3月22日消息,據國外媒體報道,上周五谷歌、微軟以及雅虎等硅谷主要科技巨頭聯合提交了名為SMTP STS(基于嚴格安全傳輸)的電子郵件傳送協議。
STMP(簡單電子郵件協議)面世于1982年,由于彼時互聯網內僅有數千臺計算機,線上安全監管并不是問題。因此其并不是一項安全的電子郵件傳輸協議。
隨著網絡的不斷發展,網絡犯罪以及黑客逐漸浮出水面。科技公司開發出STARTTLS協議作為SMTP協議的擴展,通過STARTTLS使用加密渠道發送電子郵件。
然而,STARTTLS并不像想象的那樣安全可靠。由于設計上的缺陷,STARTTLS允許網絡攻擊者欺騙對方郵件服務器,并向郵件發送端傳遞關于郵件接收端不支持加密協議的信息,從而使郵件發送端發送未加密的明文數據。
正是由于這個漏洞的客觀存在,網絡安全研究人員用SMTP STS協議解決這一安全問題。
理論上講,SMTP STS之于SMTP,就如同HSTS(嚴格傳輸安全的超文本傳輸協議)之于HTTPS(基于安全套接層的超文本傳輸協議)。在建立電子郵件傳輸信道的過程中,SMTP STS提供了消息加密機制以及服務器認證機制,這如同HSTS機制與HTTPS共同工作,以避免SSL降級和中間人攻擊等安全問題的發生。
SMTP STS允許參與電郵傳輸的雙方服務器能夠以加密方式驗證對方,并以安全的方式傳送郵件。這能夠有效防止外部篡改。
目前,協議僅僅是IEEE的一項草案。但該協議的提交者包括微軟、谷歌、雅虎、LinkedIn以及Comcast等一系列知名科技公司。有如此多的科技巨頭為其撐腰,SMTP STS有望成為一項正式協議。
京公網安備 11010502049343號