È sicuro inviare dati sensibili tramite smtp di gmail con nodemailer?

4

Ho un'applicazione che invia dati sensibili tramite e-mail a utenti specifici. Ho impostato un account aziendale google che fornisce indirizzi email nel mio dominio aziendale. Invierò un'email tramite Nodejs Nodemailer su protocollo smtp con TSL. Il modo in cui l'ho compreso, i dati trasferiti tra il mio server e il server di Gmail e i dati poi consegnati all'indirizzo e-mail dell'utente verranno inviati attraverso un canale crittografato sicuro. Sono principalmente preoccupato per la sicurezza dei dati inviati dal mio server al server di Gmail. Sarà sicuro o dovrei configurare il mio server di posta elettronica?

    
posta Hassaan 21.03.2016 - 18:39
fonte

2 risposte

2

Se sei preoccupato per la riservatezza dei dati che stai inviando:

Utilizza la crittografia end-to-end e rendila obbligatoria .

Le due alternative (più o meno popolari) che serviranno allo scopo sono

  • S / MIME
  • PGP / GPG

Se sei preoccupato solo per il trasferimento ai server di google, se ti stai assicurando di utilizzare SMTP con TLS, il modo di trasporto è sicuro.

Nota:

Mentre la crittografia end-to-end codifica solo il corpo del messaggio, le intestazioni dei messaggi (così come il messaggio, se non si utilizza la crittografia end-to-end) vengono trasmessi tramite la connessione protetta tra il server SMTP e il tuo server, quindi accessibile solo per quelle parti, per quanto riguarda la tua domanda.

Ricorda che questo è vero solo se l'utente controlla la posta su una connessione sicura, di cui non hai il controllo.

Come minimo, se ti affidi esclusivamente a SMTP con TLS, tutti i salti della tua email devono essere considerati affidabili per utilizzare esclusivamente TLS e rispettare la privacy dell'utente.

Questi sono, almeno:

  • Il tuo server,
  • Google,
  • Il provider di posta elettronica dell'utente,
    • Potenzialmente molti di questi, a seconda dell'inoltro che l'utente ha configurato,
  • L'utente.

La linea inferiore è, poiché non puoi stabilire la fiducia:

Rendi obbligatorio S / MIME o PGP / GPG per proteggere i dati sensibili degli utenti durante il transito.

    
risposta data 22.03.2016 - 09:46
fonte
0

È necessario utilizzare la crittografia end-to-end, se si inviano dati sensibili. E non usare gmail, non è sicuro (non rispettano la privacy).

Attualmente sto usando un servizio di posta elettronica dal link , che è un'organizzazione di volontariato. Potresti voler controllare.

Tieni presente che, anche se utilizzi la crittografia end-to-end, non puoi crittografare le intestazioni delle e-mail (titolo, da, a ecc.)

E in realtà c'è un nuovo protocollo di mailing in fase di sviluppo, chiamato DarkMail , per creare un protocollo di posta elettronica sicuro. Ma, non ancora pronto.

    
risposta data 21.03.2016 - 18:57
fonte

Leggi altre domande sui tag