web-dev-qa-db-ja.com

BCCingの電子メールは信頼できることが保証されていますか?

言い換えれば、受信者の誰もがBCCで電子メールを見ることはないというのは安全な仮定ですか?受信者が(送信者ではなく)メールサーバーの管理者であり、サーバーに変更を加えることができる場合はどうなりますか?

securityemailbcc
29
qwerty

いいえ。SMTPはplaintextプロトコルであり、store-and-forwardメソッドを使用します。

これはどういう意味ですか:

  • プレーンテキスト:このメッセージを中継するすべてのサーバーは、すべてのヘッダー情報を含め、メッセージ全体を認識します。 BCCフィールドの各受信者は通常、独自の電子メールを受信します(したがって、サーバーはカスタマイズされた電子メールを送信し、他のすべてのBCC受信者を削除する必要があります(should!)、データが保持されるCCとは対照的に、1つの電子メールがヘッダーに保存されますプレーンテキスト(暗号化なし、難読化なし) 、何も)。
  • ストアアンドフォワード:電子メールは必ずしも受信者のメールサーバーに直接送信されるとは限りませんが、一連の中間電子メールサーバーを介して転送される可能性があります(通常は転送されます)。それぞれに保存(無期限)、次に転送ネクストホップになります(ここでも、必ずしも最終的な宛先である必要はありません)。
  • 電子メールが存在しない、完全な、ブロックされた、またはその他の機能しないアドレスに送信されることを考慮してください-メールのコピーは、診断データとともに、複数の場所に行き着く可能性があり、必ずしもすべてがメールボックスであるとは限りません(例:エラーログまたはpostmasterメールボックス)
  • (これは、電子メールが宛先のメールサーバーに届く前に、永久に保存され、召喚状を持って来る人にすぐに渡すことができますが、それは少し異なります)

言い換えれば、あなたの仮定は安全ではありません。プライバシーとセキュリティが必要な場合は、デジタル署名と暗号化を使用してください。 GPG;バニラの電子メールはそのような仕事のための間違ったツールです。

21
Piskvor left the building

RFC 2822 (具体的には、セクション3.6.3、宛先アドレスフィールド)に完全に準拠するメール転送エージェント(MTA)配信を試みる前にヘッダーからBcc:フィールドを削除し、非ブラインド受信者がブラインド受信者のIDを判別できないようにします。

いくつかの落とし穴があります:

  • 送信メールが到達する最初のMTAを制御できない限り、そのMTA上のソフトウェアがRFC2822の指示どおりに動作することを保証することはできません。

  • ブラインドコピーされた可能性のある受信者へのあなたからの電子メールが1つ以上のMTAを通過したという事実は、それらのMTAのログに残っている可能性があります。

13
Blrfl

受信者がBCC受信者に気付かないと思い込まないでください。私は、BCCの受信者がメールプログラムで「全員に返信」を押して、BCCが実際に何を意味するのかについての驚くべき理解の欠如で、以前にメールの受信をすべての人に発表しました。本当にプライベートにする必要がある場合は、メッセージを元の受信者に送信した後、送信済みフォルダーからメッセージを転送します。これにより、メッセージヘッダー内の他のアドレスはあなただけになります。

とはいえ、BCCを使用した場合でも、BCCされた受信者のサーバーが元の受信者から分離されている限り、受信者のサーバーはBCC情報にアクセスできません。これは、BCC情報が削除された(または、メッセージ本文)プロバイダーのメールサーバーによる。

補足: SMTPは信頼性が低く、特にプライベートでもありません。一部の投稿者は、サーバーのSMTP「チェーン」が存在すると主張していますが、一般に、SMTPはコンピューターからISP、受信者のISPに送信します。 (そして、それらが内部に持っている多くのサーバー)一般に、あなたのメールはサードパーティのメールサーバーにルーティングされません、そして実際、そのような試みはスパム対策の理由で一般的に許可されていません。 (小規模なプロバイダーとホームネットワークはプロバイダーに転送するため、例外がありますが、これは例外であり、ルールではありません)

とは言うものの、転送中の電子メールは暗号化されることが保証されておらず、潜在的に機密性の高いものは、大規模なプロバイダーや電話会社が通過するファイバーをタップするのは簡単なので、電子メールを含むあらゆる方法でインターネットに暗号化されずに信頼されるべきではありません。それらの施設、またはそれらのルーターを通過するログパケット。

FBIは、Carnivoreやその他のプログラムを通じて定期的にこれを行っており、過去にも不正な要素がこれを行っていることが文書化されています。

5
SplinterReality

デジタル署名や暗号化なしでネット上を移動するものはすべて、簡単に変更できます。電子メールのエンドツーエンドの整合性が必要な場合は、PGP/GPG署名を使用してください。

また、公開PGP/GPGキーを何らかの方法で受信者に転送する必要があります(受信者があなたの電子メールメッセージが本当にあなたのものであることを確認できるようにするため)。その種の鶏が先か卵が先かという問題:これは安全な通信チャネルを確立することですが、すでに安全な通信チャネルが必要です。電子メールで送信することは問題ありませんが、電話またはその他の方法でPGP/GPGキーの指紋を確認する必要があります。 SSLは必要なトランスポートの整合性を保証するため、https対応のWebサイトに公開することもお勧めします。

1
Mikhail Kupchik

電子メールクライアントまたはサーバー(どちらかわからない)は、メッセージを送信する前にBCC情報を取り除く必要があります。メッセージで自分自身をBCCしてからソースを表示する場合、From行以外の場所に自分の電子メールアドレスが見つからないはずです(これは私自身のメールで確認してください)。

1
zpletan

それはすべてサーバーに依存します。ほとんどのサーバーはBCC回線を使用し、基本的にアドレスごとに1回メッセージを送信します。基本的にはbccアドレスをcc行に入れ、次のアドレスをcc行に入れて送信タイプのものにします。しかし、それはすべてMAILサーバーの設定に依存します。 BCCは、送信メールサーバーより先に進むべきではありません。

1
Peter