المنتج

حلول

الموارد

شركة

المنتج

حلول

الموارد

شركة

S/MIME: ما هو، لماذا يجب أن أهتم، وكيف يرتبط بـ SparkPost؟

Bird

19‏/12‏/2018

البريد الإلكتروني

1 min read

S/MIME: ما هو، لماذا يجب أن أهتم، وكيف يرتبط بـ SparkPost؟

Bird

19‏/12‏/2018

البريد الإلكتروني

1 min read

S/MIME: ما هو، لماذا يجب أن أهتم، وكيف يرتبط بـ SparkPost؟

S/MIME هي طريقة طويلة الأمد لإرسال البريد الإلكتروني المشفر والموقع، وهي قائمة على معايير الإنترنت العامة. نصادف بانتظام متطلبات S/MIME، خاصة من الصناعات المنظمة مثل البنوك والصحة والتمويل.

S/MIME هو طريقة قديمة لإرسال البريد الإلكتروني المشفر والموقع، وهو مبني على معايير الإنترنت العامة. غالباً ما تواجهنا متطلبات لـ S/MIME، لا سيما من الصناعات المنظمة مثل البنوك، الصحة، والمالية. غالباً ما يكون S/MIME مطلوبًا عند التواصل بين الشركات والوكالات الحكومية، كمثال.

معيار بريد آمن آخر، PGP (الذي يحمل اسمًا طريفًا مثل "خصوصية جيدة جدًا")، يُستخدم أكثر للتواصل الآمن من شخص إلى شخص. إنه أقل شهرة الآن لأن الإصدارات الاستهلاكية من عملاء البريد الإلكتروني الشائعين عبر الويب مثل Gmail و Outlook/Hotmail لا يمكنها عرض بريد مشفر. هذا هو أحد الأسباب التي جعلت العديد من الاتصالات من شخص إلى شخص التي تتطلب الخصوصية تنتقل إلى منصات مثل WhatsApp (والعديد من الآخرين) التي تقدم تشفيرًا مدمجًا من النهاية إلى النهاية.

يتطلب كلا من PGP و S/MIME عميل بريد يمكنه استخدام المفاتيح والشهادات. يتناسب العديد من عملاء سطح المكتب والهواتف المحمولة، بما في ذلك Apple Mail، Microsoft Outlook، وMozilla Thunderbird مع المتطلبات، وتفعل ذلك الإصدارات التجارية من بعض عملاء الويب مثل Microsoft Office 365. يتطلب إعداد المفاتيح بعض العمل، لكن العديد من المؤسسات ما زالت تعتبره مجديًا، على الرغم من الإفصاحات الأخيرة عن الثغرات التي تتطلب الحلول لحظر تحميل المحتوى عن بعد.

توجد S/MIME منذ 1995 وقد مرت بعدة مراجعات؛ النسخة الحالية مغطاة بواسطة RFC 5751. يتطلب تبادل المفاتيح العامة، وهي مهمة غير تافهة تتطلب غالبًا دعم فريق تكنولوجيا المعلومات أو مورد مماثل. بالنسبة للمؤسسات التي تشغل بنية تحتية للبريد الإلكتروني داخليًا، يتطلب تنفيذ S/MIME اعتبارات إضافية للمنصات مثل PowerMTA وMomentum، والتي نغطيها في دليلنا عن S/MIME للبريد الإلكتروني الآمن الداخلي. ومع ذلك، توجد طرق مؤتمتة لتبسيط هذه العملية، مثل جمع مفاتيح المستلمين العامة من خلال أنظمة تعتمد على البريد الإلكتروني يمكن أن تبسط إدارة المفاتيح للتدفقات البريدية التي يتم إنشاؤها بواسطة التطبيقات. هنا تدخل الشركات التجارية مثل شركاء SparkPost Virtru وEchoworkx لتسهيل الأمن للمراسلات التجارية من شخص إلى شخص (انظر SparkPost/Echoworkx كيفية لمزيد من المعلومات).

هذا هو الحال، دعونا نتعمق في S/MIME القديم ونرى ما يمكننا القيام به معه.

لماذا يجب أن أهتم؟

النُّسخة القصيرة:

  • التشفير يمنحك خصوصية الرسالة.

  • التوقيع يوفر لك التحقق من الهوية (للمرسل)، وعدم الإنكار للأصل، وفحوصات سلامة الرسالة.

