it-swarm-eu.dev

Jaké kroky Gmail, Yahoo! Pošta a Hotmail zabraňují odposlouchávání e-mailů?

Chtěl bych se zeptat, co se stane, když je e-mail odesílán z veřejných e-mailových služeb Gmail, Yahoo nebo Hotmail?

Nerozumím podrobně e-mailovým protokolům, ale pokud vím, přenos e-mailů je nešifrovaný a zprávy se před dosažením jejich cílového serveru předávají podél mnoha poštovních serverů (ve formě prostého textu). Nedávno to však položili jiní lidé a jejich názor byl takový, že pokud je použit jeden z velkých poskytovatelů, jsou e-mailové zprávy šifrovány a není třeba se obávat o bezpečnost.

Víte, jestli mají pravdu a jsou e-maily mírně zabezpečené? Děkuju!

34
luben

SMTP relace mezi dvěma poštovními servery může je šifrována, ale pouze , pokud oba konce podporují a Pokud oba konce zvolí použití. Pokud tedy odesíláte poštu z Gmailu na server example.net, Google by mohl šifrovat pouze tehdy, pokud byl server example.net připraven a ochotný. Z tohoto důvodu nemůžete důvěřovat e-mailu, aby byl v transportní vrstvě dokonce středně bezpečný. (Jedinou bezpečnou metodou typu end-to-end je šifrování e-mailu pomocí S/MIME nebo PGP, ale lidé, se kterými si vyměňujete e-maily, musí být také na palubě ... stejně jako poštovní servery).

Pokud jde o to, zda tito tři vedou oportunní STARTTLS, neviděl jsem o tom žádný důkaz, ale trávím méně času čtením protokolů svého poštovního serveru, než jsem býval. A pokud ano, jsou stále jen polovinou všech navázaných spojení SMTP a nemohou zaručit použití šifrování.

Aktualizace:

Právě jsem testoval hostitele MX pro gmail.com, yahoo.com a hotmail.com. Pouze gmail inzeruje STARTTLS, což znamená, že pouze gmail by byl ochoten šifrovat SMTP relaci, pokud by to druhá strana chtěla.

Testoval jsem odchozí gmail odesíláním pošty na server, který vlastním, a sledováním drátu; Google skutečně využívá STARTTLS, pokud je nabízen, a šifruje transakci SMTP, když uživatel gmail odesílá poštu. Rekvizity společnosti Google.

Pokud jde o „odesílání“ šifrování e-mailů: Google 1, Yahoo 0, Microsoft 0.


Podle komentářů níže, pokud je chcete sami vyzkoušet, je to velmi jednoduché:

  1. Určete hostitele MX (Mail eXchangers) pro doménu
  2. Telnet na port 25 na jednom z nich
  3. Zadejte „ehlo yourhostname.domain.com“
  4. Pokud nevidíte „250-STARTTLS“ jako jednu z odpovědí, nepodporují oportunní šifrování.

Takhle:

$ Host -t mx yahoo.com
yahoo.com mail is handled by 1 mta5.am0.yahoodns.net.
yahoo.com mail is handled by 1 mta7.am0.yahoodns.net.
yahoo.com mail is handled by 1 mta6.am0.yahoodns.net.
$ telnet mta5.am0.yahoodns.net 25
Trying 66.196.118.35...
Connected to mta5.am0.yahoodns.net.
Escape character is '^]'.
220 mta1315.mail.bf1.yahoo.com ESMTP YSmtpProxy service ready
ehlo myhost.linode.com
250-mta1315.mail.bf1.yahoo.com
250-8BITMIME
250-SIZE 41943040
250 PIPELINING
quit
221 mta1315.mail.bf1.yahoo.com
Connection closed by foreign Host.
$

Jako vedlejší poznámku Yahoo připojení ukončí, pokud ehlo hned neodesíláte. Musel jsem vyříznout a vložit své ehlo, protože jeho zadání trvalo příliš dlouho.

VÍCE AKTUALIZACE:

Od ledna 2014 Yahoo šifruje - právě jsem testoval (jak je uvedeno výše) a ověřil. Nicméně The Register a Computerworld hlásí, že intrakancie nastavení SSL (jako je Perfect Forward Secrecy) nechávají hodně, jak je požadováno, jak je implementuje Yahoo.

EVEN MORER UPDATE:

Google nyní zahrnuje šifrovací data SMTP do své sekce Transparency Report Safer Email . Sdílejí svá data o tom, kdo další je ochoten šifrovat, a můžete se podívat na nejvyšší čísla i dotazovat jednotlivé domény.

