微軟、Google等業者共同擁戴新的電子郵件加密協定SMTP STS

william77

現有的SMTP STARTTLS雖以TLS加密通訊內容，但缺乏認證電子郵件伺服器數位憑證的能力，易遭中間人攻擊，讓駭客以假冒的憑證偽裝成電子郵件伺服器竊取未加密流量。而微軟、Google、Yahoo聯袂力拱的SMTP STS會在客戶端傳送郵件前自動檢查對方是否支援加密，並驗證對方的伺服器憑證。

來自Google、微軟及Yahoo等科技大廠的工程師上周提出了新的SMTP Strict Transport Security （SMTP STS）電子郵件通訊標準草案予網際網路工程工作小組（Internet Engineering Task Force, IETF），期望強化電子郵件的加密通訊。
最早的電子郵件通訊標準為1982年提出的「簡單郵件傳送協定」（Simple Mail Transfer Protocol，SMTP），定義了郵件客戶端及伺服器端的資料傳輸，此一協定並未包含任何的加密功能，繼之於2002年出現了添加TLS加密功能的SMTP STARTTLS。
有別於SMTP傳送明碼文字，SMTP  STARTTLS採用基於TLS的加密通訊，更能保障電子郵件的通訊安全。不過，SMTP  STARTTLS一直到2013年美國國安局大規模監控全球通訊的行為被踢爆之後才逐漸普及。
即使如此，STARTTLS仍有其不足之處，它缺乏認證電子郵件伺服器之數位憑證的能力，具備遭受中間人攻擊的潛在風險，允許駭客透過假冒的憑證偽裝成電子郵件伺服器，同時接受未加密的流量。
新的SMTP STS則解決了相關的缺失，它會在客戶端傳送郵件之前自動檢查對方是否支援加密，以及驗證對方的伺服器憑證。
推動該標準的業者涵蓋了Google、Yahoo、Comcast、Microsoft、 LinkedIn及1&1 Mail & Media Development等，在眾多大廠的支持下，SMTP STS應該很快就會成為標準。

lxy200