Office365 郵件加密真的安全嗎？

我正在為我們的組織實施Office365 消息加密。我的問題是：對於發送給組織外部使用者的消息，它實際上是否比正常（未加密）電子郵件更安全？

根據此頁面，外部使用者可以收到一次性密碼以查看加密消息。但是，這個一次性密碼也是通過電子郵件發送的，所以假設是中間人攻擊，攻擊者不能簡單地截取一次性密碼並解密消息嗎？

讓我知道我是否遺漏了什麼，或者這只是 MS 的更多行銷炒作……

你的擔心確實有一定的道理。然而…

一次性密碼電子郵件並沒有明確辨識它附帶的消息。因此，僅擁有 OTP 消息並不能告訴您太多資訊。話雖如此，如果此人的郵箱中只有一封加密郵件，加上匹配的 OTP 電子郵件，攻擊者可以將 2 和 2 放在一起。

此外，該程式碼僅在 15 分鐘內有效。因此，漏洞的視窗非常有限。攻擊者必須主動攔截您的電子郵件並做出響應，而不僅僅是被動地轉儲數據包以供以後分析。

如果您仍然對安全性不滿意，可以通過 PowerShell 禁用一次性密碼：

設置 OMEConfiguration -OTPEnabled $False

這將要求收件人使用 Microsft 帳戶，該帳戶是獨立設置的，但使用起來更複雜。

引用自：https://serverfault.com/questions/765696