【.com快译】众所周知,由于SMTP以明文方式发送邮件,任何人都可以通过截获来获知邮件内容。面对此类风险,我们需要通过适当的电子邮件安全协议来增强安全性。一般来说,邮件安全协议就是一些用来保护邮件免受外界干扰的协议框架。由于最早的简单邮件传输协议(SimpleMailTransferProtocol,简称SMTP)本身并没有任何内置的安全机制,所以我们需要添加其他的安全协议来保护邮件的收发。当今市场上有许多与SMTP配合使用的安全协议。下面,我们为大家总结了七大安全协议,让我们一起探讨一下它们的原理以及如何为邮件传输提供安全保障。1.使用SSL和TLS保护邮件安全安全套接字层(SecureSocketsLayer,SSL)及其后续版本——传输层安全(TransportLayerSecurity,TLS)是最常见的邮件安全协议,它们可以保证电子邮件的安全传输-通过Internet发送邮件。SSL和TLS都是应用层协议。在Internet环境中,它们可用于在两个通信应用程序之间提供基本的机密性和数据完整性。在邮件安全的应用场景中,应用层“加持”了同为应用层协议的SMTP,通过提供一套安全框架(也就是一套规则)来保护用户邮件在网上的正常通信。互联网。值得注意的是,从2015年开始,SSL已经被彻底弃用,我们现在普遍使用的应该是它的后继版本——TLS。TLS为程序(当然包括SMTP协议)之间的网络通信提供额外的隐私保护和安全性。所以当你的邮件客户端发送或接收邮件时,它使用传输控制协议(TransmissionControlProtocol,邮件客户端使用TCP连接邮件服务器),发起与邮件服务器的“握手”通信。在握手过程中,邮件客户端和服务器验证彼此的安全和加密设置,为邮件传输做准备。握手过程的工作原理如下:1)客户端向邮件服务器发送“hello”,包括加密类型和兼容的TLS版本。2)服务器响应服务器的TLS数字证书和自己的公钥。3)客户端验证发送的证书信息。4)客户端使用服务器的公钥生成一个共享密钥(SharedSecretKey,也称为预主密钥Pre-MasterKey),发送给服务器。5)服务器解密得到共享密钥。6)客户端和服务器可以使用共享密钥来加密要传输的数据,在本例中是用户的电子邮件。TLS既重要又无处不在,因为大多数邮件服务器和客户端使用它来为电子邮件提供基本加密。OpportunisticTLS和ForcedTLSOpportunisticTLS是一种协议命令,用于告诉邮件服务器当前邮件客户端需要将现有连接转换为安全TLS连接。有时您的邮件客户端会使用纯文本连接而不是按照上面提到的握手过程来创建安全连接。然后机会性TLS将尝试使用TLS握手创建安全隧道。但是,一旦握手过程失败,OpportunisticTLS就会退回到纯文本连接,并且只能发送未加密的电子邮件。强制TLS是一种协议配置,它强制所有电子邮件通信使用安全TLS标准。也就是说,不使用该标准的邮件根本无法发送。2.数字证书数字证书是一种加密工具,可以对电子邮件进行加密保护。这里的数字证书正好用在公钥加密的过程中。当然,如果您不熟悉公钥密码学,请参阅“每个人都应该知道的十个加密术语”的第7和第8部分。数字证书保证用户使用预定义的公钥相互发送加密的电子邮件。因此,数字证书就像护照一样,绑定到用户的在线身份。可见其主要目的是验证发送方的身份。显然,当您拥有数字证书时,任何想向您发送加密邮件的人都可以访问和使用您的公钥。他们使用您的公钥加密文档,当您收到文档时,您可以使用您的私钥对其进行解密。此外,数字证书不限于个人使用。企业、政府机构、电子邮件服务器,甚至任何其他数字实体都可以使用数字证书来在线识别和验证各种身份。3、利用发件人策略框架实现域名欺骗保护发件人策略框架(SenderPolicyFramework,SPF)是一种理论上可以防止域名欺骗的认证协议。它引入了额外的安全检查,允许邮件服务器确定邮件是否来自真实域名(例如PCPC.me),或者是否有人冒充了该域名。由于域名通常可用于定位和跟踪其所有者,因此各种黑客和垃圾邮件发送者会定期尝试渗透目标系统或欺骗目标用户,以免被列入黑名单。通过让合法域发送各种恶意电子邮件,它们使毫无戒心的用户更容易点击或打开恶意附件。总的来说,发件人策略框架具有三个核心要素:基本框架、身份验证方法和用于传递信息的专用邮件头。4.DKIM保护邮件安全域密钥识别邮件(DKIM)是一种防篡改协议,可确保您的电子邮件在传输过程中的安全。DKIM使用数字签名来检查电子邮件是否来自特定域。此外,它还会检查该域是否有权发送它。在这里,我们可以把它看作是SPF的扩展。在实践中,我们可以很方便地使用DKIM来开发各种域名黑名单和白名单。5.DMARC,一个重要的邮件安全协议,全称为:Domain-BasedMessageAuthentication,Reporting&Conformance(DMARC)。DMARC是一种验证系统,可通过验证SPF和DKIM标准来防止源自域名的欺诈活动。虽然DMARC可以有效遏制域名欺骗,但目前的采用率并不高。DMARC通过检查“headerfrom”地址来提供欺骗保护。其工作原理如下:在SPF检查时,预先定义“envelopefrom”域名,然后将“headerfrom”域名与“envelopefrom”域名进行比较。将“headerfrom”域名与DKIM签名中的“d=domainname”进行比较。DMARC可以指导邮件服务提供商如何处理任何收到的邮件。如果电子邮件未通过SPF检查和/或DKIM身份验证,则会被拒绝。DMARC是一种保护各种规模的域名免受名称欺骗的技术。当然,不是“一次一枪”。6、使用S/MIME实现端到端加密Secure/MultipurposeInternetMailExtensions(S/MIME)是一种支持远距离的端到端加密协议。S/MIME在发送电子邮件之前对其进行加密。不过,它不会加密发件人、收件人或电子邮件标头的其他部分。当然,只有预期的收件人才能解密您发送的电子邮件。邮件客户端在实现S/MIME时需要持有相应的数字证书。虽然现在大多数邮件客户端都支持S/MIME协议,但在实施之前请检查您选择的应用程序和邮件服务提供商。7.PGP和OpenPGPPrettyGoodPrivacy(PGP)是另一种远程端到端加密协议。但是,您更有可能使用它的开源对应物OpenPGP。因为它是开源的,所以OpenPGP会不断更新,您会在许多应用程序和服务中找到它。与S/MIME一样,第三方(区别于发件人和收件人)仍然可以访问元数据,例如邮件中的发件人和收件人信息。您可以参考以下链接在系统中启用OpenPGP相关安全设置:Windows:Gpg4Win,请参考https://www.gpg4win.org/macOS:GPGSuite,请参考https://gpgtools.org/Linux:GnuPG,参见https://www.gnupg.org/Android:OpenKeychain,参见https://www.openkeychain.org/iOS:参见http://www.pgpeverywhere.com/可见,每个系统都略有不同来自应用程序的OpenPGP实现。根据其开源属性,不同的开发者在不同的平台上通过OpenPGP协议实现了邮件的加密和数据的可靠保护。原标题:7个常见邮件安全协议详解,作者:GavinPhillips
