一种基于STARTTLS/SSL/TLS邮件协议邮件内容还原系统及内容还原方法与流程
本发明涉及计算机网络安全领域,具体涉及一种基于STARTTLS/SSL/TLS邮件协议邮件内容还原系统及内容还原方法。
背景技术:
现代企业之间的很多业务往来都是通过电子邮件的方式进行,但是在邮件交互过程中,很有可能会发生泄密,而现在越来越多的邮件服务器,开始支持SMTPS或者是STARTTLS加密方式,从邮件客户端到邮件服务器再到最终用户,不知不觉中就有可能会发生泄密问题。现有的基于防火墙或者安全网关的过滤技术,无法正常截获基于SSL层加密的邮件内容,所以就无法通过关键字检索防止泄密邮件的问题。
针对上述问题,现有技术A提出邮件传输代理方法,将邮件服务器(Mail Server)的下一跳设置为MTA,在MTA上接收所有由客户端(client)发送的邮件,在MTA上进行邮件关键字检索,防止邮件泄密,如图1所示。然而这种方法,企业内部必须要有自己的邮箱,且邮件服务器在企业内部,并且可设置,因为需要在邮件服务器上设置邮件代理的地址,因此对于托管的企业邮箱或者公共邮箱,则无法使用邮件传输代理。即使企业拥有自己的邮箱,也部署了邮件传输代理,但企业内部员工同样可以使用外部邮箱,譬如QQ邮箱,网易邮箱之类的绕过邮件传输代理,从而导致邮件泄密。
现有技术B提出基于SSL/TLS的数据明文采集系统,将明文采集系统架设在客户端与服务器之间,分别与客户端和服务器建立SSL/TLS握手,共享会话密钥,如此可以获取建立在SMTPS连接层上的明文邮件内容。现有技术B的局限性在于只能解决基于SMTPS连接的邮件泄密问题,但现在有很多服务器支持STARTTLS加密传输,该技术与SMTPS的区别在于,SMTPS是在TCP层三次握手之后马上就开始进行SSL/TLS握手,之后与服务器端进行的所有通信都是基于SSL/TLS传输层进行的,而STARTTLS在TCP三次握手之后,会与邮件服务器进行交互,获取邮件服务器的特征支持列表,当该特征支持列表中有STARTTLS时,客户端才会主动发起SSL/TLS握手。因此,传统的基于SSL/TLS的数据明文采集系统无法解决STARTTLS的问题。
技术实现要素:
本发明的目的在于提供一种基于STARTTLS/SSL/TLS邮件协议邮件内容还原系统及内容还原方法,该邮件内容还原系统可以有效的监控企业所有的邮件内容,都能及时发现企业内部员工的邮件泄密,结合其它的技术手段,譬如TCP连接重置等方式,有效的防止邮件泄密功能。
为实现上述目的本发明提供了一种基于STARTTLS/SSL/TLS邮件协议邮件内容还原系统,包括分流模块、邮件服务器模拟模块、邮件客户端模拟模块、报文重组模块以及内容识别服务器;分流模块与邮件服务器模拟模块通信,邮件服务器模拟模块与邮件客户端模拟模块和报文重组模块通信,邮件客户端模拟模块与邮件服务器通信,报文重组模块与信息采集系统通信。
所述的分流模块将目的端口为25、465、587的网络数据报文转发给邮件服务器模拟模块。
所述的邮件服务器模拟模块将邮件内容发送给邮件客户端模拟模块和报文重组模块。
所述的邮件客户端模拟模块直接与邮件服务器相连,将邮件内容发送给邮件服务器。
所述的报文重组模块将邮件服务器模拟模块发送来的邮件内容重新组包成明文的TCP报文,然后发送至信息采集系统。
一种使用所述邮件内容还原系统的邮件内容还原方法,包括步骤:
A、交换机接收到用户的请求,判断目的端口是否为25、465、587,如果目的端口为这三个端口,则将该请求转发给分流模块,如果目的端口不是这三个端口,则放行该请求;
B、分流模块将用户请求发送到邮件服务器模拟模块的监听端口;
C、邮件服务器模拟模块接收分流端口的端口信息,判断请求的目的端口, 如果请求的目的端口是25,检查该请求中是否存在STARTTLS关键字,如果不存在,则直接将报文发送给邮件客户端模拟模块;如果存在,则在将请求报文发送给邮件客户端模拟模块的同时,准备与用户建立SSL连接,同时通知邮件客户端模拟模块与邮件服务器建立SSL连接;
