傳輸層安全性 (TLS) 是一種加密郵件並以安全方式傳遞郵件的通訊協定,其作用是在郵件伺服器之間防止竊取和「詐騙」。為了確保電子郵件安全性,TLS 會以兩種基本方式運作:
加密郵件:TLS 會使用公開金鑰基礎結構 (PKI) 來加密郵件伺服器之間的郵件,這樣做會讓駭客難以攔截和檢視郵件。
驗證郵件:TLS 驗證會使用數位憑證來確認傳送 (或接收) 郵件的伺服器確實是郵件識別碼所指出的伺服器,這樣做有助於防止詐騙。
在電子郵件中會用到的憑證分為三種:SSL 憑證、數位簽章的憑證、用戶端 TLS 憑證。
1.
SSL 憑證:安裝於郵件伺服器上面,適用於伺服器與用戶端之間的連線。郵件伺服器藉著有效的 SSL 憑證才能向用戶端證明自己的身份並做加密連線。
2.
數位簽章: 安裝於用戶端的郵件軟體內,用於寄信端和收信端往返電子郵件之內。
範例:
Ⅰ. A 寄信給 B 時,寄出的信件中有 A 的數位簽章證明 A 是 A;A 發出屬於 A 的憑證供 B 在回信時對信件加密之用。
Ⅱ. B 回信給 A 時,寄出的信件中有屬於 B 的數位簽章證明 B 是 B; B 發出屬於 B 的憑證供 A 在日後回信時對信件加密之用;B 會用 A 發出的憑證(A 的憑證會被自動匯入 B 的郵件軟體中)對回信內容作加密的動作
Ⅲ. A 在收到 B 的回覆時,A 必須使用自己的私密金鑰開啟被加密的郵件;同時 B 的憑證會被自動匯入 A 的郵件軟體中供 A 日後寫信給 B 時加密之用。
3.
用戶端 TLS 憑證:安裝於用戶端的郵件軟體內,適用於用戶端向郵件伺服器證明自己身分的時候,如同輸入密碼一般。用戶端先從郵件伺服器端得到一個憑證檔案,安裝在郵件軟體之後並在郵件軟體上做好設定,在登入郵件伺服器時,會自動做身份認證交涉。
以上,SSL 憑證和數位簽章都是必須由受信任的憑證簽署單位 (Trusted CA),例如: Verysign, Comodo等等,簽發才有公信力。若是由使用者自的作業系統或郵件伺服器本身簽發的憑證(自簽憑證)對身份證明沒有作用;用戶端 TLS 憑證則是由郵件伺服器內部發出。這些都設定好時,郵件伺服器,用戶端,收信端在資訊傳輸之間都受到保護。
該如何安裝及設定順序呢?
1. 郵件伺服器先裝好時就為郵件伺服器申請 SSL 憑證;
2. 使用者郵件帳戶建置後,發出 TLS 憑證給該用戶端,日後登入時,可使用 TLS 憑證登入,多加一層資安保障。
3. 使用者在與網路上其他人做信件來往時,可相互的做數位簽章的交換,藉此也能做到信件的加密。
要如何判斷郵件伺服器是否具備 TLS 功能?
有兩種基本方式可判斷伺服器是否具備 TLS 功能:
Ⅰ. 從伺服器傳送和接收郵件,然後檢查郵件的標頭。如果您看見任何有關 TLS 的項目,就表示伺服器很可能已啟用 TLS。
Ⅱ. 使用 Telnet 連線來測試伺服器。
以下是 Telnet 測試的範例,其中顯示 STARTTLS 選項就代表具有TLS功能。您可以在任何郵件伺服器上執行這項測試。
1. 執行 telnet 郵件主機 25
2. 輸入 ehlo test
3. 輸入 starttls
4. 如果出現 “220 Ready to start TLS” 或 “220 Go ahead with TLS” 表示伺服器準備要啟動 TLS 連線
資料來源:
1. EVO Software Production.
2. Microsoft Technet.
