我们正在与第三方集成,要求特定域上的所有电子邮件通信都使用 S/MIME 进行加密。合规政策规定了对所有电子邮件进行加密的重要性,无一例外。然而,对不参与通信的电子邮件进行加密似乎没有意义,因为我们需要为每封电子邮件购买证书并将其上传到GMAIL。
所以问题是,有没有办法为整个域添加一个证书
@example.com简短的回答是:不可以。S/MIME 不允许将一个 S/MIME 证书用于多个电子邮件地址。
长答案是:
有一些做法使用所谓的“域证书”,它基本上是为该域的通用电子邮件地址(通常称为网关地址)颁发的 S/MIME 证书,用于加密发送给该域的所有收件人的电子邮件该域名。
但是,由于普通电子邮件客户端不会使用为电子邮件收件人地址以外的其他地址颁发的 S/MIME 证书,因此发送端和接收端都需要对 S/MIME 标准之外的此类使用提供特殊支持。一些公司为此目的使用特殊的网关软件。然后,传出的电子邮件将被创建为纯文本,通过网关发送,并在网关处加密,然后将加密的 S/MIME 传送给收件人。传入的电子邮件首先由网关解密,然后发送到收件人的邮箱。
请注意,此解决方案并不像 S/MIME 实际上那样提供端到端加密,因为电子邮件将以未加密的方式存储。因此,它显着降低了 S/MIME 的级别,而公司指南通常不允许这样做。
也不是说网关方法只能以某种方式支持 S/MIME 加密。它无法提供用于身份验证、消息完整性和不可否认性以及来源证明的数字签名。
此外,我不知道有任何此类解决方案与 GMail 集成。