我记得 SMTP 不安全,并且以纯文本传输。但我们在这些服务器上使用 TLS,它们不支持外部中继。这是否意味着消息是安全的?或者它们是否前往并通过不安全的邮件服务器?
答案1
SMTP 并非不安全,它完美地提供了其设计的安全级别 - 即没有 - 它不能被视为不安全,因为没有安全性可破坏。如果协议旨在提供一定程度的安全但未能实现,则可以将其视为不安全 - WEP 无线安全就是不安全协议的一个例子。
除了语义之外,SMTP 不提供安全性,因此不应将其用作敏感数据的传输。您可能使用 TLS 为 SMTP 服务器提供安全通道,但只有客户端和服务器之间的通信是加密的。电子邮件本身通常以纯文本形式存储在服务器上。
然后,该服务器必须将电子邮件传送到收件人的服务器,然后收件人的服务器必须将电子邮件传送给收件人。电子邮件在途中可能会经过几个跳转,并且无法保证服务器到服务器的跳转和服务器到收件人的跳转是加密的。事实上,通常情况下它们不是加密的。
如果你想使用 SMTP 作为传输数据的安全媒介,那么一个好的解决方案是使用类似通用石油气/PGP 可让您在撰写电子邮件时(自动)加密电子邮件,并仅在目的地解密,并且仅由收件人解密(前提是加密密钥未被泄露,就像任何形式的加密一样)。许多电子邮件客户端都支持 GPG/PGP。
答案2
基本上,SMTP 只是传输平面文件。TLS 加密两个 SMTP 主机之间的传输隧道,但不会加密平面文件本身。
如果您不希望他人阅读您写的内容,您需要自己加密邮件。S/MIME 是许多电子邮件客户端(包括 Outlook 和 Thunderbird)支持的标准。您需要获得证书颁发者认证的证书,以证明您是您本人 - 这可能会花费您金钱或时间。