找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
积分等级发帖收益的说明江阴论坛帮助汇总江阴论坛管理规则(必看)江阴论坛版主招聘中江阴论坛已运行
查看: 2284|回复: 0

[技术分享] 如何保障电邮通讯的安全性

[复制链接]
发表于 2010-6-4 16:32:57 | 显示全部楼层 |阅读模式
一、我所有邮箱都是 Gmail 或 Google Apps 的,而且都是 IMAP,那么如果我用 Mail,是不是本身就有 SSL 加密了?

答:通过网页介面访问时,Gmail / Google Apps 的邮箱默认是加密的。如用电邮客户端软件访问,Gmail 的 IMAP 和 SMTP 协议都需要走加密通道,配置方法见此。另外,Gmail 也支持加密的 POP3 协议,虽然不推荐大家使用,但是如果你的客户端不支持 IMAP 的话,可以这样设置。

二、在这种情况下,再加上 SSH 隧道 / SOCKS proxy,对加密性有无提高?

答:有提高。SSL 依赖于 Public Key Infrastructure, 这个东西有个致命的缺陷就是默认相信所有的 Certificate Authorities (CA)。问题出在哪里呢?提示:CNNIC 也是一个被接受的 CA。要了解详情可以看这里。

如果你在 Mac OS X 的 Keychain Access.app 里手工移除了 CNNIC ROOT 之后,这个影响就要稍微小些。不过按照计算机安全的基本精神,还是先走 SSH 隧道再加密到 Gmail 保险。

三、有了一和二,还需要数字签名吗?(这里只谈邮件加密,先不考虑伪造身份的问题。)

答:需要。一、二和数字签名解决的是不同层级的问题。前两者只是解决你如何能够安全的连接到 Gmail 的服务器发送和接受邮件的问题,但是并不解决邮件通过 Gmail 服务器和你的收信人、发信人之间的通信的安全。例如,如果你通过 Gmail 给一个使用 163 邮箱的人发信,这过程中如果你的邮件没有加密或者身份验证,那么就有可能被窃听和伪造。

当然如果你发送的对方也是使用 Gmail 邮件服务,那么由于这个邮件中转不需要离开 Gmail 的数据中心,因此相对安全。但是邮件内容还是明文的(SSL 只是保证从你电脑发到 Gmail 服务器这段路程中是加密的),网页版 Gmail 因此才可以索引你的邮件内容提供 AdWords 侧边广告。

四、从加密的角度说,如果我的 Wi-Fi 已经是 WPA / WPA2 了,是不是就没有必要用 VPN 了?

答:有必要。WPA/WPA2 只保证你的电脑到路由器之间的安全连接,但是路由器到 ISP,再到互联网这段是不受保护的。有了 VPN,从你的服务器到你的电脑这整个过程都是加密的,风险少很多。

结论:

一、尽量用 Gmail,或是把你自己架的邮箱的后台程序换成 Google Apps。目前主流的免费邮箱里只有 Gmail 提供全站强制 HTTPS 加密。

二、如果你习惯用电邮客户端软件处理邮件,请到 Gmail 的 Settings >> Forwarding and IMAP/POP 里勾选「Enable IMAP」,并在客户端的设置里改用 IMAP。

三、不要将涉及机密内容的邮件发给任何国内邮箱,以及任何以 .cn 结尾的邮箱。你可以礼貌地向对方说明邮件的机密性,并问对方有没有 Gmail。

四、发送机密邮件时,打开 VPN 或 SSH 隧道 / SOCKS proxy。

五、最好再加上数字签名。

六、把家里的 Wi-Fi 密码改成 WPA / WPA2,不要使用 WEP 密码。

七、用没有密码的 Wi-Fi 信号时,一定打开 VPN 或 SSH 隧道 / SOCKS proxy。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|江阴人家

GMT+8, 2024-12-22 22:48 , Processed in 0.017475 second(s), 16 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表