Как интернет-провайдеры и службы веб-почты защищают пользователей электронной почты? Вот как протоколы безопасности электронной почты обеспечивают сохранность ваших сообщений
Image Credit:Production Perig/Shutterstock.
Протоколы безопасности электронной почты защищают ваши сообщения от внешнего вмешательства. Ваша электронная почта нуждается в дополнительных протоколах безопасности по очень веской причине: Простой протокол передачи почты (SMTP) не имеет встроенной защиты. Шокирует, правда?
К счастью, многочисленные протоколы безопасности работают с SMTP. Вот что это за протоколы безопасности электронной почты и как они защищают вашу электронную почту
1. Как SSL/TLS обеспечивает безопасность электронной почты?
Secure Sockets Layer (SSL) и его преемник, Transport Layer Security (TLS), являются наиболее распространенными протоколами безопасности электронной почты, которые защищают вашу электронную почту при ее передаче через Интернет
SSL и TLS – это протоколы прикладного уровня. В коммуникационных сетях Интернета прикладной уровень стандартизирует коммуникации для служб конечного пользователя. В этом случае прикладной уровень обеспечивает структуру безопасности (набор правил), которая работает с SMTP (также протоколом прикладного уровня) для защиты вашей электронной почты
Далее в этом разделе статьи рассматривается TLS, поскольку его предшественник, SSL, был полностью устаревшим в 2015 году
TLS обеспечивает дополнительную конфиденциальность и безопасность при обмене компьютерными программами. В данном случае TLS обеспечивает безопасность для SMTP
Когда ваш почтовый клиент отправляет и получает сообщение, он использует протокол управления передачей (TCP— часть транспортного уровня, и ваш почтовый клиент использует его для подключения к почтовому серверу), чтобы инициировать ‘рукопожатие’ с почтовым сервером
Квитирование – это серия шагов, в ходе которых почтовый клиент и почтовый сервер проверяют параметры безопасности и шифрования и начинают передачу самого письма. На базовом уровне рукопожатие работает следующим образом:
- Клиент отправляет серверу электронной почты ‘приветствие’, типы шифрования и совместимые версии TLS.
- Сервер отвечает цифровым сертификатом TLS и открытым ключом шифрования сервера.
- Клиент проверяет информацию о сертификате.
- Клиент генерирует общий секретный ключ (также известный как предварительный мастер-ключ), используя открытый ключ сервера, и отправляет его на сервер.
- Сервер расшифровывает Общий секретный ключ.
- Теперь клиент и сервер могут использовать секретный общий ключ для шифрования передаваемых данных, в данном случае вашей электронной почты.
TLS очень важен, поскольку подавляющее большинство почтовых серверов и почтовых клиентов используют его для обеспечения базового уровня шифрования вашей электронной почты
Возможный TLS и принудительный TLS
Opportunistic TLS – это команда протокола, которая сообщает почтовому серверу, что почтовый клиент хочет превратить существующее соединение в защищенное соединение TLS
Иногда почтовый клиент использует обычное текстовое соединение вместо того, чтобы следовать вышеупомянутому процессу рукопожатия для создания защищенного соединения.Opportunistic TLS попытается запустить рукопожатие TLS для создания туннеля. Однако, если процесс квитирования завершится неудачно, Opportunistic TLS вернется к простому текстовому соединению и отправит электронное сообщение без шифрования
Принудительный TLS – это конфигурация протокола, которая заставляет все почтовые транзакции использовать безопасный стандарт TLS. Если письмо не может пройти от почтового клиента до почтового сервера, а затем до получателя, сообщение не будет отправлено
2. Цифровые сертификаты
Цифровой сертификат – это инструмент шифрования, который можно использовать для криптографической защиты электронной почты. Цифровые сертификаты – это разновидность шифрования с открытым ключом
(Не знаете, что такое шифрование с открытым ключом? Прочитайте седьмой и восьмой разделы о самых важных терминах шифрования, которые должен знать и понимать каждый. Это сделает остальную часть этой статьи гораздо более понятной!.
Сертификат позволяет людям отправлять вам зашифрованные электронные письма, используя заранее определенный открытый ключ шифрования, а также шифровать вашу исходящую почту для других. Ваш цифровой сертификат в некотором роде напоминает паспорт, поскольку он привязан к вашей сетевой личности, и его основное назначение – подтверждение этой личности
Когда у вас есть цифровой сертификат, ваш открытый ключ доступен для всех, кто хочет отправить вам зашифрованную почту. Они шифруют свой документ вашим открытым ключом, а вы расшифровываете его своим закрытым ключом
Цифровые сертификаты не ограничиваются частными лицами. Предприятия, правительственные организации, серверы электронной почты и практически любые другие цифровые организации могут иметь цифровой сертификат, который подтверждает и удостоверяет личность в Интернете
3. Защита от подмены домена с помощью Sender Policy Framework
Sender Policy Framework (SPF) – это протокол аутентификации, который теоретически защищает от подмены домена
3.
