it-swarm-tr.com

Gmail, Yahoo! E-posta ve Hotmail e-postada gizlice dinlemeyi engelliyor mu?

Gmail, yahoo veya hotmail genel web e-posta hizmetlerinden bir e-posta gönderildiğinde ne olacağını sormak isterim?

Ayrıntılı olarak e-posta protokollerini anlamıyorum, ancak bildiğim kadarıyla e-posta trafiği şifrelenmemiş ve mesajlar hedef sunucularına ulaşmadan önce birçok posta sunucusundan (düz metin olarak) geçiriliyor. Ancak, bu son zamanlarda diğer insanlar tarafından sorgulandı ve görüşlerine göre, büyük sağlayıcılardan biri kullanılırsa, e-posta mesajları şifrelenir ve güvenlik konusunda endişelenmenize gerek yoktur.

Bu konuda doğru olup olmadıklarını ve e-postaların orta derecede güvenli olup olmadığını biliyor musunuz? Teşekkür ederim!

34
luben

İki posta sunucusu arasındaki bir SMTP oturumu mayıs şifrelenebilir, ancak yalnızca if her iki taraf da destekliyor ve if her iki taraf da kullanmayı tercih ediyor. Dolayısıyla Gmail'den example.net'e posta gönderiyorsanız, Google yalnızca example.net hazır ve istekliyse şifreleyebilirdi. Bu nedenle, e-postaların taşıma katmanında orta derecede güvenli olmasına güvenemezsiniz. (Tek güvenli uçtan uca yöntem, e-postanızı S/MIME veya PGP kullanarak şifrelemektir, ancak e-posta alışverişi yaptığınız kişilerin de ... posta sunucuları gibi yerleşik olması gerekir).

Büyük üçünün fırsatçı STARTTLS yapıp yapmadığı konusunda, bununla ilgili bir kanıt görmedim, ancak posta sunucusu günlüklerimi okumak için eskisinden daha az zaman harcıyorum. Ve eğer öyleyse, hala yaptıkları her SMTP bağlantısının sadece yarısıdır ve şifreleme kullanımını garanti edemezler.

Güncelleme:

Sadece gmail.com, yahoo.com ve hotmail.com için MX ana bilgisayarlarını test ettim. Yalnızca gmail STARTTLS'i tanıtır; diğer bir deyişle, diğer taraf isterse SMTP oturumunu şifrelemek için yalnızca gmail kullanılabilir.

Sahip olduğum bir sunucuya posta göndererek ve kabloyu izleyerek gmail giden testini yaptım; Google, teklif edildiğinde gerçekten STARTTLS'den yararlanır ve bir gmail kullanıcısı posta gönderirken SMTP işlemini şifreler. Google'dan aksesuarlar.

"Gönderme" e-posta şifrelemesine gelince: Google 1, Yahoo 0, Microsoft 0.


Aşağıdaki yorumlara göre, bunları kendiniz test etmek istiyorsanız, çok basit:

  1. Alan adı için MX ana bilgisayarlarını (Mail eXchangers) belirleme
  2. Telnet bunlardan birinde 25 numaralı bağlantı noktasına
  3. "Ehlo yourhostname.domain.com" yazın
  4. Yanıtlardan biri olarak "250-STARTTLS" ifadesini görmüyorsanız, fırsatçı şifrelemeyi desteklemezler.

Bunun gibi:

$ Host -t mx yahoo.com
yahoo.com mail is handled by 1 mta5.am0.yahoodns.net.
yahoo.com mail is handled by 1 mta7.am0.yahoodns.net.
yahoo.com mail is handled by 1 mta6.am0.yahoodns.net.
$ telnet mta5.am0.yahoodns.net 25
Trying 66.196.118.35...
Connected to mta5.am0.yahoodns.net.
Escape character is '^]'.
220 mta1315.mail.bf1.yahoo.com ESMTP YSmtpProxy service ready
ehlo myhost.linode.com
250-mta1315.mail.bf1.yahoo.com
250-8BITMIME
250-SIZE 41943040
250 PIPELINING
quit
221 mta1315.mail.bf1.yahoo.com
Connection closed by foreign Host.
$

Bir yan not olarak, hemen ehlo yapmazsanız Yahoo bağlantıyı kapatacaktır. Ehlo'umu kesmek ve yapıştırmak zorunda kaldım çünkü içine yazmak çok uzun sürdü.

DAHA FAZLA GÜNCELLEME:

Ocak 2014 itibarıyla, Yahoo şimdi şifreliyor - yeni test ettim (yukarıdaki gibi) ve doğruladım. Bununla birlikte, hem Kayıt ve Computerworld SSL kurulumunun (Perfect Forward Secrecy gibi) yanlışlıklarının Yahoo tarafından uygulanmasını arzulanan çok şey bıraktığını bildiriyor.

DAHA FAZLA GÜNCELLEME GÜNCELLEME:

Google artık SMTP şifreleme verilerini Saydamlık Raporu Daha Güvenli E-posta bölümü adreslerine ekliyor. Başka kimin şifrelemek istediğine ilişkin verilerini paylaşıyorlar ve en iyi sayılara bakabileceğiniz gibi tek tek alanları da sorgulayabilirsiniz.

