GMail- und SSL-Verschlüsselung - wie viel ist verschlüsselt

13731
Tony Stark

Es ist seltsam schwierig herauszufinden, wie SSL mit E-Mails funktioniert, zumindest wenn ich meine spezifische Frage beantworte. Wenn ich mich per SSL mit Google Mail verbinde, verstehe ich, dass meine Verbindung sicher ist und somit alle Daten zwischen MY COMPUTER und dem GMAIL-Server verschlüsselt werden . Ist das aber alles SSL? Wenn ich zum Beispiel eine E-Mail auf meinem Computer öffne, werden die Daten zwischen Mountain View (oder was auch immer) und meinem Haus verschlüsselt. Wäre das dann, wenn ich meinem Freund eine E-Mail schicke, der auch Gmail mit aktiviertem SSL / Secure Gmail verwendet, dann, wenn ich eine E-Mail mit einem Anhang zu seinem Google Mail-Konto verschicke, werden die E-Mail sowie der Anhang auf meinem Computer verschlüsselt und an GMail gesendet Server, und wenn mein Freund SSL verwendet, kann er die E-Mail auch sicher abrufen? Es gibt also keine Notwendigkeit für diese Firefox-Verschlüsselungs-Addons? Sind dies nur für robustere Verschlüsselungsalgorithmen?

Zusammenfassend gesagt, hier ist das, was ich glaube, gelernt zu haben (und bietet eine Zusammenfassung für das Lesen anderer). Bitte korrigieren Sie mich, wenn ich falsch bin:

  1. Google Mail sendet E-Mails an Google-Server mit HTTP. gmail ruft auch E-Mails von Google-Servern mit HTTP ab. Wenn Sie über https (im Gegensatz zu http) eine Verbindung zu den Google-Servern herstellen, ist die Verbindung zwischen Ihrem Google Mail-Client und den Google Mail-Servern sicher, und die Daten werden zwischen den beiden hin und her verschlüsselt.

  2. Bei Verwendung eines Clients (z. B. Thunderbird) wird SMTP zum Senden von E-Mails und IMAP / POP zum Abrufen von E-Mails verwendet. Auf der Add-On / Option-Ebene können Sie diesen Clients mitteilen, dass sie TLC sowohl für die SMTP- als auch für die IMAP / POP-Schritte verwenden sollen.

  3. Die Google-Server verwenden TLS wahrscheinlich nicht mit SMTP, wenn E-Mails zwischen ihren Servern hin- und hergeschickt werden.

  4. Fazit: Wenn Sie Google Mail verwenden, verwenden Sie immer HTTPS, wissen jedoch, dass zwischen den Servern von Google keine Verschlüsselung vorhanden ist. In der Außenwelt ist die Verbindung zwischen den Google-Clients (sofern sie https verwenden) jedoch sicher. Wenn Sie Thunderbird (oder etwas anderes) verwenden, aktivieren Sie TLS.

Ist das richtig?

15

3 Antworten auf die Frage

14
jtimberman

Wenn Sie dem Zertifikat der mit SSL verschlüsselten Site vertrauen, können Sie:

  • Vertrauen Sie darauf, dass die Verbindung zu diesem Webserver verschlüsselt ist.
  • Vertrauen Sie darauf, dass die Identität dieses Webservers korrekt ist (dh kein Phishing-Betrug).
  • Vertrauen Sie darauf, dass jemand Ihren Datenverkehr zum Webserver nicht abfängt (Mann in der Mitte).

(Wichtig ist hierbei natürlich, dass Sie dem vom Google Mail-Server vorgelegten Zertifikat vertrauen, was Sie generell tun sollten :-))

Die Daten, die Sie beim Erstellen einer E-Mail in einem Formular übermitteln, werden durch HTTPS verschlüsselt, wenn sie von Ihrem Client-Browser an den Google Mail-Server übermittelt werden, der sie an den SMTP-Server weiterleitet. Wenn Sie E-Mails vom Server aus in Ihrem Browser anzeigen, wird diese ebenfalls verschlüsselt.

SMTP verschlüsselt jedoch keine E-Mails. Es gibt Möglichkeiten, TLS (Transport Layer Security) über IMAP und POP zu verwenden, um die Authentifizierungsdaten vom Benutzer / Client zum Server zu verschlüsseln. Wenn Sie sich über IMAP / POP mit TLS verbinden, werden die Daten, die Sie beim Abrufen von E-Mails erhalten, vom Server zu Ihnen verschlüsselt. IMAP und POP sind nur Abrufprotokolle. Wenn Sie einen externen Client wie Thunderbird zum Senden von E-Mails verwenden, wird dieser über einen SMTP-Server gesendet. Dies kann auch mit SASL / TLS mit SMTP verschlüsselt werden. Dies gilt jedoch nur vom Client zum Server und nicht vom Server zum endgültigen Ziel.

