电子邮件安全协议是保护您的电子邮件免受外部干扰的结构。您的电子邮件需要额外的安全协议是有充分理由的。简单邮件传输协议 (SMTP) 没有内置安全性。令人震惊,对吧?

许多安全协议都与 SMTP 一起使用。以下是这些协议的内容以及它们如何保护您的电子邮件。

1. SSL/TLS 如何保证电子邮件安全

安全套接层 (SSL) 及其继任者传输层安全 (TLS) 是最常见的电子邮件安全协议,可在您的电子邮件在 Internet 上传输时提供保护。

SSL 和 TLS 是应用层协议。在互联网通信网络中,应用层对最终用户服务的通信进行标准化。在这种情况下,应用层提供了一个安全框架(一组规则),它与 SMTP(也是一个应用层协议)一起使用来保护您的电子邮件通信。

从这里开始,本文的这一部分讨论了 TLS,因为它的前身 SSL 在 2015 年被完全弃用。

TLS 为通信计算机程序提供了额外的隐私和安全性。在这种情况下,TLS 为 SMTP 提供安全性。

当您的电子邮件客户端发送和接收消息时,它使用传输控制协议(TCP—传输层的一部分,您的电子邮件客户端使用它连接到电子邮件服务器)与电子邮件服务器启动“握手”。

握手是电子邮件客户端和电子邮件服务器验证安全和加密设置并开始传输电子邮件本身的一系列步骤。在基本层面上,握手是这样工作的:

  1. 客户端向电子邮件服务器发送“hello”、加密类型和兼容的 TLS 版本。
  2. 服务器使用服务器 TLS 数字证书和服务器公共加密密钥进行响应。
  3. 客户端验证证书信息。
  4. 客户端使用服务器公钥生成共享密钥(也称为预主密钥)并将其发送到服务器。
  5. 服务器解密秘密共享密钥。
  6. 客户端和服务器现在可以使用秘密共享密钥来加密数据传输,在这种情况下是您的电子邮件。

TLS 非常重要,因为绝大多数电子邮件服务器和电子邮件客户端都使用它为您的电子邮件提供基本级别的加密。

Opportunistic TLS 和 Forced TLS

Opportunistic TLS 是一个协议命令,它告诉电子邮件服务器电子邮件客户端想要将现有连接转换为安全的 TLS 连接。

有时,您的电子邮件客户端将使用纯文本连接,而不是遵循上述握手过程来创建安全连接。Opportunistic TLS 将尝试启动 TLS 握手以创建隧道。但是,如果握手过程失败,Opportunistic TLS 将回退到纯文本连接并在不加密的情况下发送电子邮件。

Forced TLS 是一种协议配置,它强制所有电子邮件事务使用安全 TLS 标准。如果电子邮件无法从电子邮件客户端传输到电子邮件服务器,然后再传输到电子邮件收件人,则消息将不会发送

2. 数字证书

数字证书是一种加密工具,可用于以加密方式保护电子邮件。数字证书是一种公钥加密。

该证书允许人们使用预定义的公共加密密钥向您发送加密的电子邮件,以及为他人加密您的外发邮件。因此,您的数字证书有点像护照,因为它与您的在线身份绑定,其主要用途是验证该身份。

当您拥有数字证书时,任何想要向您发送加密邮件的人都可以使用您的公钥。他们用你的公钥加密他们的文件,你用你的私钥解密。

数字证书不限于个人。企业、政府组织、电子邮件服务器和几乎任何其他数字实体都可以拥有确认和验证在线身份的数字证书。

3. 使用发件人策略框架的域名欺骗保护

发件人策略框架 (SPF) 是一种身份验证协议,理论上可以防止域名欺骗。

SPF 引入了额外的安全检查,使邮件服务器能够确定邮件是否来自域名,或者是否有人使用域名来掩盖其真实身份。域名是互联网的一部分,属于单一名称。例如,“ linuxmi .com ”是一个域名

