web-dev-qa-db-ja.com

安全な接続なしでPOP3またはSMTP電子メールサーバーに接続するリスクはありますか?

私のISPは、POP3およびSMTP電子メールサーバーに 接続方法 の指示を与えます。

これらの設定は、メールプログラムの設定に役立ちます。

  • メールサーバー:POP3
  • POPサーバー(受信):pop.orangehome.co.uk
  • POP受信ポート:110

  • SMTPサーバー(送信):smtp.orangehome.co.uk

  • 送信SMTPポート:25
  • 安全な接続を使用する(Secure Sockets LayerまたはSSL):いいえ
  • 認証:なし

私が理解しているように、これらの設定は接続が SSL/TLS で保護されないことを意味します:

  • IMAPはポート143を使用しますが、SSL/TLS暗号化IMAPはポート993を使用します。
  • POPはポート110を使用しますが、SSL/TLS暗号化POPはポート995を使用します。
  • SMTPはポート25を使用しますが、SSL/TLS暗号化SMTPはポート465を使用します。

安全なSSL/TLS接続なしで電子メールを送受信するリスクはありますか?心配すべきですか?何が起こりますか?


EEはイギリスのISPで、約 100万人の顧客 がいます。英国の別のISPであるPlusnetも、IMAPサーバーとPOPサーバーに安全に接続しないようユーザーに指示しています "SSL/TLS:いいえ"

21
Colonel Panic

安全なSSL/TLS接続なしで電子メールを送受信するリスクはありますか?

この問題は、プレーンHTTP経由でウェブメールを使用することと同等です。中間者攻撃者は、サーバーと交換する電子メールをキャプチャし、プレーンテキストで送信されるログイン資格情報を盗聴する可能性があります。

そのような攻撃は、あなた、あなたのルームメイト、あなたの雇用主、またはあなたのISPと同じWifiの誰かに起こり得ます-あなたとサーバーの間の方法でトラフィックを処理するすべての人にとって特に簡単ですが、通常、リモートでは実行できません攻撃者(彼らの家からあなたを攻撃している友人のような)。

したがって、プライベートホームネットワークでそれを行い、ISPがデータを記録することを恐れない場合1、 大丈夫だよ。ただし、公衆Wifiでは重大なリスクがあります。特に、メールクライアントは通常、ユーザーの操作なしでバックグラウンドで定期的にサーバーに接続するためです。したがって、ウェブメールを使用するのではなく、最初に一度だけパスワードを送信するのではなく、15分ごとにブロードキャストして更新を確認します。

(また、攻撃はPOP3/IMAP/SMTP資格情報をトラフィックから自動的に抽出することが特に簡単であることに注意してください。それらの送信はそれぞれのプロトコルの一部であるため、Webメールログインフォームの場合、少なくともHTTPトラフィックを検索する必要があります。パスワードが送信されるリクエストを見つけます。)

1あなたの場合、ISP isメールプロバイダーなので、明らかにその情報にすでにアクセスしています。

27
Arminius

pop.orangehome.co.uk

理論的には、STLSコマンドを使用したPOP3の明示的なTLSのサポート(SMTPのSTARTTLSと同様)がありますが、このサーバーはこのコマンドをサポートしていないため、TLSは使用できません。 ISPは、自宅からこのサーバーへの接続はISPによって制御されているため安全であると主張する場合がありますが、パブリックホットスポットなどの暗号化機能がなく、誰でも読むことができるという意味でメールにアクセスしようとすると、この引数は無効になりますパスワードとメールの内容。これは、自宅でネットワークにアクセスできる人にも当てはまります。

smtp.orangehome.co.uk

このサーバーは外部からは到達できず、ISPネットワーク内からのみ到達できます。 ISPがネットワークを厳しく制御している場合、誰もコンテンツを盗聴することはできず、彼はほとんど正しいと主張することができます。ただし、暗号化されていないため、送信したメールをこのネットワークにアクセスできる人ならだれでも読むことができるため、内部のホームネットワークを完全に信頼できると期待しています。興味深いことに、サーバーは認証を必要としません。これは、ISPが内部IPアドレスによってユーザーを認証することを意味する場合があります。

編集:コメントで@Jasenが指摘したように、あなたが家にいない場合にポート587を使用してこのホストに接続する方法があります。このアクセスは認証を必要としますが、プレーンテキストのみを提供し、暗号化は提供しません。したがって、セキュリティはPOP3の場合に匹敵します。誰かがパスワードを盗聴してメールを読むことができます。

要約すると、これは主要なISPに期待するセキュリティではありません。

18
Steffen Ullrich

ISPについて話すとき、通常、ホストとISPのネットワークの間には何もありません。もちろん暗号化されるものはありませんが、SSLを使用していても、サーバーアプリケーションに到達する前に復号化されます。言い方を変えれば、個人的な接続には奇妙な信頼できないローカルネットワークがない限り、SSL暗号化によってセキュリティが強化されることはありません。メールプロバイダーにSSLではなくメールコンテンツを読み取らせたくない場合は、暗号化されたメッセージを使用してください。

しかし、リンクされたページの次の段落は、私見がはるかに悪いです。外部サービス(パブリックWiFiホットスポットなど)を介して接続されている場合、ポート587(細かい)を使用し、ユーザー名とパスワード(まだ通常)で認証され、暗号化なし(glp ...)。別の言い方をすれば、家の外でメールを送信または読んだ場合、明らかに受け入れがたい未知のネットワーク上で平文でパスワードを送信しています。

他に問題がなければEEをISPとして使用できますが、サードパーティのネットワークを介して接続しているときに暗号化をサポートしていない場合は、別のメールプロバイダーを使用する必要があります。

4
Serge Ballesta

パイナップルマンが言ったように、携帯電話またはラップトップでホームネットワークを離れると、LANパーティに持ち込まれたデスクトップPCが攻撃される可能性があります。攻撃者はあなたのメールを読むだけでなく、それらを改ざんしたり、悪意のあるコンテンツを添付ファイルに追加したり、このアクセスを使用してWebサービスのパスワードをリセットしたり、さらに悪いことをすることができます...

また、なんらかの理由でVPNを使用していて、トラフィック全体がトンネリングされている場合、そのときは、あなたとISPの間の誰かに通信を開く可能性があります。

そして最後に重要なことですが、インターネットには大量の悪意のあるトラフィックがあり、ルーターをクラックしようとしています。それが成功してDNSエントリを変更した場合は、同様に問題が発生します。

1
SchreiberLex

IMOこれは、ほとんどの人がデスクトップまたはラップトップを使用し、自宅/職場でインターネットにのみ接続していた10年前にはある程度許容可能でした。あなたのホームネットワークとISPはかなり信頼できるものであり、とにかく電子メールで超極秘のものを送信するべきではありません。

モバイルコンピューティングの台頭により、脅威モデルは劇的に変化しました。ますます多くの人々がモバイルデバイスを使用し、安全でない公共のwi-fiネットワークを介してそれらを接続しています。

残念ながら、これについて今議論しているサイトを含め、多くのプロバイダーはこれに追いついておらず、認証されたユーザーにはプレーンHTTPを使用しても問題ないと考えています。

0
Peter Green

それは安全ではありません。何が起こりますか?電話でメールを設定し、電話で15分ごとに新着メールをチェックするとします。 (電話)を公衆wifiネットワークなどの信頼できないネットワークに接続すると、誰もがあなたの電子メールトラフィックを傍受する可能性があります。バックグラウンドで新着メールを確認するためにユーザー名/パスワードをクリアテキストで自動的に送信するため、携帯電話で電子メールクライアントを開く必要さえありません。このような暗号化されていないトラフィックを傍受し、クリアテキストのパスワードを取得することは、同じネットワーク上にいて、ettercapなどのツールを使用する必要がある攻撃者にとって非常に簡単です。

0
stanko