邮件加密基础

常见的邮件伪造攻击技术

        域名伪造：攻击者可以通过修改邮件头部信息中的域名，使接收者误认为邮件来自于合法的域名。这种攻击技术常被用于进行网络钓鱼攻击，诱骗用户提供个人敏感信息。

        发件人地址伪造：攻击者可以通过修改邮件头部信息中的发件人地址，使接收者误认为邮件来自于合法的发送者。这种攻击技术常被用于进行社会工程攻击，诱骗用户点击恶意链接或者下载恶意附件。

        SMTP伪造：攻击者可以通过伪造SMTP服务器的身份，发送伪造的电子邮件。这种攻击技术常被用于进行垃圾邮件发送，以及进行恶意软件传播。

MIME（Multipurpose Internet Mail Extensions）

        多用途互联网邮件拓展类型，是设定某种扩展名的文件用一种应用程序来打开的方式类型，当该扩展名文件被访问的时候，浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名，以及一些媒体文件打开方式。

        它是一个互联网标准，扩展了电子邮件标准，使其能够支持：非ASCII字符文本、非文本格式附件（二进制、声音、图像等）、由多部分（multiple parts）组成的消息体、包含非ASCII字符的头信息（Header information）。

SMTP、POP3、IMAP简介

        SMTP协议是常见的电子邮件协议（端口：25），而POP3（Post Office Protocol 3）和IMAP（Internet Message Access Protocol）是与电子邮件收取相关的协议。

        POP3协议是一种用于接收电子邮件的协议。它允许用户通过客户端应用程序（如Outlook、Thunderbird等）从邮件服务器上下载邮件，并将邮件存储在本地设备上。通常，POP3会将邮件从服务器上删除，因此邮件只会存在于用户的本地设备上。

        POP3（Post Office Protocol version 3）是一种用于电子邮件服务的协议。它允许用户从远程服务器上下载电子邮件到本地计算机上，以便离线阅读和管理邮件。POP3是一种离线协议，它不会同步邮件的状态（如已读、已删除等）到服务器上。如果用户在不同设备上使用多个邮件客户端，可能会导致邮件状态不同步的问题。

        IMAP协议也是一种用于接收电子邮件的协议。与POP3不同的是，IMAP允许用户在客户端应用程序和邮件服务器之间保持同步。这意味着用户可以在不同设备上查看邮件，并且邮件的状态（已读、未读、已删除等）会在所有设备上同步更新。IMAP还可以在服务器上维护邮件的文件夹结构，使用户可以在不同设备上创建、删除和管理文件夹。

        SMTP协议（Simple Mail Transfer Protocol）是用于发送电子邮件的协议。当用户通过邮件客户端应用程序发送邮件时，该应用程序会使用SMTP协议将邮件发送到邮件服务器。SMTP协议负责将邮件从发送方的邮件服务器传递到接收方的邮件服务器，并最终将邮件投递到接收方的收件箱。

        综上所述，POP3和IMAP是用于接收邮件的协议，而SMTP是用于发送邮件的协议。这三个协议共同构成了电子邮件的基本通信方式。

DKIM

        DKIM（DomainKeys Identified Mail）并不是一个独立的协议，而是一种邮件验证技术。它通过在邮件的头部添加数字签名来验证邮件的来源和完整性。

        DKIM使用公钥加密算法，将发送方域名的私钥生成的数字签名添加到邮件头部的DKIM-Signature字段中。接收方的邮件服务器可以使用发送方域名的DNS记录中的公钥来验证该签名，从而确定邮件是否经过篡改并确认邮件的来源是合法的。通过使用DKIM，接收方可以验证邮件的真实性，防止邮件被篡改和伪造。这有助于减少垃圾邮件、欺诈和网络钓鱼等邮件安全问题。

