当前位置:主页>资 讯>安全动态>

谷歌/微软/雅虎力推的邮件安全新标准 SMTP STS 究竟好在哪里?

现在的我们,已经有了太多的消息沟通方法,但电子邮件仍旧是目前的信息时代中最常用的沟通方式之一。但是,在安全威胁遍布网络空间的今天,你的电子邮件安全吗?

电子邮件服务已经存在了几十年,其底端的传输层协议:简单邮件传输协议(SMTP)目前已经过于老旧,无法保护电子邮件通信的整体安全性。为了解决这一问题,人们在2002年推出了 SMTP STARTTLS ,它可以使用 TLS 将本不安全的连接升级为安全的。然而,STARTTLS却无法抵御中间人攻击和加密降级攻击。于是……

SMTP STS:让电子邮件更安全

谷歌、微软、雅虎、康卡斯特、领英、1&1 Mail & Media Development 等流行电子邮件服务提供商协同合作,开发出了一种新型的电子邮件标准,可以确保你的电子邮件是通过加密信道传输的,不会遭到窃听。

这种标准被称为 SMTP 严格传输层协议(SMTP STS),它是一种新的安全标准,将改变电子邮件进入你收件箱的方式。SMTP STS 的设计目标是加强电子邮件通信安全性。最近,这一新协议已被提交给互联网工程任务组(Internet Engineering Task Force)。

SMTP STS 的主要目的是杜绝中间人攻击,让 SMTP 协议变得更加安全。但STARTTLS这样的安全协议为什么无法确保电子邮件安全呢?STARTTLS最大的问题在于:

STARTTLS很容易受到中间人和加密降级攻击,因此无法保证消息的机密性、验证服务器的真实性。攻击原理如下:

在STARTTLS电子邮件机制中,如果客户端开始ping服务器,会首先询问服务器是否支持SSL。服务器回复什么在这里并不重要,关键在于以上的握手过程是在未加密环境下完成的。

如果攻击者截取了这一未加密的通信,并改变握手过程,就能使客户相信服务器并不支持加密通信。

总之,如果中间人策略奏效,就能够实现加密降级攻击。哪怕目标服务器支持加密,用户也将使用非SSL方式进行通信。SMTP STS 如何提升邮件安全性?

SMTP STS 在STARTTLS的基础上加强SMTP标准,以防止加密降级和中间人攻击。

SMTP STS 基于两种证书验证策略,TLS 身份验证和 DANE TLSA,它会同时检查收件人是否支持 SMTP STS,是否拥有在有效期内的加密证书。如果一切顺利,它会让信件通过。否则,它会制止电子邮件的发送过程,并将原因告知你。
 


 

简而言之,SMTP STS 弥补了STARTTLS的不足,有效地抵御那些想要主动拦截或修改邮件的黑客。但目前,该标准还停留在草案阶段,一个电子邮件安全的时代还需要我们的等待。

互联网工程任务组考虑这项新提议的期限是六个月,即2016年9月19日到期。

原文链接: http://www.aqniu.com/tools-tech/14653.html

(责任编辑:腰编辑)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

网络间谍小组利用Windows热补丁实现恶意软

网络间谍小组利用Windows热补丁实现恶意软件隐身

在亚洲活动的一个网络间谍小组正使用被称为热补丁(Hotpatching)的Windows即时更新特性...[详细]

1.4G与1T 100万与700万:四起大规模泄露事

1.4G与1T 100万与700万:四起大规模泄露事件相继发生

卡塔尔国家银行被黑,1.4GB数据库泄露 近日,一组未知黑客宣称突破了卡塔尔国家银行的...[详细]

福建一小镇成网购诈骗聚集地:骗子躲山里搭

福建一小镇成网购诈骗聚集地:骗子躲山里搭帐篷

5月3日消息,冒充网站客服办理退款套走现金、冒牌好友发来QQ信息急需用钱、PS图片敲诈...[详细]

严打电信诈骗:违规虚商将被暂停分配新号

严打电信诈骗:违规虚商将被暂停分配新号

日前,工信部官微发布消息称,工信部近期下发了《关于加强规范管理,促进移动通信转售...[详细]

团伙伪造某杂志官网骗钱30万元:声称可发表

团伙伪造某杂志官网骗钱30万元:声称可发表论文

用假网页冒充某健康教育杂志官方网站,网站上声称可以发表论文,汇款后却了无音讯。昨...[详细]

返回首页 返回顶部