受新冠疫情影響,全球大部分企業(yè)開啟遠(yuǎn)程辦公模式,企業(yè)對(duì)電子郵件的依賴也達(dá)到了前所未有的程度,。與此同時(shí),,電子郵件也成為網(wǎng)絡(luò)犯罪分子的主要攻擊目標(biāo),他們通過各種手段竊取敏感數(shù)據(jù),,并通過一系列復(fù)雜攻擊手段傳播危險(xiǎn)的惡意軟件,。
由于傳統(tǒng)的郵件傳輸協(xié)議(SMTP)并沒有內(nèi)置安全防護(hù)元素,因此電子郵件系統(tǒng)需要額外的安全協(xié)議來保護(hù)系統(tǒng)運(yùn)營(yíng)安全,。本文收集整理了目前常用的郵件安全協(xié)議并對(duì)其進(jìn)行簡(jiǎn)單介紹,。
1. SSL/TLS應(yīng)用層安全協(xié)議
安全套接層(SSL)及后續(xù)的技術(shù)傳輸層安全(TLS)都是應(yīng)用層安全協(xié)議,也是兩種最常見的郵件安全協(xié)議,,可以保護(hù)在互聯(lián)網(wǎng)上傳輸?shù)泥]件,。在互聯(lián)網(wǎng)通信網(wǎng)絡(luò)中,應(yīng)用層為終端用戶服務(wù)的通信實(shí)現(xiàn)了標(biāo)準(zhǔn)化,。在這種情況下,,通過應(yīng)用層提供一個(gè)安全框架(一組規(guī)則),可以與SMTP(也是一種應(yīng)用層協(xié)議)共同確保郵件通信的安全,。
由于SSL目前已經(jīng)逐步被優(yōu)化,,企業(yè)需要更多關(guān)注其后續(xù)技術(shù)TLS,它為計(jì)算機(jī)程序通信提供額外的私密性和安全性,,其中就包括了給郵件系統(tǒng)的SMTP協(xié)議提供額外安全性保護(hù),。TLS之所以非常重要,是由于絕大多數(shù)的郵件服務(wù)器和郵件客戶端使用它為郵件提供基本級(jí)別的加密,。
在具體應(yīng)用中,,TLS協(xié)議包括了機(jī)會(huì)型TLS和強(qiáng)制型TLS,,其中:機(jī)會(huì)型TLS會(huì)告訴郵件服務(wù)器,需要將現(xiàn)有的客戶端連接轉(zhuǎn)換成安全的TLS連接,;而強(qiáng)制型TLS會(huì)強(qiáng)制所有往來的郵件都使用安全的TLS標(biāo)準(zhǔn),,否則將不會(huì)被發(fā)送出去。
2. 數(shù)字證書
數(shù)字證書是一種公鑰加密工具,,能夠通過加密來保護(hù)郵件,。通過數(shù)字證書,可以讓使用者應(yīng)用預(yù)定義的公共密鑰,,向收件人發(fā)送經(jīng)過加密的郵件,,因此,數(shù)字證書有點(diǎn)像護(hù)照:它與用戶的在線身份綁定,,其主要用途是驗(yàn)證這個(gè)身份,。
如果使用數(shù)字證書,其公鑰也可供任何想給該用戶發(fā)送加密郵件的人使用,。他們可以使用用戶的公鑰來加密文檔,,而用戶可以用私鑰來解密。數(shù)字證書并不僅限于個(gè)人使用,。企業(yè),、政府組織、郵件服務(wù)器及幾乎數(shù)字實(shí)體都可以擁有數(shù)字證書,,以確認(rèn)和驗(yàn)證郵件用戶的在線身份,。
3. SPF域名驗(yàn)證協(xié)議
域名系統(tǒng)是互聯(lián)網(wǎng)的重要基礎(chǔ),代表了某個(gè)實(shí)體的線上地址,。發(fā)送方策略框架(SPF)是一種可以防范域名欺詐的驗(yàn)證協(xié)議,。SPF引入了額外的安全檢查,使郵件服務(wù)器能夠確定郵件是否來自真正的域名或是否有人冒用該域名來隱藏真實(shí)身份,。