Dodatek:

@SlashNetwork poukazuje na to, že je možné nakonfigurovat poštovní server tak, aby vyžadoval , aby byl TLS vyjednán před výměnou pošty. To je pravda, ale citovat dokumentace Postfix :

Můžete vynucovat použití TLS, takže server SMTP Postfix oznamuje STARTTLS a nepřijímá žádnou poštu bez šifrování TLS nastavením "smtpd_tls_security_level = šifrování". Podle RFC 2487 NESMÍ být použit v případě veřejně odkazovaného serveru Postfix SMTP. Tato možnost je ve výchozím nastavení vypnutá a měla by být použita jen zřídka.

Nyní je svět plný implementací, které porušují RFC, ale takové věci - např. Něco, co může narušit rutinní požadované funkce, jako je přijímání poskoků a pošty pro postmistra - bude pravděpodobně mít negativní důsledky.

Lepším řešením, které poštovní brány často umožňují, je uložení požadavky TLS na základě zásady pro jednotlivé domény . Například je obvykle možné říci „Vyžadovat TLS s platným certifikátem podepsaným společností Entrust při rozhovoru s doménou example.com“. To se obvykle provádí mezi organizacemi, které jsou součástí stejné mateřské společnosti, ale mají jinou infrastrukturu (přemýšlejte: akvizice) nebo organizacemi s obchodním vztahem (přemýšlejte: ACME, Inc. a jejich externě podporovanou společností call centra). Výhodou je zajištění toho, aby se určité podsady pošty, které vás zajímají, šifrovaly, ale neporušuje otevřenou (ve výchozím nastavení akceptovanou od kohokoli) architektury e-mailů SMTP.

Dodatek ++

Google oznámil gmail bude informovat o bezpečnosti, pokud cesta pošty k čtenáři . Takže tyto kroky šifrování v zákulisí budou uživateli oznámeny o něco více.

(Pravděpodobně stále nezajímá původ certifikátu; pouze indikátor šifrování bitů).

53
gowenfawr

V řetězci musíte vzít v úvahu tři body: Transport mezi poštovními servery (např. Mezi Google a example.org), transport mezi poštovními servery a klienty a samotnými poštovními servery.

Provoz mezi poštovními servery může nebo nemusí být šifrován; neměli byste se na to spolehnout, a AFAIK, neexistuje způsob, jak jej vymáhat od klienta.

Komunikace mezi klienty a poštovními servery může nebo nemusí být šifrována; Pokud se připojíte přes SSL (prostřednictvím webového rozhraní nebo SMTP), váš konec řetězce je bezpečný, ale o příjemci nemůžete nic říci. A naopak, pokud jste příjemcem, můžete si poštu bezpečně přenést, ale pokud odesílatel (nebo kdokoli v CC/BCC) nedělá totéž, pak je tu váš únik.

A konečně, tam jsou samotné poštovní servery. Pokud do nich někdo pronikne nebo se do něj vniknou sociální inženýři a e-mailový server ukládá obsah nešifrovaný, máte opět štěstí.

TL; DR: Pokud neovládáte celý řetězec (jak klienti, tak všechny zúčastněné poštovní servery), což je prakticky nikdy případ, jediným způsobem odesílání e-mailů se spolehlivým zabezpečením je šifrování a dešifrování místně pomocí něco jako PGP.

11
tdammers

Zde jsou dvě různé otázky:

  1. Umožňuje e-mailový systém zasílání e-mailů prostřednictvím šifrovaného kanálu a odesílání e-mailů po šifrovaném kanálu, když to poštovní server příjemce podporuje.
  2. Šifruje e-mailový systém obsah poštovní schránky, když ji zobrazuje vlastníkovi.

gownfawr adresy (1) dobře.

Gmail neprovádí šifrování ve výchozím nastavení pro (2), takže při prohlížení pošty se ve výchozím nastavení používá protokol HTTPS, takže snooper nebude schopen sledovat gmail odesílání pošty do vašeho prohlížeče. Věřím, že ostatní ještě nesledovali apartmá. (Úplné zveřejnění, pracuji pro společnost Google).

Gmail je ve výchozím nastavení nastaven na „Vždy používat https“, ...

"Udělejte svůj webmail bezpečnější" obsahuje pokyny, jak zabránit řadě přečtených textů poštovní schránky pro řadu velkých poskytovatelů webmailu, ale nemohu ručit za to, že je aktuální.

10
Mike Samuel

Můžete se sami vyzkoušet pomocí webů uvedených v Testovat STARTTLS konfiguraci SMTP server . Nezapomeňte vyzkoušet přijímání i odesílání.

2
MrBrian