POP3/SMTP TLS
Стандартным образом, почтовый траффик (по POP3/SMTP) никак не шифруется. Но самое плохое - все логины и пароли при этом передаются в открытом виде. При использовании крупных провайдеров это вобщем не страшно, т.к. там по административным причинам нереально собирать траффик всех (вариант целенаправленного наблюдения за отдельным пользователем тут не рассматривается). А вот в других случаях выхода в интернет, опасность есть:
- Домовые локалки. Где по умыслу или кривых настройках соседние пользователи могут сниферить соседний траффик. Да даже в стриме в начале его существования часто бывал такой глюк что в порты DSLAM дублировался траффик соседей…
- Корпоративные сети. Там бывает ведётся целенаправленный перехват всего почтового траффика с целью выявления инсайдеров, есть даже много специализированного софта как например SearchInform MailSniffer.
- Wi-Fi. Особенно через общедоступные (бесплатные, например у некоторых домашних пользователей) точки доступа. Там никто не гарантирует что владелец точки доступа не использует за ней средства для автоматического перехвата логинов и паролей. Более того, я как-то спросил у представителей комстара какие меры защиты против этого есть в fonera - они по существу ничего не ответили…
- Portable-софт, запускаемый с чужих (т.е. не проверенных) компьютеров, где вполне могут быть всякие трояны для сбора паролей к почтовым аккаунтам.
Решить эту проблему можно - используя в SMTP/POP3 шифрование TLS. Тогда всё общение с почтовым сервером будет зашифровано, и перехват этого траффика большинству злоумышленников ничего не даст. Вобщем, если есть возможность шифрования - то пользоваться ей надо всегда. Ибо логины и пароли воруют именно у тех и в таких условиях, где жертвы по определению не подозревают что у них могут украсть пароль. И напомню, что уведя email - через него можно (через восстановление на него пароля) увести ICQ, ЖЖ, одноклассников и прочих вконтакте. В наше время TLS есть у многих почтовых серверов, но в их инструкциях по настройке почтовых клиентов обычно про это умалчивают, описывая только незащищённое соединение (хотя все современные клиенты - TheBat!, Thunderbird, FlexMail - давно уже умеют работать с TLS). Итак, где можно включить защищённое соединение:
1. gmail.com Там вообще только TLS соединение, так что это все и так знают…Параметры для настройки почтовых программ:
Приём почты: протокол POP3 (надо зайти через вебинтерфейс и разрешить там в настройках работу через POP3), почтовый сервер pop.gmail.com, соединение на специальный порт TLS, порт 995, пользователь логин@gmail.com;
Отправка почты: SMTP-сервер smtp.gmail.com, соединение на специальный порт TLS или STARTTLS, порт 465 или 587, SMTP использует параметры аутентификации POP3.
2. yandex.ru Можно включить TLS.Параметры для настройки почтовых программ:
Приём почты: протокол POP3 (но есть и IMAP4), почтовый сервер pop.yandex.ru, соединение на порт TLS, порт 995, пользователь логин (без домена);
Отправка почты: SMTP-сервер smtp.yandex.ru, соединение на порт TLS, порт 465, SMTP использует параметры аутентификации POP3.
3. mail.ru (list.ru, inbox.ru, bk.ru) На сайте у них не нашёл никакого указания на настройку TLS, однако с недавнего времени TLS там есть и успешно работает.Параметры для настройки почтовых программ:
Приём почты: протокол POP3, почтовый сервер pop.mail.ru, соединение на порт TLS, порт 995, пользователь логин@домен;
Отправка почты: SMTP-сервер smtp.mail.ru, соединение на порт TLS, порт 465, SMTP использует параметры аутентификации POP3.
Обращаю внимание что с TLS у них логика отличается вообще от того что написано у них в инструкции по настройке почтовых программ: во-первых сервера для любого домена должны быть только pop.mail.ru/smtp.mail.ru, во-вторых - пользователь - указывается не просто логин, а логин@домен.
4. rambler.ru (lenta.ru, myrambler.ru, autorambler.ru, ro.ru, r0.ru) Тоже несмотря на то что явного указания там нет, TLS работает.Параметры для настройки почтовых программ:
Приём почты: протокол POP3, почтовый сервер mail.rambler.ru, соединение на порт TLS, порт 995, пользователь логин@домен;
Отправка почты: SMTP-сервер mail.rambler.ru, соединение на порт TLS, порт 465, SMTP использует параметры аутентификации POP3.
Тоже почтовые сервера всегда должны быть mail.rambler.ru, а в пользователе указывается реальный домен пользователя.
5. gmx.com (gmx.us) Очень старый зарубежный сервер тоже с TLS.Параметры для настройки почтовых программ:
Приём почты: протокол POP3, почтовый сервер pop.gmx.com, соединение на порт TLS, порт 995, пользователь логин@домен;
Отправка почты: SMTP-сервер mail.gmx.com, соединение на порт TLS, порт 465, SMTP использует параметры аутентификации POP3.
Логика такая-же - почтовые сервера всегда должны быть .com, а в пользователе указывается реальный домен пользователя - с .com или .us.
6. hotmail.com, (live.ru, почта от Microsoft) Там тоже есть POP3/SMTP с шифрованием TLS.Параметры для настройки почтовых программ:
Приём почты: протокол POP3, почтовый сервер pop3.live.com, соединение на порт TLS, порт 995, пользователь логин@домен;
Отправка почты: SMTP-сервер smtp.live.com, соединение STARTTLS, порт 25, SMTP использует параметры аутентификации POP3.
Почтовые сервера всегда должны быть *.live.com, а в пользователе указывается реальный домен пользователя - hotmail.com или live.ru.
7. email.ru (fax.ru, aport.ru, omen.ru, imail.ru, au.ru, atrus.ru, atport2000.ru). Тоже есть TLS.Параметры для настройки почтовых программ:
Приём почты: протокол POP3, почтовый сервер pop3.email.ru, соединение на порт TLS, порт 995, пользователь логин@домен;
Отправка почты: SMTP-сервер smtp.email.ru, соединение на порт TLS, порт 465, SMTP использует параметры аутентификации POP3.
Почтовые сервера всегда должны быть *.email.ru, а в пользователе указывается реальный домен пользователя.
8. pochta.ru (qip.ru, frоmru.cоm, frоnt.ru, hоtbоx.ru, hоtmail.ru, krоvаtkа.su, lаnd.ru, mаil15.com, mаil333.com, newmаil.ru, nightmаil.ru, nm.ru, pisеm.net, pоchtamt.ru, pоp3.ru, rbcmаil.ru, smtp.ru)… Когда-то давно, лет 10 назад, там работало шифрование MD5 паролей (более вообще ни одного бесплатного сервера позволяющего это - я не знаю)… Потом убрали почему-то… Потом сделали TLS… Но сейчас там у сертификата TLS истёкший срок действий (причём ещё полгода как истёк)…
- Домовые локалки. Где по умыслу или кривых настройках соседние пользователи могут сниферить соседний траффик. Да даже в стриме в начале его существования часто бывал такой глюк что в порты DSLAM дублировался траффик соседей…
- Корпоративные сети. Там бывает ведётся целенаправленный перехват всего почтового траффика с целью выявления инсайдеров, есть даже много специализированного софта как например SearchInform MailSniffer.
- Wi-Fi. Особенно через общедоступные (бесплатные, например у некоторых домашних пользователей) точки доступа. Там никто не гарантирует что владелец точки доступа не использует за ней средства для автоматического перехвата логинов и паролей. Более того, я как-то спросил у представителей комстара какие меры защиты против этого есть в fonera - они по существу ничего не ответили…
- Portable-софт, запускаемый с чужих (т.е. не проверенных) компьютеров, где вполне могут быть всякие трояны для сбора паролей к почтовым аккаунтам.
Решить эту проблему можно - используя в SMTP/POP3 шифрование TLS. Тогда всё общение с почтовым сервером будет зашифровано, и перехват этого траффика большинству злоумышленников ничего не даст. Вобщем, если есть возможность шифрования - то пользоваться ей надо всегда. Ибо логины и пароли воруют именно у тех и в таких условиях, где жертвы по определению не подозревают что у них могут украсть пароль. И напомню, что уведя email - через него можно (через восстановление на него пароля) увести ICQ, ЖЖ, одноклассников и прочих вконтакте. В наше время TLS есть у многих почтовых серверов, но в их инструкциях по настройке почтовых клиентов обычно про это умалчивают, описывая только незащищённое соединение (хотя все современные клиенты - TheBat!, Thunderbird, FlexMail - давно уже умеют работать с TLS). Итак, где можно включить защищённое соединение:
1. gmail.com Там вообще только TLS соединение, так что это все и так знают…Параметры для настройки почтовых программ:
Приём почты: протокол POP3 (надо зайти через вебинтерфейс и разрешить там в настройках работу через POP3), почтовый сервер pop.gmail.com, соединение на специальный порт TLS, порт 995, пользователь логин@gmail.com;
Отправка почты: SMTP-сервер smtp.gmail.com, соединение на специальный порт TLS или STARTTLS, порт 465 или 587, SMTP использует параметры аутентификации POP3.
2. yandex.ru Можно включить TLS.Параметры для настройки почтовых программ:
Приём почты: протокол POP3 (но есть и IMAP4), почтовый сервер pop.yandex.ru, соединение на порт TLS, порт 995, пользователь логин (без домена);
Отправка почты: SMTP-сервер smtp.yandex.ru, соединение на порт TLS, порт 465, SMTP использует параметры аутентификации POP3.
3. mail.ru (list.ru, inbox.ru, bk.ru) На сайте у них не нашёл никакого указания на настройку TLS, однако с недавнего времени TLS там есть и успешно работает.Параметры для настройки почтовых программ:
Приём почты: протокол POP3, почтовый сервер pop.mail.ru, соединение на порт TLS, порт 995, пользователь логин@домен;
Отправка почты: SMTP-сервер smtp.mail.ru, соединение на порт TLS, порт 465, SMTP использует параметры аутентификации POP3.
Обращаю внимание что с TLS у них логика отличается вообще от того что написано у них в инструкции по настройке почтовых программ: во-первых сервера для любого домена должны быть только pop.mail.ru/smtp.mail.ru, во-вторых - пользователь - указывается не просто логин, а логин@домен.
4. rambler.ru (lenta.ru, myrambler.ru, autorambler.ru, ro.ru, r0.ru) Тоже несмотря на то что явного указания там нет, TLS работает.Параметры для настройки почтовых программ:
Приём почты: протокол POP3, почтовый сервер mail.rambler.ru, соединение на порт TLS, порт 995, пользователь логин@домен;
Отправка почты: SMTP-сервер mail.rambler.ru, соединение на порт TLS, порт 465, SMTP использует параметры аутентификации POP3.
Тоже почтовые сервера всегда должны быть mail.rambler.ru, а в пользователе указывается реальный домен пользователя.
5. gmx.com (gmx.us) Очень старый зарубежный сервер тоже с TLS.Параметры для настройки почтовых программ:
Приём почты: протокол POP3, почтовый сервер pop.gmx.com, соединение на порт TLS, порт 995, пользователь логин@домен;
Отправка почты: SMTP-сервер mail.gmx.com, соединение на порт TLS, порт 465, SMTP использует параметры аутентификации POP3.
Логика такая-же - почтовые сервера всегда должны быть .com, а в пользователе указывается реальный домен пользователя - с .com или .us.
6. hotmail.com, (live.ru, почта от Microsoft) Там тоже есть POP3/SMTP с шифрованием TLS.Параметры для настройки почтовых программ:
Приём почты: протокол POP3, почтовый сервер pop3.live.com, соединение на порт TLS, порт 995, пользователь логин@домен;
Отправка почты: SMTP-сервер smtp.live.com, соединение STARTTLS, порт 25, SMTP использует параметры аутентификации POP3.
Почтовые сервера всегда должны быть *.live.com, а в пользователе указывается реальный домен пользователя - hotmail.com или live.ru.
7. email.ru (fax.ru, aport.ru, omen.ru, imail.ru, au.ru, atrus.ru, atport2000.ru). Тоже есть TLS.Параметры для настройки почтовых программ:
Приём почты: протокол POP3, почтовый сервер pop3.email.ru, соединение на порт TLS, порт 995, пользователь логин@домен;
Отправка почты: SMTP-сервер smtp.email.ru, соединение на порт TLS, порт 465, SMTP использует параметры аутентификации POP3.
Почтовые сервера всегда должны быть *.email.ru, а в пользователе указывается реальный домен пользователя.
8. pochta.ru (qip.ru, frоmru.cоm, frоnt.ru, hоtbоx.ru, hоtmail.ru, krоvаtkа.su, lаnd.ru, mаil15.com, mаil333.com, newmаil.ru, nightmаil.ru, nm.ru, pisеm.net, pоchtamt.ru, pоp3.ru, rbcmаil.ru, smtp.ru)… Когда-то давно, лет 10 назад, там работало шифрование MD5 паролей (более вообще ни одного бесплатного сервера позволяющего это - я не знаю)… Потом убрали почему-то… Потом сделали TLS… Но сейчас там у сертификата TLS истёкший срок действий (причём ещё полгода как истёк)…