由于域名可用來追蹤確定位置和所有者,,因此黑客和垃圾郵件發(fā)送者在企圖滲入系統(tǒng)或欺騙用戶時(shí)經(jīng)常會(huì)隱藏其域名。如果不法分子讓惡意郵件冒充是正規(guī)域名發(fā)來的郵件,,毫無戒備的用戶更容易點(diǎn)擊或打開惡意的附件,。發(fā)送方策略框架有三大驗(yàn)證要素:框架、驗(yàn)證方法以及傳輸信息的專用郵件標(biāo)頭,。
4. DKIM郵件防篡改協(xié)議
域密鑰識(shí)別郵件(DKIM)是一種防篡改的協(xié)議,,可以確保郵件在傳輸過程中的內(nèi)容完整性和安全性。DKIM實(shí)際上是SPF的一種擴(kuò)展,,它使用數(shù)字簽名來檢查郵件是否由特定域發(fā)送的,。此外,它可以檢查該域是否授權(quán)郵件發(fā)送,。在實(shí)際操作中,,DKIM讓用戶更容易創(chuàng)建域黑名單和白名單,。
5. DMARC身份驗(yàn)證協(xié)議
電子郵件安全的重要一環(huán)是基于域的消息驗(yàn)證、報(bào)告和一致性比對(duì),。DMARC協(xié)議正是一種身份驗(yàn)證系統(tǒng),,可用于驗(yàn)證SPF和DKIM標(biāo)準(zhǔn),以防止源自域名的欺詐活動(dòng),。DMARC是對(duì)付域名欺詐的一種有效手段,,但目前的實(shí)際采用率并不高,,這也意味著未來的郵件欺詐態(tài)勢(shì)仍可能會(huì)進(jìn)一步惡化加劇,。
DMARC通過阻止有人欺詐“header from”地址來提供防護(hù),它可以明確指令郵件服務(wù)提供商如何安全處理收到的郵件,。如果某個(gè)郵件無法通過SPF檢查或DKIM驗(yàn)證,,該郵件將被拒絕。盡管DMARC不能做到萬無一失,,但總體上是一種能夠讓各種域名系統(tǒng)免受欺詐的協(xié)議技術(shù),。
6. S/MIME端到端加密協(xié)議
安全/多功能互聯(lián)網(wǎng)郵件擴(kuò)展(S/MIME)是一種歷史悠久的端到端加密協(xié)議。S/MIME在郵件發(fā)送之前對(duì)其進(jìn)行加密,,但并不對(duì)發(fā)件人,、收件人或郵件標(biāo)頭的其他部分進(jìn)行加密。只有收件人才能解密郵件,。
S/MIME由郵件客戶端實(shí)施,,但需要數(shù)字證書。大多數(shù)現(xiàn)代郵件客戶端都可以支持S/MIME協(xié)議,,不過你需要確認(rèn)支持所選定的應(yīng)用程序和郵件服務(wù)提供商,。
7. PGP/OpenPGP端到端加密協(xié)議
Pretty Good Privacy(PGP)是另一種廣泛應(yīng)用的端到端加密協(xié)議。然而,,我們更有可能遇到并使用另一個(gè)版本OpenPGP,,這是實(shí)現(xiàn)PGP加密協(xié)議的開源版本。它經(jīng)常更新,,并用于眾多現(xiàn)代應(yīng)用程序和服務(wù)中,。與S/MIME一樣,第三方用戶仍然可以訪問郵件元數(shù)據(jù),,比如郵件發(fā)件人和收件人信息,。
用戶可以在各種操作系統(tǒng)上將OpenPGP添加到郵件安全系統(tǒng),包括Windows,、macOS,、Linux、Android以及iOS等,。在不同版本的系統(tǒng)上實(shí)現(xiàn)OpenPGP的方式略有不同,,但是它們都是可靠的加密程序,,可以將郵件數(shù)據(jù)放心地交由它們。OpenPGP可以說是目前跨平臺(tái)添加加密機(jī)制的最簡(jiǎn)單方法之一,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<