Самой безопасной из российских служб электропочты признана Rambler, сообщает Lenta.ru со ссылкой на SecurityLab.ru. SecurityLab.ru, в свою очередь, ссылается на инструмент проверки безопасности High-Tech Bridge, но есть нюанс.
Сайт новостей о кибербезопасности SecurityLab.ru приводит такие результаты исследования (см. таблицу). Однако для одной почтовой службы IP-адрес может меняться, как и рейтинг безопасности, который присваивает инструмент HTB.
"Скорее так: инструмент не поддерживает работу сервисов с несколькими А-записями (запись DNS, позволяющая сопоставить доменное имя IP-адресу сервера - Roem.ru) и результаты корректными признать сложно", — поправляет основатель Qrator Labs Александр Лямин. Для точной проверки Лямин рекомендует использовать утилиту dig и проверить каждый IP.
В компании Mail.ru Group так прокомментировал приведённый рейтинг:
Оценка, выданная High-Tech Bridge, вызывает определенные сомнения. Во-первых, у Rambler разрешена передача пароля и отправка писем без шифрования. У нас она запрещена.
Во-вторых, у Rambler выключена старая версия протокола SSLv3. На деле это означает, что старые клиенты, которые не поддерживают более новые версии SSL, будут обязательно настроены пользователем на отправку писем без шифрования (если сервер это допускает). То же самое относится к пользователям, у которых в настройках почтового клиента не включено шифрование - их пароли и письма будут передаваться в незашифрованном виде.
Мы в Почте Mail.Ru специально оставили включенным SSLv3, чтобы не сломать поддержку старых клиентов. Также мы отключили в протоколах SMTP и POP возможность работы без шифрования, чтобы пользователям с небезопасной конфигурацией пришлось перенастроить свои клиенты.
В общем, оценки, полученные на подобных ресурсах, нельзя рассматривать как истину в последней инстанции. Хотя бы потому, что самые "модные" шифры - не всегда самые лучшие.
Издание Lenta.ru и почтовая служба Rambler вместе входят в медиа-холдинг Rambler&Co.
Добавить 24 комментария
Не хочу никого обидеть, но на результаты рамблера с B+ ведет ссылка в табличке, там же указан IP адрес. А еще, можно выбрать другой IP для сканируемого сервиса из списка и проверить каждый из них)
Что касается ответа Лямина, с помощью утилиты dig нельзя проверить безопасность SSL, можно лишь установить IP адрес хоста )
Вот результаты с B+ для разных IP (у меня получилось нажать на правильные кнопки)) ):
https://www.htbridge.com/ssl/?id=d007becb255b15a62c7e83d4ccb4734a470a970744e59f521da51151190af2ca
https://www.htbridge.com/ssl/?id=7eb3946013a85af2b34ddabdcabe7c6854b907373b005a8b00911d5d39ddf3eb
Там внизу IP указан в табличке )
Да, и редактору было бы неплохо понимать разницу межд POP3+SSL и SMTP+SSL перед тем как опровергать секлаб «правильным» скриншотом )
SSL чекер это инструмент для оценки безопасности SSL протокола на любом сервисе. Достаточно простой и понятный.
Естественно, только по результатам одного лишь этого инструмента нельзя сказать, плохой это сервис или хороший.
Представители майл.ру честно сказали, нам поддержка старых клиентов важнее, чем безопасность SSL. Чтож, такая точка зрения как минимум технически понятна, и имеет право на существование. Хотя я бы, среди прочего, порекомендовал mail.ru включить поддержку TLS1.1 и TLS1.2, на старых клиентов это не повлияет точно, но зато новые смогут обмениваться с сервером по более защищенным протоколам.
В отличие от мнения майл.ру, высказывания основателя Qrator-а технически не блещет. Похоже что Александр Лямин на формирование своей точки зрения потратил не более полу-минуты, не разобравшись в инструменте, и в том, что можно с помощью этого инструмента получить (хотя даже технически не подкованные журналисты в том как использовать ssl чекер разобрались). В то что Александр Лямин путает SMTP с POP3 и SSL с DNS я не верю :)
Спасибо, что обратили внимание. Действительно, Александр имел ввиду, что следует использова диг (и потом проверить каждый АйПи). Про скриншот вы тоже правы, заменим.
«Оценка, выданная High-Tech Bridge, вызывает определенные сомнения. Во-первых, у Rambler разрешена передача пароля и отправка писем без шифрования. У нас она запрещена.»
—
Это оценка конфигурации SSL/TLS на данном сервисе, а не защищённости сервиса в целом.
«Мы в Почте Mail.Ru специально оставили включенным SSLv3, чтобы не сломать поддержку старых клиентов.»
—
И тем самым открыли брешь в защите в угоду ленивым пользователям, так как SSLv3 давно не считается безопасным и не рекомендован к использованию.
«В общем, оценки, полученные на подобных ресурсах, нельзя рассматривать как истину в последней инстанции. Хотя бы потому, что самые «модные» шифры — не всегда самые лучшие.»
—
«Модные», как Вы изволили выразиться, шифры обеспечивают наибольшую степень безопасности. А лучшие они или не лучшие — надо оценивать в первую очередь с точки зрения устойчивости к взлому, а не удобства пользователя. Хотя приоритеты у всех разные.
