Как сообщает «Яндекс», на прошлой неделе в Яндекс.Почте включили шифрование для межсерверных SMTP-соединений с использованием STARTTLS — как на приём, так и на отправку писем. Теперь письма из Яндекс.Почты передаются пользователям Gmail в зашифрованном виде. А вот пользователям «Рамблера» и Mail.ru передаются в открытом, потому что «Рамблер» и Mail.ru поддержку шифрования для SMTP не включили.
Вот результаты тестирования через checktls.com:
Но не стоит обольщаться. Как мы теперь знаем, интернет компании, в целом, довольно безответственно относятся к передаче пользовательских данных даже на техническом уровне, не говоря уж про политический. Хотя наличие STARTTLS , конечно, гораздо лучше его отсутствия.
Добавить 27 комментариев
> Теперь письма из Яндекс.Почты передаются пользователям Gmail в зашифрованном виде. А вот пользователям «Рамблера» и Mail.ru передаются в открытом, потому что Вы уж разберитесь куда именно всунули шифрование, да? Шифруется трафик не до пользователя, а до гугла. На сервере гугла он расшифровывается и может быть спокойно проанализирован (если кому-то это нужно). Но от этом Игорь Станиславович вам расскажет, я не настоящий сварщик
>включил шифрование почты при передаче в другие почтовые службы другие почтовые службы это гугл в единственном числе?
Почему? STARTTLS кто угодно может прикрутить, не только гугль. И прикручивают.
>>включил шифрование почты при передаче в другие почтовые службы >другие почтовые службы это гугл в единственном числе? это все, кто поддерживает SMTP over TLS, и это не только гугл, но и, например, большинство корпоративных серверов (в основном, MS Exchange, а также Postfix, Zimbra и проч) проверить свой сервер на поддержку — http://www.checktls.com/tests.html и в первом комменте верное замечание, шифруется трафик между серверами (СОРМ не перехватит в середине, грубо говоря)
Кто-нибудь может объяснить, как осуществляется шифрация почты между двумя почтовыми сервисами? Яндекс и Гугл обменялись ключами? Или они обмениваются ими в реальном времени? Тогда что мешает их перехватить?
> Или они обмениваются ими в реальном времени? Тогда что мешает их перехватить? О боже.
>> Или они обмениваются ими в реальном времени? Тогда что мешает их перехватить? > О боже. Ну а все же, можете объяснить для несведущих? Думаю, не все посетители роем.ру профессионалы по части почты и криптографии.
Они прикрутили HTTPS к SMTP протоколу. Общение между SMTP серверами происходит так же, как общение браузера с сервером по https протоколу.
а как происходит общение браузера с сервером по https протоколу? они обмениваются ключами в реальном времени? Т.е. спецслужбы могут перехватить и https-трафик?
> Ну а все же, можете объяснить для несведущих? Думаю, не все посетители роем.ру профессионалы по части почты и криптографии. На пальцах — примерно так же, как на сайтах с HTTPS, т.е. с использованием Public Key Infrastructure.
Тут почитайте про https и.т.п. http://habrahabr.ru/post/188042/
ясненько, значит спецслужбы читают все сообщения…
Надо менять(или разработать новый) стандарт, сделав обязательным шифрование писем чем-то типа GPG. Регистрируясь на том же gmail сообщаешь ему только свой открытый ключ, в этом случае всю переписку можно шифровать. И gmail тоже не сможет её прочитать. Можно было бы начать с того, что те, кто свой открытый ключ сообщил почтовому серверу, могут получать почту только в зашифрованном виде. Казалось бы очевидно, что надо такой стандарт разработать и внедрять, но почему-то никто этого не делает.
> ясненько, значит спецслужбы читают все сообщения… откуда такой вывод?
> Казалось бы очевидно, что надо такой стандарт разработать и внедрять, но почему-то никто этого не делает. Просто погуглите «gmail + gpg», всё уже сделано — пользуйтесь. Только вот конечному пользователю кто это будет объяснять? Тупой блондинке. Или тому же Навальному, который даже двухфакторной аутентификации догнать не может, раз его почту ломают.
причём тут двухфакторная, как вы выразились, авторизация, когда почту навального и слили спецслужбы?
> причём тут двухфакторная, как вы выразились, авторизация, когда почту навального и слили спецслужбы? что? у вас откуда такие сведения? просто банально взломали. кто нашим спецслужбам даст туда доступ? что за бред.
Я думаю и на роеме мало кто пользуется двухфакторной аутенфикацией. Это не значит что они не догоняют.
а каким образом хакер мог взломать ящик навального? что за фантазии? у навального конфисковали компьютер, и почти сразу почта попала в сеть. пароли были сохранены на компьютере. это единственное, в чём можно обвинить навального. а уж никак не в технической неграмотности. не ожидал он, что в этой стране можно без повода проводить обыски и изымать технику
> Я думаю и на роеме мало кто пользуется двухфакторной аутенфикацией. Это не значит что они не догоняют. Либо не знают — тогда пусть узнают. Либо им не нужна безопасность в принципе. Сейчас 2-фактор кто только не поддерживает: gmail (и google apps for domain), hotmail/outlook (и live custom domains), facebook, lastpass (хранитель паролей), dropbox, wordpress, evernote. Надо быть круглым идиотом, чтобы 2-фактором не пользоваться. (Или пользоваться почтой мейл.ру, что тоже означает дебилизм головного мозга.) И нахрен теперь не нужно придумывать суперсложные пароли. Простейшим дешевым TOTP-брелком может быть Google Authenticator на самом дешевом смартфоне за 1000 рублей или еще дешевле б/у без симки и без доступа в интернет. Дёшево, надёжно.
> у навального конфисковали компьютер, и почти сразу почта попала в сеть. пароли были сохранены на компьютере. вот это полный дебилизм, не ожидать такого. Что такое Truecrypt? Да хрен его знает. Что такое двухфакторная аутентификация? Да хрен его знает. Что такое элементарная парольная политика (не хранить пароли там, где ты их вводишь; или не записывать пин-код на банковской карте)? Да хрен его знает. Навальный сам дебил. И все его помощники дебилы, раз никто не посоветовал элементарные вещи.
>Надо быть круглым идиотом, чтобы 2-фактором не пользоваться. (Или пользоваться почтой мейл.ру, что тоже означает дебилизм головного мозга.) Не, надо быть круглым идиотом, чтобы думать, что двухфакторная аутенфиукация делает безопасным бесплатный облачный сервис.
>Не, надо быть круглым идиотом, чтобы думать, что двухфакторная аутенфиукация делает безопасным бесплатный облачный сервис.
блин, Юра, до чего же неудобно оставлять комментарии с телефона, в форме с яваскриптом перемудрили. короче, это обезопасит вас от кражи паролей.
И Навальный идиот, и сколько-там пользователей Mail.Ru идиоты, и хм, навскидку, 99% пользователей Gmail идиоты (какая там статистика по двухфакторной? вряд ли процент перевалила) и даже автор JS на роеме идиот. Сколько нового можно в одном треде узнать! vladon, вы умный, пишите дальше!
> И Навальный идиот, и сколько-там пользователей Mail.Ru идиоты, и хм, навскидку, 99% пользователей Gmail идиоты (какая там статистика по двухфакторной? вряд ли процент перевалила) и даже автор JS на роеме идиот. См. правило про 95%, всё верно. Навальный — да, идиот, что не смог обеспечить безопасность собственной переписки. Автор JS в форме отправки не протестировал форму на мобильных устройствах. > Сколько нового можно в одном треде узнать! vladon, вы умный, пишите дальше! Стараюсь.
это все, кто поддерживает SMTP over TLS, и это не только гугл, но и, например, большинство корпоративных серверов (в основном, MS Exchange, а также Postfix, Zimbra и проч) Это вы проверили, про большинство? Сильно сомневаюсь, что у многих ли почтовых корпоративных серверов есть валидные сертификаты. и в первом комменте верное замечание, шифруется трафик между серверами (СОРМ не перехватит в середине, грубо говоря) Смотря как СОРМ в это соединение вклинится. Если в разрыв (активный MitM) то перехватит. Начало хендшейка идет в отрытом тексте. Если изменить ответ сервера на EHLO и убрать оттуда строчку о поддержке STARTTLS, то никакого STARTTLS и шифрования не будет. Но, справделивости ради, надо сказать что оборудование именно СОРМ ставится обычно на пассивной прослушке. А вот АНБ, очевидно, слушает активно.