回答您的简单问题：电子邮件有多不安全？实际上，电子邮件会受到DNS 欺骗、WIFI 拦截和不受信任的网络管理员的攻击，仅举几例。

为了缓解这种情况，您需要考虑需要安全性的不同方面。大多数公司很可能在以下至少一个领域中的安全性不足，因此您发送的任何内容都可能是明文，并且除了您的预期收件人之外的其他人可以看到。

在安全的各个方面，我列出了按技术实现方式分组的相关产品。根据您通过电子邮件发送的内容问自己以下问题：

消息发件人验证

收件人是否需要证明是您实际发送了邮件？

• SenderID /SPF 记录（弱验证）
• 域密钥/DKIM（强度取决于实施）
• DMARC（来自用户的显示的强验证...... SenderID 和 DomainKeys 的混合体）
• PGP 或 s/MIME（如果需要日志或邮件审核，可能会导致合规性问题）
• 基于门户的产品（Voltage、Proofpoint、Zixmail）
• Microsoft RMS服务器 + Outlook

消息传输

我是否需要防止未经授权阅读或修改电子邮件发件人的 MTA 和我的 MTA？

• 强制 TLS，带有证书验证。未经验证的证书容易受到MITM攻击。
• 基于 Zix 的 TLS是不需要手动配置的私有 TLS 网络
• PGP 或 s/MIME（如果需要日志或邮件审核，可能会导致合规性问题）
• 基于门户的产品（Voltage、Proofpoint、Zixmail）
• Microsoft RMS服务器 + Outlook

阅读留言

我必须确保只有预期的收件人能够阅读邮件内容吗？

• PGP 或 s/MIME（如果需要日志或邮件审核，可能会导致合规性问题）
• 基于门户的产品（Voltage、Proofpoint、Zixmail）
• 微软RMS服务器

客户端端点必须是安全的吗？（适用于未使用以上 3 种产品的情况）

• 目标网络管理员使用安全传输（加密 MAPI、POP3 over TLS 等）传递电子邮件
• 目标设备是安全的。这适用于工作站和移动设备。
• Microsoft UAG将功能添加到 OWA 中，其中端点被审核，并将删除剩余的附件，%temp%并根据策略要求限制或拒绝对功能的访问
• UAG 的替代方法是阻止附件到达客户端（正如 Henri 第一次提到的那样）

授予访问权限或提供可能利用的敏感信息的所有内容。这包括明文密码、序列号和永久私有资源（帐单文件、证书等）的 URL。恕我直言，需要真实世界确认的数据不是问题（例如电子机票），因为当您向真实世界检查员展示此类凭证时，您也会被要求提供文件。

关键是只发送“一次性”有效资源或在不同媒体上发送信息（通过邮件发送电子票和通过短信发送激活号）这可能无法解决安全问题但可以降低风险

对于安全审计电子邮件，除了前面提到的答案之外，请考虑以下场景：

用户是否应该能够在每个位置打开他们的电子邮件？也就是在家里，在公共场所，在网吧？

如果是这样，请考虑结合网络邮件阻止电子邮件附件。电子邮件附件的问题在于它们在从 Web 打开时存储在本地驱动器上。当然，我不必解释这违反了您数据的机密性......

这是我在进行审计时遇到的多个企业的真实情况。

通过PGP或Voltage或使用HushMail等服务保护电子邮件显然可以提高保持内容机密性和完整性的机会。

通过明文（未加密）电子邮件发送敏感信息肯定会忽略机密性和完整性安全原则。

发送明文电子邮件本质上意味着您信任传递电子邮件及其内容的每个系统 - 包括任何和所有可能临时存储或记录电子邮件的服务器以及管理这些相同系统的所有人员。无线发送或接收会加剧风险。

我倾向于减少传递敏感信息需要信任的系统和人员数量（即保护所有包含敏感数据的电子邮件）。