RSA2017：Gmail将引入SMTP严格传输安全

2月16日在RSA 2017会议上，Google反滥用研究团队负责人Elie Bursztein表示，Gmail有望在今年某段时间向电子邮件服务引入SMTP Strict Transport Security(SMTP严格传输安全，简称SMTP STS)机制。

最早的电子邮件通信标准为1982年提出的简单邮件传输协议(Simple Mail Transfer Protocol，SMTP)，SMTP不包含任何加密功能，2002年出现了添加TLS加密功能的SMTP STARTTLS。有别于SMTP传输明文数据，SMTP STARTTLS采用基于TLS的加密通信，保障电子邮件通信安全。

但是STARTTLS仍有其不足之处，它缺乏认证电子邮件服务器证书的能力，仅验证是否存在TLS证书，无法验证证书所有者及证书有效性，允许黑客使用伪造、被盗或其他不受信任的恶意证书伪装成邮件服务器，劫持加密流量。

Elie Bursztein在RSA 2017会议上说，SMTP STS类似为电子邮件提供的HTTPS证书钉，它将根据可信公钥列表验证TLS证书，仅接受特定的TLS连接，并拒绝任何其他连接，它将成为中间人攻击的主要障碍。谷歌、微软、雅虎和Comcast预计今年将采用这一标准，其草案已于2016年3月提交给IETF。

Gmail还添加了视觉提示，比如在收件箱中显示断开的锁，指示要发送的电子邮件以明文发送，更好地推动了HTTPS加密的实施。数据显示，从其他提供商到Gmail的入站邮件80%已加密，而从Gmail到其他提供商的出站邮件87%已加密，这项数据在2014年6月分别是65%和50%。

SSL证书是邮件服务器执行SMTP STS的重要元素，沃通SSL证书Pre系列产品支持所有浏览器和各种新老操作系统，支持各种新老移动终端。为邮件服务器部署沃通SSL证书，保护服务器与客户端之间的数据传输安全，防止中间人窃取和篡改;邮件接收服务器(POP3/IMAP) 和发送服务器(SMTP) 部署沃通SSL证书，确保链路加密;使用沃通超安SSL Pre可以浏览器中显示醒目绿色地址栏及组织名称，安全可信。沃通提供细致的本地化客户服务和专业的一对一技术支持，帮助用户应对各类复杂应用场景，更加快捷地完成证书部署。

相关资讯：

Gmail安全再升级:Google将对未加密邮件提出警告

为了应对未来一些可能的新的信息安全威胁,进一步强化Gmail用户通信安全,Google正在开发能警告用户未加密信件的工具,并预计在未来几个月陆续续部署。

100万Gmail邮箱遭政府黑客攻击,谷歌进一步提升邮箱安全警示

谷歌确认最近有100万的Gmail账户被政府黑客攻击,他们已经采取措施提升邮箱安全警示服务,保护用户免受政府黑客和监视活动的攻击。

安全电子邮件系统解决方案

Gmail和Hotmail已经是全网全时都是https加密; (2) 使用客户端证书用于 Web 方式登录的强身份认证,替代不安全的用户名和密码方式认证;...

电子邮件服务提供商电子邮件信息安全解决方案

我们同样还是先来看看免费电子邮箱先驱 Hotmail 是如何做的,再看看 Gmail 和 Yahoo Mail 是如何做的,相信对各位电子邮件服务提供商一定有所启发。如下图 1 所示...