  • يعمل S/MIME بشكل مختلف عن DKIM وDMARC ويمكن أن يتعايش معها.

الخصوصية
إذا كانت رسائلك لا تحتوي على شيء شخصي، خاص، أو ذو أهمية قانونية، فلن تحتاج على الأرجح إلى التفكير في S/MIME. أنظمة تسليم البريد الإلكتروني الحديثة مثل SparkPost تستخدم بالفعل "TLS انتهازي" لتأمين نقل الرسالة من خادم الإرسال إلى خادم المستلم.

ومع ذلك، فإن الجزء "الانتهازي" يعني أن خادم الإرسال لا يمكنه التفاوض على اتصال آمن، سنرسل البريد بنص عادي. هذا ليس مناسبًا إذا كنت ترغب في إجبار الرسالة على أن تكون آمنة طوال الطريق. يمكنك إلقاء نظرة على مزودي صندوق البريد الذين يدعون دعم TLS وأيهم يدعمه بالفعل. نفترض أن خادم المستلم يدعم TLS، رسالتك آمنة كالتالي:

Email encryption process highlighting TLS between a gear-labeled "Message Source" on the left, an flame icon representing encryption in the middle, and a envelope-labeled "Recipient" on the right.

يؤمن TLS المحادثات بين خوادم البريد (ولهذا يُسمى أمان طبقة النقل). يهتم MIME (بما في ذلك S/MIME) بمحتوى الرسالة وطريقة معالجته، ويمكن اعتباره جزءًا من "طبقة العرض".

يؤمن S/MIME محتوى الرسالة بالكامل (النهاية إلى النهاية) من مصدر الرسالة إلى عميل البريد للمتلقي، محاطًا بجسم الرسالة.

A diagram illustrating email security with S/MIME encryption, showing a message source icon leading to an email symbol, both connected by TLS, with a locked envelope symbol representing the recipient, highlighting secure message delivery.

يشفّر S/MIME جسم الرسالة باستخدام المفتاح العام للمتلقي. لا يمكن فك تشفير الجسم بدون المفتاح الخاص للمتلقي - ليس بواسطة أي "شخص في الوسط" مثل مزود خدمة الإنترنت أو SparkPost أو خادم بريد المستلم.

لا يتم الكشف عن المفتاح الخاص أبدًا؛ يتم الاحتفاظ به في حيازة المتلقي فقط. يسافر البريد المشفر عبر الإنترنت إلى خادم البريد المستلم. عندما يصل إلى صندوق البريد الخاص بالمتلقي، يُفك تشفيره (عادةً تلقائيًا) باستخدام مفتاحهم الخاص ويصبح قابلاً للقراءة.

بعض المفاجآت التي يجب الانتباه إليها في S/MIME:

يؤدي تشفير S/MIME إلى عدم إمكانية فحص الرسائل الواردة على الخادم للبرامج الضارة لأن الحمولة الرسالية تكون في شكل مشفر ولا يمكن التعرف عليها.

لاحظ أن عناوين الرسائل (من، إلى، الموضوع، إلخ) ليست مشفرة، لذا يجب إنشاء محتوى خط الموضوع مع أخذ ذلك في الاعتبار.

التوقيع – التحقق من الهوية
يوفر S/MIME أيضًا للمتلقي القدرة على التحقق من هوية المرسل إذا كان هو من يدعي أنه هو.

البريد الإلكتروني للمرسل يحتوي على شهادة مرفقة، والتي، بطريقة ما، مثل الشهادة على موقع ويب آمن، يمكن تتبعها إلى سلطة إصدار. للحصول على وصف كامل لعملية التوقيع، انظر ملف PDF لعملية توقيع S/MIME.

سنتبع نهج توقيع البريد أولاً، ثم تشفيره، حتى تبدو العملية كالتالي.

Diagram illustrating S/MIME signing and encryption in email communication, featuring icons for message source, email transfer via TLS, and recipient, with visual representations of encryption and security processes.


عدم الإنكار
فائدة أخرى مهمة من التوقيع للمتلقي هي عدم إنكار الأصل. فكر في موقف يستخدم فيه بريد إلكتروني للموافقة على عقد. يتلقى المستلم العقد في رسالة من المرسل. إذا حاول المرسل لاحقًا أن يقول، "لا، لم أرسل لك تلك الرسالة"، فإن الرسالة المستلمة تظهر أن شهادة المرسل قد استُخدمت بالفعل.

سلامة الرسالة
تخلق عملية التوقيع بصمةً لمصدر الرسالة العادي (المعروف بهضم الرسالة)، ويتم تشفير الهضم باستخدام المفتاح الخاص للمرسل، ويتم تضمينه في الرسالة المرسلة. يمكن لعميل البريد الخاص بالمتلقي معرفة إن تم التلاعب بجسم الرسالة.

ربما قد تقول، "أعتقد أن DKIM يوفر لي فحوصات سلامة الرسالة!" حسنًا نعم، يوفر DKIM فحوصات سلامة جسم الرسالة وعناوين الرسالة - ضمانات منع التلاعب. ومع ذلك، فإن فشل DKIM (أو عدم وجوده) لن ينجم عنه عادةً جعل الرسالة الواردة غير صالحة بالكامل ... ما لم تكن سياسة DMARC لرفض p= في اللعب (راجع مدوّنتنا DMARC: كيف تحمي سمعة بريدك الإلكتروني). يعد DKIM واحدًا من العديد من العوامل المستخدمة من قبل مزود خدمة الإنترنت لتعيين سمعة موثوقة لنطاق ما وهو، بالطبع، جزء أساسي من حزمة رسائلك.

سيُظهر لك عميل بريدك بشكل بارز إذا فشلت رسالة S/MIME في فحوصات التوقيع:

Email application window displaying a warning pop-up about a digital signature being invalid, highlighting issues with message encryption and the need to verify the sender's identity, next to a list of emails and a highlighted delete option.

ملخص: النهاية إلى النهاية (S/MIME) مقابل الخادم إلى الخادم (DKIM، DMARC، TLS)
يمثل S/MIME قدرة على طبقة العرض التي يمكن أن تعمل بين مستخدمين نهائيين للبريد الإلكتروني (مع شهادات / مفاتيح صالحة) دون أي إجراء من قِبل مسؤول البريد الإلكتروني. يوفر S/MIME التشفير والتوقيع ويكون شخصيًا لكل مستخدم.

يرتبط S/MIME بالعنوان الكامل للإرسال (الجزء المحلي وجزء النطاق)، على سبيل المثال، alice@bigcorp.com وbob@bigcorp.com سيحتاجان إلى شهادات مختلفة. على النقيض من ذلك، يؤكد DKIM أن البريد الإلكتروني قادم من نطاق التوقيع. يعد DKIM موضوعًا كاملاً في حد ذاته؛ وهذه المقالة هي مكان جيد للبدء.

يتم إعداد DKIM وDMARC من قِبل مسؤول البريد الإلكتروني الخاص بك (يعمل على خادم البريد وسجلات DNS). بمجرد إعدادها، تكون نشطة للنطاقات بدلاً من المستخدمين الفرديين.

كيف يرتبط هذا بـ SparkPost؟

أنظمة البريد للتراسل الشخصي مثل Microsoft Exchange Server، قد دعمت S/MIME لفترة طويلة.

إذا كنت تستخدم SparkPost للإرسال إلى مستلمين محددين لديهم عملاء بريد يمكنهم قراءة S/MIME، فقد يكون من المنطقي توقيع رسائلك باستخدام S/MIME. توقيع S/MIME يضيف مزيدًا من الضمان بأن الرسالة تأتي بالفعل منك (أو من نظامك) ولم يتم العبث بها، الأمر الذي قد يكون ذا قيمة في بعض حالات الاستخدام. كل ما تحتاجه لذلك هو مفتاحك الخاص وبعض البرامج المجانية التي سنوضحها في الجزء الثاني من هذه المقالة.

استخدام تشفير S/MIME هو خيار منفصل لاتخاذه. ستحتاج إلى المفتاح العام لكل من مستلميك. الحصول على هذا قد يكون سهلاً مثل أن يرسلوا لك (أو لتطبيقك) بريدًا إلكترونيًا موقعًا. سنستعرض أداة عملية لإرسال بريد موقع ومشفر باستخدام S/MIME عبر SparkPost في منشور متابعة.

أنظمة البريد للتراسل الشخصي مثل Microsoft Exchange Server، قد دعمت S/MIME لفترة طويلة.

