络他们。

七 不要购买

垃圾邮件之所以存在是因为有利可图。发送一百万封邮件的成本几乎可以忽略不计。一百万中有一个人购买他们的东西，他们就能赚钱。永远不要从垃圾邮件发送者那里购买任何东西。告诉朋友和家人也不要购买，不管他们的产品看上去有多吸引人。

八 不要相信你读到的每一件事情

在节日期间，转发警告邮件和链式邮件是很普遍的事情。垃圾邮件发送者可以从这些转发邮件中获得大量的邮件地址信息。经过多次转发，这些邮件可能会包含数百个有效的邮件地址。唯恐错过信息或希望捉弄其他人的人们会发现他们已经成为垃圾邮件发送者的目标。

九 一定确保ISP或公司拥有垃圾邮件 病毒和间谍软件保护

垃圾邮件经常与病毒有关，因此用户同时需要反垃圾邮件和反病毒保护。垃圾邮件中的链接经常指向包含间谍软件或恶意软件的网站。向ISP或公司的IT部门确认拥有抵御这些威胁的安全措施。在网关处有反垃圾邮件、反病毒和反Web恶意软件保护非常重要。

十 利用常识

如果看上去就像垃圾邮件或网络欺诈，很可能就是，删除它。

安全电子邮件是指收发信双方都拥有电子邮件数字证书的前提下，发件人通过收件人的数字证书对邮件加密, 如此一来，只有收件人才能阅读加密的邮件，在Internet上传递的电子邮件信息不会被人窃取，即使邮件被截留或发错邮件，别人也无法看到邮件内容，保证了用户之间通信的安全性。

安全电子邮件知多少？

作为企业网络应用核心之一，电子邮件为企业进行信息交流提供了有力支持。在带给人们便利的同时，电子邮件也带来了诸如垃圾信息、密码被破译、邮件被监听等安全问题，随着安全电子邮件技术的发展，电子邮件所遭遇的安全问题正在被逐步化解。

端到端的安全电子邮件技术

端到端的安全电子邮件技术保证邮件从发出到被接收的整个过程中，内容无法修改，并且不可否认。PGP和S/MIME是目前两种成熟的端到端安全电子邮件标准。

PGP（Pretty Good Privacy）被广泛采用，通过单向散列算法对邮件内容进行签名，以保证信件内容无法被修改，使用公钥和私钥技术保证邮件内容保密且不可否认。发信人与收信人的公钥都保存在公开的地方，公钥的权威性则可以由第三方进行签名认证。在PGP系统中，信任是双方的直接关系。

S/MIME (Secure/Multipurpose Internet Mail Extensions)同PGP一样，利用单向散列算法和公钥与私钥的加密体系。但是S/MIME也有两方面与PGP不同：一是S/MIME的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织（根证书）之间相互认证；二是 S/MIME将信件内容加密签名后作为特殊的附件传送。S/MIME的证书格式采用X.509，与网上交易使用的SSL证书有一定差异。在国外，Verisign向个人提供S/MIME电子邮件证书；在国内则有北京天威诚信公司提供支持该标准的产品。在客户端，Netscape Messenger和Microsoft Outlook都支持S/MIME。

传输层的安全电子邮件技术

电子邮件包括信头和信体。端到端安全电子邮件技术一般只对信体进行加密和签名，信头则由于邮件传输中寻址和路由的需要，必须保证不变。在一些应用环境下，可能会要求信头在传输过程中也能保密，这就需要传输层的技术作为后盾。目前主要有两种方式能够实现电子邮件在传输过程中的安全: 一种是利用SSL SMTP和SSL POP; 另一种是利用VPN或者其他IP通道技术。

SMTP（简单邮件传输协议）是发信的协议标准，POP（邮箱协议）是收信的协议。SSL SMTP和SSL POP即在SSL所建立的安全传输通道上运行SMTP和POP协议，同时又对这两种协议作了一定的扩展，以便更好地支持加密认证和传输。这种模式要求客户端的E-mail软件和服务器端的E-mail服务器都支持并且都必须安装SSL证书。基于VPN和IP通道技术，封装所有的TCP/IP服务，也是实现安全电子邮件传输的一种方法。这种模式往往是整个网络安全机制的一部分。

邮件服务器的安全与可靠性

建立一个安全的电子邮件系统，仅仅依赖安全标准还远远不够，还需要保障邮件服务器本身的安全性。

针对邮件服务器的攻击可分为网络入侵和服务破坏两种。对于网络入侵的防范，主要依赖于软件编程时的严谨程度。对于防范服务破坏，用户可以从防止外部攻击、防止内部攻击以及防止中继攻击三方面考虑。

防止来自外部网络的攻击，包括拒绝来自指定地址和域名的邮件服务连接请求，拒绝收信人数量大于预定上限的邮件，限制单个IP地址的连接数量，暂时搁置可疑的信件等。防止来自内部网络的攻击包括拒绝来自指定用户、IP地址和域名的邮件服务请求，强制实施SMTP认证，实现SSL POP和SSL SMTP以确认用户身份等，防止中继攻击，包括完全关闭中继功能，按照发信和收信的IP地址和域名灵活地限制中继，按照收信人数限制中继等。

万网邮箱伴侣是首款实现电子邮件安全加密的客户端，该客户端登录时，可以通过Webmail和Outlook发送（无论对方的邮局在何处申请）和接收全程 加密的邮件，不仅仅可以实现传输通道加密，更重要的能实现邮件内容的加密，即使邮箱密码被盗或者邮件内容遭恶意窃取，也不用担心泄露重要机密。

电子邮件安全供应商Proofpoint公司委托Forrester研究公司做的一项调查发现，41%的公司(拥有20000名员工甚至更多的公司)向员工支付费用以让员工手动读取或者自动分析其他员工发送的电子邮件，这些公司正在测试可能向公司外部泄露重要数据的情况，不管是有意的或是无意的。这种查看个人邮件行为是合法的，美国法院规定使用公司设备发送或者接受到的电子邮件都属于公司财产，可以由公司进行查看管理。

如果员工在电子邮件、即时消息、博客、互联网讨论组、社交网站(如Myspace等)以及媒体共享网站(如YouTube等)中泄露未经授权的重要信息，可能面临炒鱿鱼的风险。根据Forrester研究的结果表明，26%的大型企业表示他们已经至少解雇了一名违反电子邮件政策的员工。

另外一种谬论就是，如果你想要避免电子邮件带来的潜在问题，可以在接收或者阅读电子邮件后予以删除，并要求发送对方也同样进行删除。事实是，即时立即删除电子邮件，也有可能通过复原或者磁盘备份等方式被其他人查看。

另一方面，不要认为管理层有权利阅读你的电子邮件，你就有同样的权利阅读管理层或者其他员工的电子邮件。

总的来说，在处理电子邮件时，要谨慎小心，这对管理层同样适用，不管是大型企业还是小型企业，最常用的方法就是创建企业电子邮件政策，明确规定电子邮件的使用方法以及管理层对电子邮件管理权利。这样能够在第一时间预防很多问题。

公司同样可以要求员工保留旧邮件，根据美国法律规定，故意删除电子邮件阻碍联邦调查的公司最高可面临100万美元的罚款。

有很多应用程序可以帮助公司管理和分析电子邮件，如MailMeter Archiv就是适合5到5000名员工公司使用的产品。该软件可以获取所有员工发送和接收的信息，并保存在数据库中，同时还能分析电子邮件以检测内容，这能够帮助你确定哪些人发送了很多邮件，哪些人向重要客户发送了邮件， 或者哪些人向外部发送笑话、音乐或者客户列表。如果你不希望某些人看到这些电子邮件，可以选择时候电子邮件加密程序，标准程序就是PGP Desktop，该程序能够自动加密电子邮件，向那些没有加密程序的人发送自我解密邮件。

电子邮件的实用性很强，不管是商业用途还是个人用途，但是像所有通信媒介一样，电子邮件有优点也有缺点，那就是安全性，层层环节使我们不知道怎么可以使它安全。

2009年8月31日消息：2009年8月20日-28日，由中国互联网络信息中心（CNNIC）承办的亚太地区顶级域名组织北京会议（APTLD北京会议）和第28届亚太网络信息中心开放政策会议（APNIC28会议）相继在北京召开。会议就国际互联网界普遍关注的IP地址紧缺问题、互联网安全运维问题以及国际化域名的建设等多项内容展开了热烈的讨论。其中，面对日益严重的网络攻击等网络安全问题，与会的互联网专家普遍认为，要从国家层面加强互联网的安全与治理，重视并加大域名系统等重要网络基础设施的保护力度，为亿万网民营造一个”安全、可靠”的互联网环境……

不久前，韩国总统府、国防部和韩国一些主要银行等11家主流网站，遭到黑客攻击。事后，韩国情报机构发表声明说，韩国1.2万台个人电脑和国外 8000台个人电脑遭黑客”俘虏”，沦为攻击工具。无独有偶，几乎在同一时期，大洋彼岸的美国，其财政部、特工处、交通部等单位的14家网站也遭黑客攻击。国际著名网络安全专家Roland Dobbins在对美国7月份的 DDOS网络攻击进行分析后表示，网络攻击技术越来越智能化，针对域名系统的攻击与日俱增，网络攻击是互联网头上的一片新乌云。域名系统就像是”空气”，平时我们感觉不到它的存在，但是一旦出现问题，其影响可能是”致命”的。

实际上，发生在异国他乡的网络攻击事件离我们并不遥远，中国同样不是网络安全的避风港。近期告破的”5·19″六省网络故障事件，就是由于个别网站的域名解析系统受到网络故击，导致电信DNS服务器故障而造成。CNNIC副主任李晓东表示，域名系统是一种公开服务，历来是被攻击的对象，从”5·19″网络故障发生的过程来看，相关机构对域名系统的重要性认识不足，重视程度不够，安全保障能力比较低。

APTLD主席Jonathan认为，维护互联网运行安全人人有责，任何一个机构都不能独善其身。在国际层面上，各个国家和地区一定要通力合作才能解决问题，这个做法在对付蠕虫病毒的事件上已经得到很好的实践。在顶级域名安全方面， CNNIC刚刚启用了CN域名北美节点，形成了国内主要运营商顶级节点和亚欧美海外顶级节点组成的国家域名服务平台。前不久因地震和台风导致海缆中断，CN域名未受影响，节点部署在保障CN域名解析的安全性和稳定性上初见成效。

目前发达国家都非常重视互联网的安全与治理，均将其纳入到其国家安全战略的核心。美国总统奥巴马专门设立了白宫网络安全办公室，负责互联网安全与治理，并组建了网络战司令部。英国政府最近也设立网络安全办公室，加强对互联网安全的管理力度。与会专家建议，发达国家对网络安全的重视值得我们借鉴，驱散在网络攻击的新乌云需要在国家战略层面上部署。

当经济陷入萧条时，也许还有那么一点好处，那就是垃圾邮件不会再塞满信箱了。购物目录、折价券、信用卡优惠、广告传单数量都大大的减少了。这都多亏了经济衰退和运输成本增加，从去(2008)年秋天到今年夏天，美国垃圾邮件数量下滑了16%，是这10年来下滑速度最快的时候。企业当然还是有寄送垃圾邮件，不过，根据《msnbc》报道，为了节省支出，垃圾邮件数量大为减少，目录页数也缩减，更因此使用较薄的纸张。这代表了商店营运仍在景气萧条中挣扎，不过，也表示垃圾桶或是回收桶里的的废纸会少的多。

