电子邮件安全协议是保护您的电子邮件免受外部干扰的结构。你的电子邮件需要额外的安全协议是有充分理由的。简单邮件传输协议（SMTP）没有内置的安全性。令人震惊，对吧？

许多安全协议与SMTP一起工作。这些协议是什么，它们是如何保护你的电子邮件的。

1ssl/tls如何保证电子邮件的安全

安全套接字层（SSL）及其后续协议传输层安全（TLS）是最常见的电子邮件安全协议，可在电子邮件在internet上传输时对其进行保护。

SSL和TLS是应用层协议。在因特网通信网络中，应用层为最终用户服务标准化通信。在这种情况下，应用程序层提供了一个安全框架（一组规则），该框架与SMTP（也是一个应用程序层协议）一起工作，以保护您的电子邮件通信。

从这里开始，本文的这一部分讨论了TLS，因为它的前身SSL在2015年被完全弃用。

TLS为计算机程序通信提供了额外的隐私和安全性。在本例中，TLS为SMTP提供安全性。

当您的电子邮件客户端发送和接收消息时，它使用传输控制协议（TCP——传输层的一部分，您的电子邮件客户端使用它连接到电子邮件服务器）来启动与电子邮件服务器的“握手”。

握手是电子邮件客户端和电子邮件服务器验证安全和加密设置并开始传输电子邮件本身的一系列步骤。在基本层面上，握手的工作原理如下：

1. 客户端向电子邮件服务器发送“hello”、加密类型和兼容的TLS版本。
2. 服务器使用服务器TLS数字证书和服务器公共加密密钥进行响应。
3. 客户端验证证书信息。
4. 客户机使用服务器公钥生成共享密钥（也称为预主密钥）并将其发送到服务器。
5. 服务器解密秘密共享密钥。
6. 客户机和服务器现在可以使用秘密共享密钥加密数据传输，在本例中是加密电子邮件。

TLS非常重要，因为绝大多数电子邮件服务器和电子邮件客户端都使用它为电子邮件提供基本级别的加密。

机会主义tls和强迫tls

投机取巧TLS是一个协议命令，它告诉电子邮件服务器电子邮件客户端希望将现有连接转换为安全TLS连接。

有时，您的电子邮件客户端将使用纯文本连接，而不是按照前面提到的握手过程来创建安全连接。投机取巧的TLS将尝试启动TLS握手来创建隧道。但是，如果握手过程失败，投机性TLS将退回到纯文本连接并在不加密的情况下发送电子邮件。

强制TLS是一种协议配置，强制所有电子邮件事务使用安全TLS标准。如果电子邮件无法从电子邮件客户端传输到电子邮件服务器，则发送到电子邮件收件人时，邮件将不会发送。

2数字证书

数字证书是一种加密工具，可用于加密电子邮件。数字证书是一种公钥加密。

（不确定公钥加密？阅读每个人都应该知道和理解的最重要的加密术语的第7节和第8节。这将使本文的其余部分更有意义！）

该证书允许人们使用预定义的公共加密密钥向您发送加密的电子邮件，以及为其他人加密您的传出邮件。因此，您的数字证书的工作原理有点像护照，因为它绑定到您的在线身份，其主要用途是验证该身份。

当您拥有数字证书时，您的公钥可供任何希望向您发送加密邮件的人使用。他们用你的公钥加密他们的文档，你用私钥解密。

数字证书不仅限于个人。企业、**组织、电子邮件服务器和几乎任何其他数字实体都可以拥有一个数字证书，用于确认和验证在线身份。

三。基于发送方策略框架的域欺骗保护

发送方策略框架（SPF）是一种从理论上防止域欺骗的身份验证协议。

SPF引入了额外的安全检查，使邮件服务器能够确定消息是否来自域，或者某人是否正在使用域来掩盖其真实身份。域名是互联网的一部分，属于单一名称。例如makeuseof.com网站“是一个域。

