如何确保邮件安全:开启SSL和TLS加密支持

  • 2023-06-12 21:28:12

您可能听说过SSL和TLS这两个术语,但是您知道它们是什么以及它们有何不同吗?

SSL(安全套接字层)和 TLS(传输层安全性)是保护(加密)邮件客户端和邮件服务器(例如 Outlook 和 MDaemon )之间或邮件服务器(例如 MDaemon 和其他邮件服务器)之间的连接的方法。它们也是保护网站和浏览器之间通信的方法。在这篇文章中,我们将重点介绍它用于加密电子邮件连接的用途。

如果没有SSL或TLS,邮件客户端和服务器之间发送的数据将以纯文本形式发送。这可能会使您的企业面临机密信息被盗、凭据被盗以及帐户用于发送垃圾邮件的风险。SSL 和 TLS 可用于帮助保护该数据。SSL 和 TLS 允许用户通过电子邮件安全地传输敏感信息,例如社会安全号码、信用卡号或医疗信息。

 

SSL 和 TLS 如何工作?

为了使用 SSL 或 TLS,您需要一个 SSL 证书来建立 SSL/TLS 连接。SSL 证书使用密钥对(公钥和私钥)建立安全连接。当邮件客户端或服务器想要使用 SSL 连接到另一台服务器时,将使用所谓的“SSL 握手”建立 SSL 连接。在此过程中,三个密钥用于建立 SSL 连接 - 公钥、私钥和会话密钥。使用公钥加密的数据只能使用相应的私钥解密,反之亦然。通过公钥和私钥进行加密仅在SSL握手期间进行,以创建对称会话密钥。建立安全连接后,所有传输的数据都将使用会话密钥进行加密。

此图提供了如何建立 SSL 连接的简化概述。

SSL 和 TLS 都通过动态数据加密来保护数据隐私,提供通信通道的服务器端和(可选)客户端加密,并帮助确保消息完整性。

POP、IMAP 和 SMTP 通信通过指定端口传输。默认情况下,IMAP 使用端口 143,POP 使用端口 110,SMTP 使用端口 25。基于 SSL/TLS 的 IMAP 使用端口 993。POP over SSL/TLS 使用端口 995,SMTP over SSL/TLS 使用端口 465。要通过这些连接类型执行 SSL,必须将邮件客户端和邮件服务器都配置为使用正确的端口,并且必须在服务器上安装有效的 SSL 证书。

SSL和TLS有什么区别?

那么SSL和TLS有什么区别呢?TLS 是 SSL 的继承者。它于1999年作为SSL 3.0的升级而引入,因此TLS 1.0与SSL 3.0最相似,有时被称为SSL 3.1,尽管TLS与SSL 3.0不兼容。SSL 的版本号为 1.0、2.0 和 3.0,而 TLS 使用不同的编号模式 – 1.0、1.1、1.2。

由于 TLS 与 SSL 3.0 不兼容,因此客户端和服务器必须就使用哪种协议达成一致。这是通过所谓的“握手”来实现的。如果无法使用 TLS,则连接可能会回退到 SSL 3.0。

在不涉及太多技术的情况下(有很多在线资源可以解释SSL和TLS之间的技术差异),以下是SSL和TLS之间的一些差异:

TLS 有更多警报描述 – 当 SSL 或 TLS 连接遇到问题时,遇到问题的一方将发送警报消息。

SSL 有以下 12 条警报消息:

  • 关闭通知
  • 意外消息
  • 不良记录 MAC
  • 减压失败
  • 握手失败
  • 无证书
  • 证书错误
  • 不支持的证书
  • 证书已吊销
  • 证书已过期
  • 证书未知
  • 非法参数

TLS 具有以下附加警报消息:

  • 解密失败
  • 记录溢出
  • 未知 CA(证书颁发机构)
  • 访问被拒绝
  • 解码错误
  • 解密错误
  • 出口限制
  • 协议版本
  • 安全性不足
  • 内部错误
  • 用户已取消
  • 无需重新协商
  • 不支持的扩展
  • 无法获取证书
  • 无法识别的名称
  • 错误的证书状态响应
  • 错误的证书哈希值
  • 未知的 PSK
  • 无应用协议

TLS 使用 HMAC 进行消息身份验证 - SSL 使用使用 MD5 或 SHA 的消息身份验证代码 (MAC) 验证消息完整性(以确定消息是否已被更改)。另一方面,TLS使用HMAC,允许它与更广泛的哈希函数一起工作 - 而不仅仅是MD5和SHA。

TLS 使用一组不同的密码套件。

密码套件基本上是身份验证、加密、消息身份验证代码 (MAC) 和密钥交换算法的组合,用于协商网络连接的安全设置。

为什么SSL和TLS很重要?

企业有责任保护信用卡信息等财务数据以及姓名、地址、电话号码和医疗信息等消费者记录。如果没有某种形式的加密,无论是通过使用SSL和TLS的加密连接,还是使用Virtru或OpenPGP加密消息本身,敏感数据都可能容易受到黑客和其他形式的未经授权的访问。

推荐哪种方法?

SSL 3.0遭受了一个众所周知的漏洞,称为POODLE漏洞。POODLE 代表 Padding Oracle On Downgraded Legacy Encryption。概述中建议的一种解决方法是在邮件客户端和服务器上完全禁用 SSL 3.0 协议。这可能不切实际,因为它可能会影响仍在使用 SSL 3.0 的旧系统。

我们建议尽可能使用 TLS。TLS 1.2 是目前安全性的最佳版本,但尚未得到普遍支持。直到2009年TLS 1.1+ 才在Windows 7和Windows 2008 R2受到支持。

MDaemon 和邮件安全网关使用的加密协议和密码取决于操作系统,可以通过注册表进行配置。