گواهینامه های دیجیتال

با استفاده از گواهینامه های دیجیتال، ایمیل خود را به صورت رمزنگاری ایمن می کنید. گواهی دیجیتال نوعی رمزگذاری کلید عمومی است. رمزگذاری با اعمال یک تابع ریاضی بر روی فایلی انجام می شود که محتویات فایل را بدون کلید رمزگشایی مناسب غیرقابل دسترسی می کند.

گواهینامه به شما امکان می دهد ایمیل های رمزگذاری شده را با استفاده از یک کلید از پیش تعریف شده دریافت کنید و همچنین پیام های رمزگذاری شده را برای سایر کاربران گواهی ارسال کنید. از این نظر، گواهی دیجیتال شما به عنوان نوعی پاسپورت دیجیتال عمل می کند و هویت آنلاین شما را تایید می کند.

پروتکل های SSL/TLS

SSL (لایه سوکت های امن) سلف TLS (امنیت لایه حمل و نقل) است. هر دو پروتکل های لایه کاربردی هستند که چارچوب امنیتی را فراهم می کنند که با SMTP کار می کند تا ایمیل های شما را ایمن نگه دارد. از سال 2015، SSL رسما منسوخ شد، اما هنوز تعداد نگران کننده ای از وب سایت ها وجود دارند که از آن پشتیبانی می کنند.

کاری که TLS انجام می‌دهد این است که امنیت بیشتری را برای SMTP و حتی برخی دیگر از برنامه‌های ارتباطی کامپیوتری فراهم کند. کلاینت‌های ایمیل با استفاده از TCP (پروتکل کنترل انتقال) پیام‌ها را ارسال و دریافت می‌کنند تا ”دست دادن”. دست دادن مجموعه ای از اقداماتی است که سرویس گیرنده ایمیل و سرور برای تایید امنیت و شروع انتقال ایمیل انجام می دهند.

TLS اجباری و فرصت طلب

دو سرور ایمیل پیکربندی احتمالی TLS تصمیم می‌گیرند که پیام شما ارسال شود یا نه.

اگر پیکربندی‌های شما روی «TLS فرصت‌طلب» تنظیم شده باشد، وقتی پیامی ارسال می‌کنید، سرور شما سعی می‌کند بررسی کند که آیا سرور دریافت‌کننده از TLS پشتیبانی می‌کند یا خیر.

سپس اگر سرور مقصد از TLS پشتیبانی کند، پیام شما از طریق یک کانال ایمن با استفاده از پروتکل TLS ارسال می‌شود.

اما، اگر سرور مقصد از TLS پشتیبانی نکند، پیام به هر حال از طریق یک کانال غیر ایمن ارسال می‌شود. همین بررسی زمانی انجام می‌شود که پیکربندی شما روی «TLS اجباری» تنظیم شود، تنها تفاوت این است که اگر سرور دیگر از پروتکل TLS پشتیبانی نمی‌کند، پیام ارسال نمی‌شود.

چارچوب خط مشی فرستنده

به بیان ساده، SPF استفاده از دامنه ها را در ایمیل ها مجاز می کند.

یکی از تصورات غلط اصلی در مورد SPF این است که مسئول محافظت از شما در برابر جعل است.

“جعل” اصطلاحی است که برای زمانی استفاده می شود که هکرها و هرزنامه ها ایمیل های مخرب خود را پنهان می کنند تا به عنوان پیام هایی از دامنه های سالم ظاهر شوند. در کمال تعجب بسیاری، SPF آدرس فرستنده را کنترل نمی کند – فقط ایمیل ها را در سطح حمل و نقل تأیید می کند. این آدرس‌ها برای کاربر قابل مشاهده نیستند و ممکن است با آدرس‌هایی که در هدر «از» که کاربر می‌بیند متفاوت باشد.

SPF مستقیماً از شما در برابر جعل یا هرزنامه محافظت نمی‌کند، اما سیستم‌های فیلتر هرزنامه را مستقر می‌کند.

در اینجا دو مرحله توضیح داده شده است که چگونه SPF واقعاً کار می کند:

یک خط مشی تنظیم کنید

این خط‌مشی توسط مدیر دامنه منتشر می‌شود و بیان می‌کند کدام سرورهای ایمیل مجاز به ارسال پیام از آن دامنه هستند. این خط‌مشی رکورد SPF نیز نامیده می‌شود و در سیستم نام دامنه (DNS).

