我的一位同事在一家大型金融机构任职,他对 Lotus Notes 进行了定制,使其在受 TLS 保护的消息上显示 TLS 图标。
我有兴趣在 Outlook 中模仿此功能,并相信这需要 VBScript、自定义表单以及可能的 Exchange 中的自定义表单库。
是否有人尝试过根据 NamedProps 或电子邮件标题中可访问的文本来改变电子邮件的显示方式?
答案1
相互强制的 TLS也称为域安全,在 Exchange 2007 及更高版本中受支持。正确配置此功能是金融行业常见的供应商审计要求:大型金融机构要求其供应商和业务合作伙伴根据电子邮件强制实施 TLS域名合作机构。此功能可确保邮件直接发送到接收机构的 Exchange 服务器,并通过 TLS 加密,而无需在途中经过任何不受信任的邮件服务器,从而避免通过不受信任的 SMTP 服务器进行中继。
您所请求的功能(向最终用户标识域安全邮件)已内置于 Microsoft Outlook 中。如果域安全配置正确,则任何以此方式保护传输的邮件都将标有绿色复选标记图标。 你做不是需要脚本或自定义表单才能实现这一点。
答案2
总结
你无法做到你要求的事情。你唯一能做的可靠地从安全角度来看,使用任何真实值进行验证都是对消息本身的加密(S/MIME、PGP 或类似技术)。
长版本
从你的评论来看
在开放互联网上传输的 TLS 安全对于企业(以及许多大型同行企业)来说已经足够了
这听起来就像您的企业(及其“许多大型同行企业”)不了解“在开放互联网上传输的 TLS 安全”在电子邮件安全方面意味着什么。
电子邮件 (SMTP) 是不是点对点连接。这是一场接力赛。
安全类比如下:
- SMTP + TLS 将您的邮件放入空白信封并将其交给街上的陌生人。
- 该人打开信封并阅读信息以查看收件人。
- 如果这条信息是发给他们的,他们就会保留它。
- 如果信息是发给别人的,他们会把它放在一个新的空白信封里,然后把它交给街上的另一个陌生人。
事情在 (2) 中的第二点变得很棘手,因为消息可以被拦截(复制或修改),而不受任何惩罚 - TLS 正在保护这个频道(这样街上的其他人在递交信件时就看不到你的信了)但不是内容,中间服务器需要解密才能知道该消息是发给谁的。
坦白地说,您无法验证通过公共互联网发送的邮件中的 SMTP TLS。您可以查阅标头数据,但标头数据只是每个接触过它的陌生人贴在您的信件上的便条纸而已——标头可能是一堆谎言。
您可以验证最后一个处理您消息的服务器(与您对话的服务器)他们在与您交谈时使用了 TLS,因为您知道该连接的详细信息,但这就是您所能验证的全部,并且不能保护链的其余部分(或如上所述的消息内容)。
至少在我的领域(医学)中,消息链中的 TLS 完全不适合作为身份验证/签名或加密/机密技术——它对于其自身的目的很有用,但在审计中不够可靠。
验证阅读连接(POP、IMAP、RPC/HTTP(Outlook)、Webmail)使用 SSL/TLS 进行保护,但这并不能保护消息本身(也不能确保电子邮件流程的 SMTP 部分具有任何安全性)——它只是防止窥探者在用户下载邮件时从他们的虚拟肩膀上读取信息并保护他们的密码(这非常重要)。