仅仅是对电子邮件服务器安全的重视,并不能阻止邮件信息在互联网上“裸奔”。
电子邮件已经成为我们最重要和最不可缺少的个人生活和工作的通信工具之一,这使得电子邮件安全问题也越来越突出。其中,最严重的问题是人们对电子邮件安全的认识不足。用Google搜索一下“电子邮件安全”,一般都是讲如何防范垃圾邮件、病毒邮件和钓鱼邮件等等。而实际上,电子邮件安全问题主要包括两个方面:一是电子邮件服务器的安全,包括网络安全以及如何从服务器端防范和杜绝垃圾邮件、病毒邮件和钓鱼邮件等,这些是电子邮件服务的基本要求;而另一问题是如何确保电子邮件用户的电子邮件内容不会被非法窃取、非法篡改和如何防止非法用户登录合法用户的电子邮件账号。在这两个方面内容中,笔者认为后者更为重要,而且它目前还没有引起人们的高度重视。
正是由于电子邮件内容中有非常重要的个人机密信息和机密的商业信息,才使得有人采取非法手段窃取邮件内容、篡改邮件内容和伪造合法身份发送电子邮件。而由于电子邮件同其他互联网应用一样都是明文传输,使得窃取邮件内容、篡改邮件内容非常容易实现,而常用的电子邮件Web方式登录也是采用简单的用户名/密码方式认证,使得非常容易被非法获得而伪造合法身份登录电子邮件账号来查阅电子邮件和发送电子邮件。以上严重问题并没有得到电子邮件服务提供商足够的重视和采取相应的技术措施。其实,现有的成熟的PKI技术(数字证书)就可以解决以上问题,也就是为电子邮件服务器部署SSL数字证书和每个电子邮件用户使用个人数字证书来加密收发电子邮件,同时使用个人数字证书来签名每个发出的邮件,让收件人能确信此电子邮件确实是来自声称的发件人。
而目前的电子邮件服务提供商中只有MSN(Hotmail)和Google Gmail在用户Web登录部署了SSL数字证书,而国内其他各大电子邮件服务提供商几乎没有一家部署了SSL数字证书,更谈不上支持个人数字证书了,也就是说中国的上亿个电子邮件账号所发送的电子邮件信息都是在互联网上“裸奔”(明文传输),都是邮寄的“明信片”,而不是真正意义的有信封的信件,这种状况真是非常令人担忧,这种对电子邮件用户(不管是免费用户还是收费用户)不负责任的做法值得每个电子邮件消费者拿起法律武器来保护消费者的合法权益,同时也希望国内各大电子邮件服务提供商能尽快部署SSL数字证书来确保电子邮件安全,从而在激烈的电子邮件市场获得新的竞争优势。
(
