Czy e-maile BCCing są gwarantowane jako niezawodne?

29

Innymi słowy, czy jest to bezpieczne założenie, że nikt z odbiorców nigdy nie zobaczy wiadomości e-mail w BCC? Co się stanie, jeśli adresat jest administratorem swojego serwera pocztowego (ale nie nadawcy) i może dokonywać jakichkolwiek zmian na swoim serwerze?

security email bcc qwerty
źródło
15
Ogólnie e-mail nie jest bezpieczny i nie jest niezawodny. Jeśli odbiorca jest administratorem swojego serwera, może zrobić z nim prawie wszystko.
Lord Peter
O co warto mam problem z tym właśnie bankomatem. stackoverflow.com/questions/31527974/…
johnsnails

Odpowiedzi:

21

Nie. SMTP to protokół w postaci zwykłego tekstu , wykorzystujący metody przechowywania i przesyłania .

Co to znaczy:

  • Zwykły tekst: każdy serwer, który przekazuje tę wiadomość, widzi ją w całości, w tym wszystkie informacje nagłówka. Chociaż każdy adresat w polu BCC zazwyczaj otrzymuje własną wiadomość e-mail (więc serwer wysyła dostosowaną wiadomość e-mail, w której wszyscy inni odbiorcy BCC powinni zostać rozebrani (nacisk na powinien !), W przeciwieństwie do CC, gdzie dane zostaje zachowany), że jeden nagłówek wiadomości e-mail jest nadal przechowywany w nagłówkach w postaci zwykłego tekstu (bez szyfrowania, bez zaciemniania, bez niczego).
  • Przechowuj i przesyłaj dalej: Wiadomość e-mail niekoniecznie trafia bezpośrednio na serwer poczty odbiorcy, ale może być (i zwykle jest) przekazywana przez szereg pośrednich serwerów poczty elektronicznej; jest przechowywany na każdym (na czas nieokreślony), a następnie przekazywany do następnego przeskoku (znowu niekoniecznie ostateczny cel).
  • należy pamiętać, że wiadomość e-mail jest wysyłana na nieistniejący, pełny, zablokowany lub w inny sposób niefunkcjonalny adres - kopia wiadomości wraz z danymi diagnostycznymi może znaleźć się w wielu miejscach, niekoniecznie w skrzynkach pocztowych ( np. dzienniki błędów lub skrzynka pocztowa postmastera )
  • (to zanim Twój e-mail trafi na serwery pocztowe miejsca docelowego, który może przechowywać go na zawsze i z łatwością przekazać komuś, kto przyjdzie z wezwaniem do sądu, ale to nieco inna historia)

Innymi słowy, twoje założenie jest niebezpieczne. Jeśli chcesz prywatności i bezpieczeństwa, używaj podpisów cyfrowych i szyfrowania, np. GPG; waniliowy e-mail to złe narzędzie do takiej pracy.

Piskvor
źródło
1
W jaki sposób szyfrowanie rozwiązuje problem ukrywania odbiorców?
detly
Tak nie jest, ale Piskvor niekoniecznie mówił o skrzynkach odbiorczych wiadomości, odnosząc się do prywatności, a jedynie treść. AFAIK, na ogół nie można ukryć adresatów wiadomości e-mail, chyba że można je przesłać za pośrednictwem serwerów proxy niebędących zalogowanymi. Jeśli Twoja wiadomość jest tak tajna, że ​​musisz zamaskować zarówno odbiorców, jak i treść, musisz znaleźć inny mechanizm komunikacji.
afrazier
2
Byłem z Piskvorem do ostatniego zdania. Jeśli wszystko, co chcesz zrobić, to ukryć przed sobą adresatów, potrzebujesz tylko klienta poczty, który może wysyłać wszystkie BCC indywidualnie.
Steve Bennett,
@afrazier: Gdybym nie dodał jeszcze konkurencyjnej odpowiedzi, głosowałbym za to, że nie odpowiedziałem na pytanie PO.
Blrfl
1
Odbiorcy BCC nie są zapisywani w nagłówku e-maila (z wyjątkiem bardzo starych i uszkodzonych MTA). Standardowy serwer pocztowy nawet nie patrzy na nagłówek, używa tylko koperty, aby zdecydować, dokąd powinny trafić wiadomości e-mail.
Adrian Pronk
13

