
S/MIME هي طريقة طويلة الأمد لإرسال البريد الإلكتروني المشفر والموقع، وهي قائمة على معايير الإنترنت العامة. نصادف بانتظام متطلبات S/MIME، خاصة من الصناعات المنظمة مثل البنوك والصحة والتمويل.
S/MIME هو طريقة قديمة لإرسال البريد الإلكتروني المشفر والموقع، وهو مبني على معايير الإنترنت العامة. غالباً ما تواجهنا متطلبات لـ S/MIME، لا سيما من الصناعات المنظمة مثل البنوك، الصحة، والمالية. غالباً ما يكون S/MIME مطلوبًا عند التواصل بين الشركات والوكالات الحكومية، كمثال.
معيار بريد آمن آخر، PGP (الذي يحمل اسمًا طريفًا مثل "خصوصية جيدة جدًا")، يُستخدم أكثر للتواصل الآمن من شخص إلى شخص. إنه أقل شهرة الآن لأن الإصدارات الاستهلاكية من عملاء البريد الإلكتروني الشائعين عبر الويب مثل Gmail و Outlook/Hotmail لا يمكنها عرض بريد مشفر. هذا هو أحد الأسباب التي جعلت العديد من الاتصالات من شخص إلى شخص التي تتطلب الخصوصية تنتقل إلى منصات مثل WhatsApp (والعديد من الآخرين) التي تقدم تشفيرًا مدمجًا من النهاية إلى النهاية.
يتطلب كلا من PGP و S/MIME عميل بريد يمكنه استخدام المفاتيح والشهادات. يتناسب العديد من عملاء سطح المكتب والهواتف المحمولة، بما في ذلك Apple Mail، Microsoft Outlook، وMozilla Thunderbird مع المتطلبات، وتفعل ذلك الإصدارات التجارية من بعض عملاء الويب مثل Microsoft Office 365. يتطلب إعداد المفاتيح بعض العمل، لكن العديد من المؤسسات ما زالت تعتبره مجديًا، على الرغم من الإفصاحات الأخيرة عن الثغرات التي تتطلب الحلول لحظر تحميل المحتوى عن بعد.
توجد S/MIME منذ 1995 وقد مرت بعدة مراجعات؛ النسخة الحالية مغطاة بواسطة RFC 5751. يتطلب تبادل المفاتيح العامة، وهي مهمة غير تافهة تتطلب غالبًا دعم فريق تكنولوجيا المعلومات أو مورد مماثل. بالنسبة للمؤسسات التي تشغل بنية تحتية للبريد الإلكتروني داخليًا، يتطلب تنفيذ S/MIME اعتبارات إضافية للمنصات مثل PowerMTA وMomentum، والتي نغطيها في دليلنا عن S/MIME للبريد الإلكتروني الآمن الداخلي. ومع ذلك، توجد طرق مؤتمتة لتبسيط هذه العملية، مثل جمع مفاتيح المستلمين العامة من خلال أنظمة تعتمد على البريد الإلكتروني يمكن أن تبسط إدارة المفاتيح للتدفقات البريدية التي يتم إنشاؤها بواسطة التطبيقات. هنا تدخل الشركات التجارية مثل شركاء SparkPost Virtru وEchoworkx لتسهيل الأمن للمراسلات التجارية من شخص إلى شخص (انظر SparkPost/Echoworkx كيفية لمزيد من المعلومات).
هذا هو الحال، دعونا نتعمق في S/MIME القديم ونرى ما يمكننا القيام به معه.
لماذا يجب أن أهتم؟
النُّسخة القصيرة:
التشفير يمنحك خصوصية الرسالة.
التوقيع يوفر لك التحقق من الهوية (للمرسل)، وعدم الإنكار للأصل، وفحوصات سلامة الرسالة.
الخصوصية
إذا كانت رسائلك لا تحتوي على شيء شخصي، خاص، أو ذو أهمية قانونية، فلن تحتاج على الأرجح إلى التفكير في S/MIME. أنظمة تسليم البريد الإلكتروني الحديثة مثل SparkPost تستخدم بالفعل "TLS انتهازي" لتأمين نقل الرسالة من خادم الإرسال إلى خادم المستلم.
ومع ذلك، فإن الجزء "الانتهازي" يعني أن خادم الإرسال لا يمكنه التفاوض على اتصال آمن، سنرسل البريد بنص عادي. هذا ليس مناسبًا إذا كنت ترغب في إجبار الرسالة على أن تكون آمنة طوال الطريق. يمكنك إلقاء نظرة على مزودي صندوق البريد الذين يدعون دعم TLS وأيهم يدعمه بالفعل. نفترض أن خادم المستلم يدعم TLS، رسالتك آمنة كالتالي:

يؤمن TLS المحادثات بين خوادم البريد (ولهذا يُسمى أمان طبقة النقل). يهتم MIME (بما في ذلك S/MIME) بمحتوى الرسالة وطريقة معالجته، ويمكن اعتباره جزءًا من "طبقة العرض".
يؤمن S/MIME محتوى الرسالة بالكامل (النهاية إلى النهاية) من مصدر الرسالة إلى عميل البريد للمتلقي، محاطًا بجسم الرسالة.

يشفّر S/MIME جسم الرسالة باستخدام المفتاح العام للمتلقي. لا يمكن فك تشفير الجسم بدون المفتاح الخاص للمتلقي - ليس بواسطة أي "شخص في الوسط" مثل مزود خدمة الإنترنت أو SparkPost أو خادم بريد المستلم.
لا يتم الكشف عن المفتاح الخاص أبدًا؛ يتم الاحتفاظ به في حيازة المتلقي فقط. يسافر البريد المشفر عبر الإنترنت إلى خادم البريد المستلم. عندما يصل إلى صندوق البريد الخاص بالمتلقي، يُفك تشفيره (عادةً تلقائيًا) باستخدام مفتاحهم الخاص ويصبح قابلاً للقراءة.
بعض المفاجآت التي يجب الانتباه إليها في S/MIME:
يؤدي تشفير S/MIME إلى عدم إمكانية فحص الرسائل الواردة على الخادم للبرامج الضارة لأن الحمولة الرسالية تكون في شكل مشفر ولا يمكن التعرف عليها.
لاحظ أن عناوين الرسائل (من، إلى، الموضوع، إلخ) ليست مشفرة، لذا يجب إنشاء محتوى خط الموضوع مع أخذ ذلك في الاعتبار.
التوقيع – التحقق من الهوية
يوفر S/MIME أيضًا للمتلقي القدرة على التحقق من هوية المرسل إذا كان هو من يدعي أنه هو.
البريد الإلكتروني للمرسل يحتوي على شهادة مرفقة، والتي، بطريقة ما، مثل الشهادة على موقع ويب آمن، يمكن تتبعها إلى سلطة إصدار. للحصول على وصف كامل لعملية التوقيع، انظر ملف PDF لعملية توقيع S/MIME.
سنتبع نهج توقيع البريد أولاً، ثم تشفيره، حتى تبدو العملية كالتالي.

عدم الإنكار
فائدة أخرى مهمة من التوقيع للمتلقي هي عدم إنكار الأصل. فكر في موقف يستخدم فيه بريد إلكتروني للموافقة على عقد. يتلقى المستلم العقد في رسالة من المرسل. إذا حاول المرسل لاحقًا أن يقول، "لا، لم أرسل لك تلك الرسالة"، فإن الرسالة المستلمة تظهر أن شهادة المرسل قد استُخدمت بالفعل.
سلامة الرسالة
تخلق عملية التوقيع بصمةً لمصدر الرسالة العادي (المعروف بهضم الرسالة)، ويتم تشفير الهضم باستخدام المفتاح الخاص للمرسل، ويتم تضمينه في الرسالة المرسلة. يمكن لعميل البريد الخاص بالمتلقي معرفة إن تم التلاعب بجسم الرسالة.
ربما قد تقول، "أعتقد أن DKIM يوفر لي فحوصات سلامة الرسالة!" حسنًا نعم، يوفر DKIM فحوصات سلامة جسم الرسالة وعناوين الرسالة - ضمانات منع التلاعب. ومع ذلك، فإن فشل DKIM (أو عدم وجوده) لن ينجم عنه عادةً جعل الرسالة الواردة غير صالحة بالكامل ... ما لم تكن سياسة DMARC لرفض p= في اللعب (راجع مدوّنتنا DMARC: كيف تحمي سمعة بريدك الإلكتروني). يعد DKIM واحدًا من العديد من العوامل المستخدمة من قبل مزود خدمة الإنترنت لتعيين سمعة موثوقة لنطاق ما وهو، بالطبع، جزء أساسي من حزمة رسائلك.
سيُظهر لك عميل بريدك بشكل بارز إذا فشلت رسالة S/MIME في فحوصات التوقيع:

