15

Странно сложно выяснить, как именно SSL работает с электронной почтой, по крайней мере, если я отвечу на мой конкретный вопрос - когда я подключаюсь к gmail с использованием SSL, я понимаю, что мое соединение защищено, и поэтому все данные зашифрованы между МОИМ КОМПЬЮТЕРОМ и GMAIL SERVER. , Однако это все, что делает SSL? Например, когда я открываю электронную почту на моем компьютере, данные между Mountain View (или чем-то еще) и моим домом зашифрованы? Значит ли это, что если я отправлю электронное письмо своему другу, который также использует gmail с включенным SSL/ защищенным gmail, то если я отправлю электронное письмо также с вложением в его учетную запись gmail, то электронное письмо, а также вложение будут зашифрованы на моем компьютере и отправлены в GMail. сервер, а затем, при условии, что мой друг использует SSL, тогда он может также защитить электронную почту? Таким образом, нет необходимости в этих аддонах шифрования Firefox? Это только для более надежных алгоритмов шифрования?

Итак, в заключение, вот то, что я думаю, что я узнал (и предоставляет резюме для других читающих). Пожалуйста, исправьте меня, если я ошибаюсь:

  1. Gmail отправляет электронные письма на серверы Google с HTTP. Gmail также получает электронную почту с серверов Google с HTTP. когда вы подключаетесь к серверам Google по протоколу https (в отличие от http), соединение между вашим клиентом Gmail и серверами Gmail является безопасным, а данные шифруются между ними.

  2. при использовании клиента (например, Thunderbird) SMTP используется для отправки электронных писем, а IMAP/POP - для получения электронных писем. На уровне надстройки / параметров вы можете указать этим клиентам использовать TLC для шагов SMTP и IMAP/POP.

  3. Серверы Google, вероятно, не используют TLS с SMTP при пересылке писем между своими серверами.

  4. Вывод - если вы используете gmail, всегда используйте HTTPS, но знайте, что между серверами Google нет шифрования, но во «внешнем мире» соединение между клиентами Google (при условии использования https) является безопасным. если вы используете Thunderbird (или что-то еще), включите TLS.

Это правильно?

3 ответа3

14

Когда вы доверяете сертификату с сайта, зашифрованного с помощью SSL, вы можете:

  • Поверьте, что соединение с этим веб-сервером зашифровано.
  • Поверьте, что идентификационные данные этого веб-сервера верны (т.е. это не фишинг-мошенничество).
  • Поверьте, что кто-то не перехватывает ваш трафик на веб-сервере (человек посередине).

(здесь важно, конечно, то, что вы доверяете сертификату, представленному почтовым сервером Google, что вам обычно и нужно :-))

Данные, которые вы отправляете в форме при составлении электронного письма, будут зашифрованы по протоколу HTTPS, поскольку они передаются из браузера клиента на сервер Gmail, который передает их на сервер SMTP. Когда вы отображаете почту в браузере с сервера, это также зашифровано.

Однако SMTP не шифрует почту. Существуют способы использовать TLS (безопасность транспортного уровня) поверх IMAP и POP для шифрования данных аутентификации от пользователя / клиента к серверу. Когда вы соединяетесь через IMAP / POP с TLS, данные, которые вы получаете при получении почты, шифруются с сервера для вас. IMAP и POP являются только протоколами поиска. Когда вы используете внешний клиент, такой как Thunderbird, для отправки почты, он будет проходить через SMTP-сервер. Это также может быть зашифровано с использованием SASL / TLS с SMTP, но опять-таки это только от вашего клиента к серверу, а не от сервера до конечного пункта назначения.

Если вы хотите отправлять и получать зашифрованные сообщения электронной почты от начала до конца, независимо от того, где они находятся в сети, вам нужно найти решение, подобное PGP/GPG. Для получения дополнительной информации об этом см. Вопрос, который я задал. Веб-интерфейс Gmail не поддерживает использование PGP/GPG, поэтому вам необходимо настроить его с помощью внешнего почтового клиента, такого как Thunderbird, Mail.app или Outlook (или других).

Что касается электронной почты, которую вы отправляете из своей учетной записи Gmail в учетную запись друга Gmail, она отправляется внутри внутренней почтовой инфраструктуры Google. Это может иметь один или несколько переходов между серверами, но обычно остается в их частной (10.xxx) сети. Вы можете убедиться в этом, посмотрев заголовки письма, отправленного вашим другом. Находясь в сообщении электронной почты на веб-сайте Gmail, нажмите кнопку раскрывающегося списка рядом с надписью "Ответить" и нажмите "Показать оригинал". Вы ищете строки, которые начинаются с "Received:", например:

Received: by 10.215.12.12 with SMTP id p12cs100615qai;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.100.20 with SMTP id x20mr2195513agb.12.1232319857088;
        Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.68.11 with HTTP; Sun, 18 Jan 2009 15:04:17 -0800 (PST)

Это сообщение Gmail для Gmail, которое я имею. Первое (последнее) сообщение здесь указывает, что почтовый сервер 10.90.68.11 получил рассматриваемое сообщение от HTTP-соединения (webui). Затем почта отправлялась через SMTP до 10.90.100.20, затем через SMTP до 10.215.12.12, где она мне доставлялась.

Опять же, хотя это все внутреннее для сети Google, SMTP не следует рассматривать как безопасный протокол для отправки конфиденциальной информации. Любой, кто имеет доступ к системам в цепочке выше, потенциально может прочитать сообщение. Также обратите внимание, что Google Apps могут проходить через систему шлюзов в своей сети, которая имеет внешний адрес (однако, все еще принадлежит Google).

8

Ваши данные не защищены.

Люди всегда беспокоятся о данных в пути, но основной факт заключается в том, что хранение данных является основной точкой, где происходят атаки. EG Кредитные карты обычно крадут из файлов и баз данных номеров, а не из транспорта номеров.

Google хранит ваши данные. Хранилище не зашифровано. Люди в Google или те, кто скомпрометировал Google, могут однажды прочитать его, если они на самом деле хотят. Получатель почты может также прочитать его, и владелец почтового сервера получателя (интернет-провайдер или компания) также может. Если получатель использует обычный почтовый клиент, он хранится на его / ее компьютере. Это место, куда могут попасть любые шпионские программы или руткиты, которые установил получатель.

В пути Джимберман прав. Ваш браузер общается с Google, если вы доверяете тому, что устройством, отправившим вам сертификат, является Google, и что Verisign или кто-либо еще является надежной компанией, которая сообщает вам, что Google действительно отправил вам сертификат Google. Пока браузер общается с Google с помощью сертификата через https, передача зашифрована. Это хорошо, потому что это означает, что все другие компьютеры в вашей сети с возможными шпионскими программами или любопытными пользователями, а также сетевой администратор не могут прочитать, сколько вы жалуетесь на них каждый день.

Вы также должны доверять своему браузеру и всем его плагинам. Они могут просто прочитать, что находится в формах, прежде чем вы даже отправили это. Как правило, вы можете доверять этому, но не тем любопытным панелям инструментов, которые все просят вас установить вместе со всеми этими бесплатными программами, которые вы загружаете.

Но в целом, скажем, вы отправили кому-то электронное письмо, в котором содержались ваш налоговый идентификатор, дата рождения, текущий адрес и юридическое имя, что, возможно, нужно знать работодателю, вы можете подумать об этом как о конфиденциальной информации. Хорошо, что электронная почта хранится навсегда Google в области отправленной почты. Даже после того, как вы удалите его. И получатель собирается сохранить копию в своем почтовом ящике. Почтовый сервер получателя может хранить копию. Почтовый сервер домена почтового сервера получателя может хранить копию, но ненадолго. И еще ряд серверов между ними. ТАКЖЕ smtp отправляет почту между этими довольно незашифрованными, но что более страшно, что вредоносная программа какого-то преступника может прослушивать нужную сеть в нужное время, чтобы перехватить данные в пути, или что вредоносная программа другого преступника может однажды быть установлена на любом из машин, которые теперь содержат копию, найти эту копию, а затем отправить данные в преступную организацию?

3

SSL-шифрование GMAIL защищает только ваши данные в пути. Таким образом, в вашем примере вашего сообщения электронной почты, отправляемого от вас в Gmail, а затем из Gmail в адрес вашего друга, все передачи будут зашифрованы, однако данные покоятся на серверах Gmail (копия отправленных элементов и скопируйте в папку «Входящие» ваших друзей) все это будет читабельная информация. Если вы доверяете Google, чтобы сохранить ваши данные в безопасности, то все в порядке.

О каких надстройках Firefox вы думаете?

jtimberman прав, что вам понадобится сторонняя программа, такая как pgp/gpg, для шифрования ваших почтовых сообщений, чтобы Google не мог их прочитать.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .