ISP 和網(wǎng)絡郵件服務如何保護電子郵件用戶？以下是七種電子郵件安全協(xié)議如何確保您的郵件安全。電子郵件安全協(xié)議是保護您的電子郵件免受外部干擾的結構。您的電子郵件需要額外的安全協(xié)議是有充分理由的。簡單郵件傳輸協(xié)議 (SMTP) 沒有內(nèi)置安全性。令人震驚，對吧？許多安全協(xié)議都與 SMTP 一起使用。以下是這些協(xié)議的內(nèi)容以及它們?nèi)绾伪Ｗo您的電子郵件。

1. SSL/TLS 如何保證電子郵件安全

安全套接層 (SSL) 及其繼任者傳輸層安全 (TLS) 是最常見的電子郵件安全協(xié)議，可在您的電子郵件在 Internet 上傳輸時提供保護。SSL 和 TLS 是應用層協(xié)議。在互聯(lián)網(wǎng)通信網(wǎng)絡中，應用層對最終用戶服務的通信進行標準化。在這種情況下，應用層提供了一個安全框架（一組規(guī)則），它與 SMTP（也是一個應用層協(xié)議）一起使用來保護您的電子郵件通信。

從這里開始，本文的這一部分討論了 TLS，因為它的前身 SSL 在 2015 年被完全棄用。TLS 為通信計算機程序提供了額外的隱私和安全性。在這種情況下，TLS 為 SMTP 提供安全性。當您的電子郵件客戶端發(fā)送和接收消息時，它使用傳輸控制協(xié)議（TCP---傳輸層的一部分，您的電子郵件客戶端使用它連接到電子郵件服務器）與電子郵件服務器啟動“握手”。

握手是電子郵件客戶端和電子郵件服務器驗證安全和加密設置并開始傳輸電子郵件本身的一系列步驟。在基本層面上，握手是這樣工作的：

1. 客戶端向電子郵件服務器發(fā)送“hello”、加密類型和兼容的 TLS 版本。
2. 服務器使用服務器 TLS 數(shù)字證書和服務器公共加密密鑰進行響應。
3. 客戶端驗證證書信息。
4. 客戶端使用服務器公鑰生成共享密鑰（也稱為預主密鑰）并將其發(fā)送到服務器。
5. 服務器解密秘密共享密鑰。
6. 客戶端和服務器現(xiàn)在可以使用秘密共享密鑰來加密數(shù)據(jù)傳輸，在這種情況下是您的電子郵件。

TLS 非常重要，因為絕大多數(shù)電子郵件服務器和電子郵件客戶端都使用它為您的電子郵件提供基本級別的加密。

機會 TLS 和強制 TLS

Opportunistic TLS是一個協(xié)議命令，它告訴電子郵件服務器電子郵件客戶端想要將現(xiàn)有連接轉(zhuǎn)換為安全的 TLS 連接。有時，您的電子郵件客戶端將使用純文本連接，而不是遵循上述握手過程來創(chuàng)建安全連接。Opportunistic TLS 將嘗試啟動 TLS 握手以創(chuàng)建隧道。但是，如果握手過程失敗，Opportunistic TLS 將回退到純文本連接并在不加密的情況下發(fā)送電子郵件。

強制 TLS是一種協(xié)議配置，它強制所有電子郵件事務使用安全 TLS 標準。如果電子郵件無法從電子郵件客戶端傳輸?shù)诫娮余]件服務器，然后再傳輸?shù)诫娮余]件收件人，則消息將不會發(fā)送。

2. 數(shù)字證書

數(shù)字證書是一種加密工具，可用于以加密方式保護電子郵件。數(shù)字證書是一種公鑰加密。該證書允許人們使用預定義的公共加密密鑰向您發(fā)送加密的電子郵件，以及為他人加密您的外發(fā)郵件。因此，您的數(shù)字證書有點像護照，因為它與您的在線身份綁定，其主要用途是驗證該身份。

當您擁有數(shù)字證書時，任何想要向您發(fā)送加密郵件的人都可以使用您的公鑰。他們用你的公鑰加密他們的文件，你用你的私鑰解密。數(shù)字證書不限于個人。企業(yè)、政府組織、電子郵件服務器和幾乎任何其他數(shù)字實體都可以擁有確認和驗證在線身份的數(shù)字證書。

