การเข้ารหัสอีเมลคือการเข้ารหัสข้อความอีเมลเพื่อป้องกันไม่ให้บุคคลอื่นที่ไม่ใช่ผู้รับที่ตั้งใจไว้ได้อ่านเนื้อหา การเข้ารหัสอีเมลอาจรวมถึงการตรวจสอบความถูกต้องด้วย

อีเมลมีความเสี่ยงต่อการเปิดเผยข้อมูล แม้ว่าอีเมลจำนวนมากจะถูกเข้ารหัสระหว่างการส่ง แต่มักจะถูกจัดเก็บในรูปแบบข้อความธรรมดา ซึ่งอาจทำให้บุคคลที่สาม รวมถึงผู้ให้บริการอีเมล สามารถเข้าถึงข้อมูลได้โดยไม่ได้รับอนุญาต^{[ 1 ]}โดยค่าเริ่มต้น บริการอีเมลยอดนิยม เช่นGmailและ Outlook ไม่ได้เปิดใช้งาน การเข้ารหัสแบบ end - to-end ^{[ 2 ]}บุคคลที่ไม่ได้รับอนุญาตสามารถเข้าถึงและอ่านเนื้อหาอีเมลได้โดยใช้เครื่องมือบางอย่างที่มีอยู่^{[ 3 ]}

การเข้ารหัสอีเมลสามารถอาศัยการเข้ารหัสแบบกุญแจสาธารณะซึ่งผู้ใช้แต่ละคนสามารถเผยแพร่กุญแจสาธารณะที่ผู้อื่นสามารถใช้ในการเข้ารหัสข้อความที่ส่งถึงพวกเขา ในขณะที่เก็บกุญแจส่วนตัวไว้เป็นความลับ ซึ่งตนเองสามารถใช้ในการถอดรหัสข้อความเหล่านั้น หรือใช้ในการเข้ารหัสและลงนามข้อความที่ตนเองส่งได้

ด้วยการออกแบบโปรโตคอลอีเมล แบบดั้งเดิม การสื่อสารระหว่างเซิร์ฟเวอร์อีเมลจึงเป็นแบบข้อความธรรมดาซึ่งก่อให้เกิด ความเสี่ยง ด้านความปลอดภัย อย่างมาก ตลอดหลายปีที่ผ่านมา มีการเสนอวิธีการต่างๆ เพื่อเข้ารหัสการสื่อสารระหว่างเซิร์ฟเวอร์อีเมล การเข้ารหัสอาจเกิดขึ้นในระดับการส่งข้อมูล (หรือที่เรียกว่า "แบบทีละขั้นตอน") หรือแบบตั้งแต่ต้นทางถึงปลายทาง การเข้ารหัสในระดับการส่งข้อมูลมักจะตั้งค่าและใช้งานได้ง่ายกว่า ในขณะที่การเข้ารหัสแบบตั้งแต่ต้นทางถึงปลายทางให้การป้องกันที่แข็งแกร่งกว่า แต่การตั้งค่าและการใช้งานอาจยากกว่า

หนึ่งในส่วนขยายการเข้ารหัสอีเมลที่ใช้กันทั่วไปมากที่สุดคือSTARTTLSมันเป็น เลเยอร์ TLS (SSL)ที่อยู่เหนือการสื่อสารแบบข้อความธรรมดา ทำให้เซิร์ฟเวอร์อีเมลสามารถยกระดับ การสื่อสาร แบบข้อความธรรมดาไปเป็นการสื่อสารแบบเข้ารหัสได้ โดยสมมติว่าเซิร์ฟเวอร์อีเมลทั้งฝั่งผู้ส่งและผู้รับรองรับการสื่อสารแบบเข้ารหัส ผู้ที่ดักฟังการสื่อสารระหว่างเซิร์ฟเวอร์อีเมลจะไม่สามารถใช้เครื่องมือดักจับแพ็กเก็ตเพื่อดูเนื้อหาอีเมลได้ ส่วนขยาย STARTTLS ที่คล้ายกันนี้มีอยู่สำหรับการสื่อสารระหว่างไคลเอนต์อีเมลและเซิร์ฟเวอร์อีเมล (ดูIMAP4และPOP3ตามที่ระบุไว้ใน RFC 2595) STARTTLS สามารถใช้งานได้ไม่ว่าเนื้อหาอีเมลจะถูกเข้ารหัสโดยใช้โปรโตคอลอื่นหรือไม่ก็ตาม