SPF вводит дополнительные проверки безопасности, которые позволяют почтовому серверу определить, исходит ли сообщение от домена или кто-то использует домен для маскировки своей истинной личности. Домен – это часть Интернета, которая находится под одним именем. Например, ‘почини-компьютер.рф’ – это домен
Хакеры и спамеры регулярно маскируют свой домен при попытке проникнуть в систему или обмануть пользователя, поскольку домен можно отследить по местоположению и владельцу или, по крайней мере, занести в черный список. Подделывая вредоносное письмо под здоровый рабочий домен, у них больше шансов, что ничего не подозревающий пользователь кликнет по нему или откроет вредоносное вложение
Структура политики отправителя состоит из трех основных элементов: структура, метод аутентификации и специализированный заголовок электронной почты, передающий информацию
4. Как DKIM обеспечивает безопасность электронной почты
DomainKeys Identified Mail (DKIM) – это протокол защиты от несанкционированного доступа, который обеспечивает безопасность вашей почты при пересылке.DKIM использует цифровые подписи для проверки того, что письмо было отправлено определенным доменом. Кроме того, он проверяет, разрешил ли домен отправку письма. В этом смысле он является расширением SPF
На практике DKIM облегчает разработку черных и белых списков доменов
5. Что такое DMARC?
Последним ключом в замке протокола безопасности электронной почты является Domain-Based Message Authentication, Reporting & Conformance (DMARC).DMARC – это система аутентификации, которая проверяет стандарты SPF и DKIM для защиты от мошеннических действий, исходящих от домена.DMARC является ключевой функцией в борьбе с подделкой доменов. Однако относительно низкий уровень внедрения означает, что подделка доменов по-прежнему широко распространена
DMARC работает, предотвращая подделку адреса ‘header from’. Это достигается следующим образом:
- Сопоставление доменного имени ‘header from’ с доменным именем ‘envelope from’. Домен ‘envelope from’ определяется во время проверки SPF.
- Сопоставление доменного имени ‘header from’ с доменным именем ‘d= domain name’, найденным в подписи DKIM.
DMARC указывает провайдеру электронной почты, как обрабатывать входящие электронные сообщения. Если письмо не соответствует требованиям проверки SPF и/или аутентификации DKIM, оно отклоняется.DMARC – это технология, которая позволяет доменам любого размера защитить свое имя от подделки. Однако она не является надежной
Есть свободный час? В видео выше подробно рассказывается о SPF, DKIM и DMARC на реальных примерах
6. Шифрование от конца до конца с помощью S/MIME
Secure/Multipurpose Internet Mail Extensions (S/MIME) – это давно существующий протокол сквозного шифрования.S/MIME шифрует ваше сообщение электронной почты перед отправкой— но не отправителя, получателя или другие части заголовка сообщения. Только получатель может расшифровать ваше сообщение
S/MIME реализуется вашим почтовым клиентом, но требует наличия цифрового сертификата. Большинство современных почтовых клиентов поддерживают S/MIME, хотя вам придется проверить конкретную поддержку для предпочитаемого приложения и почтового провайдера
7. Что такое PGP/OpenPGP?
Pretty Good Privacy (PGP) – это еще один давно существующий протокол сквозного шифрования. Однако чаще всего вы сталкиваетесь и используете его аналог с открытым исходным кодом – OpenPGP
OpenPGP – это реализация протокола шифрования PGP с открытым исходным кодом. Он часто обновляется, и вы найдете его во многих современных приложениях и службах. Как и в случае с S/MIME, третья сторона может получить доступ к метаданным электронной почты, таким как информация об отправителе и получателе
Вы можете добавить OpenPGP в свою систему безопасности электронной почты, используя одно из следующих приложений:
- Windows: Пользователям Windows следует обратить внимание на Gpg4Win.
- macOS: пользователям macOS следует обратить внимание на GPGSuite.
- Linux: Пользователи Linux должны увидеть GnuPG.
- Android: Пользователям Android следует обратить внимание на OpenKeychain.
- iOS: Пользователь iOS? Посмотрите на PGP Everywhere.
Реализация OpenPGP в каждой программе немного отличается. В каждой программе разные разработчики используют протокол OpenPGP для шифрования вашей электронной почты. Однако все они являются надежными программами шифрования, которым вы можете доверить свои данные
OpenPGP – это один из самых простых способов добавить шифрование в свою жизнь на различных платформах
Почему протоколы безопасности электронной почты важны?
Протоколы безопасности электронной почты чрезвычайно важны, поскольку они повышают безопасность ваших писем. Сами по себе ваши электронные письма уязвимы.SMTP не имеет встроенной защиты, и отправка электронного письма открытым текстом (т.е. без какой-либо защиты, доступным для чтения любому, кто его перехватит) является рискованной, особенно если оно содержит конфиденциальную информацию
Хотите больше узнать о шифровании? Узнайте о пяти распространенных алгоритмах шифрования и о том, почему не стоит доверять защите своих данных собственному шифрованию
Комментировать