S/MIME:它是什么,为什么我应该关心,以及它与 SparkPost 的关系是什么?

2018年12月19日

电子邮件

1 min read

S/MIME:它是什么,为什么我应该关心,以及它与 SparkPost 的关系是什么?

关键要点

    • Premise: S/MIME (安全/多用途互联网邮件扩展) 是一个长期存在的标准,用于发送签名和加密电子邮件——对于处理敏感数据的行业,如金融、医疗保健和政府至关重要。

    • Goal: 解释 S/MIME 做什么、为什么重要、与 DKIM/DMARC/TLS 的区别,以及它如何与 SparkPost 集成。

    • Highlights:

      1. Definition: S/MIME 实现两个核心功能:

        • Encryption → 保护消息内容(隐私)。

        • Signing → 确认发送者身份,防止篡改,并确保不可否认性。

      2. Industry use: 需要或偏好于需要端到端消息隐私和可验证身份的监管行业

      3. Comparison to other email protections:

        • TLS: 加密服务器之间的传输(传输层)。

        • S/MIME: 收保护消息内容本身(表示层)。

        • DKIM/DMARC: 认证域而非个人,并在管理员/服务器级别工作。

      4. Mechanics:

        • 使用公钥/私钥对和按邮件身份(如 alice@company.com)颁发的数字证书。

        • 需要支持的邮件客户端(Apple Mail, Outlook, Thunderbird, iOS Mail, 等等)。

      5. Limitations:

        • 管理密钥和证书可能很复杂。

        • 加密的有效负载无法进行恶意软件扫描。

        • 头信息(发件人、收件人、主题)仍然可见。

      6. Integration with SparkPost:

        • SparkPost 用户可以使用 S/MIME 签名消息以增加真实性。

        • 对于加密发送,接收者首先必须共享他们的公钥(例如,通过发送签名消息)。

        • 商业合作伙伴如 VirtruEchoworx 为企业工作流程简化了这一过程。

      7. Next steps:

        • 系列的第二部分展示如何通过 SparkPost 签署和加密消息。

        • 后续部分展示使用 PowerMTA 和 Momentum 的现场设置

Q&A 精华

  • 如果我已经使用TLS或DKIM,为什么S/MIME如此重要?

    TLS 保护服务器之间的连接,而 S/MIME 保护内容本身——确保内容在传递后依然保持私密和可验证。

  • 谁最需要 S/MIME?

    受监管行业(金融、政府、医疗保健)以及任何发送保密、具有法律约束力或身份敏感电子邮件的组织。

  • S/MIME 解决了哪些问题?

    它防止拦截和欺骗,保证发送者的真实性,并提供消息未被篡改的证明。

  • SparkPost 是否原生支持 S/MIME?

    SparkPost支持发送S/MIME格式的消息;您只需在通过API或SMTP提交之前签署/加密您的内容。

  • 如何获得证书?

    证书可以由提供商签发,如Comodo(非商业用途免费)或自签名用于内部测试。

  • 如果我的收件人无法阅读加密邮件怎么办?

    他们仍然会看到已签名的消息头,但要解密,他们必须安装兼容的客户端并导入他们的私钥。

  • 应用生成的电子邮件如何处理密钥交换?

    收件人可以通过签名消息发送电子邮件给您的服务;然后可以通过入站中继webhooks自动提取他们的公钥。

S/MIME 是一种基于公共互联网标准的长期存在的加密和签名电子邮件发送方法。我们经常遇到对S/MIME的需求,特别是在诸如银行、健康和金融等受监管行业中。例如,在企业与政府机构之间通信时,通常需要使用S/MIME。

另一种安全邮件标准,PGP (有趣地被称为“Pretty Good Privacy”),更多用于安全的个人对个人通信。由于消费者版本的流行基于网站的电子邮件客户端(如Gmail和Outlook/Hotmail)无法显示加密邮件,因此它现在不太流行。这就是为什么许多需要隐私的个人对个人通信转向WhatsApp(以及许多其他)提供本地端到端加密的平台的原因之一。

PGP和S/MIME都需要可以使用密钥和证书的邮件客户端。许多桌面和移动客户端,包括Apple MailMicrosoft OutlookMozilla Thunderbird 都符合要求,一些网络客户端的企业版本如Microsoft Office 365也符合要求。设置密钥需要工作,但尽管最近的漏洞披露要求阻止加载远程内容的补救措施,许多组织仍然认为这是值得的。

