O SMTP do ISP é seguro?

Navegue suas respostas
3

Estou apenas curioso, porque estou usando o SMTP do nosso ISP no meu servidor de email. Você acha que é seguro usar, o que significa que meu provedor pode bisbilhotar meus e-mails? O que você acha?

    
por Lucas Juan 11.10.2013 / 11:01

4 respostas

9

A primeira coisa a esclarecer ao perguntar "é ABC seguro?" é definir seu modelo de ameaça .

Nesse caso, você tem (e é elogiado por isso): seu modelo de ameaça é o fato de seu ISP ser malicioso e querer examinar seus e-mails (de saída, presumivelmente, já que você pergunta sobre o servidor SMTP).

Contra esse modelo de ameaça, usar o servidor de e-mail do ISP realmente apresenta a possibilidade de uma quebra de confidencialidade.

Agora, se eles realmente serão é um assunto completamente diferente.

O proprietário de um sistema de computador geralmente sempre terá a capacidade de configurá-lo de maneiras incomuns e inesperadas. Mas por que motivo o ISP dedicava recursos para, manualmente, examinar o tráfego de e-mail de um cliente específico ou desenvolver ou comprar o software para automatizar esse monitoramento? Qual seria a vantagem disso para o ISP?

Então, sim, em teoria, eles podem. Na prática, eles provavelmente não vão; pelo menos, não no sentido de olhar especificamente para os seus emails. davidgo mencionou, e. filtragem de spam , que é algo muito diferente, embora técnicas similares possam ser usadas para selecionar tráfego de aparência interessante para uma análise mais detalhada.

Você pode ganhar alguma proteção usando criptografia de ponta a ponta confiável, mas observe que, embora proteja a maior parte do conteúdo da comunicação (o campo Assunto é uma exceção notável, bem como quais e-mails estão relacionados a que, devido a essa informação ser codificada nos cabeçalhos das mensagens não criptografadas), ela não protegerá os metadados de tráfego (remetente, destinatário, tamanhos (relativos) das mensagens envolvidas, data e hora do tráfego, etc.). Para um adversário determinado, os metadados podem ser extremamente poderosos para estabelecer o que está acontecendo. A criptografia de tráfego SMTP, como o STARTTLS, não protege contra um ISP mal-intencionado porque, por definição, ele deve ser capaz de descriptografar o tráfego (sendo o destinatário pretendido dos dados, se não o destinatário final pretendido do próprio e-mail). / p>     

por 11.10.2013 / 11:08
6

Apesar de outras afirmações, os ISPs podem interceptar qualquer email que você envia através de seus servidores - na verdade, eles fazem isso sistematicamente o tempo todo - por exemplo, usando filtros de spam (que são legítimos). Eles também quase certamente registram metadados - incluindo de endereço, endereço, data no mínimo.

Dito isso, o SMTP não é um protocolo seguro e pode ser interceptado em muitos casos - mesmo que não passe pelos servidores ISPs, mas é mais difícil de fazer, e usar SSL torna ainda mais difícil (mas não impossível) . Claro, isso pode ser feito por qualquer ISP entre você e o destinatário.

BTW, eu configurei alguns provedores, então falo por experiência.

    
por 11.10.2013 / 11:29
2

Contanto que os arquivos residam na infra-estrutura do seu ISP, sim, eles podem .

Além disso, é muito provável que eles precisem mexer com os arquivos reais que contêm seus e-mails devido à manutenção do servidor.

Uma coisa muito diferente é a equipe do seu provedor coletar informações dos e-mails. Isso é claramente ilegal. Revise seu contrato para detalhes.

Por fim, se você não quiser que seu e-mail seja inspecionado, criptografe-o.

    
por 11.10.2013 / 11:05
2

Eu geralmente assumo a postura paranóica aqui: eles podem, e eles fazem. Assim, qualquer coisa que eles não deveriam ler precisa ser criptografado.

Existem dois cenários possíveis:

  • Eles são honrosos e não lêem seu e-mail. Eles não percebem que você começou a criptografar seu e-mail.
  • Eles estão lendo seu e-mail. Neste caso, a criptografia foi a escolha correta.

O principal benefício para criptografar tudo é que é um treinamento valioso em processos de segurança. Se você tem a necessidade urgente de enviar um email criptografado, é provável que você esteja ocupado com o conteúdo real da mensagem e não tenha capacidades mentais para aprender sobre criptografia e aplicá-lo sem erros de iniciantes, por isso é melhor treinar com menos mensagens importantes (certifique-se de obter feedback).

Em suma, você quer estar em uma situação em que não precisa confiar no seu ISP.

    
por 11.10.2013 / 17:14

Tags

Copiando apenas JPG de uma estrutura de diretórios para outro local Linux como você acessa o gmail quando o gmail está inativo?