有许多人都有这样的经验，兴高采烈的收到信件，拆开来看才发现是垃圾邮件，令人失望透顶。且寄发垃圾邮件是很浪费资源的行为，更让接收邮件的人也成为浪费资源的共犯，因为他必须把邮件丢入回收桶。

市场调查机构Synovate表示，今年垃圾邮件减少的速度更加快。随着全球信用危机未解除，借贷方也不愿意再寄邮件广告，提供住房抵押贷款和抵押贷款再融资。

当经济复苏时，信箱很能会再度被垃圾邮件塞爆。毕竟，寄送商品目录、小册子、宣传单依然是最便宜、有效率营销贩卖商品的方法，同时也可以吸引新的购物者走进商店里。产业数据显示，平均而言，出版寄送邮件1美元的成本可换得7美元的销售收入。

近来，网站和电子邮件广告越来越流行，且对业主来说费用更低廉，1美元成本可换得45美元的销售收入。不过，在吸引新商机方面就比广告目录稍微逊色了。

直接营销协会(Direct Marketing Association)副总裁指出，这是因为当人们浏览网站时，会接受到各式各样的商品信息，但是这很难直接跟个人生活方式连结。而商品目录，则会分门别类将商品和生活方式、品牌做好分类。

另外，本就已经苦苦经营的美国邮政服务(USPS)，现在更因为垃圾邮件减少严重受创。1971-2007年，每年垃圾邮件数量都向上攀升。而垃圾邮件约占USPS2008年收入的1/4。

虽然去年和今年春天垃圾邮件服务的使用率有所提升，但是2008年和2007年相比，来自垃圾邮件的收入仍少了2亿美元，且这数字今年应该会更加的扩大。

近期之内，信箱应该不会有被垃圾信塞爆的疑虑，至少在零售数据低迷、消费者信用紧缩的现在不会。

虚拟主机凭借其低廉的价格，简便的操作，无维护费用等优势，迅速成为目前最为流行的建站方案。可以说，目前网络上有80%的网站是建立在虚拟主机上 的。然而，当一种技术被应用到泛滥时，以前不被人重视的细节往往会被发掘出来。虚拟主机亦是如此，越来越多的安全问题使虚拟主机不断受到黑客的攻击。尤其 是一些个人组建的虚拟主机，技术能力的不足直接导致虚拟主机漏洞百出。一个虚拟主机站点被黑客入侵，其结果往往是其他用户的站点一起遭殃，甚至被攻下整台 服务器。

一台权限设置严密的服务器可以保证每个虚拟主机的安全。然而，随着网络的发展，虚拟主机也越来越平民化，一些专为架设虚拟主机而编写的管理系统也如雨后春笋般出现。即便是一个只懂简单系统维护的菜鸟网管，也可以通过使用虚拟主机管理系统将一台普通服务器变成虚拟主机服务器。可是这些菜鸟网管往往忘了 虚拟主机最重要的组成部分，从而产生一个严重的安全隐患——权限设置不严的虚拟主机。

一、权限设置不严，系统暴露无遗

如今很多虚拟主机服务器使用的都是Windows系统，管理员只在服务器上安装了虚拟主机系统，或者在安装完虚拟主机系统后进行了简单的安全设置， 这都是不够的。我们可以在自己的虚拟主机中上传ASP木马或PHP木马，从而获得服务器的一个Webshell，对于权限设置简陋的服务器，我们还可以使 用管理员权限执行任意命令，从而完全渗透服务器，获取虚拟主机服务器的控制权。

1、注册一个虚拟主机

我们先在虚拟主机服务商处注册一个FTP帐号名为piao，FTP密码为piaohubuding的虚拟主机用户(一般虚拟主机服务商都提供其虚拟 主机产品的试用，可以利用这段时间测试一下服务器的安全性)，注册完毕后获得一个二级域名piao.w12.***.com(如图1)，使用FTP软件将 网页上传到虚拟主机，然后输入获得的二级域名就可以访问我们的网站了。

图1 成功注册虚拟主机

2、上传ASP木马

将一个asp木马上传到测试虚拟主机，这里以海阳顶瑞网的ASP木马2006版为例，上传完毕后在浏览器中输入 http://piao.w12.***.com/2006.asp，出现ASP木马的登陆界面(海阳顶瑞网ASP木马已经被各大杀毒软件查杀，可以正常 运行，表示服务器没有安装任何杀毒软件，可见服务器管理员的安全意识不高)。我们输入ASP木马默认的登陆密码“lcxMarcos”，登陆成功。如果管 理员没有对虚拟主机用户作限制，就可以在ASP木马中查看系统信息、服务。如果没有对FSO、Shell.Application等组件进行设置，则可以 浏览服务器硬盘上的所有文件，甚至在“命令提示符”中执行任意命令(如图2)。

图2 在虚拟主机上运行ASP木马

二、获取更高权限，建立隐藏帐户

成功运行ASP木马后，我们可以从这里找到突破口，从而获取更高的权限。由于虚拟主机系统建立用户，绑定域名等自动化操作都需要很高的权限，因此虚拟主机系统在安装的同时会为自己创建一个管理员帐户，用这个帐户来完成程序的运行。如果服务器设置不当，我们获取的Webshell就有可能以这个管理员 帐户的权限来执行其他的命令。

1、以管理员权限运行命令

选择ASP木马中的“WScript.Shell命令行操作”，在其“路径”选项中填入“cmd.exe”，在下面的“命令/参数”选项中填入需要 执行的命令，这里输入“net user”，这个命令可以查看当前操作系统中存在的用户，如果这个命令可以执行成功，表示我们当前拥有的是管理员权限，可以执行任意命令。点击“运行”按 钮，顺利出现所有的系统帐户信息(如图3)。

图3 获取服务器上的帐户信息

2、建立简单得隐藏帐户

既然我们已经拥有了管理员权限，那么新建一个管理员帐户将是一件轻而易举的事。在“命令/参数”选项中填入“net user piao$ 123456 /add”，建立一个帐户名为piao，密码为123456的帐户。命令成功运行后接着输入“net localgroup administrators piao /add”将我们新建的帐户加入管理员组，这样一个简单的隐藏管理员帐户就建立完毕了。

提示：在新建的帐户名后面加入“$”符号，可以简单得隐藏该帐户。当管理员在“命令提示符”中输入“net user”命令来查看帐户情况时将无法看到该帐户。如果想查看该帐户可以在“命令提示符”中输入“net user piao$”，或者进入“控制面板→管理工具→计算机管理→本地用户和组”中查看。

三、开启终端服务，完全控制主机

到这一步，我们已经拥有了虚拟主机服务器的最高控制权，但是以后的操作都需要以命令行的形式实现，所以我们可以开启服务器的远程终端服务，和服务器管理员一样以图形界面操作服务器!

开启服务器的远程终端服务我们需要一个小工具——3389.exe，只要将它上传到服务器，然后直接运行即可。进入ASP木马的 “Shell.Application文件浏览器”，点击“上传”按钮，选中3389.exe后将其上传到“c:\windows\system32”目 录(Windows2000为c:\winnt\system32)目录)。完成后返回“WScript.Shell命令行操作”，在“命令/参数”中输 入“3389.exe”即可运行。运行3389.exe后，服务器会自动重起，重起结束后我们进入本机的“菜单→程序→附件→“通讯”，使用其中的“远程 桌面连接”进行连接(如图4)。

图4 服务器的远程桌面

现在，我们已经轻松获得了一台虚拟主机服务器的管理员权限，可见其简陋的安全措施和服务器管理员淡薄的安全意识。我们可以修改、删除服务器上任一虚 拟主机中的文件，甚至修改虚拟主机系统的数据库，享受“免费”的午餐，当然这不是本文的目的所在。由此可见，如果将自己的网站放在这样的虚拟主机上，那么 安全将是毫无保障的。

目前，反垃圾邮件产品的解决方案，从型态上有很多种，所以，所谓选择适用，就是用户首先应当针对企业实际情况和需求，选择一种反垃圾邮件解决方案的型态。此外，不少企业邮箱提供商的产品，都自带反垃圾邮件功能，也提供反垃圾邮件安全服务。

无论选择何种型态的反垃圾邮件产品（或服务），企业决策者需要综合考察产品的特性（即稳定性、精确性、综合性、个性化）和售后服务。具体来说，稳定的运行 时反垃圾邮件产品发挥功效的前提。如果企业邮件数量庞大、邮件依赖性高，可考虑具备灵活高效过滤全新智能型反垃圾过滤系统Anti-spam GT产品；精确性指精准的垃圾邮件拦截能力、可接受的垃圾邮件误判率(False Positive)和完善的邮件误判解决能力；综合性是指具备多种反垃圾邮件技术，并提供反病毒、内容过滤、归档、双向过滤、丰富的日志与统计报表等功 能。任何单一的反垃圾邮件技术都无法百分之百拦截垃圾邮件，因此需要反垃圾邮件产品涵盖连接层、内容层等多种反垃圾邮件技术，并历经市场的检验；个性化是 指提供灵活的垃圾邮件处理方式(如垃圾邮件自主管理、个人黑白名单)、细粒度的策略控制、管理维护方便等。其中，垃圾邮件拦截的精确性需要仔细考察，因为 正常邮件错判为垃圾邮件可能将带来严重后果。

同时，售后服务方面也是评测邮件提供商的标准。提供商是否持久的技术研究投入、是否实行实时的垃圾邮件趋势追踪、是否拥有良好的技术服务体系，决定着反垃圾邮件产品的稳定可靠性。

一、JavaMail与SMTP
通常我们使用JavaMail，都是通过SMTP服务器来发送邮件，比如说我有一个domain1.com的邮件账号，想给domain2.com的邮箱发送邮件。示意图如下：

图一:

用户A首先将需要发送的邮件通过SMTP协议发送给他所在的邮件服务器domain1，然后domain1判断收件人所在的域为 domain2，于是domain1通过SMTP协议再重新将邮件发送到domain2。最后用户B连接到自己的邮件服务器domain2，接收邮件。通 常domain1会将邮件缓存，以便出错时重新发送，如果重试几次后还是发送失败，可能会给用户A发送一封邮件以告知邮件发送失败。如果用户A是一个应用 的话，很难知道邮件发送成功与否。
另外一种做法是，用户(或者我们自己的应用)直接连接对方的SMTP服务器来发送邮件，其实就是连接到对方 的25端口，然后按顺序发送一些SMTP的命令。详细的SMTP信息，大家可以查阅相应资料。JavaMail对这些底层的数据传输做了很好的包装。结构 示意图如下：

图二:

只要用户A发送的数据格式和前面domain1发送的相同，对于domain2来说，没什么区别。而且在这种方式下，如果邮件发送失败，比如收 件人地址不存在，用户A会马上得到邮件发送失败信息。所以在实际的应用中，这种方式比较常见。但是这种方式需要知道对方的SMTP服务器的地址，在 Windows下，可以在命令行执行nslookup，输入 set type=mx，然后输入需要查找的域名，比如hotmail.com，就可以查找到它的SMTP服务器地址。同样在Java中，可以通过JNDI或者开 源的dnsjava查找收件人所在域的SMTP服务器地址。这里给出一个简单的例子。
public class JavaMailSendingHandler implements ILocalEmailSendingHandler {

public void send(String to, String from, String subject, String content, String contentType) throws Exception {

