Любой, кто интересуется конфиденциальностью в Интернете, вероятно, уже осознал, что электронная почта по своей сути не является безопасной. Он отправляется через ненадежные точки в Интернете в виде простого читаемого текста и попадает на сомнительно безопасный сервер, который, наконец, будет прочитан. Поскольку электронная почта эволюционировала для использования в качестве информации, которую мы предпочитаем хранить в тайне, растет интерес к тому, насколько службы электронной почты будут защищать наши данные. В этой статье мы вникнем в политику конфиденциальности и факторы конфиденциальности некоторых из самых популярных почтовых сервисов..
Смотрите также: Как зашифровать почту
Каковы лучшие электронные письма для конфиденциальности & безопасность?
Для тех из вас, кто просто хочет получить итоговые результаты, вот они. Баллы и методология, которую мы использовали, будут иметь больше смысла, если вы прочитаете всю статью.
| Начать почту | 4 | Не указано. Для борьбы со спамом "мы не можем предоставить полную информацию о мерах, которые мы применяем" | да | да | Не ясно. Государства это будет соответствовать требованиям закона Нидерландов. Кажется невозможным, если не может расшифровать. | да | нет | № использует Ogone. |
| Tutanota | 4 | Не указано явно, но шифрование происходит локально, поэтому это кажется невозможным. [4] | да | Да [3] | нет. | да | нет. "Мы не будем разглашать ваши личные данные, включая ваш адрес электронной почты, третьим лицам категорически." | Использует Брэйнтри. |
| Протонная Почта | 3 | Да. Незашифрованный входящий и исходящий от спама. | да | да | нет | да | нет. "Мы будем раскрывать ограниченные пользовательские данные, которыми располагаем, только если получим уведомление от прокуратуры Женевы или Федеральной полиции Швейцарии.." | Нет, но принимает биткойны. |
| Hush Mail | 1 | Не указано. | да | Нет. Электронная почта хранится сразу после входа. | Нет, но может включить его, когда того требует закон. | да | нет | Использует неназванный сторонний платежный процессор. |
| Быстрая почта | 0 | Да за спам. Защита от входящего спама может быть отключена. | да | да | Да. Предполагается, что процесс сканирования спама. | нет | нет | № Использует Stripe, Pin и Paypal. |
| GMail | 0 | Да, для рекламы и спама. | да | Не указано | N / A | нет | Поделюсь для рекламы. | Да. Google Payments. |
| AOL Mail | -1 | Нет, если AOL "инструменты связи" используются. | да | Не указано | N / A | нет | Поделюсь по разным причинам. | Не указано |
| прогноз | -1 | Да. Предполагаемый от "мы не используем то, что вы говорите в электронной почте, чате, видеозвонках или голосовой почте, а также в ваших документах, фотографиях или других личных файлах для нацеливания рекламы на вас." | да | Не указано | N / A | нет | Поделюсь по разным причинам. | Не указано |
| Почта Яху | -1 | Да для рекламы и спама. | да | Не указано | N / A | нет | Поделюсь для рекламы. | Не указано, но перечисляет Paypal в качестве третьего лица, поэтому не допускайте. |
| Яндекс | -1 | Да в рекламных целях. | да | Не указано | N / A | нет | Поделюсь по разным причинам. | Не указано |
* Источники
Электронная почта имеет несколько векторов атак на конфиденциальность
Чтобы понять, как электронные письма можно сделать конфиденциальными, важно понять, как электронная почта работает с самого начала. Когда вы пишете или отвечаете на электронное письмо, вы делаете это на каком-то почтовом клиенте, который иногда может называться почтовым агентом пользователя (MUA).. Когда вы нажимаете кнопку «Отправить», это письмо покидает ваш клиент и отправляется агенту почтовой пересылки (MTA) вашего почтового сервиса.. Оттуда электронное письмо отправляется через Интернет в MTA вашего получателя, который помещает его в свой почтовый ящик. Затем она может прочитать это позже, используя свой MUA по своему выбору..
На практике вашим почтовым клиентом может быть программа, установленная локально на вашем компьютере или телефоне, например Outlook, Thunderbird или Apple Mail. Многие из нас также сейчас используют веб-почту, что является практикой доступа к вашей электронной почте через веб-браузер.. Во всех ситуациях почтовый клиент все еще должен подключиться к MTA, чтобы отправлять электронную почту в пути..
Конфиденциальность вашей электронной почты в пути
Часть пути между MTA не имеет защиты и встроенного шифрования – ваша электронная почта отправляется в виде обычного текста через враждебный Интернет, если вы не примете меры предосторожности. Ваша служба электронной почты может применять некоторые из этих мер предосторожности от вашего имени, например, использовать поддержку шифрования TLS в своих MTA для отправки и получения электронной почты. Однако, поскольку не все почтовые службы поддерживают TLS, каждый почтовый сервер будет корректно отказываться от шифрования TLS и доставлять вашу электронную почту в виде простого текста, если принимающая сторона не может использовать шифрование. Таким образом, вы не можете контролировать, отправляется ли ваша электронная почта через Интернет в зашифрованном виде или нет. Что еще хуже, у вас обычно нет простого способа заранее определить, будет ли шифрование использоваться при транспортировке. Следовательно, рассчитывать на шифрование TLS между MTAs не является надежным способом защиты вашей электронной почты в пути.
Единственный надежный способ защитить вашу электронную почту при передаче – зашифровать ее перед отправкой.. Этот процесс был настолько сложным, что только ботаники сети и профессора могли понять это. Сегодня все больше защищенных почтовых сервисов предлагают очень простые способы шифрования вашей электронной почты, и мы включили эту возможность в наш аудит.
Конфиденциальность вашей электронной почты в состоянии покоя
Независимо от того, как ваша электронная почта передается получателю, после того, как она поступит, она будет некоторое время находиться на серверах почтовой службы получателя.. Всякий раз, когда электронная почта не находится в пути, она считается в состоянии покоя. Более ранние почтовые протоколы, такие как POP (протокол почтового отделения) требуется, чтобы почтовые клиенты периодически отправляли электронные письма с сервера на локальный компьютер получателя. Это означало, что электронные письма были только на сервере временно и были удалены после того, как получатель проверил свою электронную почту. Это было хорошо для почтовых сервисов, потому что им не нужно было предоставлять большие объемы хранилища для хранения электронной почты своих клиентов в течение неопределенного времени. Тем не менее, это было плохо для клиентов, потому что их электронная почта существовала только на последнем компьютере, который проверял их электронную почту, затрудняя ссылаться на электронную почту в офисе, если вы загрузили ее у себя дома. Чтобы это исправить, IMAP (протокол доступа к интернет-сообщениям) родился.
яMAP – это метод поиска по электронной почте это не приводит к автоматическому удалению электронной почты с сервера при получении. Почтовые клиенты, использующие IMAP, отправляют команды на сервер, чтобы сообщения электронной почты можно было пометить как прочитанные, удалить или переместить в другую папку на самом почтовом сервере. Это означает, что мы можем видеть все наши электронные письма в одном и том же состоянии на всех наших устройствах – электронные письма больше не загружаются на последний зарегистрированный компьютер. Теперь это ожидаемое состояние электронной почты и очень удобно для пользователей электронной почты, но оно имеет зловещий недостаток: ваши электронные письма могут жить вечно на серверах вашего почтового провайдера.
В качестве примера я посмотрел старую учетную запись GMail, которую больше не использую. Он имеет электронные письма, начиная с 2005 года.
Электронная почта в покое на серверах вашего почтового провайдера представляет большой риск для конфиденциальности. Плохие парни, которые получают доступ к вашей учетной записи электронной почты, теперь имеют невероятно богатую информацию о вас, датируемую, возможно, десятилетием или более. Правоохранительные органы с ордерами (или без ордеров, в зависимости от вашей страны) могут заставить почтовые службы также передавать все эти данные. Отброшенные жесткие диски и другое компьютерное оборудование иногда стираются не полностью и могут содержать множество сообщений электронной почты.. Поэтому второе рассмотрение любой оценки конфиденциальности электронной почты должно включать, как служба электронной почты обрабатывает вашу электронную почту в состоянии покоя. Мы включили этот фактор в нашу ревизию, а также отметили, может ли провайдер электронной почты дешифровать вашу электронную почту в состоянии покоя по запросу.
На какие факторы конфиденциальности мы смотрели?
Очевидно, что безопасность электронной почты в состоянии покоя и в пути – это два фактора, которые мы рассмотрели. Кроме того, мы рассмотрели обязательства, которые поставщик электронной почты берет на себя в своей политике конфиденциальности и других документах. Первые два фактора носят технический характер, и любой почтовый сервис может предложить их по своему усмотрению. Цель изучения политики конфиденциальности, условий обслуживания и других документов – попытаться охарактеризовать поведение поставщика. Они читают вашу электронную почту? Они делятся этим с другими?
Финальный список выглядит так:
| Читает ли провайдер или сканирует ваши письма?? | (-1 балл) |
| Есть ли почтовые серверы предлагают шифрование TLS для электронной почты в пути? | (+1 балл) |
| Ваше электронное письмо зашифровано в состоянии покоя?? | (+1 балл) |
| Имеет ли провайдер доступ к вашим ключам для расшифровки вашей электронной почты? | (-1 балл) |
| Существуют ли простые в использовании инструменты для отправки и получения зашифрованных писем? | (+1 балл) |
| В политике конфиденциальности прямо указано, что ваши данные не будут переданы? | (+1 балл) |
| Использует ли провайдер свой собственный обработчик платежей или аутсорсинг?? | (+1 балл) |
Мы рассмотрели некоторые безопасные почтовые сервисы, такие как Proton Mail, Tutanota, Hush Mail и Start Mail, а также популярные почтовые сервисы. Те включают Gmail, быстрая почта, Yahoo, Outlook.com, AOL, и Яндекс.
Используемая нами система начисления очков основана на перечисленных выше баллах.. Каждый сервис начинается с нуля баллов и имеет баллы, добавленные или вычтенные в зависимости от предоставляемых ими функций. Если функция не указана службой, она получает 0 баллов, что означает, что она не влияет на оценку в любом направлении.. Идеальный результат – 5 баллов, возможны отрицательные..
| Начать почту | 4/5 | Только избежать идеального результата, не используя внутренний платежный процессор. |
| Tutanota | 4/5 | Упал на аутсорсинг обработки платежей. Веб-интерфейс Tutanota не поддерживает двухфакторную аутентификацию, что является серьезным недостатком. Тем не менее, бета-интерфейс веб-почты Tutatnota поддерживает 2FA, так что недостатки должны быть исправлены в ближайшем будущем.. |
| Протонная Почта | 3/5 | Proton Mail заявляет, что сканирует ваши незашифрованные входящие и исходящие электронные письма. Заявленная цель этого как инструмент устранения спама. |
| Hush Mail | 1/5 | Hush Mail – единственный поставщик защищенной электронной почты, который не обязательно хранит вашу электронную почту в зашифрованном виде. Если электронная почта доставляется в виде простого текста, она сохраняется как таковая и не шифруется. Hush Mail также потерял очки за возможность доступа к вашим ключам дешифрования, если его об этом попросят, хотя он не делает этого во время повседневных операций.. |
| Быстрая почта | 0/5 | Я ожидал, что Fast Mail получит отрицательные оценки, но получил преимущество за шифрование писем в состоянии покоя, что не характерно для «обычных» почтовых служб.. |
| Gmail | 0/5 | Gmail удалось избежать отрицательных результатов исключительно за счет получения балла за то, что он не аутсорсинг своих платежей. Я думаю, что мы все уже знаем, что GMail не является подходящим сервисом для тех, кто хочет сохранить свою электронную почту конфиденциальной.. |
| Outlook.com | -0.2 | Прогнозирует потерянные баллы за сканирование сообщений, возможно, даже не ограничиваясь электронной почтой, и использование этих данных в рекламных целях. |
| AOL Mail | -1/5 | AOL потерял очки за использование данных электронной почты по разным причинам и сканирование электронной почты в некоторых случаях. |
| Почта Яху | -1/5 | Yahoo потеряла очки за сканирование электронной почты и использование данных для рекламы. |
| Яндекс | -1/5 | Яндекс потерял очки за сканирование электронной почты и использование этих данных по разным причинам. |
Ссылки на документы, используемые при оценке
В таблице выше приведены номера сносок, соответствующие приведенному ниже списку. Учтите, что со временем эти документы могут измениться..
Источники:
1. ProtonMail: https://protonmail.com/privacy-policy
2. Тутанота: https://tutanota.com/terms
3.Тутанота: https://tutanota.com/howto/#email-encryption
4.Тутанота: https://tutanota.com/faq/
5.Hushmail: https://www.hushmail.com/privacy/
6.StartMail: https://www.startmail.com/en/terms-of-service/
7.StartMail: https://www.startmail.com/en/privacy/
8.GMail: https://policies.google.com/privacy
9.Fastmail: https://www.fastmail.com/about/privacy.html
10. Почта Yahoo (присяга): https://policies.yahoo.com/us/en/yahoo/privacy/products/mail/
11.Yahoo: https://policies.yahoo.com/us/en/yahoo/privacy/topics/thirdparties/index.htm
12.Outlook: https://privacy.microsoft.com/en-ca/privacystatement
13.AOL (Клятва): http://privacy.aol.com/privacy-policy/
14.Yandex: https://yandex.com/legal/privacy/
Смотрите также:
Лучшие VPN для Tor для максимальной конфиденциальности
Поставщики электронной почты могут сделать больше для защиты своих пользователей. Вот как
Как зашифровать почту
Как использовать Hushmail для шифрования вашей электронной почты
», ваше письмо отправляется на почтовый сервер, который может находиться где угодно в мире. Затем сервер отправляет письмо на другой сервер, который может находиться еще дальше от вашего получателя. В конечном итоге, письмо доставляется на почтовый сервер вашего получателя, где оно хранится до тех пор, пока получатель не откроет его.
В процессе передачи письма через различные серверы, оно может быть перехвачено злоумышленниками, которые могут прочитать его содержимое. Кроме того, почтовые серверы могут хранить копии писем на неопределенный срок, что может представлять угрозу для конфиденциальности.
Поэтому, если вы хотите сохранить конфиденциальность своей электронной почты, вам следует использовать почтовые сервисы, которые предлагают шифрование и другие меры защиты данных. В этой статье мы рассмотрели некоторые из самых популярных почтовых сервисов и их политику конфиденциальности.