如果请求的目的端口是465、587,邮件服务器模拟模块直接与用户建立SSL连接,同时通知邮件客户端模拟模块与邮件服务器建立SSL连接;
D、邮件客户端模拟模块在邮件服务器模拟模块的控制下,选择与邮件服务器是否需要建立SSL连接以及合适建立SSL连接;
当连接建立完毕后,邮件服务器模拟模块和邮件客户端模拟模块仅作数据中转,在数据中转的同时,邮件服务器模拟模块会同时拷贝一份数据给报文重组模块;
E、报文重组模块在收到邮件服务器模拟模块发送来的数据后,根据语序将数据重组为TCP明文报文,然后发送至信息采集系统。
本发明与现有技术相比,本发明只需在企业出口交换机上设置邮件内容还原系统,即可解决企业内部没有自己的邮件服务器,而使用托管的企业邮箱时,安全网关或防火墙之类的软件无法正确识别基于SSL加密层传输的SMTP邮件传输协议的问题,以及传统的基于SSL/TLS的数据明文采集系统无法支持的STARTTLS邮件加密的问题,最终实现邮件内容还原工作。并且,本发明的邮件服务器模拟模块与邮件客户端模拟模块的联合控制技术,无论是使用内部邮箱还是托管的企业邮箱,都可以有效的监控企业所有的邮件内容,及时发现企业内部员工的邮件泄密,结合其它的技术手段,譬如TCP连接重置等方式,有效的防止邮件泄密功能。
附图说明
图1是本发明现有技术A 的逻辑图;
图2是本发明实施例2 的效果图。
具体实施方式
以下是本发明的具体实施例,对本发明的技术方案做进一步的描述,但是本发明的保护范围并不限于这些实施例。凡是不背离本发明构思的改变或等同替代均包括在本发明的保护范围之内。
实施例1
一种基于STARTTLS/SSL/TLS邮件协议邮件内容还原系统,包括分流模块、邮件服务器模拟模块、邮件客户端模拟模块、报文重组模块以及内容识别服务器;分流模块与邮件服务器模拟模块通信,邮件服务器模拟模块与邮件客户端模拟模块和报文重组模块通信,邮件客户端模拟模块与邮件服务器通信,报文重组模块与信息采集系统通信,如图2所示。
所述的分流模块将目的端口为25、465、587的网络数据报文转发给邮件服务器模拟模块。
所述的邮件服务器模拟模块将邮件内容发送给邮件客户端模拟模块和报文重组模块。
所述的邮件客户端模拟模块直接与邮件服务器相连,将邮件内容发送给邮件服务器。
所述的报文重组模块将邮件服务器模拟模块发送来的邮件内容重新组包成明文的TCP报文,然后发送至信息采集系统。
一种使用所述邮件内容还原系统的邮件内容还原方法,包括步骤:
交换机接收到用户的请求,判断目的端口是否为25、465、587,如果目的端口为这三个端口,则将该请求转发给分流模块,如果目的端口不是这三个端口,则放行该请求;
分流模块将用户请求发送到邮件服务器模拟模块的监听端口;
邮件服务器模拟模块接收分流端口的端口信息,判断请求的目的端口, 如果请求的目的端口是25,检查该请求中是否存在STARTTLS关键字,如果不存在,则直接将报文发送给邮件客户端模拟模块;如果存在,则在将请求报文发送给邮件客户端模拟模块的同时,准备与用户建立SSL连接,同时通知邮件客户端模拟模块与邮件服务器建立SSL连接;
如果请求的目的端口是465、587,邮件服务器模拟模块直接与用户建立SSL连接,同时通知邮件客户端模拟模块与邮件服务器建立SSL连接;
邮件客户端模拟模块在邮件服务器模拟模块的控制下,选择与邮件服务器是否需要建立SSL连接以及合适建立SSL连接;
当连接建立完毕后,邮件服务器模拟模块和邮件客户端模拟模块仅作数据中转,在数据中转的同时,邮件服务器模拟模块会同时拷贝一份数据给报文重组模块;
报文重组模块在收到邮件服务器模拟模块发送来的数据后,根据语序将数据重组为TCP明文报文,然后发送至信息采集系统。
实施例2
一种基于STARTTLS/SSL/TLS邮件协议邮件内容还原系统,包括分流模块、邮件服务器模拟模块、邮件客户端模拟模块、报文重组模块以及内容识别服务器;分流模块与邮件服务器模拟模块通信,邮件服务器模拟模块与邮件客户端模拟模块和报文重组模块通信,邮件客户端模拟模块与邮件服务器通信,报文重组模块与信息采集系统通信。
在邮件客户端的服务器设置页面中,发件服务器的端口设置为25,不使用SSL和STARTTLS加密传输。
目的端口为25,交换机将请求转发给分流模块;分流模块将请求转发到邮件服务器模拟模块所监听的端口,譬如8080;邮件服务器模拟模块将请求发送给邮件客户端模拟模块,同时复制一份给报文重组模块;邮件客户端将请求发送给最终的邮件服务器。
实施例3
一种基于STARTTLS/SSL/TLS邮件协议邮件内容还原系统,包括分流模块、邮件服务器模拟模块、邮件客户端模拟模块、报文重组模块以及内容识别服务器;分流模块与邮件服务器模拟模块通信,邮件服务器模拟模块与邮件客户端模拟模块和报文重组模块通信,邮件客户端模拟模块与邮件服务器通信,报文重组模块与信息采集系统通信。
在邮件客户端的服务器设置页面中,发件服务器的端口设置为25,不使用SSL,选择“如果服务器支持,就使用STARTTLS加密传输”。
此时邮件双方前期使用明文传输,后期使用加密传输,使用端口依然为25。前期明文阶段,交换机将请求转发给分流模块;分流模块将请求转发到邮件服务器模拟模块所监听的端口,譬如8080;邮件服务器模拟模块将请求发送给邮件客户端模拟模块,同时复制一份给报文重组模块;邮件客户端将请求发送给最终的邮件服务器。在双方会话的同时,邮件服务器模拟模块会监视邮件客户端的请求内容,当邮件客户端发送的请求中包含STARTTLS时,邮件服务器模拟模块将STARTTLS的请求传递给邮件客户端模拟模块,同时准备与邮件客户端进行SSL握手建立SSL加密传输通道。邮件客户端模拟模块将STARTTLS请求发送给邮件服务器,然后向邮件服务器发送SSL握手请求。最终邮件客户端与邮件服务器模拟模块建立SSL加密传输通道,使用密文通信。邮件客户端模拟模块与邮件服务器建立SSL加密传输通道,同样使用密文通信。而邮件服务器模拟模块与邮件客户端模拟模块之间使用明文传输,邮件服务器模拟模块在将明文传发送给邮件客户端模拟模块的同时,复制一份给报文重组模块。
实施例4
一种基于STARTTLS/SSL/TLS邮件协议邮件内容还原系统,包括分流模块、邮件服务器模拟模块、邮件客户端模拟模块、报文重组模块以及内容识别服务器;分流模块与邮件服务器模拟模块通信,邮件服务器模拟模块与邮件客户端模拟模块和报文重组模块通信,邮件客户端模拟模块与邮件服务器通信,报文重组模块与信息采集系统通信。
在邮件客户端的服务器设置页面中,发件服务器的端口设置为465,选择使用SSL,此时“如果服务器支持,就使用STARTTLS加密传输”选项将无法选择。
此时邮件双方完全使用加密传输,使用465端口。邮件客户端将请求发送给交换机,交换机将请求发送给分流模块,分流模块将请求发送给邮件服务器模拟模块,此时邮件服务器模拟模块与邮件客户端建立SSL加密传输通道,同时通知邮件客户端模拟模块,邮件客户端模拟模块向邮件服务器发送SSL握手请求,最终建立两条SSL加密传输通道,邮件客户端与邮件服务器模拟模块进行加密传输;邮件客户端模拟模块与邮件服务器进行加密传输;邮件服务器模拟模块与邮件客户端模拟模块进行明文传输;邮件服务器模拟模块在将请求发送给邮件客户端模拟模块的同时,复制一份给报文重组模块。
实施例5
一种基于STARTTLS/SSL/TLS邮件协议邮件内容还原系统,包括分流模块、邮件服务器模拟模块、邮件客户端模拟模块、报文重组模块以及内容识别服务器;分流模块与邮件服务器模拟模块通信,邮件服务器模拟模块与邮件客户端模拟模块和报文重组模块通信,邮件客户端模拟模块与邮件服务器通信,报文重组模块与信息采集系统通信。
用户通过任何邮件客户端发送邮件,邮件先发送到公司的邮箱,公司的邮箱检查邮件目的地址,发起SMTP连接,请求通过交换机转到本系统上,所有流程与用户使用外部邮箱的相同,只是邮件服务器与邮件服务器中间的连接就不会使用STARTTLS了,要么是明文,要么是加密连接,就是上文中的实施例2和实施例4,只是双方的通信不再是邮件客户端与邮件服务器,而是公司的内部邮件服务器与目的邮件服务器了。
- 还没有人留言评论。精彩留言会获得点赞!