奇怪的是,要弄清楚 SSL 如何与电子邮件配合使用非常困难,至少在回答我的具体问题方面是如此 - 当我使用 SSL 连接到 Gmail 时,我知道我的连接是安全的,因此我的计算机和 GMAIL 服务器之间的数据都是加密的。但是,SSL 的作用就仅限于此吗?例如,当我在计算机上打开电子邮件时,Mountain View(或其他地方)和我家之间的数据是加密的?这是否意味着,如果我向也使用 Gmail 的朋友发送电子邮件,并且启用了 SSL/secure Gmail,那么如果我向他的 Gmail 帐户发送一封带有附件的电子邮件,那么该电子邮件以及附件都会在我的计算机上加密,并发送到 Gmail 服务器,然后如果我的朋友使用 SSL,那么他也可以安全地获取该电子邮件?所以没有必要使用那些 Firefox 加密插件?它们只是为了更强大的加密算法吗?
总而言之,以下是我认为我学到的东西(并为其他人阅读提供了总结)。如果我错了,请纠正我:
gmail 使用 HTTP 向 google 服务器发送电子邮件。gmail 还使用 HTTP 从 google 服务器检索电子邮件。当您使用 https(而不是 http)连接到 google 服务器时,您的 gmail 客户端和 gmail 服务器之间的连接是安全的,并且在两者之间来回传输的数据是加密的。
使用客户端(例如,Thunderbird)时,SMTP 用于发送电子邮件,IMAP/POP 用于检索电子邮件。在附加组件/选项级别,您可以告诉这些客户端在 SMTP 和 IMAP/POP 步骤中使用 TLC。
谷歌服务器在其服务器之间来回转发电子邮件时可能不会使用带有 SMTP 的 TLS。
结论 - 如果使用 gmail,请始终使用 HTTPS,但要知道 google 的服务器之间没有加密,但在“外部世界”,google 客户端之间的连接(只要使用 https)是安全的。如果使用 thunderbird(或其他东西)请打开 TLS。
它是否正确?
答案1
当您信任使用 SSL 加密的站点的证书时,您可以:
- 相信与该 Web 服务器的连接是加密的。
- 相信该网络服务器的身份是正确的(即它不是网络钓鱼诈骗)。
- 相信没有人会拦截您到网络服务器的流量(中间人)。
(当然,这里最重要的是你相信Google 邮件服务器提供的证书,通常您应该 :-))
撰写电子邮件时,您在表单中提交的数据将通过 HTTPS 加密,因为它会从您的客户端浏览器传输到 Gmail 服务器,然后由 Gmail 服务器将其传递给 SMTP 服务器。当您在浏览器中显示来自服务器的邮件时,这些数据也会被加密。
但是,SMTP 不会加密邮件。有几种方法可以使用 IMAP 和 POP 上的 TLS(传输层安全性)来加密从用户/客户端到服务器的身份验证数据。当您通过带有 TLS 的 IMAP/POP 连接时,您在检索邮件时收到的数据是从服务器加密到您的。IMAP 和 POP 只是检索协议。当您使用外部客户端(如 Thunderbird)发送邮件时,邮件将通过 SMTP 服务器。也可以使用带有 SMTP 的 SASL/TLS 来加密,但同样,这只是从您的客户端到服务器,而不是从服务器到最终目的地。
如果您想端到端地发送和接收加密电子邮件,无论它在网络上的哪个位置,那么您需要考虑 PGP/GPG 之类的解决方案。有关此内容的更多信息,请参阅我问的问题。Gmail 的 WebUI 不支持使用 PGP/GPG,因此您需要使用外部邮件客户端进行设置,例如雷鸟,邮件应用程序, 或者外表(或其他)。
至于您从 Gmail 帐户向朋友的 Gmail 帐户发送的电子邮件,它是在 Google 的内部邮件基础设施内发送的。这可能在服务器之间有一个或多个跃点,但通常停留在其私有 (10.xxx) 网络内。您可以通过查看朋友发送的电子邮件的标题来验证这一点。在 Gmail 网络用户界面中的电子邮件中,点击“回复”旁边的下拉按钮,然后单击“显示原始邮件”。您要查找以“已收到:”开头的行,如下所示:
Received: by 10.215.12.12 with SMTP id p12cs100615qai;
Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.100.20 with SMTP id x20mr2195513agb.12.1232319857088;
Sun, 18 Jan 2009 15:04:17 -0800 (PST)
Received: by 10.90.68.11 with HTTP; Sun, 18 Jan 2009 15:04:17 -0800 (PST)
这是我的 Gmail 到 Gmail 邮件。此处的第一条(最后一条)消息表明邮件服务器 10.90.68.11 通过 HTTP 连接(webui)收到了相关邮件。然后邮件通过 SMTP 发送到 10.90.100.20,再通过 SMTP 发送到 10.215.12.12,然后发送给我。
再次强调,虽然这一切都是在 Google 网络内部进行的,但 SMTP 不应被视为发送敏感信息的安全协议。任何有权访问上述链中系统的人都可能阅读该消息。另请注意,Google Apps 可能会通过其网络上具有外部地址的网关系统(但仍归 Google 所有)。
答案2
您的数据不安全。
人们总是担心传输中的数据,但基本事实是数据存储是攻击发生的主要地点。例如,信用卡通常是从文件和数字数据库中被盗,而不是从数字的传输中被盗。
Google 会存储您的数据。存储过程未加密。Google 员工或入侵 Google 的人有朝一日可以阅读这些数据,如果他们真的想的话。邮件收件人也可以阅读这些数据,收件人邮件服务器(ISP 或公司)的所有者也可以阅读这些数据。如果收件人使用的是普通邮件客户端,这些数据会存储在其计算机上。收件人安装的任何间谍软件或 rootkit 都可以访问这些数据。
在途中,杰伯曼没错。如果您相信向您发送证书的机器是 Google,并且相信 Verisign 或其他值得信赖的公司会告诉您 Google 确实向您发送了 Google 的证书,那么您的浏览器就是在与 Google 对话。当浏览器通过 https 使用证书与 Google 对话时,传输是加密的。这很好,因为这意味着您网络上所有其他可能装有间谍软件或爱管闲事的用户的 PC 以及网络管理员都无法看到您每天对他们抱怨多少。
您还必须信任您的浏览器及其所有插件。它们几乎可以在您发送表单之前读取表单中的内容。一般来说,您可以信任它,但不要信任那些每个人都要求您随下载的所有免费程序一起安装的那些爱管闲事的工具栏。
但总体而言,假设您向某人发送了一封电子邮件,其中包含您的税号、出生日期、当前地址和法定姓名,雇主可能需要知道这些信息,您会认为这是敏感信息。那么,该电子邮件将永久存储在 Google 的已发送邮件区域中。即使您将其删除。收件人将在其收件箱中存储一份副本。收件人的邮件服务器可能存储了一份副本。收件人邮件服务器域的邮件服务器可能存储了一份副本,但不会存储很长时间。中间还有许多其他服务器。此外,SMTP 在这些服务器之间发送邮件时完全没有加密,但更可怕的是,一些犯罪分子的恶意程序可能会在正确的时间监听正确的网络以捕获传输中的数据,或者其他犯罪分子的恶意程序可能有一天会安装在现在包含副本的任何机器上,找到该副本,然后将数据发送给犯罪分子的组织?
答案3
GMAIL 的 SSL 加密只能保护传输中的数据。因此,在您的电子邮件从您发送到 Gmail,然后从 Gmail 发送到您的朋友的例子中,所有传输都将被加密,但是,Gmail 服务器上的静态数据(您已发送邮件中的副本和您朋友收件箱中的副本)都是可读数据。如果您相信 Google 可以保证您的数据安全,那么就没问题。
您正在考虑哪一个 Firefox 附加组件?
jtimberman 是对的,你需要一个像 pgp/gpg 这样的第三方程序来加密你的邮件,这样 Google 就无法阅读它们。