黑客和垃圾邮件发送者在试图渗透系统或欺骗用户时经常掩盖他们的域,因为可以通过位置和所有者追踪域,或者至少将其列入黑名单。通过将恶意电子邮件伪装成健康的工作域,他们更有可能让毫无戒心的用户点击或打开恶意附件

发件人策略框架具有三个核心元素:框架、身份验证方法和传达信息的专用电子邮件标头。

4. DKIM 如何确保电子邮件安全

DomainKeys Identified Mail (DKIM) 是一种防篡改协议,可确保您的邮件在传输过程中保持安全。DKIM 使用数字签名来检查电子邮件是否由特定域发送。此外,它检查域是否授权发送电子邮件。在这方面,它是 SPF 的扩展。

在实践中,DKIM 使开发域名黑名单和白名单变得更加容易。

5. 什么是 DMARC?

电子邮件安全协议锁的最后一个关键是基于域名的消息身份验证、报告和一致性 (DMARC)。DMARC 是一种验证系统,可验证 SPF 和 DKIM 标准,以防止源自域名的欺诈活动。DMARC 是打击域欺骗的关键功能。然而,相对较低的采用率意味着欺骗仍然猖獗。

DMARC 的工作原理是防止“标头来自”地址的欺骗。它通过以下方式做到这一点:

  • 将“header from”域名与“envelope from”域名匹配。“信封来自”域是在 SPF 检查期间定义的。
  • 将“header from”域名与 DKIM 签名中的“d= domain name”相匹配。

DMARC 指导电子邮件提供商如何处理任何传入的电子邮件。如果电子邮件未能通过 SPF 检查和/或 DKIM 身份验证,则会被拒绝。DMARC 是一种允许各种规模的域保护其名称免受欺骗的技术。然而,这并非万无一失。

6. 使用 S/MIME 的端到端加密

安全/多用途 Internet 邮件扩展 (S/MIME) 是一种长期存在的端到端加密协议。S/MIME 在发送电子邮件之前会对其进行加密——但不会对发件人、收件人或电子邮件标头的其他部分进行加密。只有收件人才能解密您的消息。

S/MIME 由您的电子邮件客户端实施,但需要数字证书。大多数现代电子邮件客户端都支持 S/MIME,尽管您必须检查您的首选应用程序和电子邮件提供商的特定支持。

7. 什么是 PGP/OpenPGP?

相当好的隐私(PGP)是另一个长期存在的端到端加密协议。但是,您更有可能遇到并使用它的开源对应物 OpenPGP。

OpenPGP 是 PGP 加密协议的开源实现。它会频繁更新,您会在众多现代应用程序和服务中找到它。与 S/MIME 一样,第三方仍然可以访问电子邮件元数据,例如电子邮件发件人和收件人信息。

您可以使用以下应用程序之一将 OpenPGP 添加到您的电子邮件安全设置中:

  • Windows : Windows 用户应该检查Gpg4Win
  • macOS:macOS 用户应该查看GPGSuite
  • Linux:Linux 用户应该看到GnuPG
  • Android : Android 用户应该查看OpenKeychain
  • iOS:iOS 用户?到处看看 PGP

OpenPGP 在每个程序中的实现略有不同。每个程序都有不同的开发人员使用 OpenPGP 协议来加密您的电子邮件。但是,它们都是可靠的加密程序,您可以信任您的数据。

OpenPGP 也是您可以在各种平台上为您的生活添加加密的最简单方法之一。

为什么电子邮件安全协议很重要?

电子邮件安全协议非常重要,因为它们为您的电子邮件增加了安全性。就其本身而言,您的电子邮件很容易受到攻击。SMTP 没有内置的安全性,并且以纯文本形式发送电子邮件(即,没有任何保护,任何拦截它的人都可以读取)是有风险的,尤其是在它包含敏感信息的情况下。

发表评论