全闭环TurboMail邮件系统加密方案
建设好了TurboMail邮件服务器系统的客户,为了保护在使用邮件系统的各个环节中都安全保密,构造在邮件存储、邮件传输、收发邮件的全闭环安全加密的系统,拓波技术支持工程师给用户提供了全闭环邮件系统加密方案。
邮件系统的安全窃密隐患可能会出现在以下几方面:
1) 信息传输的保密性
邮件内容包括很多商业或政府机密,必需保证邮件内容的机密性。然而,传统的邮件系统是以明文的方式在网络上进行流通,很容易被不怀好意的人非法窃听,造成损失。
传输过程包括MTA—>MUA、MUA—>MTA、MTA—>MTA、Webmail?MTA等。
2) Webmail服务的安全性
企业内部的邮件系统是供企业内部使用的,如果开放了webmail到外网,那么其他无关人员也可以看到,为了避免来自恶意人员的威胁,可启用客户端认证功能,只有经过认证的客户端才可以访问webmail。
3) 信息的完整性
由于传统的邮件发送模式,使得邮件中的敏感信息和重要数据在传输过程中有可能被恶意篡改,使得邮件接受者可能收不到完整的邮件信息而造成不必要的损失。
4) 信息的不可抵赖性
由于传统的邮件工作模式(用户名+口令、明文传输等),发信方可以否认发送过邮件,同事收信方也可以否认收取过邮件,很难在出现事故的时候追查某一方的责任 。
5) 数据存储的保密性
传统的邮件是以明文的方式存放在邮件服务器中的,邮件管理员或者其他可以接触到服务器的人员可以查看所有的邮件。
一,Webmail传输安全方案
HTTPS协议是HTTP+SSL构建的可进行加密传输、身份认证的网络协议,可防止数据在传输过程中不被窃取、改变,并确保数据的完整性。 其会话建立的过程,可以简单描述为,先使用非对称加密的方式协商好加密算法(通常是对称加密算法)和加密的密钥,接下来就使用协商好的加密算法进行加密通信,而HTTP协议的全部会话过程都是明文传输的,现任HTTPS比HTTP拥有更好的安全性。如果你稍微留意,就会发现越来越多的站点从HTTP转向了HTTPS。
1, HTTPS加密+单向认证
Server使用HTTPS发布站点,Client无需其他条件就可以访问,并通过该站点提供的证书确认站点是可信,这叫做单向认证。一般Web应用都是采用单向认证的,原因很简单,用户数目广泛且不固定,很难在通讯层做用户身份验证,通常的做法是在应用逻辑层做认证(比如账号密码认证)或者根本不需要认证(比如新闻站点)。 单项认证解决了两个问题:
1) 站点可信;
2) 信息传输的保密性。
TurboMail内置Tomcat,支持HTTPS访问邮箱,并可根据需要关闭HTTPS,只能通过HTTP访问。自建站点,保证了站点可信,通过此策略,主要是保证Web数据交互传输的安全性。
2, HTTPS加密+双向认证
Server通过HTTPS发布站点,Client必须安装被服务器信任的个人证书才可以访问,否则无法看到任何内容,并通过该站点提供的证书确认站点是可信,这叫做双向认证。双向认证是一种更加安全的做法,它将可能遇到的非法请求或其他安全隐患在通讯层就提前阻断,保护站点、服务及数据的隐密性和安全性。
双向认证解决了三个问题:
1) 站点可信;
2) 信息传输的保密性;
3) Webmail服务的安全性。
TurboMail内置Tomcat,全面支持HTTPS双向认证功能。双向认证+逻辑层帐号密码认证+IP登录安全,全面保护用户安全、数据安全、服务安全和站点安全。
二,S/MIME方案:传输加密、存储加密、数字签名
S/MIME方案主要解决的问题有:
1) 信息传输的保密性,通过发信方加密邮件实现,包括MUA—>MTA、MTA?MTA、MTA?MUA的传输保密性;
2) 信息的完整性,通过发信方数字签名实现;
3)信息的不可抵赖性,通过发信方数字签名和收信方的已读信息实现;
4)数据存储的保密性,通过发信方加密邮件实现。
三,存储加密
存储加密解决的问题是:
1)数据存储的保密性;
2)多个管理员同时管理,单个管理员无法查看数据;
3)服务器物理安全,即使硬盘被盗取甚至整个服务器被盗取,数据依然是不可读的。
TurboMail支持邮件数据在服务器上的存储加密,支持第三方加密算法。管理员可将此加密系统部署到其他服务器,邮件服务器由管理员A管理,加密服务器由管理员B管理,优势:
1)支持第三方加密算法,用户可自行选择,当然TurboMail也有自己的加密算法;
2)管理员A和管理员B都无法单独正常查看邮件数据;
3)邮件服务器和加密服务器任何一个服务器出现被入侵等安全事件时,数据均不能被正常查看;
4)服务器物理安全,即使服务器整个被盗取,也无法查看数据。
TurboMail邮件系统不仅提供全闭环加密邮件系统解决方案外,还提供针对用户邮件收发行为的安全管控方案、放垃圾防病毒防邮件诈骗方案等,欢迎用户在产品官网http://www.turbomail.org咨询专业在线客服人员。