¿Qué tan seguro está (in) POP / IMAP / SMTP?

Para responder a su pregunta:

• Si está utilizando SSL / TLS para acceder a sus correos electrónicos, independientemente de que sea POP o IMAP, sería muy difícil para cualquiera descifrar el texto de los correos electrónicos y analizar el tráfico solo. . Dicho esto, algunas grandes empresas, por ejemplo, una firma de abogados para la que solía trabajar, tienen un servidor que se interpone entre nosotros e Internet, eliminando el SSL, por lo que la respuesta es un sí calificado al decir que está seguro. >

• Además, si el mensaje sigue en el servidor de correo electrónico después de acceder a él, es posible que su proveedor de correo electrónico sea sobornado / coaccionado para que se lo entreguen. Por supuesto GPG resuelve este problema. También puede pedirle a su proveedor de correo electrónico que elimine los mensajes que descargue a través de POP, aunque debe confiar en que ambos pueden eliminar los mensajes de forma segura.

• Con SSL, al iniciar sesión con su contraseña de correo electrónico, su contraseña no puede leerse fácilmente al interceptar el tráfico entre su computadora y el servidor de correo electrónico sujeto a la condición que mencioné en el punto 1.

• Su comprensión de PGP es en gran parte correcta. Si se le envía un mensaje codificado con su clave pública, solo usted, nuestra persona que ha roto su clave privada, puede leerlo. La clave privada del remitente es irrelevante ya que no puede usarla para decodificar un mensaje destinado a usted. Si su contraseña de correo electrónico se envió en texto sin formato, tiene toda la razón al pensar que podría ser interceptada y alguien podría acceder a sus correos electrónicos o enviarlos en su nombre, haciéndose pasar por usted. Si usó PGP en todo momento para cifrar y firmar todos los mensajes y otros hicieron lo mismo por usted, sin embargo, esto protegerá el contenido de sus mensajes.

• No puedo imaginar por qué un proveedor de correo electrónico no querría ofrecer SSL más allá de la pura pereza. ¡Incluso puedes obtener certificados gratis en estos días! La mayoría de los proveedores de correo web gratuitos ofrecen SSL, por ejemplo, Gmail, ¿has pensado en usarlos?

  

Supongamos que estoy recuperando mensajes: mi aplicación cliente pasa mi nombre de usuario y   contraseña al servidor POP, que me autentica y me devuelve la   mensajes Si no estoy usando SSL / TLS, entonces toda la conversación,   incluyendo el mensaje y las credenciales, está en texto plano.

No necesariamente . SMTP, POP e IMAP pueden admitir múltiples mecanismos de autenticación, algunos de los cuales están encriptados (por ejemplo, CRAM-MD5, GSSAPI). Consulte una buena lista aquí en Autenticación sin texto sin formato . De esta manera, sus credenciales podrían estar a salvo, aunque el correo real no lo esté.

  

Y si estoy usando SSL, entonces toda la conversación es segura, incluso más   Una red pública. ¿Tengo ese derecho?

Sí, lo haces. Sin embargo, como se señaló en el hilo que citó, el correo involucra muchos saltos. Puede asegurar al cliente al servidor del almacén de correo, pero la ruta que toma el correo del cliente del remitente a su almacén de correo no es demostrablemente segura a menos que esté usando un mecanismo de cifrado de extremo a extremo.

  

Básicamente, estoy tratando de entender por qué un proveedor de correo electrónico rechazaría   para ofrecer SSL / TLS para conexiones POP / IMAP / SMTP

Porque son baratos, perezosos, y nadie tuvo que usar cascos en las bicicletas cuando ellos eran niños.

  

Me gustaría argumentar que si bien SSL puede no ser un mensaje de extremo a extremo   protección, al menos protegería mis credenciales y protegería mis   mensaje para una parte significativa de su viaje (yo al servidor SMTP,   y el servidor POP al destinatario suponiendo que se están conectando con SSL).

Sí, especialmente cuando esas credenciales son buenas para otra cosa, como administrar su cuenta con ese proveedor.

  

¿Tengo todo claro con eso?

Esencialmente, sí.

Sin embargo, sugeriría que está perdiendo el tiempo discutiendo con su proveedor al respecto. Si no quieren proporcionar SSL, busque otro proveedor. Ese es probablemente el único voto que podrías emitir que realmente escucharon.

Esta pregunta ha sido bastante bien respondida. Pero vale la pena echar un vistazo a la entrega desde el servidor SMTP saliente del remitente al servidor MX entrante del destinatario. Esta entrega a menudo se realiza utilizando STARTTLS para cifrar la conexión SMTP. Con STARTTLS , la conexión comienza en texto plano, luego la conexión se actualiza a una conexión SSL / TLS si ambas partes lo admiten. Sin embargo, hay problemas inherentes con SMTP y STARTTLS que hacen posible que un atacante activo realice un ataque MITM. Consulte este artículo para obtener más información.

Como se mencionó en este hilo, SSL protege los correos electrónicos que recibió solo mientras estaba en tránsito entre el servidor emergente y su máquina, así como los que envió solo mientras estaba en tránsito entre su máquina y el servidor smtp.

según lo establecido por Stryfe, una vez que el correo electrónico llega al servidor SMTP, no hay evidencia de que el resto del tránsito sea seguro hasta el servidor POP del destinatario. Lo mismo en el lado del destinatario, donde la ruta entre la máquina del destinatario y el servidor de correo electrónico no es segura; p.ej. considere el caso en el que el servidor de pop / imap es interno y un equipo puede verlo.

como para PGP mencionado un par de veces; Para probarlo, PGP no es fácil de configurar en la empresa con usuarios de Outlook, Thunderbird, Gmail y teléfonos inteligentes. Existen alternativas sólidas como CryptoMailer ( enlace ), aunque esta es mucho más fácil de configurar y usar.