Qmail邮件系统的安全分析和改进研究

　　3.2.4针对报文的明文传输

　　前面提到的SSL是专门用来对TCP协议的数据报进行用非对称密码进行加密传输。SMTP是运行在TCP协议之上的应用层协议，自然可以借助SSL来杜绝明文数据传输。在UNIX环境下，借助OPENSSL可以免费地获得这种服务。

　　3.2.4针对用户的管理

　　为了节约系统资源、增强安全性和提高效率，应该尽量避免使用系统用户来作为邮件用户，vpopmail工具集提供的丰富的用户管理工具，利用vadduser、udeluser、vpasswd、vadddomain等工具可以轻松地增减邮件用户、修改密码和增减虚拟域，而且支持绝大多数的数据库，包括最著名的开源数据库软件Mysql。

　　3.2.5针对访问权限的控制

　　由于Qmail缺省借用Inetd来同外界进行TCP连接，不能对来访的IP地址进行限定，导致安全隐患诸多。所以必须借助目前UNIX中广泛使用的TCP连接工具Ucspi-tcp来建立连接，其中的服务器模块tcpserver可以设定deny、allow等参数来拒绝和允许来访IP地址。

　　3.3针对性能的一些改进

　　由于SMTP的传输机制是以7bit的二进制编码的ASCII字符为基础的，虽然SMTP扩展允许发送8bit的二进制数据，但是有一些非Internet网关是不能够正确处理的。因此要确保二进制信息在传输过程中的完整性必须先对其进行编码[10]。目前最常用的编码是quoted-printable和base64编码，前者主要针对非附件部分的文本进行编码，后者主要针对附件进行编码。由于base64是把6比特二进制数据用一个字节的ASCII码来表示，其带宽利用率仅仅为0.75，效率比较低，增加了网络的负担。现在一种名为base91[10]的新编码方法已在1999被西南交通大学的何大可教授提出了，该编码使用了92(包括空格)个可打印字符作为映射集，把输入的消息比特切分为13比特的分组作为映射源，编码的源字节数比较大（大于64K）的时候其编码的带宽利用率接近于81.25％，比base64提高了大约6个百分点，所以在对附件（一般大于64K）的编码方案上base91是Qmail比base64更好的选择。