We use cookies to ensure that we give you the best experience on our website.

電子郵件安全協議 - 它們是什麼以及它們的作用是什麼?

電子郵件安全協議非常重要,因為它們增加了數字通信的安全性。如果沒有這種額外的安全措施,任何人都可以攔截您的電子郵件內容。

電子郵件安全協議旨在保護您通過互聯網在網絡郵件服務之間傳遞的通信。在本博客中,我們將了解每種常用的安全協議,並解釋每種協議如何保護您的電子郵件安全。

此外,我們將重點介紹如果您想要最安全的安全協議,您應該尋求採用哪種安全協議對您的電子郵件進行端到端加密

為什麼不看看我們的電子郵件安全有關電子郵件安全不同方面的更多信息的指南。

傳輸協議 – 什麼是 SMTP?

您可能會假設簡單郵件傳輸協議 (SMTP) 是一種電子郵件安全協議。它不是。

SMTP 是一種用於電子郵件傳輸的通信協議,不包含任何本機安全性。因此,僅使用 SMTP 會使您的電子郵件完全容易受到竊聽者的攻擊。

因此,如果您希望以電子方式進行通信,而又不想讓您的 ISP 和任何攔截電子郵件的其他人輕鬆訪問電子郵件內容,那麼在 SMTP 之上使用某種電子郵件安全協議至關重要。

好消息是,有多種安全協議可在 SMTP 之上工作,因此您可以發送電子郵件,而無需將它們向全世界開放。

電子郵件安全協議

傳輸層安全

傳輸層安全 (TLS) 是用於保護通過互聯網傳輸的電子郵件的最常用協議。它是一個應用程序層協議,在 SMTP 之上工作,為您的電子郵件提供安全性。它是 Web 客戶端和服務器用於加密電子郵件的主要協議。

TLS 通過提供一組規則(稱為安全框架)來保護您的 SMTP 消息。 TLS 由兩層組成:

  1. TLS 握手層(啟動並驗證連接)。
  2. TLS 記錄層(使用握手期間創建的密鑰保護應用程序數據)。

下面,我們簡要概述了該過程的工作原理:

傳輸控制協議(傳輸控制協議)用於在電子郵件客戶端和電子郵件服務器之間建立安全握手。這將驗證這兩個端點,以便安全地發送消息的過程可以開始。

一旦握手發生,電子郵件服務器就會通過將 TLS 數字證書和服務器的公共加密密鑰發送回電子郵件客戶端來進行響應。

此時,客戶端驗證證書並使用公鑰生成共享密鑰(SSK),並將其發送回服務器。然後,服務器解密 SSK,允許客戶端和服務器開始傳輸您的私人電子郵件。

機會 TLS 與強制 TLS

  • 機會性 TLS允許電子郵件客戶端從不安全的純文本連接動態升級到加密連接。 STARTTLS 是電子郵件客戶端用來向電子郵件服務器請求此升級連接的電子郵件協議命令。在此設置中,如果命令失敗,電子郵件仍將在不加密的情況下發送。
  • 強制 TLS是一種協議配置,堅持在發送電子郵件之前建立 TLS 連接。在這種情況下,如果電子郵件客戶端和服務器之間無法建立加密隧道,則電子郵件將不會發送給收件人。

數字證書

數字證書是一種公鑰加密技術,可用於對電子郵件進行簽名和加密以安全發送。數字證書的工作原理是允許人們使用預定義的公鑰相互通信數據。

數字證書直接安裝到您的計算機上,以便在發送加密電子數據(在本例中為電子郵件)期間驗證您的計算機的身份。

當您擁有數字證書時,任何想要向您發送電子郵件的人都可以使用公鑰。當您收到電子郵件時,您可以使用您的私鑰對其進行解密。這種類型的加密稱為非對稱加密。

S/MIME

安全/多用途互聯網郵件擴展 (S/MIME) 是一種常用協議,用於發送具有端到端加密的安全電子郵件。它受到絕大多數電子郵件服務和客戶的支持。

S/MIME 利用稱為數字證書的簽名來驗證和發送除授權收件人之外的任何人都無法讀取的加密電子郵件。這使得電子郵件在傳輸過程中不會被竊聽。

S/MIME 始終會在通過 Internet 發送電子郵件消息之前對其內容進行加密。但是,標頭中包含的元數據(例如有關發件人、收件人以及電子郵件標頭的任何其他部分的詳細信息)仍然未加密。

