3月22日消息,据国外媒体报道,上周五谷歌、微软以及雅虎等硅谷主要科技巨头联合提交了名为SMTP STS(基于严格安全传输)的电子邮件传送协议。
STMP(简单电子邮件协议)面世于1982年,由于彼时互联网内仅有数千台计算机,线上安全监管并不是问题。因此其并不是一项安全的电子邮件传输协议。
随着网络的不断发展,网络犯罪以及黑客逐渐浮出水面。科技公司开发出STARTTLS协议作为SMTP协议的扩展,通过STARTTLS使用加密渠道发送电子邮件。
然而,STARTTLS并不像想象的那样安全可靠。由于设计上的缺陷,STARTTLS允许网络攻击者欺骗对方邮件服务器,并向邮件发送端传递关于邮件接收端不支持加密协议的信息,从而使邮件发送端发送未加密的明文数据。
正是由于这个漏洞的客观存在,网络安全研究人员用SMTP STS协议解决这一安全问题。
理论上讲,SMTP STS之于SMTP,就如同HSTS(严格传输安全的超文本传输协议)之于HTTPS(基于安全套接层的超文本传输协议)。在建立电子邮件传输信道的过程中,SMTP STS提供了消息加密机制以及服务器认证机制,这如同HSTS机制与HTTPS共同工作,以避免SSL降级和中间人攻击等安全问题的发生。
SMTP STS允许参与电邮传输的双方服务器能够以加密方式验证对方,并以安全的方式传送邮件。这能够有效防止外部篡改。
目前,协议仅仅是IEEE的一项草案。但该协议的提交者包括微软、谷歌、雅虎、LinkedIn以及Comcast等一系列知名科技公司。有如此多的科技巨头为其撑腰,SMTP STS有望成为一项正式协议。(宁宇)