我正在運行 Debian 郵件伺服器,並期待對從我的網域發送到業務合作夥伴的網域的郵件進行加密。此外,加密應該發生在郵件伺服器本身而不是郵件用戶端。
這可能嗎?我已經找到如何建立一個包含郵件地址“@domain.com”的金鑰,但我無法在我們的郵件用戶端上使用它,因為它不支援 GnuPG 或 PGP。
答案1
加密郵件傳輸代理
這很可能是您想要實現的目標,但您需要安裝額外的軟體,即所謂的「加密 MTA」(郵件傳輸代理,也稱為郵件伺服器)。
有多種產品可供選擇,G10code的GEAM(來自開發 GnuPG 的公司),賽門鐵克的網關電子郵件加密甚至可能更多。有不同的場景,為所有訊息定義單一密鑰,為每個使用者/郵箱在伺服器上儲存不同的密鑰。
傳輸加密
但你描述的場景是傳輸加密,因為只有訊息的傳輸受到保護,而不是郵件的處理或儲存(如果客戶端應用程式不應該執行加密任務,伺服器無論如何都必須執行加密任務)。 OpenPGP 或 S/MIME 都不是傳輸加密的工具,它們用於加密單一訊息。這既有優點也有缺點;如果在您的場景中濫用它們,這意味著某些元資料仍然未加密(收件人、主題行等),並且實現這一點需要額外的軟體,並且與為此目的構建的協議相比使用起來更複雜。
您可能應該研究的是加密伺服器之間的通訊。正確配置它們以支援 TLS,並考慮強制與相應的其他伺服器建立 TLS 連線。這將加密全部這些伺服器之間的通訊包括元數據,並由所有相關郵件伺服器實現開箱即用地支持,最後如果可能的話還將透明地加密與其他郵件伺服器的通訊。
無論如何,您都應該實施傳輸加密,並且根據當地立法,在處理個人資訊和通訊時實際需要的東西(但通常沒有人關心,並且完全拒絕與任意郵件伺服器的未加密通訊將阻止與某些對等方的通信)。
訊息加密
在客戶端上加密訊息可能仍然很重要。如果 OpenPGP 超出範圍(因為安裝了額外的軟體,而且也可能發生 OpenPGP 並不是用於此用例的最佳工具),請考慮查看 S/MIME,大多數郵件本身都支援它客戶。