S/MIME自1995年就已经存在并经历了几次修订;当前版本由RFC 5751覆盖。它需要交换公共密钥,这是一个通常需要IT团队或类似资源支持的非简单任务。对于运行本地电子邮件基础设施的组织,实施S/MIME需要为诸如PowerMTAMomentum这样的平台进行额外的考虑,我们在本地安全电子邮件的S/MIME指南中对此进行了介绍。然而,也有一些自动化方法可以简化这一过程,比如通过基于电子邮件的系统来收集接收者的公共密钥,这可以简化应用生成的邮件流的密钥管理。这就是来自SparkPost合作伙伴VirtruEchoworkx等公司的商业解决方案发挥作用的地方,使个人到个人的企业邮件安全更简单(有关更多信息,请参阅我们的SparkPost/Echoworkx操作指南)。

也就是说,让我们更深入地研究一下传统的S/MIME,看我们能对它做些什么。

S/MIME 是一种基于公共互联网标准的长期存在的加密和签名电子邮件发送方法。我们经常遇到对S/MIME的需求,特别是在诸如银行、健康和金融等受监管行业中。例如,在企业与政府机构之间通信时,通常需要使用S/MIME。

另一种安全邮件标准,PGP (有趣地被称为“Pretty Good Privacy”),更多用于安全的个人对个人通信。由于消费者版本的流行基于网站的电子邮件客户端(如Gmail和Outlook/Hotmail)无法显示加密邮件,因此它现在不太流行。这就是为什么许多需要隐私的个人对个人通信转向WhatsApp(以及许多其他)提供本地端到端加密的平台的原因之一。

PGP和S/MIME都需要可以使用密钥和证书的邮件客户端。许多桌面和移动客户端,包括Apple MailMicrosoft OutlookMozilla Thunderbird 都符合要求,一些网络客户端的企业版本如Microsoft Office 365也符合要求。设置密钥需要工作,但尽管最近的漏洞披露要求阻止加载远程内容的补救措施,许多组织仍然认为这是值得的。

S/MIME自1995年就已经存在并经历了几次修订;当前版本由RFC 5751覆盖。它需要交换公共密钥,这是一个通常需要IT团队或类似资源支持的非简单任务。对于运行本地电子邮件基础设施的组织,实施S/MIME需要为诸如PowerMTAMomentum这样的平台进行额外的考虑,我们在本地安全电子邮件的S/MIME指南中对此进行了介绍。然而,也有一些自动化方法可以简化这一过程,比如通过基于电子邮件的系统来收集接收者的公共密钥,这可以简化应用生成的邮件流的密钥管理。这就是来自SparkPost合作伙伴VirtruEchoworkx等公司的商业解决方案发挥作用的地方,使个人到个人的企业邮件安全更简单(有关更多信息,请参阅我们的SparkPost/Echoworkx操作指南)。

也就是说,让我们更深入地研究一下传统的S/MIME,看我们能对它做些什么。

S/MIME 是一种基于公共互联网标准的长期存在的加密和签名电子邮件发送方法。我们经常遇到对S/MIME的需求,特别是在诸如银行、健康和金融等受监管行业中。例如,在企业与政府机构之间通信时,通常需要使用S/MIME。

另一种安全邮件标准,PGP (有趣地被称为“Pretty Good Privacy”),更多用于安全的个人对个人通信。由于消费者版本的流行基于网站的电子邮件客户端(如Gmail和Outlook/Hotmail)无法显示加密邮件,因此它现在不太流行。这就是为什么许多需要隐私的个人对个人通信转向WhatsApp(以及许多其他)提供本地端到端加密的平台的原因之一。

PGP和S/MIME都需要可以使用密钥和证书的邮件客户端。许多桌面和移动客户端,包括Apple MailMicrosoft OutlookMozilla Thunderbird 都符合要求,一些网络客户端的企业版本如Microsoft Office 365也符合要求。设置密钥需要工作,但尽管最近的漏洞披露要求阻止加载远程内容的补救措施,许多组织仍然认为这是值得的。

S/MIME自1995年就已经存在并经历了几次修订;当前版本由RFC 5751覆盖。它需要交换公共密钥,这是一个通常需要IT团队或类似资源支持的非简单任务。对于运行本地电子邮件基础设施的组织,实施S/MIME需要为诸如PowerMTAMomentum这样的平台进行额外的考虑,我们在本地安全电子邮件的S/MIME指南中对此进行了介绍。然而,也有一些自动化方法可以简化这一过程,比如通过基于电子邮件的系统来收集接收者的公共密钥,这可以简化应用生成的邮件流的密钥管理。这就是来自SparkPost合作伙伴VirtruEchoworkx等公司的商业解决方案发挥作用的地方,使个人到个人的企业邮件安全更简单(有关更多信息,请参阅我们的SparkPost/Echoworkx操作指南)。

也就是说,让我们更深入地研究一下传统的S/MIME,看我们能对它做些什么。

为什么我应该关心?

