میز گرد قانون مبارزه با جرایم رایانه‌ای

میز گرد قانون مبارزه با جرایم رایانه‌ای

مقدمه:

گروه امداد امنیت کامپیوتری ایران از ابتدا قانون مجارات جرایم رایانه ای را با دقت زیر نظر داشته و سعی کرده است با جمع آوری نظرات ، به تدوین قانونی مناسب کمک کند. به همین دلیل بود که پس از حضور در همایش بررسی ابعاد حقوقی فناوری اطلاعات و جمع آوری نظرات بعضی کارشناسان، سعی داشت تا در جلسه ای حضوری و در محیطی صمیمی با دبیر محترم کمیته مبارزه با جرایم رایانه ای به بحث و بررسی قانون بپردازد. خوشبختانه این امر با کمک ماهنامه دنیای کامپیوتر و ارتباطات میسر شد و جلسه ای در دفتر این ماهنامه تشکیل گردید. در این جلسه آقایان رضا پرویزی(دبیر کمیته مبارزه با جرائم رایانه‌ای)، شاهپور دولتشاهی(کارشناس حقوق)، محمود اروج‌زاده (مدیرمسئول ماهنامه ماهنامه دنیای کامپیوتر و ارتباطات) ، علی مولوی(کارشناس فناوری اطلاعات و عضو تحریریه ماهنامه دنیای کامپیوتر و ارتباطات)، علیرضا قمی(کارشناس امنیت شبکه) و سیدمحمدرضا رشتی (کارشناس فناوری اطلاعات و مدیر سایت "گروه امداد امنیت کامپیوتری ایران")حضور داشتند. متن ذیل گزارشی مختصر از جلسه فوق است.

اروج‌: جناب آقای پرویزی! لطفاً مختصراً تاریخچه‌ای از زمینه و چگونگی تدوین این پیش‌نویس بفرمایید.

پرویزی: در اواخر شهریور سال 81 با دستور آقای هاشمی شاهرودی: کمیته مبارزه با جرایم رایانه‌

    به این نتیجه رسیدیم که اولویت، ایجاد امنیت در فضای سایبر است. در این زمینه در کشورمان کاری تا بحال نشده بود. البته قبلاً یک کار مطالعاتی در شورای عالی انفورماتیک شده بود. ما به سراغ همه افراد و صاحبنظران در این زمینه رفتیم و نظراتشان را جمع‌

    با فراخوانی در دانشکده‌

قمی: در مورد تعداد این گروه بفرمایید.

پرویزی: از دانشکده حقوق دانشگاه تهران و شهید بهشتی و امام صادق و دانشگاه آزاد و همچنین از بین قضات تهران، 22 نفر فقط در بخش حقوقی داشتیم. همراه با پیشرفت کار، ما مشاوره هم داشتیم، مثلاً در زمینه حقوق جزایی بین‌

    در مجموع این پیش نویس، با پشتوانه حقوق و فنی و با تلاش و مشاوره فراوان تهیه شده است. بعد این پیش‌

اروج‌: مدل مورد نظرتان در تدوین این قانون چه بوده؟ و سهم و نقش هر کدام از دو جنبه حقوقی و فناوری چه میزان بوده است؟

پرویزی: در این زمینه در دنیا عموماً به 3 روش عمل می‌شود، در برخی کشورها مانند هند، همان قوانین کیفری سنتی که دارند، مورد استفاده قرار می‌گیرد و اگر چنانچه موضوع جدیدی (مثلاً دسترسی غیرمجاز در شبکه) مطرح شود، ماده یا موادی به همان قانون یا قانون دیگر اینترنتی اضافه می‌کنند.
    گروه دیگری (مانند برخی ایالت‌های امریکا) حتی سرقت و قتل کامپیوتری و... را هم در جرایم کامپیوتری قرار می‌دهند. در مدل سوم، درجایی که قوانین سنتی جوابگو نباشند، به جرایم کامپیوتری تبدیل می‌شوند، همچنین بعضی موارد که در قوانین سنتی جرم محسوب می‌شوند، ولی وقتی وارد فضای رایانه‌ای می‌شوند، ابهام ایجاد می‌کنند که جرم هستند یا نه؟ مانند "نشر اکاذیب" (که مصداق ماده 698 است) و یا "جعل" (در ماده 523) که گفته شده "هر کس که سندی را بتراشد یا بخراشد و . . . " در جرایم سنتی، مصداق آن حتماً در زمینه سند مکتوب است، بنابراین در نوشته کامپیوتری مورد ابهام است، مورد بحث قرار می‌گیرند.
    ما در جاهایی که خلاء قانونی داشتیم آنرا پر کرده‌ایم. مثلاً در قانون داریم که هرکس که وارد تا سیاست نظامی به صورت غیرمجاز شود چند سال حبس می‌شود، حالا اگر وارد سایت‌های نظامی شود چطور؟ طبیعتاً قابل اجرا نیست و سعی کرده‌ایم این خلاء ها را پر کنیم.

رشتی: یکی از مشکلات این است که تا به حال مثلاً امکان جاسوسی از طریق تلفن وجود داشت، ولی مگر قانون جاسوسی از طریق تلفن داشتیم که حالا جاسوسی رایانه‌

پرویزی: ما همه قانون قوانین مرتبط با جاسوسی را مطالعه کردیم، آیا اسناد طبقه‌

رشتی: در قانون در جایی بحث بعضی ابزارها و نرم‌

پرویزی: ببینید نظراتی که برخی دوستان قوه قضاییه داده‌

قمی: به نظر من لزوماً نه!

پرویزی: چرا، ممکن است الان نباشد، ولی فردا ممکن است هر کسی استفاده غیرمجاز از آن بکند...

قمی: به نظر من ممکن نیست ابزاری پیدا کنیم که "صرفاً" برای هک و ارتکاب جرم باشد، عموماً استفاده امنیتی و مدیریت امنیت هم می‌

پرویزی: مثلا ابزاری هست که در تماس Dial-up شما با شرکت ISP فقط و فقط برای شنود به کار می‌

قمی: اما شرکت‌های مخابراتی همین ابزار را در کنار تجهیزات خود می‌فروشند برای Diagnostics

پرویزی: ببینید مانند اسلحه است که داشتن آن در کشور ما جرم است، ولی قاضی و پلیس و . . . قانوناً آن را دارند.

رشتی: اگر یک شرکت خصوصی از این ابزارها به منظور بررسی وضعیت یک شبکه استفاده کندتا بتواند نقایص آن را بیابد وگزارش کند، الان مشمول انجام جرم است در این قانون!