إذا كنت تستخدم SparkPost للإرسال إلى مستلمين محددين لديهم عملاء بريد يمكنهم قراءة S/MIME، فقد يكون من المنطقي توقيع رسائلك باستخدام S/MIME. توقيع S/MIME يضيف مزيدًا من الضمان بأن الرسالة تأتي بالفعل منك (أو من نظامك) ولم يتم العبث بها، الأمر الذي قد يكون ذا قيمة في بعض حالات الاستخدام. كل ما تحتاجه لذلك هو مفتاحك الخاص وبعض البرامج المجانية التي سنوضحها في الجزء الثاني من هذه المقالة.

استخدام تشفير S/MIME هو خيار منفصل لاتخاذه. ستحتاج إلى المفتاح العام لكل من مستلميك. الحصول على هذا قد يكون سهلاً مثل أن يرسلوا لك (أو لتطبيقك) بريدًا إلكترونيًا موقعًا. سنستعرض أداة عملية لإرسال بريد موقع ومشفر باستخدام S/MIME عبر SparkPost في منشور متابعة.

أنظمة البريد للتراسل الشخصي مثل Microsoft Exchange Server، قد دعمت S/MIME لفترة طويلة.

إذا كنت تستخدم SparkPost للإرسال إلى مستلمين محددين لديهم عملاء بريد يمكنهم قراءة S/MIME، فقد يكون من المنطقي توقيع رسائلك باستخدام S/MIME. توقيع S/MIME يضيف مزيدًا من الضمان بأن الرسالة تأتي بالفعل منك (أو من نظامك) ولم يتم العبث بها، الأمر الذي قد يكون ذا قيمة في بعض حالات الاستخدام. كل ما تحتاجه لذلك هو مفتاحك الخاص وبعض البرامج المجانية التي سنوضحها في الجزء الثاني من هذه المقالة.

استخدام تشفير S/MIME هو خيار منفصل لاتخاذه. ستحتاج إلى المفتاح العام لكل من مستلميك. الحصول على هذا قد يكون سهلاً مثل أن يرسلوا لك (أو لتطبيقك) بريدًا إلكترونيًا موقعًا. سنستعرض أداة عملية لإرسال بريد موقع ومشفر باستخدام S/MIME عبر SparkPost في منشور متابعة.

ما هي العملاء الذين يدعمون S/MIME؟

استهلاكي Gmail
يعرض عميل Gmail الويب العادي توقيعات البريد الوارد (انظر أدناه)، لكنه ليس مُعدًا للاحتفاظ بمفتاحك الخاص لقراءة الرسائل المشفرة. حتى لو كان ذلك ممكنًا عبر ملحقات الجهات الخارجية، فإن تحميل مفتاحك الخاص ليس فكرة جيدة من الناحية الأمنية.

Message titled "Test message with signature" from Steve Tuck, featuring a verified email address, date and time, and standard encryption details.

لم أتمكن من جعل Yahoo! Mail يقوم بفك شفرة التوقيعات في الرسائل على الإطلاق.

النسخة الاستهلاكية من حسابات Microsoft Outlook/Hotmail تنبهك إلى وجود توقيع S/MIME، لكنها لا تمنحك الوصول الكامل لعرض أو التحقق من الشهادة.

Message titled "Testing attachments etc," with the body text mentioning that S/MIME isn't supported and an attached PDF file.


بريد الأعمال المستضاف
بالنسبة للمنظمات التي لديها بريد مستضاف، فإن Microsoft Office 365 وG Suite Enterprise يدعمان S/MIME.


عملاء بريد Outlook
يعمل عميل Microsoft Outlook القائم على الكمبيوتر (مثل 2010 لنظام Windows):

Message with the subject "Here is our declaration" featuring plain text and an orange arrow marking the message as important.


النقر على الأيقونات يمنحك مزيد من المعلومات:

Dialog box displaying a valid digital signature, with details about the signer and certificate information, and options for error warnings in digitally signed emails.Message Security Properties window for an email, detailing encryption and digital signature layers, with options to check trust certification, featuring buttons and encryption status displays.


على Outlook 2010 / Windows، يتم الوصول إلى مخزن الشهادات عبر ملف / خيارات / مركز الثقة / إعدادات مركز الثقة / أمان البريد الإلكتروني / استيراد / تصدير.

