Encrypted Email Server Trên VPS Offshore

Mã hóa email thường bị hiểu sai. TLS giữa các mail server (gọi là encryption in transit) chỉ bảo vệ email khi nó di chuyển trên mạng - một khi đến máy chủ đích, nội dung lưu ở dạng plaintext và có thể bị đọc bởi quản trị server hoặc bất kỳ ai có quyền truy cập cơ sở dữ liệu. End-to-end encryption mới thực sự bảo vệ nội dung trong suốt vòng đời.

Có hai chuẩn end-to-end phổ biến cho email: PGP/OpenPGP (mã hóa bằng khóa công khai do người dùng tự quản lý, không có cơ quan trung ương) và S/MIME (sử dụng chứng chỉ X.509 do CA cấp, phổ biến trong doanh nghiệp). PGP linh hoạt hơn, không phụ thuộc bên thứ ba; S/MIME tích hợp tốt hơn với Outlook và các môi trường doanh nghiệp.

Cần lưu ý: ngay cả với PGP/S/MIME, metadata (người gửi, người nhận, thời gian, tiêu đề) vẫn không được mã hóa. Để bảo vệ metadata, kết hợp với các kỹ thuật như sử dụng remailer, gửi qua Tor, hoặc sử dụng giao thức như Mixmaster. ProtonMail có hệ thống "zero-access encryption" cho subject và body, nhưng metadata về người gửi/nhận vẫn được lưu trên server của họ.

Tự host trên VPS offshore Iceland của AnubizHost mang lại lợi thế bổ sung: ngay cả metadata cũng không thể bị bàn giao tùy tiện do luật bảo vệ dữ liệu Iceland nghiêm ngặt.

Cách dễ nhất để có encrypted email server là dùng Mailcow kết hợp với WebMail SOGo và plugin Mailvelope ở phía client. Triển khai như sau:

Sau khi cài Mailcow theo hướng dẫn cơ bản, tạo hộp thư cho người dùng. Mỗi người dùng cài Mailvelope (extension trình duyệt) hoặc Thunderbird với Enigmail/built-in OpenPGP. Sinh cặp khóa PGP 4096-bit RSA hoặc ED25519 trên máy cá nhân - khóa riêng KHÔNG BAO GIỜ rời khỏi máy người dùng:

gpg --full-generate-key
gpg --armor --export [email protected] > public_key.asc

Upload khóa công khai lên keyserver công cộng (keys.openpgp.org) hoặc trao đổi qua kênh tin cậy. Khi gửi email, client tự động mã hóa nội dung bằng khóa công khai của người nhận trước khi gửi tới Mailcow server. Server chỉ thấy ciphertext, không bao giờ thấy plaintext.

Đối với S/MIME, mua chứng chỉ từ CA (Sectigo, GlobalSign có gói miễn phí cho cá nhân) hoặc tự ký với CA nội bộ cho doanh nghiệp. Cài chứng chỉ vào Thunderbird, Outlook hoặc Apple Mail. Quá trình mã hóa/giải mã diễn ra hoàn toàn ở client.

Mailcow lưu email đã mã hóa vào Maildir như bình thường. Nếu máy chủ bị xâm nhập, kẻ tấn công chỉ lấy được ciphertext không thể giải mã được trong thời gian thực tế.

Mã hóa chỉ mạnh bằng quy trình quản lý khóa. Áp dụng các thực hành sau để duy trì bảo mật lâu dài:

Lưu khóa riêng offline: Khóa riêng PGP master nên được lưu trên USB drive mã hóa LUKS hoặc YubiKey, không bao giờ trên ổ cứng máy tính kết nối internet. Sử dụng subkey cho ký và mã hóa hàng ngày, master key chỉ dùng để cấp/thu hồi subkey.

Backup khóa: Tạo nhiều bản sao mã hóa và lưu ở các vị trí địa lý khác nhau. Mất khóa riêng đồng nghĩa mất truy cập vĩnh viễn vào toàn bộ email đã nhận. Một cách phổ biến là chia khóa thành các phần qua Shamir's Secret Sharing và phân phối cho người tin cậy.

Revocation certificate: Tạo chứng chỉ thu hồi ngay khi sinh khóa và lưu offline. Nếu khóa bị xâm nhập, publish chứng chỉ thu hồi lên keyserver để cảnh báo người khác không sử dụng khóa đó nữa.

Xoay khóa định kỳ: Tạo subkey mới mỗi 1-2 năm. Đối với người có nguy cơ cao, rotation 6 tháng là hợp lý. Khóa cũ vẫn dùng được để giải mã email cũ nhưng không dùng để gửi mới.

Xác minh public key: Trước khi tin tưởng khóa công khai của một liên hệ, xác minh fingerprint qua kênh out-of-band (gọi điện, gặp mặt, signed message qua chat đã xác thực). Việc này ngăn man-in-the-middle attack khi trao đổi khóa lần đầu.