ข้อความที่เข้ารหัสจะถูกเปิดเผยและสามารถเปลี่ยนแปลงได้โดยตัวกลางส่งต่ออีเมล กล่าวคือ การเข้ารหัสเกิดขึ้นระหว่าง ตัวกลางส่งต่อ SMTP แต่ละตัว ไม่ใช่ระหว่างผู้ส่งและผู้รับ ซึ่งมีทั้งข้อดีและข้อเสีย ข้อดีที่สำคัญของการเข้ารหัสระดับชั้นการขนส่งคือ ผู้ใช้ไม่จำเป็นต้องทำหรือเปลี่ยนแปลงอะไรเลย การเข้ารหัสจะเกิดขึ้นโดยอัตโนมัติเมื่อพวกเขาส่งอีเมล นอกจากนี้ เนื่องจากองค์กรผู้รับสามารถถอดรหัสอีเมลได้โดยไม่ต้องอาศัยความร่วมมือจากผู้ใช้ปลายทาง องค์กรผู้รับจึงสามารถใช้ โปรแกรมสแกน ไวรัสและตัวกรองสแปมก่อนส่งอีเมลไปยังผู้รับได้ อย่างไรก็ตาม นั่นหมายความว่าองค์กรผู้รับและใครก็ตามที่บุกรุกเข้าไปในระบบอีเมลขององค์กรนั้น (เว้นแต่จะมีการดำเนินการเพิ่มเติม) สามารถอ่านหรือแก้ไขอีเมลได้อย่างง่ายดาย หากองค์กรผู้รับถูกพิจารณาว่าเป็นภัยคุกคาม การเข้ารหัสแบบ end-to-end จึงเป็นสิ่งจำเป็น

มูลนิธิElectronic Frontierสนับสนุนการใช้ STARTTLS และได้ริเริ่มโครงการ 'STARTTLS Everywhere' เพื่อ "ทำให้ทุกคนสามารถช่วยให้มั่นใจได้ว่าการสื่อสาร (ผ่านอีเมล) ของพวกเขาจะไม่เสี่ยงต่อการสอดแนมในวงกว้าง " ^{[ 4 ]} การสนับสนุน STARTTLS กลายเป็นเรื่องปกติมากขึ้น Google รายงานว่าใน Gmail อีเมลขาเข้า 90% และอีเมลขาออก 90% ได้รับการเข้ารหัสโดยใช้ STARTTLS เมื่อวันที่ 24 กรกฎาคม 2018 ^{[ 5 ]}

การตรวจสอบใบรับรองภาคบังคับไม่สามารถทำได้จริงในอดีตสำหรับการส่งอีเมลทางอินเทอร์เน็ตหากไม่มีข้อมูลเพิ่มเติม เนื่องจากใบรับรองจำนวนมากไม่สามารถตรวจสอบได้ และมีน้อยคนที่ต้องการให้การส่งอีเมลล้มเหลวในกรณีดังกล่าว^{[ 6 ]}ด้วยเหตุนี้ อีเมลส่วนใหญ่ที่ส่งผ่าน TLS จึงใช้การเข้ารหัสแบบฉวยโอกาสเท่านั้นDANE เป็นมาตรฐานที่เสนอซึ่งทำให้การเปลี่ยนไปใช้การเข้ารหัสที่ตรวจสอบได้สำหรับการส่งอีเมลทางอินเทอร์เน็ตเป็นไปได้^{[ 7 ]} โครงการ STARTTLS Everywhere ใช้แนวทางอื่น: พวกเขาสนับสนุน "รายการโหลดล่วงหน้า" ของเซิร์ฟเวอร์อีเมลที่สัญญาว่าจะสนับสนุน STARTTLS ซึ่งสามารถช่วยตรวจจับและป้องกันการโจมตีแบบดาวน์เกรดได้

ในการเข้ารหัสแบบ end-to-endข้อมูลจะถูกเข้ารหัสและถอดรหัสเฉพาะที่ปลายทางเท่านั้น กล่าวอีกนัยหนึ่ง อีเมลที่ส่งด้วยการเข้ารหัสแบบ end-to-end จะถูกเข้ารหัสที่ต้นทาง ซึ่งผู้ให้บริการเช่น Gmail ไม่สามารถอ่านได้ในระหว่างการส่ง และจากนั้นจะถูกถอดรหัสที่ปลายทาง ที่สำคัญ อีเมลจะถูกถอดรหัสเฉพาะสำหรับผู้ใช้ปลายทางบนคอมพิวเตอร์ของพวกเขาเท่านั้น และจะยังคงอยู่ในรูปแบบที่เข้ารหัสซึ่งไม่สามารถอ่านได้สำหรับบริการอีเมลเช่น Gmail ซึ่งไม่มีคีย์สำหรับถอดรหัส^{[ 8 ]}บริการอีเมลบางบริการได้รวมการเข้ารหัสแบบ end-to-end ไว้โดยอัตโนมัติ

โปรโตคอลที่สำคัญสำหรับการเข้ารหัสอีเมลแบบครบวงจร ได้แก่:

• ข้อความบิต
• GNU Privacy Guard (GPG)
• Pretty Good Privacy (PGP)
• เอส/ไมมี

OpenPGPเป็นมาตรฐานการเข้ารหัสข้อมูลที่ช่วยให้ผู้ใช้สามารถเข้ารหัสเนื้อหาอีเมลได้ มีซอฟต์แวร์และปลั๊กอินสำหรับโปรแกรมอีเมลต่างๆ ที่ช่วยให้ผู้ใช้สามารถเข้ารหัสข้อความโดยใช้กุญแจสาธารณะของผู้รับก่อนส่ง โดยพื้นฐานแล้ว OpenPGP ใช้ ระบบ การเข้ารหัสแบบกุญแจสาธารณะ (Public Key Cryptography)ซึ่งที่อยู่อีเมลแต่ละที่เชื่อมโยงกับคู่กุญแจสาธารณะ/ส่วนตัว

OpenPGP เป็นวิธีการเข้ารหัสอีเมลสำหรับผู้ใช้ปลายทางโดยไม่ต้องพึ่งพาเซิร์ฟเวอร์ และมั่นใจได้ว่ามีเพียงผู้รับที่ตั้งใจไว้เท่านั้นที่จะอ่านอีเมลได้ อย่างไรก็ตาม OpenPGP มีปัญหาด้านการใช้งานอยู่บ้าง เช่น ผู้ใช้ต้องตั้งค่าคู่กุญแจสาธารณะ/ส่วนตัว และต้องเผยแพร่กุญแจสาธารณะให้ผู้อื่นเข้าถึงได้ นอกจากนี้ ยังปกป้องเฉพาะเนื้อหาของอีเมลเท่านั้น ไม่ใช่ข้อมูลเมตา บุคคลที่ไม่น่าเชื่อถือยังคงสามารถดูได้ว่าใครส่งอีเมลถึงใคร

ข้อเสียโดยทั่วไปของระบบการเข้ารหัสแบบ end-to-end ซึ่งเซิร์ฟเวอร์ไม่มีกุญแจถอดรหัส คือทำให้การค้นหาฝั่งเซิร์ฟเวอร์แทบเป็นไปไม่ได้ ส่งผลกระทบต่อการใช้งาน

เนื้อหาของอีเมลยังสามารถเข้ารหัสแบบ end-to-end ได้ด้วยการใส่ไว้ในไฟล์ที่เข้ารหัส (โดยใช้เครื่องมือเข้ารหัสไฟล์ชนิดใดก็ได้^{[ 9 ]} ) และส่งไฟล์ที่เข้ารหัสนั้นเป็น ไฟล์แนบ ในอีเมล^{[ 10 ]}

การ สาธิต การ ส่งอีเมลที่ลงนามและเข้ารหัสผ่านทางอินเทอร์เน็ตแสดงให้เห็นว่าองค์กรต่างๆ สามารถทำงานร่วมกันได้อย่างมีประสิทธิภาพโดยใช้อีเมลที่ปลอดภัย อุปสรรคในการนำไปใช้ก่อนหน้านี้ได้รับการแก้ไขแล้ว รวมถึงการใช้สะพาน PKI เพื่อจัดหาโครงสร้างพื้นฐานกุญแจสาธารณะ (PKI) ที่ปรับขนาดได้ และการใช้เจ้าหน้าที่รักษาความปลอดภัยเครือข่าย ตรวจสอบเนื้อหาที่เข้ารหัสที่ผ่านเข้าและออกจากขอบเขตเครือข่ายขององค์กรเพื่อหลีกเลี่ยงการใช้การเข้ารหัสเพื่อซ่อนการแทรกซึมของมัลแวร์และการรั่วไหลของข้อมูล

การเข้ารหัสเลเยอร์การขนส่งโดยใช้ STARTTLS จะต้องได้รับการตั้งค่าโดยองค์กรผู้รับ โดยทั่วไปแล้วขั้นตอนนี้ค่อนข้างตรงไปตรงมา คือ ต้องได้รับใบรับรองที่ถูกต้อง และต้องเปิดใช้งาน STARTTLS บนเซิร์ฟเวอร์อีเมลขององค์กรผู้รับ เพื่อป้องกันการโจมตีแบบดาวน์เกรด องค์กรต่างๆ สามารถส่งโดเมนของตนไปยัง 'รายการนโยบาย STARTTLS' ^{[ 11 ]}