3. 使用發(fā)件人策略框架的域欺騙保護

發(fā)件人策略框架 (SPF) 是一種身份驗證協(xié)議，理論上可以防止域欺騙。SPF 引入了額外的安全檢查，使郵件服務器能夠確定郵件是否來自域，或者是否有人使用域來掩蓋其真實身份。域是互聯(lián)網(wǎng)的一部分，屬于單一名稱。黑客和垃圾郵件發(fā)送者在試圖滲透系統(tǒng)或欺騙用戶時經(jīng)常掩蓋他們的域，因為可以通過位置和所有者追蹤域，或者至少將其列入黑名單。通過將惡意電子郵件偽裝成健康的工作域，他們更有可能讓毫無戒心的用戶點擊或打開惡意附件。發(fā)件人策略框架具有三個核心元素：框架、身份驗證方法和傳達信息的專用電子郵件標頭。

4. DKIM 如何確保電子郵件安全

DomainKeys Identified Mail (DKIM) 是一種防篡改協(xié)議，可確保您的郵件在傳輸過程中保持安全。DKIM 使用數(shù)字簽名來檢查電子郵件是否由特定域發(fā)送。此外，它檢查域是否授權發(fā)送電子郵件。在這方面，它是 SPF 的擴展。在實踐中，DKIM 使開發(fā)域黑名單和白名單變得更加容易。

5. 什么是 DMARC？

電子郵件安全協(xié)議鎖的最后一個關鍵是基于域的消息身份驗證、報告和一致性 (DMARC)。DMARC 是一種驗證系統(tǒng)，可驗證 SPF 和 DKIM 標準，以防止源自域的欺詐活動。DMARC 是打擊域欺騙的關鍵功能。然而，相對較低的采用率意味著欺騙仍然猖獗。

DMARC 的工作原理是防止“標頭來自”地址的欺騙。它通過以下方式做到這一點：

• 將“header from”域名與“envelope from”域名匹配。“信封來自”域是在 SPF 檢查期間定義的。
• 將“header from”域名與 DKIM 簽名中的“d= domain name”相匹配。

DMARC 指導電子郵件提供商如何處理任何傳入的電子郵件。如果電子郵件未能通過 SPF 檢查和/或 DKIM 身份驗證，則會被拒絕。DMARC 是一種允許各種規(guī)模的域保護其名稱免受欺騙的技術。然而，這并非萬無一失。有一個小時的空閑時間？上面的視頻使用真實世界的示例詳細介紹了 SPF、DKIM 和 DMARC。

6. 使用 S/MIME 的端到端加密

安全/多用途 Internet 郵件擴展 (S/MIME) 是一種長期存在的端到端加密協(xié)議。S/MIME 在發(fā)送電子郵件之前會對其進行加密——但不會對發(fā)件人、收件人或電子郵件標頭的其他部分進行加密。只有收件人才能解密您的消息。S/MIME 由您的電子郵件客戶端實施，但需要數(shù)字證書。大多數(shù)現(xiàn)代電子郵件客戶端都支持 S/MIME，盡管您必須檢查您的首選應用程序和電子郵件提供商的特定支持。

7. 什么是 PGP/OpenPGP？

相當好的隱私（PGP）是另一個長期存在的端到端加密協(xié)議。但是，您更有可能遇到并使用它的開源對應物 OpenPGP。OpenPGP 是 PGP 加密協(xié)議的開源實現(xiàn)。它會頻繁更新，您會在眾多現(xiàn)代應用程序和服務中找到它。與 S/MIME 一樣，第三方仍然可以訪問電子郵件元數(shù)據(jù)，例如電子郵件發(fā)件人和收件人信息。

您可以使用以下應用程序之一將 OpenPGP 添加到您的電子郵件安全設置中：

• Windows : Windows 用戶應該檢查Gpg4Win
• macOS：macOS 用戶應該查看GPGSuite
• Linux：Linux 用戶應該看到GnuPG
• Android : Android 用戶應該查看OpenKeychain
• iOS：iOS 用戶？到處看看 PGP

OpenPGP 在每個程序中的實現(xiàn)略有不同。每個程序都有不同的開發(fā)人員使用 OpenPGP 協(xié)議來加密您的電子郵件。但是，它們都是可靠的加密程序，您可以信任您的數(shù)據(jù)。OpenPGP 也是您可以在各種平臺上為您的生活添加加密的最簡單方法之一。

為什么電子郵件安全協(xié)議很重要？

電子郵件安全協(xié)議非常重要，因為它們?yōu)槟碾娮余]件增加了安全性。就其本身而言，您的電子郵件很容易受到攻擊。SMTP 沒有內(nèi)置的安全性，并且以純文本形式發(fā)送電子郵件（即，沒有任何保護，任何攔截它的人都可以閱讀）是有風險的，尤其是當它包含敏感信息時。