Microsoft Outlook with an open email about testing attachments, alongside a pop-up window showing security settings for importing certificates, illustrating steps for setting up digital signature encryption.


Thunderbird - متعدد المنصات ومجاني
إذا كنت تبحث عن عميل مجاني، فإن Mozilla Thunderbird يلبي المتطلبات. إنه متاح على PC وMac وLinux ويدعم S/MIME عبر كل هذه الأنظمة. هكذا تبدو الرسالة على Mac. تُشير أيقونة "المظروف المُغلق" إلى توقيع الرسالة، ويُشير القفل إلى أنها مُشفرة.

Email client with a message open, showing an image of a happy golden retriever puppy, with visible email options and browser tabs at the top.


النقر على المظروف/القفل يعرض معلومات حول الرسالة:

Message notification with text indicating the message is signed with a valid digital signature and encrypted before sending, verified by COMODO RSA Client Authentication and Secure Email CA.

Thunderbird يحتوي على مخزن مفاتيح خاص به، يتم الوصول إليه بطرق مشابهة على كل منصة:
Mac عبر التفضيلات / متقدمة / الشهادات / إدارة الشهادات
PC: القائمة ("شريط" في الأعلى يمين)، متقدمة / الشهادات / إدارة الشهادات
Linux: القائمة ("شريط" في الأعلى يمين)، التفضيلات / متقدمة / إدارة الشهادات


Mac Mail
يدعم Mac Mail أيضًا S/MIME. يعتمد على سلسلة مفاتيح Mac الاحتفاظ بمفاتيحك.

An email featuring the security status of the message, indicating that it is digitally signed and encrypted.


iOS Mail
أولاً، قم باستيراد شهادة حساب بريدك الإلكتروني بهذه الطريقة، عندها يمكنك عرض الرسائل المشفرة والموقعة S/MIME. لا تبدو مختلفة حقًا على شاشة العرض.

"Install Profile" page for an "Identity Certificate," indicating the profile is not signed, with options to view more details or proceed with installation at the top right.iPhone interface prompting the user to enter a password for the "Identity Certificate" in the Mail app.A happy golden retriever with an open mouth and tongue out is shown in the image as part of an email attachment test.

Android
بعض الأجهزة والتطبيقات تدعم S/MIME؛ هناك العديد من التنوع. Samsung لديها دليل.

أخيرًا...

هذا هو ملخص سريع لاستخدامات S/MIME العملية. إذا كنت تريد الحصول على شهادات البريد الخاصة بك، هناك قائمة بالمزودين هنا. لقد وجدت أن Comodo يعمل بشكل جيد (مجاني للاستخدام غير التجاري – افتح هذا في فايرفوكس، وليس كروم).

في الجزء الثاني، سنستكشف كيف نطبق توقيع وتشفير S/MIME على الرسائل التي توصلها عبر SparkPost.

قراءة إضافية
لدى مايكروسوفت مقال تمهيدي جيد عن S/MIME في الوثائق الخاصة بهم.

لمزيد من المعلومات حول الثغرة الأمنية EFAIL وكيف تم معالجتها، راجع الموقع الرسمي لـ EFAIL. تفسيرات أخرى سهلة المتابعة متاحة على صفحة ويكيبيديا الخاصة بـ EFAIL وفي مدونة CipherMail: EFAIL: من هو الضعيف، PGP، S/MIME أم عميل البريد الخاص بك؟.

A person is standing at a desk while typing on a laptop.

منصة AI-native الكاملة التي تتماشى مع نمو عملك.

A person is standing at a desk while typing on a laptop.

منصة AI-native الكاملة التي تتماشى مع نمو عملك.

المنتج

حلول

الموارد

شركة

إعدادات الخصوصية

اجتماعي

النشرة الإخبارية

ابقَ على اطلاع مع Bird من خلال التحديثات الأسبوعية إلى بريدك الوارد.

اشتراك

A person is standing at a desk while typing on a laptop.

منصة AI-native الكاملة التي تتماشى مع نمو عملك.

المنتج

حلول

الموارد

شركة

إعدادات الخصوصية

اجتماعي

النشرة الإخبارية

ابقَ على اطلاع مع Bird من خلال التحديثات الأسبوعية إلى بريدك الوارد.

اشتراك