简短版本:

  • 加密确保消息隐私。

  • 签名提供发送者身份验证、来源不可否认性和消息完整性检查。

  • S/MIME 工作方式与 DKIMDMARC 不同,可以与它们共存。

隐私
如果您的消息不包含个人、私密或法律重要的信息,那么您可能不需要考虑 S/MIME。现代电子邮件传输系统(如 SparkPost)已经使用“机会性 TLS”从发送服务器到接收服务器保护消息传输。

然而,“机会性”意味着如果发送服务器无法协商安全连接,我们将以明文发送邮件。如果您想确保整个消息的安全,这种方式不合适。您可以查看 哪个邮箱提供商声称支持 TLS 和哪种 实际上支持。假设收件人的服务器支持 TLS,您的消息将这样得到保护:

Email encryption process highlighting TLS between a gear-labeled "Message Source" on the left, an flame icon representing encryption in the middle, and a envelope-labeled "Recipient" on the right.

TLS 保护邮件服务器之间的对话(这就是为什么称为传输层安全性)。MIME(包括 S/MIME)涉及消息内容及其处理,可以视为“表示层”的一部分。

S/MIME 从消息起源到收件人的邮件客户端保护消息内容(“端到端”),封装消息正文。

A diagram illustrating email security with S/MIME encryption, showing a message source icon leading to an email symbol, both connected by TLS, with a locked envelope symbol representing the recipient, highlighting secure message delivery.

S/MIME 使用收件人的公钥加密消息正文。没有收件人的私钥就无法解码正文——即便是像您的 ISP、SparkPost 或收件人邮件服务器这样的“中间人”也无法解码。

私钥从不公开;它由收件人独自持有。加密的消息通过互联网传输到接收邮件服务器。当它进入收件人的收件箱时,通常会自动使用他们的私钥解密,从而变得可读。

一些 S/MIME 的注意事项:

S/MIME 加密的一个副作用是防止基于服务器的传入消息扫描恶意软件,因为消息负载是加密的,因此无法识别。

请注意,消息头部(如发件人、收件人、主题等)并未加密,因此在创建主题内容时需要考虑到这一点。

签名 – 身份验证
S/MIME 还为收件人提供了一种检查消息发送者身份是否正确的能力

发件人的电邮附有证书,这证书类似于安全网站上的证书,可以追溯到发行机构。有关签名过程的完整描述,请参阅 S/MIME 签名过程 PDF

我们将采用首先签名邮件,然后加密的方式,因此过程看起来是这样的。

Diagram illustrating S/MIME signing and encryption in email communication, featuring icons for message source, email transfer via TLS, and recipient, with visual representations of encryption and security processes.


不可否认性
对收件人来说,签名的另一个有用益处是来源不可否认性。考虑一种情况,在这种情况下,电子邮件用于批准合同。收件人收到来自发送者的消息中的合同。如果发送者随后试图说,“不,我从未向您发送过那邮件”,那么收到的邮件表明发送者的证书实际上已被使用。

消息完整性
签名过程创建明文源消息的指纹(称为消息摘要),使用发送者的私钥加密摘要,并将其包含在已传递的消息中。收件人的邮件客户端可以判断消息正文是否被篡改。

也许您会说,“我以为 DKIM 给我消息完整性检查!” 是的,DKIM 提供消息正文和消息头部完整性检查——防篡改保证。然而,DKIM 失败(或缺失)通常不会导致传入消息被标记为完全无效……除非有一个 p=reject 的 DMARC 策略在执行(请参阅我们的博客文章DMARC:如何保护您的电子邮件声誉)。DKIM 是 ISP 用于可靠分配域声誉的众多因素之一,当然也是您的消息栈的基本部分。

如果 S/MIME 消息签名检查失败,您的邮件客户端将明确显示:

Email application window displaying a warning pop-up about a digital signature being invalid, highlighting issues with message encryption and the need to verify the sender's identity, next to a list of emails and a highlighted delete option.

总结:端到端(S/MIME) 与 服务器到服务器(DKIM、DMARC、TLS)
S/MIME 是一种表现层能力,可以在两个电子邮件终端用户之间工作(有有效证书/密钥)且无需电子邮件管理员采取任何操作。S/MIME 提供加密和签名并且是每个用户个人的。

S/MIME 绑定到完整的发件地址(本地部分和域部分),例如,alice@bigcorp.com 和 bob@bigcorp.com 会需要不同的证书。相比之下,DKIM 验证电子邮件是从签名域发送的。DKIM 本身就是一个完整的主题;这篇文章是个很好的起点。

DKIMDMARC 的设置由电子邮件管理员在邮件服务器和 DNS 记录上完成。一旦设置完成,它们就会在域上激活,而不是单个用户。

简短版本:

  • 加密确保消息隐私。

  • 签名提供发送者身份验证、来源不可否认性和消息完整性检查。

  • S/MIME 工作方式与 DKIMDMARC 不同,可以与它们共存。

隐私
如果您的消息不包含个人、私密或法律重要的信息,那么您可能不需要考虑 S/MIME。现代电子邮件传输系统(如 SparkPost)已经使用“机会性 TLS”从发送服务器到接收服务器保护消息传输。

然而,“机会性”意味着如果发送服务器无法协商安全连接,我们将以明文发送邮件。如果您想确保整个消息的安全,这种方式不合适。您可以查看 哪个邮箱提供商声称支持 TLS 和哪种 实际上支持。假设收件人的服务器支持 TLS,您的消息将这样得到保护:

Email encryption process highlighting TLS between a gear-labeled "Message Source" on the left, an flame icon representing encryption in the middle, and a envelope-labeled "Recipient" on the right.

TLS 保护邮件服务器之间的对话(这就是为什么称为传输层安全性)。MIME(包括 S/MIME)涉及消息内容及其处理,可以视为“表示层”的一部分。

S/MIME 从消息起源到收件人的邮件客户端保护消息内容(“端到端”),封装消息正文。

A diagram illustrating email security with S/MIME encryption, showing a message source icon leading to an email symbol, both connected by TLS, with a locked envelope symbol representing the recipient, highlighting secure message delivery.

S/MIME 使用收件人的公钥加密消息正文。没有收件人的私钥就无法解码正文——即便是像您的 ISP、SparkPost 或收件人邮件服务器这样的“中间人”也无法解码。

私钥从不公开;它由收件人独自持有。加密的消息通过互联网传输到接收邮件服务器。当它进入收件人的收件箱时,通常会自动使用他们的私钥解密,从而变得可读。

一些 S/MIME 的注意事项:

S/MIME 加密的一个副作用是防止基于服务器的传入消息扫描恶意软件,因为消息负载是加密的,因此无法识别。

请注意,消息头部(如发件人、收件人、主题等)并未加密,因此在创建主题内容时需要考虑到这一点。

签名 – 身份验证
S/MIME 还为收件人提供了一种检查消息发送者身份是否正确的能力

发件人的电邮附有证书,这证书类似于安全网站上的证书,可以追溯到发行机构。有关签名过程的完整描述,请参阅 S/MIME 签名过程 PDF

我们将采用首先签名邮件,然后加密的方式,因此过程看起来是这样的。

Diagram illustrating S/MIME signing and encryption in email communication, featuring icons for message source, email transfer via TLS, and recipient, with visual representations of encryption and security processes.


不可否认性
对收件人来说,签名的另一个有用益处是来源不可否认性。考虑一种情况,在这种情况下,电子邮件用于批准合同。收件人收到来自发送者的消息中的合同。如果发送者随后试图说,“不,我从未向您发送过那邮件”,那么收到的邮件表明发送者的证书实际上已被使用。

消息完整性
签名过程创建明文源消息的指纹(称为消息摘要),使用发送者的私钥加密摘要,并将其包含在已传递的消息中。收件人的邮件客户端可以判断消息正文是否被篡改。

也许您会说,“我以为 DKIM 给我消息完整性检查!” 是的,DKIM 提供消息正文和消息头部完整性检查——防篡改保证。然而,DKIM 失败(或缺失)通常不会导致传入消息被标记为完全无效……除非有一个 p=reject 的 DMARC 策略在执行(请参阅我们的博客文章DMARC:如何保护您的电子邮件声誉)。DKIM 是 ISP 用于可靠分配域声誉的众多因素之一,当然也是您的消息栈的基本部分。

如果 S/MIME 消息签名检查失败,您的邮件客户端将明确显示:

Email application window displaying a warning pop-up about a digital signature being invalid, highlighting issues with message encryption and the need to verify the sender's identity, next to a list of emails and a highlighted delete option.

总结:端到端(S/MIME) 与 服务器到服务器(DKIM、DMARC、TLS)
S/MIME 是一种表现层能力,可以在两个电子邮件终端用户之间工作(有有效证书/密钥)且无需电子邮件管理员采取任何操作。S/MIME 提供加密和签名并且是每个用户个人的。

S/MIME 绑定到完整的发件地址(本地部分和域部分),例如,alice@bigcorp.com 和 bob@bigcorp.com 会需要不同的证书。相比之下,DKIM 验证电子邮件是从签名域发送的。DKIM 本身就是一个完整的主题;这篇文章是个很好的起点。

DKIMDMARC 的设置由电子邮件管理员在邮件服务器和 DNS 记录上完成。一旦设置完成,它们就会在域上激活,而不是单个用户。

简短版本:

  • 加密确保消息隐私。

  • 签名提供发送者身份验证、来源不可否认性和消息完整性检查。

  • S/MIME 工作方式与 DKIMDMARC 不同,可以与它们共存。

隐私
如果您的消息不包含个人、私密或法律重要的信息,那么您可能不需要考虑 S/MIME。现代电子邮件传输系统(如 SparkPost)已经使用“机会性 TLS”从发送服务器到接收服务器保护消息传输。

然而,“机会性”意味着如果发送服务器无法协商安全连接,我们将以明文发送邮件。如果您想确保整个消息的安全,这种方式不合适。您可以查看 哪个邮箱提供商声称支持 TLS 和哪种 实际上支持。假设收件人的服务器支持 TLS,您的消息将这样得到保护:

Email encryption process highlighting TLS between a gear-labeled "Message Source" on the left, an flame icon representing encryption in the middle, and a envelope-labeled "Recipient" on the right.