Wenn Sie verschlüsselte E-Mails senden und empfangen möchten, unabhängig davon, wo sie sich im Netzwerk befinden, müssen Sie sich eine Lösung wie PGP / GPG ansehen. Weitere Informationen hierzu finden Sie in der von mir gestellten Frage . Das Webui von Google Mail unterstützt die Verwendung von PGP / GPG nicht. Daher müssen Sie dies mit einem externen E-Mail-Client wie Thunderbird, Mail.app oder Outlook (oder anderen) einrichten .

Soweit E-Mails, die Sie von Ihrem Google Mail-Konto an das Google Mail-Konto eines Freundes senden, werden diese innerhalb der internen E-Mail-Infrastruktur von Google gesendet. Dies kann einen oder mehrere Hops zwischen Servern haben, verbleibt jedoch normalerweise in ihrem privaten Netzwerk (10.xxx). Sie können dies überprüfen, indem Sie die Kopfzeilen der E-Mail anzeigen, die Ihr Freund sendet. Klicken Sie in der E-Mail im Google Mail-Webui auf die Dropdown-Schaltfläche neben "Antworten" und klicken Sie auf "Original anzeigen". Sie suchen nach Zeilen, die mit "Received:" beginnen, wie diese:

Received: by 10.215.12.12 with SMTP id p12cs100615qai; Sun, 18 Jan 2009 15:04:17 -0800 (PST) Received: by 10.90.100.20 with SMTP id x20mr2195513agb.12.1232319857088; Sun, 18 Jan 2009 15:04:17 -0800 (PST) Received: by 10.90.68.11 with HTTP; Sun, 18 Jan 2009 15:04:17 -0800 (PST) 

Dies ist eine Google Mail-Nachricht an Google Mail, die ich habe. Die erste (letzte) Nachricht gibt an, dass der Mail-Server 10.90.68.11 die betreffende Nachricht von einer HTTP-Verbindung (Webui) erhalten hat. Dann ging die Post über SMTP an 10.90.100.20, dann an SMTP an 10.215.12.12, wo sie mir zugestellt wurde.

Auch wenn dies alles intern im Google-Netzwerk ist, sollte SMTP nicht als sicheres Protokoll für das Senden sensibler Informationen betrachtet werden. Jeder, der Zugriff auf die Systeme in der obigen Kette hat, kann die Nachricht möglicherweise lesen. Beachten Sie auch, dass Google Apps in ihrem Netzwerk möglicherweise ein Gateway-System mit einer externen Adresse durchläuft (das jedoch immer noch im Besitz von Google ist).

Ich möchte hinzufügen, dass das SSL einen Mann in der Mitte des Phishing-Betrugs verhindern würde, aber es ist nicht garantiert, dass ein ähnlicher Phishing-Angriff mit Namen verhindert wird. EBGreen vor 15 Jahren 0
Wenn ich das also verstehe, stellt SSL eine sichere HTTP-Verbindung bereit (daher https), aber die E-Mail wird nicht über HTTP gesendet, sondern über SMTP und das wird nicht durch SSL verschlüsselt. Tony Stark vor 15 Jahren 0
SMTP ist also möglicherweise kein sicheres Protokoll, aber wenn SSL eingerichtet ist, umfasst dies auch SMTP? Und IMAP und POP würden nicht durch SSL abgedeckt / verschlüsselt? Tony Stark vor 15 Jahren 1
@hatorade habe ich im Satz nach den Kugeln klargestellt und diese erweitert. jtimberman vor 15 Jahren 0
@hatorade habe ich auch über imap / pop geklärt. Ich hoffe diese Antwort hilft, gute Frage! jtimberman vor 15 Jahren 0
@jtimberman tut mir leid, dass ich hartnäckig bin, aber es hilft mir wirklich, es zu verstehen, indem ich es stark zerlege. Wenn ich eine E-Mail mit Google Mail mit https (und ich habe gerade gelernt, dass TLS alias SSL ist) gesendet wurde, welches Protokoll wird dann von meinem Comp an google gesendet? HTTP immer? Ich lese auf Wikipedia-Kunden kann SMTP verwenden. Bei einer https-Verbindung zu Google Mail werden diese ebenfalls mit IMAP / POP zum Abrufen von E-Mails verschlüsselt. Daher sind die einzigen Schlupflöcher bei der Verschlüsselung: - Wenn ich oder mein Freund in Google Mail kein https verwendet - das Senden der E-Mail zwischen den internen Mail-Servern von Google über normales SMTP Tony Stark vor 15 Jahren 0
@hatorade yes Wenn Sie die Webmail-Benutzeroberfläche verwenden, verwenden Sie HTTP, um von Ihrem Browser an den Google Mail-Server zu senden. IMAP / POP sind Protokolle, die von E-Mail-Clients (wie Thunderbird / Outlook) zum Abrufen von E-Mails verwendet werden. Die E-Mail zwischen den internen Mail-Servern von Google erfolgt über SMTP (siehe 'Mit SMTP' in den empfangenen Zeilen). jtimberman vor 15 Jahren 0
8
dlamblin

Ihre Daten sind nicht sicher.

