由于傳統(tǒng)的郵件傳輸協(xié)議（SMTP）并沒(méi)有內(nèi)置安全防護(hù)元素，因此電子郵件系統(tǒng)需要額外的安全協(xié)議來(lái)保護(hù)系統(tǒng)運(yùn)營(yíng)安全。本文收集整理了目前常用的郵件安全協(xié)議并對(duì)其進(jìn)行簡(jiǎn)單介紹。

1. SSL/TLS應(yīng)用層安全協(xié)議

安全套接層（SSL）及后續(xù)的技術(shù)傳輸層安全（TLS）都是應(yīng)用層安全協(xié)議，也是兩種最常見(jiàn)的郵件安全協(xié)議，可以保護(hù)在互聯(lián)網(wǎng)上傳輸?shù)泥]件。在互聯(lián)網(wǎng)通信網(wǎng)絡(luò)中，應(yīng)用層為終端用戶(hù)服務(wù)的通信實(shí)現(xiàn)了標(biāo)準(zhǔn)化。在這種情況下，通過(guò)應(yīng)用層提供一個(gè)安全框架（一組規(guī)則），可以與SMTP（也是一種應(yīng)用層協(xié)議）共同確保郵件通信的安全。

由于SSL目前已經(jīng)逐步被優(yōu)化，企業(yè)需要更多關(guān)注其后續(xù)技術(shù)TLS，它為計(jì)算機(jī)程序通信提供額外的私密性和安全性，其中就包括了給郵件系統(tǒng)的SMTP協(xié)議提供額外安全性保護(hù)。TLS之所以非常重要，是由于絕大多數(shù)的郵件服務(wù)器和郵件客戶(hù)端使用它為郵件提供基本級(jí)別的加密。

在具體應(yīng)用中，TLS協(xié)議包括了機(jī)會(huì)型TLS和強(qiáng)制型TLS，其中：機(jī)會(huì)型TLS會(huì)告訴郵件服務(wù)器，需要將現(xiàn)有的客戶(hù)端連接轉(zhuǎn)換成安全的TLS連接；而強(qiáng)制型TLS會(huì)強(qiáng)制所有往來(lái)的郵件都使用安全的TLS標(biāo)準(zhǔn)，否則將不會(huì)被發(fā)送出去。

2. 數(shù)字證書(shū)

數(shù)字證書(shū)是一種公鑰加密工具，能夠通過(guò)加密來(lái)保護(hù)郵件。通過(guò)數(shù)字證書(shū)，可以讓使用者應(yīng)用預(yù)定義的公共密鑰，向收件人發(fā)送經(jīng)過(guò)加密的郵件，因此，數(shù)字證書(shū)有點(diǎn)像護(hù)照：它與用戶(hù)的在線身份綁定，其主要用途是驗(yàn)證這個(gè)身份。

如果使用數(shù)字證書(shū)，其公鑰也可供任何想給該用戶(hù)發(fā)送加密郵件的人使用。他們可以使用用戶(hù)的公鑰來(lái)加密文檔，而用戶(hù)可以用私鑰來(lái)解密。數(shù)字證書(shū)并不僅限于個(gè)人使用。企業(yè)、政府組織、郵件服務(wù)器及幾乎數(shù)字實(shí)體都可以擁有數(shù)字證書(shū)，以確認(rèn)和驗(yàn)證郵件用戶(hù)的在線身份。

3. SPF域名驗(yàn)證協(xié)議

域名系統(tǒng)是互聯(lián)網(wǎng)的重要基礎(chǔ)，代表了某個(gè)實(shí)體的線上地址。發(fā)送方策略框架（SPF）是一種可以防范域名欺詐的驗(yàn)證協(xié)議。SPF引入了額外的安全檢查，使郵件服務(wù)器能夠確定郵件是否來(lái)自真正的域名或是否有人冒用該域名來(lái)隱藏真實(shí)身份。