IP را شناسایی کنید

هنگامی که یک پیام دریافت می شود، یک سرور ورودی مسیر بازگشت را در DNS بررسی می کند. پس از آن، آدرس IP را با آدرس های IP مجاز در رکورد SPF مقایسه می کند. با استفاده از قوانین این خط‌مشی، پیام را می‌پذیرد، رد می‌کند یا پرچم‌گذاری می‌کند.

DKIM/DMARC

کلیدهای دامنه شناسایی شده ایمیل و تأیید اعتبار پیام مبتنی بر دامنه، گزارش‌ها و انطباق، همراه با SPF، تثلیث مقدس تحویل ایمیل را تشکیل می‌دهند.

DKIM پروتکل دیگری است که به حفظ امنیت ایمیل شما در حین انتقال کمک می کند. به عنوان پسوند SPF، بررسی می کند که پیام از کدام دامنه ارسال شده است و آیا دامنه اجازه ارسال را داده است یا خیر. این کار را با استفاده از امضای دیجیتال انجام می دهد.

DMARC عنصر کلیدی در پروتکل امنیتی ایمیل است، زیرا به SPF و DKIM نیاز دارد تا از کار بیفتد و پس از آن بر روی یک پیام خاص عمل می کند. همچنین دارای یک خط مشی است که در کنار رکورد DNS شما منتشر می شود. اگر به درستی پیکربندی شود، خط‌مشی DMARC می‌تواند به سرور گیرنده بگوید که برخلاف SPF و DKIM چگونه پیام دریافتی را مدیریت کند.

این کار با مطابقت با نام دامنه سرصفحه “From” و نام دامنه “Envelope from” که توسط SPF جمع آوری شده است، پس از آن همین کار را با امضای DKIM اگر بررسی SPF و/یا تأیید اعتبار DKIM ناموفق باشد، پیام رد می‌شود.

MTA/STS

یکی از پیشرفت‌های اخیر در پروتکل‌های امنیتی ایمیل، MTA/STS امکان انتقال رمزگذاری شده امن پیام‌ها را بین سرورهای SMTP.

برای اینکه پروتکل Mail Transfer Agent-Strict Transport Security اجرا شود، خط مشی DNS باید مشخص کند که سرور می تواند یک فایل خط مشی را از یک زیر دامنه خاص واکشی کند. وقتی این خط‌مشی توسط HTTPS واکشی می‌شود، حاوی فهرستی از سرورهای گیرندگان است.

مشکل رمزگذاری اتصال سرور ممکن است حل شود، اما مهاجمان همچنان می توانند به خود سرور دسترسی داشته باشند و اطلاعات ارزشمند را ببینند. این مشکل تنها با اجرای یک روش رمزگذاری سرتاسر قابل حل است.

رمزگذاری انتها به انتها

اگرچه ممکن است عملکردی مشابه با SSL، TLS، و SMTP داشته باشد، این نوع رمزگذاری از یک جنبه مهم متفاوت است، هیچ کس نمی‌تواند پیام را در هیچ نقطه‌ای از فرآیند ببیند تا زمانی که رمزگشایی شود.

این ممکن است عالی به نظر برسد، و ممکن است تعجب کنید که چرا همه ما از رمزگذاری سرتاسر استفاده نمی‌کنیم، اما به این سادگی نیست. ارائه دهندگان جریان اصلی هیچ علاقه ای به ترویج یا ارائه این خدمات ندارند زیرا تقریباً همه آنها به تبلیغات و جمع آوری داده ها بستگی دارند. با این حال، برخی هستند که از رمزگذاری سرتاسر پشتیبانی می‌کنند، مانند Mailfence. com  و Protonmail.com

نتیجه گیری

از سال 2004 شکست داده های ایمیل با جیسون اسمترز، واضح است که ما باید بیش از هر زمان دیگری از حریم خصوصی خود محافظت کنیم. بسیاری از اطلاعات و نقض های داده های دیگر از آن زمان انباشته شده اند، که نشان می دهد میانگین هزینه یک رکورد سرقت شده با اطلاعات محرمانه یا حساس 221 دلار در ایالات متحده است.

اما وقتی شروع به از دست دادن مشتریان و تبلیغات وحشتناکی که شرکت شما دریافت خواهد کرد، هزینه آن افزایش می یابد. با استفاده از ایمیل توسط تقریباً هر کسب و کار و مشتری، ما نمی توانیم اهمیت این پروتکل های امنیتی را دست کم بگیریم.