آشنایی با ۷ پروتکل امنیت ایمیل — به زبان ساده

پروتکل امنیت ایمیل به ساختاری گفته می‌شود که برای حفاظت از ایمیل‌ها در برابر نفوذ خارجی مورد استفاده قرار می‌گیرد. بدیهی است که ایمیل‌ها باید پروتکل‌های امنیتی اضافی داشته باشند. «پروتکل انتقال ایمیل ساده» (Simple Mail Transfer Protocol) یا به اختصار SMTP هیچ لایه امنیتی به صورت درونی ارائه نمی‌کند. پروتکل‌های امنیتی زیادی هستند که با SMTP کار می‌کنند. در این نوشته به بررسی این پروتکل‌ها و شیوه حفاظتی که برای ایمیل‌ها ارائه می‌کنند، خواهیم پرداخت. جهت آشنایی با سایر مباحث امنیت شبکه نیز می‌توان به مقاله آموزش CCNA Security مراجعه کرد.

1. SSL/TLS چگونه امنیت ایمیل‌ها را حفظ می‌کند؟

«لایه سوکت‌های امن» (SSL) و فناوری نسل بعد آن یعنی «امنیت لایه انتقال» (TLS) رایج‌ترین پروتکل‌های امنیت ایمیل هستند که از ایمیل در هنگام انتقال روی اینترنت محافظت می‌کنند.

فیلم آموزش پروتکل های امن (الف) در امنیت شبکه های کامپیوتری (رایگان) در فرادرس

کلیک کنید

SSL و TLS پروتکل‌های لایه اپلیکیشن محسوب می‌شوند. در شبکه‌های مخابراتی اینترنتی، لایه اپلیکیشن به استانداردسازی ارتباط‌ها برای سرویس‌های کاربر نهایی می‌پردازد. لایه اپلیکیشن در این حالت، یک فریمورک امنیتی (مجموعه قواعد) ارائه می‌کند که (به همراه پروتکل لایه) با SMTP کار می‌کند تا ارتباط‌های ایمیلی را امن سازد.

در ادامه این مقاله صرفاً به بررسی TLS می‌پردازیم، زیرا نسل قبلی آن یعنی SSL از سال 2015 منسوخ شده است. TLS امنیت و حریم خصوصی مضاعفی برای ارتباط بین برنامه‌های رایانه‌ای ارائه می‌کند. برای مثال، TLS امنیت مورد نیاز SMTP را تأمین می‌کند.

• مقاله پیشنهادی: آموزش امنیت شبکه — راهنمای شروع و یادگیری

فرایند TLS

زمانی که کلاینت ایمیل پیامی را ارسال یا دریافت می‌کند، از پروتکل کنترل انتقال (TCP) استفاده می‌کند که بخشی از لایه انتقال است و کلاینت ایمیل از آن برای اتصال به سرور ایمیل استفاده می‌کند تا یک رویداد «Handshake» با سرور ایمیل صورت بگیرد.

این رویداد handshake به مجموع مراحلی گفته می‌شود که کلاینت ایمیل و سرور ایمیل اجرا می‌کنند تا از طریق آن تنظیمات امنیت و رمزنگاری را اعتبارسنجی کرده و شروع به انتقال خود ایمیل کند. در سطح مقدماتی، handshake بدین ترتیب عمل می‌کند:

1. کلاینت به همراه ارسال پیام «hello»، نوع رمزنگاری، و نسخه‌های سازگار TLS را به سرور ایمیل ارسال می‌کند.
2. سرور با ارائه «گواهی دیجیتال TLS» یا (TLS Digital Certificate) و کلید عمومی رمزنگاری سرور پاسخ می‌دهد.
3. کلاینت اطلاعات گواهی را تأیید می‌کند.
4. کلاینت با استفاده از کلید عمومی سرور یک «کلید رمز مشترک» (Shared Secret Key) که به نام «Pre-Master Key» نیز شناخته می‌شود، ساخته و به سرور ارسال می‌کند.
5. سرور، کلید مشترک رمز را رمزگشایی می‌کند.
6. کلاینت و سرور اینک می‌توانند از کلید رمز مشترک برای رمزگذاری داده‌های انتقالی که در این مورد ایمیل است استفاده کنند.

