我了解 SSL/TLS 是什么以及其工作原理。当我发送或接收电子邮件时,几乎总是会出现一个挂锁图标,表示该电子邮件已使用 TLS 加密。但是,当我收到敏感文件时,我通常会收到一条带有链接的消息,指出“您已收到加密电子邮件,请单击此处打开它”。单击链接后会打开第三方网站。我不明白这有什么意义。如果我的电子邮件服务(在本例中为 Gmail)支持 TLS,为什么要使用这种“外部加密服务”?
答案1
但是任何有权限访问电子邮件帐户的人只需单击链接即可打开并解密邮件。
发件人可能会追踪链接的打开时间以及打开设备。如果只是普通附件,他们无法知道其他国家/地区的某人是否阅读了您的所有电子邮件 - 但他们会知道何时有人点击链接,并以此方式收到有关泄密的警报。
此外,发件人可以随时停用该链接。他们无法取消发送消息,因为该消息处于你的收件箱里已经有了,但他们可以删除文件,因为这些文件仍然在他们的系统。
其他原因:
网站的 TLS 通常从浏览器一直延伸到服务器。如果有任何非 TLS 跳转,则它们位于服务器端,因此受“发送者”的控制。
电子邮件则不然。即使发件人知道 TLS 可用于向收件人发送第一的服务器,它不知道接下来会发生什么。一旦被接受,邮件可能会经过更多服务器(负载平衡器、垃圾邮件过滤器、防病毒扫描程序)——所有这些事情都发生在收件人端。
最重要的是,即使 SMTP 投递到您的收件箱全程都是 TLS 安全的,也并不意味着使用 IMAP 或 POP3 的接收也是安全的。如果您使用专用邮件应用程序,并且意外地将其配置为使用纯文本 IMAP,发件人将不知道这一点,您也不会意识到这一点。
当您访问 HTTPS 网站时,浏览器会严格验证证书、强制执行安全密码等。遗憾的是,电子邮件无法对从一个域到另一个域的 SMTP 传递执行这些操作,因为许多收件人的 SMTP 服务器管理不善,证书已过期等。
该服务可能允许托管比您的(或发件人的)邮件服务器接受的更大的文件。例如,仍然有企业邮件系统只接受 1-2 MB,但您只需发送 50 MB 的文件包...