ملخص: النهاية إلى النهاية (S/MIME) مقابل الخادم إلى الخادم (DKIM، DMARC، TLS)
يمثل S/MIME قدرة على طبقة العرض التي يمكن أن تعمل بين مستخدمين نهائيين للبريد الإلكتروني (مع شهادات / مفاتيح صالحة) دون أي إجراء من قِبل مسؤول البريد الإلكتروني. يوفر S/MIME التشفير والتوقيع ويكون شخصيًا لكل مستخدم.
يرتبط S/MIME بالعنوان الكامل للإرسال (الجزء المحلي وجزء النطاق)، على سبيل المثال، alice@bigcorp.com وbob@bigcorp.com سيحتاجان إلى شهادات مختلفة. على النقيض من ذلك، يؤكد DKIM أن البريد الإلكتروني قادم من نطاق التوقيع. يعد DKIM موضوعًا كاملاً في حد ذاته؛ وهذه المقالة هي مكان جيد للبدء.
يتم إعداد DKIM وDMARC من قِبل مسؤول البريد الإلكتروني الخاص بك (يعمل على خادم البريد وسجلات DNS). بمجرد إعدادها، تكون نشطة للنطاقات بدلاً من المستخدمين الفرديين.
كيف يرتبط هذا بـ SparkPost؟
ما هي العملاء الذين يدعمون S/MIME؟
استهلاكي Gmail
يعرض عميل Gmail الويب العادي توقيعات البريد الوارد (انظر أدناه)، لكنه ليس مُعدًا للاحتفاظ بمفتاحك الخاص لقراءة الرسائل المشفرة. حتى لو كان ذلك ممكنًا عبر ملحقات الجهات الخارجية، فإن تحميل مفتاحك الخاص ليس فكرة جيدة من الناحية الأمنية.

لم أتمكن من جعل Yahoo! Mail يقوم بفك شفرة التوقيعات في الرسائل على الإطلاق.
النسخة الاستهلاكية من حسابات Microsoft Outlook/Hotmail تنبهك إلى وجود توقيع S/MIME، لكنها لا تمنحك الوصول الكامل لعرض أو التحقق من الشهادة.

بريد الأعمال المستضاف
بالنسبة للمنظمات التي لديها بريد مستضاف، فإن Microsoft Office 365 وG Suite Enterprise يدعمان S/MIME.
عملاء بريد Outlook
يعمل عميل Microsoft Outlook القائم على الكمبيوتر (مثل 2010 لنظام Windows):

النقر على الأيقونات يمنحك مزيد من المعلومات:


على Outlook 2010 / Windows، يتم الوصول إلى مخزن الشهادات عبر ملف / خيارات / مركز الثقة / إعدادات مركز الثقة / أمان البريد الإلكتروني / استيراد / تصدير.

Thunderbird - متعدد المنصات ومجاني
إذا كنت تبحث عن عميل مجاني، فإن Mozilla Thunderbird يلبي المتطلبات. إنه متاح على PC وMac وLinux ويدعم S/MIME عبر كل هذه الأنظمة. هكذا تبدو الرسالة على Mac. تُشير أيقونة "المظروف المُغلق" إلى توقيع الرسالة، ويُشير القفل إلى أنها مُشفرة.

النقر على المظروف/القفل يعرض معلومات حول الرسالة:

Thunderbird يحتوي على مخزن مفاتيح خاص به، يتم الوصول إليه بطرق مشابهة على كل منصة:
Mac عبر التفضيلات / متقدمة / الشهادات / إدارة الشهادات
PC: القائمة ("شريط" في الأعلى يمين)، متقدمة / الشهادات / إدارة الشهادات
Linux: القائمة ("شريط" في الأعلى يمين)، التفضيلات / متقدمة / إدارة الشهادات
Mac Mail
يدعم Mac Mail أيضًا S/MIME. يعتمد على سلسلة مفاتيح Mac الاحتفاظ بمفاتيحك.

iOS Mail
أولاً، قم باستيراد شهادة حساب بريدك الإلكتروني بهذه الطريقة، عندها يمكنك عرض الرسائل المشفرة والموقعة S/MIME. لا تبدو مختلفة حقًا على شاشة العرض.



Android
بعض الأجهزة والتطبيقات تدعم S/MIME؛ هناك العديد من التنوع. Samsung لديها دليل.
أخيرًا...
هذا هو ملخص سريع لاستخدامات S/MIME العملية. إذا كنت تريد الحصول على شهادات البريد الخاصة بك، هناك قائمة بالمزودين هنا. لقد وجدت أن Comodo يعمل بشكل جيد (مجاني للاستخدام غير التجاري – افتح هذا في فايرفوكس، وليس كروم).
في الجزء الثاني، سنستكشف كيف نطبق توقيع وتشفير S/MIME على الرسائل التي توصلها عبر SparkPost.
قراءة إضافية
لدى مايكروسوفت مقال تمهيدي جيد عن S/MIME في الوثائق الخاصة بهم.
لمزيد من المعلومات حول الثغرة الأمنية EFAIL وكيف تم معالجتها، راجع الموقع الرسمي لـ EFAIL. تفسيرات أخرى سهلة المتابعة متاحة على صفحة ويكيبيديا الخاصة بـ EFAIL وفي مدونة CipherMail: EFAIL: من هو الضعيف، PGP، S/MIME أم عميل البريد الخاص بك؟.