安全电子邮件系统解决方案

时间:2022-06-01 17:53:24
  一、概述 电子邮件已经成为现代人最重要和最不可缺少的个人生活和工作的通信工具之一, 但是,您也许不知道,所有电子邮件系统都是明文传输,也就是说:您的每一个重要邮件都是在以“明信片”方式在互联网上传送。请参考: 《计算机世界》报文章《阻止邮件内容“裸奔”》(2006年第4期,2006年1月23日出版)目前,人们对电子邮件安全的认识不足。Google一下“电子邮件安全”,一般都是讲如何防范垃圾邮件、病毒邮件和钓鱼邮件等等。而实际上,电子邮件安全问题最重要的主要包括两个方面:一是电子邮件服务器的安全,包括网络安全以及如何从服务器端防范和杜绝垃圾邮件、病毒邮件和钓鱼邮件等,这些是电子邮件服务的基本要求;而另一个更重要的问题但还没有引起人们高度重视是如何确保电子邮件用户的电子邮件内容不会被非法窃取、非法篡改和如何防止非法用户登录合法用户的电子邮件帐号。我们认为后者更重要。正是由于电子邮件内容中有非常重要的个人机密信息和机密的商业信息才使得有人采取非法手段窃取邮件内容、篡改邮件内容和伪造合法身份发送电子邮件,而由于电子邮件同其他互联网应用一样都是明文传输的,使得窃取邮件内容、篡改邮件内容非常容易实现,而常用的电子邮件Web方式登录也是采用简单的用户名/密码方式认证,使得非常容易被非法获得而伪造合法身份登录电子邮件帐号来查阅电子邮件和发送电子邮件。以上严重问题并没有得到电子邮件服务提供商和企业用户的足够的重视和采取相应的技术措施,其实,现有的成熟的PKI技术(数字证书)就可以解决以上问题,也就是为电子邮件服务器部署SSL数字证书(SSL证书)和每个电子邮件用户使用单位数字证书来加密收发电子邮件,同时使用单位数字证书来签名每个发出的邮件,让收件人能确信此电子邮件确实是来自声称的发件人。目前,成熟的端到端的全程的安全电子邮件技术标准主要有: PGP 和 S/MIME 。 PGP 是 Pretty Good Privacy 的简称,是一种长期一直在学术圈和技术圈内得到广泛使用的安全邮件标准,其特点是通过单向散列算法对邮件内容进行签名,以保证信件内容无法修改,使用公钥和私钥技术保证邮件内容保密且不可否认。而更加应用广泛的得到所有电子邮件客户端软件如 OUTLOOK 支持的是 S/MIME( Secure Multipurpose Internet Mail Extensions ) ,它是从 PEM(Privacy Enhanced Mail) 和 MIME(Internet 邮件的附件标准 ) 发展而来的。 S/MIME 也利用单向散列算法和公钥与私钥的加密体系。与 PGP 不同的主要有两点:首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织 ( 根证书 ) 之间相互认证,整个信任关系基本是树状的。其次, S/MIME 将信件内容加密签名后作为特殊的附件传送。 S/MIME 的证书格式也采用 PKI 技术的 X.509 ,但与一般浏览器使用的服务器端SSL证书有些不同,属于客户端数字证书,也称为 S/MIME 电子邮件加密证书、安全电子邮件加密证书或安全 Email 证书。 WoSign 提供的客户端数字证书支持 S/MIME ,不仅可以用于安全电子邮件通信,还可以用于各种网上应用的客户端身份认证。
       二、解决方案  我们提供的安全电子邮件系统解决方案是采用 WoSign 全球通用的服务器 SSL证书和客户端数字证书相结合的全程端到端的安全电子邮件解决方案。   首先,电子邮件的邮件内容在互联网上是明文传输的,其发送过程为:发件人把要发送给收件人的电子邮件提交给自己的电子邮件服务器即可,由自己的电子邮件服务器负责发送到收件人的电子邮件服务器中,收件人只要到自己的电子邮件服务器收取电子邮件即可。 我们推荐采用 PKI 技术的服务器端SSL证书和客户端数字证书来确保电子邮件的全程端到端安全。包括:    (1) 电子邮件服务器部署SSL证书确保用户 Web 登录邮箱时的邮件信息安全;    (2) 使用客户端证书用于 Web 方式登录的强身份认证;    (3) 邮件接收服务器(POP3) 和发送服务器(SMTP) 部署SSL证书;    (4)  使用客户端证书实现 Web 方式或 OUTLOOK 方式的电子邮件加密和数字签名。以上技术措施 (1)(3) 保证了从发件人电脑到发件人电子邮件服务器之间的传输链路上以 Web 方式和 OUTLOOK 方式收发电子邮件时是 SSL 安全加密电子邮件内容的,是不可能被非法窃取和篡改的;而措施 (2) 则是采用客户端证书实现身份认证,从而保证了是合法用户在使用此电子邮件帐号;而措施 (4) 则保证了电子邮件从发件人电脑到收件人的电脑的逐个传输链路上是加密传输的,是不可能被非法窃取和篡改的。只有采取了以上 4 个方面的技术措施才能确保电子邮件通信的全程安全,才能变现在的 “明信片”式电子邮件服务为把用户的信装进厚厚的结实的信封的“特快专递”式电子邮件服务。
       三、已经有上千家企事业单位部署了WoSign SSL证书和客户端证书来确保其电子邮件系统安全:(1) WoSign: https://mail.wosign.com                                
(2) 中国银联: https://mail.chinaunionpay.com                                
(3) 中国移动139邮箱: https://mail.10086.cn                                
(4) 江苏广电: https://vip.jsbc.com                              
  (5) 上海图书馆: https://mail.libnet.sh.cn
(6) 西南大学: https://mail.swu.edu.cn 
(7) 西交利物浦大学: https://mail.xjtlu.edu.cn