由于域名可用來(lái)追蹤確定位置和所有者，因此黑客和垃圾郵件發(fā)送者在企圖滲入系統(tǒng)或欺騙用戶(hù)時(shí)經(jīng)常會(huì)隱藏其域名。如果不法分子讓惡意郵件冒充是正規(guī)域名發(fā)來(lái)的郵件，毫無(wú)戒備的用戶(hù)更容易點(diǎn)擊或打開(kāi)惡意的附件。發(fā)送方策略框架有三大驗(yàn)證要素：框架、驗(yàn)證方法以及傳輸信息的專(zhuān)用郵件標(biāo)頭。

4. DKIM郵件防篡改協(xié)議

域密鑰識(shí)別郵件（DKIM）是一種防篡改的協(xié)議，可以確保郵件在傳輸過(guò)程中的內(nèi)容完整性和安全性。DKIM實(shí)際上是SPF的一種擴(kuò)展，它使用數(shù)字簽名來(lái)檢查郵件是否由特定域發(fā)送的。此外，它可以檢查該域是否授權(quán)郵件發(fā)送。在實(shí)際操作中，DKIM讓用戶(hù)更容易創(chuàng)建域黑名單和白名單。

5. DMARC身份驗(yàn)證協(xié)議

電子郵件安全的重要一環(huán)是基于域的消息驗(yàn)證、報(bào)告和一致性比對(duì)。DMARC協(xié)議正是一種身份驗(yàn)證系統(tǒng)，可用于驗(yàn)證SPF和DKIM標(biāo)準(zhǔn)，以防止源自域名的欺詐活動(dòng)。DMARC是對(duì)付域名欺詐的一種有效手段，但目前的實(shí)際采用率并不高，這也意味著未來(lái)的郵件欺詐態(tài)勢(shì)仍可能會(huì)進(jìn)一步惡化加劇。

DMARC通過(guò)阻止有人欺詐“header from”地址來(lái)提供防護(hù)，它可以明確指令郵件服務(wù)提供商如何安全處理收到的郵件。如果某個(gè)郵件無(wú)法通過(guò)SPF檢查或DKIM驗(yàn)證，該郵件將被拒絕。盡管DMARC不能做到萬(wàn)無(wú)一失，但總體上是一種能夠讓各種域名系統(tǒng)免受欺詐的協(xié)議技術(shù)。

6. S/MIME端到端加密協(xié)議

安全/多功能互聯(lián)網(wǎng)郵件擴(kuò)展（S/MIME）是一種歷史悠久的端到端加密協(xié)議。S/MIME在郵件發(fā)送之前對(duì)其進(jìn)行加密，但并不對(duì)發(fā)件人、收件人或郵件標(biāo)頭的其他部分進(jìn)行加密。只有收件人才能解密郵件。

S/MIME由郵件客戶(hù)端實(shí)施，但需要數(shù)字證書(shū)。大多數(shù)現(xiàn)代郵件客戶(hù)端都可以支持S/MIME協(xié)議，不過(guò)你需要確認(rèn)支持所選定的應(yīng)用程序和郵件服務(wù)提供商。

7. PGP/OpenPGP端到端加密協(xié)議

Pretty Good Privacy（PGP）是另一種廣泛應(yīng)用的端到端加密協(xié)議。然而，我們更有可能遇到并使用另一個(gè)版本OpenPGP，這是實(shí)現(xiàn)PGP加密協(xié)議的開(kāi)源版本。它經(jīng)常更新，并用于眾多現(xiàn)代應(yīng)用程序和服務(wù)中。與S/MIME一樣，第三方用戶(hù)仍然可以訪問(wèn)郵件元數(shù)據(jù)，比如郵件發(fā)件人和收件人信息。

用戶(hù)可以在各種操作系統(tǒng)上將OpenPGP添加到郵件安全系統(tǒng)，包括Windows、macOS、Linux、Android以及iOS等。在不同版本的系統(tǒng)上實(shí)現(xiàn)OpenPGP的方式略有不同，但是它們都是可靠的加密程序，可以將郵件數(shù)據(jù)放心地交由它們。OpenPGP可以說(shuō)是目前跨平臺(tái)添加加密機(jī)制的最簡(jiǎn)單方法之一。