Google宣布Gmail开始采用新的MTA-STS(SMTP MTA Strict Transport Security)以及SMTP TLS Reporting标准,强化电子邮件安全性。
由于传输电子邮件标准SMTP仅采用机会性加密(Opportunistic encryption),使得链接不够安全,因为当双方链接创建时,发送端会尝试请求使用加密链接,接收端支持加密则链接会直接开始加密,但过程却不会进行身份验证,而且当接收端不支持加密时,便会直接退回明文通信机制,Google还提到,许多SMTP服务器不会阻止特定类型的拦截电子邮件恶意攻击,因此只使用SMTP协议,则很容易遭受中间人攻击,用户电子邮件可能在未被发现的情况下,于两个服务器间传输被拦截,并且遭到篡改。
三年前,IETF内部开始合作,参与者包括Google与其他大型电子邮件服务供应商,发展以MTA-STS与SMTP TLS两种技术,全面强化电子邮件的安全性。在域名中采用MTA-STS技术意味着,邮件服务器会要求外部邮件服务器发送消息,验证SMTP链接是否使用有效的公共凭证,以及使用TLS 1.2或更高版本进行加密。
MTA-STS也能与TLS Reporting结合使用,TLS Reporting让邮件服务器可以向外部邮件服务器请求报告,以了解外部邮件服务器以MTA-STS政策发送信件,成功与否的信息。 Google表示,他们是第一个使用新标准的主要电子邮件服务供应商,在4月10日开始Beta测试。