如何加密邮件：PGP、S/MIME及简单替代方案

电子邮件诞生于1970年代——那时互联网还没有安全概念。默认情况下，邮件以明文形式在互联网上传输，就像寄明信片而不是密封信件。

加密可以解决这个问题。但PGP、S/MIME、内置加密功能、专用服务商——选项太多容易让人困惑。

本指南从技术方法到简单方案逐一介绍，帮你选择适合的加密方式。

为什么需要加密邮件

没有加密，你的邮件可以被以下方读取：

• 邮件服务商（QQ邮箱、163邮箱、Gmail——为广告扫描内容）
• 雇主（使用企业邮箱服务器时）
• 传输路径上的网络服务商
• 黑客（中间人攻击）
• 相关部门（合法的数据访问）

方法一：PGP/GPG——加密的黄金标准

PGP是1991年创建的邮件加密标准。GPG是其免费开源实现。

PGP工作原理

使用非对称加密：

公钥 → 分享给任何人（用于加密发给你的消息）
私钥 → 保密（用于解密你收到的消息）

设置方法

Thunderbird（78版本起内置）

1. 安装Mozilla Thunderbird
2. 账户设置 → 端到端加密
3. 生成新的OpenPGP密钥对
4. 与联系人分享公钥
5. 导入联系人的公钥
6. 撰写邮件时点击加密图标

PGP优缺点

优点	缺点
最强加密	非技术用户难以设置
去中心化	双方都需要使用PGP
开源且经过充分审计	密钥管理繁琐
兼容任何邮件服务	主题和元数据不加密

方法二：S/MIME——基于证书的加密

S/MIME使用证书颁发机构（CA）签发的数字证书。

优点	缺点
Outlook、Apple Mail、Thunderbird内置	证书有成本
组织管理比PGP容易	依赖CA（中心化信任）
企业环境适用	个人使用不常见

方法三：Gmail机密模式

使用方法

1. 在Gmail中撰写新邮件
2. 点击底部锁+时钟图标
3. 设置过期日期
4. 可选择要求短信验证码
5. 发送

注意

• 不加密邮件内容 — Google仍可读取
• 不能防止截图
• 邮件仍存储在Google服务器
• 不是真正的端到端加密

结论：安全表演，非真正加密。

方法四：Outlook加密邮件

通过Microsoft 365消息加密提供。

局限

• 需要Microsoft 365订阅
• 没有Microsoft账户的收件人通过浏览器链接查看
• Microsoft仍可访问内容

方法五：ProtonMail——无需设置的E2E加密

ProtonMail无需任何设置即可提供端到端加密。

• ProtonMail用户间：自动E2E加密
• 外部收件人：设置密码，通过加密链接查看
• 兼容PGP

方法六：Tutanota——零知识加密

Tutanota加密一切——邮件、联系人、日历、甚至主题行。

• 主题行加密（独特功能）
• 开源客户端和服务器
• 加密搜索

对比表

方法	加密类型	设置难度	费用	主题加密	服务商可读
PGP/GPG	E2E（非对称）	困难	免费	❌	❌
S/MIME	E2E（证书）	中等	免费~付费	❌	❌
Gmail机密模式	仅访问控制	简单	免费	❌	✅
Outlook加密	传输/DRM	简单	付费（M365）	❌	✅
ProtonMail	E2E（自动）	简单	免费/付费	❌	❌
Tutanota	E2E（自动）	简单	免费/付费	✅	❌

邮件加密不够用的时候

加密邮件也有局限：

• 元数据始终暴露（发件人、收件人、时间戳、主题）
• 加密邮件仍永久保存在收件箱
• 无法控制收件人行为（截图、转发）

密码、凭证等需要临时分享的信息，LOCK.PUB更合适。创建密码保护的自动销毁链接，通过微信发链接，短信或电话告知密码。内容不会永久保存在任何地方。

开始使用

1. 评估需求：日常邮件还是真正敏感的数据？
2. 考虑收件人：对方能设置PGP吗？
3. 从最简单开始：大多数人选ProtonMail或Tutanota
4. 按需升级：技术联系人用PGP

邮件加密不是全有或全无。敏感对话用ProtonMail，日常用QQ邮箱或Gmail，这就是有意义的改善。

安全分享敏感信息 →