S/MIME هي طريقة طويلة الأمد لإرسال البريد الإلكتروني المشفر والموقع، وهي قائمة على معايير الإنترنت العامة. نصادف بانتظام متطلبات S/MIME، خاصة من الصناعات المنظمة مثل البنوك والصحة والتمويل.
S/MIME هو طريقة قديمة لإرسال البريد الإلكتروني المشفر والموقع، بناءً على معايير الإنترنت العامة. نواجه بانتظام متطلبات لـ S/MIME، خاصة من الصناعات المنظمة مثل البنوك والصحة والمالية. غالبًا ما يكون S/MIME مطلوبًا عند التواصل بين الشركات والوكالات الحكومية، على سبيل المثال.
معيار بريد آمن آخر، PGP (المسمى طريفًا "خصوصية جيدة إلى حد ما"), يستخدم أكثر للاتصالات الشخصية المحمية. أصبح أقل شيوعًا الآن لأن النسخ الاستهلاكية للبرامج العميلة للبريد الإلكتروني المستندة إلى الويب مثل Gmail وOutlook/Hotmail لا تستطيع عرض البريد المشفر. هذا أحد الأسباب التي جعلت الكثير من الاتصال الشخصي الذي يتطلب الخصوصية قد ذهب إلى منصات مثل WhatsApp (والعديد من الآخرين) التي تقدم تشفيرًا محليًا من طرف إلى طرف.
يتطلب كل من PGP وS/MIME عميل بريد يمكنه استخدام المفاتيح والشهادات. يناسب كل من تطبيقات البريد على سطح المكتب والهواتف المحمولة، بما في ذلك Apple Mail وMicrosoft Outlook وMozilla Thunderbird الاحتياجات، كما تفعل النسخ التجارية لبعض العملاء عبر الويب مثل Microsoft Office 365. إعداد المفاتيح يتطلب عملاً، لكن العديد من المنظمات ما زالت تعتبره مهمًا، على الرغم من إفصاحات الثغرات الأمنية الأخيرة التي تتطلب علاجات لحجب تحميل المحتوى البعيد.
كان S/MIME موجودًا منذ 1995 ومر بعدة تعديلات؛ النسخة الحالية مغطاة بـ RFC 5751. يتطلب تبادل المفاتيح العامة، وهو مهمة غير تافهة تتطلب غالبًا دعم فريق تكنولوجيا المعلومات أو موارد مماثلة. هنا تأتي الحلول التجارية من شركات مثل شركاء SparkPost Virtru وEchoworkx لتسهيل الأمان في البريد التجاري الشخصي (انظر SparkPost/Echoworkx how-to لمزيد من المعلومات).
مع ذلك، دعونا نستكشف أقدم أسلوب S/MIME بعمق أكبر ونرى ما يمكننا القيام به معه.
لماذا يجب أن أهتم؟
النسخة المختصرة:
التشفير يمنحك خصوصية الرسائل.
التوقيع يمنحك التحقق (من المرسل)، عدم إنكار المصدر، وفحوصات تكامل الرسالة.
الخصوصية
إذا كانت رسائلك لا تحتوي على شيء شخصي أو خاص أو مهم قانونياً، فربما لن تحتاج إلى التفكير في S/MIME. أنظمة التوصيل البريدية الحديثة مثل SparkPost تستخدم بالفعل “TLS الفرصة” لتأمين نقل الرسالة من خادم الإرسال إلى خادم المستلم.
ومع ذلك، فإن جزء “الفرصة” يعني أنه إذا لم يتمكن خادم الإرسال من التفاوض على اتصال آمن، فسنرسل البريد كنص عادي. هذا ليس مناسبا إذا كنت ترغب في فرض أن تكون الرسالة آمنة طوال الوقت. يمكنك إلقاء نظرة على مزودي البريد الذين يدعون دعم TLS وعلى تلك التي تدعمه بالفعل. بافتراض أن خادم المستلم يدعم TLS، يتم تأمين رسالتك كالتالي:
يؤمن TLS المحادثات بين خوادم البريد (ولذلك يُسمى أمن طبقة النقل). يهتم MIME (بما في ذلك S/MIME) بمحتوى الرسالة ومعالجتها، ويمكن اعتباره جزءاً من “طبقة العرض”.
يؤمن S/MIME محتوى الرسالة كلها (“من البداية إلى النهاية”) من أصل الرسالة إلى عميل البريد المستلم، مغلفًا نص الرسالة.