پرویزی: معلوم است که بخش‌

قمی: باید محیط وشرایط کلی به گونه‌

پرویزی: اشکالی که در چنین نظری وجود دارد، بی‌

قمی: البته میتوان نوعی قانون مینیمالیستی داشت که نیاز امروز را برطرف کند، و نه قانون حداکثری و گسترده

پرویزی: اتفاقاً این قانون کاملاً حداقلی است و خیلی مباحث در آن دیده نشده، مثلاً بحث اسپم و...

دولتشاهی: اگر می‌

اروج‌

پرویزی: البته در دنیا معمولاً شرکتی به نام ISP همه خدمات از قبیل اینترنت و هاستینگ و ثبت دامنه و... را انجام می‌

مولوی: البته معمولاً به این ترتیب هم نیست که این موارد را بتوان به راحتی پیدا کرد، یعنی این که چنین مصادیقی در همان صفحات اصلی و اولیه قرار نیست که مدیر هاست بتواند به راحتی آن را پیدا کند، بنابراین نمی‌

پرویزی: قطعاً در آیین‌

    این نکته را هم نباید فراموش کرد که در تدوین این قانون، نمایندگان بخش خصوصی هم حضور داشتهاند(رییس انجمن ISPها) و به اندازه کافی تلاش برای حفظ حقوق بخش خصوصی کرده‌

قمی: نکته دیگر، حفظ حریم خصوصی کاربران است، اگر قرار باشد همه اطلاعات ردوبدل شده کاربران، ذخیره و بررسی گردد که مبادا در آینده جرمی اتفاق بیفتد، این در واقع تجاوز به حریم خصوصی است...

پرویزی : بله، ولی این برداشت ناشی از یک سوءتفاهم رایج است. ببینید، "داده محتوا" و "داده ترافیک" تفاوتشان همین است، از نگاه ناظر خارجی ، من در ساعت خاصی وارد دفتر مجله کامپیوتر و ارتباطات می‌

اروج‌: به این ترتیب در واقع کارت اینترنت با این سازوکار فعلی دیگر نمی‌تواند وجود داشته باشد...

پرویزی: بله.

قمی: آنچه از "داده ترافیک" فهمیده می‌

پرویزی: همین طور است. اینها ناشی از سوءتفاهم است. همان طور که گفتم این پیش‌

نویس همچنان در معرض دید و نظر کارشناسان است، همین طور در سایت مخصوص همایش حقوق فناوری اطلاعات. همه صاحبنظران می‌توانند نظرات و انتقادهای خود را بر آن بنویسندشود که باید توسط ISP لاگ گرفته و ثبت شود ظاهراً چیزی مانند سیگنالینگ است در تلفن، بنابراین تصور این که همه فعالیت یک کاربر ثبت شود و حجم عظیمی از اطلاعات باید توسط ISPها ذخیره شود درست نیست.زادهشوم و با آقای اروج‌زاده یک ساعت صحبت می‌کنم، این "داده ترافیک" است و در واقع سابقه کار، ولی این که محتوای صحبت ما چیست Content است. ISP قرار نیست که محتوا را ثبت کند و این که کاربر چه سایت‌هایی را دیده و... بلکه قرار است نوع خدمات اصلی ثبت شود (پروتکل‌ها مثل ... , HTTP , Mail , FTP) و نحوه ارتباط (شامل مبدا ارتباط که آدرس IP آن است) و مدت آن و هویت کاربری که تماس گرفته و مبدا ارتباط (شماره کاربر) یعنی هویت تماس گیرنده باید برای شما مشخص باشد و مسیر هم به این معنا که مثلاً شما از داخل یک LAN وصل شده‌اید به یک ISP و از آنجا به یک ICP کشور، تا اینجا مسیر است.
        بنابراین این طور نیست که همه سایت‌هایی که دیده باید ثبت شود و... بلکه فقط "داده ترافیک" ثبت می‌شود، این مفهوم هم دقیقاً مطابق با تعریف کنفرانسیون بین‌المللی جرایم سایبر بوداپست است.اند.نامه اجرایی قانون، موضوع به تفصیل بررسی خواهد شد، یعنی اگر کسی روی هاست شما مورد خلافی ببیند، (مثلاً توهین به خودش) در این مورد با اعلام قانونی، آن مورد باید از روی هاست حذف شود (ونه همة سایت) و اگر در طول زمان معینی، فرد مدعی نتواند از مجاری قانونی اقدام کند، مسئله منتفی خواهد شد، همچنین در قانون شبکه‌های اطلاع‌رسانی (که الآن در دست کار و بررسی است) همه جزئیات و ضوابط و شبکه‌ها دقیق‌تر مشخص می‌گردد.توان همیشه آن را "مصداق بارز" دانست...دهد، ولی ما اینجا آمده‌ایم و به دلایل مختلف آن را تکه‌تکه کرده‌ایم! نکته بعد این که مطابق مستندات و قوانین مختلف در دنیا، مطالعه نشان می‌دهد که مهمترین اصل ، "از بین بردن کردن خلاف در نطفه" است، که بستر اصلی آن در "هاستینگ" است، یعنی از طریق آن می‌توان مشکلات مراحل بعدی در ISP و... را پیشگیری کرد؛ مثلاً شرکتی که یک نام دامنه مسئله‌دار را ثبت می‌کند، قطعاً از نام آن می‌تواند بفهمد که هدف از سایت آن چه خواهد بود، آیا این شرکت هاستینگ مسئولیتی نخواهد داشت؟ ما در این باره بحث‌های فراوانی داشتیم، مسئولیتی هم که برای هاست در قانون آمده، برای مسائل اخلاقی و پورن است، نه برای مسائل سیاسی و توهین و امثال اینها. حتی در این موارد هم طوری نیست که هاست موظف به قضاوت باشد، بلکه فقط مصادیق بارز مانند عکس‌های پورنوگرافی و... مسئول است.زاده: پیامد مهمی که قانون حداکثری و سختگیری می‌تواند داشته باشد هم به نظر من قابل توجه است، فرض کنید که نتیجه یک قانون، سختی و محدودیت زیاد در کار فعالان این بخش مثل ISPها و شرکت‌های میزبان و... باشد، قطعاً این محدودیت باعث می‌شود بخش زیادی از سرمایه‌گذاران این حوزه خارج شوند، و چون اصولاً اینترنت و کلاً IT در کشورمان توسط بخش خصوصی دنبال می‌شود و توسعه پیدا می‌کند، بعید نیست که به کلیت این حوزه مهم و مؤثر علمی و اقتصادی کشورمان لطمه اساسی بخورد.بینید که این قانون کمی بیشتر و جلوتر از وضع و شرایط فعلی ما را هدف قرار داده است، به این خاطر است که اصولاً مطابق قانون اساسی، یکی ازوظایف قوه قضاییه، "پیشگیری از جرم" است، و با توجه به سرعتی که در وقوع و پیشرفت جرایم رایانه‌ای دیده می‌شود، نمی‌توانیم هر سال قانون تازه‌ای را وضع کنیم، این سرعت ایجاب می‌کند که ما پیش‌بینی 5 سال آینده را بکنیم، این به اقتضای ماهیت جرایم رایانه‌ای است.قانونی و هرج و مرجی است که به وجود می‌آید و قابل کنترل نیست، در حالی که از ابتدا می‌توان همه مقدمات و شرایط و نیازها و مشکلات را دید، مضافاً این که این تکنولوژی هم بسیار سریع و درحال تغییرات و اگر بخواهیم صبر کنیم تا در آینده برای آن بستر سازی و قانونگذاری کنیم، دیگر زمان را از دست خواهیم داد.ای باشد که برای قانون مساعد باشد، مثلاً مدتی پیش دیدم که در امریکا برعلیه "مهندسی معکوس" (Reverse Engineering) نرم‌افزارها در حال قانون گذاری هستند، در حالی که تا مدتی پیش خودشان از آن درآمد کسب می‌کردند ولی حالا که چین وارد این عرصه شده و آنها درآمدشان از این بابت کاهش یافته، علیه آن قانون وضع می‌کنند بنابراین قانون باید ناظر برسود و منافع ملی باشد، مثال دیگر، مدتی پیش نویسنده ویروس "سارس" در آلمان دستگیر شد، جالب است که نوعی غرور در این کشور از این بابت به وجود آمد! که قابل توجه است و کمتر جایی به این موضوع پرداخته شد، نکته پنهان در این قضیه، انتقال سرمایه عظیمی در زمینه نرم‌افزار از آمریکا به کشور چک است، چون بیشترین منبع هک در دنیا کشور چک است... منظورم این است که تجربه آنها نشان می‌دهد که اجازه دادند که سیستم آنها به سطحی از بلوغ برسد، (که البته ممکن است کمی هم بینظمی در آن وجود داشته باشد) ولی در مجموع نبودن قید و بندها باعث سود عمومی برای کشور می‌شود، با رسیدن به بلوغ، بحث قانون و محدودیت‌ها به وجود می‌آید. به نظر من این قانون در شرایط فعلی برای کشورما و با شکل فعلیاش شاید زود باشد...هایی به وجود می‌آیند که کار بررسی و مطالعه و تأمین امنیت شبکه‌ها را انجام خواهند داد، و قاعدتاً باید قانون دیگری باشد که در مورد وضعیت آنها نظر بدهد، این قانون فعلی قرار نیست که در همه مورد نظر بدهد و تکلیفشان را معلوم کند. مثل کسی که به دلایل مشخصی می‌تواند تقاضای مجوز داشتن اسلحه بکند...رود، آن هم شنود داده‌هاشود...اند این است که در این موارد قید "صرفاً برای ارتکاب جرم" هم بیاید، ببینید، مثلاً به نظر شما آیا Sub7 صرفاً برای ارتکاب جرم به کار می‌رود یا نه؟افزارهای امنیتی است، شما خوب می‌دانید که اینها اکثراً دو منظوره هستند بنابراین این ماده شامل گروه‌های فعال و متخصص امنیتی هم می‌شوند...بندی شده و سری، شامل داده‌های کامپیوتری هم می‌شود؟ طبعاً نه! بنابراین باید ابتدا داده‌های سری را تعریف کرد و سپس تکلیف آنها را مشخص کرد. ببینید قاضی در مقام قضاوت باید مبتنی بر کلمه به کلمه قانون قضاوت کند، قانون به قدری فراگیر و شفاف باشد که امکان تفسیر نباشد.ای داشته باشیم؟ ولی با توضیح شما مشخص شد که در واقع رفع ابهام است.زادهنویس را در سطح بالاتری بردیم و در جلسه‌ای با حضور آقای جهانگرد و آقای جمشیدی به طورهفتگی بررسی می‌شد. در آنجا از 80 ماده به کمتر از 60 ماده تقلیل پیدا کرد. ما به این مرحله هم بسنده نکردیم، در همایش بررسی حقوق فناوری اطلاعات، آن را مورد بررسی قرار دادیم. البته باز هم در لایه‌هایی دیگر مورد نظرخواهی قرار دارد و تا گذر از مرحله قوه قضاییه به دولت، امکان ویرایش آن وجود دارد، همین طور در دولت هم قابل تغییرات. بعضی نکات در این هست که صرفاً به دلیل تبعیت از تعاریف کلی‌تر وجود دارد، مثلاً در زمینه تعریف "سیستم رایانه‌ای" با وجود تعاریف گوناگون در جهان، ما ترجیح دادیم که تعریف قانون تجارت الکترونیک را ملاک قراردهیم، مانند "داده رایانه‌ای"، "اطلاعات"، "داده محتوا" و... ما نهایتاً همه نظرات را می‌خوانیم و دنبال می‌کنیم، حتی وبلاگی را هم که در نقد و اعتراض به این قانون به وجود آمده مطالعه می‌کنیم.الملل، معاون دادستان در امور بین‌الملل به ما مشاوره می‌داد و همچنین قضات. در کنار این گروه، افراد فنی هم حضور داشتند، و از انجمن ISPها، انجمن شرکت‌های انفورماتیک، مجمع ناشران الکترونیک، تعدادی کارشناس امنیتی شبکه و از مرکز تحقیقات مخابرات، در مجموع حدود 50 نفر این گروه را تشکیل داده بودند. چندین جلد کتاب خارجی تهیه کردیم و نیز از منابع اینترنتی و خارجی.های حقوق، از متخصصین فوق لیسانس و دکترا تعداد زیادی آمدند و از بین ایشان کسانی که با کامپیوتر ناآشنا نبودند را در کوتاه مدت تعدادی آموزش مبانی فناوری اطلاعات دادیم. همچنین در حدامکان هم مبانی حقوق کیفری فناوری اطلاعات را آموزش دیدند، ما با همین گروه کار را شروع کردیم.آوری کردیم، طبیعتاً کسانی که به کار تدوین این قانون می‌پردازند، باید هم مسلط به حقوق و هم به فناوری اطلاعات باشند، یافتن چنین افرادی آسان نبود، ابتدا به نظر می‌رسید که کسانی را که با فناوری آشنا هستند آموزش حقوق بدهیم، که چنین چیزی در کوتاه مدت ممکن نبود، به این نتیجه رسیدیم که این که حقوقدانانی را که الفبای فناوری اطلاعات را بشناسند، آموزش دهیم، عملی‌تر است.ای برای تدوین قوانین لازم در زمینه IT تاسیس شد، این مسئله البته بنا به درخواست دبیر شورای عالی اطلاع‌رسانی، آقای جهانگرد بود، ایشان در شورای معاونین قوه قضاییه، طرح تکفا، و ضرورت زیرساخت‌های حقوقی و قانونی را مطرح کرده بود: مسئولیت کمیته به بنده محول شد و سپس چندین جلسه درباره قوانین لازم در این زمینه، و همچنین اولویت هر کدام مورد بحث قرار گرفت. زاده

