Передает ли Mac Mail обычный текстовый пароль во время установки новой учетной записи, когда почта подключается к серверу?

Question

Похоже, что всякий раз, когда вы настраиваете новую почтовую учетную запись на Mac Mail (или на iPhone и т.д.), Как только вы вводите сервер и пароль почтовой учетной записи, Mac Mail пытается подключиться к почтовому серверу. Однако это соединение происходит до того, как вы можете установить опцию SSL. Таким образом, похоже, что первоначальное соединение передает пароль учетной записи почты в виде простого текста.

Мне кажется, что все устройства Apple (т.е. iPhone, iPad, Mac Computers) используют в основном один и тот же процесс и, по-видимому, устанавливают первоначальное соединение с почтовым сервером без использования SSL.

Это похоже на очень небезопасную конфигурацию. Если это происходит, то это довольно серьезный недостаток безопасности. Это будет означать, что пользователи почтовых приложений Mac могут легко получить свои почтовые пароли, прочитанные их интернет-провайдерами или кем-либо еще (???) который имел доступ к линии во время этой фазы установки.

Помимо использования продуктов Apple, есть способ обойти это, но я думаю, что 99,9% людей не поймут, что это происходит. В OS X вы можете выбрать другое почтовое приложение, но я не думаю, что это вариант для iPhone, iPad и т.д. Поэтому, возможно, это может означать, что сотни миллионов людей, использующих почту в продуктах Apple, передали свои почтовые пароли в виде обычного текст в какой-то момент.

Кто-нибудь управляет Wire Shark или что-то подобное может доказать, что это происходит?

Answer 1

IMAP (Internet Access Access Protocol), скорее всего, соединение, которое вы используете. IMAP является асинхронным протоколом и обеспечивает некоторую связь перед аутентификацией, например CAPABILITY, которая запрашивает сервер, какие протоколы и методы аутентификации поддерживает сервер; NOOP, который используется для предотвращения таймаутов; и ВЫХОД, который завершает сеанс.

Протокол IMAP аутентифицирует пользователей, используя обмен простой аутентификацией и уровнем безопасности (SASL) . Этот процесс начинается с команды STARTTLS, которая инициирует соединение TLS , которое является протоколом шифрования.

Как только соединение TLS установлено, ваш пароль может быть передан с помощью команды SASL PLAIN (которая является открытым текстом), но команда PLAIN поддерживается только современными почтовыми службами после того, как команда STARTTLS установит зашифрованное соединение. SASL поддерживает дополнительную безопасность, такую как DIGEST-MD5.

Тем не менее, сервер IMAP может принять вход в систему PLAIN до установления соединения TLS, но это не будет недостатком безопасности приложений Mail для OS X/iOS.

Поэтому ваш пароль никогда не должен отправляться в открытом виде приложением Mail для iOS / OS X на серверы IMAP, которые должным образом используют STARTTLS

POP3 - это еще одна история, и некоторые старые интернет-провайдеры могут действительно аутентифицироваться, используя обмен открытым текстом. Но опять-таки, это не ошибка Mail for OS X / iOS, просто реальность того, что некоторые незашифрованные протоколы все еще широко используются.

Дополнительное чтение:

TechNet Как это работает: IMAP 4