來自Google、微軟及Yahoo等科技大廠的工程師上周提出了新的SMTP Strict Transport Security (SMTP STS)電子郵件通訊標準草案予網際網路工程工作小組(Internet Engineering Task Force, IETF),期望強化電子郵件的加密通訊。
最早的電子郵件通訊標準為1982年提出的「簡單郵件傳送協定」(Simple Mail Transfer Protocol,SMTP),定義了郵件客戶端及伺服器端的資料傳輸,此一協定並未包含任何的加密功能,繼之於2002年出現了添加TLS加密功能的SMTP STARTTLS。
有別於SMTP傳送明碼文字,SMTP STARTTLS採用基於TLS的加密通訊,更能保障電子郵件的通訊安全。不過,SMTP STARTTLS一直到2013年美國國安局大規模監控全球通訊的行為被踢爆之後才逐漸普及。
即使如此,STARTTLS仍有其不足之處,它缺乏認證電子郵件伺服器之數位憑證的能力,具備遭受中間人攻擊的潛在風險,允許駭客透過假冒的憑證偽裝成電子郵件伺服器,同時接受未加密的流量。
新的SMTP STS則解決了相關的缺失,它會在客戶端傳送郵件之前自動檢查對方是否支援加密,以及驗證對方的伺服器憑證。
推動該標準的業者涵蓋了Google、Yahoo、Comcast、Microsoft、 LinkedIn及1&1 Mail & Media Development等,在眾多大廠的支持下,SMTP STS應該很快就會成為標準。