S/MIME يقوم بتشفير نص الرسالة باستخدام المفتاح العام للمستلم. لا يمكن فك ترميز النص بدون المفتاح الخاص للمستلم - وليس من قبل أي “شخص في الوسط” مثل مزود خدمة الإنترنت الخاص بك، أو SparkPost، أو خادم البريد الخاص بالمستلم.
لا يُفصح عن المفتاح الخاص أبدًا؛ يُحتفظ به في حيازة المستلم فقط. تنتقل الرسالة المشفرة عبر الإنترنت إلى خادم البريد المستلم. عندما تصل إلى صندوق الوارد للمستلم، يتم فك تشفيرها (بالعادة تلقائيًا) باستخدام مفتاحهم الخاص وتصبح قابلة للقراءة.
بعض الأمور التي يجب مراعاتها في S/MIME:
التشفير الخاص بـS/MIME له تأثير جانبي يتمثل في منع مسح الرسائل الواردة القائم على الخادم بحثًا عن البرمجيات الخبيثة، لأن الحمولة الرسالية تكون في شكل مشفر وبالتالي غير قابلة للتعرف عليها.
لاحظ أن العناوين الرسالية (من:، إلى:، الموضوع: إلخ) لا تُشفّر، لذا يجب إنشاء محتوى سطر الموضوع مع أخذ ذلك في الاعتبار.
التوقيع – التحقق
يوفر S/MIME أيضًا للمستلم القدرة على التحقق من أن هوية مرسل الرسالة هي من يدعي أنها.
يحتوي البريد الإلكتروني للمرسل على شهادة مرفقة، والتي، على نحو يشبه شهادة الموقع الآمن، يمكن تتبعها إلى سلطة إصدار. يوجد وصف كامل لعملية التوقيع هنا.
سنتخذ نهج توقيع البريد أولاً، ثم تشفيره، لذا تبدو العملية كالتالي.
عدم الإنكار
فائدة أخرى مفيدة من التوقيع للمستلم هي عدم إنكار المصدر. اعتبر موقفًا حيث تُستخدم رسالة بريد إلكتروني للموافقة على عقد. يحصل المستلم على العقد في رسالة من المرسل. إذا حاول المرسل لاحقًا القول، “كلا، لم أرسل لك تلك الرسالة”، فإن الرسالة المستلمة تظهر أن شهادة المرسل قد استخدمت فعلاً.
تكامل الرسالة
تقوم عملية التوقيع بإنشاء بصمة للرسالة المصدرية العادية (المعروفة بكثافة الرسالة)، تُشفّر الكثافة باستخدام المفتاح الخاص للمرسل، وتُضمَّن في الرسالة المرسلة. يمكن لعميل بريد المستلم معرفة إذا ما تم العبث بنص الرسالة.
قد تقول، “ظننت أن DKIM يعطيني فحوصات تكامل الرسالة!” نعم، فعلاً، يوفر DKIM فحوصات تكامل النص والعنوان الرسالي – ضمانات ضد العبث. مع ذلك، فإن فشل (أو غياب) DKIM لن يؤدي عادةً إلى اعتبار الرسالة الواردة غير صحيحة تمامًا، …إلا إذا كان توجد سياسة DMARC بوجود `p=reject` (المزيد عن DMARC هنا). DKIM هو عامل واحد من العديد من العوامل المستخدمة من قِبل مزود خدمة الإنترنت للتعيين الموثوق للشهرة إلى مجال ما، وهو بالطبع، جزء أساسي من تكديس الرسائل الخاص بك.
سيظهر عميل البريد لديك بشكل بارز إذا فشل التحقق من توقيع رسالة S/MIME:
ملخص: من النهاية إلى النهاية (S/MIME) مقابل من الخادم إلى الخادم (DKIM، DMARC، TLS)
S/MIME هو قدرة “طبقة العرض” التي يمكن أن تعمل بين اثنين من مستخدمي البريد الإلكتروني النهائيين (مع شهادات/مفاتيح صالحة) دون أي عمل من قِبل مدير البريد الإلكتروني. يوفر S/MIME التشفير والتوقيع وهو شخصي لكل مستخدم.
S/MIME مرتبط بعنوان الإرسال الكامل (الجزء المحلي والجزء الخاص بالمجال)، لذلك، على سبيل المثال، alice@bigcorp.com وbob@bigcorp.com سيحتاجان إلى شهادات مختلفة. في المقابل، DKIM يتحقق من أن البريد الإلكتروني قادم من المجال الموقع. DKIM هو موضوع كامل في حد ذاته؛ هذه المقالة هي مكان جيد للبدء.
