首頁>解決方案>本地部署密信郵件閘道實現郵件全自動加解密

本地部署密信郵件閘道實現郵件全自動加解密無需更換郵件用戶端,實現郵件自動加解密!

一、需求分析

目前全球市場上有許多郵件安全閘道產品,主要提供防垃圾郵件、防釣魚郵件、防安全威脅和集成資料保護等功能,基本上都是基於對明文郵件內容的分析來做出相應的安全防護處理,這些產品對於郵件安全非常重要。

但是,明文郵件內容在互聯網上流轉本身就是一個極不安全的資訊傳輸機制安全問題,如同互聯網的網頁資訊http明文傳輸一樣不安全。而目前全球互聯網都已經把不安全的http資訊傳輸逐步轉變為安全的https加密傳輸,但是郵件仍然是明文傳輸,雖然有些郵件伺服器採用了https類似的SSL/TLS SMTP/IMAP實現傳輸加密,但是這依賴於雙方郵件伺服器都必須部署了SSL/TLS加密傳輸措施,只要有一方沒有部署SSL/TLS證書,郵件內容仍然是明文在互聯網上流動,無法保證郵件機密資訊的全程安全。即使所有郵件伺服器都實現了SSL/TLS加密傳輸,郵件內容仍然是明文存放在雲端郵件伺服器中,這也是一個大的安全隱患。

那怎麼辦?請參閱 密信電子郵件全自動加密和簽名解決方案,用戶可以免費使用密信App實現電子郵件全自動端到端加密,不僅實現郵件流轉傳輸安全不再依賴於郵件伺服器是否部署了SSL/TLS加密傳輸,而且實現了郵件內容加密存放在雲端郵件伺服器中,真正保護了郵件機密資訊安全。

但這個很好的郵件全自動加密解決方案又帶來兩個問題:第一個問題:如果用戶已經部署了郵件安全閘道,由於無法識別加密郵件而失去郵件安全管理功能了,怎麼辦?這封加密郵件如果是垃圾郵件和惡意郵件,怎麼辦?加密郵件如果外泄單位機密資訊而使得郵件安全閘道的資料保護功能失效,怎麼辦?這些都是實現電子郵件全程加密必須解決的實際問題。第二個問題:要實現全自動郵件加密,用戶必須更換常用的郵件用戶端軟體為密信App,這個要求有些單位可能無法做到,怎麼辦?

二、密信解決方案

密信技術致力於為用戶提供可實施的郵件全自動加密解決方案,為了解決以上兩個實施郵件加密中遇到的實際問題,提供了兩個解決方案:

  1. (1) 部署密信郵件加解密閘道,由密信閘道對接現有的郵件安全閘道,負責解密已加密郵件和加密需要加密的郵件。
  2. (2) 部署密信郵件安全閘道,無需更換郵件用戶端軟體,實現全自動郵件加密和解密。

1. 密信郵件加解密閘道簡介

為了幫助已經部署了郵件安全閘道的用戶解決無法處理加密郵件的難題,密信技術研發了一個同郵件安全閘道產品配套使用的密信郵件加解密閘道(簡稱密信閘道),如下左圖所示,只需現有的郵件安全閘道產品做一點修改就能解決用戶的難題,那就是:郵件安全閘道在收到加密郵件後,把此密文郵件提交給密信閘道,由密信閘道負責解密此郵件返回明文郵件給郵件安全閘道,郵件安全閘道得到明文郵件後就按照正常處理明文郵件的流程處理郵件,如果沒有任何安全問題,則放行加密郵件,如果有安全問題,則同其他明文郵件一樣的處理。如果放行原已加密郵件,則用戶的員工必須有解密此加密郵件的郵件用戶端軟體;如果使用者的員工使用的郵件用戶端軟體不具備郵件解密功能,則只能放行解密後的明文郵件。這就是密信閘道提供的郵件解密功能。

密信閘道之所以能解密郵件,當然必須有用於解密的加密公鑰,用戶可以上傳自己現有的加密證書到密信閘道上,如果加密證書由密信CA簽發,則密信閘道會自動連接密信公鑰管理系統(密信KM)根據使用者郵箱取到該用戶的加密公鑰就可以解密此加密郵件,用戶必須是密信App用戶,或者已經為其員工購買了用於郵件加密的公鑰管理服務。

對於發送加密郵件,如果用戶使用密信App收發電子郵件,則使用者自動發送加密郵件。如果使用者未使用密信App但需要發送加密郵件,則需要該使用者把郵件安全閘道設置為SMTP外發伺服器(大部分郵件安全閘道都提供這個功能),郵件安全閘道收到用戶的外發郵件後,把此明文郵件提交給密信閘道,由密信閘道自動調用密信全球公鑰庫獲取收件人的加密證書公鑰,並用此公鑰加密後把密文郵件返回給郵件安全閘道,郵件安全閘道就可以把此密文郵件發送給收件人的郵件伺服器。這就是密信閘道的郵件加密功能,滿足了使用者需要實現郵件端到端自動加密的需求,同時能滿足用戶不想更換已經熟悉使用的郵件用戶端軟體但也能自動發送加密郵件的需求。

