Chi può leggere la mia email?

Probabilmente sai bene che i provider possono accedere alle e-mail.

I 2 provider possono o non possono trasferire e-mail tra loro su un canale criptato. Alcuni provider hanno accordi con altri per scambiare solo e-mail tra loro su un canale crittografato.

Circa il 50% -60% delle email scambiate da Google con diversi provider nel 2014 sono state crittografate, l'altra dal 40% al 50% no. ( Source. )

Un'e-mail non crittografata trasportata in testo semplice tra i provider di posta elettronica può essere letta da chiunque si trovi tra i loro server. Soprattutto con servizi segreti che hanno accesso a punti di scambio Internet .

Ma contro i servizi segreti, la sicurezza di tutto tramite HTTPS è comunque viziata. Possono facilmente creare certificati affidabili e possono facilmente leggere o manipolare il traffico HTTPS. Persino le aziende antivirus possono compromettere il traffico HTTPS e in effetti fanno tutto il tempo che ho ottenuto molti downvotes per averlo rivendicato qui fino alla presentazione della prova. Quindi, in realtà, la tua sesta ipotesi è sbagliata. E questo significa che la tua terza ipotesi è inutile.

Possiamo dare il via anche alla quinta ipotesi, perché entrambe le parti probabilmente usano un computer Windows o Mac OSX che ha backdoor universali e sono già state compromesse prima di essere spedite. Se una delle parti ha installato un software antivirus ... beh, penso di aver già discusso di chi può leggere anche nel paragrafo precedente.

Paesi che non credono che i loro servizi segreti siano abbastanza potenti - come la Germania - semplicemente creano una legge che stabilisce che (nel caso della Germania) i provider di posta elettronica con almeno 1 k account di posta elettronica e aziende che non forniscono e-mail agli altri ma solo a se stessi con almeno 10 k account di posta elettronica devono acquistare l'hardware che fornisce il traffico di posta in entrata e in uscita alle autorità. Nel caso della Germania, queste e-mail vengono automaticamente controllate e ogni anno decine di milioni di e-mail vengono rilevati sospetti e indirizzati a un essere umano da leggere.

• chiunque conosca (o possa indovinare) la propria password, o qualche altro metodo per accedere all'account (ad esempio "Ho dimenticato la mia password" con domande di sicurezza ipotizzabili o link email inviato a un altro indirizzo, ecc.)
• chiunque possa prendere il controllo del proprio computer (tramite virus, trojan, exploit, enineering sociale, bug nel browser, XSS, ecc.) - sì, so che ne parli (5), ma questo è un problema reale .
• qualcuno su google con il livello di accesso appropriato
• chiunque a microsoft con il livello di accesso appropriato
• qualcuno su hiscorp.com (e forse su mycorp.com) con un adeguato livello di accesso (come menzionato nei commenti di @drewbenn)
• qualsiasi governo o altra organizzazione che possa ordinare, costringere o corrompere qualcuno su google o microsoft (o il tuo amico o te)
• qualsiasi parte nel percorso tu - google - microsoft - il suo che è in grado di attirare l'attacco man-in-the-middle di SSL. "STARTTLS" è facoltativo anche se supportato.

In breve, se sei davvero interessato a qualsiasi possibilità di comunicazione e-mail sicura, dovresti utilizzare la crittografia end-to-end, come PGP / GPG o S/MIME . Non è affatto a prova di proiettile, ma ti dà qualche possibilità di combattere almeno.