ไคลเอนต์อีเมลที่มีคุณสมบัติครบถ้วนส่วนใหญ่รองรับ การเข้ารหัสอีเมล แบบ S/MIME ( การลงนามดิจิทัลและการเข้ารหัส ข้อความ โดยใช้ใบรับรอง ) ตัวเลือกการเข้ารหัสอื่นๆ ได้แก่ PGP และ GNU Privacy Guard (GnuPG) นอกจากนี้ยังมี ซอฟต์แวร์ฟรีและ เชิงพาณิชย์ (แอปพลิเคชันเดสก์ท็อป เว็บเมลและส่วนเสริม) ให้เลือกใช้^{[ 12 ]}

แม้ว่า PGP จะสามารถปกป้องข้อความได้ แต่ก็อาจใช้งานได้ยากหากใช้ให้ถูกวิธี นักวิจัยจากมหาวิทยาลัยคาร์เนกีเมลลอนได้ตีพิมพ์บทความในปี 1999 ซึ่งแสดงให้เห็นว่าคนส่วนใหญ่ไม่สามารถหาวิธีลงนามและเข้ารหัสข้อความโดยใช้ PGP เวอร์ชันปัจจุบันได้^{[ 13 ]}แปดปีต่อมา นักวิจัยอีกกลุ่มหนึ่งจากมหาวิทยาลัยคาร์เนกีเมลลอนได้ตีพิมพ์บทความติดตามผล โดยระบุว่าถึงแม้ PGP เวอร์ชันใหม่จะทำให้การถอดรหัสข้อความทำได้ง่าย แต่คนส่วนใหญ่ก็ยังคงประสบปัญหาในการเข้ารหัสและลงนามข้อความ การค้นหาและตรวจสอบกุญแจเข้ารหัสสาธารณะของผู้อื่น และการแบ่งปันกุญแจของตนเอง^{[ 14 ]}

เนื่องจากการเข้ารหัสอาจเป็นเรื่องยากสำหรับผู้ใช้ ผู้จัดการด้านความปลอดภัยและการปฏิบัติตามกฎระเบียบในบริษัทและหน่วยงานภาครัฐจึงทำให้กระบวนการนี้เป็นไปโดยอัตโนมัติสำหรับพนักงานและผู้บริหารโดยใช้อุปกรณ์และบริการการเข้ารหัสอัตโนมัติ แทนที่จะพึ่งพาความร่วมมือโดยสมัครใจ การเข้ารหัสอัตโนมัติตามนโยบายที่กำหนดไว้จะทำให้การตัดสินใจและกระบวนการนั้นไม่ต้องขึ้นอยู่กับผู้ใช้ อีเมลจะถูกส่งผ่านอุปกรณ์เกตเวย์ที่ได้รับการกำหนดค่าเพื่อให้มั่นใจว่าสอดคล้องกับนโยบายด้านกฎระเบียบและความปลอดภัย อีเมลที่จำเป็นต้องเข้ารหัสจะถูกเข้ารหัสและส่งโดยอัตโนมัติ^{[ 15 ]}

หากผู้รับทำงานในองค์กรที่ใช้อุปกรณ์เกตเวย์การเข้ารหัสเดียวกัน อีเมลจะถูกถอดรหัสโดยอัตโนมัติ ทำให้กระบวนการโปร่งใสต่อผู้ใช้ ผู้รับที่ไม่ได้อยู่เบื้องหลังเกตเวย์การเข้ารหัสจะต้องดำเนินการเพิ่มเติมอีกขั้นตอนหนึ่ง ไม่ว่าจะเป็นการจัดหาคีย์สาธารณะ หรือการเข้าสู่ระบบพอร์ทัลออนไลน์เพื่อดึงข้อความ^{[ 15 ] [ 16 ]}

นับตั้งแต่ปี 2000 จำนวนผู้ให้บริการอีเมลเข้ารหัสที่มีให้บริการได้เพิ่มขึ้นอย่างมีนัยสำคัญ^{[ 17 ]}

• การตรวจสอบความถูกต้องของอีเมล  – เทคนิคที่มุ่งเน้นการให้ข้อมูลที่ตรวจสอบได้เกี่ยวกับแหล่งที่มาของข้อความอีเมล
• ความเป็นส่วนตัวของอีเมล  – ภาพรวมเกี่ยวกับการคุ้มครองสิทธิความเป็นส่วนตัวของบุคคล
• การเข้ารหัสแบบ End-to-end  – วิธีการสื่อสารที่ปลอดภัย
• HTTPS  – ส่วนขยายของ HTTP ที่รองรับการเข้ารหัส TLS
• กุญแจ (การเข้ารหัส)  – ใช้สำหรับเข้ารหัสหรือถอดรหัสข้อความที่เข้ารหัสแล้ว
• ผู้ให้บริการกล่องจดหมาย  – ผู้ให้บริการโฮสติ้งอีเมล
• การส่งข้อความที่ปลอดภัย  – วิธีการแลกเปลี่ยนข้อมูลอย่างปลอดภัย