Se sei preoccupato per la sicurezza della tua e-mail, l'unico modo per avere una ragionevole sicurezza è gestire da soli la crittografia, usando qualcosa come PGP / GPG. Alcuni punti da notare
-
Quando si utilizza un client Web, https crittografa solo la comunicazione al servizio di posta che si sta utilizzando. Non fornisce alcuna garanzia in merito al livello di crittografia che si verifica durante il processo di trasporto del messaggio che si verifica tra i server
-
Alcuni server SMTP supportano TLS ecc. se viene richiesto di utilizzarlo. Tuttavia, non c'è nulla nelle specifiche del protocollo SMTP che richiede loro di farlo. Molti server SMTP non lo forniscono.
-
Non hai alcuna garanzia per quanto riguarda i server di posta che un messaggio sarà trasmesso. Molte persone pensano che quando si invia un messaggio dal server a al server b che il messaggio venga sempre passato come una connessione diretta tra questi due server. Questo non è necessariamente vero. Il protocollo SMTP è stato progettato in un momento in cui le reti e gli utenti erano molto meno affidabili di quanto non lo siano ora e quando molti luoghi non avevano connessioni dirette alla rete principale. Per abilitare il recapito affidabile della posta, il protocollo supporta l'inoltro della posta. In termini semplicistici, il server di posta mittente può dire "Ehi, ho un messaggio per Gmail, ma non riesco a sollevarlo e devo andare ad aggiornare il mio kernel, qualcuno può farmi passare questo messaggio per me quando ritorna? Lo farei, ma devo aggiornare il mio kernel e non ci sarà da un po '". Un altro server, probabilmente sconosciuto in precedenza, potrebbe rispondere dicendo "Hey sicuro, sono un host MX per il dominio del destinatario, posso inoltrare il messaggio per te".
Sebbene tutto ciò significhi che l'e-mail è solitamente abbastanza robusta, nel senso che la posta inviata a un indirizzo legittimo viene solitamente recapitata con successo o rimbalzata e raramente svanisce, crea alcuni punti deboli nel protocollo che espone il sistema a un numero di exploit, come lo spoofing del DNS. Anche se ignori l'aspetto del trasporto della posta elettronica, c'è anche il problema che i messaggi vengono regolarmente salvati sui server non crittografati, come nel caso dei direttori di spool della posta, rendendoli prontamente accessibili a chiunque abbia sufficienti diritti di accesso sul server. Anche dimenticando che, quante delle persone che hai inviato la posta per archiviare o archiviare effettivamente quella posta in modo sicuro crittografato? Se ti ho inviato un messaggio con dati sensibili, lo crittografhi prima di archiviarlo nel tuo archivio di posta? No? Quindi cosa succede al mio messaggio di posta elettronica sensibile quando il tuo computer è stato infettato da virus o malware? Che controllo ho su queste informazioni sensibili una volta che le ho inviato?
L'infrastruttura di posta elettronica è stata progettata in un momento in cui la sicurezza non era una priorità elevata. L'enorme crescita e il desiderio di mantenere tutto funzionante e la necessità di mantenere la retrocompatibilità significa che molti dei miglioramenti introdotti, come la crittografia della comunicazione tra server, ecc. Sono facoltativi e quindi non possono essere garantiti e anche se ci sono stati molti miglioramenti , alla fine della giornata, devi considerare l'email come un canale di comunicazione intrinsecamente insicuro. A meno che il mittente e il destinatario non intraprendano azioni aggiuntive per aumentare la sicurezza delle comunicazioni e-mail, è necessario considerare il messaggio come non sicuro, anche se si ritiene che le società che gestiscono i server coinvolti siano affidabili e applichino le buone pratiche.
Dovremmo anche tenere le cose in prospettiva. Quanta parte della mail che spedisci ha delle informazioni che sono veramente sensibili? Di quale valore reale è questa informazione per qualcun altro? Con quale facilità qualcuno potrebbe ottenere queste informazioni e il costo di farlo è inferiore al valore ottenuto? Raramente la sicurezza dovrebbe essere considerata in termini di sicurezza o insicurezza. La domanda dovrebbe essere se è abbastanza sicura per lo scopo per cui la sto usando. L'email è abbastanza sicura per il mio saluto di Natale che invio a mia nonna? Quasi certamente. È abbastanza sicuro che la mia banca invii il mio codice di accesso all'account o il PIN? Sicuramente no. Ci sono modi per aumentare la sicurezza dei messaggi? Sì, ma vengono tutti con un costo di convenienza. Ad esempio, PGP / GPG e crittografia del messaggio. Forniscono ulteriore sicurezza, ma riducono la comodità della comunicazione via e-mail. Ora è necessario creare e gestire le chiavi di crittografia e il destinatario deve configurare il proprio client per utilizzare la chiave pubblica per decrittografare il messaggio prima che possa leggerlo. Se il contenuto è sensibile e abbastanza prezioso, questo maggiore disagio può essere utile. Molto spesso, non lo è.