TLS 保护邮件服务器之间的对话(这就是为什么称为传输层安全性)。MIME(包括 S/MIME)涉及消息内容及其处理,可以视为“表示层”的一部分。

S/MIME 从消息起源到收件人的邮件客户端保护消息内容(“端到端”),封装消息正文。

A diagram illustrating email security with S/MIME encryption, showing a message source icon leading to an email symbol, both connected by TLS, with a locked envelope symbol representing the recipient, highlighting secure message delivery.

S/MIME 使用收件人的公钥加密消息正文。没有收件人的私钥就无法解码正文——即便是像您的 ISP、SparkPost 或收件人邮件服务器这样的“中间人”也无法解码。

私钥从不公开;它由收件人独自持有。加密的消息通过互联网传输到接收邮件服务器。当它进入收件人的收件箱时,通常会自动使用他们的私钥解密,从而变得可读。

一些 S/MIME 的注意事项:

S/MIME 加密的一个副作用是防止基于服务器的传入消息扫描恶意软件,因为消息负载是加密的,因此无法识别。

请注意,消息头部(如发件人、收件人、主题等)并未加密,因此在创建主题内容时需要考虑到这一点。

签名 – 身份验证
S/MIME 还为收件人提供了一种检查消息发送者身份是否正确的能力

发件人的电邮附有证书,这证书类似于安全网站上的证书,可以追溯到发行机构。有关签名过程的完整描述,请参阅 S/MIME 签名过程 PDF

我们将采用首先签名邮件,然后加密的方式,因此过程看起来是这样的。

Diagram illustrating S/MIME signing and encryption in email communication, featuring icons for message source, email transfer via TLS, and recipient, with visual representations of encryption and security processes.


不可否认性
对收件人来说,签名的另一个有用益处是来源不可否认性。考虑一种情况,在这种情况下,电子邮件用于批准合同。收件人收到来自发送者的消息中的合同。如果发送者随后试图说,“不,我从未向您发送过那邮件”,那么收到的邮件表明发送者的证书实际上已被使用。

消息完整性
签名过程创建明文源消息的指纹(称为消息摘要),使用发送者的私钥加密摘要,并将其包含在已传递的消息中。收件人的邮件客户端可以判断消息正文是否被篡改。

也许您会说,“我以为 DKIM 给我消息完整性检查!” 是的,DKIM 提供消息正文和消息头部完整性检查——防篡改保证。然而,DKIM 失败(或缺失)通常不会导致传入消息被标记为完全无效……除非有一个 p=reject 的 DMARC 策略在执行(请参阅我们的博客文章DMARC:如何保护您的电子邮件声誉)。DKIM 是 ISP 用于可靠分配域声誉的众多因素之一,当然也是您的消息栈的基本部分。

如果 S/MIME 消息签名检查失败,您的邮件客户端将明确显示:

Email application window displaying a warning pop-up about a digital signature being invalid, highlighting issues with message encryption and the need to verify the sender's identity, next to a list of emails and a highlighted delete option.

总结:端到端(S/MIME) 与 服务器到服务器(DKIM、DMARC、TLS)
S/MIME 是一种表现层能力,可以在两个电子邮件终端用户之间工作(有有效证书/密钥)且无需电子邮件管理员采取任何操作。S/MIME 提供加密和签名并且是每个用户个人的。

S/MIME 绑定到完整的发件地址(本地部分和域部分),例如,alice@bigcorp.com 和 bob@bigcorp.com 会需要不同的证书。相比之下,DKIM 验证电子邮件是从签名域发送的。DKIM 本身就是一个完整的主题;这篇文章是个很好的起点。

DKIMDMARC 的设置由电子邮件管理员在邮件服务器和 DNS 记录上完成。一旦设置完成,它们就会在域上激活,而不是单个用户。

这如何与 SparkPost 相关?

