【51CTO.com 速译】众所周知,由于 SMTP 以纯文本形式发送邮件,任何人都可以截获邮件以了解邮件内容。面对这样的风险,我们需要通过适当的电子邮件安全协议来增强安全性。通常,电子邮件安全协议是一些用于保护电子邮件免受外部干扰的协议架构。由于最早的简单邮件传输协议(SMTP)本身并没有任何内置的安全机制,我们需要添加其他的安全协议来为邮件的收发保驾护航。
当今市场上有许多与 SMTP 配合使用的安全协议。下面,我们为您总结了七种安全协议,让我们讨论它们的原理以及如何为电子邮件的传输提供安全性。
1.使用 SSL 和 TLS 保护电子邮件
安全套接层 (SSL) 及其后继者 - 传输层安全层安全 (TLS) 是最常见的电子邮件安全协议,它们可以确保电子邮件在 Internet 上的安全传输。
SSL 和 TLS 都是应用层协议。在 Internet 的上下文中,它们可用于在两个通信应用程序之间提供基本的隐私和数据完整性。在邮件安全的应用场景中,应用层提供了一套安全框架(即:一套规则)来“加持”属于应用层协议的SMTP,保护用户邮件在互联网上的正常通信.
值得注意的是,自 2015 年以来 SSL 已完全弃用,我们现在应该使用其后续版本-TLS。 TLS 为程序之间的网络通信(当然还有 SMTP 协议)提供了额外的隐私和安全性。
所以当您的邮件客户端发送或接收消息时,它使用传输控制协议(邮件客户端使用 TCP 连接到邮件服务器)来启动与邮件服务器的通信。 “握手”交流。
在握手期间,邮件客户端和服务器相互验证安全和加密设置,为邮件传输做准备。握手过程如下:
1) 客户端向邮件服务器发送一个“hello”,其中包括加密的类型,以及它兼容的 TLS 版本。
2) 服务器以服务器的 TLS 数字证书和自己的公钥进行响应。
3) 客户端验证发送的证书信息。
4)客户端使用服务器的公钥生成共享密钥(也称为Pre-Master Key)并发送给服务器。
5)服务器解密得到共享密钥。
6) 客户端和服务器可以使用共享密钥来加密要传输的数据,在这种情况下是用户的电子邮件。
TLS 既重要又无处不在,因为绝大多数邮件服务器和客户端都使用它来为电子邮件提供基本加密。
机会 TLS 和强制 TLS
Opportunistic TLS 是一种协议命令,用于告诉邮件服务器当前邮件客户端需要将现有连接转换为安全 TLS 连接。
有时,您的邮件客户端将使用纯文本连接,而不是遵循上述握手过程来创建安全连接。然后 Opportunistic TLS 将尝试通过使用 TLS 握手来创建安全隧道。但是,如果握手过程失败,Opportunistic TLS 会退回到纯文本连接,并且只能发送未加密的电子邮件。
强制 TLS 是一种协议配置,它强制对所有电子邮件交换使用安全 TLS 标准。即不使用此标准的邮件根本无法发送。
2.数字证书
数字证书是一种以加密方式保护电子邮件的加密工具。这里的数字证书恰好是在公钥加密的过程中使用的。当然,如果您不熟悉公钥密码学,请参阅“人人都应该知道的十个加密术语”中的 7、8 部分。
数字证书保证用户使用预定义的公钥相互发送加密电子邮件。因此,数字证书就像护照一样,与用户的在线身份相关联。可见其主要目的是验证发送者的身份。
显然邮件安全策略有哪些,当您拥有数字证书时,任何想要向您发送加密邮件的人都可以访问和使用您的公钥。他们使用您的公钥加密文档,当您收到它时,您可以使用您的私钥对其进行解密。
此外,数字证书不限于个人使用。企业、政府机构、电子邮件服务器,甚至任何其他数字实体都可以使用数字证书来识别和验证各种在线身份。
3.使用发件人策略框架的域名欺骗保护
Sender Policy Framework (SPF) 是一种理论上可以防止域名欺骗的身份验证协议。它引入了额外的安全检查,允许邮件服务器确定邮件是否来自真实域名(例如 makeuseof.com),或者是否有人在欺骗该域名。
由于域名通常可用于定位和跟踪所有者,因此各种黑客和垃圾邮件发送者经常尝试渗透目标系统邮件安全策略有哪些,或进行欺骗,以免被列入黑名单的目标用户。通过让合法域发送各种恶意电子邮件,它们使毫无戒心的用户更容易点击或打开恶意附件。
一般来说,发送者策略框架具有三个核心元素:基本框架、身份验证方法和专用于传递信息的消息头。
4. DKIM 保护电子邮件
域名密钥识别邮件 (DKIM) 是一种防篡改协议,可在传输过程中保护您的电子邮件安全。 DKIM 使用数字签名来检查电子邮件是否来自特定域名。另外,发送前会检查是否确实得到了域名的授权。在这里,我们可以将其视为 SPF 的扩展。
在实践中,我们可以很方便地使用DKIM为域名制定各种黑名单和白名单。
5.DMARC
这个重要的电子邮件安全协议称为:基于域的消息身份验证、报告和一致性一致性、DMARC)。 DMARC 是一个验证系统,通过验证 SPF 和 DKIM 标准来防止源自域名的欺诈活动。虽然 DMARC 可以有效遏制域名欺骗,但目前的采用率并不高。
DMARC 通过检查“header from”的地址来提供欺骗保护。以下是它的工作原理:
DMARC 指示邮件服务提供商如何处理任何传入的邮件。如果电子邮件未能通过 SPF 检查和/或 DKIM 身份验证,它将被彻底拒绝。 DMARC 是一种保护各种规模的域免受名称欺骗的技术。当然不是“百次点击”。
6.使用 S/MIME 的端到端加密
安全/多用途 Internet 邮件扩展 (S/MIME) 是一种支持长距离端到端加密协议。 S/MIME 在发送邮件之前对其进行加密。但是,它不会加密发件人、收件人或电子邮件标头的其他部分。当然,只有相应的收件人才能解密你发送的邮件。
邮件客户端在实现 S/MIME 时需要持有相应的数字证书。尽管当今大多数邮件客户端都能够支持 S/MIME 协议,但您应该在实施之前咨询您选择的应用程序和邮件服务提供商。
7.PGP 和 OpenPGP
Pretty Good Privacy (PGP) 是另一种长距离端到端加密协议。但是,您更有可能使用它的开源对应物 OpenPGP。
因为它是开源的,所以 OpenPGP 会不断更新,您会在许多应用程序和服务中找到它。与 S/MIME 一样,第三方(不同于发送者和接收者)仍然可以访问元数据,例如消息中的发送者和接收者信息。
您可以参考以下链接在自己的系统中启用OpenPGP相关的安全设置:
可以看出,每个系统和应用程序对 OpenPGP 的实现都略有不同。根据其开源特性,不同的开发者在不同的平台上通过OpenPGP协议实现了电子邮件的加密和数据的可靠保护。
原标题:7 种常见的电子邮件安全协议解释,作者:Gavin Phillips
【51CTO翻译,请注明原文翻译者,出处为51CTO.com】
