七种常见的电子邮件安全协议简析

受新冠疫情影响，全球大部分企业开启远程办公模式，企业对电子邮件的依赖也达到了前所未有的程度。与此同时，电子邮件也成为网络犯罪分子的主要攻击目标，他们通过各种手段窃取敏感数据，并通过一系列复杂攻击手段传播危险的恶意软件。

由于传统的邮件传输协议（SMTP）并没有内置安全防护元素，因此电子邮件系统需要额外的安全协议来保护系统运营安全。本文收集整理了目前常用的邮件安全协议并对其进行简单介绍。

1. SSL/TLS应用层安全协议

安全套接层（SSL）及后续的技术传输层安全（TLS）都是应用层安全协议，也是两种最常见的邮件安全协议，可以保护在互联网上传输的邮件。在互联网通信网络中，应用层为终端用户服务的通信实现了标准化。在这种情况下，通过应用层提供一个安全框架（一组规则），可以与SMTP（也是一种应用层协议）共同确保邮件通信的安全。

由于SSL目前已经逐步被优化，企业需要更多关注其后续技术TLS，它为计算机程序通信提供额外的私密性和安全性，其中就包括了给邮件系统的SMTP协议提供额外安全性保护。TLS之所以非常重要，是由于绝大多数的邮件服务器和邮件客户端使用它为邮件提供基本级别的加密。

在具体应用中，TLS协议包括了机会型TLS和强制型TLS，其中：机会型TLS会告诉邮件服务器，需要将现有的客户端连接转换成安全的TLS连接；而强制型TLS会强制所有往来的邮件都使用安全的TLS标准，否则将不会被发送出去。

2. 数字证书

数字证书是一种公钥加密工具，能够通过加密来保护邮件。通过数字证书，可以让使用者应用预定义的公共密钥，向收件人发送经过加密的邮件，因此，数字证书有点像护照：它与用户的在线身份绑定，其主要用途是验证这个身份。

如果使用数字证书，其公钥也可供任何想给该用户发送加密邮件的人使用。他们可以使用用户的公钥来加密文档，而用户可以用私钥来解密。数字证书并不仅限于个人使用。企业、政府组织、邮件服务器及几乎数字实体都可以拥有数字证书，以确认和验证邮件用户的在线身份。

3. SPF域名验证协议

域名系统是互联网的重要基础，代表了某个实体的线上地址。发送方策略框架（SPF）是一种可以防范域名欺诈的验证协议。SPF引入了额外的安全检查，使邮件服务器能够确定邮件是否来自真正的域名或是否有人冒用该域名来隐藏真实身份。

由于域名可用来追踪确定位置和所有者，因此黑客和垃圾邮件发送者在企图渗入系统或欺骗用户时经常会隐藏其域名。如果不法分子让恶意邮件冒充是正规域名发来的邮件，毫无戒备的用户更容易点击或打开恶意的附件。发送方策略框架有三大验证要素：框架、验证方法以及传输信息的专用邮件标头。

4. DKIM邮件防篡改协议

域密钥识别邮件（DKIM）是一种防篡改的协议，可以确保邮件在传输过程中的内容完整性和安全性。DKIM实际上是SPF的一种扩展，它使用数字签名来检查邮件是否由特定域发送的。此外，它可以检查该域是否授权邮件发送。在实际操作中，DKIM让用户更容易创建域黑名单和白名单。

5. DMARC身份验证协议

电子邮件安全的重要一环是基于域的消息验证、报告和一致性比对。DMARC协议正是一种身份验证系统，可用于验证SPF和DKIM标准，以防止源自域名的欺诈活动。DMARC是对付域名欺诈的一种有效手段，但目前的实际采用率并不高，这也意味着未来的邮件欺诈态势仍可能会进一步恶化加剧。

DMARC通过阻止有人欺诈“header from”地址来提供防护，它可以明确指令邮件服务提供商如何安全处理收到的邮件。如果某个邮件无法通过SPF检查或DKIM验证，该邮件将被拒绝。尽管DMARC不能做到万无一失，但总体上是一种能够让各种域名系统免受欺诈的协议技术。

6. S/MIME端到端加密协议

安全/多功能互联网邮件扩展（S/MIME）是一种历史悠久的端到端加密协议。S/MIME在邮件发送之前对其进行加密，但并不对发件人、收件人或邮件标头的其他部分进行加密。只有收件人才能解密邮件。

