10 електронних служб порівняно щодо конфіденційності та безпеки: Gmail, ProtonMail, Outlook та багато іншого

захищена приватна електронна пошта


Кожен, хто зацікавлений у конфіденційності Інтернету, напевно, вже зараз зрозумів, що електронна пошта не є по суті безпечною. Він надсилається через недовірені точки в Інтернеті, простим читабельним текстом, і надходить на сумнівно захищений сервер, щоб нарешті його прочитати. Оскільки електронна пошта еволюціонувала для використання для інформації, яку ми краще зберігаємо у приватному режимі, існує все більший інтерес до того, наскільки служби електронної пошти захищатимуть наші дані. У цій статті ми розглядаємо політику конфіденційності та фактори конфіденційності деяких найпопулярніших сервісів електронної пошти.

Дивись також: Як зашифрувати електронну пошту

Які найкращі електронні листи для конфіденційності & безпека?

Для тих із вас, хто просто хоче остаточні бали, ось вони. Оцінки та методологія, яку ми використовували, матимуть більше сенсу, якщо ви прочитаєте всю статтю.

ProviderScore Сканує вашу електронну поштуПіднімає шифрування TLSЗашифрований електронний лист у стані спокоюДоступ до ключів розшифровкиПредлагає вбудований код шифрування електронної пошти (PGP) Штати діляться даними, крім підтримки
Запустити пошту4Не вказано. Для боротьби зі спамом "ми не можемо надати повну інформацію про заходи, які ми застосовуємо"ТакТакНе чисто. Штати, які будуть виконувати вимоги законодавства Голландії. Це не здається можливим, якщо він не може розшифрувати.ТакНіНі. Використовує Огоне.
Тутанота4Не вказано прямо, але шифрування відбувається локально, тому це здасться неможливим. [4]ТакТак [3]Ні.ТакНі. "Ми не будемо розголошувати ваші особисті дані, включаючи вашу електронну адресу, третім особам категорично."Ні. Використовує Брейнтрі.
Протонна пошта3Так. Нешифровані вхідні та вихідні для спаму.ТакТакНіТакНі. "Ми розкриємо лише обмежені дані користувачів, які ми маємо, якщо нам надійде повідомлення прокуратури Женеви або Федеральної поліції Швейцарії."Ні, але приймає Bitcoin.
Тиша пошта1Не вказано.ТакНі. Електронна пошта зберігається під час надходження. Якщо незашифрована, то зберігається незашифрована.Ні, але можна ввімкнути це, коли цього вимагає закон.ТакНіНі. Використовується неназваний сторонній процесор оплати.
Швидка пошта0Так, для спаму. Захист від спаму, що надходить, може бути відключений.ТакТакТак. Скористався процесом сканування спаму.НіНіНі. Використовує смужку, шпильку та Paypal.
GMail0Так для рекламних і спам-цілей.ТакНе вказаноН / ЗНіПоділиться за рекламу.Так. Google Payments.
AOL Mail-1Якщо не AOL "засоби зв’язку" використовуються.ТакНе вказаноН / ЗНіПоділимося з різних причин.Не вказано
Прогноз-1Так. Посилається від "ми не використовуємо те, що ви говорите в електронній пошті, чаті, відеодзвінках чи голосовій пошті, а також ваші документи, фотографії та інші особисті файли для націлювання оголошень на вас."ТакНе вказаноН / ЗНіПоділимося з різних причин.Не вказано
Yahoo Mail-1Так для реклами та спаму.ТакНе вказаноН / ЗНіПоділиться за рекламу.Не вказано, але перераховує Paypal як третю сторону, тому не припускаю.
Яндекс-1Так, для рекламних цілей.ТакНе вказаноН / ЗНіПоділимося з різних причин.Не вказано

* Джерела

Електронна пошта має кілька векторів нападу на конфіденційність

Для того, щоб зрозуміти, як електронну пошту можна зробити приватною, важливо зрозуміти, як працює електронна пошта. Коли ви пишете або відповідаєте на електронний лист, ви робите це на якомусь клієнті електронної пошти, який іноді може називатися агентом користувача пошти (MUA). Після натискання кнопки “Надіслати” ця електронна пошта залишає клієнта та надсилається агенту передачі пошти вашої служби електронної пошти (MTA). Звідси електронний лист надсилається через Інтернет до MTA вашого одержувача, який розміщує його у вхідних. Потім вона може прочитати його на більш пізній час, використовуючи свій MUA на вибір.

На практиці вашим клієнтом електронної пошти може бути програма, встановлена ​​локально на вашому комп’ютері чи телефоні, наприклад Outlook, Thunderbird або Apple Mail. Зараз багато хто з нас також використовує Webmail, що є практичним доступом до електронної пошти через веб-браузер. У будь-яких ситуаціях клієнту електронної пошти все-таки доводиться підключатися до MTA, щоб надсилати електронну пошту на шляху.

Конфіденційність вашої електронної пошти в дорозі

Частина подорожі між MTA не має вбудованої безпеки та шифрування – ваш електронний лист надсилається простим текстом через ворожий Інтернет, якщо ви не дотримуєтесь запобіжних заходів. Ваша служба електронної пошти може виконати деякі з цих заходів безпеки від вашого імені, наприклад, використання підтримки для шифрування TLS у своїх MTA для надсилання та отримання електронної пошти. Однак, оскільки не всі служби електронної пошти підтримують TLS, кожен поштовий сервер витончено відкине TLS-шифрування та доставить вашу електронну пошту в простому тексті, якщо приймаюча сторона не може використовувати шифрування. Отже, у вас немає реального контролю над тим, чи надсилається ваш електронний лист через зашифрований Інтернет чи ні. Що ще гірше, зазвичай у вас немає простого способу заздалегідь сказати, чи буде шифрування використовуватись у транспорті. Тому, розраховувати на шифрування TLS між MTA – це не надійний спосіб забезпечення вашої електронної пошти під час транзиту.

Єдиний надійний спосіб захисту електронної пошти під час транзиту – це зашифрувати її перед відправкою. Цей процес раніше був настільки складним, що тільки розумні працівники Інтернету та професори могли це зрозуміти. Сьогодні все більша кількість безпечних служб електронної пошти пропонують дуже прості способи шифрування електронної пошти, і ми включили цю можливість у наш аудит.

Конфіденційність вашої електронної пошти в спокої

Незалежно від того, яким чином ваш електронний лист передається вашому одержувачу, після його надходження він деякий час буде сидіти на серверах електронної пошти одержувача.. Кожен раз, коли електронна пошта не перебуває в дорозі, вона вважається в спокої. Раніші протоколи електронної пошти, такі як POP (протокол поштового відділення) потрібні клієнти електронної пошти періодично витягувати електронні листи з сервера на локальний комп’ютер одержувача. Це означало, що електронні листи були лише на сервері тимчасово і їх видаляли, як тільки одержувач перевіряв свою електронну пошту. Це було добре для електронних служб, оскільки їм не потрібно було надавати величезну кількість пам’яті, щоб зберігати електронні листи своїх клієнтів на невизначений термін. Однак для клієнтів це було погано, оскільки їх електронна пошта існувала лише на останньому комп’ютері, який перевіряв їхню електронну пошту, що ускладнює посилання на електронну пошту в офісі, якщо ви завантажили її у себе вдома. Щоб виправити це, IMAP (протокол доступу до Інтернет-повідомлень) народився.

ЯMAP – спосіб пошуку електронної пошти що автоматично не видаляє електронну пошту з сервера під час її отримання. Клієнти електронної пошти, що використовують IMAP, надсилають команди на сервер, щоб електронні листи могли бути позначені як прочитані, видалені або переміщені до іншої папки на самому поштовому сервері. Це означає, що ми можемо побачити всі наші електронні листи в одному стані на всіх наших пристроях – електронні листи більше не завантажуються на останній комп’ютер, на якому зареєстровано. Зараз це очікуваний стан електронної пошти і дуже зручно для користувачів електронної пошти, але він має зловісний мінус: ваші електронні листи можуть назавжди жити на серверах постачальника електронної пошти.

Як приклад, я подивився на старий обліковий запис GMail, який я більше не використовую. У ньому є електронні листи, починаючи з 2005 року.

Електронна пошта в спокої на серверах провайдера електронної пошти – це великий ризик конфіденційності. Погані хлопці, які отримують доступ до вашого облікового запису електронної пошти, зараз мають неймовірно багату інформацію про вас, можливо, ще десятиліття або більше. Правоохоронні органи з ордерами (або відсутні ордери, залежно від вашої країни) можуть змусити служби електронної пошти також передавати всі ці дані. Викинуті жорсткі диски та інше обчислювальне обладнання іноді стираються неповно і можуть містити поштові листи. Тому другий розгляд будь-якої оцінки конфіденційності електронної пошти повинен включати, як служба електронної пошти обробляє вашу електронну пошту в спокої. Цей фактор ми включаємо до нашого аудиту, а також зазначаємо, чи може постачальник електронної пошти розшифрувати вашу електронну пошту в спокої, якщо запитає.

На які фактори конфіденційності ми звернули увагу?

Очевидно, що безпека електронної пошти в спокої та в дорозі – це два фактори, на які ми дивилися. Крім того, ми розглянули зобов’язання, які постачальник електронної пошти бере на себе у своїй політиці конфіденційності та інших документах. Перші два фактори мають технічний характер, і будь-яка електронна пошта може запропонувати їх, якщо захоче. Мета розробити політику конфіденційності, умови надання послуг та інші документи – спробувати охарактеризувати поведінку постачальника. Чи читають вони ваш електронний лист? Вони діляться цим з іншими?

