公司内部邮件是否应该规定使用 GPG 签名后才能发送

2020-02-17 08:09:04 +08:00
 ljiaming19

SMTP 协议有缺陷可以伪造发件人 那是不是可以分配给所有员工公私钥 要求所有公司内部邮件都要用 gpg 签名后才能发送 使用企业邮箱后缀的没有用私钥加密过的邮件会全部被邮件服务器过滤掉 这个方案的可行性怎么样?

3003 次点击
所在节点    信息安全
7 条回复
twl007
2020-02-17 08:13:22 +08:00
公司内部邮件服务器都跑在内网上面的…… 就算要发邮件也得用员工账户吧 如果在公司内部的邮件服务器出现了这类事情 相比起来发送伪造邮件 难道不是账户信息泄漏更严重?
ljiaming19
2020-02-17 08:21:16 +08:00
@twl007 伪造邮件不用入侵邮件服务器 只要知道发件人邮箱地址就可以 因为 SMTP 协议没有校验机制
swulling
2020-02-17 08:24:55 +08:00
@ljiaming19 用 SPF 就行了,不用这么麻烦
twl007
2020-02-17 08:36:36 +08:00
@ljiaming19 然而你可以追溯邮件的原始发件地址啊 如果有件事从不是你们邮件服务器来的 那肯定是伪造的 怎么可能你们自己的邮件服务器收到一封从不是自己的邮件服务器来的还有一样域名的邮件? 这类邮件应该自动就被标为高危好吧 Gmail 都可以自动过滤类似的邮件
alphatoad
2020-02-17 09:07:23 +08:00
SPF+DKIM
st2udio
2020-02-17 11:05:04 +08:00
我们企业邮箱这种邮件都直接自动拦截了。
正常收外部邮件我们都要去申请权限开通的。
lovedebug
2020-02-17 11:08:52 +08:00
设置 SPF 直接验证就好
解析邮件内部的 MTP 传输路径
在内部邮件使用加密的字符串放在 header 中,邮件服务器解密失败直接拒收

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/645152

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX