1、低级层面是设置定期的、独立的、强壮的密码,并保证密码安全。不要在信不过的计算机登录自己的邮箱,不要将密码告诉他人。同时认真研究钓鱼攻击案例,防止登录密码被骗。另外现在很多邮箱支持令牌登录和二次验证,建议开启。
2、中级层面即将厂商漏洞和网络中间人也考虑在内。一般认为用纯客户端譬如thunderbird,outlook或手机客户端的安全性要大于用web的安全性。原因是客户端采取非http的登录访问方式,且有基本的过滤机制,不会被xss、csrf等web攻击漏洞所影响。不过要注意使用加密的通讯方式,譬如pops、smtps及imaps,以防御中间人攻击。
3、高级层面不仅要把厂商的漏洞考虑在内,也要把厂商本身考虑在内,即厂商亦不可信。那么要将邮件正文都加密处理,譬如pgp邮件加密,来实现端到端的数据可靠性保证。当然有更高的安全要求可以选择自建邮件服务器,或者使用那种一次性邮箱。譬如在tor上使用protonmail邮箱。
