全閉環(huán)TurboMail郵件系統(tǒng)加密方案

建設(shè)好了TurboMail郵件服務(wù)器系統(tǒng)的客戶，為了保護(hù)在使用郵件系統(tǒng)的各個(gè)環(huán)節(jié)中都安全保密，構(gòu)造在郵件存儲(chǔ)、郵件傳輸、收發(fā)郵件的全閉環(huán)安全加密的系統(tǒng)，拓波技術(shù)支持工程師給用戶提供了全閉環(huán)郵件系統(tǒng)加密方案。

郵件系統(tǒng)的安全竊密隱患可能會(huì)出現(xiàn)在以下幾方面：

1) 信息傳輸?shù)谋Ｃ苄?/p>

郵件內(nèi)容包括很多商業(yè)或政府機(jī)密，必需保證郵件內(nèi)容的機(jī)密性。然而，傳統(tǒng)的郵件系統(tǒng)是以明文的方式在網(wǎng)絡(luò)上進(jìn)行流通，很容易被不懷好意的人非法竊聽，造成損失。

傳輸過程包括MTA—>MUA、MUA—>MTA、MTA—>MTA、Webmail?MTA等。

2) Webmail服務(wù)的安全性

企業(yè)內(nèi)部的郵件系統(tǒng)是供企業(yè)內(nèi)部使用的，如果開放了webmail到外網(wǎng)，那么其他無關(guān)人員也可以看到，為了避免來自惡意人員的威脅，可啟用客戶端認(rèn)證功能，只有經(jīng)過認(rèn)證的客戶端才可以訪問webmail。

3) 信息的完整性

由于傳統(tǒng)的郵件發(fā)送模式，使得郵件中的敏感信息和重要數(shù)據(jù)在傳輸過程中有可能被惡意篡改，使得郵件接受者可能收不到完整的郵件信息而造成不必要的損失。

4) 信息的不可抵賴性

由于傳統(tǒng)的郵件工作模式（用戶名＋口令、明文傳輸?shù)龋�，發(fā)信方可以否認(rèn)發(fā)送過郵件，同事收信方也可以否認(rèn)收取過郵件，很難在出現(xiàn)事故的時(shí)候追查某一方的責(zé)任 。

5) 數(shù)據(jù)存儲(chǔ)的保密性

傳統(tǒng)的郵件是以明文的方式存放在郵件服務(wù)器中的，郵件管理員或者其他可以接觸到服務(wù)器的人員可以查看所有的郵件。

一，Webmail傳輸安全方案

HTTPS協(xié)議是HTTP+SSL構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，可防止數(shù)據(jù)在傳輸過程中不被竊取、改變，并確保數(shù)據(jù)的完整性。 其會(huì)話建立的過程，可以簡單描述為，先使用非對(duì)稱加密的方式協(xié)商好加密算法（通常是對(duì)稱加密算法）和加密的密鑰，接下來就使用協(xié)商好的加密算法進(jìn)行加密通信，而HTTP協(xié)議的全部會(huì)話過程都是明文傳輸?shù)模�現(xiàn)任HTTPS比HTTP擁有更好的安全性。如果你稍微留意，就會(huì)發(fā)現(xiàn)越來越多的站點(diǎn)從HTTP轉(zhuǎn)向了HTTPS。

1， HTTPS加密+單向認(rèn)證

Server使用HTTPS發(fā)布站點(diǎn)，Client無需其他條件就可以訪問，并通過該站點(diǎn)提供的證書確認(rèn)站點(diǎn)是可信，這叫做單向認(rèn)證。一般Web應(yīng)用都是采用單向認(rèn)證的，原因很簡單，用戶數(shù)目廣泛且不固定，很難在通訊層做用戶身份驗(yàn)證，通常的做法是在應(yīng)用邏輯層做認(rèn)證（比如賬號(hào)密碼認(rèn)證）或者根本不需要認(rèn)證（比如新聞?wù)军c(diǎn)）。 單項(xiàng)認(rèn)證解決了兩個(gè)問題：

1） 站點(diǎn)可信；

2） 信息傳輸?shù)谋Ｃ苄浴?/p>

TurboMail內(nèi)置Tomcat，支持HTTPS訪問郵箱，并可根據(jù)需要關(guān)閉HTTPS，只能通過HTTP訪問。自建站點(diǎn)，保證了站點(diǎn)可信，通過此策略，主要是保證Web數(shù)據(jù)交互傳輸?shù)陌踩�性�?

2， HTTPS加密+雙向認(rèn)證

Server通過HTTPS發(fā)布站點(diǎn)，Client必須安裝被服務(wù)器信任的個(gè)人證書才可以訪問，否則無法看到任何內(nèi)容，并通過該站點(diǎn)提供的證書確認(rèn)站點(diǎn)是可信，這叫做雙向認(rèn)證。雙向認(rèn)證是一種更加安全的做法，它將可能遇到的非法請(qǐng)求或其他安全隱患在通訊層就提前阻斷，保護(hù)站點(diǎn)、服務(wù)及數(shù)據(jù)的隱密性和安全性。

雙向認(rèn)證解決了三個(gè)問題：

1） 站點(diǎn)可信；

2） 信息傳輸?shù)谋Ｃ苄裕?/p>

3） Webmail服務(wù)的安全性。

TurboMail內(nèi)置Tomcat，全面支持HTTPS雙向認(rèn)證功能。雙向認(rèn)證+邏輯層帳號(hào)密碼認(rèn)證+IP登錄安全，全面保護(hù)用戶安全、數(shù)據(jù)安全、服務(wù)安全和站點(diǎn)安全。

二，S/MIME方案：傳輸加密、存儲(chǔ)加密、數(shù)字簽名

S/MIME方案主要解決的問題有：

1） 信息傳輸?shù)谋Ｃ苄裕�通過發(fā)信方加密郵件實(shí)現(xiàn)，包括MUA—>MTA、MTA?MTA、MTA?MUA的傳輸保密性；

2） 信息的完整性，通過發(fā)信方數(shù)字簽名實(shí)現(xiàn)；

3）信息的不可抵賴性，通過發(fā)信方數(shù)字簽名和收信方的已讀信息實(shí)現(xiàn)；

4）數(shù)據(jù)存儲(chǔ)的保密性，通過發(fā)信方加密郵件實(shí)現(xiàn)。

三，存儲(chǔ)加密

存儲(chǔ)加密解決的問題是：

1）數(shù)據(jù)存儲(chǔ)的保密性；

2）多個(gè)管理員同時(shí)管理，單個(gè)管理員無法查看數(shù)據(jù)；

3）服務(wù)器物理安全，即使硬盤被盜取甚至整個(gè)服務(wù)器被盜取，數(shù)據(jù)依然是不可讀的。

TurboMail支持郵件數(shù)據(jù)在服務(wù)器上的存儲(chǔ)加密，支持第三方加密算法。管理員可將此加密系統(tǒng)部署到其他服務(wù)器，郵件服務(wù)器由管理員A管理，加密服務(wù)器由管理員B管理，優(yōu)勢(shì)：

1）支持第三方加密算法，用戶可自行選擇，當(dāng)然TurboMail也有自己的加密算法；

2）管理員A和管理員B都無法單獨(dú)正常查看郵件數(shù)據(jù)；

3）郵件服務(wù)器和加密服務(wù)器任何一個(gè)服務(wù)器出現(xiàn)被入侵等安全事件時(shí)，數(shù)據(jù)均不能被正常查看；

4）服務(wù)器物理安全，即使服務(wù)器整個(gè)被盜取，也無法查看數(shù)據(jù)。

TurboMail郵件系統(tǒng)不僅提供全閉環(huán)加密郵件系統(tǒng)解決方案外，還提供針對(duì)用戶郵件收發(fā)行為的安全管控方案、放垃圾防病毒防郵件詐騙方案等，歡迎用戶在產(chǎn)品官網(wǎng)http://www.menglaihunli.cn咨詢專業(yè)在線客服人員。