DKIM وDMARC يتم إعدادها من قِبل مسؤول البريد الإلكتروني الخاص بك (العمل على خادم البريد وسجلات DNS). بمجرد إعدادهم، يكونون نشطين للمجالات، بدلاً من المستخدمين الفرديين.
كيف يرتبط هذا بـ SparkPost؟
ما هي العملاء الذين يدعمون S/MIME؟
جيميل للمستهلكين
يعرض عميل جيميل العادي توقيعات البريد الوارد (انظر أدناه)، لكنه غير معد لاحتواء مفتاحك الخاص لقراءة الرسائل المشفرة. حتى لو كان ذلك ممكنًا عبر إضافات الطرف الثالث، فإن تحميل مفتاحك الخاص ليس فكرة جيدة من منظور الأمان.
لم أستطع جعل Yahoo! Mail يفسر التوقيعات في الرسائل على الإطلاق.
لا تُعطي النسخة المستهلكة من حسابات Microsoft Outlook/Hotmail إمكانية الوصول الكامل لعرض أو فحص الشهادة، لكنها تنبهك إلى وجود توقيع S/MIME.
البريد الإلكتروني المستضاف للأعمال
للمنظمات التي لديها بريد مستضاف، تدعم Microsoft Office 365 وG Suite Enterprise بروتوكول S/MIME.
عملاء بريد Outlook
النسخ المستندة إلى العميل من Microsoft Outlook (مثل 2010 لنظام Windows) تعمل:
الضغط على الأيقونات يمنحك المزيد من المعلومات:
في Outlook 2010 / Windows، يتم الوصول إلى مخزن الشهادات عبر File / Options / Trust Center / Trust Center Settings / Email Security / Import / Export.
Thunderbird – عبر منصات متعددة ومجاني
إذا كنت تبحث عن عميل مجاني، فإن Mozilla Thunderbird يلبي الحاجة. إنه متاح على الكمبيوتر الشخصي، ماك، ولينكس، ويدعم S/MIME عبر جميع هذه الأنظمة. إليك كيف تبدو الرسالة على ماك. يشير رمز "المظروف المغلق" إلى أن الرسالة موقعة، ويدل القفل على أنها مشفرة.
الضغط على المظروف/القفل يعرض معلومات حول الرسالة:
لدى Thunderbird مخزن مفاتيح خاص به، يمكن الوصول إليه بطرق مماثلة على كل منصة:
ماك عبر Preferences / Advanced / Certificates / Manage Certificates
الكمبيوتر الشخصي: القائمة (“الهامبورجر” الجزء العلوي الأيمن)، Advanced / Certificates / Manage Certificates
لينكس: القائمة (“الهامبورجر” الجزء العلوي الأيمن)، Preferences / Advanced / Manage Certificates
بريد ماك
يدعم بريد ماك أيضًا بروتوكول S/MIME. يعتمد على سلسلة مفاتيح ماك الخاصة بك لاحتواء مفاتيحك.
بريد iOS
أولاً، قم باستيراد شهادة حساب بريدك الإلكتروني بمثل هذه الطريقة، ثم يمكنك عرض رسائل البريد الإلكتروني الموقعة والمشفرة بنظام S/MIME. لا تبدو مختلفة كثيرًا على شاشة العرض.
أندرويد
بعض الأجهزة والتطبيقات تدعم S/MIME؛ هناك الكثير من التنوع. سامسونج توفر دليلًا.
أخيرًا...
هذه لمحة سريعة عن الاستخدامات العملية لـ S/MIME. إذا كنت ترغب في الحصول على شهادات البريد الخاصة بك، هناك قائمة بالمزودين هنا. لقد وجدت أن Comodo يعمل بشكل جيد (مجاني للاستخدام غير التجاري - افتحه في Firefox، وليس Chrome).
في الجزء الثاني، سنستكشف كيفية تطبيق توقيع وتشفير S/MIME على الرسائل التي ترسلها عبر SparkPost.
قراءة إضافية
لدى Microsoft مقالة تمهيدية جيدة عن S/MIME هنا.
لمزيد من المعلومات عن ثغرة EFAIL وكيف تم التعامل معها، هذا هو الموقع الحاسم. وهناك تفسيرات بسيطة أخرى هنا وهنا.