如上右圖所示,如果用戶希望自己管理郵件加密公鑰,則可以選購密信企業公鑰管理系統(企業KM),部署在單位內網,用於密信閘道獲取本單位員工的加密公鑰用於解密加密郵件,同時也用於本單位員工使用密信App本地獲取加密公鑰。為了公鑰安全,企業KM系統不能連接互聯網。請同時參考“本地部署公鑰管理系統實現電子郵件全自動加解密”。

歡迎全球各大郵件安全閘道廠商 聯繫我們 合作支持郵件自動加解密功能,滿足用戶日益增強的郵件加密需求和解決無法處理加密郵件的難題。密信技術免費提供密信閘道對接API文檔和測試介面,方便郵件安全閘道廠商無需購買密信閘道就能測試對接密信閘道的郵件加解密功能。通過對接測試的廠商,我們將在密信官網列出各個已完成測試的廠商名單,方便密信使用者選購郵件安全閘道產品。已經完成對接的廠商,歡迎向用戶推薦選購密信閘道,幫助用戶解決郵件加密難題。

2. 密信郵件安全閘道簡介

如果用戶還沒有採購和部署任何郵件安全閘道,但需要實現郵件自動加密和解密功能,而不想更換或很難更換正在使用的郵件用戶端軟體,則可以選購密信郵件安全閘道(MMG,簡稱:密信郵件閘道), 這是一個集成密信郵件加解密閘道和傳統的郵件安全閘道功能於一體的新型郵件安全閘道產品,當然重要功能還是郵件加解密服務。

如下左圖所示,密信郵件閘道必須連接互聯網,並且設置一個與用戶郵件伺服器對應的IMAP/SMTP/Exchange功能變數名稱,可以是內網IP地址內部解析,如果希望單位員工離開單位也能訪問,則需要有公網IP位址。單位員工只需把IMAP/SMTP/Exchange伺服器參數改為指向密信郵件閘道的功能變數名稱即可,閘道管理員需要把使用者的雲郵局(實際使用的郵件伺服器)參數設置在密信郵件閘道中。

使用者使用任何郵件用戶端軟體發送電子郵件,會自動把郵件提交給密信郵件閘道,由密信郵件閘道負責自動從密信全球公鑰庫獲取收件人的加密證書公鑰並把郵件加密後遞交給用戶的郵件伺服器,由用戶郵件伺服器負責把加密郵件發送給收件人。用戶收到加密郵件時,郵件會先到密信郵件閘道,由郵件閘道從密信公鑰管理系統(KM)中獲取該用戶的加密公鑰後解密此郵件,用戶使用任何郵件用戶端就能閱讀明文郵件。也就是說:用戶收發加密郵件的工作都由密信郵件閘道來完成,不改變用戶的郵件用戶端使用習慣,但是能實現全自動解密加密郵件和全自動發送加密郵件。如果用戶使用密信App,則郵件從用戶電腦到郵件閘道時已經是加密郵件,則無需郵件閘道再加密;如果使用者使用其他郵件用戶端軟體,由於郵件閘道預設支持SSL/TLS實現IMAP/SMTP傳輸加密,則一樣能保證郵件從用戶電腦到郵件閘道這段鏈路上也是加密傳輸的,然後由郵件閘道負責加密成密文,也能確保郵件的全程加密安全。

部署密信郵件閘道的用戶,如果員工不使用密信App,則需要為每個員工購買用於郵件加密的雲公鑰管理服務,自動給每個員工分配一個加密公鑰,實現所有員工的無感全自動加解密郵件。

雖然密信郵件閘道的核心功能是郵件自動加解密服務,但也同時集成了360安全大腦提供的雲查殺服務用於檢查郵件中的連結網址安全和郵件附件安全(僅需提交附件摘要實現快速識別),並集成了智慧識別和攔截垃圾郵件系統。提供了關鍵資料防洩漏功能,使用者在管理後臺設置防洩漏關鍵字,凡是郵件中含有這些關鍵字將自動攔截或自動轉發郵件到審計人員郵箱等待郵件放行指令。

如上右圖所示,如果用戶希望自己管理加密公鑰,則還需要選購密信企業公鑰管理系統(企業KM) ,如右圖4所示,企業KM部署在單位內網,用於密信郵件閘道自動獲取本單位員工的加密公鑰來解密加密郵件。為了公鑰安全,企業KM系統不能連接互聯網。

無論是選購密信雲公鑰管理服務還是部署企業KM自己管理公鑰,員工的加密公鑰不僅可以用於電子郵件的加解密,還可以用於單位內部文檔加密(如果用戶選購了文檔數位簽章服務的話),有權閱讀該機密文檔的員工可以無縫閱讀,而無權閱讀此檔的員工即使獲得此加密檔也無法閱讀,切實保護了單位機密文檔的安全和有效防止機密文檔洩密。也就是說:員工的加密公鑰可以同時用於電子郵件加密和電子文檔加密,超值享用證書加密技術來切實保護單位機密資訊的安全保密。

歡迎還沒有購買郵件安全閘道用戶選購密信郵件安全閘道。請同時參考 常見問題問答 “密信郵件閘道”部分內容。