S/MIME
S/MIME 是什么?
S/MIMEIETF 标准,使用由公共或企业 CA 签发的 X.509 证书对 MIME 邮件进行端到端签名与加密。
S/MIME (Secure/Multipurpose Internet Mail Extensions) 当前为 4.0 版,核心规范为 RFC 8551(证书概要为 RFC 8550),并基于 CMS (RFC 5652) 提供签名与加密。每个用户从 CA 获取与其邮箱地址绑定的 X.509 证书,客户端再用私钥签名外发邮件,并用收件人的公钥加密。现代配置普遍采用 RSA 2048 或更高、ECDSA P-256 及以上、SHA-256 与 AES-128/256-GCM,同时已出现混合后量子算法的草案。Outlook、Apple Mail、Thunderbird 等客户端内置 S/MIME,在企业与政府广泛使用。运营挑战包括证书分发、用于解密存储邮件的密钥托管,以及与安全邮件网关的协同。
● 示例
- 01
企业内部 CA 为员工签发 S/MIME 证书,用于内部邮件的签名与加密。
- 02
外部合作伙伴与用户互换公钥证书,通过 Outlook 发送加密的合同。
● 常见问题
S/MIME 是什么?
IETF 标准,使用由公共或企业 CA 签发的 X.509 证书对 MIME 邮件进行端到端签名与加密。 它属于网络安全的 网络安全 分类。
S/MIME 是什么意思?
IETF 标准,使用由公共或企业 CA 签发的 X.509 证书对 MIME 邮件进行端到端签名与加密。
S/MIME 是如何工作的?
S/MIME (Secure/Multipurpose Internet Mail Extensions) 当前为 4.0 版,核心规范为 RFC 8551(证书概要为 RFC 8550),并基于 CMS (RFC 5652) 提供签名与加密。每个用户从 CA 获取与其邮箱地址绑定的 X.509 证书,客户端再用私钥签名外发邮件,并用收件人的公钥加密。现代配置普遍采用 RSA 2048 或更高、ECDSA P-256 及以上、SHA-256 与 AES-128/256-GCM,同时已出现混合后量子算法的草案。Outlook、Apple Mail、Thunderbird 等客户端内置 S/MIME,在企业与政府广泛使用。运营挑战包括证书分发、用于解密存储邮件的密钥托管,以及与安全邮件网关的协同。
如何防御 S/MIME?
针对 S/MIME 的防御通常结合技术控制与运营实践,详见上方完整定义。
S/MIME 还有哪些其他名称?
常见的别称包括: 安全/多用途互联网邮件扩展。
● 相关术语
- network-security№ 819
PGP
由 Phil Zimmermann 于 1991 年创立的端到端加密与数字签名方案,用于邮件、文件和消息。
- network-security№ 446
GnuPG (GPG)
OpenPGP 标准(RFC 4880、RFC 9580)的自由软件实现,用于签名、加密和解密数据,包括电子邮件与软件包。
- network-security№ 330
DKIM
RFC 6376 定义的邮件认证标准,发送方域名为外发邮件附加加密签名,以便接收方验证邮件头和正文未被篡改。
- network-security№ 984
安全邮件网关
位于网络边界或云端的服务,在邮件抵达用户邮箱前过滤入站和出站邮件中的垃圾邮件、钓鱼、恶意软件、数据泄漏和违规行为。
- network-security№ 1159
TLS(传输层安全)
由 IETF 标准化的加密协议,为两个联网应用之间的通信提供机密性、完整性与认证。
- network-security№ 878
公钥基础设施(PKI)
由政策、软件、硬件和可信机构组成的体系,负责签发、分发、验证和吊销数字证书,将身份与公钥绑定。
● 参见
- № 831PKCS#7