S/MIME由邮件客户端实施，但需要数字证书。大多数现代邮件客户端都可以支持S/MIME协议，不过你需要确认支持所选定的应用程序和邮件服务提供商。

7. PGP/OpenPGP端到端加密协议

Pretty Good Privacy（PGP）是另一种广泛应用的端到端加密协议。然而，我们更有可能遇到并使用另一个版本OpenPGP，这是实现PGP加密协议的开源版本。它经常更新，并用于众多现代应用程序和服务中。与S/MIME一样，第三方用户仍然可以访问邮件元数据，比如邮件发件人和收件人信息。

用户可以在各种操作系统上将OpenPGP添加到邮件安全系统，包括Windows、macOS、Linux、Android以及iOS等。在不同版本的系统上实现OpenPGP的方式略有不同，但是它们都是可靠的加密程序，可以将邮件数据放心地交由它们。OpenPGP可以说是目前跨平台添加加密机制的最简单方法之一。

参考链接：

https://www.makeuseof.com/tag/common-email-security-protocols-explained/

「网络工程师」-应用层协议-电子邮件协议

常见的电子邮件协议有简单邮件传输协议、邮局协议、Internet邮件访问协议和多用户互联网邮件扩展协议。

1、简单邮件传输协议（Simple Mail Transfer Protocol，SMTP）

SMTP主要负责将电子邮件从发送方传送到接收方，即对传输的规则做了规定，该协议工作在TCP协议的25号端口。

SMTP的通信模型主要集中在发送SMTP和接收SMTP上：首先针对用户发出的邮件请求，建立发送SMTP到接收SMTP的双工通信链路，接收方是相对于发送方而言，实际上它既可以是最终的接收者也可以是中间传送者。发送方负责向接收方发送SMTP命令，接收方负责接收并反馈应答。SMTP协议通信模型如下：

在SMTP通信链路建立后，发送方发送MAIL命令，若接收方可以接收邮件则做出OK的应答，然后发送方继续发出PCPT命令以确定邮件是否收到，如果接收到就做出OK的应答，否则就发出拒绝接收应答。双方如此反复多次，直至邮件处理完毕。

SMTP协议共包含20个SMTP命令。如下表所示：

SMTP命令

命令说明

ATRN

支持域参数的TURN命令，用来改变在传输信道上通信程序的角色，如将发送方与接收方的角色互换。可带一个或多个域，不指定域参数时，代表所有域。

AUTH

用户认证

BDAT

二进制的DATA命令

DATA

后面将传送数据，以两个回车换行结束

EHLO

扩展的Hello命令

ETRN

将指定邮件系统队列中发给所设置的域名的邮件收取到本系统的邮件队列中，然后邮件队列程序将这些邮件分发各个接收人，从而实现邮件网关功能

EXPN

验证给定的邮箱别名是否存在，扩充邮箱列表，也常禁止使用

HELO

确认发送者

HELP

查询服务器支持什么命令

MAIL

开始一个邮件传输事务，对所有的状态和缓冲区进行初始化，最终完成将邮件数据传送到一个或多个邮箱中

NOOP

空操作，要求接收SMTP仅做OK应答

QUIT

要求接收SMTP返回一个OK应答并关闭传输

RCPT

标识单独的邮件接收者

RSET

终止处理

SAML

send and mail，如果接受者在线，在接收者终端上显示信息，并发送邮件

SEND

如果接受者在线，在接收者终端上显示信息

SOML

send or mail，如果接受者在线，在接收者终端上显示信息，否则发送邮件

STARTTLS

请求建立TLS安全连接

TURN

无需拆除TCP连接，客户与服务器交换角色

VRFY

校验一个用户是否存在，由于安全因素，服务器多禁止此命令

SMTP协议的每一个命令都会返回一个应答码，应答码的每一个数据都是有特定含义的，如第一位数字为2时表示命令成功，为3表示没有完成，为5表示失败。

2、邮局协议（Post Office Protocol，POP）

POP是基于C/S架构的电子邮件协议，目前发展到第三版，称POP3。POP3是把邮件从邮件服务器传输到本地计算机的协议。该协议工作在TCP协议的110端口。

POP3是因特网电子邮件第一个离线协议标准，允许用户从服务器上把邮件存储到本地主机上，同时删除保存在邮件服务器的邮件。

POP3适用于C/S结构的脱机模型，脱机模型不能在线操作，当客户机与服务器连接并查询新电子邮件时，被该客户机指定的所有被下载的邮件都将被程序下载到客户机，下载后，电子邮件客户机就可以删除或修改任意邮件，而无需与电子邮件服务器进一步交互。

