SSL(SMTP/SSL)を介して自分の電子メールサーバーに接続し、受信者もSSL(web/httpsまたはIMAP/SSL)を介して自分の電子メールのみをチェックする場合、これは(一般的に言えば)メッセージのセキュリティを向上させますコンテンツはどうですか?
つまり、プロバイダーの電子メールサーバーと受信者の電子メールサーバーの間の通信は "安全"(*)ですか、それとも電子メールはサーバー間でプレーンテキストで配信されますか?
(*)次のコンテキストで保護されます。輸送中は暗号化されます。本当に機密情報をそこに置くという意味では安全ではありません。
SMTPサーバーは、電子メールをプレーンテキストとして転送する可能性があります(おそらくそうするでしょう)。 SSLが使用されることもありますが、両端の特定のサーバーの構成を明確に理解していない限り、これは当てはまりません。つまり、このシナリオでは、インターネットバックボーントラフィックを監視できる敵が電子メールを傍受する可能性があります。 (通常、このレベルの能力を持つ敵は国家主体です。)
SSLは、アカウントの資格情報を保護するために両端で依然として重要であり、ローカルネットワーク上のトラフィックを監視する攻撃者から保護します。多くの攻撃はこのレベルになります-たとえば、あなたと同じワイヤレスネットワーク上の誰か、またはLAN上のローカルサーバーを危険にさらした人。ただし、SSLは、侵害されたSMTPサーバーからユーザーを保護するものではありません。メッセージレベルの暗号化は、メッセージをプレーンテキストで送信しないようにする場合に必要です。重要なことは、メッセージがどちらのサーバーにもプレーンテキストで保存されないことです。非国家の敵にとってこれは最大の攻撃ベクトルです-どちらかの側のSMTPサーバーを危険にさらすだけで、途中のすべての送信がSSLを使用していたとしても、すべての平文メールを読むことができます。
S/MIMEとPGP(GnuPG)は、これを行うための2つの標準です。それでも、メッセージエンベロープは表示されます。 SMTPサーバー間のトラフィックを傍受できる攻撃者がエンベロープを読み取らないようにすることはできないため、宛先、送信元、件名などの情報を知ることができます。
質問に直接回答するには、SSLを使用してメールを送受信する両方の当事者がセキュリティを向上させます。これにより、国家以外の敵対者に対してセキュリティが大幅に向上しますが、メッセージコンテンツを可能な限り保護するには、メッセージレベルを使用する必要があります。メッセージ本文を完全に暗号化し、電子メールヘッダーがクリアテキストで送信されることを受け入れる暗号化。 SMTPサーバー間のトラフィックを見ることができる敵対者は、あなたが電子メールを送信している人と件名が何であるかを知ることができます-「電子メールを使用しない」以外にそれを回避する方法はありません-しかし、彼らは読むことができません。メッセージの本文。
また、ネットワークリンクが何らかの方法で暗号化されている場合でも電子メールは保存および転送されるため、配信チェーン内の各サーバーは、管理者が読み取り可能なメッセージのコピーを保存している可能性があることに注意してください。これが可能かどうかは、完全にそれらのサーバーを管理する人に依存します...それはいくつかのケースでは小さなリスクであり、他のケースでは巨大なリスクであるかもしれません
両端の安全な接続は、ユーザーの端と接続されているメールサーバー間のネットワークチャネルでの安全な移行を確認するだけです。
エンドツーエンドのセキュリティには、組織が内部チャネル用に採用したセキュリティ慣行も含まれます。
GnuPGまたは同様のユーティリティを使用してメールレベルのセキュリティの開始を確認することをお勧めします。ここで暗号化メールを送信を使用して、ユーザーのPublicキー。
同様の使用法ヘルプリンク: https://web.archive.org/web/20120618011126/http://people.via.ecp.fr/~clem/nist/gpg-enigmail-howto
~~~~~
懸念事項が電子メールの完全性コンテンツであり、機密性ではない場合、タスクをデジタル署名電子メールに制限することができます。
同様の使用法ヘルプリンク: http://www.cs.washington.edu/lab/services/email/EmailSigningHowTo/