Die Menschen sind immer besorgt über die Daten während der Übertragung, aber die grundlegende Tatsache ist, dass der Datenspeicher der Hauptpunkt ist, an dem Angriffe stattfinden. ZB Kreditkarten werden in der Regel aus Dateien und Datenbanken mit Nummern gestohlen und nicht aus dem Transport der Nummern.

Google speichert Ihre Daten. Der Speicher wird nicht verschlüsselt. Leute bei Google oder diejenigen, die Google kompromittieren, können es eines Tages lesen, wenn sie es wirklich wollen. Der Empfänger der Mail kann sie auch lesen, und der Eigentümer des Mail-Servers des Empfängers (ISP oder Firma) kann dies auch. Wenn der Empfänger einen normalen E-Mail-Client verwendet, wird er auf seinem Computer gespeichert. Hier können alle Spyware oder Rootkits, die der Empfänger installiert hat, darauf zugreifen.

Auf der Durchreise hat jtimberman recht. Ihr Browser spricht mit Google, wenn Sie darauf vertrauen, dass das Gerät, von dem Sie das Zertifikat erhalten haben, Google ist und dass Verisign oder derjenige, der ein vertrauenswürdiges Unternehmen ist, das Ihnen mitteilt, dass Google Ihnen tatsächlich ein Google-Zertifikat gesendet hat. Während der Browser mit dem Zertifikat über https mit Google kommuniziert, wird die Übertragung verschlüsselt. Das ist schön, denn dies bedeutet, dass alle anderen PCs in Ihrem Netzwerk mit möglichen Spyware- oder Neugiernutzern und der Netzwerkadministrator nicht lesen können, wie viel Sie sich jeden Tag darüber beschweren.

Sie müssen auch Ihrem Browser UND allen Plug-Ins vertrauen. Sie können so ziemlich nur lesen, was sich in den Formularen befindet, bevor Sie sie überhaupt gesendet haben. Im Allgemeinen können Sie sich darauf verlassen, aber nicht auf die neugierigen Symbolleisten, die Sie von allen neben den kostenlosen Programmen, die Sie herunterladen, verlangt werden.

Angenommen, Sie haben jemandem eine E-Mail geschickt, in der Ihre Steuer-ID, Ihr Geburtsdatum, Ihre aktuelle Adresse und Ihr gesetzlicher Name enthalten waren. Dies muss ein Arbeitgeber vielleicht wissen. Sie würden dies als sensible Informationen bezeichnen. Nun, diese E-Mail wird für immer im gesendeten Bereich von Google gespeichert. Auch nachdem Sie es gelöscht haben. Der Empfänger speichert eine Kopie in seinem Posteingang. Der Mailserver des Empfängers könnte eine Kopie speichern. Der Mail-Server der Domäne des Mail-Servers des Empfängers könnte eine Kopie speichern, jedoch nicht für lange Zeit. Und eine Reihe von Servern dazwischen. ALSO smtp sendet E-Mails zwischen diesen beiden recht unverschlüsselt. Was jedoch beängstigend ist, ist, dass das bösartige Programm eines Kriminellen zum richtigen Zeitpunkt das richtige Netzwerk hört, um die Daten während der Übertragung zu fangen, oder dass andere kriminelle Personen.

3
SacRyan

Die SSL-Verschlüsselung von GMAIL schützt Ihre Daten nur beim Transport. In Ihrem Beispiel für Ihre E-Mail-Nachricht, die von Google Mail zu Google Mail und dann von Google Mail an Ihren Freund gesendet wird, werden alle Übertragungen verschlüsselt. Die auf den Google Mail-Servern gespeicherten Daten (eine Kopie in den gesendeten Elementen und eine Kopie in den Posteingang Ihres Freundes) wären alle lesbaren Daten. Wenn Sie darauf vertrauen, dass Google Ihre Daten sicher hält, sind Sie in Ordnung.

An welche der Firefox-Add-Ons denkst du?

jtimberman hat Recht, dass Sie ein Programm von Drittanbietern wie pgp / gpg benötigen, um Ihre E-Mail-Nachrichten zu verschlüsseln, damit Google sie nicht lesen kann.

SSL würde also sowohl über meine Verbindung gesendete HTTP-Daten als auch SMTP-Daten verschlüsseln? Tony Stark vor 15 Jahren 0
@hatorade, verschlüsselt SSL nur den Datenverkehr zwischen Ihrem Browser und dem Webserver von GMail. Von da an können Sie nicht wissen, ob etwas verschlüsselt ist oder nicht. gustafc vor 15 Jahren 0
@sacryan Ich wollte FireGPG verwenden Tony Stark vor 15 Jahren 0