Lenta.ru рассказала о техническом превосходстве почты Rambler, поверив SecurityLab.ru на слово

Развитие событий: Несколько тысяч ящиков Рамблер.Почты взломали — через неделю Rambler объяснил взлом "вирусами" (27 мая 2016)

Самой безопасной из российских служб электропочты признана Rambler, сообщает Lenta.ru со ссылкой на SecurityLab.ru. SecurityLab.ru, в свою очередь, ссылается на инструмент проверки безопасности High-Tech Bridge, но есть нюанс.

2015-11-19 08-09-18 Выпущен инструмент для проверки надежности SSL-соединений в почтовых сервисах (обновлено)

Сайт новостей о кибербезопасности SecurityLab.ru приводит такие результаты исследования (см. таблицу). Однако для одной почтовой службы IP-адрес может меняться, как и рейтинг безопасности, который присваивает инструмент HTB.

2015-11-19 14-04-17 SSL TLS Server Configuration Test High-Tech Bridge

"Скорее так:  инструмент не поддерживает работу сервисов с несколькими А-записями (запись DNS, позволяющая сопоставить доменное имя IP-адресу сервера - Roem.ru) и результаты корректными признать сложно", — поправляет основатель Qrator Labs Александр Лямин. Для точной проверки Лямин рекомендует использовать утилиту dig и проверить каждый IP.

В компании Mail.ru Group так прокомментировал приведённый рейтинг:

Оценка, выданная High-Tech Bridge, вызывает определенные сомнения. Во-первых, у Rambler разрешена передача пароля и отправка писем без шифрования. У нас она запрещена.

Во-вторых, у Rambler выключена старая версия протокола SSLv3. На деле это означает, что старые клиенты, которые не поддерживают более новые версии SSL, будут обязательно настроены пользователем на отправку писем без шифрования (если сервер это допускает). То же самое относится к пользователям, у которых в настройках почтового клиента не включено шифрование - их пароли и письма будут передаваться в незашифрованном виде.

Мы в Почте Mail.Ru специально оставили включенным SSLv3, чтобы не сломать поддержку старых клиентов. Также мы отключили в протоколах SMTP и POP возможность работы без шифрования, чтобы пользователям с небезопасной конфигурацией пришлось перенастроить свои клиенты.

В общем, оценки, полученные на подобных ресурсах, нельзя рассматривать как истину в последней инстанции. Хотя бы потому, что самые "модные" шифры - не всегда самые лучшие.

Издание Lenta.ru и почтовая служба Rambler вместе входят в медиа-холдинг Rambler&Co.

Добавить 24 комментария

  • Ответить

    Не хочу никого обидеть, но на результаты рамблера с B+ ведет ссылка в табличке, там же указан IP адрес. А еще, можно выбрать другой IP для сканируемого сервиса из списка и проверить каждый из них)
    Что касается ответа Лямина, с помощью утилиты dig нельзя проверить безопасность SSL, можно лишь установить IP адрес хоста )
    Вот результаты с B+ для разных IP (у меня получилось нажать на правильные кнопки)) ):
    https://www.htbridge.com/ssl/?id=d007becb255b15a62c7e83d4ccb4734a470a970744e59f521da51151190af2ca
    https://www.htbridge.com/ssl/?id=7eb3946013a85af2b34ddabdcabe7c6854b907373b005a8b00911d5d39ddf3eb
    Там внизу IP указан в табличке )

  • Ответить

    SSL чекер это инструмент для оценки безопасности SSL протокола на любом сервисе. Достаточно простой и понятный.
    Естественно, только по результатам одного лишь этого инструмента нельзя сказать, плохой это сервис или хороший.
    Представители майл.ру честно сказали, нам поддержка старых клиентов важнее, чем безопасность SSL. Чтож, такая точка зрения как минимум технически понятна, и имеет право на существование. Хотя я бы, среди прочего, порекомендовал mail.ru включить поддержку TLS1.1 и TLS1.2, на старых клиентов это не повлияет точно, но зато новые смогут обмениваться с сервером по более защищенным протоколам.
    В отличие от мнения майл.ру, высказывания основателя Qrator-а технически не блещет. Похоже что Александр Лямин на формирование своей точки зрения потратил не более полу-минуты, не разобравшись в инструменте, и в том, что можно с помощью этого инструмента получить (хотя даже технически не подкованные журналисты в том как использовать ssl чекер разобрались). В то что Александр Лямин путает SMTP с POP3 и SSL с DNS я не верю :)

  • Ответить

    «Оценка, выданная High-Tech Bridge, вызывает определенные сомнения. Во-первых, у Rambler разрешена передача пароля и отправка писем без шифрования. У нас она запрещена.»

    Это оценка конфигурации SSL/TLS на данном сервисе, а не защищённости сервиса в целом.

    «Мы в Почте Mail.Ru специально оставили включенным SSLv3, чтобы не сломать поддержку старых клиентов.»

    И тем самым открыли брешь в защите в угоду ленивым пользователям, так как SSLv3 давно не считается безопасным и не рекомендован к использованию.

    «В общем, оценки, полученные на подобных ресурсах, нельзя рассматривать как истину в последней инстанции. Хотя бы потому, что самые «модные» шифры — не всегда самые лучшие.»

    «Модные», как Вы изволили выразиться, шифры обеспечивают наибольшую степень безопасности. А лучшие они или не лучшие — надо оценивать в первую очередь с точки зрения устойчивости к взлому, а не удобства пользователя. Хотя приоритеты у всех разные.

  • Ответить

    SSLv3 сам по себе не угрожает безопасности SMTP/POP. Он стал считаться небезопасным после выявления атаки Poodle.
    Эксплуатация этой атаки требует некоторых условий, которые могут выполняться для протокола HTTPS, но в случае SMTP атака практически невыполнима.
    Именно поэтому мы отключили SSLv3 в вебе Почты Mail.Ru, распрощавшись с пользователями IE6/WinXP, но пока оставили эту версию протокола на SMTP/POP.
    http://habrahabr.ru/company/mailru/blog/241113/

  • Ответить

    оборжаться просто, новости от коропорации фантастических новостей и будущих стратегических стратегий
    самая «безопасная» почта, это почта без пользователей которая работает на сломанном CommuniGate, привет BSA!!! и на старом барахле в пылящихся стойках
    можно спросить Антошу, но по рассказам, активных пользователей в месяц не более 5 миллионов и это застрявшие в 90х путаны
    Про количество спама лучше вообще промолчим

  • Ответить

    Да где вы прочитали в источнике что сравнивалась безопасность почты? Безопасность это набор множества параметров, а новость была о выходе инструмента проверки SSL сервисов и были показаны результаты на примере наших почтовых сервисов.
    а Mail.ru хитрит, проблема у них не только в SSLv3, а еще в нескольких параметрах, несоответствующих современным стандартам, которые никак с SSLv3 и поддержкой старых клиентов не связаны.

  • Ответить

    Николай, почтовые клиенты aka MUA, как правило, не реализуют уровень SSL/TLS самостоятельно. Это в общем-то и все, что нужно знать для ответа на ваш вопрос.

  • Ответить
    Альтер Эго

    Новости от рамблер это просто готовый сценарий к перезапуску Квачей
    Перефразируя новости последних недель, это звучит так:
    1. к золотой телеге прицепили еще одну лошадь, поездка по золотому кольцу никогда не будет такой-же
    2. на конкурсе фантастов, финаластом в категории лучший из лучших среди лучших побеждает Ррррррррррр, да, которого много
    3. МосГаз проверил уровень метана недалеко от тульской, вывод Рамблерм много круче чем Mail.ru
    4. Рамблер запускает инновационную инициатву, информационного саммита в Урюпинске, города которого нет
    5. К подозрительной компашке присоединяется Владислав Пантилеев из города Маласуйск, с коллосальным опытом, печенками и все такое

    ненаучная фантастика среди нас)))

  • Ответить

    Таку возьмите и проверьте, Николай. Это очень несложно.

    Или вы Лямина хотите в чем-то уличить? Так это тоже затея так себе, так как обсуждаемая пузомерка к безопасности почты в принципе имеет очень опосредованное отношение.

  • Ответить

    я проверяю smtp.rambler.ru:465. Сервис пишет что есть 4 разных IP —
    81.19.77.164 — выдает B+
    81.19.77.167 — выдает B+
    81.19.77.166 — выдает B+
    и только
    81.19.77.165 — выдает B

    При этом все другие почтовые сервисы, присутствующие в таблице на разных IP выдают одинаковые результаты.

    В скриншоте который приведен в статье, якобы smtp.rambler.ru:465 выдает оценку F (при этом Ip в нем не виден) и на основании этого скриншота делается вывод что оценке которую привел SecurityLab доверять нельзя (там указан проверяемый IP для каждого сервиса, у меня все данные совпали).

    Кто не прав?

  • Ответить

    действительно забавно, при повторном тесте, вываливается Grade F, причем по всем адресам
    а у Mail.ru наоборот получается A-

    похоже министерство правды, оно же миниправ или просто отдел кричалок РиКО перешли в плоскость ковровых бомбардировок лживой информацией

    https://unsee.cc/zegirota/

  • Ответить

    почта mail.ru которой пользуется вся страна работала и работает прекрасно, что касается почты рамблера, то это позвольте смешная пыльная пародия ящика для спама с обоями из джинс

    о результатам оценки рамблера, я больше чем уверен что вся серверная рухлять с трудом поддерживате SSL, а рейтинг B, это, о боги просто глюк теста )))

  • Ответить
    Альтер Эго

    вот только что, smtp.rambler.ru:465
    81.19.77.164:465 — A+
    81.19.77.165:465 — A+
    81.19.77.166:465 — A+
    81.19.77.167:465 — A+
    похоже, прочитали пост и оперативно пофиксили, хорошо.
    но вообще, иногда вылезают странные результаты для всех сервисов. и что скрывается за этими адресами, как и на сколько серверов фактически они балансятся, знают только сами сервисы