Quanto è sicuro il panorama delle e-mail in questo momento?

4

Alla luce delle recenti notizie su alcuni difetti nello standard PGP , I (un utente non PGP) ha iniziato a pensare a quanto siano sicuri e regolari -Mail in questi giorni.

Ho trovato il STARTTLS Everywhere progetto e hanno un avvertimento molto preoccupante:

Most email transferred between SMTP servers (aka MTAs) is transmitted in the clear and trivially interceptable. Encryption of SMTP traffic is possible using the STARTTLS mechanism, which encrypts traffic but is vulnerable to trivial downgrade attacks.

Resta ancora vero fino ad oggi? La posta elettronica "regolare" continua ad andare avanti e indietro in testo normale?

Modifica: la mia domanda è diversa da Come (in) sicuro è POP / IMAP / SMTP perché questa domanda è incentrata sul recupero della posta elettronica da parte dell'utente finale. Il mio focus qui è sulla comunicazione tra server SMTP e server SMTP.

    
posta Guest 18.05.2018 - 19:15
fonte

1 risposta

3

Innanzitutto, la decrittografia end-to-end offerta da PGP e S / MIME e la crittografia hop-by-hop fornita da SMTP STARTTLS e l'utilizzo di TLS in IMAP e POP sono cose completamente diverse. Con la crittografia end-to-end, la posta viene crittografata dal mittente e decifrata dal destinatario finale. Con la crittografia hop-by-hop, invece, la posta viene crittografata solo durante il transito da un server di posta a quello successivo, il che significa che è accessibile in chiaro su ciascun server di posta coinvolto e viene anche memorizzata in chiaro sul server di posta del provider dove viene quindi viene recuperato tramite POP o IMAP.

Detto questo, ci sono alcune statistiche recenti su quanto STARTTLS per SMTP è supportato nella pratica:

Mentre queste statistiche descrivono la quantità di server di posta che supportano la ricezione della posta in TLS, non indicano la quantità di posta effettivamente consegnata da TLS. Esistono alcune statistiche interessanti di Google che descrivono la quantità di TLS utilizzata per le e-mail in entrata e in uscita da essi. Ad esempio, ad esempio, all'inizio del 2016 circa il 60% del traffico in entrata utilizzava TLS, all'inizio del 2017 già dell'80% e ora del 92% circa. Il numero attuale di e-mail in uscita è di circa l'88%. L'ultimo numero indica che per il 12% dei destinatari il loro server di posta non supporta TLS.

Per ottenere statistiche sulla vita reale ho avuto l'impressione di alcune mail che ho raccolto negli ultimi 3 anni, circa 300.000 mail non spam e circa lo stesso numero di spam. Dalle email non spam circa il 77% dove sono state consegnate con TLS mentre con le mail spam questo numero era del 42%. Quando si guardano solo le mail di quest'anno, l'87% delle e-mail in entrata non spam utilizza TLS, mentre solo il 53% delle e-mail spam.

    
risposta data 18.05.2018 - 20:47
fonte

Leggi altre domande sui tag