¿Existe el riesgo de conexión a un servidor de correo electrónico POP3 o SMTP sin una conexión segura?

  

¿Existe el riesgo de enviar y recibir correos electrónicos sin una conexión segura SSL / TLS?

El problema es equivalente a usar su correo web a través de HTTP simple. Un atacante de tipo intermediario podría capturar los correos electrónicos que intercambia con el servidor y rastrear sus credenciales de inicio de sesión a medida que se envían en texto sin formato.

Este tipo de ataque es posible para alguien con el mismo Wifi que tú, tu compañero de cuarto, tu empleador o tu ISP. Es particularmente fácil para todos los que procesan el tráfico en el camino entre tú y el servidor, pero generalmente no es factible para un atacante remoto (como un amigo que te está atacando desde su casa).

Entonces, si lo hace en su red doméstica privada y no teme que su ISP registre sus datos ¹ , está bien. Sin embargo, en un wifi público, es un riesgo grave, especialmente porque los clientes de correo electrónico generalmente se contactan con el servidor periódicamente en segundo plano sin su interacción. Por lo tanto, a diferencia del uso de su correo web, no enviaría su contraseña solo una vez al principio, sino que la emitiría cada 15 minutos para buscar actualizaciones.

(Tenga en cuenta que es particularmente fácil para un atacante extraer automáticamente las credenciales POP3 / IMAP / SMTP del tráfico, ya que su transmisión es parte del protocolo respectivo. Para un formulario de inicio de sesión de correo web, al menos tendrían que buscar a través del Tráfico HTTP para encontrar la solicitud donde se transmite la contraseña.)

¹ En su caso, el ISP es el proveedor de correo, por lo que obviamente ya tienen acceso a esa información.

  

pop.orangehome.co.uk

En teoría, hay soporte para TLS explícito en POP3 usando el comando STLS (similar a STARTTLS en SMTP) pero este servidor no es compatible con este comando y, por lo tanto, no es posible TLS. Si bien el ISP puede argumentar que la conexión desde su casa a este servidor está controlada por el ISP y, por lo tanto, es segura, este argumento no es válido una vez que intenta acceder a sus correos desde un punto de acceso público o similar donde el cifrado faltante significa que todos pueden leer. Su contraseña y el contenido del correo. Y esto también es válido para cualquier persona que tenga acceso a su red en casa.

  

smtp.orangehome.co.uk

No se puede acceder a este servidor desde fuera, sino solo desde dentro de la red del ISP. Si el ISP tiene un control estricto sobre la red, puede argumentar que nadie puede olfatear el contenido y que podría tener razón. Pero es de esperar que pueda confiar plenamente en su red doméstica interna, ya que cualquier persona que tenga acceso a esta red puede leer cualquier correo que envíe, ya que estos no están cifrados. Curiosamente, el servidor no requiere autenticación, lo que podría significar que el ISP lo autentique a través de su dirección IP interna.

EDITAR: según lo señalado por @Jasen en un comentario, hay una manera de conectar este host si no está en casa utilizando el puerto 587. Este acceso requiere autenticación, pero solo ofrece texto sin formato y aún no tiene cifrado. Por lo tanto, la seguridad es comparable al caso POP3: alguien puede oler su contraseña y leer su correo.

En resumen: esa no es la seguridad que debe esperar de un ISP importante.

Como usted habla de su ISP, normalmente no hay nada entre su host y la red de su ISP. Entonces, por supuesto, nada está encriptado, pero incluso si usas SSL, se descifra antes de llegar a la aplicación del servidor. Dicho de otra manera, a menos que tenga una red local que no sea de confianza, lo que sería extraño para una conexión personal, el cifrado SSL no brindaría seguridad adicional. Use mensajes cifrados si no desea que su proveedor de correo lea el contenido de sus correos, no SSL.

