银行安全邮件指南：防范欺诈，保护金融机密

笔者认为，这些专门的页面告诉银行用户如何防范银行诈骗邮件，如何使用银行采用的各种加密邮件解决方案。这是非常好的，也是非常必要的，因为银行邮件中包含了大量的用户财务机密信息，所以诈骗邮件中最多的就是金融诈骗邮件。各种诈骗邮件诱导用户点击假银行网站的链接，要求用户输入银行卡和登录密码，从而达到盗取用户银行账户的目的。所以银行不仅需要有专门的页面普及邮件安全知??识邮政网银安全吗，还必须采用加密邮件等可靠的技术手段来防范邮件诈骗。

笔者认为，目前各家银行所采用的银行电子邮件安全措施均存在一定的不足，撰写本文希望能够帮助银行认识到自身解决方案的不足，积极改进相关技术方案，不断提高银行电子邮件安全性，以真正有效地保障银行用户银行卡及银行账户的安全。

目前，各大银行除了告知用户注意电子邮件安全外，也采取了一些技术手段来确保电子邮件安全，主要有三种解决方案：

1.使用S/MIME数字签名和加密技术

这是最安全的解决方案。邮件的数字签名可以证明邮件确实是银行发来的，防止银行邮件欺诈；而邮件加密可以保证银行邮件中机密信息的安全，防止银行账单信息被非法窃取和篡改。德意志银行和德国邮政银行均采用此方案。

这种方案最大的问题是实施难度非常大，用户需要使用支持S/MIME加密的邮件客户端软件，从可信CA购买和申请邮件证书，并花费大量精力配置和使用邮件证书。只有这样，用户才能解密银行发来的加密邮件，并向银行发送加密邮件。这种方案对用户的IT技能要求非常高，可能会影响其普及。

2.使用数字信封和PGP加密技术

这个相对于第一种最安全的方案来说，是一个折中的方案，在一定程度上降低了安全性，同时也降低了使用门槛。它采用网页的方式实现，用户只需要注册一个账号并设置密码，登录专门的网页就可以查看银行的加密邮件以及回复银行的加密邮件。可以看出，这个方案显然比第一种方案要方便和简单得多，用户不需要去CA申请证书，也不需要使用指定的邮件客户端，通过登录网页就可以解密阅读加密邮件以及向银行发送加密邮件。有的是给出用密码加密的PDF文件，有的是登录第三方加密邮件系统阅读和向银行发送加密邮件。

但这些解决方案还是会向用户发送纯文本邮件，通知用户登录安全邮件系统查看加密邮件。用户首次使用时，必须先用自己的邮箱作为用户名注册银行提供的安全邮件服务。纯文本的通知邮件、注册流程、需要输入密码的流程都是不安全的，可能会受到攻击，导致后续操作不安全。

3.未采取技术措施

直接给用户发纯文本邮件，比如信用卡账单，每笔消费记录都清晰可见！这是最不安全的方法，可以说这是银行的疏忽！我用的一家银行就是这样，我不得不要求银行取消发送账单邮件的功能。如果实在取消不了，我只好换一个不存在的邮箱了。

有些银行略有改进，只写一个粗略的消费统计，比如本月总消费、最低还款额以及需要还款日期等，而详细信息则需要用户点击链接登录网银系统才能查看。有些银行则采取了另一种做法，摒弃不安全的纯文本邮件，改用网银APP。这当然比纯文本邮件更安全，但网银APP还存在其他安全问题，比如不使用https加密、不验证SSL证书等。用邮件实现银行与用户之间的沟通才是最好的解决方案。我们不能因为纯文本邮件存在安全问题而抛弃它，而应该解决邮件通讯的安全问题。

读者肯定会问，说了这么多银行邮件的安全问题，那到底该怎么做才能保证银行邮件最安全呢？很简单，最安全的解决方案还是第一个，因为S/MIME加密和数字签名是最好的邮件安全技术，我们只需要解决可用性问题就行了。密信技术经过多年的努力，研发出了采用S/MIME技术的全自动邮件客户端软件—密信App，并构建了云密码基础设施，一体化“云”“地”，彻底解决了S/MIME邮件加密和数字签名的问题。银行用户只需要在密信App中设置自己的邮箱，就可以给银行发送加密邮件和解密银行发送的加密邮件。银行业务系统只需要免费调用密信公钥API就可以自动获取银行用户的公钥，然后自动给用户发送加密邮件。

更重要的是，密信App提供免费版本，让用户可以免费体验自动邮件加密服务，欢迎银行用户免费试用，感兴趣的银行有任何问题也欢迎随时联系我们。密信技术已为曼谷银行提供了邮件加密解决方案，实现银行与银行用户之间邮件通信的加密和数字签名。另外，密信技术独家提供的邮件时间戳服务，可以满足银行与用户之间邮件通信的可信时间应用需求。