Блог Почты

SSL/TLS-шифрование в Яндекс.Почте

28 ноября 2013, 16:34
Яндекс.Почта начала поддерживать шифрование при отправке писем на другие сервисы — это важный этап в том, чтобы сделать электронную почту безопаснее. SSL/TLS обеспечивает защиту канала передачи данных от прослушивания.

Шифрование соединения между человеком и почтой уже довольно распространено среди массовых сервисов, однако переписка между почтовыми системами часто шла в незащищённом виде. Теперь, когда вы отправляете письмо, Яндекс.Почта проверяет, может ли почтовый сервис получателя принять письмо по зашифрованному соединению. Если да, обмен сообщениями происходит по SSL/TLS-потоколу.

Подобное шифрование для передачи писем среди крупных сервисов поддерживают единицы. Однако мы убеждены, что у массовой почты уровень безопасности должен быть не хуже, чем у корпоративной. Мы надеемся, что поддержку SSL/TLS постепенно включит подавляющее большинство почтовых систем.

Подробно об истории почтовых протоколов и о том, как устроено шифрование почты в Яндексе, читайте в нашем техноблоге на Хабрахабре.
43 комментария

А что произойдёт в случае, если SMTP сервер адресата не поддерживает SSL/TLS? Можно как-то "тормознуть" письмо в этом случае?

На данный момент письмо отправляется без шифрования. К сожалению, пока что отправитель об этом никак не узнает. В будущем мы подумаем над тем, что можно сделать для подобной идентификации. 

А если сделать как в outlook - две кнопки "зашифровать и отправить" и "отправить не шифруя"? По моему будет неплохо.

по-моему, это для закрытых организаций. А в интернете надо делать так, чтобы конечный пользователь не думал о том, что делать и как. Просто -- пользовался.

Не согласен. Почему для закрытых организаций? Многие пользуются шифрованием, и если будет две кнопки о которых я говорил - любой пользователь разберется.

Обычный пользователь не станет шифровать, потому что не будет уверен, сможет ли получатель разшифровать письмо.

Так пускай не шифрует. Никто не обязывает шифровать всех. Опция для тех кому она нужна.

Полностью согласен!)

есть предложение просто собирать базу данных почтовых серверов. Их ограниченное количество, если брать не просто доменное имя из почты, а настоящий mx. Вам виднее, как прикинуть число настоящих серверов, исходя из MX, и, наверняка, эта статистика у вас уже есть. На каждой пересылке делать попытку наложить шифрование. Когда попытка удастся, в базе отметка. Если перестало удаваться, с базе обратно нолик. Если в базе нет записи для такой записи mx, создайте её с ноликом. У вас и так валяется немерянные большие данные. Есть возможность структурировать их по признаку поддержания шифрованного канала связи
ещё проще. Если удастся соединение, в базу записать mx. А если не получится, из базы удалить mx. Самочистящаяся база. И сделать ttl

Всё это, конечно же, несложно. Но что делать дальше с этой информацией? :) 

Использовать для того, чтобы показывать пользователям предварительную информацию о возможности шифрования.

Лучше поздно,чем никогда

Учитывая, что мало у кого есть то как раз самое время :)

На gmail уже давно все виды шифрований есть, при отправке можно включать или выключать. Их smtp сервер, использую для автоматической отправки сообщений с сайта.

Знаком.Спасибо.Руки не дошли:-)

Странник Акиндин
28 ноября 2013, 20:23

Спасибо!

Недели две назал включил на своем jabberd2 патч tls1.2

Яндекс онлайн тут же отвалился по s2s, равно и jabber.ru. Печально.

Надо будет на выходных снова проверить.

Присоединяйтесь: https://github.com/stpeter/manifesto

Джаббер — это не про письма электропочты, неодарённый™.

Зато про TLS. Почта их так же с TLSv1 ко мне и приходит, и уходит.

Ну, тогда можно про заказные письма написать: не про TLS, зато про почту. ^,^

Почитайте их пост по ссылке на хабре. Там больше про шифрование и ssl/tls, нежели про почту :)

В том числе и о том, что tls v1.0 не рекомендуется.

Так это Вы в рамках кросс-ротации комментариев? Тогда удивляюсь, что не про заказные письма, втройне.