Każdy agent przesyłania poczty (MTA), który jest w pełni zgodny z RFC 2822 (w szczególności sekcja 3.6.3, Pola adresu docelowego ) usunie to Bcc:pole z nagłówka przed próbą dostarczenia, uniemożliwiając niewidomym odbiorcom ustalenie niewidomych odbiorców „tożsamości.

Istnieje kilka połowów:

  • O ile nie masz kontroli nad pierwszym MTA, do którego docierają wychodzące wiadomości e-mail, nie możesz zagwarantować, że oprogramowanie na tym MTA wykona polecenie zgodnie z instrukcją RFC 2822.

  • Fakt, że wiadomość e-mail od ciebie do odbiorcy, który mógł zostać ślepo skopiowany, przeszła przez co najmniej jeden MTA, może przetrwać w dziennikach tych MTA.

Blrfl
źródło
1
Świetna odpowiedź skierowana w szczególności do „nikt z odbiorców nigdy nie zobaczy e-maili [adresów] w BCC”. Możesz przetestować, co robi Twoja pierwsza MTA z nagłówkami BCC, wysyłając wiadomość e-mail do bota zwrotnego, który zwraca nagłówki wiadomości e-mail.
sabre23t
MTA nie powinien nawet widzieć Bcc:nagłówka; zamiast tego MUA (program klienta poczty) powinien określić wszystkie adresy w kopercie SMTP ( MAIL FROM).
grawity
Ta sztuczka nie zadziała we wszystkich przypadkach, ponieważ standardy nie wymagają, aby dostawa przechodziła przez coś, co może otrzymać adres odbiorcy poza nagłówkami. MTP istniało dopiero sześć lat po pierwszym zdefiniowaniu zachowania BCC (RFC 680, w 1975 r.); SMTP przyszedł rok później.
Blrfl,
5

Nigdy nie należy zakładać, że odbiorcy nie dowiedzą się o odbiorcy BCC. Odbiorcy BCCed nacisnęli „Odpowiedz wszystkim” w swoim programie pocztowym i ogłaszali wszystkim wcześniej otrzymanie wiadomości e-mail z oszałamiającym brakiem zrozumienia, co tak naprawdę znaczy BCCed. Jeśli naprawdę potrzebujesz, aby była prywatna, prześlij wiadomość z folderu Wysłane po wysłaniu jej do pierwotnych adresatów, aby jedynym innym adresem w nagłówkach wiadomości był Twój adres.

To powiedziawszy, nawet jeśli użyłeś BCC, o ile serwer odbiorcy BCCed jest oddzielny od pierwotnego odbiorcy, serwer odbiorcy nie miałby dostępu do informacji BCC, ponieważ zostałby usunięty (lub raczej nigdy nie byłby zawarty w treść wiadomości) przez serwer pocztowy dostawcy.

Na marginesie: SMTP nie jest ani niezawodny, ani szczególnie prywatny. Niektóre plakaty twierdzą, że istnieją „łańcuchy” SMTP serwerów, ale ogólnie SMTP wysyła je z twojego komputera, do twojego usługodawcy internetowego, do usługobiorcy. (i bez względu na to, ile serwerów mają wewnętrznie). Zasadniczo poczta NIE zostanie przekierowana na serwer pocztowy innej firmy, a takie próby są generalnie zabronione ze względu na ochronę przed spamem. (Istnieją wyjątki, ponieważ mali dostawcy i sieci domowe przekażą je swojemu dostawcy, ale nie jest to regułą)

To powiedziawszy, e-mail w tranzycie nie jest gwarantowany, że jest szyfrowany, i niczego potencjalnie wrażliwego naprawdę nie należy ufać niezaszyfrowanemu w Internecie DOWOLNĄ metodą, w tym pocztą elektroniczną, ponieważ jest to banalne dla każdego dużego dostawcy lub telco, aby wykorzystać włókna biegnące przez ich urządzenia lub dzienniki przesyłane przez routery.