Pero el siguiente párrafo en la página enlazada es OPS mucho peor. Porque dicen que cuando está conectado a través de un servicio externo (por ejemplo, un punto de acceso WiFi público) usa el puerto 587 (correcto), autenticado con su nombre de usuario y contraseña (aún normal) y sin cifrado (glp ...). Dicho de otra manera, si envía o lee el correo fuera de su casa , está enviando su contraseña en texto sin cifrar en una red desconocida que es claramente inaceptable.

Puede usar EE como su ISP si no hay otro problema con ellos, pero debe usar otro proveedor de correo si no admite el cifrado cuando está conectado a través de una red de terceros.

Tal como dijo Pineappleman, tan pronto como salga de su red doméstica con un teléfono móvil o una computadora portátil, una computadora de escritorio traída a una fiesta de LAN, puede ser atacado. Un atacante no solo puede leer sus correos, sino también alterarlos, agregar contenido malicioso a los archivos adjuntos, usar este acceso para restablecer nuestras contraseñas en los servicios web, más cosas malas ...

Además, si utiliza una VPN por algún motivo y todo su tráfico está en modo túnel, puede abrir su comunicación con quien esté entre usted y el ISP.

Y por último, pero no menos importante, hay una gran cantidad de tráfico malicioso en Internet, que intenta romper su enrutador. En caso de que tenga éxito y cambie las entradas de DNS, también tendrá un problema.

Eso no es seguro. ¿Qué podría pasar? Digamos que configura ese correo en su teléfono y su teléfono comprueba si hay nuevos correos cada 15 minutos. Si se conecta (su teléfono) a una red no confiable, como una red wifi pública, cualquier persona podría interceptar su tráfico de correo electrónico. Ni siquiera necesitaría abrir el cliente de correo electrónico en su teléfono, ya que envía automáticamente el nombre de usuario / contraseña en texto sin cifrar para verificar si hay nuevos correos en segundo plano. Interceptar ese tráfico no cifrado y obtener contraseñas de texto claro es bastante fácil para un atacante que solo necesita estar en la misma red y usar una herramienta como ettercap.

OMI, esto era algo aceptable hace una década, cuando la mayoría de las personas usaban computadoras de escritorio o portátiles y solo las conectaban a internet en casa / trabajo, el wifi estaba empezando a aparecer y el wifi público era inexistente. Su red doméstica y su ISP eran razonablemente confiables y no debería estar enviando cosas súper secretas por correo electrónico de todas formas.

El aumento de la informática móvil ha cambiado drásticamente el modelo de amenaza. Cada vez más personas utilizan dispositivos móviles y se conectan a través de redes públicas de conexión inalámbrica.

Desafortunadamente, muchos proveedores, incluido el sitio en el que estamos discutiendo en este momento, no se han puesto al día con esto y aún piensan que está bien usar http sin formato para usuarios autenticados.

Depende de su modelo de amenaza y tipo de conexión. Si solo está conectado por cable y no usa Wi-Fi en esa computadora, es posible que esté relativamente bien. Bueno, no sé nada sobre cómo proteger la línea de conexión con el ISP, pero si asumes que no hay ninguna amenaza.

Una vez que usa Wi-Fi para alguna red, su posición empeora. Muchas redes son WPA2 PSK, algunas incluso son redes abiertas. Una vez que se haya conectado a una red insegura (p. ej., PSK débil o red abierta **, un atacante cercano puede detectar o modificar su tráfico (contraseña y correos electrónicos) **. Además, una vez que haya habilitado Con la conexión automática a dicha red, un atacante puede usar herramientas como Pineapple para conectarse a través de su propia red, incluso si está en una red segura. Pineapple solo ofrecerá una red con nombre y seguridad como la insegura. Luego, se conectará a (Tal vez también intentó alejarte de tu red legítima. No estoy seguro de si Pineapple lo hace, pero sé que eso es posible.)

Esto puede resultar en:

• contraseña robada al correo electrónico (las credenciales probablemente se reenviarán después de una pérdida de conexión, por lo tanto, justo después de conectarse a una nueva red)
• contraseñas restablecidas a otros servicios
• correos electrónicos salientes y entrantes filtrados
• correos electrónicos entrantes / salientes modificados