如何保障电子邮件的安全性
一、我所有邮箱都是 Gmail 或 Google Apps 的,而且都是 IMAP,那么如果我用 Mail,是不是本身就有 SSL 加密了?
答:通过网页介面访问时,Gmail / Google Apps 的邮箱默认是加密的。如用电邮客户端软件访问,Gmail 的 IMAP 和 SMTP 协议都需要走加密通道,配置方法见此。另外,Gmail 也支持加密的 POP3 协议,虽然不推荐大家使用,但是如果你的客户端不支持 IMAP 的话,可以这样设置。
二、在这种情况下,再加上 SSH 隧道 / SOCKS proxy,对加密性有无提高?
答:有提高。SSL 依赖于 Public Key Infrastructure, 这个东西有个致命的缺陷就是默认相信所有的 Certificate Authorities (CA)。问题出在哪里呢?提示:CNNIC 也是一个被接受的 CA。要了解详情可以看这里。
如果你在 Mac OS X 的 Keychain Access.app 里手工移除了 CNNIC ROOT 之后,这个影响就要稍微小些。不过按照计算机安全的基本精神,还是先走 SSH 隧道再加密到 Gmail 保险。
三、有了一和二,还需要数字签名吗?(这里只谈邮件加密,先不考虑伪造身份的问题。)
答:需要。一、二和数字签名解决的是不同层级的问题。前两者只是解决你如何能够安全的连接到 Gmail 的服务器发送和接受邮件的问题,但是并不解决邮件通过 Gmail 服务器和你的收信人、发信人之间的通信的安全。例如,如果你通过 Gmail 给一个使用 163 邮箱的人发信,这过程中如果你的邮件没有加密或者身份验证,那么就有可能被窃听和伪造。
当然如果你发送的对方也是使用 Gmail 邮件服务,那么由于这个邮件中转不需要离开 Gmail 的数据中心,因此相对安全。但是邮件内容还是明文的(SSL 只是保证从你电脑发到 Gmail 服务器这段路程中是加密的),网页版 Gmail 因此才可以索引你的邮件内容提供 AdWords 侧边广告。
四、从加密的角度说,如果我的 Wi-Fi 已经是 WPA / WPA2 了,是不是就没有必要用 VPN 了?
答:有必要。WPA/WPA2 只保证你的电脑到路由器之间的安全连接,但是路由器到 ISP,再到互联网这段是不受保护的。有了 VPN,从你的服务器到你的电脑这整个过程都是加密的,风险少很多。
结论:
一、尽量用 Gmail,或是把你自己架的邮箱的后台程序换成 Google Apps。目前主流的免费邮箱里只有 Gmail 提供全站强制 HTTPS 加密。
二、如果你习惯用电邮客户端软件处理邮件,请到 Gmail 的 Settings >> Forwarding and IMAP/POP 里勾选「Enable IMAP」,并在客户端的设置里改用 IMAP。
三、不要将涉及机密内容的邮件发给任何国内邮箱,以及任何以 .cn 结尾的邮箱。你可以礼貌地向对方说明邮件的机密性,并问对方有没有 Gmail。
四、发送机密邮件时,打开 VPN 或 SSH 隧道 / SOCKS proxy。
五、最好再加上数字签名。
六、把家里的 Wi-Fi 密码改成 WPA / WPA2,不要使用 WEP 密码。
七、用没有密码的 Wi-Fi 信号时,一定打开 VPN 或 SSH 隧道 / SOCKS proxy。