這導致元數據可能被 ISP、電子郵件提供商或政府收集。如果您想阻止這一層跟踪,您將需要訂閱電子郵件服務,例如圖塔諾塔

良好的隱私 (PGP) 和 OpenPGP

PGP 及其更常用的開源變體 OpenPGP 是一種加密協議,用於發送高度安全的端到端加密 (E2EE) 電子郵件。

它被廣泛認為是最安全的電子郵件 E2EE,並且是發送完全私密的電子郵件的最佳方式,除了目標收件人之外,任何人都無法訪問這些電子郵件。

OpenPGP 可用於多種現代電子郵件客戶端和服務,甚至可以通過使用 Mailvelope 或 FlowCrypt 等擴展在本身不提供 OpenPGP 的電子郵件客戶端中使用。

由於需要創建個人 OpenPGP 密鑰,設置和使用 OpenPGP 有時被初學者認為是技術性的 對(這種非對稱加密所需的公鑰和私鑰)。然而,創建此密鑰對並存儲/共享公鑰實際上是獲得更好的電子郵件安全性的最簡單方法之一。

與受 S/MIME 保護的電子郵件一樣,值得注意的是,OpenPGP 加密電子郵件仍然允許 ISP、電子郵件提供商和政府機構等第三方窺探標頭中包含的電子郵件元數據(例如發件人和收件人的身份)。

發件人策略框架 (SPF)

發件人策略框架 (SPF) 是一種電子郵件身份驗證方法,用於防止在電子郵件傳輸過程中偽造發件人地址。

這可以阻止垃圾郵件發送者發送看似來自其他人的域的郵件,並有助於保護人們免受網絡釣魚和惡意附件的侵害(當網絡犯罪分子可以欺騙合法域時,這不可避免地會更加成功)。

發件人策略框架具有三個核心組件:

  • 框架
  • 一種認證方法
  • 電子郵件標頭 – 用於傳達信息

發送電子郵件時,可以驗證標頭(“信封發件人”)中的 DNS 記錄,以檢測原始 IP 地址是否被授權發送電子郵件。如果不是,電子郵件客戶端就會知道將電子郵件視為可疑並拒絕它。

域名密鑰識別郵件 (DKIM)

DKIM 是另一種用於檢測偽造發件人地址的身份驗證方法。與 SPF 一樣,DKIM 允許電子郵件服務器驗證電子郵件的發件人是否確實是他們聲稱的身份。這使得 DKIM 能夠防止垃圾郵件和網絡釣魚。

DKIM 的工作原理是為電子郵件提供數字簽名,並對其進行驗證以確保其來自正確的域。 DKIM 還有助於檢查發件人是否有權從相關域發送電子郵件(以防止欺騙)。

DMARC

基於域的消息身份驗證、報告和一致性 (DMARC) 是一種在 DKIM 和 SPF 之上工作的電子郵件身份驗證協議。它還旨在使用戶能夠保護其域免受電子郵件欺騙。

僅當已設置 SPF 和 DKIM 時,DMARC 才能用於身份驗證。正確實施後,DMARC 分析器工具可用於訪問 DMARC 報告,其中包含有關誰從域發送電子郵件的信息。

DMARC 通過將“來自”域名的“標頭”與先前 SPF 檢查期間定義的“來自”域名的“信封”進行比較來實現此目的。結合使用這三個安全元素可以提供更可靠的保護,防止從您的域發送未經授權的電子郵件。

為什麼電子郵件安全協議很重要?

任何不利用電子郵件安全協議發送電子郵件的人都會暴露其數據。因此,他們的電子郵件可能會被攔截,其中包含的敏感數據可能會被竊取。

除了保護電子郵件中包含的數據之外,還存在安全協議來防止網絡犯罪分子發送看似來自您的域的電子郵件。

為確保不會發生這種情況,我們建議您為個人電子郵件域設置 SPF、DKIM 和 DMARK 身份驗證。而且,如果您希望消息具有強大的 E2EE,我們建議選擇安全電子郵件服務提供 OpenPGP 兼容性。

Related articles