【51CTO.com众所周知,因为快译 *** TP如果电子邮件以纯文本的形式发送,任何人都可以通过拦截来了解电子邮件的内容。面对这种风险,我们需要通过适当的电子邮件安全协议来提高安全性。一般来说,电子邮件安全协议是一些协议架构,用于保护电子邮件免受外界干扰。因为最早的简单电子邮件传输协议(Simple Mail Transfer Protocol, *** TP)它本身并不内置任何安全机制,所以我们需要添加其他安全协议来护送邮件的收发。
现在市场上有很多可以和 *** TP合作的安全协议。接下来,我们为您总结了七项安全协议。让我们讨论它们的原理以及如何为电子邮件的传输提供安全保障。
1. 用SSL和TLS保护邮件安全
安 *** 接字层(Secure Sockets Layer,SSL)后续版本--安全传输层协议(Transport Layer Security,TLS)它是最常见的电子邮件安全协议,传输,是最常见的电子邮件安全协议。
SSL和TLS它们都属于应用层协议。在互联网环境中,它们可以用于在两个通信应用程序之间提供基本的保密性和数据完整性。在电子邮件安全的应用场景中,应用层通过提供一套安全框架(即一组规则)向同一应用层协议 *** TP“加持”,在网上保护用户的电子邮件正常通信。
值得注意的是,SSL它已经在2015年被完全抛弃,我们现在应该使用它的后续版本--TLS。TLS程序之间的 *** 通信(当然也包括 *** TP协议)提供额外的隐私保护和安全。
因此,当您的邮件客户端发送或接收消息时,它使用传输控制协议(Tran *** ission Control Protocol,使用邮件客户端TCP连接到邮件服务器),启动与邮件服务器邮件服务器“握手”通信。
在握手过程中,邮件客户端和服务器相互验证安全和加密设置,为邮件传输做好准备。握手过程的工作原理如下:
1)客户端发送邮件服务器“hello”,其中包括加密的类型、和所兼容的TLS版本。
2) 服务器端使用服务器TLS响应数字证书和自己的公钥。
3) 客户端验证发送的证书信息。
4) 客户端使用服务器生成共享密钥的公钥(Shared Secret Key,又称预主密钥Pre-Master Key),并将其发送给服务器。
5) 服务器解密以获得共享密钥。
6) 客户端和服务器端可以使用共享密钥加密要传输的数据,这是用户的电子邮件。
TLS它既重要又普遍,因为绝大多数邮件服务器和客户端都使用它来为电子邮件提供基本的加密。
Opportunistic TLS和Forced TLS
Opportunistic TLS它被用来告知电子邮件服务器,当前的电子邮件客户需要将现有的连接转换为安全的TLS连接。
有时候,您的邮件客户端将会使用纯文本的连接方式,而并非遵守上述提到的握手过程,来创建安全连接。那么Opportunistic TLS将尝试通过采用TLS握手创建安全隧道。但是,一旦握手失败,Opportunistic TLS则会退回到纯文本的连接方式,并只能发送未经加密的电子邮件。
Forced TLS这是一种协议配置,它迫使所有邮件都安全使用TLS标准。也就是说,不使用该标准的邮件根本无法发送。
2.数字证书
数字证书是一种保护电子邮件的加密工具。这里的数字证书正好用于公钥加密。当然,如果您不熟悉公钥加密,请参见“每个人都应该知道十个加密术语”第七、八部分在一篇文章中。
数字证书将确保用户使用预定义的公共密钥并发送加密的电子邮件。因此,数字证书就像护照一样,与用户的在线身份绑定。可以看出,它的主要目的是验证发起人的身份。
显然,当你有数字证书时,你的公钥可以被任何想要发送加密邮件的人访问和使用。他们使用你的公钥来加密文档,你可以在收到它后用你的私钥解密它。
此外,数字证书不限于个人使用。企业、 *** 组织、电子邮件服务器甚至任何其他数字实体都可以使用数字证书来识别和验证各种在线身份。
3.实现域名欺诈保护
发送战略框架(Sender Policy Framework,SPF)这是一种理论上可以防止域名欺骗的认证协议。它引入了额外的安全检查,使电子邮件服务器能够确定电子邮件是否来自真正的域名(例如makeuseof.com),或者有人冒用了域名。
由于域名通常可以用来定位和跟踪所有者,为了不被列入黑名单,各种黑客和垃圾邮件的发送者将试图定期渗透目标系统或欺骗目标用户。通过让常规域名发送各种恶意电子邮件,他们更容易点击或打开恶意附件。
一般来说,发送方战略框架有三个核心要素:基本框架、身份验证 *** 和传输信息的邮件头。
4. DKIM保护邮件安全
域名密钥识别邮件(Domain Keys Identified Mail,DKIM)是一种防篡改协议,可以保证您的邮件在传输过程中的安全。DKIM使用数字签名检查电子邮件是否由特定域名发送。此外,它还将检查域名是否授权发送。在这里,我们可以认为它是SPF扩展。
在实践中,我们可以很容易地使用它DKIM为域名开发各种黑名单和白名单。
5. DMARC
本重要的电子邮件安全协议称为:基于域的信息验证、报告和一致性(Domain-Based Message Authentication, Reporting & Conformance,DMARC)。DMARC是通过验证的验证系统SPF和DKIM标准,来防止源自域名的欺诈活动。DMARC虽然域名欺诈可以得到有效的遏制,但利用率并不高。
DMARC是通过检查“header from”提供欺诈保护的地址如下:
- 在SPF检查期间,提前定义“envelope from”然后将域名“header from”域名与“envelope from”域名比较。
- 将“header from”域名与DKIM在签名中发现的“d= domain name”相比对。
DMARC它可以指导邮件服务提供商如何处理任何传输的邮件。如果电子邮件不能通过SPF检查,和/或DKIM直接拒绝身份验证。DMARC它是一种技术,可以防止各种规模的域名被名称欺骗。当然,它不是“百发百中”的。
6.用S/MIME端到端加密
安全多功能互联网邮件扩展(Secure/Multipurpose Internet Mail Extensions,S/MIME)端到端加密协议支持长距离。S/MIME它将在发送电子邮件之前加密。然而,它不会加密发件人、收件人或电子邮件头部的其他部分。当然,只有相应的收件人才能解密您的电子邮件。
实现邮件客户端S/MIME需要持有相应的数字证书。如今,尽管大多数邮件客户端都能支持它S/MIME但是,在实施之前,您应该检查所选的应用程序和电子邮件服务提供商。
7.PGP和OpenPGP
优秀的保密协议(Pretty Good Privacy,PGP)是另一种长距离端到端加密协议。但是,您更有可能使用相应的开源版本--OpenPGP。
因为是开源的,所以OpenPGP它可以不断更新,你会在许多应用程序和服务中找到它。S/MIME同样,第三方仍然可以访问邮件中的元数据,如发件人和收件人信息。
您可以参考以下链接在您用以下链接OpenPGP相关安全设置:
- Windows:Gpg4Win,请参见https://www.gpg4win.org/
- macOS:GPGSuite,请参见https://gpgtools.org/
- Linux:GnuPG,请参见https://www.gnupg.org/
- Android:OpenKeychain,请参见https://www.openkeychain.org/
- iOS:请参见http://www.pgpeverywhere.com/
可见,每个系统和应用程序OpenPGP实现略有不同。根据其开源属性,不同的开发人员通过不同的平台OpenPGP协议实现了邮件加密和数据可靠保护。
标题:7 Common Email Security Protocols Explained,作者:Gavin Phillips
【51CTO转载合作网站时,请注明原译者和出处51CTO.com】
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。