首页>解决方案>本地部署密信邮件网关实现邮件全自动加解密

本地部署密信邮件网关实现邮件全自动加解密无需更换邮件客户端,实现邮件自动加解密!

一、需求分析

目前全球市场上有许多邮件安全网关产品,主要提供防垃圾邮件、防钓鱼邮件、防安全威胁和集成数据保护等功能,基本上都是基于对明文邮件内容的分析来做出相应的安全防护处理,这些产品对于邮件安全非常重要。

但是,明文邮件内容在互联网上流转本身就是一个极不安全的信息传输机制安全问题,如同互联网的网页信息http明文传输一样不安全。而目前全球互联网都已经把不安全的http信息传输逐步转变为安全的https加密传输,但是邮件仍然是明文传输,虽然有些邮件服务器采用了https类似的SSL/TLS SMTP/IMAP实现传输加密,但是这依赖于双方邮件服务器都必须部署了SSL/TLS加密传输措施,只要有一方没有部署SSL/TLS证书,邮件内容仍然是明文在互联网上流动,无法保证邮件机密信息的全程安全。即使所有邮件服务器都实现了SSL/TLS加密传输,邮件内容仍然是明文存放在云端邮件服务器中,这也是一个大的安全隐患。

那怎么办?请参阅 密信电子邮件全自动加密和签名解决方案,用户可以免费使用密信App实现电子邮件全自动端到端加密,不仅实现邮件流转传输安全不再依赖于邮件服务器是否部署了SSL/TLS加密传输,而且实现了邮件内容加密存放在云端邮件服务器中,真正保护了邮件机密信息安全。

但这个很好的邮件全自动加密解决方案又带来两个问题:第一个问题:如果用户已经部署了邮件安全网关,由于无法识别加密邮件而失去邮件安全管理功能了,怎么办?这封加密邮件如果是垃圾邮件和恶意邮件,怎么办?加密邮件如果外泄单位机密信息而使得邮件安全网关的数据保护功能失效,怎么办?这些都是实现电子邮件全程加密必须解决的实际问题。第二个问题:要实现全自动邮件加密,用户必须更换常用的邮件客户端软件为密信App,这个要求有些单位可能无法做到,怎么办?

二、密信解决方案

密信技术致力于为用户提供可实施的邮件全自动加密解决方案,为了解决以上两个实施邮件加密中遇到的实际问题,提供了两个解决方案:

  1. (1) 部署密信邮件加解密网关,由密信网关对接现有的邮件安全网关,负责解密已加密邮件和加密需要加密的邮件。
  2. (2) 部署密信邮件安全网关,无需更换邮件客户端软件,实现全自动邮件加密和解密。

1. 密信邮件加解密网关简介

为了帮助已经部署了邮件安全网关的用户解决无法处理加密邮件的难题,密信技术研发了一个同邮件安全网关产品配套使用的密信邮件加解密网关(简称密信网关),如下左图所示,只需现有的邮件安全网关产品做一点修改就能解决用户的难题,那就是:邮件安全网关在收到加密邮件后,把此密文邮件提交给密信网关,由密信网关负责解密此邮件返回明文邮件给邮件安全网关,邮件安全网关得到明文邮件后就按照正常处理明文邮件的流程处理邮件,如果没有任何安全问题,则放行加密邮件,如果有安全问题,则同其他明文邮件一样的处理。如果放行原已加密邮件,则用户的员工必须有解密此加密邮件的邮件客户端软件;如果用户的员工使用的邮件客户端软件不具备邮件解密功能,则只能放行解密后的明文邮件。这就是密信网关提供的邮件解密功能。

密信网关之所以能解密邮件,当然必须有用于解密的加密密钥,用户可以上传自己现有的加密证书到密信网关上,如果加密证书由密信CA签发,则密信网关会自动连接密信密钥管理系统(密信KM)根据用户邮箱取到该用户的加密密钥就可以解密此加密邮件,用户必须是密信App用户,或者已经为其员工购买了用于邮件加密的密钥管理服务。

对于发送加密邮件,如果用户使用密信App收发电子邮件,则用户自动发送加密邮件。如果用户未使用密信App但需要发送加密邮件,则需要该用户把邮件安全网关设置为SMTP外发服务器(大部分邮件安全网关都提供这个功能),邮件安全网关收到用户的外发邮件后,把此明文邮件提交给密信网关,由密信网关自动调用密信全球公钥库获取收件人的加密证书公钥,并用此公钥加密后把密文邮件返回给邮件安全网关,邮件安全网关就可以把此密文邮件发送给收件人的邮件服务器。这就是密信网关的邮件加密功能,满足了用户需要实现邮件端到端自动加密的需求,同时能满足用户不想更换已经熟悉使用的邮件客户端软件但也能自动发送加密邮件的需求。

