In che modo (in) secure è POP / IMAP / SMTP

Per rispondere alla tua domanda:

• Se stai utilizzando SSL / TLS per accedere alle tue e-mail, indipendentemente dal fatto che siano POP o IMAP, sarebbe molto difficile per chiunque decifrare il testo delle e-mail dall'analisi del traffico da solo . Detto questo, alcune grandi società, ad esempio uno studio legale con cui lavoravo, avevano un server che si trovava tra noi e Internet, estrapolando l'SSL, quindi la risposta è un sì qualificato nel dire che sei al sicuro.

• Anche se il messaggio è ancora presente sul server di posta elettronica dopo averlo acceduto, è possibile che il tuo provider di posta elettronica venga corrotto / costretto a consegnarlo. Ovviamente GPG risolve questo problema. Puoi anche chiedere al tuo provider di posta elettronica di eliminare i messaggi scaricati tramite POP anche se devi aver fiducia che sono entrambi in grado e disposti a eliminare i messaggi in modo sicuro.

• Con SSL, quando accedi utilizzando la tua password e-mail, la tua password non può essere facilmente letta intercettando il traffico tra il tuo computer e il server e-mail soggetto alla condizione di cui al punto 1.

• La tua comprensione di PGP è ampiamente corretta. Se ti viene inviato un messaggio codificato con la tua chiave pubblica, solo tu, il nostro interlocutore che ha infranto la tua chiave privata, può leggerlo. La chiave privata del mittente è irrilevante in quanto non può usarla per decodificare un messaggio pensato per te. Se la tua password di posta elettronica è stata inviata in testo normale hai comunque ragione nel ritenere che potrebbe essere intercettata e qualcuno potrebbe accedere alle tue e-mail o inviarle per tuo conto fingendo di essere te stesso. Se hai sempre utilizzato PGP per crittografare e firmare tutti i messaggi e altri hanno fatto lo stesso per te, questo proteggerebbe comunque il contenuto dei tuoi messaggi.

• Non riesco a immaginare perché un provider di posta elettronica non voglia offrire SSL oltre la pura e semplice pigrizia. Puoi anche ottenere certificati gratuiti in questi giorni! La maggior parte dei provider di posta web gratuiti offre SSL e.g Gmail, hai pensato di usarli?

Suppose I'm retrieving messages - my client app passes my username and password to the POP server, which authenticates me, and sends back the messages. If I'm not using SSL/TLS, then the entire conversation, including the message and credentials, is in plaintext.

Non necessariamente . SMTP, POP e IMAP possono supportare più meccanismi di autenticazione, alcuni dei quali sono crittografati (ad es. CRAM-MD5, GSSAPI). Vedi un buon elenco qui sotto Autenticazione non in testo semplice . In questo modo, le tue credenziali potrebbero essere sicure sul filo anche se la posta effettiva non lo è.

And if I am using SSL, then the entire conversation is safe, even over a public network. Do I have that right?

Sì, lo sai. Tuttavia, come è stato sottolineato nel thread che hai citato, la posta richiede molti hop. È possibile proteggere il client dal server dell'archivio, ma il percorso che la posta impiega dal client del mittente al proprio archivio di posta non è dimostrabile se non si utilizza un meccanismo di crittografia end-to-end.

Basically, I'm trying to understand why an email provider would refuse to offer SSL/TLS for POP/IMAP/SMTP connections

Perché sono economici, pigri e nessuno ha dovuto indossare gli elmetti in bici quando loro erano bambini.

I'd like to argue that while SSL may not be end-to-end message protection, it would at least protect my credentials and protect my message for a significant portion of its journey (me to SMTP server, and POP server to recipient assuming they're connecting with SSL).

Sì, specialmente se quelle credenziali sono probabilmente adatte a qualcos'altro, come la gestione del tuo account con quel fornitore.

Do I have everything straight with that?

In sostanza, sì.

Suggerirei, tuttavia, che stai sprecando tempo a discutere con il tuo fornitore. Se non desiderano fornire SSL, trova un altro provider. Probabilmente è l'unico voto che potresti esprimere che loro effettivamente ascolterebbero.

Questa domanda ha avuto una buona risposta. Tuttavia, vale la pena dare un'occhiata al recapito dal server SMTP in uscita del mittente al server MX in arrivo del destinatario. Questa consegna viene spesso eseguita utilizzando STARTTLS per crittografare la connessione SMTP. Con STARTTLS , la connessione inizia in testo normale, quindi la connessione viene aggiornata a una connessione SSL / TLS se entrambe le parti lo supportano. Tuttavia, ci sono problemi inerenti con SMTP e STARTTLS che rendono possibile per un attaccante attivo eseguire un attacco MITM. Vedi questo articolo per maggiori informazioni.

Come accennato in questa discussione, SSL protegge le e-mail che hai ricevuto solo mentre sei in transito tra il server pop e la tua macchina, così come quelle che hai inviato solo mentre sei in transito tra la tua macchina e lo smtp del server.

come dichiarato da Stryfe, una volta inviata l'email arriva sul server SMTP, non ci sono prove che il resto del transito sia sicuro fino al server POP del destinatario. Stessa cosa sul lato del destinatario, dove il percorso tra la macchina del destinatario e il server di posta elettronica non è sicuro; per esempio. considera il caso in cui il server pop / imap è in-house e un team può dare un'occhiata.

come per PGP menzionato un paio di volte; per averlo provato, PGP non è facile da configurare in azienda con gli utenti di Outlook, Thunderbird, Gmail e Smartphone. Esistono solide alternative come CryptoMailer ( link ), anche se questo è estremamente semplice da configurare e utilizzare.