如何加密邮件:PGP、S/MIME及简单替代方案
电子邮件诞生于1970年代——那时互联网还没有安全概念。默认情况下,邮件以明文形式在互联网上传输,就像寄明信片而不是密封信件。
加密可以解决这个问题。但PGP、S/MIME、内置加密功能、专用服务商——选项太多容易让人困惑。
本指南从技术方法到简单方案逐一介绍,帮你选择适合的加密方式。
为什么需要加密邮件
没有加密,你的邮件可以被以下方读取:
邮件服务商(QQ邮箱、163邮箱、Gmail——为广告扫描内容)
雇主(使用企业邮箱服务器时)
传输路径上的网络服务商
黑客(中间人攻击)
相关部门(合法的数据访问)
方法一:PGP/GPG——加密的黄金标准
PGP是1991年创建的邮件加密标准。GPG是其免费开源实现。
PGP工作原理
使用非对称加密:
公钥 → 分享给任何人(用于加密发给你的消息)
私钥 → 保密(用于解密你收到的消息)
设置方法
Thunderbird(78版本起内置)
1. 安装Mozilla Thunderbird
2. 账户设置 → 端到端加密
3. 生成新的OpenPGP密钥对
4. 与联系人分享公钥
5. 导入联系人的公钥
6. 撰写邮件时点击加密图标
PGP优缺点
优点
缺点
最强加密
非技术用户难以设置
去中心化
双方都需要使用PGP
开源且经过充分审计
密钥管理繁琐
兼容任何邮件服务
主题和元数据不加密
方法二:S/MIME——基于证书的加密
S/MIME使用证书颁发机构(CA)签发的数字证书。
优点
缺点
Outlook、Apple Mail、Thunderbird内置
证书有成本
组织管理比PGP容易
依赖CA(中心化信任)
企业环境适用
个人使用不常见
方法三:Gmail机密模式
使用方法
1. 在Gmail中撰写新邮件
2. 点击底部锁+时钟图标
3. 设置过期日期
4. 可选择要求短信验证码
5. 发送
注意
不加密邮件内容 — Google仍可读取
不能防止截图
邮件仍存储在Google服务器
不是真正的端到端加密
结论:安全表演,非真正加密。
方法四:Outlook加密邮件
通过Microsoft 365消息加密提供。
局限
需要Microsoft 365订阅
没有Microsoft账户的收件人通过浏览器链接查看
Microsoft仍可访问内容
方法五:ProtonMail——无需设置的E2E加密
ProtonMail无需任何设置即可提供端到端加密。
ProtonMail用户间:自动E2E加密
外部收件人:设置密码,通过加密链接查看
兼容PGP
方法六:Tutanota——零知识加密
Tutanota加密一切——邮件、联系人、日历、甚至主题行。
主题行加密(独特功能)
开源客户端和服务器
加密搜索
对比表
方法
加密类型
设置难度
费用
主题加密
服务商可读
PGP/GPG
E2E(非对称)
困难
免费
❌
❌
S/MIME
E2E(证书)
中等
免费~付费
❌
❌
Gmail机密模式
仅访问控制
简单
免费
❌
✅
Outlook加密
传输/DRM
简单
付费(M365)
❌
✅
ProtonMail
E2E(自动)
简单
免费/付费
❌
❌
Tutanota
E2E(自动)
简单
免费/付费
✅
❌
邮件加密不够用的时候
加密邮件也有局限:
元数据始终暴露(发件人、收件人、时间戳、主题)
加密邮件仍永久保存在收件箱
无法控制收件人行为(截图、转发)
密码、凭证等需要临时分享的信息,LOCK.PUB更合适。创建密码保护的自动销毁链接,通过微信发链接,短信或电话告知密码。内容不会永久保存在任何地方。
开始使用
评估需求:日常邮件还是真正敏感的数据?
考虑收件人:对方能设置PGP吗?
从最简单开始:大多数人选ProtonMail或Tutanota
按需升级:技术联系人用PGP
邮件加密不是全有或全无。敏感对话用ProtonMail,日常用QQ邮箱或Gmail,这就是有意义的改善。
安全分享敏感信息 →