POP3服务器通过侦听TCP端口110开始POP3服务。当客户主机需要使用服务时，它将与服务器建立TCP连接，当连接建立后，POP3服务器发送确认消息。客户和POP3服务器相互交换命令和响应，这一过程一直要持续到连接终止。

POP3命令由命令字和参数组成，所有命令以一个CRLF对结束。命令和参数由可打印的ACSII字符组成，它们之间由空格间隔。命令一般是3~4个字母，每个参数最长40字符。

POP3响应由一个状态码和一个可能跟有附加信息的命令组成，所有的响应也是由CRLF组成。现在有两种状态码：“确定”（“+OK”）和“失败”（“-ERR”）。

POP3服务器响应由一个单独的命令行或多个命令行组成，响应第一行以ASCII文本+OK或-ERR指出响应的操作状态是成功还是失败。在POP3协议中有三种状态：认可状态、处理状态和更新状态。

3、Internet邮件访问协议（Internet Message Access Protocol，IMAP）

IMAP提供了有选择地从邮件服务器接收邮件的功能、基于服务器的信息处理功能和共享信箱功能，目前版本为4，称为IMAP4。该协议工作在TCP协议的143号端口。

IMAP4是POP3的一种替代协议，用于可以不必下载邮件正文就可以看到邮件的标题和摘要，使用邮件客户端软件就能对服务器上的邮件和文件夹目录进行操作。

IMAP提供3中操作模式：

（1）在线方式：邮件保留在E-MAIL服务器端，客户端可以对其进行管理，其使用方法与web mail相似；

（2）离线方式：离线方式与POP3提供的服务类似，用户的电子邮件从服务器全部下载到用户计算机；

（3）断开方式：断开连接工作方式下，用户的一部分邮件被保留在服务器的一段，另一部分在用户计算机上，如果用户读取没有下载的邮件，则客户端再次与服务器建立连接，下载指定的信件；如果已经下载，则直接显示本地信件副本。

IMAP协议增强了电子邮件的灵活性，同时也减少了垃圾邮件对本地系统的直接危害，同时相对节省了用户查看电子邮件的时间，除此之外，IMAP协议可以记忆用户在脱机状态下对邮件的操作，在下一次打开网络连接时自动执行。

4、多用户互联网邮件扩展（Multipurpose Internet Mail Extensions，MIME）

MIME对传输内容的消息、附件及其他内容定义了格式，解决传输多种类型信息的困难，强化压缩和加密的能力，规定了通过SMTP协议传输非文本电子邮件附件的标准。

MIME邮件允许包括：

MIME的安全版本（Secure/Multipurpose Internet Mail Extensions，S/MIME）设计支持邮件的加密，包括：认证、完整性保护、鉴定及数据保密等。

相关问答

邮箱APP,就是手机邮箱客户端,也就是通过手客户端的形式在手机上浏览、收发、管理您的邮件。一般的手机邮箱就是手机系统自带的电子邮件客户端,您可以用它来设...

[最佳回答]POP3协议主要用于支持使用客户端远程管理在服务器上的电子邮件,与收发撰无关

SMTP(SimpleMailTransferProtocol)即简单邮件传输协议,它是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式。POP3(PostOfficeProtoco...

SMTP协议。SMTP协议,中文名为简单邮件传输协议(SimpleMailTransferProtocol,SMTP),是在Internet传输email的事实标准。SMTP是一个相对简单...

POP3协议?POP3(PostOfficeProtocol3)即邮局协议的第3个版本,它规定怎样将个人计算机连接到Internet的邮件服务器和下载电子邮件的电子协议。它是因特网电...

SMTP和POP3是两种协议,SMTP和POP3服务器就是使用这两种协议的服务器SMTP:SMTPSimpleMailTransferProtocol电子邮件服务器之间发送电子邮件的通讯协...

H前常用的E-Mail发送和接收协议是SMTP和POP3。SMTP是InTernet传送E—Mail的基本协议,也是TCP/IP协议组的成员。SMTP协议解决E-Mail系统如何通过—条链路,......

[回答]电子邮件如果包含了合同所需具备的条件就能算作合同的一种表现形式。电子邮件的内容即是合同条款,其文字(或与图像、声音的组合)表达也是确定的,当...

合同需要经过合同各方签字或盖章后才成立、生效,如果在合同中约定了生效的条件,合同在条件成就时才生效。电子邮箱发过来的合同如果没有经过签字盖章就没有法...

在outlook的服务器设置中pop3协议是指“邮局协议版本3”,是规定了个人计算机连接到Internet的邮件服务器和下载电子邮件的协议。在outlook的服务器设置中pop3...