如上右图所示,如果用户希望自己管理邮件加密密钥,则可以选购密信企业密钥管理系统(企业KM),部署在单位内网,用于密信网关获取本单位员工的加密密钥用于解密加密邮件,同时也用于本单位员工使用密信App本地获取加密密钥。为了密钥安全,企业KM系统不能连接互联网。请同时参考“本地部署密钥管理系统实现电子邮件全自动加解密”。

欢迎全球各大邮件安全网关厂商 联系我们 合作支持邮件自动加解密功能,满足用户日益增强的邮件加密需求和解决无法处理加密邮件的难题。密信技术免费提供密信网关对接API文档和测试接口,方便邮件安全网关厂商无需购买密信网关就能测试对接密信网关的邮件加解密功能。通过对接测试的厂商,我们将在密信官网列出各个已完成测试的厂商名单,方便密信用户选购邮件安全网关产品。已经完成对接的厂商,欢迎向用户推荐选购密信网关,帮助用户解决邮件加密难题。

2. 密信邮件安全网关简介

如果用户还没有采购和部署任何邮件安全网关,但需要实现邮件自动加密和解密功能,而不想更换或很难更换正在使用的邮件客户端软件,则可以选购密信邮件安全网关(MMG,简称:密信邮件网关), 这是一个集成密信邮件加解密网关和传统的邮件安全网关功能于一体的新型邮件安全网关产品,当然重要功能还是邮件加解密服务。

如下左图所示,密信邮件网关必须连接互联网,并且设置一个与用户邮件服务器对应的IMAP/SMTP/Exchange域名,可以是内网IP地址内部解析,如果希望单位员工离开单位也能访问,则需要有公网IP地址。单位员工只需把IMAP/SMTP/Exchange服务器参数改为指向密信邮件网关的域名即可,网关管理员需要把用户的云邮局(实际使用的邮件服务器)参数设置在密信邮件网关中。

用户使用任何邮件客户端软件发送电子邮件,会自动把邮件提交给密信邮件网关,由密信邮件网关负责自动从密信全球公钥库获取收件人的加密证书公钥并把邮件加密后递交给用户的邮件服务器,由用户邮件服务器负责把加密邮件发送给收件人。用户收到加密邮件时,邮件会先到密信邮件网关,由邮件网关从密信密钥管理系统(KM)中获取该用户的加密密钥后解密此邮件,用户使用任何邮件客户端就能阅读明文邮件。也就是说:用户收发加密邮件的工作都由密信邮件网关来完成,不改变用户的邮件客户端使用习惯,但是能实现全自动解密加密邮件和全自动发送加密邮件。如果用户使用密信App,则邮件从用户电脑到邮件网关时已经是加密邮件,则无需邮件网关再加密;如果用户使用其他邮件客户端软件,由于邮件网关默认支持SSL/TLS实现IMAP/SMTP传输加密,则一样能保证邮件从用户电脑到邮件网关这段链路上也是加密传输的,然后由邮件网关负责加密成密文,也能确保邮件的全程加密安全。

部署密信邮件网关的用户,如果员工不使用密信App,则需要为每个员工购买用于邮件加密的云密钥管理服务,自动给每个员工分配一个加密密钥,实现所有员工的无感全自动加解密邮件。

虽然密信邮件网关的核心功能是邮件自动加解密服务,但也同时集成了360安全大脑提供的云查杀服务用于检查邮件中的链接网址安全和邮件附件安全(仅需提交附件摘要实现快速识别),并集成了智能识别和拦截垃圾邮件系统。提供了关键数据防泄漏功能,用户在管理后台设置防泄漏关键词,凡是邮件中含有这些关键词将自动拦截或自动转发邮件到审计人员邮箱等待邮件放行指令。

如上右图所示,如果用户希望自己管理加密密钥,则还需要选购密信企业密钥管理系统(企业KM) ,如右图4所示,企业KM部署在单位内网,用于密信邮件网关自动获取本单位员工的加密密钥来解密加密邮件。为了密钥安全,企业KM系统不能连接互联网。

无论是选购密信云密钥管理服务还是部署企业KM自己管理密钥,员工的加密密钥不仅可以用于电子邮件的加解密,还可以用于单位内部文档加密(如果用户选购了文档数字签名服务的话),有权阅读该机密文档的员工可以无缝阅读,而无权阅读此文件的员工即使获得此加密文件也无法阅读,切实保护了单位机密文档的安全和有效防止机密文档泄密。也就是说:员工的加密密钥可以同时用于电子邮件加密和电子文档加密,超值享用证书加密技术来切实保护单位机密信息的安全保密。

欢迎还没有购买邮件安全网关用户选购密信邮件安全网关。请同时参考 常见问题问答 “密信邮件网关”部分内容。