微軟、Google等業者共同擁戴新的電子郵件加密協定SMTP STS

來自Google、微軟及Yahoo等科技大廠的工程師上周提出了新的SMTP Strict Transport Security （SMTP STS）電子郵件通訊標準草案予網際網路工程工作小組（Internet Engineering Task Force, IETF），期望強化電子郵件的加密通訊。

最早的電子郵件通訊標準為1982年提出的「簡單郵件傳送協定」（Simple Mail Transfer Protocol，SMTP），定義了郵件客戶端及伺服器端的資料傳輸，此一協定並未包含任何的加密功能，繼之於2002年出現了添加TLS加密功能的SMTP STARTTLS。

有別於SMTP傳送明碼文字，SMTP  STARTTLS採用基於TLS的加密通訊，更能保障電子郵件的通訊安全。不過，SMTP  STARTTLS一直到2013年美國國安局大規模監控全球通訊的行為被踢爆之後才逐漸普及。

即使如此，STARTTLS仍有其不足之處，它缺乏認證電子郵件伺服器之數位憑證的能力，具備遭受中間人攻擊的潛在風險，允許駭客透過假冒的憑證偽裝成電子郵件伺服器，同時接受未加密的流量。

新的SMTP STS則解決了相關的缺失，它會在客戶端傳送郵件之前自動檢查對方是否支援加密，以及驗證對方的伺服器憑證。

推動該標準的業者涵蓋了Google、Yahoo、Comcast、Microsoft、 LinkedIn及1&1 Mail & Media Development等，在眾多大廠的支持下，SMTP STS應該很快就會成為標準。