C'è un rischio di connessione al server di posta elettronica POP3 o SMTP senza connessione sicura?

Is there a risk to sending and receiving emails via without a secure SSL/TLS connection?

Il problema è equivalente all'utilizzo della tua webmail tramite semplice HTTP. Un aggressore man-in-the-middle potrebbe catturare le e-mail scambiate con il server e annusare le credenziali di accesso man mano che vengono inviate in testo normale.

Un simile attacco è possibile per qualcuno nella stessa rete Wi-Fi di te, del tuo compagno di stanza, del tuo datore di lavoro o del tuo ISP - è particolarmente facile per tutti coloro che elaborano il traffico tra te e il server, ma di solito non è fattibile per un attaccante remoto (come un amico che ti sta attaccando da casa).

Quindi, se lo fai nella tua rete domestica privata e non temi il tuo ISP che registra i tuoi dati ¹ , stai bene. In un Wifi pubblico, tuttavia, è un rischio serio, soprattutto perché i client di posta elettronica di solito contattano periodicamente il server in background senza la tua interazione. Quindi, al contrario di usare la tua webmail, non invierai la tua password solo una volta all'inizio, ma la trasmetteresti ogni 15 minuti per verificare la presenza di aggiornamenti.

(Si noti inoltre che è particolarmente facile per un utente malintenzionato estrarre automaticamente le credenziali POP3 / IMAP / SMTP dal traffico poiché la loro trasmissione fa parte del rispettivo protocollo. Per un modulo di login webmail, dovrebbero almeno cercare Traffico HTTP per trovare la richiesta in cui viene trasmessa la password.)

¹ Nel tuo caso, l'ISP è il provider di posta in modo che abbiano già accesso a tali informazioni.

pop.orangehome.co.uk

È in teoria il supporto per TLS esplicito in POP3 utilizzando il comando STLS (simile a STARTTLS in SMTP) ma questo server non supporta questo comando e quindi TLS non è possibile. Mentre l'ISP potrebbe obiettare che la connessione da casa a questo server è controllata dall'ISP e quindi è sicura, questo argomento non è valido quando si tenta di accedere ai propri messaggi da un hotspot pubblico o simile dove la crittografia mancante significa che tutti possono leggere la tua password e il contenuto della mail. E questo vale anche per chiunque abbia accesso alla tua rete a casa.

smtp.orangehome.co.uk

Questo server non è raggiungibile dall'esterno ma solo dall'interno della rete dell'ISP. Se l'ISP ha uno stretto controllo sulla rete, può obiettare che nessuno può annusare il contenuto e potrebbe avere ragione. Ma si spera che tu possa fidarti pienamente della tua rete domestica interna, dal momento che chiunque abbia accesso a questa rete può leggere qualsiasi mail che tu invii, poiché queste non sono crittografate. È interessante notare che il server non richiede autenticazione che potrebbe significare che l'ISP ti autentica tramite il tuo indirizzo IP interno.

EDIT: come indicato da @Jasen in un commento, c'è un modo per connettere questo host se non si è a casa usando la porta 587. Questo accesso richiede quindi l'autenticazione ma offre solo testo semplice e ancora nessuna crittografia. Quindi la sicurezza è paragonabile al caso POP3: qualcuno può annusare la tua password e leggere la tua posta.

In sintesi: questa non è la sicurezza che ci si dovrebbe aspettare da un importante ISP.

Mentre parli del tuo ISP, normalmente non c'è nulla tra il tuo host e la rete del tuo ISP. Quindi, ovviamente, nulla è crittografato, ma anche se hai usato SSL, sarebbe stato decrittografato prima di raggiungere l'applicazione server. Detto diversamente, a meno che tu non abbia una rete locale non affidabile che sarebbe strana per una connessione personale, la crittografia SSL non porterebbe ulteriore sicurezza. Utilizza i messaggi crittografati se non vuoi che il tuo provider di posta legga il tuo contenuto di posta, non SSL.

Ma il prossimo paragrafo nella pagina collegata è IMHO molto peggio. Perché dicono che quando si è connessi tramite un servizio esterno (ad esempio un hotspot WiFi pubblico) si utilizza la porta 587 (fine), autenticata con nome utente e password (ancora normali) e senza crittografia (glp ...). Detto diversamente se invii o leggi la posta al di fuori della tua casa stai inviando la tua password in chiaro su una rete sconosciuta che è chiaramente inaccettabile.

Puoi utilizzare EE come ISP se non ci sono altri problemi con loro, ma dovresti utilizzare un altro provider di posta se non supporta la crittografia quando sei connesso tramite una rete di terze parti.

Proprio come ha detto l'ananas, non appena esci dalla rete domestica con un telefono cellulare o un laptop, un PC desktop portato a una festa LAN, potresti essere attaccato. Un utente malintenzionato potrebbe non solo leggere i tuoi messaggi, ma anche modificarli, aggiungere contenuti dannosi agli allegati, utilizzare questo accesso per reimpostare le nostre password sui Webservice, cose più brutte ...

Inoltre, se usi una VPN per qualche motivo e il tuo intero traffico è tunneld, potresti aprire la tua comunicazione a chiunque sia tra te e l'ISP.

E, ultimo ma non meno importante, c'è un sacco di traffico malevolo in internet, cercando di rompere il router. Nel caso in cui abbia successo e cambi le voci DNS, avrai anche un problema.

Questo non è sicuro. Cosa potrebbe accadere? Diciamo che hai impostato quella posta sul tuo telefono e il tuo telefono controlla la presenza di nuovi messaggi ogni 15 minuti. Se si connette (il telefono) a una rete non protetta, come una rete pubblica Wi-Fi, chiunque potrebbe intercettare il traffico e-mail. Non è nemmeno necessario aprire il client e-mail sul telefono, in quanto invia automaticamente nome utente / password in chiaro per verificare la presenza di nuovi messaggi in background. Intercettare un traffico non crittografato e ottenere password in chiaro è abbastanza facile per un utente malintenzionato che deve semplicemente trovarsi sulla stessa rete e utilizzare uno strumento come ettercap.

IMO questo era abbastanza accettabile una decina di anni fa, quando la maggior parte delle persone usava desktop o laptop e li collegava a internet solo a casa / lavoro, il wifi stava appena iniziando a comparire e il wifi pubblico era inesistente. La tua rete domestica e il tuo ISP erano ragionevolmente affidabili e non dovresti inviare materiale super-segreto via email comunque.

L'ascesa del mobile computing ha cambiato radicalmente il modello di minaccia. Sempre più persone utilizzano dispositivi mobili e li collegano tramite reti pubbliche wi-fi insicure.

Sfortunatamente molti provider, incluso il sito di cui stiamo discutendo in questo momento, non hanno preso in considerazione questo e pensano ancora che sia corretto usare il semplice http per gli utenti autenticati.

Dipende dal modello di minaccia e dal tipo di connessione. Se si è collegati via cavo e non si utilizza il Wi-Fi su quel computer, si potrebbe essere relativamente OK. Beh, non so nulla per proteggere la linea di connessione con l'ISP, ma se non si presume che nessuna minaccia ci sia.

Una volta che utilizzi il Wi-Fi per alcune reti, la tua posizione peggiora notevolmente. Molte reti sono WPA2 PSK, alcune sono addirittura reti aperte. Una volta connesso a una rete non protetta (ad es. PSK debole o rete aperta **, un utente malintenzionato nelle vicinanze può annusare o modificare il tuo traffico (password ed e-mail) **. Inoltre, una volta attivato connessione automatica a tale rete, un utente malintenzionato può utilizzare strumenti come Pineapple per connettersi attraverso la propria rete, anche se si è su una rete sicura.Il Pineapple offrirebbe solo una rete denominata e protetta come quella non sicura. (Forse ha anche cercato di abbellirti dalla tua rete legittima. Non sono sicuro che Pineapple lo faccia, ma so che è possibile.)

Ciò può comportare:

• password rubata alla posta elettronica (le credenziali saranno probabilmente rispedite dopo una perdita di connessione, quindi appena dopo la connessione a una nuova rete)
• reimpostate le password ad altri servizi
• trapelato e-mail in uscita e in entrata
• ha modificato le e-mail in entrata / in uscita