电子邮件
电子邮件自诞生近50年来,依然是我们日常生活中不可或缺的一部分,并将在可预见的未来继续存在。考虑到我们对邮箱的高度依赖,令人惊讶的是,这一基础设施本质上极其不安全。与邮件相关的欺诈正在增加,如果不采取基本措施,你可能会面临风险。 一旦黑客获取了你的邮箱,就能通过重置密码等方式攻破你其它账户,因此邮箱安全是数字安全的重中之重。 提供“免费”邮箱服务的大公司在用户隐私方面口碑并不好:Gmail 曾被曝允许第三方完全访问用户邮件,还会追踪你的所有消费记录。Yahoo 也曾被曝实时扫描邮件以配合美国情报机构。广告商还被允许访问Yahoo 和 AOL 用户的邮件,以“识别和细分潜在客户,分析购买意向和历史”。
0/21 (0%) 完成,0 忽略
| 是否完成 | 名称 | 级别 | 描述 |
|---|---|---|---|
基本 | 建议将重要通信和普通邮件(如订阅、广告)分开使用不同邮箱。这样可以降低数据泄露带来的损失,也便于找回被盗账户。 | ||
基本 | 不要公开你的主邮箱地址,因为邮箱往往是钓鱼攻击的起点。 | ||
基本 | 使用长且唯一的密码,启用双因素认证,并在登录时保持警惕。邮箱一旦被攻破,攻击者可轻松入侵你其它在线账户。 | ||
基本 | 邮件可能包含远程内容(如图片、样式表),通常会自动从服务器加载。应关闭此功能,否则会泄露你的 IP 和设备信息,并被用于跟踪。详见这篇文章。 | ||
可选 | 邮件有纯文本和 HTML 两种格式。为隐私和安全,推荐使用纯文本,因为 HTML 邮件常包含跟踪链接和图片,可能收集你的数据,也存在远程代码执行风险。详见 UsePlaintext.email。 | ||
可选 | 授权第三方应用或插件访问邮箱,等于让其完全读取你的所有邮件内容,存在极大安全和隐私风险。 | ||
可选 | 邮件极易被拦截,也无法保证收件方环境安全。除非加密,否则不应通过邮件交换机密信息。 | ||
可选 | Forward Email、ProtonMail、Tutanota 等安全邮箱服务商支持端到端加密和隐私保护。与传统邮箱不同,只有你能读取自己的邮件。 | ||
高级 | OpenPGP 不支持前向保密,若你或收件人的私钥被盗,所有历史加密邮件都将暴露。务必妥善保管私钥。可用 USB 智能密钥签名或解密邮件,私钥不会离开 USB 设备。 | ||
高级 | 邮箱别名允许你用 [anything]@my-domain.com 接收邮件,实际都转发到主邮箱。这样每个服务都能用不同邮箱注册,收到垃圾邮件时可直接屏蔽该别名,并追溯泄露源头。 | ||
可选 | 子地址是在邮箱名后加 | ||
高级 | 使用自定义域名邮箱,不依赖服务商分配的地址,方便将来更换邮箱服务,无需担心服务终止。 | ||
高级 | 为防止因意外(如服务中断、账户被封)丢失邮件,可用 Thunderbird 等客户端通过 IMAP 同步/备份多账户邮件到本地。 | ||
高级 | 无法保证收件方环境安全。部分扩展会自动抓取邮件签名,建立联系人数据库。注意不要在签名中泄露过多信息。 | ||
高级 | 自动回复(如外出通知)虽方便,但常常泄露过多信息,可能被用于社工和定向攻击。 | ||
高级 | 不要使用过时协议(IMAPv4 或 POPv3 以下),这些协议存在已知漏洞和安全隐患。 | ||
高级 | 非高级用户不建议自建邮箱服务器,因其安全配置极为复杂且要求较高的网络知识。 | ||
高级 | POP3、IMAP、SMTP 等协议均有 SSL 端口,广泛支持且易于使用,应始终使用加密端口而非明文端口。 | ||
高级 | 自建邮箱服务器时,为防止 DNS 故障影响可用性,应至少设置两个 MX 记录,主备切换保证邮件收发不中断。 | ||
高级 | 自建邮箱服务器(尤其是 SMTP)应限制并发连接数和最大连接速率,降低被机器人攻击的风险。 | ||
高级 | 自建邮箱服务器可通过维护本地 IP 黑名单和实时垃圾邮件 URI 阻断列表,提高反垃圾能力和安全性。 |