全闭环TurboMail邮件系统加密方案

Libsh

建设好了TurboMail邮件服务器系统的客户，为了保护在使用邮件系统的各个环节中都安全保密，构造在邮件存储、邮件传输、收发邮件的全闭环安全加密的系统，拓波技术支持工程师给用户提供了全闭环邮件系统加密方案。

邮件系统的安全窃密隐患可能会出现在以下几方面：

1) 信息传输的保密性

邮件内容包括很多商业或政府机密，必需保证邮件内容的机密性。然而，传统的邮件系统是以明文的方式在网络上进行流通，很容易被不怀好意的人非法窃听，造成损失。

传输过程包括MTA—>MUA、MUA—>MTA、MTA—>MTA、WebmailàMTA等。

2) Webmail服务的安全性

企业内部的邮件系统是供企业内部使用的，如果开放了webmail到外网，那么其他无关人员也可以看到，为了避免来自恶意人员的威胁，可启用客户端认证功能，只有经过认证的客户端才可以访问webmail。

3) 信息的完整性

由于传统的邮件发送模式，使得邮件中的敏感信息和重要数据在传输过程中有可能被恶意篡改，使得邮件接受者可能收不到完整的邮件信息而造成不必要的损失。

4) 信息的不可抵赖性

由于传统的邮件工作模式（用户名＋口令、明文传输等），发信方可以否认发送过邮件，同事收信方也可以否认收取过邮件，很难在出现事故的时候追查某一方的责任 。

5) 数据存储的保密性

传统的邮件是以明文的方式存放在邮件服务器中的，邮件管理员或者其他可以接触到服务器的人员可以查看所有的邮件。

一，Webmail传输安全方案

HTTPS协议是HTTP+SSL构建的可进行加密传输、身份认证的网络协议，可防止数据在传输过程中不被窃取、改变，并确保数据的完整性。

其会话建立的过程，可以简单描述为，先使用非对称加密的方式协商好加密算法（通常是对称加密算法）和加密的密钥，接下来就使用协商好的加密算法进行加密通信，而HTTP协议的全部会话过程都是明文传输的，现任HTTPS比HTTP拥有更好的安全性。如果你稍微留意，就会发现越来越多的站点从HTTP转向了HTTPS。

1， HTTPS加密+单向认证

Server使用HTTPS发布站点，Client无需其他条件就可以访问，并通过该站点提供的证书确认站点是可信，这叫做单向认证。一般Web应用都是采用单向认证的，原因很简单，用户数目广泛且不固定，很难在通讯层做用户身份验证，通常的做法是在应用逻辑层做认证（比如账号密码认证）或者根本不需要认证（比如新闻站点）。

单项认证解决了两个问题：

1） 站点可信；

2） 信息传输的保密性。

TurboMail内置Tomcat，支持HTTPS访问邮箱，并可根据需要关闭HTTPS，只能通过HTTP访问。自建站点，保证了站点可信，通过此策略，主要是保证Web数据交互传输的安全性。

2， HTTPS加密+双向认证

Server通过HTTPS发布站点，Client必须安装被服务器信任的个人证书才可以访问，否则无法看到任何内容，并通过该站点提供的证书确认站点是可信，这叫做双向认证。双向认证是一种更加安全的做法，它将可能遇到的非法请求或其他安全隐患在通讯层就提前阻断，保护站点、服务及数据的隐密性和安全性。

双向认证解决了三个问题：

1） 站点可信；

2） 信息传输的保密性；

3） Webmail服务的安全性。

TurboMail内置Tomcat，全面支持HTTPS双向认证功能。双向认证+逻辑层帐号密码认证+IP登录安全，全面保护用户安全、数据安全、服务安全和站点安全。

二，S/MIME方案：传输加密、存储加密、数字签名

S/MIME方案主要解决的问题有：

1） 信息传输的保密性，通过发信方加密邮件实现，包括MUA—>MTA、MTAàMTA、MTAàMUA的传输保密性；

2） 信息的完整性，通过发信方数字签名实现；

3）信息的不可抵赖性，通过发信方数字签名和收信方的已读信息实现；

4）数据存储的保密性，通过发信方加密邮件实现。

三，存储加密

   存储加密解决的问题是：

1）数据存储的保密性；

2）多个管理员同时管理，单个管理员无法查看数据；

3）服务器物理安全，即使硬盘被盗取甚至整个服务器被盗取，数据依然是不可读的。

        TurboMail支持邮件数据在服务器上的存储加密，支持第三方加密算法。管理员可将此加密系统部署到其他服务器，邮件服务器由管理员A管理，加密服务器由管理员B管理，优势：

1）支持第三方加密算法，用户可自行选择，当然TurboMail也有自己的加密算法；

2）管理员A和管理员B都无法单独正常查看邮件数据；

3）邮件服务器和加密服务器任何一个服务器出现被入侵等安全事件时，数据均不能被正常查看；

4）服务器物理安全，即使服务器整个被盗取，也无法查看数据。

TurboMail邮件系统不仅提供全闭环加密邮件系统解决方案外，还提供针对用户邮件收发行为的安全管控方案、放垃圾防病毒防邮件{**此为已被过滤词语**}方案等，欢迎用户在产品官网http://www.turbomail.org咨询专业在线客服人员。

文章来源：http://www.turbomail.org