پروتکل های انتقال فایل امن

پروتکل های انتقال فایل امن

در این مقاله برای شما بطور  مختصر از پروتکل هایی خواهیم گفت که امکانFT یا (File Transfer) یا انتقال فایل را فراهم می آورند یا از بلوکهای سازنده پروتکل های ذکر شده در مقاله رمزنگاری در پروتکل های انتقال استفاده می کنند تا امکان FT  امن را ایجاد کنند. درحالیکه پروتکلهای ذکر شده در مقاله مذکور سیستمهای امنیتی عمومی هستند که قابل کاربرد برای FT  نیز هستند، آنچه در اینجا اشاره می شود، مشخصاً برای FT  ایجاد شده اند:

AS2

AS2 (Applicability Statement 2) گونه ای EDI (Electronic Date Exchange) یا تبادل دیتای الکترونیکی (اگرچه به قالبهای EDI محدود نشده) برای استفاده های تجاری با استفاده از HTTP است. AS2 در حقیقت بسط یافته نسخه قبلی یعنی AS1 است. AS2 چگونگی تبادل دیتای تجاری را بصورت امن و مطمئن با استفاده از HTTP بعنوان پروتکل انتقال توصیف می کند. دیتا با استفاده از انواع محتوایی MIME استاندارد که XML، EDI ، دیتای باینری و هر گونه دیتایی را که قابل توصیف در MIME باشد، پشتیبانی می کند، بسته بندی می شود. امنیت پیام (تایید هویت و محرمانگی) با استفاده از S/MIME پیاده سازی می شود. AS1 در عوض از SMTP استفاده می کند. با AS2 و استفاده از HTTP یا HTTP/S ( HTTP با SSL) برای انتقال، ارتباط بصورت زمان حقیقی ممکن می شود تا اینکه از طریق ایمیل انجام گیرد. امنیت، تایید هویت، جامعیت پیام، و خصوصی بودن با استفاده از رمزنگاری و امضاهای دیجیتال تضمین می شود، که برپایه S/MIME هستند و نه SSL. استفاده از HTTP/S بجای HTTP استاندارد بدلیل امنیت ایجادشده توسط S/MIME کاملاً انتخابی است. استفاده از S/MIME اساس ویژگی دیگری یعنی انکارناپذیری را شکل می دهد، که امکان انکار پیام های ایجادشده یا فرستاده شده توسط کاربران را مشکل می سازد، یعنی یک شخص نمی تواند منکر پیامی شود که خود فرستاده است.

*برای FT :
(File Transfer  انتقال فایل یا)
 AS2 مشخصاً برای درکنارهم قراردادن  ویژگیهای امنیتی با انتقال فایل یعنی تایید هویت، رمزنگاری، انکارناپذیری توسط S/MIME و SSL  انتخابی، طراحی شده است. از آنجا که AS2 یک پروتکل در حال ظهور است، سازمانها باید تولید کنندگان را به پشتیبانی سریع از آن تشویق کنند. قابلیت وجود انکارناپذیری در تراکنش های برپایه AS2 از اهمیت خاصی برای سازمانهایی برخوردار است که می خواهند پروسه های تجاری بسیار مهم را به سمت اینترنت سوق دهند. وجود قابلیت برای ثبت تراکنش پایدار و قابل اجراء برای پشتبانی از عملکردهای بسیار مهم مورد نیاز است. AS2 از MDN (Message Disposition Notification) بر پایه RFC 2298 استفاده می کند. MDN (که می تواند در اتصال به سایر پروتکل ها نیز استفاده شود) بر اساس محتوای MIME است که قابل خواندن توسط ماشین است و قابلیت آگاه سازی و اعلام وصول پیام را بوجود می آورد، که به این ترتیب اساس یک ردگیری نظارتی پایدار را فراهم می سازد.

(File Transfer Protocol) FTP

FTP  یا پروتکل انتقال فایل به منظور انتقال فایل از طریق شبکه ایجاد گشته است، اما هیچ نوع رمزنگاری را پشتیبانی نمی کند. FTP حتی کلمات عبور را نیز بصورت رمزنشده انتقال می دهد، و به این ترتیب اجازه سوءاستفاده آسان از سیستم را می دهد. بسیاری سرویس ها FTP بی نام را اجراء می کنند که حتی نیاز به کلمه عبور را نیز مرتفع می سازد (اگرچه در این صورت کلمات عبور نمی توانند شنیده یا دزدیده شوند)

*برای FT: FTP بعنوان یک روش امن مورد توجه نیست، مگر اینکه درون یک کانال امن مانند SSL یا IPSec قرار گیرد.گرایش زیادی به FTP امن یا FTP بر اساس SSL وجود دارد.(می‌توانید به SFTP و SSL مراجعه کنید)

FTPS و SFTP

SFTP به استفاده از FT بر روی یک کانال که با SSH امن شده، اشاره دارد، در حالیکه منظور از FTPS استفاده از FT بر روی SSL است. اگرچه SFTP دارای استفاده محدودی است، FTPS (که هر دو شکل FTP روی SSL و FTP روی TLS را بخود می گیرد) نوید کارایی بیشتری را می دهد. RFC 2228 (FTPS)  رمزنگاری کانالهای دیتا را که برای ارسال تمام دیتا و کلمات عبور استفاده شده اند، ممکن می سازد اما کانالهای فرمان را بدون رمزنگاری باقی می گذارد (بعنوان کانال فرمان شفاف شناخته می شود). مزیتی که دارد این است که به فایروالهای شبکه های مداخله کننده اجازه آگاهی یافتن از برقراری نشست ها و مذاکره پورتها را می دهد. این امر به فایروال امکان تخصیص پورت پویا را می دهد، بنابراین امکان ارتباطات رمزشده فراهم می شود بدون اینکه نیاز به این باشد که تعداد زیادی از شکاف های دائمی در فایروال پیکربندی شوند.

 اگرچه معمول ترین کاربردهای FTP ( مخصوصاً بسته های نرم افزاری کلاینت) هنوز کاملاً FTPS (FTP روی SSL)  را پشتیبانی نمی کنند و پشتیبانی مرورگر برای SSL، برای استفاده کامل از مجموعه کامل فانکشن های RFC 2228 FTPS کافی نیست، اما این امر در حال پیشرفت است. بسیاری از تولیدکنندگان برنامه های کاربردی در حال استفاده از SSL  استاندارد در کنار FTP استاندارد هستند. بنابراین، گرچه در بعضی موارد مسائل تعامل همچنان وجود دارند، اما امیدواری برای پشتیبانی گسترده از FT امن در ترکیب با SSL وجود دارد. (و حتی امیدواری برای پذیرش گسترده مجموعه کامل فانکشن های RFC 2228 FTPS)

سرویس‌های امنیتی WEP - Authentication

سرویس‌های امنیتی WEP - Authentication

    در قسمت قبل به معرفی پروتکل WEP که عملاً تنها روش امن‌سازی ارتباطات در شبکه‌های بی‌سیم بر مبنای استاندارد 802.11 است پرداختیم و در ادامه سه سرویس اصلی این پروتکل را معرفی کردیم.