TLS بسیار مهم است، زیرا اکثریت قریب به اتفاق سرورها و کلاینت‌های ایمیل از آن برای سطح پایه رمزنگاری ایمیل‌ها استفاده می‌کنند.

TLS اختیاری و TLS اجباری

TLS اختیاری یک دستور پروتکل است که به سرور ایمیل اعلام می‌کند که کلاینت ایمیل می‌خواهد یک اتصال موجود را به یک اتصال TLS تبدیل کند.

مواردی وجود دارد که کلاینت ایمیل از یک اتصال متنی ساده (PlainText) به جای پیروی از فرایند handshake فوق‌الذکر برای ایجاد اتصال امن بهره می‌گیرد. TLS اختیاری تلاش می‌کند تا شروع به فرایند handshake برای ایجاد تونل بکند. با این وجود، اگر فرایند handshake ناموفق باشد، TLS اختیاری به اتصال متنی ساده بازمی‌گردد و ایمیل را بدون رمزنگاری ارسال می‌کند.

TLS اجباری یک پیکربندی پروتکل است که الزام می‌کند، همه تراکنش‌های ایمیل از استاندارد TLS امن استفاده کنند. اگر ایمیل نتواند به صورت امن از کلاینت ایمیل به سرور ایمیل انتقال یابد، در این صورت ارسال نخواهد شد.

2. گواهی‌های دیجیتال

گواهی دیجیتال یک ابزار رمزنگاری است که برای امن سازی ایمیل به روش‌های رمزگذاری مورد استفاده قرار می‌گیرد. گواهی‌های دیجیتال، انواعی از رمزنگاری کلید عمومی محسوب می‌شوند.

اگر می‌خواهید در این مورد اطلاعات بیشتری کسب کنید، می‌توانید به بخش‌های 7 و 8 در مقاله «1۰ اصطلاح رایج رمزنگاری که باید بدانید — به زبان ساده» مراجعه کنید.

فیلم آموزش امنیت اطلاعات و رمزنگاری در فرادرس

کلیک کنید

این گواهی به افراد مختلف امکان می‌دهد که ایمیل‌های رمزنگاری شده را با استفاده از یک کلید رمزنگاری عمومی از قبل تعریف شده و همچنین رمزنگاری ایمیل خروجی، به افراد دیگر ارسال کنند. در این مرحله گواهی دیجیتال مانند یک پاسپورت عمل می‌کند که به عنوان هویت آنلاین شما است و وظیفه اصلی آن احراز این هویت محسوب می‌شود.

زمانی که یک گواهی دیجیتال دارید، کلید عمومی شما در اختیار همه خواهد بود تا بتوانند به شما ایمیل رمزنگاری شده ارسال کنند. دیگران سندهایشان را با استفاده از کلید عمومی رمزنگاری می‌کنند و شما با استفاده از کلید خصوصی خود آن را رمزگشایی خواهید کرد.

گواهی‌های دیجیتال منحصر به افراد نیستند. کسب‌وکارها، سازمان‌های دولتی، سرورهای ایمیل، و تقریباً هر نهاد دیجیتالی دیگری می‌تواند گواهی دیجیتال داشته باشد تا افراد مختلف بتوانند هویت آنلاین آن را تأیید و اعتبارسنجی کنند.

3. حفاظت در برابر جعل دامنه به کمک SPF

«فریمورک سیاست فرستنده» (Sender Policy Framework) یا به اختصار SPF یک پروتکل احراز هویت است که به طور نظری در برابر جعل دامنه حفاظت ایجاد می‌کند.

SPF امنیت اضافی ایجاد می‌کند که به سرور ایمیل امکان می‌دهد، بررسی کند آیا یک پیام از دامنه اصلی ارسال شده است یا کسی تلاش می‌کند دامنه را جعل کند. دامنه بخشی از اینترنت است که تحت یک نام منفرد قرار می‌گیرد. برای نمونه faradars.org یک دامنه است.

هکرها و اسپمرها به طور منظم هنگام تلاش برای رد شدن از یک سیستم فیلترینگ و یا ارسال انبوه به یک کاربر تلاش می‌کنند که دامنه خود را پنهان سازند، زیرا دامنه را می‌توان بر اساس موقعیت و مالک ردگیری کرد و یا دست کم آن را در فهرست سیاه قرار داد. با جعل کردن یک ایمیل خرابکارانه به صورت یک دامنه کاری سالم، احتمال این که کاربر ناآگاه روی آن کلیک کرده یا ضمیمه آلوده آن را باز کند افزایش می‌یابد.

فریمورک سیاست فرستنده، سه جزء دارد که شامل فریمورک، روش احراز هویت و یک هدر ایمیل اختصاصی برای ارائه اطلاعات می‌شود.

4. تأثیر DKIM بر امنیت ایمیل

«نامه‌های شناسایی شده با کلیدهای دامنه» (DomainKeys Identified Mail) یا به اختصار DKIM یک پروتکل ضد تحریف است که تضمین می‌کند ایمیل شما در زمان انتقال، امن می‌ماند. DKIM از امضاهای دیجیتال استفاده کرده و تأیید می‌کند که ایمیل ارسالی از سوی یک دامنه خاص است. به علاوه بررسی می‌کند که آیا دامنه اجازه ارسال ایمیل را دارد یا نه. بدین ترتیب DKIM یک بسط از SPF محسوب می‌شود.

DKIM در عمل امکان تهیه فهرست‌های سیاه و فهرست‌های سفید برای دامنه را آسان‌تر می‌سازد.

5. پروتکل امنیت ایمیل DMARC چیست؟

جنبه نهایی پروتکل‌های امنیتی ایمیل به روش‌های «احراز هویت پیام بر مبنای دامنه، گزارش‌دهی و انطباق» یا به اختصار DMARC گفته می‌شود. DMARC یک سیستم احراز هویت است که استانداردهای SPF و DMARC را جهت حفاظت در برابر فعالیت‌های متقلبانه‌ای که از یک دامنه منشأ می‌یابند اعتبارسنجی می‌کند. DMARC یک خصوصیت کلیدی در مبارزه علیه جعل دامنه است. با این وجود استفاده نسبتاً کم از آن به این معنی است که جعل دامنه همچنان رایج است.

DMARC از طریق جلوگیری از جعل کردن آدرس «header from» عمل می‌کند. این کار به روش زیر انجام می‌پذیرد:

• انطباق دادن نام دامنه «header from» با نام دامنه «envelope from». دامنه «envelope from» در طی بررسی SPF تعریف می‌شود.
• انطباق دادن نام دامنه «header from» با «d-domain name» که در امضای DKIM قرار دارد.

DMARC به ارائه دهنده ایمیل روش‌های مدیریت ایمیل‌های ورودی را آموزش می‌دهد. اگر ایمیلی نتواند بررسی SPF یا احراز هویت DKIM را بگذراند، بازگشت می‌شود. DMARC یک فناوری است که به دامنه‌هایی با هر اندازه امکان حفاظت از خودشان در برابر جعل دامنه را می‌دهد. با این حال همچنان ریسک‌هایی وجود دارد.

6. رمزنگاری سر به سر با S/MIME

«اکستنشن‌های نامه اینترنتی چندمنظوره/امن» (Secure/Multipurpose Internet Mail Extensions) یا به اختصار S/MIME یک پروتکل رمزنگاری سر به سر بسیار قدیمی است. S/MIME پیام ایمیل شما را پیش از ارسال رمزنگاری می‌کند؛ اما فرستنده، گیرنده یا بخش‌های دیگر هدر ایمیل رمزنگاری نمی‌شود. در این پروتکل امنیت ایمیل تنها گیرنده می‌تواند پیام را رمزگشایی کند.

S/MIME توسط کلاینت ایمیل پیاده‌سازی می‌شود؛ اما نیازمند یک گواهی دیجیتال است. اغلب کلاینت‌های مدرن ایمیل از S/MIME پشتیبانی می‌کنند؛ با این حال در مورد اپلیکیشن‌ها و یا ارائه‌دهندگان ایمیل خاص باید بررسی جداگانه صورت بگیرد.

7. PGP/OpenPGP چیست؟

«حریم خصوصی کاملاً مناسب» (Pretty Good Privacy) یا به اختصار PGP یکی دیگر از پروتکل‌های کاملاً قدیمی رمزنگاری سه به سر محسوب می‌شود. با این وجود، بهتر است از همتای اوپن‌سورس آن یعنی OpenPGP استفاده کنید.

فیلم آموزش امنیت شبکه های کامپیوتری در فرادرس

کلیک کنید

OpenPGP پیاده‌سازی متن-باز از پروتکل رمزنگاری PGP است. این پروتکل به طور مرتب به‌روزرسانی می‌شود و در اغلب اپلیکیشن‌ها و سرویس‌های مدرن مورد استفاده قرار می‌گیرد. در OpenPGP نیز مانند S/MIME، شخص ثالث می‌تواند به فراداده ایمیل مانند اطلاعات فرستنده و گیرنده دسترسی داشته باشد.

به یکی از روش‌های زیر می‌توانید OpenPGP را به تنظیمات امنیت ایمیل خود اضافه کنید:

• ویندوز: کاربران ویندوز از وب‌سایت Gpg4Win (+) بازدید کنند.
• مک‌اواس: کاربران مک باید از وب‌سایت GPGSuite (+) دیدن کنند.
• لینوکس: کاربران لینوکس به وب‌سایت GnuPG (+) مراجعه کنند.
• اندروید: کاربران اندروید از وب‌سایت OpenKeychain (+) استفاده کنند.
• آی‌او‌اس: کاربران iOS از وب‌سایت PGP Everywhere (+) برای پیاده‌سازی PGP کمک بگیرند.

پیاده‌سازی OpenPGP در هر برنامه اندکی متفاوت است. هر برنامه توسعه‌دهنده مختلفی دارد که پروتکل OpenPGP را به شیوه متفاوتی برای رمزنگاری ایمیل مورد استفاده قرار می‌دهد. با این وجود همه این برنامه‌های رمزنگاری امن هستند و می‌توانید در مورد امن بود داده‌تان مطمئن باشید.

OpenPGP یکی از آسان‌ترین روش‌ها برای افزودن رمزنگاری به ایمیل‌ها در پلتفرم‌های مختلف محسوب می‌شود.

چرا پروتکل‌های امنیت ایمیل مهم هستند؟

پروتکل‌های امنیت ایمیل بسیار حائز اهمیت هستند، زیرا امنیت را برای ایمیل‌ها به ارمغان می‌آورند. ایمیل به طور مستقل یک فناوری آسیب‌پذیر محسوب می‌شود. SMTP هیچ امنیت درونی ندارد و ایمیل را به صورت یک متن ساده ارسال می‌کند. در این حالت هیچ رمزنگاری روی متن صورت نگرفته است و هر کس که به آن دسترسی داشته باشد، می‌تواند آن را بخواند. این وضعیت پر ریسک است و به خصوص در مورد ایمیل‌هایی که شامل اطلاعات حساس هستند ممکن است مشکلات زیادی ایجاد کنند.

اگر این مطلب برای شما مفید بوده است، آموزش‌های زیر نیز به شما پیشنهاد می‌شوند:

• مجموعه آموزش‌های مهارت‌ های اساسی کار با کامپیوتر
• آموزش امنیت در شبکه های کامپیوتری و اینترنت
• مجموعه آموزش‌های اینترنت و Internet Download Manager
• آموزش امنیت شبکه — راهنمای شروع و یادگیری
• آموزش امنیت وردپرس (WordPress Security)
• گواهی امنیتی یک وب‌سایت چیست و چرا باید به آن توجه کنیم؟
• ۵ ابزار امنیتی مهم که حتماً باید روی رایانه خود داشته باشید
• آموزش CCNA Security — رایگان، به زبان ساده و خلاصه

==