7種常見的電子郵件安全協議（已更新2019.1.28）

電子郵件安全協議是保護您的電子郵件免受外部干擾的結構。您的電子郵件需要其他安全協議，這是有充分理由的。簡單郵件傳輸協議（SMTP）沒有內建安全性。

許多安全協議適用於SMTP。以下是這些協議的含義以及它們如何保護您的電子郵件。

1. SSL / TLS如何保護電子郵件安全

   SSL/TLS視訊介紹

安全套接字層（SSL）及其後續版本的傳輸層安全性（TLS）是最常見的電子郵件安全協議，可以保護您的電子郵件在Internet上傳輸。

SSL和TLS是應用層協議。在因特網通訊網路中，應用層標準化用於終端使用者服務的通訊。在這種情況下，應用程式層提供了一個安全框架（一組規則），它與SMTP（也是一個應用程式層協議）一起使用，以保護您的電子郵件通訊。

從本文開始，本文的這一部分討論了SSL前身TLS，在2015年完全棄用。

TLS為通訊計算機程式提供了額外的隱私和安全性。在這種情況下，TLS為SMTP提供安全性。

當您的電子郵件客戶端傳送和接收訊息時，它使用傳輸控制協議（傳輸層的TCP部分，您的電子郵件客戶端使用它連線到電子郵件伺服器）來啟動與電子郵件伺服器的“握手”。

握手是一系列步驟，其中電子郵件客戶端和電子郵件伺服器驗證安全性和加密設定並開始電子郵件本身的傳輸。在底層，握手的工作原理如下：

客戶端向Email Server傳送“hello”，加密型別和相容的TLS版本。
伺服器使用伺服器TLS數字證書和伺服器公共加密金鑰進行響應。
客戶端驗證證書資訊。
客戶端使用伺服器公鑰生成共享金鑰（也稱為預主金鑰）並將其傳送到伺服器。
伺服器解密祕密共享金鑰。
客戶端和伺服器現在可以使用金鑰共享金鑰來加密資料傳輸。
TLS非常重要，因為絕大多數電子郵件伺服器和電子郵件客戶端都使用它來為您的電子郵件提供基本級別的加密。

機會型TLS和強制型TLS
機會型TLS是一種協議命令，它告訴電子郵件伺服器電子郵件客戶端想要將現有連線轉換為安全TLS連線。

有時，您的電子郵件客戶端將使用純文字連線，而不是按照上述握手過程來建立安全連線。機會TLS將嘗試啟動TLS握手以建立隧道。但是，如果握手過程失敗，則機會型TLS將回退到純文字連線併傳送未加密的電子郵件。

強制TLS是一種協議配置，強制所有電子郵件事務使用安全TLS標準。如果電子郵件無法從電子郵件客戶端轉移到電子郵件伺服器，然後轉到電子郵件收件人，則郵件將不會傳送。

2.數字證書

數字證書視訊介紹

數字證書是一種加密工具，可用於以加密方式保護電子郵件。數字證書是一種公鑰加密。

該證書允許人們使用預定義的公共加密金鑰向您傳送加密的電子郵件，以及為其他人加密您的外發郵件。因此，您的數字證書有點像護照，因為它與您的線上身份繫結，其主要用途是驗證該身份。

當您擁有數字證書時，您的公鑰可供任何想要向您傳送加密郵件的人使用。他們使用您的公鑰加密文件，然後使用您的私鑰對其進行解密。

數字證書不僅限於個人。企業，政府組織，電子郵件伺服器以及幾乎任何其他數字實體都可以擁有確認和驗證線上身份的數字證書。

3.使用發件人策略框架進行域欺騙保護
發件人策略框架（SPF）是一種認證協議，理論上可以防止域欺騙。

SPF引入了額外的安全檢查，使郵件伺服器能夠確定郵件是否來自域，或者是否有人使用域來掩蓋其真實身份。域名是網際網路的一部分，屬於單一名稱。

黑客和垃圾郵件傳送者在嘗試滲透系統或欺騙使用者時會定期遮蔽其域名，因為域名可以由位置和所有者跟蹤，或者至少是黑名單。通過將惡意電子郵件欺騙為健康的工作域，他們更有可能讓毫無戒心的使用者點選或開啟惡意附件。

發件人策略框架有三個核心元素：框架，身份驗證方法和傳遞資訊的專用電子郵件標題。

4. DKIM如何保護電子郵件安全
   DomainKeys Identified Mail（DKIM）是一種防篡改協議，可確保您的郵件在傳輸過程中保持安全。DKIM使用數字簽名來檢查電子郵件是否由特定域傳送。此外，它會檢查域是否授權傳送電子郵件。基於此，它是SPF的延伸。

實際上，DKIM可以更輕鬆地開發域名黑名單和白名單。

5.什麼是DMARC？
電子郵件安全協議鎖定的最後一個關鍵是基於域的訊息驗證，報告和一致性（DMARC）。DMARC是一種驗證系統，可驗證SPF和DKIM標準，以防止源自域的欺詐活動。DMARC是打擊域欺騙的關鍵功能。然而，相對較低的採用率意味著欺騙仍然猖獗。

DMARC通過防止欺騙“標題來自”地址來工作。它通過以下方式實現：

將“來自”域名的“標題”與“來自”域名的“信封”相匹配。在SPF檢查期間定義“信封來自”域。
將“標題來自”域名與DKIM簽名中的“d =域名”匹配。
DMARC指示電子郵件提供商如何處理任何傳入的電子郵件。如果電子郵件無法滿足SPF檢查和/或DKIM身份驗證，則會被拒絕。DMARC是一種允許各種規模的域名保護其名稱免受欺騙的技術。然而，這並非萬無一失。

6.使用S / MIME的端到端加密
安全/多用途Internet郵件擴充套件（S / MIME）是一種長期的端到端加密協議。S / MIME會在傳送電子郵件之前對其進行加密，但不會對發件人，收件人或電子郵件標頭的其他部分進行加密。只有收件人才能解密您的郵件。

S / MIME由您的電子郵件客戶端實現，但需要數字證書。大多數現代電子郵件客戶端都支援S / MIME，但您必須檢查對首選應用程式和電子郵件提供商的特定支援。

7.什麼是PGP / OpenPGP？
Pretty Good Privacy（PGP）是另一種長期的端到端加密協議。但是，您更有可能遇到，並使用其對應的開源協議OpenPGP。

OpenPGP是PGP加密協議的開源實現。它會經常更新，您會在眾多現代應用程式和服務中找到它。與S / MIME一樣，第三方仍然可以訪問電子郵件後設資料，例如電子郵件發件人和收件人資訊。

您可以使用以下某個應用程式將OpenPGP新增到電子郵件安全設定中：

Windows：Windows使用者應該檢視Gpg4Win
macOS：macOS使用者應該檢視GPGSuite
Linux：Linux使用者應該看到GnuPG
Android：Android使用者應該檢視OpenKeychain
iOS：iOS使用者?看看PGP Everywhere
每個程式中OpenPGP的實現略有不同。每個程式都有一個不同的開發人員將OpenPGP協議用於加密您的電子郵件。但是，它們都是您可以信賴的可靠加密程式。

OpenPGP也是您在各種平臺上為生活新增加密的最簡單方法之一。

為什麼電子郵件安全協議很重要？
電子郵件安全協議非常重要，因為它們可以增強電子郵件的安全性。您自己的電子郵件很容易受到攻擊。SMTP沒有內建的安全性，並且以純文字形式傳送電子郵件（即，沒有任何保護，任何攔截它的人都可讀）是有風險的，特別是如果它包含敏感資訊。

更多內容，點選國外課棧網