    در این قسمت به معرفی سرویس اول، یعنی Authentication، می‌پردازیم.

Authentication

    استاندارد 802.11 دو روش برای احراز هویت کاربرانی که درخواست اتصال به شبکه‌ی بی‌سیم را به نقاط دسترسی ارسال می‌کنند، دارد که یک روش بر مبنای رمزنگاری‌ست و دیگری از رمزنگاری استفاده نمی‌کند.

    شکل زیر شَمایی از فرایند Authentication را در این شبکه‌ها نشان می‌دهد :

    همان‌گونه که در شکل نیز نشان داده شده است، یک روش از رمزنگاری RC4 استفاده می‌کند و روش دیگر از هیچ تکنیک رمزنگاری‌یی استفاده نمی‌کند.

Authentication بدون رمزنگاری

    در روشی که مبتنی بر رمزنگاری نیست، دو روش برای تشخیص هویت مخدوم وجود دارد. در هر دو روش مخدومِ متقاضی پیوستن به شبکه، درخواست ارسال هویت از سوی نقطه‌ی دسترسی را با پیامی حاوی یک SSID (Service Set Identifier) پاسخ می‌دهد.

    در روش اول که به Open System Authentication موسوم است، یک SSID خالی نیز برای دریافت اجازه‌ی اتصال به شبکه کفایت می‌کند. در واقع در این روش تمامی مخدوم‌هایی که تقاضای پیوستن به شبکه را به نقاط دسترسی ارسال می‌کنند با پاسخ مثبت روبه‌رو می‌شوند و تنها آدرس آن‌ها توسط نقطه‌ی دسترسی نگاه‌داری می‌شود. به‌همین دلیل به این روش NULL Authentication نیز اطلاق می‌شود.

    در روش دوم از این نوع، بازهم یک SSID به نقطه‌ی دسترسی ارسال می‌گردد با این تفاوت که اجازه‌ی اتصال به شبکه تنها در صورتی از سوی نقطه‌ی دسترسی صادر می‌گردد که SSIDی ارسال شده جزو SSIDهای مجاز برای دسترسی به شبکه باشند. این روش به Closed System Authentication موسوم است.

    نکته‌یی که در این میان اهمیت بسیاری دارد، توجه به سطح امنیتی‌ست که این روش در اختیار ما می‌گذارد. این دو روش عملاً روش امنی از احراز هویت را ارایه نمی‌دهند و عملاً تنها راهی برای آگاهی نسبی و نه قطعی از هویت درخواست‌کننده هستند. با این وصف از آن‌جایی‌که امنیت در این حالات تضمین شده نیست و معمولاً حملات موفق بسیاری، حتی توسط نفوذگران کم‌تجربه و مبتدی، به شبکه‌هایی که بر اساس این روش‌ها عمل می‌کنند، رخ می‌دهد، لذا این دو روش تنها در حالتی کاربرد دارند که یا شبکه‌یی در حال ایجاد است که حاوی اطلاعات حیاتی نیست، یا احتمال رخداد حمله به آن بسیار کم است. هرچند که با توجه پوشش نسبتاً گسترده‌ی یک شبکه‌ی بی‌سیم – که مانند شبکه‌های سیمی امکان محدودسازی دسترسی به صورت فیزیکی بسیار دشوار است – اطمینان از شانس پایین رخ‌دادن حملات نیز خود تضمینی ندارد!

Authentication با رمزنگاری RC4

    این روش که به روش «کلید مشترک» نیز موسوم است، تکنیکی کلاسیک است که بر اساس آن، پس از اطمینان از اینکه مخدوم از کلیدی سری آگاه است، هویتش تأیید می‌شود. شکل زیر این روش را نشان می‌دهد :

    در این روش، نقطه‌ی دسترسی (AP) یک رشته‌ی تصادفی تولید کرده و آن‌را به مخدوم می‌فرستد. مخدوم این رشته‌ی تصادفی را با کلیدی از پیش تعیین شده (که کلید WEP نیز نامیده می‌شود) رمز می‌کند و حاصل را برای نقطه‌ی دسترسی ارسال می‌کند. نقطه‌ی دسترسی به روش معکوس پیام دریافتی را رمزگشایی کرده و با رشته‌ی ارسال شده مقایسه می‌کند. در صورت هم‌سانی این دو پیام، نقطه‌ی دسترسی از اینکه مخدوم کلید صحیحی را در اختیار دارد اطمینان حاصل می‌کند. روش رمزنگاری و رمزگشایی در این تبادل روش RC4 است.

    در این میان با فرض اینکه رمزنگاری RC4 را روشی کاملاً مطمئن بدانیم، دو خطر در کمین این روش است :

الف) در این روش تنها نقطه‌ی دسترسی‌ست که از هویت مخدوم اطمینان حاصل می‌کند. به بیان دیگر مخدوم هیچ دلیلی در اختیار ندارد که بداند نقطه‌ی دسترسی‌یی که با آن در حال تبادل داده‌های رمزی‌ست نقطه‌ی دسترسی اصلی‌ست.

ب) تمامی روش‌هایی که مانند این روش بر پایه‌ی سئوال و جواب بین دو طرف، با هدف احراز هویت یا تبادل اطلاعات حیاتی، قرار دارند با حملاتی تحت عنوان man-in-the-middle در خطر هستند. در این دسته از حملات نفوذگر میان دو طرف قرار می‌گیرد و به‌گونه‌یی هریک از دو طرف را گمراه می‌کند.

سرویس‌های امنیتی 802.11b – Privacy و Integrity

سرویس‌های امنیتی 802.11b – Privacy و Integrity

    در قسمت قبل به سرویس اول از سرویس‌های امنیتی 802.11b پرداختیم. این قسمت به بررسی دو سرویس دیگر اختصاص دارد. سرویس اول Privacy  (محرمانه‌گی) و  سرویس دوم Integrity است.

Privacy

    این سرویس که در حوزه‌های دیگر امنیتی اغلب به عنوان Confidentiality از آن یاد می‌گردد به‌معنای حفظ امنیت و محرمانه نگاه‌داشتن اطلاعات کاربر یا گره‌های در حال تبادل اطلاعات با یکدیگر است. برای رعایت محرمانه‌گی عموماً از تکنیک‌های رمزنگاری استفاده می‌گردد، به‌گونه‌یی‌که در صورت شنود اطلاعات در حال تبادل، این اطلاعات بدون داشتن کلیدهای رمز، قابل رمزگشایی نبوده و لذا برای شنودگر غیرقابل سوء استفاده است.