黑客和垃圾邮件发送者在试图渗透系统或欺骗用户时，会定期屏蔽他们的域，因为域可以通过位置和所有者进行跟踪，或者至少被列入黑名单。通过欺骗恶意电子邮件作为一个健康的工作域，他们有更好的机会，一个毫无戒心的用户点击或打开一个恶意附件。

发件人策略框架有三个核心元素：框架、身份验证方法和传递信息的专用电子邮件头。

4dkim如何保证电子邮件的安全

域密钥识别邮件（DKIM）是一种防篡改协议，可确保邮件在传输过程中保持安全。DKIM使用数字签名检查电子邮件是否由特定域发送。此外，它还检查域是否授权发送电子邮件。其中，它是SPF的一个扩展。

实际上，DKIM使开发域黑名单和白名单变得更容易。

什么是dmarc公司(dmarc)？

电子邮件安全协议锁中的最后一个密钥是基于域的消息验证、报告和一致性（DMARC）。DMARC是一个验证SPF和DKIM标准的身份验证系统，用于防止来自域的欺诈活动。DMARC是对抗域欺骗的关键特性。然而，相对较低的采用率意味着欺骗仍然猖獗。

DMARC的工作原理是防止欺骗“header from”地址。它通过以下方式实现：

• 匹配“header from”域名和“envelope from”域名。“信封来自”域是在SPF检查期间定义的。
• 将“header from”域名与DKIM签名中的“d=domain name”匹配。

DMARC指导电子邮件提供商如何处理任何传入的电子邮件。如果电子邮件未能满足SPF检查和/或DKIM身份验证，则会被拒绝。DMARC是一种允许各种大小的域保护其名称不受欺骗的技术。然而，这并不是万无一失的。

还有一个小时吗？上面的视频详细介绍了SPF，DKIM和DMARC的非常详细的使用真实世界的例子。

6使用s/mime的端到端加密

安全/多用途Internet邮件扩展（S/MIME）是一种长期存在的端到端加密协议。S/MIME在电子邮件发送之前对其进行加密，但不加密发件人、收件人或电子邮件头的其他部分。只有收件人才能解密您的邮件。

S/MIME由电子邮件客户端实现，但需要数字证书。大多数现代电子邮件客户端都支持S/MIME，不过您必须检查对首选应用程序和电子邮件提供商的特定支持。

什么是pgp/开放pgp(pgp/openpgp)？

Pretty Good Privacy（PGP）是另一种长期存在的端到端加密协议。但是，您更有可能遇到并使用它的开源对应程序OpenPGP。

OpenPGP是PGP加密协议的开源实现。它会收到频繁的更新，你会在众多的现代应用和服务中找到它。与S/MIME一样，第三方仍然可以访问电子邮件元数据，例如电子邮件发件人和收件人信息。

您可以使用以下应用程序之一将OpenPGP添加到电子邮件安全设置中：

• Windows: Windows users should check out Gpg4Win
• macOS: macOS users should check out GPGSuite
• Linux: Linux users should see GnuPG
• Android: Android users should check out OpenKeychain
• iOS: iOS user? Look at PGP Everywhere

每个程序中OpenPGP的实现略有不同。每个程序都有不同的开发人员使用OpenPGP协议来加密您的电子邮件。然而，它们都是可靠的加密程序，你可以信任你的数据。

OpenPGP也是一种最简单的方法，可以跨多种平台为您的生活添加加密。

为什么电子邮件安全协议很重要？

电子邮件安全协议是非常重要的，因为它们增加了电子邮件的安全性。你的电子邮件本身就很脆弱。SMTP没有内置的安全性，以纯文本发送电子邮件（即，没有任何保护，任何截获它的人都可以阅读）是有风险的，特别是如果它包含敏感信息的话。

想了解更多关于加密的知识吗？了解五种常见的加密算法，以及为什么不应该信任自己的加密来保护数据。