零信任徹底解決郵件安全難題

高楓

零信任是一個安全概念，就是不信任任何人和物，這雖然不是一項新技術，但這是一個創新的安全理念，為當今數字化轉型時代的網絡安全發展指明了方向。特別是在目前全球疫情時期，遠程辦公已經成為常態。據微軟官網統計數據，在商業和教育行業的電子郵件使用量年同比增長28%，而超過90 %的網絡釣魚攻擊都是通過電子郵件進行的，每個月Office 365 檢測并阻止近4 000萬封網絡釣魚郵件。因此，每個組織都必須采取措施來防止和阻止釣魚郵件的安全威脅，這一點非常重要。

那么，如何才能根除這些惡意郵件攻擊呢？先看看2類主要的郵件攻擊方式：

其一：假冒公司總裁或者各政府部門的電子郵件地址給用戶發送欺詐郵件，要求付款或提供重要賬戶信息等。這是由于電子郵件的設計“缺陷”造成的，因為發件人的電子郵件地址是很容易被假冒的。如果收件人郵件服務器設置了SPF發件人策略框架，則欺詐郵件往往就用類似域名來發送欺詐郵件，如admin@micr0soft.com（用0 來替代o）來假冒微軟公司郵件。例如假冒工商銀行的郵件，發件人郵件地址看起來的確是工商銀行域名，欺騙性非常強，用戶點擊了郵件中工行官網鏈接，實際上會鏈接到一個同工行官網一模一樣的網站，讓用戶輸入銀行卡號和密碼，許多用戶就會紛紛中招。

其二：不安全的Web郵件服務登錄方式。Web 方式登錄郵箱的確非常方便，使用任何瀏覽器都能登錄郵箱查看郵件，但是用戶的用戶名和口令往往非常簡單，非常容易被猜到，也非常容易被惡意鍵盤記錄軟件獲得。用戶登錄后，由于所有郵件都是明文，所有郵件中的機密信息都可以輕松被竊取。這里有2 個安全問題：一是用戶名/ 口令認證非常不安全;二是郵件內容本身沒有加密，明文存放。即使是郵件服務器啟用TLS傳輸加密也只能保證郵件在傳輸過程中的安全。

那么，零信任能否解決郵件安全難題？答案當然是可以。零信任的核心思想是不相信任何人，不相信聲稱是公司總裁的電子郵件，因為發件人的郵件地址是可以偽造的。只要堅守這一點，不相信任何有關付款或者提交任何機密信息的郵件，那就不會上當受騙。

當然，僅僅做到以上這一點還是不夠的，并沒有徹底解決郵件欺詐問題。密信郵件加密和數字簽名解決方案實際上就是一個基于PKI技術的零信任郵件安全解決方案，具體主要有如下3點：

第一，不信任沒有數字簽名的郵件。每封郵件都必須有數字簽名，有了數字簽名，欺詐郵件是不可能使用銀行域名郵件地址來發送電子郵件的，因為數字簽名所用的簽名證書是需要驗證郵箱控制權的，假冒銀行郵箱的發件人并沒有真正的銀行郵箱，所以無法拿到綁定銀行郵箱的簽名證書用于數字簽名電子郵件。而如果用類似域名的真實郵箱則由于無法獲得帶有真實單位名稱的簽名證書也就無法使用假冒域名郵箱admin@micr0soft.com 來假冒微軟公司的郵件了，因為綁定單位名稱的簽名證書是需要通過嚴格的第三方CA驗證身份后才能簽發的。也就是說：不信任任何沒有數字簽名的郵件，才能保證不會上當受騙。常用的郵件客戶端軟件如Outlook、密信App 都會驗證數字簽名是否有效和是否可信，密信App 會顯示所有未簽名郵件為“郵件未加密”。

第二，不采用不安全的用戶名/口令認證方式。由于每個用戶都有數字證書，郵件系統可以禁用Web 登錄或者改造用戶名/ 口令的登錄方式為使用數字證書強身份認證登錄，只有這樣才能保證郵箱的Web登錄安全。

第三，不相信明文郵件是安全的，任何號稱安全的郵件服務或郵件安全解決方案，如果郵件內容仍然是明文存放在郵件服務器中，都是不安全的，都不能相信其是安全的。怎么辦？使用密信App 自動加密每一封電子郵件，不僅能保證電子郵件在傳輸過程中的安全，也能保證電子郵件在郵件服務器中是以密文方式存放，即使郵箱口令被盜也無法獲得電子郵件的機密信息，從而保證了郵件機密信息安全。

目前，之所以郵件安全問題非常嚴重，是因為傳統安全廠商的方案只是防護郵件服務器不會被攻擊，這是不夠的。而采用其他登陸位于內網的郵件服務器也不能解決郵件泄密難題！而基于PKI 技術的零信任郵件安全解決方案，不關心郵件服務器是在單位內網還是在公網云上，除了在郵件服務器上部署SSL 證書來保護郵件傳輸鏈路安全外，還必須使用簽名證書來實現強身份認證，替代不安全的用戶名和口令認證。而對于郵件數據本身，還必須用加密證書來加密每一封郵件，而使用密信App 作為郵件客戶端軟件來收發電子郵件能保證存放在郵件服務器上的郵件數據都是密文，即使被非法獲得，由于無法解密而使得拿到的郵件數據成為一堆廢紙，使得各種郵件攻擊失去了攻擊的價值，郵件也就安全了。

常用的郵件客戶端如Outlook 和雷鳥等也支持S/MIME郵件加密和數字簽名，那為何大家都沒有采用數字簽名和加密來保障郵件安全呢？這是因為S/MIME 加密太復雜，有申請證書、交換公鑰和管理密鑰這三道坎把用戶攔在了S/MIME大門外。

只有密信郵件加密和數字簽名解決方案才真正采用了PKI技術和零信任安全理念，徹底解決了郵件安全難題。不信任明文郵件、數字簽名和加密每一封郵件，密信零信任郵件安全解決方案，能真正解決郵件安全難題。