    در استاندارد 802.11b، از تکنیک‌های رمزنگاری WEP استفاده می‌گردد که برپایه‌ی RC4 است. RC4 یک الگوریتم رمزنگاری متقارن است که در آن یک رشته‌ی نیمه تصادفی تولید می‌گردد و توسط آن کل داده رمز می‌شود. این رمزنگاری بر روی تمام بسته‌ی اطلاعاتی پیاده می‌شود. به‌بیان دیگر داده‌های تمامی لایه‌های بالای اتصال بی‌سیم نیز توسط این روش رمز می‌گردند، از IP گرفته تا لایه‌های بالاتری مانند HTTP. از آنجایی که این روش عملاً اصلی‌ترین بخش از اعمال سیاست‌های امنیتی در شبکه‌های محلی  بی‌سیم مبتنی بر استاندارد 802.11b است، معمولاً به کل پروسه‌ی امن‌سازی اطلاعات در این استاندارد به‌اختصار WEP گفته می‌شود.

    کلیدهای WEP اندازه‌هایی از ۴۰ بیت تا ۱۰۴ بیت می‌توانند داشته باشند. این کلیدها با IV (مخفف Initialization Vector یا بردار اولیه ) ۲۴ بیتی ترکیب شده و یک کلید ۱۲۸ بیتی RC4 را تشکیل می‌دهند. طبیعتاً هرچه اندازه‌ی کلید بزرگ‌تر باشد امنیت اطلاعات بالاتر است. تحقیقات نشان می‌دهد که استفاده از کلیدهایی با اندازه‌ی ۸۰ بیت یا بالاتر عملاً استفاده از تکنیک brute-force را برای شکستن رمز غیرممکن می‌کند. به عبارت دیگر تعداد کلیدهای ممکن برای اندازه‌ی ۸۰ بیت (که تعدد آن‌ها از مرتبه‌ی ۲۴  است) به اندازه‌یی بالاست که قدرت پردازش سیستم‌های رایانه‌یی کنونی برای شکستن کلیدی مفروض در زمانی معقول کفایت نمی‌کند.

    هرچند که در حال حاضر اکثر شبکه‌های محلی بی‌سیم از کلیدهای ۴۰ بیتی برای رمزکردن بسته‌های اطلاعاتی استفاده می‌کنند ولی نکته‌یی که اخیراً، بر اساس یک سری آزمایشات به دست آمده است، این‌ست که روش تأمین محرمانه‌گی توسط WEP در مقابل حملات دیگری، غیر از استفاده از روش brute-force، نیز آسیب‌پذیر است و این آسیب‌پذیری ارتباطی به اندازه‌ی کلید استفاده شده ندارد.

    نمایی از روش استفاده شده توسط WEP برای تضمین محرمانه‌گی در شکل زیر نمایش داده شده است :

Integrity

    مقصود از Integrity صحت اطلاعات در حین تبادل است و سیاست‌های امنیتی‌یی که Integrity را تضمین می‌کنند روش‌هایی هستند که امکان تغییر اطلاعات در حین تبادل را به کم‌ترین میزان تقلیل می‌دهند.

    در استاندارد 802.11b نیز سرویس و روشی استفاده می‌شود که توسط آن امکان تغییر اطلاعات در حال تبادل میان مخدوم‌های بی‌سیم و نقاط دست‌رسی کم می‌شود. روش مورد نظر استفاده از یک کد CRC است. همان‌طور که در شکل قبل نیز نشان داده شده است، یک CRC-32 قبل از رمزشدن بسته تولید می‌شود. در سمت گیرنده، پس از رمزگشایی، CRC داده‌های رمزگشایی شده مجدداً محاسبه شده و با CRC نوشته شده در بسته مقایسه می‌گردد که هرگونه اختلاف میان دو CRC به‌معنای تغییر محتویات بسته در حین تبادل است. متأسفانه این روش نیز مانند روش رمزنگاری توسط RC4، مستقل از اندازه‌ی کلید امنیتی مورد استفاده، در مقابل برخی از حملات شناخته شده آسیب‌پذیر است.

    متأسفانه استاندارد 802.11b هیچ مکانیزمی برای مدیریت کلیدهای امنیتی ندارد و عملاً تمامی عملیاتی که برای حفظ امنیت کلیدها انجام می‌گیرد باید توسط کسانی که شبکه‌ی بی‌سیم را نصب می‌کنند به‌صورت دستی پیاده‌سازی گردد. از آنجایی که این بخش از امنیت یکی از معضل‌های اساسی در مبحث رمزنگاری است، با این ضعف عملاً روش‌های متعددی برای حمله به شبکه‌های بی‌سیم قابل تصور است. این روش‌ها معمولاً بر سهل انگاری‌های انجام‌شده از سوی کاربران و مدیران شبکه مانند تغییرندادن کلید به‌صورت مداوم، لودادن کلید، استفاده از کلیدهای تکراری یا کلیدهای پیش فرض کارخانه و دیگر بی توجهی ها نتیجه یی جز درصد نسبتاً بالایی از حملات موفق به شبکه‌های بی‌سیم ندارد. این مشکل از شبکه‌های بزرگ‌تر بیش‌تر خود را نشان می‌دهد. حتا با فرض تلاش برای جلوگیری از رخ‌داد چنین سهل‌انگاری‌هایی، زمانی که تعداد مخدوم‌های شبکه از حدی می‌گذرد عملاً کنترل‌کردن این تعداد بالا بسیار دشوار شده و گه‌گاه خطاهایی در گوشه و کنار این شبکه‌ی نسبتاً بزرگ رخ می دهد که همان باعث رخنه در کل شبکه می‌شود.

کاربرد پراکسی در امنیت شبکه (۱)

کاربرد پراکسی در  امنیت شبکه (۱)

بعد از آشنایی با پراکسی در مقاله «پراکسی سرور» در این مقاله به این مطلب می پردازیم که از دیدگاه امنیتی پراکسی چیست و چه چیزی نیست، از چه نوع حملاتی جلوگیری می کند و به مشخصات بعضی انواع پراکسی پرداخته می شود. البته قبل از پرداختن به پراکسی بعنوان ابزار امنیتی، بیشتر با فیلترها آشنا خواهیم شد.

