如何實作與FDA保持郵件通信安全加密？

如何與FDA保持郵件通信安全、暢通，要解決此問題首先得了解FDA對郵件通信的規定，然後做好郵件安全合規工作，保證企業與FDA通信安全！

自2018年10月1日起，外部實體與FDA進行CBER監管通信必須經過郵件安全加密處理。

那麼如何實作與FDA保持郵件通信安全加密呢？FDA研讨會上提供了兩種解決方案：一種是使用S/MIME證書，另一種是啟用基于TLS/SSL安全協定的SMTP。

S/MIME郵件安全方案介紹

想要與FDA實作郵件安全通信，可選用S/MIME證書對電子郵件進行數字簽名和加密。發件人在發送郵件前就可以選擇簽名和加密功能，當FDA預定收件人使用配對的私鑰解密方可閱讀此郵件。通過S/MIME證書可以確定郵件在整個傳輸過程中不會被偷窺和篡改，滿足FDA郵件安全加密的合規要求。

采用S/MIME證書解決方案您需要具備三個條件：

1. 一個或多個帶有唯一域名字尾的郵件位址；（注：Comcast.net, Verizon.net, or ​​http://AOL.com​​​​等ISP郵箱服務商提供的郵件位址無法受到保護。同樣，免費的郵箱服務，如​​http://Gmail.com​​​​、​​http://Yahoo.com​​​​或​​http://ME.com​​​等電子郵件位址也無法獲得安全保護。）

2. 一個支援郵件加密證書的郵箱用戶端，如Outlook，密信加密郵件用戶端；

3.一張由受信任CA頒發的數字證書，即S/MIME郵件證書​​[1]​​；

注意：目前FDA官方推薦的S/MIME證書有Sectigo, Digicert等，S/MIME證書需滿足SHA256及以上簽名算法，不支援自簽名證書。

另外需要說明的是，一張S/MIME證書一次隻保護一個電子郵件位址。是以，站在終端使用者的角度來看，S/MIME證書在配置、使用和維護等方面要稍微複雜一點，其原因在于：

S/MIME證書通常需要每年或每三年更新一次。當您的郵箱用戶端上安裝了新證書時，還必須通過既定流程将其證書公鑰提供給FDA。

舊證書也必須保留在您的用戶端上，友善解密閱讀以往的電子郵件。

如果您需要同多個FDA郵箱進行安全通信，則需要通過既定流程來擷取這些FDA郵箱各自對應的證書公鑰。

為了在移動裝置上可閱讀S/MIME加密郵件，還需将此證書安裝在該裝置上。

S/MIME郵件安全證書優勢

安裝簡單。使用者可以自行配置，安裝S/MIME證書，無需郵件管理者的操作。

端對端加密。S/MIME證書解決方案可以實作端對端的加密。郵件資訊從您的郵箱用戶端發出後到FDA的S/MIME防火牆的整個過程都是處于加密狀态。此外，存放在您的郵箱中的不論是發送給FDA的郵件還是接收到FDA的郵件也都是安全加密的。是以，就算您的郵件被竊取，郵件資訊一樣是加密的，他人依然無法讀取内容。

成本低。一個使用者使用一張S/MIME郵件安全證書，一年的成本僅需百十元起。

啟用TLS/SSL保護SMTP方案介紹

確定您與FDA之間郵件安全通信的另一種解決方案是在郵件伺服器或主機上安裝商業級TLS/SSL證書，如Sectigo, Digicert等CA憑證，保護SMTP域名。安裝配置僅需郵箱管理者處理。采用這種解決方案可以保證您的基礎設施（如郵件伺服器）與FDA之間傳輸的資料安全、加密，避免中間人攻擊攔截您的消息。此方案需要與FDA完成必要的測試。一旦安裝成功，啟用SSL證書後将保護SMTP域名下的所有以該域名結尾的郵件位址。

注意：請勿使用自簽名證書或私有CA簽名證書。此外，不論是内部郵箱系統，還是外部托管郵箱均必須部署SSL證書，以保證郵件通信安全加密。

如果是企業内部郵件系統，從證書購買、驗證、簽發、擷取可能需要1-3天的時間，然後還需幾個小時完成證書配置安裝與測試（管理者和FDA安全郵件團隊之間郵件測試）。

如果企業郵箱是由第三方托管的，如雲郵箱服務，則可能需要花費更多時間完成證書配置，因為此過程需要第三方的協調幫助。

郵件伺服器SSL證書優勢

省錢又省時。成功完成證書配置後，您的整個電子郵件位址都是安全的。如果需要與FDA安全通信的郵箱使用者數量較多 ，選用郵件伺服器證書（即SSL證書）将會大大降低證書購買成本以及配置時間。

無需終端使用者參與。所有證書配置步驟均在郵件伺服器上進行，無需終端使用者參與操作。此外，終端使用者可照常發送郵件，勿需其他操作，企業郵件基礎設施與FDA之間傳輸的資料将會自動加密處理。

S/MIME證書與郵件伺服器SSL證書對比

根據上面講述的兩種解決方案，可以看出他們的不同之處，如下圖所示。

S/MIME加密流程與SSL證書加密流程對比圖

總的來說，S/MIME證書更難維護。然而，它可以提供端到端加密，保護郵件内容從發件人用戶端一直到FDA S/MIME防火牆都是安全加密的，而且僅這些端點可解密讀取資訊。此外，儲存在郵箱中的加密郵件依然處于加密狀态，就算消息被竊取，攻擊者也無法解密。

而采用SSL證書保護SMTP域名的配置過程更簡單，尤其是對于那些需要很多郵件位址與FDA通信的企業。然而，需要注意的是MTA（消息傳輸代理）之間的每個跳轉都需要處于TLS/SSL保護下。此外，此方案僅確定傳輸過程中的資料安全加密，存儲在郵箱中的郵件（即靜止狀态下）并沒有得到加密保護。

綜上所述，企業可以根據自身需求選擇适合自己的FDA郵件安全解決方案。當然，如果想要完美的解決方案，可以将兩者結合在一起，即在郵件伺服器部署SSL證書，確定郵件免遭攔截、窺視，再在企業員工郵箱用戶端上安裝S/MIME郵件證書保障郵件内容不論是在傳輸過程還是靜止狀态均是安全加密的，如此既能滿足FDA的合規要求，也可全程保護您與FDA郵件通信安全！

作為國内領先的郵件安全服務商，沃通CA自主研發首個全自動加密郵件的免費電子郵件用戶端——密信(MeSign)，密信郵件用戶端是自動申請配置加密證書，無需繁瑣操作，一鍵發送加密郵件。不改變使用者使用習慣，加解密過程透明無感，安全便捷、簡單易用！密信(MeSign)采用S/MIME國際标準，使用數字證書自動簽名、加密每一封郵件，確定發件人身份可信、郵件内容全程安全，防止機密郵件洩露、防止釣魚郵件仿冒。

同時，沃通CA提供多品牌S/MIME郵件安全證書及郵件伺服器SSL證書，可根據您的需求定制FDA S/MIME郵件安全PKI方案，實作S/MIME證書自動化簽發，自動化部署以及集中管理的模式。

郵件證書購買操作指南

一、​​https://my.mesign.com/zh-cn/buy?ptype=trustcert​​，在浏覽器中登入該連結；

二、首次購買需要建立登入賬号及密碼，非首次購買填寫之前建立的賬号及密碼；

三、選擇相應的付款方式；

參考

1. ​​^​​​S/MIME郵件證書價格​​https://www.wosign.com/price_client.htm​​