如何配置电子邮件服务以提供(接近)零知识?

如何配置电子邮件服务以提供(接近)零知识?

免责声明——我正在寻找想法,因此我可以看到有些人会开始投反对票并将其标记为不适合 SF,但是,嘿,如果你知道一个更好的地方来问这个问题,那里有一个评论框,不要只是躲在你的点击后面。

我有一台小型生产服务器,与同事和亲密客户共享。有人要求我提供电子邮件服务。我想我从来没有想过这个,但我震惊地发现,各种邮箱格式都以明文形式存储消息,而且几乎没有人关心。所以我想,那些花哨的提供商一定在幕后做了什么。我不一定想到了 ProtonMail,但我猜谷歌确实以某种加密形式存储消息——是的,我意识到这些服务可能已经开发了自己的软件,但嘿。所以我开始阅读,我得到的最接近的是一个相对复杂的 Exim4 设置,涉及一个带有transport_filter每个用户密钥对的 GPG。

事实是,服务器上可能流传的消息不会非常保密,我的同事和客户也足够精明,如果需要,他们会自己使用 GPG。我主要担心的是,这些消息会以明文形式供任何人查看——一旦我不再是唯一管理服务器的人,我就能预见到这种情况的发生,偶尔cat /var/mail/username(或无论如何)就会发生这种情况。最糟糕的是,这些消息将以明文形式备份——没错,我可以加密备份。

正如我所说,我不想提供类似 protonmail 的服务,我只是在寻找某种形式的烟幕弹,以防管理员粗心大意。特别是,在传输过程中,某种形式的明文是必要的,例如防病毒和反垃圾邮件。但是,如果您有更安全、更简单的解决方案,我愿意听取所有建议。

答案1

我只是在寻找某种能够对粗心的管理员提供烟幕的东西。

简短回答:不可以

如果你与管理员打交道第一个、最后一个、也是唯一的一个防御是端到端加密。因此 GPG 就是答案。

谁具有服务器的根访问权限(应该)拥有它,因为他们需要它,并且可能知道服务是如何配置的(以便维护它们或在出现问题时修复它们)。

因此,如果你设置了一些混淆,那么拥有 root 权限的人可能知道这种混淆是如何进行的,并且知道如何解码消息,因此:

  • 它没有添加任何有效的安全层
  • 创造虚假的安全感

安全系统的安全性取决于其秘​​密。谨防伪秘密。

(埃里克·雷蒙德 -大教堂和集市

相反,你应该明智地选择谁有管理员凭据:

  • 他们真的需要它们吗?
  • 对某些特定命令进行适当限制的 sudo 访问是否足够?

其他解决方案:

所有收到的邮件自动进行 GPG 加密

优点:

  • 保护 IMAP 邮箱免受窥视者的保护
  • 即使被盗,数据也是安全的

缺点:

  • 需要正确配置的客户端来阅读邮件(无网络邮件访问权限)
  • 客户必须同意,提供他们的公共 GPG 密钥并配置他们的邮件客户端(需要技术技能)
  • 发件人、收件人、主题和所有标题均未加密(客户必须知晓这一点)
  • 需要一些服务器端的工作和适当的方法来验证客户公钥
  • 邮件以明文形式发送到您的服务器,因此可以在 GPG 加密之前进行窃听

服务器上的全盘加密

优点:

  • 如果服务器或磁盘被盗/被扣押,可以保证数据安全
  • 完全透明,无需特殊配置邮件服务器或其他服务

缺点:

  • 没有管理员保护或服务器被黑客入侵
  • 每次启动时都需要输入密码(如果只有数据分区加密则通过 SSH 或者通过 KVM),并且您必须信任该通道。
  • 你将获得较低的 I/O 性能

使用端到端加密

优点:

  • 最安全的方式,即使你无法访问这些数据

缺点:

  • 客户必须这样做,并且客户联系的人必须是合适的人
  • 为了安全起见,必须对所有收发邮件进行加密,所有在线服务发送的邮件都不要加密(欢迎邮件、密码更改邮件、通知等)

答案2

总是会惊讶地发现,系统管理员(电子邮件服务器)及其所有 C 级好友如何了解您以及您在公司中的通信情况显然并不为人所知。如上文详细提到的,GPG 显然是一种选择 - 您说得对:您的用户可以负责处理它。一旦他们这样做,您(系统广告)就无法再阅读他们的电子邮件了……除非您也有他们的密钥。根据您描述的事实,很多电子邮件用户都没有使用它。

最好的老式方法可能是给他们写一封电子邮件建议他们这样做……但这种方法可能超出了这个平台的目的。无论如何,这是一个非常引人注目的解决方案(恕我直言)。

说了这么多,回到技术选择上:

几年前,在一家提供这种用户管理隐私保护的公司中,我们使用了 PGP(它提供了隐私性很好;-) 这无疑是 GPG 的一个很好的替代品(这些 GNU 人总是想扭曲我们的思想,不是吗?),但它仍然是基于用户的。

请记住,隐私和知识的含义完全不同。从您所写的内容来看,我认为您想要的是为他人提供额外的隐私级别……例如出于某种利他主义的想法或关心敏感信息,以及每个管理员都可以访问这些信息。我认为您这样想很好,如果您这样想,那么对某些用户来说,您可能做得过头了。他们甚至可能不希望您改变每个人都习惯的东西(或习惯于不知道的东西)。因此,如果您想超越让每个人都照顾好电子邮件中包含的敏感信息的水平,并且由于任何原因无法提供个性化加密解决方案……我想您必须采用@Tsumi 非常巧妙地讨论的服务器解决方案,或者您真的想要质子邮件

或者——再一次——您选择上面提到的人性化解决方案——祝您好运,为您的用例找到最佳决策!

相关内容