it-swarm-id.com

Apa langkah yang dilakukan Gmail, Yahoo! Mail, dan Hotmail ambil untuk mencegah menguping pada email?

Saya ingin bertanya apa yang terjadi ketika email dikirim dari gmail, yahoo atau layanan email web publik hotmail?

Saya tidak memahami protokol email secara detail, tetapi sejauh yang saya tahu lalu lintas email tidak terenkripsi dan pesan-pesan diteruskan melalui banyak server email (dalam teks biasa) sebelum mencapai server tujuan mereka. Namun, ini dipertanyakan baru-baru ini oleh orang lain, dan pandangan mereka adalah bahwa jika salah satu penyedia besar digunakan, pesan email dienkripsi dan tidak perlu khawatir tentang keamanan.

Apakah Anda tahu jika mereka benar tentang hal ini dan apakah email itu cukup aman? Terima kasih!

34
luben

Sesi SMTP antara dua server mail boleh dienkripsi, tetapi hanya jika kedua ujungnya mendukungnya dan jika kedua ujungnya memilih untuk menggunakannya. Jadi jika Anda mengirim email dari Gmail ke example.net, maka Google hanya dapat mengenkripsi jika example.net siap dan mau. Karena alasan ini, Anda tidak dapat mempercayai email bahkan cukup aman di lapisan transportasi. (Satu-satunya metode ujung ke ujung yang aman adalah mengenkripsi email Anda menggunakan S/MIME atau PGP, tetapi orang-orang yang Anda ajak bertukar email juga harus ada di papan ... sama seperti server surat).

Mengenai apakah tiga besar ini melakukan STARTTLS oportunistik, saya belum melihat bukti tentang hal itu, tetapi saya menghabiskan lebih sedikit waktu membaca log server surat saya daripada sebelumnya. Dan jika mereka, mereka masih hanya setengah dari setiap koneksi SMTP yang mereka buat, dan tidak dapat menjamin penggunaan enkripsi.

Memperbarui:

Saya hanya memasang spanduk host MX yang diuji untuk gmail.com, yahoo.com, dan hotmail.com. Hanya gmail yang mengiklankan STARTTLS, artinya, hanya gmail yang mau mengenkripsi sesi SMTP jika pihak lain menginginkannya.

Saya menguji keluar gmail dengan mengirim email ke server yang saya miliki dan menonton kawat; Google memang memanfaatkan STARTTLS jika ditawarkan dan mengenkripsi transaksi SMTP ketika pengguna gmail mengirim surat. Alat peraga ke Google.

Sejauh enkripsi email "pengiriman": Google 1, Yahoo 0, Microsoft 0.


Sesuai komentar di bawah ini, jika Anda ingin mengujinya sendiri, sangat sederhana:

  1. Tentukan host MX (Mail eXchangers) untuk domain
  2. Telnet ke port 25 pada salah satunya
  3. Ketikkan "ehlo yourhostname.domain.com"
  4. Jika Anda tidak melihat "250-STARTTLS" sebagai salah satu respons, mereka tidak mendukung enkripsi oportunistik.

Seperti ini:

$ Host -t mx yahoo.com
yahoo.com mail is handled by 1 mta5.am0.yahoodns.net.
yahoo.com mail is handled by 1 mta7.am0.yahoodns.net.
yahoo.com mail is handled by 1 mta6.am0.yahoodns.net.
$ telnet mta5.am0.yahoodns.net 25
Trying 66.196.118.35...
Connected to mta5.am0.yahoodns.net.
Escape character is '^]'.
220 mta1315.mail.bf1.yahoo.com ESMTP YSmtpProxy service ready
ehlo myhost.linode.com
250-mta1315.mail.bf1.yahoo.com
250-8BITMIME
250-SIZE 41943040
250 PIPELINING
quit
221 mta1315.mail.bf1.yahoo.com
Connection closed by foreign Host.
$

Sebagai catatan, Yahoo akan menutup koneksi jika Anda tidak langsung melakukannya. Saya harus memotong & menempelkan ehlo saya karena mengetiknya terlalu lama.

PEMBARUAN LEBIH BANYAK:

Pada Januari 2014, Yahoo sekarang mengenkripsi - Saya baru saja menguji (seperti di atas) dan diverifikasi. Namun, Register dan Computerworld melaporkan bahwa intracacies pengaturan SSL (seperti Perfect Forward Secrecy) meninggalkan banyak yang harus diinginkan seperti yang diterapkan oleh Yahoo.

BAHKAN PEMBARUAN MORER:

Google sekarang memasukkan data enkripsi SMTP di bagian Transparansi Laporan Email Aman . Mereka membagikan data mereka tentang siapa lagi yang mau dienkripsi, dan Anda bisa melihat angka teratas serta kueri masing-masing domain.