用于人与人之间消息传递的邮件系统,如Microsoft Exchange Server,长期支持S/MIME

如果您使用SparkPost发送给使用可以读取S/MIME的邮件客户端的特定收件人,那么S/MIME签署您的消息可能是有意义的。S/MIME签名进一步确保消息确实来自您(或您的系统),而且没有被篡改,这在某些使用情况下可能很有价值。为此,您只需要自己的密钥和一些我们将在本文第2部分中演示的免费软件。

使用S/MIME加密是一个单独的选择。您将需要每个收件人的公钥。获取这个可能像让他们给您(或您的应用程序)发送一封签名的电子邮件一样简单。我们将在后续文章中探索通过SparkPost发送S/MIME签名和加密邮件的实用工具。

用于人与人之间消息传递的邮件系统,如Microsoft Exchange Server,长期支持S/MIME

如果您使用SparkPost发送给使用可以读取S/MIME的邮件客户端的特定收件人,那么S/MIME签署您的消息可能是有意义的。S/MIME签名进一步确保消息确实来自您(或您的系统),而且没有被篡改,这在某些使用情况下可能很有价值。为此,您只需要自己的密钥和一些我们将在本文第2部分中演示的免费软件。

使用S/MIME加密是一个单独的选择。您将需要每个收件人的公钥。获取这个可能像让他们给您(或您的应用程序)发送一封签名的电子邮件一样简单。我们将在后续文章中探索通过SparkPost发送S/MIME签名和加密邮件的实用工具。

用于人与人之间消息传递的邮件系统,如Microsoft Exchange Server,长期支持S/MIME

如果您使用SparkPost发送给使用可以读取S/MIME的邮件客户端的特定收件人,那么S/MIME签署您的消息可能是有意义的。S/MIME签名进一步确保消息确实来自您(或您的系统),而且没有被篡改,这在某些使用情况下可能很有价值。为此,您只需要自己的密钥和一些我们将在本文第2部分中演示的免费软件。

使用S/MIME加密是一个单独的选择。您将需要每个收件人的公钥。获取这个可能像让他们给您(或您的应用程序)发送一封签名的电子邮件一样简单。我们将在后续文章中探索通过SparkPost发送S/MIME签名和加密邮件的实用工具。

哪些客户端支持 S/MIME?

Consumer Gmail
普通的Gmail网络客户端显示来邮签名(见下文),但它没有设置存储您的私钥以读取加密邮件。即使通过第三方插件实现这一点,从安全角度来看上传您的私钥也不是一个好主意。

Message titled "Test message with signature" from Steve Tuck, featuring a verified email address, date and time, and standard encryption details.

我无法使Yahoo! Mail解码消息中的签名。

消费者版本的Microsoft Outlook/Hotmail帐户会提醒您S/MIME签名的存在,但不给您完整的权限来查看或检查证书。

Message titled "Testing attachments etc," with the body text mentioning that S/MIME isn't supported and an attached PDF file.


托管业务邮件
对于托管邮件的组织,Microsoft Office 365和G Suite Enterprise支持S/MIME。


Outlook邮件客户端
基于客户端的Microsoft Outlook(例如Windows的2010)有效:

Message with the subject "Here is our declaration" featuring plain text and an orange arrow marking the message as important.


点击图标可以获得更多信息:

Dialog box displaying a valid digital signature, with details about the signer and certificate information, and options for error warnings in digitally signed emails.Message Security Properties window for an email, detailing encryption and digital signature layers, with options to check trust certification, featuring buttons and encryption status displays.


在Outlook 2010 / Windows上,证书存储通过文件/选项/信任中心/信任中心设置/电子邮件安全/导入/导出访问。

Microsoft Outlook with an open email about testing attachments, alongside a pop-up window showing security settings for importing certificates, illustrating steps for setting up digital signature encryption.


Thunderbird – 跨平台且免费
如果您在寻找一个免费客户端,Mozilla Thunderbird正合适。它可在PC、Mac和Linux上使用,并在这些平台上支持S/MIME。下面展示了Mac上的消息样式。信封图标表示消息已签名,挂锁表示消息已加密。

Email client with a message open, showing an image of a happy golden retriever puppy, with visible email options and browser tabs at the top.


点击信封/挂锁会显示关于消息的信息:

Message notification with text indicating the message is signed with a valid digital signature and encrypted before sending, verified by COMODO RSA Client Authentication and Secure Email CA.

Thunderbird有自己的密钥存储,在每个平台上的访问方式类似:
Mac通过偏好设置/高级/证书/管理证书
PC:菜单(“汉堡包”顶部右侧),高级/证书/管理证书
Linux:菜单(“汉堡包”顶部右侧),偏好设置/高级/管理证书


Mac Mail
Mac Mail也支持S/MIME。它依托您的Mac钥匙串来存储您的密钥。

An email featuring the security status of the message, indicating that it is digitally signed and encrypted.


iOS Mail
首先,导入您的邮箱帐户的证书像这样,然后您可以查看S/MIME签名和加密邮件。它们在查看屏幕上看起来并没有什么不同。

"Install Profile" page for an "Identity Certificate," indicating the profile is not signed, with options to view more details or proceed with installation at the top right.iPhone interface prompting the user to enter a password for the "Identity Certificate" in the Mail app.A happy golden retriever with an open mouth and tongue out is shown in the image as part of an email attachment test.