        虽然DKIM不是一个独立的协议，但它通常与SMTP协议一起使用，以确保邮件的安全性和可信度。

DMARC

        DMARC（Domain-based Message Authentication, Reporting, and Conformance）是一种用于电子邮件的认证和报告机制，旨在提供对域名的邮件发送者身份验证，减少伪造邮件的风险，并提供有关邮件传递的详细报告。DMARC 的主要目标是防范钓鱼攻击、伪造邮件和垃圾邮件，通过以下方式实现：

        1、SPF（Sender Policy Framework）：SPF 是 DMARC 的一部分，用于验证发件人服务器是否被授权发送特定域名的邮件。通过在域名的 DNS 记录中设置 SPF 记录，发件人可以指定哪些服务器有权发送该域名的邮件。

        2、DKIM（DomainKeys Identified Mail）：DKIM 也是 DMARC 的一部分，用于验证邮件的完整性和真实性。发件人使用私钥对邮件进行签名，并将公钥发布到 DNS 中。接收方使用公钥解密签名并验证邮件是否被篡改。

        3、邮件处理政策：通过 DMARC，域名所有者可以指定邮件的处理政策，如是拒绝、放行或进行进一步审查。这样，接收方可以根据域名的 DMARC 记录来判断如何处理未经验证或不符合策略的邮件。

        4、报告机制：DMARC 提供了详细的报告功能，让域名所有者了解有关邮件传递情况的信息。这些报告包括未经验证的邮件、失败的验证尝试、通过的验证尝试等，帮助域名所有者监测和分析邮件流量。

        通过使用 DMARC，域名所有者可以加强对其域名下邮件的控制，减少伪造邮件和钓鱼攻击的风险，并提供有关邮件传递的实时报告。然而，为实现最佳的效果，DMARC 的配置需要一定的技术知识和正确的设置。总结而言，DMARC 是一种用于电子邮件的认证和报告机制，通过 SPF 和 DKIM 验证发件人身份，并提供处理政策和详细报告。通过使用 DMARC，域名所有者可以增强对邮件的控制，防范邮件欺诈和伪造，并获得有关邮件流量的可视化报。

PGP软件

        PGP（Pretty Good Privacy）是一种用于加密、解密、数字签名和认证的加密软件。它是由Philip Zimmermann在1991年开发的，并且是一种开放源代码的加密标准。

        PGP使用了一种称为"公钥加密"的加密方式。在公钥加密中，每个用户都有一对密钥：公钥和私钥。公钥可以被任何人获得，用于加密信息，而私钥则只有用户自己可以访问，用于解密信息。一个用户想要发送加密的信息给另一个用户时，他们可以使用接收者的公钥来加密信息。只有拥有私钥的接收者才能解密并阅读这条信息。这种方式确保了信息在传输过程中的安全性，即使在网络中被截获，也无法被解密。除了加密和解密，PGP还可以用于数字签名和认证。数字签名可以确保信息的完整性和真实性，而认证可以验证发送者的身份。

        然而，需要注意的是，虽然PGP是一种强大的加密工具，但它并不能完全防止用户信息被拖库或盗取。PGP只能保护信息在传输过程中的安全性，而在用户端的安全措施也是非常重要的。用户应该保护好自己的私钥，使用强密码和多因素身份验证，并避免使用不受信任的软件和服务，以减少信息被盗取的风险。

PGP/GPG协议

        PGP/GPG（Pretty Good Privacy/GNU Privacy Guard）：PGP 和 GPG 是两个类似的开放标准，用于在电子邮件中实现端到端的加密和数字签名。这些标准允许用户生成和管理自己的密钥对，并使用公钥对邮件进行加密，以保护邮件内容的机密性。

         PGP加密由一系列散列、数据压缩、对称密钥加密，以及公钥加密的算法组合而成。每个步骤支持几种算法，可以选择一个使用。每个公钥均绑定唯一的用户名和/或者E-mail地址。这个系统的第一个版本通常称为可信Web或X.509系统；X.509系统使用的是基于数字证书认证机构的分层方案，该方案后来被加入到PGP的实现中。当前的PGP加密版本通过一个自动密钥管理服务器来进行密钥的可靠存放。