由于傳統(tǒng)的郵件傳輸協(xié)議（SMTP）并沒有內(nèi)置安全防護元素，因此電子郵件系統(tǒng)需要額外的安全協(xié)議來保護系統(tǒng)運營安全。本文收集整理了目前常用的郵件安全協(xié)議并對其進行簡單介紹。

1. SSL/TLS應(yīng)用層安全協(xié)議

安全套接層（SSL）及后續(xù)的技術(shù)傳輸層安全（TLS）都是應(yīng)用層安全協(xié)議，也是兩種最常見的郵件安全協(xié)議，可以保護在互聯(lián)網(wǎng)上傳輸?shù)泥]件。在互聯(lián)網(wǎng)通信網(wǎng)絡(luò)中，應(yīng)用層為終端用戶服務(wù)的通信實現(xiàn)了標準化。在這種情況下，通過應(yīng)用層提供一個安全框架（一組規(guī)則），可以與SMTP（也是一種應(yīng)用層協(xié)議）共同確保郵件通信的安全。

由于SSL目前已經(jīng)逐步被優(yōu)化，企業(yè)需要更多關(guān)注其后續(xù)技術(shù)TLS，它為計算機程序通信提供額外的私密性和安全性，其中就包括了給郵件系統(tǒng)的SMTP協(xié)議提供額外安全性保護。TLS之所以非常重要，是由于絕大多數(shù)的郵件服務(wù)器和郵件客戶端使用它為郵件提供基本級別的加密。

在具體應(yīng)用中，TLS協(xié)議包括了機會型TLS和強制型TLS，其中：機會型TLS會告訴郵件服務(wù)器，需要將現(xiàn)有的客戶端連接轉(zhuǎn)換成安全的TLS連接；而強制型TLS會強制所有往來的郵件都使用安全的TLS標準，否則將不會被發(fā)送出去。

2. 數(shù)字證書

數(shù)字證書是一種公鑰加密工具，能夠通過加密來保護郵件。通過數(shù)字證書，可以讓使用者應(yīng)用預(yù)定義的公共密鑰，向收件人發(fā)送經(jīng)過加密的郵件，因此，數(shù)字證書有點像護照：它與用戶的在線身份綁定，其主要用途是驗證這個身份。

如果使用數(shù)字證書，其公鑰也可供任何想給該用戶發(fā)送加密郵件的人使用。他們可以使用用戶的公鑰來加密文檔，而用戶可以用私鑰來解密。數(shù)字證書并不僅限于個人使用。企業(yè)、政府組織、郵件服務(wù)器及幾乎數(shù)字實體都可以擁有數(shù)字證書，以確認和驗證郵件用戶的在線身份。

3. SPF域名驗證協(xié)議

域名系統(tǒng)是互聯(lián)網(wǎng)的重要基礎(chǔ)，代表了某個實體的線上地址。發(fā)送方策略框架（SPF）是一種可以防范域名欺詐的驗證協(xié)議。SPF引入了額外的安全檢查，使郵件服務(wù)器能夠確定郵件是否來自真正的域名或是否有人冒用該域名來隱藏真實身份。

由于域名可用來追蹤確定位置和所有者，因此黑客和垃圾郵件發(fā)送者在企圖滲入系統(tǒng)或欺騙用戶時經(jīng)常會隱藏其域名。如果不法分子讓惡意郵件冒充是正規(guī)域名發(fā)來的郵件，毫無戒備的用戶更容易點擊或打開惡意的附件。發(fā)送方策略框架有三大驗證要素：框架、驗證方法以及傳輸信息的專用郵件標頭。

4. DKIM郵件防篡改協(xié)議

域密鑰識別郵件（DKIM）是一種防篡改的協(xié)議，可以確保郵件在傳輸過程中的內(nèi)容完整性和安全性。DKIM實際上是SPF的一種擴展，它使用數(shù)字簽名來檢查郵件是否由特定域發(fā)送的。此外，它可以檢查該域是否授權(quán)郵件發(fā)送。在實際操作中，DKIM讓用戶更容易創(chuàng)建域黑名單和白名單。

5. DMARC身份驗證協(xié)議

電子郵件安全的重要一環(huán)是基于域的消息驗證、報告和一致性比對。DMARC協(xié)議正是一種身份驗證系統(tǒng)，可用于驗證SPF和DKIM標準，以防止源自域名的欺詐活動。DMARC是對付域名欺詐的一種有效手段，但目前的實際采用率并不高，這也意味著未來的郵件欺詐態(tài)勢仍可能會進一步惡化加劇。

DMARC通過阻止有人欺詐“header from”地址來提供防護，它可以明確指令郵件服務(wù)提供商如何安全處理收到的郵件。如果某個郵件無法通過SPF檢查或DKIM驗證，該郵件將被拒絕。盡管DMARC不能做到萬無一失，但總體上是一種能夠讓各種域名系統(tǒng)免受欺詐的協(xié)議技術(shù)。

6. S/MIME端到端加密協(xié)議

安全/多功能互聯(lián)網(wǎng)郵件擴展（S/MIME）是一種歷史悠久的端到端加密協(xié)議。S/MIME在郵件發(fā)送之前對其進行加密，但并不對發(fā)件人、收件人或郵件標頭的其他部分進行加密。只有收件人才能解密郵件。

S/MIME由郵件客戶端實施，但需要數(shù)字證書。大多數(shù)現(xiàn)代郵件客戶端都可以支持S/MIME協(xié)議，不過你需要確認支持所選定的應(yīng)用程序和郵件服務(wù)提供商。

7. PGP/OpenPGP端到端加密協(xié)議

Pretty Good Privacy（PGP）是另一種廣泛應(yīng)用的端到端加密協(xié)議。然而，我們更有可能遇到并使用另一個版本OpenPGP，這是實現(xiàn)PGP加密協(xié)議的開源版本。它經(jīng)常更新，并用于眾多現(xiàn)代應(yīng)用程序和服務(wù)中。與S/MIME一樣，第三方用戶仍然可以訪問郵件元數(shù)據(jù)，比如郵件發(fā)件人和收件人信息。

用戶可以在各種操作系統(tǒng)上將OpenPGP添加到郵件安全系統(tǒng)，包括Windows、macOS、Linux、Android以及iOS等。在不同版本的系統(tǒng)上實現(xiàn)OpenPGP的方式略有不同，但是它們都是可靠的加密程序，可以將郵件數(shù)據(jù)放心地交由它們。OpenPGP可以說是目前跨平臺添加加密機制的最簡單方法之一。