Ek:

@SlashNetwork, bir posta sunucusunu posta alışverişi yapmadan önce TLS ile görüşülmek üzere zorunl olarak yapılandırmanın mümkün olduğunu belirtiyor. Bu doğrudur, ancak Postfix belgeleri :

TLS kullanımını zorlayabilirsiniz, böylece Postfix SMTP sunucusu STARTTLS'yi duyurur ve "smtpd_tls_security_level = şifreleme" ayarlayarak TLS şifrelemesi olmadan posta kabul etmez. RFC 2487'ye göre, bu genel olarak başvurulan bir Postfix SMTP sunucusu durumunda uygulanmamalıdır * ZORUNLU *. Bu seçenek varsayılan olarak kapalıdır ve yalnızca nadiren kullanılmalıdır.

Şimdi, dünya RFC'leri ihlal eden uygulamalarla doludur, ancak bu tür bir şey - örneğin, posta müdürü için sıçrama ve posta kabul etmek gibi rutin gerekli işlevselliği bozabilecek bir şey - muhtemelen olumsuz sonuçlara yol açacaktır.

Posta ağ geçitlerinin sıklıkla izin verdiği daha iyi bir çözüm, alan adı başına politika temelinde TLS gereksinimleri verilmesidir. Örneğin, genellikle "example.com ile konuşurken Entrust tarafından imzalanmış geçerli bir Sertifikaya sahip TLS iste" demek mümkündür. Bu genellikle aynı ana şirketin parçası olan ancak farklı altyapıya sahip (düşün: edinimler) veya iş ilişkisi olan kuruluşlar (düşünün: ACME, Inc. ve dış kaynaklı destek çağrı merkezi şirketi) arasında uygulanır. Bunun avantajı, önem verdiğiniz belirli posta alt kümelerinin şifrelenmesini sağlama, ancak SMTP e-postasının açık (varsayılan olarak kimseden kabul et) mimarisini bozmamasıdır.

Ek ++

Google, gmail, okuyucunun posta yoluna gitmesi durumunda güvenlik hakkında bilgi vereceğini açıkladı . Böylece bu perde arkasındaki şifreleme adımları kullanıcının biraz daha farkına varacak.

(Muhtemelen hala sertifika provenansını umursamıyor; sadece bitlerin şifrelendiğinin bir göstergesi).

53
gowenfawr

Zincirde dikkate almanız gereken üç nokta vardır: Posta sunucuları arasında taşıma (ör. Google ile example.org arasında), posta sunucuları ve istemciler arasında taşıma ve posta sunucularının kendileri.

Posta sunucuları arasındaki trafik şifrelenebilir veya şifrelenmeyebilir; buna güvenmemelisiniz ve AFAIK, istemciden zorlamanın bir yolu yoktur.

İstemciler ve posta sunucuları arasındaki trafik şifrelenebilir veya şifrelenmeyebilir; SSL üzerinden bağlanırsanız (bir web arayüzü veya SMTP aracılığıyla), zincirin sonu güvenlidir, ancak alıcı hakkında hiçbir şey söyleyemezsiniz. Tersine, alıcı sizseniz, postayı güvenli bir şekilde alabilirsiniz, ancak gönderen (veya CC/BCC'deki herhangi biri) aynı şeyi yapmazsa, sızıntı var.

Ve son olarak, posta sunucularının kendileri de var. Birisi onlara girerse veya sosyal mühendisler içeri girerse ve posta sunucusu şifrelenmemiş içeriği depolarsa, yine şansınız kalmaz.

TL; DR: Tüm zinciri (hem istemciler hem de dahil olan tüm posta sunucuları) denetlemediğiniz sürece, bu kesinlikle böyle değildir, güvenilir güvenlikle e-posta göndermenin tek yolu, PGP gibi bir şey kullanarak yerel olarak şifrelemek ve şifresini çözmek.

11
tdammers

Burada iki farklı soru var:

  1. E-posta sistemi, e-postaların şifreli bir kanal üzerinden kendisine gönderilmesine ve alıcının posta sunucusu tarafından desteklendiğinde şifreli bir kanal üzerinden e-posta gönderilmesine izin veriyor mu?.
  2. E-posta sistemi, bir posta kutusunun sahibini görüntülerken içeriğini şifreliyor mu?.

gownfawr adresleri (1) iyi.

Gmail (2) için varsayılan olarak şifrelemektedir, bu nedenle postanızı görüntülerken varsayılan olarak HTTPS aracılığıyla yapılır, böylece bir snooper postaları tarayıcınıza gönderen gmail'i gözlemleyemez. Ben diğerleri henüz paketi takip inanmıyorum. (Tam açıklama, Google için çalışıyorum).

Gmail, varsayılan olarak 'Her zaman https' ayarını kullanacak şekilde ayarlanmıştır, ...

"Web postanızı Daha Güvenli Hale Getirin" , bir dizi büyük web posta sağlayıcısı için bir posta kutusunun düz metin okumasından kaçınmak için talimatlara sahiptir, ancak güncelliğini garanti edemem.

10
Mike Samuel

SMTP sunucusunun STARTTLS yapılandırmasını test et adresinde belirtilen web sitelerini kullanarak kendiniz test edebilirsiniz. Hem alma hem de gönderme işlemini test ettiğinizden emin olun.

2
MrBrian