V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ljiaming19
V2EX  ›  信息安全

公司内部邮件是否应该规定使用 GPG 签名后才能发送

  •  
  •   ljiaming19 · 2020-02-17 08:09:04 +08:00 · 2978 次点击
    这是一个创建于 1501 天前的主题,其中的信息可能已经有所发展或是发生改变。

    SMTP 协议有缺陷可以伪造发件人 那是不是可以分配给所有员工公私钥 要求所有公司内部邮件都要用 gpg 签名后才能发送 使用企业邮箱后缀的没有用私钥加密过的邮件会全部被邮件服务器过滤掉 这个方案的可行性怎么样?

    7 条回复    2020-02-17 11:08:52 +08:00
    twl007
        1
    twl007  
       2020-02-17 08:13:22 +08:00 via iPhone
    公司内部邮件服务器都跑在内网上面的…… 就算要发邮件也得用员工账户吧 如果在公司内部的邮件服务器出现了这类事情 相比起来发送伪造邮件 难道不是账户信息泄漏更严重?
    ljiaming19
        2
    ljiaming19  
    OP
       2020-02-17 08:21:16 +08:00
    @twl007 伪造邮件不用入侵邮件服务器 只要知道发件人邮箱地址就可以 因为 SMTP 协议没有校验机制
    swulling
        3
    swulling  
       2020-02-17 08:24:55 +08:00 via iPhone
    @ljiaming19 用 SPF 就行了,不用这么麻烦
    twl007
        4
    twl007  
       2020-02-17 08:36:36 +08:00 via iPhone
    @ljiaming19 然而你可以追溯邮件的原始发件地址啊 如果有件事从不是你们邮件服务器来的 那肯定是伪造的 怎么可能你们自己的邮件服务器收到一封从不是自己的邮件服务器来的还有一样域名的邮件? 这类邮件应该自动就被标为高危好吧 Gmail 都可以自动过滤类似的邮件
    alphatoad
        5
    alphatoad  
       2020-02-17 09:07:23 +08:00 via iPhone
    SPF+DKIM
    st2udio
        6
    st2udio  
       2020-02-17 11:05:04 +08:00
    我们企业邮箱这种邮件都直接自动拦截了。
    正常收外部邮件我们都要去申请权限开通的。
    lovedebug
        7
    lovedebug  
       2020-02-17 11:08:52 +08:00
    设置 SPF 直接验证就好
    解析邮件内部的 MTP 传输路径
    在内部邮件使用加密的字符串放在 header 中,邮件服务器解密失败直接拒收
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1033 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 22:30 · PVG 06:30 · LAX 15:30 · JFK 18:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.