我的一个朋友多年来一直经营一家小型非营利机构,为因战争而流离失所的难民提供援助(住所、食物、医疗用品)。
由于当前事件,她问我她和她的员工是否可以保护他们的电子邮件安全?
他们的网站是 GoDaddy 上托管的网站,是否有任何服务可以通过添加非技术人员可以使用的加密形式来增强他们的电子邮件?
我能想到的所有方法都超出了他们的技术能力。我正在寻找一种在安全性和用户友好性之间取得平衡的服务。
答案1
电子邮件加密? 电子邮件不安全。
也就是说,对你的客户来说最好的办法是让所有的信息都在一个受控的网站上接收,或者门户网站。与许多银行和信贷公司向您发送电子邮件的方式类似,它们会指导您通过其网站检索信息。用户需要创建一个帐户才能检索信息,然后您可以通过以下方式跟踪谁收到了哪些信息IP 地址在时间。
您还需要保护您的网站,使用公共/共享托管服务提供商进行托管将是第一个变化,随后立即添加 SSL。
我希望其他答案,例如 TLS 加密(传输层安全性)或 PGP 和 S/MIME 电子邮件消息加密,但所有这些都很复杂。
第三种选择是使用第三方电子邮件网关,该网关要求用户通过门户访问电子邮件,其中一种流行的网关是 ZIX。您仍然需要保护您与 ZIX 电子邮件网关之间的所有通信(TLS1.2 很常见),但与此相关的成本可能低于构建某项服务所需的人工成本。
电子邮件欺骗?如果你想保护你的电子邮件来源,在 godaddy 上你需要使用第三方 ESP(电子邮件服务提供商),例如 mandrillapp 或 sendgrid,然后实施 SPF/DKIM/DMARC 来安全的您的电子邮件来源。
答案2
正如雅各布所说,简单的电子邮件加密形式实际上并不存在。但是,您绝对可以训练您的用户使用 S/MIME 来加密他们的电子邮件。我发现 S/MIME 比 GPG 更简单,并且受到更多客户端的支持。
要设置 S/MIME,您首先需要您的用户获得 S/MIME 证书。Comodo 提供免费 S/MIME 证书很容易得到。唯一的缺点是你需要全部要求您的用户获取 S/MIME 证书。如果其中某些用户未获取证书并安装证书,那么您最终会收到未加密的电子邮件(如果以未加密方式发送)或无法打开的电子邮件(如果以加密方式接收),这两种情况都不是好事。
S/MIME 证书的安装因客户端而异,因此我建议针对用户使用的每个客户端进行查找。对于 OS X Mail 来说,这相当简单,但在 iPhone 等设备上可能会稍微复杂一些。您无法绕过安装过程,但这对您来说比对您的用户来说更麻烦。如果电子邮件很敏感,您的用户不应该在他们的个人 iPhone 或设备上访问公司电子邮件。请注意,如果安装了不同的邮件程序(OS X Mail 和 Outlook),则需要为您想要发送和接收加密电子邮件的每个客户端安装证书。
现在,一旦证书安装在所有客户端计算机上,好戏就开始了。由于 S/MIME 依赖于公钥/私钥技术(与 GPG 相同),因此需要进行一些公钥交换。发送者(用户 A)第一次想要发送加密消息时,他需要获取收件人(用户 B)的公钥。现在,这基本上是通过让用户 B 向用户 A 发送签名消息来实现的。下面是一个示例交换。
来自:用户 A
收件人:用户 B
嘿!我想把这份文件加密后发给你。这是我第一次给你发送加密内容,你能用签名消息回复吗?我已经签署了这条消息,所以你给我的回复也是加密的。
来自:用户 B
收件人:用户 A
嘿!我已经签署了此消息,你现在应该有我的公钥了。
来自:用户 A
收件人:用户 B
太棒了!这是用我的私钥加密的文档。
现在,一旦交换了密钥,就不需要再进行这种交换了。密钥存储在计算机的“钥匙串”中并保存。如果钥匙串很重要,建议备份,但这不是必要的。您不需要一开始就为每个用户交换密钥。当他们需要发送加密内容时,您可以随时让他们这样做。
这就是使用 S/MIME 发送加密电子邮件的基本知识。这有点复杂,但也不是太复杂。最难的部分就是在每个单独的邮件客户端上安装证书。
编辑:您也应该为您的网站获取 SSL 证书,而不仅仅是您的电子邮件。您可以使用让我们加密只要您有服务器的 root 访问权限,即可获得免费、有效的 SSL 证书。还有一些 Let's Encrypt 实现不需要 root 访问权限,但我个人无法保证。一些共享托管提供商也支持 Let's Encrypt,因此请向他们咨询。