Properties props = new Properties();

props.put(”mail.smtp.localhost”, getHost(from));

String server = getSMTPServerByJNDI(getHost(to));

props.setProperty(”mail.smtp.host”, server);

Session session = Session.getInstance(props, null);

MimeMessage message = new MimeMessage(session);

message.setContent(content, contentType);

message.setSender(new InternetAddress(from));

message.setFrom(new InternetAddress(from));

message.setRecipient(RecipientType.TO, new InternetAddress(to));

message.setSubject(subject);

message.setHeader(”Content-Type”, contentType);

message.setHeader(”Content-Transfer-Encoding”, “7bit”);

SimpleDateFormat format [...]

赛门铁克安全响应中心最近发现，许多来自中国的垃圾邮件发件人在网上兜售个人帐户破解软件。此类垃圾邮件承诺可以指导并帮助用户破解他人帐户，例如MSN 或Yahoo的即时通讯帐号、电子邮件帐号、以及所有目前流行的社交网站帐号，这严重违反了隐私法，也会使用户遭受个人隐私泄露的危险。

以下是一封此类垃圾邮件范例。

____________________________________________________________

标题：帐户破解咨询服务

专业破解帐户的咨询服务

服务内容包括破解yahoo、msn、电子邮件以及其它社交网站在线帐户

你想要知道如何破解密码吗？

你想要知道互联网上的秘密吗？

我们为你提供各种服务：

如何远程控制他人计算机；

破解他人帐户信息；

掌握他人计算机历史记录
我们为您提供软件，保证能够成功破解。
请通过以下方式与我们联系：

msn:******

即时通讯:******

电子邮件：******
如需订购，请提供以下个人信息：

姓名、电话、地址、邮编、电子邮件等

______________________________________________________________
对此，希望用户参考以下建议：

部署全面的安全解决方案

掌握安全邮件基本常识

谨记切勿回复垃圾邮件

提防社会工程陷阱

设置多个电子邮件，用于不同目的

谨慎在线输入电子邮件

不要转发连锁电子邮件

自国内互联网落地生根那一刻起，其衍生品便形成了对网络环境和信息的干扰。以木马和病毒、低俗内容以及垃圾邮件为代表的三大因素，不仅影响网民对信息的获取，还威胁着国家的网络安全。木马和病毒的危害相比低俗内容更为严重，尤其对企业危害性更大。受到某种心理满足和巨大经济利益的驱使，更多的木马和病毒大量涌现，盗取用户账号，或者进行行骗和捆绑流氓软件获利，甚至攻击其他用户电脑。

相比之下，垃圾邮件的危害更为隐蔽，但并未得到足够重视。然而，安全厂商MessageLabs发布的五月报告已经在全球互联网领域敲响警钟。数据显示，五月的全球垃圾邮件占整个邮件系统的90.4%，即每1.11封就有一封垃圾邮件。同时，垃圾邮件大量占用网络资源，造成拥堵，致使企业蒙受巨大损失。

为应对低俗内容、木马和病毒以及垃圾邮件的危害，近年来，国家通过政策的出台予以大力整治。中国互联网协会牵头制定了《中国互联网行业自律公约》来规范行业发展。国家还对经营电信增值业务的企业实行许可证制度，制度要求凡向网络用户有偿提供信息服务的企业必须办理电信增值业务方面的许可证。但是，国家颁布的政策和法规依然存在一定的局限性，国家政策和法规具有强大的号召力，但一次的导入无法从根本上解决新病毒木马及垃圾邮件的随时更新。在这样的局面下，需要更多企业积极参与进来，将更多的国家专利技术的使用转变为商业化运作，最终实现技术养技术。

企业通过引入享有专利的反垃圾技术和顶级防病毒技术的企业邮箱，实现了垃圾邮件和病毒类邮件的有效拦截。由此，企业的信息安全防护能力得到增强，员工办公效率也因免受垃圾邮件的困扰大幅提升。