Sto facendo alcune supposizioni sulla sicurezza della posta elettronica di base e voglio confermare o chiarire alcuni di questi punti per assicurarmi di capire il quadro generale. Per favore correggimi dove mi sbaglio:
La risposta a questa domanda fornisce alcune informazioni, ma non copre tutto ciò che sto cercando.
Questo è tutto presupponendo un servizio di posta tradizionale, accessibile tramite un client desktop o mobile, su POP o IMAP e SMTP (ignorando la webmail).
Supponiamo che sto recuperando messaggi - la mia app client passa il mio nome utente e la password al server POP, che mi autentica e restituisce i messaggi. Se non sto utilizzando SSL / TLS, l'intera conversazione, inclusi il messaggio e le credenziali, è in chiaro. E chiunque guardi il traffico di rete può intercettare l'intera faccenda. E se sto usando SSL, allora l'intera conversazione è sicura, anche su una rete pubblica. Ho ragione?
La mia comprensione è che i messaggi tradizionali non sono sicuri quando il mio server parla al server di qualcun altro - quindi il messaggio stesso è probabilmente vulnerabile mentre è in transito tra i server, ma almeno con SSL la mia password di posta elettronica sarebbe al sicuro.
Se capisco, PGP o simili significherebbe che il messaggio stesso è crittografato, in modo che fino a quando le mie e le chiavi private del destinatario siano al sicuro, nessun altro potrebbe leggere il messaggio. Ma questo è solo il messaggio, giusto? Non la connessione IMAP / SMTP / POP? Se avessi usato PGP per il messaggio, ma una connessione non SSL a SMTP, avrei comunque inviato username e password in chiaro per autenticarti.
Fondamentalmente, sto cercando di capire perché un provider di posta elettronica rifiuterebbe di offrire SSL / TLS per connessioni POP / IMAP / SMTP - un particolare provider dice che non lo fanno perché l'email è intrinsecamente insicura comunque, quindi SSL non lo fa In realtà fanno qualsiasi cosa per proteggerti, e suggeriscono a PGP l'email veramente sicura. Mi piacerebbe sostenere che mentre SSL potrebbe non essere la protezione dei messaggi end-to-end, almeno proteggerebbe le mie credenziali e proteggere il mio messaggio per una parte significativa del suo viaggio (me al server SMTP e server POP al destinatario assumendo si stanno connettendo con SSL).
Ho tutto chiaro?