Android
一些设备和应用程序支持S/MIME;有很多种类可供选择。三星有一个指南。

Consumer Gmail
普通的Gmail网络客户端显示来邮签名(见下文),但它没有设置存储您的私钥以读取加密邮件。即使通过第三方插件实现这一点,从安全角度来看上传您的私钥也不是一个好主意。

Message titled "Test message with signature" from Steve Tuck, featuring a verified email address, date and time, and standard encryption details.

我无法使Yahoo! Mail解码消息中的签名。

消费者版本的Microsoft Outlook/Hotmail帐户会提醒您S/MIME签名的存在,但不给您完整的权限来查看或检查证书。

Message titled "Testing attachments etc," with the body text mentioning that S/MIME isn't supported and an attached PDF file.


托管业务邮件
对于托管邮件的组织,Microsoft Office 365和G Suite Enterprise支持S/MIME。


Outlook邮件客户端
基于客户端的Microsoft Outlook(例如Windows的2010)有效:

Message with the subject "Here is our declaration" featuring plain text and an orange arrow marking the message as important.


点击图标可以获得更多信息:

Dialog box displaying a valid digital signature, with details about the signer and certificate information, and options for error warnings in digitally signed emails.Message Security Properties window for an email, detailing encryption and digital signature layers, with options to check trust certification, featuring buttons and encryption status displays.


在Outlook 2010 / Windows上,证书存储通过文件/选项/信任中心/信任中心设置/电子邮件安全/导入/导出访问。

Microsoft Outlook with an open email about testing attachments, alongside a pop-up window showing security settings for importing certificates, illustrating steps for setting up digital signature encryption.


Thunderbird – 跨平台且免费
如果您在寻找一个免费客户端,Mozilla Thunderbird正合适。它可在PC、Mac和Linux上使用,并在这些平台上支持S/MIME。下面展示了Mac上的消息样式。信封图标表示消息已签名,挂锁表示消息已加密。

Email client with a message open, showing an image of a happy golden retriever puppy, with visible email options and browser tabs at the top.


点击信封/挂锁会显示关于消息的信息:

Message notification with text indicating the message is signed with a valid digital signature and encrypted before sending, verified by COMODO RSA Client Authentication and Secure Email CA.

Thunderbird有自己的密钥存储,在每个平台上的访问方式类似:
Mac通过偏好设置/高级/证书/管理证书
PC:菜单(“汉堡包”顶部右侧),高级/证书/管理证书
Linux:菜单(“汉堡包”顶部右侧),偏好设置/高级/管理证书


Mac Mail
Mac Mail也支持S/MIME。它依托您的Mac钥匙串来存储您的密钥。

An email featuring the security status of the message, indicating that it is digitally signed and encrypted.


iOS Mail
首先,导入您的邮箱帐户的证书像这样,然后您可以查看S/MIME签名和加密邮件。它们在查看屏幕上看起来并没有什么不同。

"Install Profile" page for an "Identity Certificate," indicating the profile is not signed, with options to view more details or proceed with installation at the top right.iPhone interface prompting the user to enter a password for the "Identity Certificate" in the Mail app.A happy golden retriever with an open mouth and tongue out is shown in the image as part of an email attachment test.

Android
一些设备和应用程序支持S/MIME;有很多种类可供选择。三星有一个指南。

Consumer Gmail
普通的Gmail网络客户端显示来邮签名(见下文),但它没有设置存储您的私钥以读取加密邮件。即使通过第三方插件实现这一点,从安全角度来看上传您的私钥也不是一个好主意。

Message titled "Test message with signature" from Steve Tuck, featuring a verified email address, date and time, and standard encryption details.

我无法使Yahoo! Mail解码消息中的签名。

消费者版本的Microsoft Outlook/Hotmail帐户会提醒您S/MIME签名的存在,但不给您完整的权限来查看或检查证书。

Message titled "Testing attachments etc," with the body text mentioning that S/MIME isn't supported and an attached PDF file.


托管业务邮件
对于托管邮件的组织,Microsoft Office 365和G Suite Enterprise支持S/MIME。


Outlook邮件客户端
基于客户端的Microsoft Outlook(例如Windows的2010)有效:

Message with the subject "Here is our declaration" featuring plain text and an orange arrow marking the message as important.


点击图标可以获得更多信息:

Dialog box displaying a valid digital signature, with details about the signer and certificate information, and options for error warnings in digitally signed emails.Message Security Properties window for an email, detailing encryption and digital signature layers, with options to check trust certification, featuring buttons and encryption status displays.


在Outlook 2010 / Windows上,证书存储通过文件/选项/信任中心/信任中心设置/电子邮件安全/导入/导出访问。

Microsoft Outlook with an open email about testing attachments, alongside a pop-up window showing security settings for importing certificates, illustrating steps for setting up digital signature encryption.


Thunderbird – 跨平台且免费
如果您在寻找一个免费客户端,Mozilla Thunderbird正合适。它可在PC、Mac和Linux上使用,并在这些平台上支持S/MIME。下面展示了Mac上的消息样式。信封图标表示消息已签名,挂锁表示消息已加密。

Email client with a message open, showing an image of a happy golden retriever puppy, with visible email options and browser tabs at the top.


点击信封/挂锁会显示关于消息的信息:

Message notification with text indicating the message is signed with a valid digital signature and encrypted before sending, verified by COMODO RSA Client Authentication and Secure Email CA.

Thunderbird有自己的密钥存储,在每个平台上的访问方式类似:
Mac通过偏好设置/高级/证书/管理证书
PC:菜单(“汉堡包”顶部右侧),高级/证书/管理证书
Linux:菜单(“汉堡包”顶部右侧),偏好设置/高级/管理证书


Mac Mail
Mac Mail也支持S/MIME。它依托您的Mac钥匙串来存储您的密钥。

An email featuring the security status of the message, indicating that it is digitally signed and encrypted.


iOS Mail
首先,导入您的邮箱帐户的证书像这样,然后您可以查看S/MIME签名和加密邮件。它们在查看屏幕上看起来并没有什么不同。

"Install Profile" page for an "Identity Certificate," indicating the profile is not signed, with options to view more details or proceed with installation at the top right.iPhone interface prompting the user to enter a password for the "Identity Certificate" in the Mail app.A happy golden retriever with an open mouth and tongue out is shown in the image as part of an email attachment test.

Android
一些设备和应用程序支持S/MIME;有很多种类可供选择。三星有一个指南。

最后…

这是我们对S/MIME实际用途的快速概述。如果你想获得自己的邮件证书,此处有供应商列表。我发现Comodo效果很好(非商业用途免费 – 请在 Firefox 中打开,而不是 Chrome)。

在第二部分中,我们将探讨如何将S/MIME签名和加密应用于通过 SparkPost 发送的消息。

进一步阅读
微软在他们的文档中有一篇关于 S/MIME 的很好的入门文章。

有关 EFAIL 漏洞及其解决方法的更多信息,请参阅官方 EFAIL 网站。其他简单易懂的解释可以在EFAIL 维基页面CipherMail 的博客文章 EFAIL:哪个是漏洞,PGP、S/MIME 还是你的邮件客户端?中找到。

这是我们对S/MIME实际用途的快速概述。如果你想获得自己的邮件证书,此处有供应商列表。我发现Comodo效果很好(非商业用途免费 – 请在 Firefox 中打开,而不是 Chrome)。

在第二部分中,我们将探讨如何将S/MIME签名和加密应用于通过 SparkPost 发送的消息。

进一步阅读
微软在他们的文档中有一篇关于 S/MIME 的很好的入门文章。

有关 EFAIL 漏洞及其解决方法的更多信息,请参阅官方 EFAIL 网站。其他简单易懂的解释可以在EFAIL 维基页面CipherMail 的博客文章 EFAIL:哪个是漏洞,PGP、S/MIME 还是你的邮件客户端?中找到。

这是我们对S/MIME实际用途的快速概述。如果你想获得自己的邮件证书,此处有供应商列表。我发现Comodo效果很好(非商业用途免费 – 请在 Firefox 中打开,而不是 Chrome)。

在第二部分中,我们将探讨如何将S/MIME签名和加密应用于通过 SparkPost 发送的消息。

进一步阅读
微软在他们的文档中有一篇关于 S/MIME 的很好的入门文章。

有关 EFAIL 漏洞及其解决方法的更多信息,请参阅官方 EFAIL 网站。其他简单易懂的解释可以在EFAIL 维基页面CipherMail 的博客文章 EFAIL:哪个是漏洞,PGP、S/MIME 还是你的邮件客户端?中找到。

其他新闻

阅读更多来自此类别的内容

A person is standing at a desk while typing on a laptop.

完整的AI原生平台,可与您的业务一起扩展。

联系销售

免费开始

© 2025 Bird

联系 Support

A person is standing at a desk while typing on a laptop.

完整的AI原生平台,可与您的业务一起扩展。

联系销售

免费开始

© 2025 Bird

联系 Support

A person is standing at a desk while typing on a laptop.

完整的AI原生平台,可与您的业务一起扩展。

联系销售

免费开始

© 2025 Bird

联系 Support