谷歌,微软,雅虎和其他人发布新的电子邮件安全标准
IDC看到可拆卸的2英寸设备的收益,信用Windows 10
Dropbox接受缰绳,脱离AWS和自己的基础架构
保险经纪人根据SSP SaaS平台停机进入第二周时损失业务的成本
CIO采访:Neil Roberts,Digital,Eurostar负责人
微软和谷歌云用户遭受服务中断
苹果iPhone被设备故障和崩溃的应用程序困扰,报告索赔
雅虎突破强调需要严重的一周安全
DJI的幻影4无人机避免了障碍物,追踪人类
英国司法系统设置为数字的“批发转变”
调查发现,许多人不正确地测试灾难恢复计划
Cloudian使Upstore对象存储从AWS上提供
Alsbridge澳大利亚正在扎根
紧急Flash Player修补程序修复积极利用缺陷
Qualcomm服务器芯片现在可以通过云服务使用ARM开发人员
猴子通过无线技术控制思想思想
IPT说,情报机构在十年内非法收集个人数据
报告称,企业对移动威胁危险地自满
AMD的Radeon Pro Duo是一个怪物显卡
新的StepFright利用将数百万Android设备造成风险
RBS测试索赔区块链可以取代英国更快的付款银行清算计划
中小企业是东盟安全的阿基里斯脚跟
近三分之二的美国办公室工作人员不知道赎金软件威胁
新的Chromebook有一个翻转屏幕
CIO采访:Chris White,Clyde&Co
Crowdstrike说,威胁情报键对抗网络犯罪
逮捕Facebook Exec,现在释放,在巴西举起辩论
Microsoft通过Fledgling Edge Extensions重新加入浏览器战争
Rubrik Backup Appliance将物理平台添加到混合云中
Google提供应用程序,以帮助公司评估其供应商的安全性
企业与欧盟 - 美国数据传输不确定性奋斗
Apple iPhone Se Rumors在这里,微小的手
厨师想要破坏Devops工作流程
Mod推出800万英镑未来派技术基金
FBI表示可能已经找到了解锁射击的iPhone的方法
Spacex Rocket Explosion是Facebook Internet项目的挫折
虚拟现实刚刚认真,你应该关注
Talktalk Overhauls宽带包挑战竞争对手
汇丰业务客户可以用Selfie打开帐户作为ID
2016年最佳vmworld欧洲用户奖:候选名单宣布
32中小企业赢得DigitalHealth.London加速器计划
Bad Windows 10 Xbox One Controller驱动器强制Microsoft的手
国家网络安全中心BOSS计划扩大DNS过滤器
艾伦图灵研究所确保了Microsoft云投资500万美元
新加坡模型在3D与智能地图上的整个国家
Microsoft在Office 2016中添加宏锁定功能,以响应越来越多的攻击
Apple iPad Pro变小,说深喉咙 - 发布日期3/15
澳大利亚的低成本闪存存储需求上升
ARM扩展物联网安全团队
人们在紧急情况下信任这个机器人,即使它导致他们误入歧途
您的位置:首页 >电子新闻 >

谷歌,微软,雅虎和其他人发布新的电子邮件安全标准

2021-06-23 19:44:07 [来源]:

来自一些世界上最大的电子邮件服务提供商的工程师共同扎带,以改善遍历互联网的电子邮件流量的安全性。

由Google,Microsoft,Yahoo,Comcast,LinkedIn和1封邮件和媒体开发和技术的工程师设计,SMTP严格的传输安全性是一种新机制,允许电子邮件提供商定义用于建立加密电子邮件通信的策略和规则。

新机制是在上周发布的草案中定义,供互联网工程工作组(IETF)标准。

简单的邮件传输协议(SMTP)用于在电子邮件客户端和服务器之间传输电子邮件消息,以及从一个提供程序到另一个提供程序,返回1982,并未使用任何加密选项构建。

因此,在2002年,将称为StartTLS的扩展名为协议作为一种与SMTP连接的TLS(传输层安全性)包含TLS(传输层安全性)。不幸的是,在以下几十年中,扩展未得到广泛采用,服务器之间交换的电子邮件流量在很大程度上没有加密。

2013年后发生变化,当前美国国家安全机构承包商Edward Snowden泄露了秘密文件,揭示了来自美国,U.K.等国家的情报机构的互联网通信普遍监测。

2014年5月,Facebook每天向用户发送数十亿个通知电子邮件,并找到一个测试,并发现58%的电子邮件通过了与Starttls加密的连接传递。到8月,同年,速率涨至95%。

但有一个问题:与HTTPS(HTTP安全)不同,Starttls允许称为机会主义加密的内容。它没有验证电子邮件服务器呈现的数字证书,在假设中,即使无法验证服务器的身份,加密流量仍然没有而不是什么。

这意味着Starttls连接容易受到中间人攻击的影响,其中一个拦截流量的黑客可以将电子邮件发件人带有任何证书,甚至是自签名,它将被接受,允许为了解密的流量。此外,STARTTLS连接容易受到所谓的加密降级攻击,其中简单地删除了加密。

新提出的SMTP严格传输安全(SMTP STS)解决了这些问题。它为电子邮件提供商提供通知连接TLS可用的客户端和应使用的方法。它还告诉他们如何验证所呈现的证书,如果无法安全地协商TLS连接,应发生的情况。

这些SMTP STS策略由添加到电子邮件服务器的域名的特殊DNS记录定义。该协议为客户端提供了自动验证这些策略并报告任何故障的机制。

服务器还可以告诉客户端以获得特定时间的SMTP STS策略,以防止中间攻击者在尝试连接时从欺诈策略服务。

所提出的协议类似于HTTP严格的传输安全性(HSTS),这意味着通过在浏览器中巩固域的域的HTTPS策略来防止HTTPS降级攻击。然而,它确实假设从特定客户端到服务器的第一个连接在不被截获;否则,可能已经缓存了欺诈性的政策。

根据Google的最新数据,Gmail用户发送到来自世界各地的其他电子邮件提供商的83%的电子邮件是加密的,但在加密的频道上仅收到来自其他提供商的69%的传入电子邮件。

世界各地之间的电子邮件加密中也存在很大的差异,在亚洲和非洲的电子邮件提供商比欧洲和美国的提供商更糟糕。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。