-1

Я пишу приложение, которое должно отправлять зашифрованное письмо получателям. Государственное агентство, в котором я работаю, недавно установило функцию исходящей электронной почты. Если в теме появится # secure #, то электронное письмо будет отправлено через TLS.

Я провел утро, читая об этом. То, что я нашел, говорит, что TLS применяется между серверами, но не между клиентом и сервером. Например, если я отправляю сообщение электронной почты, и оно помечается как TLS, мой SMTP-сервер не будет отправлять сообщение на сервер назначения, пока этот сервер не примет подключение TLS. Это хорошо. Но как насчет клиента, который подключается к серверу назначения, чтобы загрузить электронную почту или читать онлайн?

Я не читаю никакого принуждения для этого. Пока я не смогу найти такое, я не смогу воспользоваться функцией электронной почты, установленной моим государственным агентством, и мне нужно будет зашифровать с помощью вложенных zip-файлов. Есть ли такое принуждение?

|источник

3 ответа3

2

"Зашифрованная электронная почта" обычно относится к сквозному шифрованию самого сообщения с использованием чего-то вроде S/MIME или PGP. Это гарантирует, что сообщение может быть прочитано только получателем, а не любым SMTP-сервером, участвующим в его доставке. (Однако это означает, что получатель отвечает за его дешифрование, а для шифрования сообщения необходимо иметь что-то вроде сертификата PKI, ключа или пароля PGP, соответствующего предполагаемому получателю.)

TLS, напротив, защищает только TCP-соединение от стороннего перехвата; он не скрывает данные от компьютеров на каждом конце соединения. Как только SMTP-сервер вашего работодателя доставляет сообщение на удаленный SMTP-сервер - даже с использованием TLS - этот удаленный сервер может делать с сообщением все, что ему нужно: он может переслать его куда-то еще без TLS, или отправить копию в государственное учреждение, или опубликуйте его в Интернете или даже измените содержимое сообщения перед его доставкой получателю. Каждый SMTP-сервер должен доверять другим SMTP-серверам, чтобы поступать правильно.

TLS защищает отдельное соединение между двумя компьютерами. Сквозное шифрование (т. Е. S/MIME или PGP или отправка ZIP-файлов, защищенных паролем) защищает весь путь связи между отправителем сообщения и получателем сообщения. Похоже, что первый - это то, что предоставляет SMTP-сервер вашего работодателя (потому что это лучшее, что он может сделать, будучи просто посредником, а не конечной точкой), но последний - то, что вы действительно хотите.

|источник
1

Вы не можете установить, как SMTP-сообщение обрабатывается за пределами ваших собственных серверов. Все, что находится за пределами вашей компетенции, не входит в вашу ответственность, и я предполагаю, что ваше государственное агентство понимает это Я подозреваю, что это требование CYA, и им наплевать, что происходит с сообщением после того, как оно покинуло ваши серверы.

|источник
1

Там нет ничего, что я знаю. На самом деле даже нет гарантии, что почтовый сервер получателя даже поддерживает SSL или TLS. Насколько я знаю, большинство служб, которые отправляют зашифрованную электронную почту, используют стороннюю службу зашифрованной почты. Например, компании, предоставляющие кредитные карты, и банки обычно предлагают вам войти в свою учетную запись и использовать встроенный почтовый сервис. Если они захотят связаться с вами, они отправят вам электронное письмо с текстом, в котором вам будет предложено войти в свою учетную запись и проверить защищенное сообщение. Еще один способ сделать это - зашифровать сообщение с помощью такой программы, как OpenPGP, перед его отправкой. Получатели должны были бы затем расшифровать сообщение, используя то же самое. Конечно, это довольно громоздко и громоздко. http://www.pcworld.com/article/2472771/how-to-use-openpgp-to-encrypt-your-email-messages-and-files-in-the-cloud.html

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .