受新冠疫情影响,全球大部分企业开启远程办公模式,企业对电子邮件的依赖也达到了前所未有的程度。与此同时,电子邮件也成为网络犯罪分子的主要攻击目标,他们通过各种手段窃取敏感数据,并通过一系列复杂攻击手段传播危险的恶意软件。
由于传统的邮件传输协议(SMTP)并没有内置安全防护元素,因此电子邮件系统需要额外的安全协议来保护系统运营安全。本文收集整理了目前常用的邮件安全协议并对其进行简单介绍。
1. SSL/TLS应用层安全协议
安全套接层(SSL)及后续的技术传输层安全(TLS)都是应用层安全协议,也是两种最常见的邮件安全协议,可以保护在互联网上传输的邮件。在互联网通信网络中,应用层为终端用户服务的通信实现了标准化。在这种情况下,通过应用层提供一个安全框架(一组规则),可以与SMTP(也是一种应用层协议)共同确保邮件通信的安全。
由于SSL目前已经逐步被优化,企业需要更多关注其后续技术TLS,它为计算机程序通信提供额外的私密性和安全性,其中就包括了给邮件系统的SMTP协议提供额外安全性保护。TLS之所以非常重要,是由于绝大多数的邮件服务器和邮件客户端使用它为邮件提供基本级别的加密。
在具体应用中,TLS协议包括了机会型TLS和强制型TLS,其中:机会型TLS会告诉邮件服务器,需要将现有的客户端连接转换成安全的TLS连接;而强制型TLS会强制所有往来的邮件都使用安全的TLS标准,否则将不会被发送出去。
2. 数字证书
数字证书是一种公钥加密工具,能够通过加密来保护邮件。通过数字证书,可以让使用者应用预定义的公共密钥,向收件人发送经过加密的邮件,因此,数字证书有点像护照:它与用户的在线身份绑定,其主要用途是验证这个身份。
如果使用数字证书,其公钥也可供任何想给该用户发送加密邮件的人使用。他们可以使用用户的公钥来加密文档,而用户可以用私钥来解密。数字证书并不仅限于个人使用。企业、政府组织、邮件服务器以及几乎任何一种数字实体都可以拥有数字证书,以确认和验证邮件用户的在线身份。
3. SPF域名验证协议
域名系统是互联网的重要基础,代表了某个实体的线上地址。发送方策略框架(SPF)是一种可以防范域名欺诈的验证协议。SPF引入了额外的安全检查,使邮件服务器能够确定邮件是否来自真正的域名或是否有人冒用该域名来隐藏真实身份。
由于域名可用来追踪确定位置和所有者,因此黑客和垃圾邮件发送者在企图渗入系统或欺骗用户时经常会隐藏其域名。如果不法分子让恶意邮件冒充是正规域名发来的邮件,毫无戒备的用户更容易点击或打开恶意的附件。发送方策略框架有三大验证要素:框架、验证方法以及传输信息的专用邮件标头。
4. DKIM邮件防篡改协议
域密钥识别邮件(DKIM)是一种防篡改的协议,可以确保邮件在传输过程中的内容完整性和安全性。DKIM实际上是SPF的一种扩展,它使用数字签名来检查邮件是否由特定域发送的。此外,它可以检查该域是否授权邮件发送。在实际操作中,DKIM让用户更容易创建域黑名单和白名单。
5. DMARC身份验证协议
电子邮件安全的重要一环是基于域的消息验证、报告和一致性比对。DMARC协议正是一种身份验证系统,可用于验证SPF和DKIM标准,以防止源自域名的欺诈活动。DMARC是对付域名欺诈的一种有效手段,但目前的实际采用率并不高,这也意味着未来的邮件欺诈态势仍可能会进一步恶化加剧。
DMARC通过阻止有人欺诈“header from”地址来提供防护,它可以明确指令邮件服务提供商如何安全处理收到的邮件。如果某个邮件无法通过SPF检查或DKIM验证,该邮件将被拒绝。尽管DMARC不能做到万无一失,但总体上是一种能够让各种域名系统免受欺诈的协议技术。
6. S/MIME端到端加密协议
安全/多功能互联网邮件扩展(S/MIME)是一种历史悠久的端到端加密协议。S/MIME在邮件发送之前对其进行加密,但并不对发件人、收件人或邮件标头的其他部分进行加密。只有收件人才能解密邮件。
S/MIME由邮件客户端实施,但需要数字证书。大多数现代邮件客户端都可以支持S/MIME协议,不过你需要确认支持所选定的应用程序和邮件服务提供商。
7. PGP/OpenPGP端到端加密协议
Pretty Good Privacy(PGP)是另一种广泛应用的端到端加密协议。然而,我们更有可能遇到并使用另一个版本OpenPGP,这是实现PGP加密协议的开源版本。它经常更新,并用于众多现代应用程序和服务中。与S/MIME一样,第三方用户仍然可以访问邮件元数据,比如邮件发件人和收件人信息。
用户可以在各种操作系统上将OpenPGP添加到邮件安全系统,包括Windows、macOS、Linux、Android以及iOS等。在不同版本的系统上实现OpenPGP的方式略有不同,但是它们都是可靠的加密程序,可以将邮件数据放心地交给它们。OpenPGP可以说是目前跨平台添加加密机制的最简单方法之一。