FDA邮件安全解决方案

最近，有不少药企，食品行业客户询问如何与FDA保持邮件通信安全、畅通，要解决此问题首先得了解FDA对邮件通信的规定，然后做好邮件安全合规工作，保证企业与FDA通信安全！

自2018年10月1日起，外部实体与FDA进行CBER监管通信必须经过邮件安全加密处理。

那么如何实现与FDA保持邮件通信安全加密呢？FDA研讨会上提供了两种解决方案：一种是使用S/MIME证书，另一种是启用基于TLS/SSL安全协议的SMTP。具体内容请跟随锐成信息小编一起来看看。

FDA邮件安全解决方案

S/MIME邮件安全方案概述

想要与FDA实现邮件安全通信，可选用S/MIME证书对电子邮件进行数字签名和加密。发件人在发送邮件前就可以选择签名和加密功能，当FDA预定收件人使用配对的私钥解密方可阅读此邮件。通过S/MIME证书可以确保邮件在整个传输过程中不会被偷窥和篡改，满足FDA邮件安全加密的合规要求。

采用S/MIME证书解决方案您需要具备三个条件：

1. 一个或多个带有唯一域名后缀的邮件地址；（注：Comcast.net, Verizon.net, or AOL.com等ISP邮箱服务商提供的邮件地址无法受到保护。同样，免费的邮箱服务，如Gmail.com、Yahoo.com或ME.com等电子邮件地址也无法获得安全保护。）
2. 一个支持邮件加密证书的邮箱客户端，如Outlook；
3. 一张由受信任CA颁发的数字证书，即S/MIME邮件证书；

注意：目前FDA官方推荐的S/MIME证书有Sectigo, Globalsign, Digicert等，S/MIME证书需满足SHA256及以上签名算法，不支持自签名证书。

另外需要说明的是，一张S/MIME证书一次只保护一个电子邮件地址。所以，站在终端用户的角度来看，S/MIME证书在配置、使用和维护等方面要稍微复杂一点，其原因在于：

• S/MIME证书通常需要每年或每三年更新一次。 当您的邮箱客户端上安装了新证书时，还必须通过既定流程将其证书公钥提供给FDA。

• 旧证书也必须保留在您的客户端上，方便解密阅读以往的电子邮件。

• 如果您需要同多个FDA邮箱进行安全通信，则需要通过既定流程来获取这些FDA邮箱各自对应的证书公钥。

• 为了在移动设备上可阅读S/MIME加密邮件，还需将此证书安装在该设备上。

S/MIME邮件安全证书优势

1. 安装简单。用户可以自行配置，安装S/MIME证书，无需邮件管理员的操作。

2. 端对端加密。S/MIME证书解决方案可以实现端对端的加密。邮件信息从您的邮箱客户端发出后到FDA的S/MIME防火墙的整个过程都是处于加密状态。此外，存放在您的邮箱中的不论是发送给FDA的邮件还是接收到FDA的邮件也都是安全加密的。因此，就算您的邮件被窃取，邮件信息一样是加密的，他人依然无法读取内容。

3. 成本低。一个用户使用一张S/MIME邮件安全证书，一年的成本仅需百十元起。

启用TLS/SSL保护SMTP方案概述

确保您与FDA之间邮件安全通信的另一种解决方案是在邮件服务器或主机上安装商业级TLS/SSL证书，如Sectigo, Thawte, Digicert等CA证书，保护SMTP域名。安装配置仅需邮箱管理员处理。采用这种解决方案可以保证您的基础设施（如邮件服务器）与FDA之间传输的数据安全、加密，避免中间人攻击拦截您的消息。此方案需要与FDA完成必要的测试。一旦安装成功，启用SSL证书后将保护SMTP域名下的所有以该域名结尾的邮件地址。

注意：请勿使用自签名证书或私有CA签名证书。此外，不论是内部邮箱系统，还是外部托管邮箱均必须部署SSL证书，以保证邮件通信安全加密。

如果是企业内部邮件系统，从证书购买、验证、签发、获取可能需要1-3天的时间，然后还需几个小时完成证书配置安装与测试（管理员和FDA安全邮件团队之间邮件测试）。

如果企业邮箱是由第三方托管的，如云邮箱服务，则可能需要花费更多时间完成证书配置，因为此过程需要第三方的协调帮助。

邮件服务器SSL证书优势

1. 省钱又省时。成功完成证书配置后，您的整个电子邮件地址都是安全的。如果需要与FDA安全通信的邮箱用户数量较多，选用邮件服务器证书（即SSL证书）将会大大降低证书购买成本以及配置时间。

2. 无需终端用户参与。所有证书配置步骤均在邮件服务器上进行，无需终端用户参与操作。此外，终端用户可照常发送邮件，勿需其他操作，企业邮件基础设施与FDA之间传输的数据将会自动加密处理。

S/MIME证书与邮件服务器SSL证书对比

根据上面讲述的两种解决方案，可以看出他们的不同之处，如下图所示。

S/MIME加密流程与SSL证书加密流程对比图

总的来说，S/MIME证书更难维护。然而，它可以提供端到端加密，保护邮件内容从发件人客户端一直到FDA S/MIME防火墙都是安全加密的，而且仅这些端点可解密读取信息。此外，保存在邮箱中的加密邮件依然处于加密状态，就算消息被窃取，攻击者也无法解密。

而采用SSL证书保护SMTP域名的配置过程更简单，尤其是对于那些需要很多邮件地址与FDA通信的企业。然而，需要注意的是MTA（消息传输代理）之间的每个跳转都需要处于TLS/SSL保护下。此外，此方案仅确保传输过程中的数据安全加密，存储在邮箱中的邮件（即静止状态下）并没有得到加密保护。

综上所述，企业可以根据自身需求选择适合自己的FDA邮件安全解决方案。当然，如果想要完美的解决方案，可以将两者结合在一起，即在邮件服务器部署SSL证书，确保邮件免遭拦截、窥视，再在企业员工邮箱客户端上安装S/MIME邮件证书保障邮件内容不论是在传输过程还是静止状态均是安全加密的，如此既能满足FDA的合规要求，也可全程保护您与FDA邮件通信安全！

本文来源锐成信息，转载请注明原文地址：https://www.racent.com/blog/fda-email-security-solutions