EFF推動StarTLS Everywhere以避免電子郵件遭到監控

電子前線基金會（Electronic Frontier Foundation，EFF）周一（6/25）推出StarTLS Everywhere倡議，鼓勵電子郵件伺服器管理員部署「有效的」StarTLS，以防範政府或其它機構對電子郵件的監控與攔截。

迄今電子郵件的傳輸主要仰賴「簡單郵件傳輸協定」（Simple Mail Transfer Protocol，SMTP），在70年代就制定的SMTP尚無加密的概念，卻是目前電子郵件伺服器之間主要的通訊協定，而StarTLS則能與SMTP相輔相成，當郵件伺服器想要加密通訊時可傳送StarTLS命令予另一郵件伺服器，若對方也支援StarTLS就能展開加密傳輸。

有別於端對端（end-to-end）加密，StarTLS屬於節點對節點（hop-to-hop）之間的加密，只能加密郵件伺服器之間的通訊，避免遭到外人監控傳輸內容，但伺服器端仍能存取郵件內容，例如當一個Gmail用戶傳送郵件給EFF員工時，就算是啟用了StarTLS，不管是Gmail或EFF的郵件伺服器都仍然能閱讀郵件內容。

事實上，根據Google的統計，支援StarTLS的郵件伺服器已高達89%。然而，EFF卻發現當中絕大多數的郵件伺服器都缺乏可驗證的憑證，又替駭客開啟了一扇窗，只要能冒充郵件伺服器就能存取郵件內容，此外，就算是雙方都有完整的StarTLS配置與憑證，在伺服器傳送StarTLS命令時也是未加密的，駭客可攔截此一訊息，讓雙方誤以為對方並未支援StarTLS而未執行加密傳輸，形成所謂的「降級攻擊」（Downgrade Attack）。

因此，在EFF的StarTLS Everywhere倡議中，EFF提供了可作為郵件伺服器系統管理員的軟體，以讓郵件伺服器能自動向Let’s Encrypt取得有效的憑證，並協助伺服器的配置，以在使用StarTLS時能向其它的郵件伺服器展示憑證。為了防範降級攻擊，StarTLS Everywhere亦包含了支援StarTLS的郵件伺服器名單。

StarTLS Everywhere是從郵件伺服器著手來提供基本的郵件傳輸安全，主要是用來對抗外來的入侵者，目前仍處於開發測試階段，EFF亦鼓勵郵件伺服器管理員把自家支援StarTLS的網域加入名單中，或是提出StarTLS Everywhere的功能需求。