it-swarm-eu.dev

Welche Schritte machen Google Mail, Yahoo! Mail und Hotmail nehmen, um das Abhören von E-Mails zu verhindern?

Ich möchte fragen, was passiert, wenn eine E-Mail von öffentlichen Web-E-Mail-Diensten von Google Mail, Yahoo oder Hotmail gesendet wird.

Ich verstehe E-Mail-Protokolle nicht im Detail, aber meines Wissens ist der E-Mail-Verkehr unverschlüsselt und die Nachrichten werden an viele Mailserver (im Klartext) weitergeleitet, bevor sie ihren Zielserver erreichen. Dies wurde jedoch kürzlich von anderen Personen in Frage gestellt, und sie waren der Ansicht, dass bei Verwendung eines der großen Anbieter die E-Mail-Nachrichten verschlüsselt werden und kein Grund zur Sorge besteht.

Wissen Sie, ob sie damit Recht haben und ob E-Mails mäßig sicher sind? Vielen Dank!

34
luben

Eine SMTP-Sitzung zwischen zwei Mailservern darf verschlüsselt werden, aber nur , wenn beide Enden dies unterstützen und wenn beide Enden es verwenden möchten. Wenn Sie also E-Mails von Google Mail an example.net senden, kann Google nur verschlüsseln, wenn example.net bereit und bereit ist. Aus diesem Grund können Sie nicht darauf vertrauen, dass E-Mails auf der Transportebene auch nur mäßig sicher sind. (Die einzig sichere End-to-End-Methode besteht darin, Ihre E-Mails mit S/MIME oder PGP zu verschlüsseln, aber die Personen, mit denen Sie E-Mails austauschen, müssen ebenfalls an Bord sein ... genau wie die Mailserver).

Ich habe keine Beweise dafür gesehen, ob die großen Drei opportunistische STARTTLS durchführen, aber ich verbringe weniger Zeit damit, meine Mailserver-Protokolle zu lesen als früher. Und wenn ja, sind sie immer noch nur die Hälfte jeder SMTP-Verbindung, die sie herstellen, und können die Verwendung von Verschlüsselung nicht garantieren.

Aktualisieren:

Ich habe gerade MX-Hosts für gmail.com, yahoo.com und hotmail.com als Banner getestet. Nur Google Mail wirbt für STARTTLS, dh nur Google Mail wäre bereit, die SMTP-Sitzung zu verschlüsseln, wenn die andere Partei dies wünschte.

Ich habe Google Mail Outbound getestet, indem ich E-Mails an einen Server gesendet habe, den ich besitze, und die Leitung überwacht habe. Google nutzt STARTTLS tatsächlich, wenn es angeboten wird, und verschlüsselt die SMTP-Transaktion, wenn ein Google Mail-Nutzer E-Mails sendet. Requisiten an Google.

Was das "Senden" von E-Mail-Verschlüsselung betrifft: Google 1, Yahoo 0, Microsoft 0.


Gemäß den Kommentaren unten ist es sehr einfach, wenn Sie diese selbst testen möchten:

  1. Bestimmen Sie die MX-Hosts (Mail eXchangers) für die Domäne
  2. Telnet zu Port 25 auf einem von ihnen
  3. Geben Sie "ehlo yourhostname.domain.com" ein.
  4. Wenn Sie "250-STARTTLS" nicht als eine der Antworten sehen, unterstützen sie keine opportunistische Verschlüsselung.

So was:

$ Host -t mx yahoo.com
yahoo.com mail is handled by 1 mta5.am0.yahoodns.net.
yahoo.com mail is handled by 1 mta7.am0.yahoodns.net.
yahoo.com mail is handled by 1 mta6.am0.yahoodns.net.
$ telnet mta5.am0.yahoodns.net 25
Trying 66.196.118.35...
Connected to mta5.am0.yahoodns.net.
Escape character is '^]'.
220 mta1315.mail.bf1.yahoo.com ESMTP YSmtpProxy service ready
ehlo myhost.linode.com
250-mta1315.mail.bf1.yahoo.com
250-8BITMIME
250-SIZE 41943040
250 PIPELINING
quit
221 mta1315.mail.bf1.yahoo.com
Connection closed by foreign Host.
$

Als Randnotiz wird Yahoo die Verbindung schließen, wenn Sie nicht sofort ehlo. Ich musste mein Ehlo ausschneiden und einfügen, weil das Eintippen zu lange dauerte.

MEHR UPDATE:

Seit Januar 2014 verschlüsselt Yahoo jetzt - ich habe es gerade getestet (wie oben) und verifiziert. Sowohl The Register als auch Computerworld berichten jedoch, dass die Intracacies des SSL-Setups (wie Perfect Forward Secrecy) viel zu tun haben erwünscht sein, wie von Yahoo implementiert.

NOCH MEHR UPDATE:

Google nimmt jetzt SMTP-Verschlüsselungsdaten in den Abschnitt Transparency Report Safer Email auf. Sie teilen ihre Daten darüber mit, wer sonst noch zur Verschlüsselung bereit ist, und Sie können sich die Top-Nummern ansehen und einzelne Domains abfragen.