FBI regularnie robi to za pośrednictwem Carnivore i innych programów, a nieuczciwe elementy zostały udokumentowane w przeszłości.

SplinterReality
źródło
1
I've had BCCed recipients hit "Reply All" in their mail program Nigdy mi się to nie zdarzyło, ale widziałem to wiele razy. Twoja rada (nie Bcc, ale przekaż po wysłaniu) jest dokładnie tym, co robię. Nienawidzę brzmieć jak arogancki palant, ale czasami musisz chronić ludzi przed sobą.
Dan7119,
@ Dan7119 Niech zgadnę ... czy ty też byłeś administratorem?
SplinterReality
Świetna odpowiedź. Nawet jeśli usuwanie informacji BCC jest w 100% wiarygodne, czynnik ludzki BCCed recipients hit "Reply All"nie jest gwarantowany jako niezawodny. Zgadzam się forward the message from your Sent folderszczególnie z odbiorcami BCCed niezorientowanymi na technologię, takimi jak prezesi.
sabre23t
1

Twój klient lub serwer e-mail (nie wiem, który) powinien usunąć informacje BCC przed wysłaniem wiadomości. Jeśli sam korzystasz z BCC w wiadomości, a następnie przeglądasz źródło, nie powinieneś nigdzie znaleźć swojego adresu e-mail, z wyjątkiem wiersza Od (zweryfikowałem to z moją pocztą).

zpletan
źródło
Dziękuję Ci. Ale moje pytanie jest właściwie głębsze i dotyczy niezawodności i bezpieczeństwa. Nie tak, jak ma być w teorii.
qwerty
O ile mi wiadomo, sposobem na sprawdzenie, czy teoria pasuje do praktyki, jest samodzielne wysłanie BCC do wiadomości e-mail, przejrzenie źródła i sprawdzenie, czy jest tam adres BCC.
zpletan
Twój klient e-mail nie usuwa informacji BCC. To nie ma sensu.
Steve Bennett,
1

Wszystko zależy od serwera. Większość serwerów zajmie linię BCC i zasadniczo wyśle ​​wiadomość raz na adres. w zasadzie umieszczenie adresu bcc w linii cc wyślij, następny adres w linii cc i wyślij coś. Ale wszystko zależy od konfiguracji serwera MAIL. BCC nigdy nie powinien iść dalej niż serwer poczty wychodzącej.

Piotr
źródło
7
Fałsz w trzech punktach. Po pierwsze, nagłówki to MUA, a nie serwery SMTP Bcc:. Do czasu, gdy wszystko dociera do serwera SMTP, adresy odbiorców znajdują się w kopercie wiadomości , a nie w nagłówkach. Po drugie, tylko serwery SMTP Submission zawsze przepisują takie nagłówki. Po trzecie, wiadomości są zawsze wysyłane raz na jednego odbiorcę koperty. To nie jest wyjątkowe ani inne.
JdeBP
1

Wszystko, co podróżuje w sieci bez podpisu cyfrowego lub szyfrowania, można łatwo zmodyfikować. Jeśli potrzebujesz kompleksowej integralności poczty e-mail, skorzystaj z podpisywania PGP / GPG.

Będziesz także musiał jakoś przenieść swój publiczny klucz PGP / GPG do odbiorców (aby mogli sprawdzić, czy twoje wiadomości e-mail są naprawdę twoje). Jest to rodzaj problemu z kurczakiem i jajkiem: ma to na celu ustanowienie bezpiecznego kanału komunikacji, ale już wymaga bezpiecznego kanału komunikacji. Wysłanie go e-mailem jest prawidłowe, ale musisz zweryfikować odcisk palca klucza PGP / GPG telefonicznie lub w inny sposób. Dobrym pomysłem jest również opublikowanie go na stronie internetowej obsługującej https, ponieważ SSL zapewnia niezbędne gwarancje integralności transportu.

Michaił Kupczik
źródło