پراکسی چیست؟

در دنیای امنیت شبکه، افراد از عبارت «پراکسی» برای خیلی چیزها استفاده می کنند. اما عموماً، پراکسی ابزار است که بسته های دیتای اینترنتی را در مسیر دریافت می  کند، آن دیتا را می  سنجد و عملیاتی برای سیستم مقصد آن دیتا انجام می  دهد. در اینجا از پراکسی به معنی پروسه  ای یاد می  شود که در راه ترافیک شبکه  ای قبل از اینکه به شبکه وارد یا از آن خارج شود، قرار می  گیرد و آن را می  سنجد تا ببیند با سیاست های امنیتی شما مطابقت دارد و سپس مشخص می  کند که آیا به آن اجازه عبور از فایروال را بدهد یا خیر. بسته  های مورد قبول به سرور مورد نظر ارسال و بسته های ردشده دور ریخته می  شوند.

پراکسی چه چیزی نیست؟

پراکسی ها بعضی اوقات با دو نوع فایروال اشتباه می  شوند «Packet filter  و  Stateful packet filter» که البته هر کدام از روش ها مزایا و معایبی دارد، زیرا همیشه یک مصالحه بین کارایی و امنیت وجود دارد.

پراکسی با Packet filter تفاوت دارد

ابتدایی ترین روش صدور اجازه عبور به ترافیک بر اساس TCP/IP این نوع فیلتر بود. این نوع فیلتر بین دو یا بیشتر رابط شبکه قرار می گیرد و اطلاعات آدرس را در header IP ترافیک دیتایی که بین آنها عبور می  کند، پیمایش می کند. اطلاعاتی که این نوع فیلتر ارزیابی می کند عموماً شامل آدرس و پورت منبع و مقصد می  شود. این فیلتر بسته به پورت و منبع و مقصد دیتا و بر اساس قوانین ایجاد شده توسط مدیر شبکه بسته را می پذیرد یا نمی پذیرد. مزیت اصلی این نوع فیلتر سریع بودن آن است چرا که header، تمام آن چیزی است که سنجیده می شود. و عیب اصلی ان این است که هرگز آنچه را که در بسته وجود دارد نمی  بیند و به محتوای آسیب رسان اجازه عبور از فایروال را می دهد. بعلاوه، این نوع فیلتر با هر بسته بعنوان یک واحد مستقل رفتار می کند و وضعیت (State) ارتباط را دنبال نمی کند.

پراکسی با Stateful packet filter تفاوت دارد

این فیلتر اعمال فیلتر نوع قبل را انجام می دهد، بعلاوه اینکه بررسی می کند کدام کامپیوتر در حال ارسال چه دیتایی است و چه نوع دیتایی باید بیاید. این اطلاعات بعنوان وضعیت (State) شناخته می  شود.

پروتکل ارتباطی TCP/IP به ترتیبی از ارتباط برای برقراری یک مکالمه بین کامپیوترها نیاز دارد. در آغاز یک ارتباط TCP/IP عادی، کامپیوتر A سعی می کند با ارسال یک بسته SYN (synchronize) به کامپیوتر B ارتباط را برقرار کند. کامپیوتر B در جواب یک بسته SYN/ACK (Acknowledgement)  برمی گرداند، و کامپیوتر A یک ACK به کامپیوتر ‍B می فرستد و به این ترتیب ارتباط برقرار می شود. TCP اجازه وضعیتهای دیگر، مثلاً   FIN (finish) برای نشان  دادن آخرین بسته در یک ارتباط را نیز می دهد.

هکرها در مرحله آماده سازی برای حمله، به جمع آوری اطلاعات در مورد سیستم شما می پردازند. یک روش معمول ارسال یک بسته در یک وضعیت غلط به منظوری خاص است. برای مثال، یک بسته با عنوان پاسخ (Reply) به سیستمی که تقاضایی نکرده، می فرستند. معمولاً، کامپیوتر دریافت کننده بیاید پیامی بفرستد و بگوید “I don’t understand” . به این ترتیب، به هکر نشان می دهد که وجود دارد، و آمادگی برقراری ارتباط دارد. بعلاوه، قالب پاسخ می  تواند سیستم عامل مورد استفاده را نیز مشخص کند، و برای یک هکر گامی به جلو باشد. یک فیلتر Stateful packet منطق یک ارتباط TCP/IP را می فهمد و می تواند یک “Reply” را که پاسخ به یک تقاضا نیست، مسدود کند ـــ آنچه که یک فیلتر packet ردگیری نمی کند و نمی  تواند انجام دهد. فیلترهای Stateful packet می توانند در همان لحظه قواعدی را مبنی بر اینکه بسته مورد انتظار در یک ارتباط عادی چگونه باید بنظر رسد، برای پذیرش یا رد بسته بعدی تعیین کنند. فایده این کار امنیت محکم تر است. این امنیت محکم تر، بهرحال، تا حدی باعث کاستن از کارایی می شود.  نگاهداری لیست قواعد ارتباط بصورت پویا برای هر ارتباط و فیلترکردن دیتای بیشتر، حجم پردازشی بیشتری به این نوع فیلتر اضافه می کند.

پراکسی ها یا Application Gateways

Application Gateways که عموماً پراکسی نامیده می شود، پیشرفته ترین روش استفاده شده برای کنترل ترافیک عبوری از فایروال ها هستند. پراکسی بین کلاینت و سرور قرار می گیرد و تمام جوانب گفتگوی بین آنها را برای تایید تبعیت از قوانین برقرار شده، می سنجد. پراکسی بار واقعی تمام بسته  های عبوری بین سرور و کلاینت را می سنجد، و می  تواند چیزهایی را که سیاستهای امنیتی را نقض می  کنند، تغییر دهد یا محروم کند. توجه کنید که فیلترهای بسته ها فقط headerها را می سنجند، در حالیکه پراکسی ها محتوای بسته را با مسدود کردن کدهای آسیب رسان همچون فایلهای اجرایی، اپلت های جاوا، ActiveX و ... غربال می کنند.

پراکسی ها همچنین محتوا را برای اطمینان از اینکه با استانداردهای پروتکل مطابقت دارند، می  سنجند. برای مثال، بعضی اَشکال حمله کامپیوتری شامل ارسال متاکاراکترها برای فریفتن سیستم قربانی است؛ حمله های دیگر شامل تحت تاثیر قراردادن سیستم با دیتای بسیار زیاد است. پراکسی ها می توانند کاراکترهای غیرقانونی یا رشته های خیلی طولانی را مشخص و مسدود کنند. بعلاوه، پراکسی ها تمام اعمال فیلترهای ذکرشده را انجام می دهند. بدلیل تمام این مزیتها، پراکسی ها بعنوان یکی از امن ترین روشهای عبور ترافیک شناخته می شوند. آنها در پردازش ترافیک از فایروالها کندتر هستند زیرا کل بسته ها را پیمایش می کنند. بهرحال «کندتر» بودن یک عبارت نسبی است.