Nachtrag:

@SlashNetwork weist darauf hin, dass es möglich ist, einen Mailserver so zu konfigurieren, dass TLS ausgehandelt werden muss, bevor E-Mails ausgetauscht werden. Dies ist wahr, aber um die Postfix-Dokumentation zu zitieren:

Sie können die Verwendung von TLS erzwingen, sodass der Postfix SMTP-Server STARTTLS ankündigt und keine E-Mails ohne TLS-Verschlüsselung akzeptiert, indem Sie "smtpd_tls_security_level = encrypt" festlegen. Gemäß RFC 2487 darf dies bei einem öffentlich referenzierten Postfix SMTP-Server NICHT angewendet werden. Diese Option ist standardmäßig deaktiviert und sollte nur selten verwendet werden.

Jetzt ist die Welt voll von Implementierungen, die gegen die RFCs verstoßen, aber diese Art von Dingen - z. B. etwas, das die routinemäßig erforderlichen Funktionen wie das Akzeptieren von Bounces und Mail für den Postmaster unterbrechen kann - hat wahrscheinlich eher negative Konsequenzen.

Eine bessere Lösung, die Mail-Gateways häufig zulassen, ist das Auferlegen von TLS-Anforderungen auf Richtlinienbasis pro Domain . Beispielsweise kann normalerweise gesagt werden, dass "TLS mit einem gültigen Zertifikat erforderlich ist, das von Entrust signiert ist, wenn Sie mit example.com sprechen". Dies wird normalerweise zwischen Organisationen implementiert, die Teil derselben Muttergesellschaft sind, aber über eine andere Infrastruktur (denken Sie an Akquisitionen) oder Organisationen mit einer Geschäftsbeziehung (denken Sie an ACME, Inc. und deren ausgelagertes Support-Callcenter-Unternehmen). Dies hat den Vorteil, dass sichergestellt wird, dass bestimmte Teilmengen von E-Mails, die Ihnen wichtig sind, verschlüsselt werden, ohne jedoch die offene (standardmäßig von niemandem akzeptierte) Architektur von SMTP-E-Mails zu beschädigen.

Nachtrag ++

Google hat angekündigt, dass Google Mail Informationen über die Sicherheit versickert, wenn der E-Mail-Pfad zum Leser führt. Diese Verschlüsselungsschritte hinter den Kulissen werden dem Benutzer also ein wenig mehr zur Kenntnis gebracht.

(Die Herkunft des Zertifikats ist wahrscheinlich immer noch egal; nur ein Indikator für die Verschlüsselung von Bits).

53
gowenfawr

Es gibt drei Punkte in der Kette, die Sie berücksichtigen müssen: Transport zwischen Mailservern (z. B. zwischen Google und example.org), Transport zwischen Mailservern und Clients und den Mailservern selbst.

Der Datenverkehr zwischen Mailservern kann verschlüsselt sein oder nicht. Sie sollten sich nicht darauf verlassen, und AFAIK, es gibt keine Möglichkeit, dies vom Client durchzusetzen.

Der Datenverkehr zwischen Clients und Mailservern kann verschlüsselt sein oder nicht. Wenn Sie eine Verbindung über SSL herstellen (entweder über eine Webschnittstelle oder über SMTP), ist Ihr Kettenende sicher, aber Sie können nichts über den Empfänger sagen. Umgekehrt, wenn Sie der Empfänger sind, können Sie E-Mails sicher abrufen, aber wenn der Absender (oder jemand im CC/BCC) nicht dasselbe tut, liegt Ihr Leck vor.

Und schließlich gibt es die Mailserver selbst. Wenn sich jemand in sie einhackt oder sich Sozialingenieure einmischen und der Mailserver Inhalte unverschlüsselt speichert, haben Sie erneut Pech.

TL; DR: Sofern Sie nicht die gesamte Kette (beide Clients und alle beteiligten Mailserver) kontrollieren, was praktisch nie der Fall ist, besteht die einzige Möglichkeit, E-Mails mit zuverlässiger Sicherheit zu senden, darin, lokal mit etwas wie PGP zu verschlüsseln und zu entschlüsseln.

11
tdammers

Hier gibt es zwei verschiedene Fragen:

  1. Ermöglicht das E-Mail-System das Senden von E-Mails über einen verschlüsselten Kanal und das Senden von E-Mails über einen verschlüsselten Kanal, wenn der Mailserver des Empfängers dies unterstützt?.
  2. Verschlüsselt das E-Mail-System den Inhalt eines Postfachs, wenn es dem Eigentümer angezeigt wird?.

gownfawr Adressen (1) gut.

Google Mail verschlüsselt standardmäßig für (2). Wenn Sie Ihre E-Mails anzeigen, erfolgt dies standardmäßig über HTTPS, sodass ein Snooper nicht beobachten kann, wie Google Mail die E-Mails an Ihren Browser sendet. Ich glaube, die anderen sind Suite noch nicht gefolgt. (Vollständige Offenlegung, ich arbeite für Google).

Google Mail verwendet standardmäßig die Einstellung "Immer https verwenden".

"Machen Sie Ihr Webmail sicherer" enthält Anweisungen zum Vermeiden von Klartextlesungen eines Postfachs für eine Reihe großer Webmail-Anbieter, aber ich kann nicht dafür bürgen, dass es aktuell ist.

10
Mike Samuel

Sie können dies selbst testen, indem Sie die unter Test STARTTLS-Konfiguration des SMTP-Servers genannten Websites verwenden. Testen Sie sowohl das Empfangen als auch das Senden.

2
MrBrian