¿Puedo esperar que mi correo electrónico se enrute de manera segura?

15

Si me conecto a mi servidor de correo electrónico a través de SSL (SMTP / SSL) y el destinatario también solo revisa su correo electrónico a través de SSL (web / https o IMAP / SSL), esto hace que, en general, aumente la seguridad ¿Por el contenido del mensaje de alguna manera?

Es decir, ¿será "segura" (*) la comunicación entre el servidor de correo electrónico de mis proveedores y el servidor de correo electrónico de los destinatarios, o se enviará el correo electrónico entre los servidores?

(*) Seguro en el contexto de: cifrado durante su tránsito. No estoy seguro en el sentido de que pondría información realmente confidencial allí.

    
pregunta Martin 21.10.2011 - 08:05
fuente

3 respuestas

10

Los servidores SMTP pueden (probablemente lo harán) todavía transfieren el correo electrónico como texto sin formato. Algunas veces se usa SSL, pero no puede contar con que este sea el caso a menos que sepa específicamente la configuración de los servidores específicos en ambos extremos. Esto significa que en su escenario, un adversario capaz de monitorear el tráfico de la red troncal de Internet podría interceptar el correo electrónico. (En general, los adversarios con este nivel de capacidad son actores estatales).

SSL sigue siendo importante en ambos extremos para proteger las credenciales de la cuenta y lo protegerá contra los adversarios que supervisan el tráfico en su red local. Muchos ataques se producirán a este nivel, alguien en la misma red inalámbrica que usted, por ejemplo, o que haya comprometido un servidor local en su LAN. Sin embargo, SSL no hará nada para protegerlo contra un servidor SMTP comprometido. El cifrado a nivel de mensaje es necesario si desea evitar cualquier transmisión del mensaje en texto sin formato y, lo que es más importante, significa que el mensaje no se almacenará en texto sin formato en ninguno de los servidores. Para los adversarios no estatales, este es el mayor vector de ataque: solo comprometa el servidor SMTP en cada extremo y puede leer todo el correo de texto sin formato incluso si todas las transmisiones a lo largo del camino se utilizan SSL.

S / MIME y PGP (GnuPG) son los dos estándares para hacer esto. Incluso entonces, el sobre del mensaje será visible. No se puede evitar que un adversario que pueda detectar el tráfico entre los servidores SMTP lea el sobre, por lo que sabrían cosas como la línea de asunto, desde y la línea de asunto.

Para responder directamente a su pregunta, ambas partes que usan SSL para enviar y recuperar su correo electrónico mejoran su seguridad, y mejoran su seguridad en comparación con los adversarios no estatales, pero para asegurar el contenido del mensaje tanto como sea posible, debe usar cifrado a nivel de mensaje para cifrar completamente el cuerpo del mensaje y aceptar que los encabezados de correo electrónico aún se transmitirán de forma clara. Un adversario capaz de ver el tráfico entre los servidores SMTP todavía podría decirle a quién le estaba enviando un correo electrónico y cuál era la línea del asunto. No hay otra forma que no sea "no usar correo electrónico", pero no podrían leer. el cuerpo del mensaje.

    
respondido por el Ian 21.10.2011 - 08:44
fuente
2

Además, tenga en cuenta que, dado que el correo electrónico se almacena y reenvía, incluso si el enlace de la red está cifrado de alguna manera, cada servidor de la cadena de entrega podría haber almacenado una copia del mensaje que podría ser legible para un administrador. Si esto es probable o no, depende completamente de quién administre esos servidores ... puede ser un pequeño riesgo en algunos casos y uno enorme en otros

    
respondido por el only1weasel 21.10.2011 - 11:30
fuente
2

La conexión segura en ambos extremos simplemente confirma las transiciones seguras en el canal de red entre el extremo del usuario y el servidor de correo conectado.

La seguridad de extremo a extremo también implica prácticas de seguridad adoptadas por la organización para su canal interno.

Lo que sugeriría es que confirme que su seguridad a nivel de correo comience a usar GnuPG o una utilidad similar, donde puede enviar un correo cifrado a los usuarios usando su Clave pública .

Enlace de ayuda de uso similar: enlace

~~~~~

Si su inquietud es simplemente la integridad de su contenido de correo electrónico y no la confidencialidad, puede limitar la tarea a firmar digitalmente los correos electrónicos

Enlace de ayuda de uso similar: enlace

    
respondido por el AbhishekKr 21.10.2011 - 12:00
fuente

Lea otras preguntas en las etiquetas