آیا واقعاً کند است؟ کارایی پراکسی بمراتب سریعتر از کارایی اتصال اینترنت کاربران خانگی و سازمانهاست. معمولاً خود اتصال اینترنت گلوگاه سرعت هر شبکه ای است. پراکسی ها باعث کندی سرعت ترافیک در تست های آزمایشگاهی می شوند اما باعث کندی سرعت دریافت کاربران نمی شوند. در شماره بعد بیشتر به پراکسی خواهیم پرداخت.

کاربرد پراکسی در امنیت شبکه (۲)

کاربرد پراکسی در  امنیت شبکه (۲)

در مقایسه فایروال‌ها، ما مفهومی از پراکسی ارائه می‌دهیم و پراکسی را از فیلترکننده بسته‌ها متمایز می‌کنیم. با پیش‌زمینه‌ای که از پراکسی در شماره قبل بیان کردیم، می‌توانیم در اینجا مزایای پراکسی‌ها بعنوان ابزاری برای امنیت را لیست کنیم:

·   با مسدود کردن روش‌های معمول مورد استفاده در حمله‌ها، هک‌کردن شبکه شما را مشکل‌تر می‌کنند.

·   با پنهان کردن جزئیات سرورهای شبکه شما از اینترنت عمومی، هک‌کردن شبکه شما را مشکل‌تر می‌کنند.

·   با جلوگیری از ورود محتویات ناخواسته و نامناسب به شبکه شما، استفاده از پهنای باند شبکه را بهبود می‌بخشند.

·   با ممانعت از یک هکر برای استفاده از شبکه شما بعنوان نقطه‌ شروعی برای حمله دیگر، از میزان این نوع مشارکت می‌کاهند.

·   با فراهم‌آوردن ابزار و پیش‌فرض‌هایی برای مدیر شبکه شما که می‌توانند بطور گسترده‌ای استفاده شوند، می‌توانند مدیریت شبکه شما را آسان سازند.

بطور مختصر می‌توان این مزایا را اینگونه بیان کرد؛ پراکسی‌ها به شما کمک می‌کنند که شبکه‌تان را با امنیت بیشتر، موثرتر و اقتصادی‌تر مورد استفاده قرار دهید. بهرحال در ارزیابی یک فایروال، این مزایا به فواید اساسی تبدیل می‌شوند که توجه جدی را می‌طلبند.

برخی انواع پراکسی

تا کنون به پراکسی بصورت یک کلاس عمومی تکنولوژی پرداختیم. در واقع، انواع مختلف پراکسی وجود دارد که هرکدام با نوع متفاوتی از ترافیک اینترنت سروکار دارند. در بخش بعد به چند نوع آن اشاره می‌کنیم و شرح می‌دهیم که هرکدام در مقابل چه نوع حمله‌ای مقاومت می‌کند.

البته پراکسی‌ها تنظیمات و ویژگی‌های زیادی دارند. ترکیب پراکسی‌ها و سایر ابزار مدیریت فایروال‌ها به مدیران شبکه شما قدرت کنترل امنیت شبکه تا بیشترین جزئیات را می‌دهد. در ادامه به پراکسی‌های زیر اشاره خواهیم کرد:

·   SMTP Proxy

·   HTTP Proxy

·   FTP Proxy

·   DNS Proxy

SMTP Proxy

‌پراکسی SMTP (Simple Mail Transport Protocol) محتویات ایمیل‌های وارد شونده و خارج‌شونده را برای محافظت از شبکه شما در مقابل خطر بررسی می‌کند. بعضی از تواناییهای آن اینها هستند:

·   مشخص کردن بیشترین تعداد دریافت‌کنندگان پیام: این اولین سطح دفاع علیه اسپم (هرزنامه) است که اغلب به صدها یا حتی هزاران دریافت‌کننده ارسال می‌شود.

·   مشخص کردن بزرگترین اندازه پیام: این به سرور ایمیل کمک می‌کند تا از بار اضافی و حملات بمباران توسط ایمیل جلوگیری کند و با این ترتیب می‌توانید به درستی از پهنای باند و منابع سرور استفاده کنید.

·   اجازه دادن به کاراکترهای مشخص در آدرسهای ایمیل آنطور که در استانداردهای اینترنت پذیرفته شده است: چنانچه قبلاً اشاره شد، بعضی حمله‌ها بستگی به ارسال کاراکترهای غیرقانونی در آدرسها دارد. پراکسی می‌تواند طوری تنظیم شود که بجز به کاراکترهای مناسب به بقیه اجازه عبور ندهد.

·   فیلترکردن محتوا برای جلوگیری از انواعی محتویات اجرایی: معمول‌ترین روش ارسال ویروس، کرم و اسب تروا فرستادن آنها در پیوست‌های به ظاهر بی‌ضرر ایمیل است. پراکسی SMTP می‌تواند این حمله‌ها را در یک ایمیل از طریق نام و نوع، مشخص و جلوگیری کند، تا آنها هرگز به شبکه شما وارد نشوند.

·   فیلترکردن الگوهای آدرس برای ایمیل‌های مقبول\مردود: هر ایمیل شامل آدرسی است که نشان‌دهنده منبع آن است. اگر یک آدرس مشخص شبکه شما را با تعداد بیشماری از ایمیل مورد حمله قرار دهد، پراکسی می‌تواند هر چیزی از آن آدرس اینترنتی را محدود کند. در بسیاری موارد، پراکسی می‌تواند تشخیص دهد چه موقع یک هکر آدرس خود را جعل کرده است. از آنجا که پنهان کردن آدرس بازگشت تنها دلایل خصمانه دارد، پراکسی می‌تواند طوری تنظیم شود که بطور خودکار ایمیل جعلی را مسدود کند.

·   فیلترکردن Headerهای ایمیل: ‌Headerها شامل دیتای انتقال مانند اینکه ایمیل از طرف کیست، برای کیست و غیره هستند. هکرها راه‌های زیادی برای دستکاری اطلاعات Header برای حمله به سرورهای ایمیل یافته‌اند. پراکسی مطمئن می‌شود که Headerها با پروتکل‌های اینترنتی صحیح تناسب دارند و ایمیل‌های دربردارنده headerهای تغییرشکل‌داده را مردود می‌کنند. پراکسی با اعمال سختگیرانه استانداردهای ایمیل نرمال، می‌تواند برخی حمله‌های آتی را نیز مسدود کند.

·   تغییردادن یا پنهان‌کردن نامهای دامنه و IDهای پیام‌ها: ایمیل‌هایی که شما می‌فرستید نیز مانند آنهایی که دریافت می‌کنید، دربردارنده دیتای header هستند. این دیتا بیش از آنچه شما می‌خواهید دیگران درباره امور داخلی شبکه شما بدانند، اطلاعات دربردارند. پراکسی SMTP می‌تواند بعضی از این اطلاعات را پنهان کند یا تغییر دهد تا شبکه شما اطلاعات کمی در اختیار هکرهایی قرار دهد که برای وارد شدن به شبکه شما دنبال سرنخ می‌گردند.