SSLv3 сам по себе не угрожает безопасности SMTP/POP. Он стал считаться небезопасным после выявления атаки Poodle.
Эксплуатация этой атаки требует некоторых условий, которые могут выполняться для протокола HTTPS, но в случае SMTP атака практически невыполнима.
Именно поэтому мы отключили SSLv3 в вебе Почты Mail.Ru, распрощавшись с пользователями IE6/WinXP, но пока оставили эту версию протокола на SMTP/POP.
http://habrahabr.ru/company/mailru/blog/241113/
оборжаться просто, новости от коропорации фантастических новостей и будущих стратегических стратегий
самая «безопасная» почта, это почта без пользователей которая работает на сломанном CommuniGate, привет BSA!!! и на старом барахле в пылящихся стойках
можно спросить Антошу, но по рассказам, активных пользователей в месяц не более 5 миллионов и это застрявшие в 90х путаны
Про количество спама лучше вообще промолчим
И это ^^^ лучший комментарий.
Да где вы прочитали в источнике что сравнивалась безопасность почты? Безопасность это набор множества параметров, а новость была о выходе инструмента проверки SSL сервисов и были показаны результаты на примере наших почтовых сервисов.
а Mail.ru хитрит, проблема у них не только в SSLv3, а еще в нескольких параметрах, несоответствующих современным стандартам, которые никак с SSLv3 и поддержкой старых клиентов не связаны.
>>в случае SMTP атака практически невыполнима — откуда такая информация?
и какие почтовые клиенты перестанут работать если отключить SSL v3 в SMTP/POP?
Николай, почтовые клиенты aka MUA, как правило, не реализуют уровень SSL/TLS самостоятельно. Это в общем-то и все, что нужно знать для ответа на ваш вопрос.
а почему при смене IP smtp сервера меняется его сертификат? Особого смысла в этом нет, разве что мисконфигурейшн
А кто вам сказал, что он меняется? openssl s_client -connect 81.19.77.16x:465 никаких изменений не показывает.
Так Лямин написал что нужно каждый IP проверять.
Новости от рамблер это просто готовый сценарий к перезапуску Квачей
Перефразируя новости последних недель, это звучит так:
1. к золотой телеге прицепили еще одну лошадь, поездка по золотому кольцу никогда не будет такой-же
2. на конкурсе фантастов, финаластом в категории лучший из лучших среди лучших побеждает Ррррррррррр, да, которого много
3. МосГаз проверил уровень метана недалеко от тульской, вывод Рамблерм много круче чем Mail.ru
4. Рамблер запускает инновационную инициатву, информационного саммита в Урюпинске, города которого нет
5. К подозрительной компашке присоединяется Владислав Пантилеев из города Маласуйск, с коллосальным опытом, печенками и все такое
ненаучная фантастика среди нас)))
Таку возьмите и проверьте, Николай. Это очень несложно.
Или вы Лямина хотите в чем-то уличить? Так это тоже затея так себе, так как обсуждаемая пузомерка к безопасности почты в принципе имеет очень опосредованное отношение.
я проверяю smtp.rambler.ru:465. Сервис пишет что есть 4 разных IP —
81.19.77.164 — выдает B+
81.19.77.167 — выдает B+
81.19.77.166 — выдает B+
и только
81.19.77.165 — выдает B
При этом все другие почтовые сервисы, присутствующие в таблице на разных IP выдают одинаковые результаты.
В скриншоте который приведен в статье, якобы smtp.rambler.ru:465 выдает оценку F (при этом Ip в нем не виден) и на основании этого скриншота делается вывод что оценке которую привел SecurityLab доверять нельзя (там указан проверяемый IP для каждого сервиса, у меня все данные совпали).
Кто не прав?
Вот ещё один скрин, брал только что, со второй попытки вылетела F. Вам просто везёт.
действительно забавно, при повторном тесте, вываливается Grade F, причем по всем адресам
а у Mail.ru наоборот получается A-
похоже министерство правды, оно же миниправ или просто отдел кричалок РиКО перешли в плоскость ковровых бомбардировок лживой информацией
https://unsee.cc/zegirota/
а вот mail.ru c рейтингом A- https://unsee.cc/dopezuga/
похоже очередной развод от рамблера
mail.ru похоже стал сертификаты править, а на рамблере такое ощущение что NAT стоит с балансировкой нагрузки и один из сервером на корявом сертификате лежит.
почта mail.ru которой пользуется вся страна работала и работает прекрасно, что касается почты рамблера, то это позвольте смешная пыльная пародия ящика для спама с обоями из джинс
о результатам оценки рамблера, я больше чем уверен что вся серверная рухлять с трудом поддерживате SSL, а рейтинг B, это, о боги просто глюк теста )))
А что вы так распереживались?;)
вот только что, smtp.rambler.ru:465
81.19.77.164:465 — A+
81.19.77.165:465 — A+
81.19.77.166:465 — A+
81.19.77.167:465 — A+
похоже, прочитали пост и оперативно пофиксили, хорошо.
но вообще, иногда вылезают странные результаты для всех сервисов. и что скрывается за этими адресами, как и на сколько серверов фактически они балансятся, знают только сами сервисы