七種常見的電子郵件安全協議簡析

受新冠疫情影響,全球大部分企業開啟遠端辦公模式,企業對電子郵件的依賴也達到了前所未有的程度。與此同時,電子郵件也成為網路犯罪分子的主要攻擊目標,他們通過各種手段竊取敏感資料,並通過一系列複雜攻擊手段傳播危險的惡意軟體。

由於傳統的郵件傳輸協議(SMTP)並沒有內建安全防護元素,因此電子郵件系統需要額外的安全協議來保護系統運營安全。本文收集整理了目前常用的郵件安全協議並對其進行簡單介紹。

1. SSL/TLS應用層安全協議

安全套接層(SSL)及後續的技術傳輸層安全(TLS)都是應用層安全協議,也是兩種最常見的郵件安全協議,可以保護在網際網路上傳輸的郵件。在網際網路通訊網路中,應用層為終端使用者服務的通訊實現了標準化。在這種情況下,通過應用層提供一個安全框架(一組規則),可以與SMTP(也是一種應用層協議)共同確保郵件通訊的安全。

由於SSL目前已經逐步被最佳化,企業需要更多關注其後續技術TLS,它為計算機程序通訊提供額外的私密性和安全性,其中就包括了給郵件系統的SMTP協議提供額外安全性保護。TLS之所以非常重要,是由於絕大多數的郵件伺服器和郵件客戶端使用它為郵件提供基本級別的加密。

在具體應用中,TLS協議包括了機會型TLS和強制型TLS,其中:機會型TLS會告訴郵件伺服器,需要將現有的客戶端連接轉換成安全的TLS連接;而強制型TLS會強制所有往來的郵件都使用安全的TLS標準,否則將不會被髮送出去。

2. 數字證書

數字證書是一種公鑰加密工具,能夠通過加密來保護郵件。通過數字證書,可以讓使用者應用預定義的公共金鑰,向收件人發送經過加密的郵件,因此,數字證書有點像護照:它與使用者的線上身份綁定,其主要用途是驗證這個身份。

如果使用數字證書,其公鑰也可供任何想給該使用者發送加密郵件的人使用。他們可以使用使用者的公鑰來加密文件,而使用者可以用私鑰來解密。數字證書並不僅限於個人使用。企業、政府組織、郵件伺服器及幾乎數字實體都可以擁有數字證書,以確認和驗證郵件使用者的線上身份。

3. SPF域名驗證協議

域名系統是網際網路的重要基礎,代表了某個實體的線上地址。發送方策略框架(SPF)是一種可以防範域名欺詐的驗證協議。SPF引入了額外的安全檢查,使郵件伺服器能夠確定郵件是否來自真正的域名或是否有人冒用該域名來隱藏真實身份。

由於域名可用來追蹤確定位置和所有者,因此駭客和垃圾郵件發送者在企圖滲入系統或欺騙使用者時經常會隱藏其域名。如果不法分子讓惡意郵件冒充是正規域名發來的郵件,毫無戒備的使用者更容易點選或打開惡意的附件。發送方策略框架有三大驗證要素:框架、驗證方法以及傳輸資訊的專用郵件標頭。

4. DKIM郵件防篡改協議

域金鑰識別郵件(DKIM)是一種防篡改的協議,可以確保郵件在傳輸過程中的內容完整性和安全性。DKIM實際上是SPF的一種擴展,它使用數字簽名來檢查郵件是否由特定域發送的。此外,它可以檢查該域是否授權郵件發送。在實際操作中,DKIM讓使用者更容易創建域黑名單和白名單。

5. DMARC身份驗證協議

電子郵件安全的重要一環是基於域的訊息驗證、報告和一致性比對。DMARC協議正是一種身份驗證系統,可用於驗證SPF和DKIM標準,以防止源自域名的欺詐活動。DMARC是對付域名欺詐的一種有效手段,但目前的實際採用率並不高,這也意味著未來的郵件欺詐態勢仍可能會進一步惡化加劇。

DMARC通過阻止有人欺詐「header from」地址來提供防護,它可以明確指令郵件服務提供商如何安全處理收到的郵件。如果某個郵件無法通過SPF檢查或DKIM驗證,該郵件將被拒絕。儘管DMARC不能做到萬無一失,但總體上是一種能夠讓各種域名系統免受欺詐的協議技術。

6. S/MIME端到端加密協議

安全/多功能網際網路郵件擴展(S/MIME)是一種歷史悠久的端到端加密協議。S/MIME在郵件發送之前對其進行加密,但並不對發件人、收件人或郵件標頭的其他部分進行加密。只有收件人才能解密郵件。

S/MIME由郵件客戶端實施,但需要數字證書。大多數現代郵件客戶端都可以支持S/MIME協議,不過你需要確認支持所選定的應用程序和郵件服務提供商。

7. PGP/OpenPGP端到端加密協議

Pretty Good Privacy(PGP)是另一種廣泛應用的端到端加密協議。然而,我們更有可能遇到並使用另一個版本OpenPGP,這是實現PGP加密協議的開源版本。它經常更新,並用於眾多現代應用程序和服務中。與S/MIME一樣,第三方使用者仍然可以訪問郵件元資料,比如郵件發件人和收件人資訊。

使用者可以在各種作業系統上將OpenPGP添加到郵件安全系統,包括Windows、macOS、Linux、Android以及iOS等。在不同版本的系統上實現OpenPGP的方式略有不同,但是它們都是可靠的加密程序,可以將郵件資料放心地交由它們。OpenPGP可以說是目前跨平臺添加加密機制的最簡單方法之一。

參考連結:

https://www.makeuseof.com/tag/common-email-security-protocols-explained/

相關文章

微軟全力擁抱 Java !

微軟全力擁抱 Java !

作者 | 蘇宓 雖然一直以來,微軟的不少產品在很多層面都有使用 Java 語言,但近日其官網上的一則「Microsoft is commit...