我正在运行 Debian 邮件服务器,并希望加密从我的域发送到业务合作伙伴域的邮件。此外,加密应该在邮件服务器本身上进行,而不是在邮件客户端上进行。
这可能吗?我已经找到了如何创建一个具有邮件地址“@domain.com”的密钥,但我无法在我们的邮件客户端上使用它,因为它不支持 GnuPG 或 PGP。
答案1
加密邮件传输代理
您想要实现的目标是完全有可能的,但是您需要安装额外的软件,即所谓的“加密 MTA”(邮件传输代理,也称为邮件服务器)。
有多种产品可供选择,G10code 的 GEAM(来自开发 GnuPG 的公司)赛门铁克网关电子邮件加密甚至可能更多。有不同的场景,为所有消息定义一个密钥,在服务器上为每个用户/邮箱存储不同的密钥。
传输加密
但你描述的情况是传输加密因为只需要保护消息的传输,而不保护邮件的处理或存储(如果客户端应用程序不应该执行加密任务,服务器无论如何都必须执行加密任务)。OpenPGP 或 S/MIME 都不是传输加密的错误工具,它们用于加密单个消息。这既有优点也有缺点;如果在您的场景中误用它们,则意味着某些元数据仍未加密(收件人、主题行等),并且实现这一点需要额外的软件,并且与为此目的构建的协议相比,使用起来更为复杂。
您可能应该考虑加密服务器之间的通信。正确配置它们以支持 TLS,并考虑强制与相应的另一台服务器建立 TLS 连接。这将加密全部这些服务器之间的通信包括元数据,并由所有相关的邮件服务器实现开箱即用地支持,最后还将透明地加密与其他邮件服务器的通信(如果可能)。
无论如何,您都应该实施传输加密,并且根据当地立法,在处理个人信息和通信时实际需要加密(但通常没人关心,完全拒绝与任意邮件服务器的未加密通信会阻止与某些同行的通信)。
消息加密
在客户端上加密消息可能仍然很重要。如果 OpenPGP 超出范围(因为安装了其他软件,也可能 OpenPGP 不是此用例的最佳工具),请考虑查看 S/MIME,大多数邮件客户端都原生支持它。