Tambahan:

@ SlashNetwork menunjukkan bahwa adalah mungkin untuk mengkonfigurasi server mail ke memerlukan TLS dinegosiasikan sebelum bertukar email. Ini benar, tetapi mengutip Dokumentasi Postfix :

Anda dapat MENEGASKAN penggunaan TLS, sehingga server SMTP Postfix mengumumkan STARTTLS dan tidak menerima email tanpa enkripsi TLS, dengan mengatur "smtpd_tls_security_level = enkripsi </font> Menurut RFC 2487, ini TIDAK HARUS diterapkan untuk server SMTP Postfix yang dirujuk ke publik. Opsi ini tidak aktif secara default dan jarang digunakan.

Sekarang, dunia ini penuh dengan implementasi yang melanggar RFC, tetapi hal semacam ini - misalnya, sesuatu yang dapat merusak fungsionalitas yang disyaratkan rutin seperti menerima bouncing dan surat untuk kepala kantor pos - mungkin lebih mungkin memiliki konsekuensi negatif.

Solusi yang lebih baik yang gateway email sering izinkan adalah pengenaan persyaratan TLS berdasarkan kebijakan per-domain . Misalnya, biasanya memungkinkan untuk mengatakan "Memerlukan TLS dengan Sertifikat yang valid yang ditandatangani oleh Entrust ketika berbicara dengan example.com". Ini biasanya diterapkan antara organisasi yang merupakan bagian dari perusahaan induk yang sama tetapi memiliki infrastruktur yang berbeda (pikirkan: akuisisi) atau organisasi dengan hubungan bisnis (pikirkan: ACME, Inc., dan perusahaan call center outsourcing mereka). Ini memiliki keuntungan memastikan subset surat tertentu yang Anda pedulikan akan dienkripsi, tetapi tidak merusak arsitektur open (accept from anyone in default) email SMTP.

Tambahan ++

Google telah mengumumkan gmail akan menyebarkan informasi tentang keamanan jika jalur email ke pembaca . Jadi langkah-langkah enkripsi di balik layar ini akan dibawa ke pemberitahuan pengguna sedikit lagi.

(Mungkin masih tidak peduli dengan asal sertifikat; Hanya indikator enkripsi bit).

53
gowenfawr

Ada tiga poin dalam rantai yang perlu Anda pertimbangkan: Transportasi antara server surat (mis. Antara Google dan example.org), transportasi antara server surat dan klien, dan server surat itu sendiri.

Lalu lintas antara server surat mungkin atau mungkin tidak dienkripsi; Anda tidak harus bergantung padanya, dan AFAIK, tidak ada cara untuk menegakkannya dari klien.

Lalu lintas antara klien dan server surat mungkin dienkripsi atau tidak; jika Anda terhubung melalui SSL (baik melalui antarmuka web atau SMTP), akhir rantai Anda aman, tetapi Anda tidak bisa mengatakan apa-apa tentang penerima. Sebaliknya, jika Anda adalah penerima, Anda dapat mengambil surat dengan aman, tetapi jika pengirim (atau siapa pun di CC/BCC) tidak melakukan hal yang sama, maka ada kebocoran Anda.

Dan akhirnya, ada server surat sendiri. Jika seseorang meretas mereka, atau insinyur sosial masuk, dan server mail menyimpan konten yang tidak dienkripsi, maka sekali lagi Anda kurang beruntung.

TL; DR: Kecuali Anda mengontrol seluruh rantai (baik klien, dan semua server email yang terlibat), yang praktis tidak pernah terjadi, satu-satunya cara untuk mengirim email dengan keamanan yang dapat diandalkan adalah dengan mengenkripsi dan mendekripsi secara lokal, menggunakan sesuatu seperti PGP.

11
tdammers

Ada dua pertanyaan berbeda di sini:

  1. Apakah sistem email memungkinkan email untuk dikirim melalui saluran terenkripsi dan mengirim email di sepanjang saluran terenkripsi ketika server email penerima mendukungnya.
  2. Apakah sistem email mengenkripsi isi kotak surat saat menampilkannya kepada pemilik.

alamat gownfawr (1) dengan baik.

Gmail melakukan enkripsi melalui default untuk (2) jadi ketika melihat email Anda, secara default itu dilakukan melalui HTTPS, jadi pengintai tidak akan dapat mengamati gmail yang mengirim email ke browser Anda. Saya percaya yang lain belum mengikuti suite. (Pengungkapan penuh, saya bekerja untuk Google).

Gmail diatur untuk menggunakan pengaturan 'Selalu gunakan https' secara default, ...

"Jadikan Webmail Anda Lebih Aman" memiliki instruksi untuk menghindari pembacaan teks-biasa dari kotak surat untuk sejumlah penyedia email web yang besar, tetapi saya tidak dapat menjaminnya karena mutakhir.

10
Mike Samuel

Anda dapat menguji sendiri dengan menggunakan situs web yang disebutkan di ji konfigurasi STARTTLS server SMTP . Pastikan untuk menguji penerimaan dan pengiriman.

2
MrBrian