Остаточний список виглядає приблизно так:

Чи читає чи сканує ваш електронний лист постачальник?(-1 бали)
Чи пропонують поштові сервери шифрування TLS для електронної пошти під час транзиту?(+1 бал)
Чи зашифрований ваш електронний лист у спокої?(+1 бал)
Чи має постачальник доступ до ваших ключів, щоб розшифрувати вашу електронну пошту?(-1 бали)
Чи є прості у використанні інструменти для надсилання та отримання зашифрованих електронних листів?(+1 бал)
Чи в політиці конфіденційності чітко зазначено, що ваші дані не поділяться?(+1 бал)
Чи постачальник використовує власний внутрішній платіжний процесор чи передає його в аутсорсинг?(+1 бал)

Ми розглянули деякі безпечні послуги електронної пошти, такі як Proton Mail, Tutanota, Hush Mail і Start Mail, а також популярні основні сервіси електронної пошти. До них відносяться Gmail, Fast Mail, Yahoo, Outlook.com, AOL, і Яндекс.

Система балів, яку ми використовували, базується на балах, перелічених вище. Кожна послуга починається з нульових балів і додає або відраховує бали на основі функцій, які вони надають. Якщо функція не вказана службою, вона набирає 0 балів, що означає, що вона не впливає на бал в жодному напрямку. Ідеальний бал – 5 балів, і можливі негативні бали.

Коміменти провайдера
Запустити пошту4/5Тільки уникайте ідеального балу, не використовуючи внутрішній процесор оплати.
Тутанота4/5Не вистачає недоліків на обробку оплати. Веб-інтерфейс Tutanota не підтримує двофакторну автентифікацію, що є серйозним недоліком. Однак, бета-інтерфейс веб-пошти Tutatnota підтримує 2FA, так що недолік повинен бути усунений найближчим часом.
Протонна пошта3/5Proton Mail стверджує, що вона сканує ваші незашифровані вхідні та вихідні електронні листи. Зазначена мета цього – як інструмент для усунення спаму.
Тиша пошта1/5Hush Mail – єдиний захищений постачальник електронної пошти, який не обов’язково зберігає вашу електронну пошту в спокої зашифрованому. Якщо електронна пошта доставляється в простому тексті, вона зберігається як така і не шифрується. Hush Mail також втратила бали за можливість отримати доступ до ваших ключів дешифрування, якщо його попросять, хоча це не робиться під час щоденних операцій.
Швидка пошта0/5Я очікував, що Fast Mail набере мінус, але він отримав бал за шифрування електронних листів у спокої, що є особливістю, яка не є звичайною серед “звичайних” служб електронної пошти.
Gmail0/5Gmail вдалося осторонь негативних результатів, лише отримавши бал за не аутсорсинг своїх платежів. Я думаю, що ми всі зараз знаємо, що GMail не є підходящим сервісом для тих, хто хоче зберегти свої електронні листи приватними.
Outlook.com-0,2Шукає втрачені бали за сканування комунікацій, можливо, навіть не обмежуючись електронною поштою та використання цих даних для рекламних цілей.
AOL Mail-1/5AOL втратила бали за використання даних електронної пошти з різних причин та сканування електронних листів у деяких випадках.
Yahoo Mail-1/5Yahoo втратив бали за сканування електронних листів та використання даних для реклами.
Яндекс-1/5Яндекс втратив бали за сканування електронних листів та використання цих даних з різних причин.

Посилання на документи, які використовуються в оцінці

У таблиці вище розміщені виноски, що співвідносяться зі списком нижче. Зауважте, що з часом ці документи можуть змінюватися.

Джерела:

1.ProtonMail: https://protonmail.com/privacy-policy
2.Тутанота: https://tutanota.com/terms
3.Tutanota: https://tutanota.com/howto/#email-encryption
4.Тутанота: https://tutanota.com/faq/
5.Hushmail: https://www.hushmail.com/privacy/
6.StartMail: https://www.startmail.com/en/terms-of-service/
7.StartMail: https://www.startmail.com/uk/privacy/
8.GMail: https://policies.google.com/privacy
9.Fastmail: https://www.fastmail.com/about/privacy.html
10. Yahoo Mail (Присяга): https://policies.yahoo.com/us/en/yahoo/privacy/products/mail/
11.Yahoo: https://policies.yahoo.com/us/en/yahoo/privacy/topics/thirdparties/index.htm
12.Огляд: https://privacy.microsoft.com/en-ca/privacystatement
13.AOL (Присяга): http://privacy.aol.com/privacy-policy/
14.Яндекс: https://yandex.com/legal/privacy/

Дивись також:

Найкращі VPN для Tor для максимальної конфіденційності
Постачальники електронної пошти можуть зробити більше для захисту своїх користувачів. Ось як
Як зашифрувати електронну пошту
Як використовувати Hushmail для шифрування електронної пошти

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map