P.S.: Почитаю позже.

Здорово!

Хоть и не №1, но всеже сделали(подхватили).

coneev.vitalick2014
3 декабря 2013, 04:36

Ничего не понял!! Зачем это нужно?

А что бы Ваша переписка где-нибудь в недрах тырнета случайно не всплыла, как например тогда смски Мегафоновские...

Кому нечего скрывать, тому нечего бояцца ;-(

Правильно ! Особено,если писать БЕЗГРАМОТНО !!

Собчак Михалкову 22.09.2014

Для поддержки электронной подписи (по ГОСТ-Р) совсем немного осталось?

Мне неприходят с Ростелекома на мою почту платежные извещения в злектронном виде. Может шифрование виновато?

Тимофей, служба поддержки
8 декабря 2013, 06:58

Если речь о почте kupin47@, то я проверил её – никаких проблем при получении писем быть не должно, Я.Почта работает корректно и без ошибок, шифрование ни в чем не виновато.

Я могу лишь посоветовать Вам обратиться к Ростелекому, чтобы выяснить причины недоставки извещений. Если для решения этой проблемы потребуется информация с нашей стороны, то мы её, конечно, предоставим.

Введите наконецто 2-х ступенчатую аутефикацию!

поддерживаю! осознал необходимость этого после того, как поставил в машину компьютер "Фантом" (их активно устанавливают вместо примитивных штатных магнитол). если с фантома через Оперу набрать адрес "mail.yandex.ru", автоматом попадаешь в чей-то незнакомый ящик.

rc4_128_sha

Б.Шнайдер в книге "Секреты и ложь. Безопасность данных в цифровом мире" пишет:

"в 2000 году хорошей длиной ключа считалась длина в 128 бит."

"То, что алгоритм использует 128-битовый ключ, не означает, что у него 128 бит энтропии для ключа. Или точнее, лучший способ сломать данную реализацию 128-битового алгоритма шифрования может состоять не в том, чтобы перебрать все ключи. «128 бит» – это просто мера максимального количества работы, которая потребуется, чтобы восстановить ключ; но про минимум ничего не сказано."

"пароль из 8 символов будет приблизительно соответствовать 32-битовому ключу, а если вы захотите 128-битовый ключ, вам нужен пароль из 98 символов (на базе английского алфавита)."

"Для алгоритмов с открытым ключом специалисты сейчас рекомендуют 1024-битовые и более ключи. Параноики используют ключи еще длиннее. Системы, для которых не слишком важна долговременная секретность, пользуются 768-битовыми ключами."

 

Это я к тому, что не стоит особо надеяться на безопасность. Скорее, как в случае с демократией и свободой слова, это всего лишь громкие слова.

Это я не в упрёк Яндексу. Уважаю и ценю всё, что делает коллектив.

 Тоже хочу процитировать: Нил Стивенсон

Криптономикон. Часть 1

«Как долго ты хочешь хранить наши сообщения в тайне? – спросил Рэнди в последнем письме, которое отправил из Сан-Франциско. – Пять лет? Десять лет? Двадцать пять лет?»
   Добравшись сегодня до гостиницы, он расшифровал и прочел ответ Ави. Строка по-прежнему висит у него перед глазами, как после стробоскопической вспышки.

     Я хочу, чтобы они оставались в тайне, пока люди способны творить зло.

А как насчёт корпоративной почты на базе Яндекса? К ней тоже это относится?

И ещё вопрос: если отправлять с Outlook 2010, схема та же? То есть письмо отправляется, идёт проверка адресата на возможность расшифровать и в зависимости от результатов проверки отправка либо в зашифрованом либо не в зашифрованом варианте.

Ох, нововведения этиo_O 

Алексеев Алексей
16 декабря 2013, 11:42

Если кому-то надо шифровать, то только своим личным шифром. А по другому, кто-то, как-то, насколько это надёжно и пр. А кому-то доверять шифрование наивно и глупо. Все ваши шифровки лягут на стол Мюллера....:-D

 

Любимому Яндексу

 

09.14

Любимый Яндекс, сегодня мы тебя не узнаём,

Ты самый поисковик распространённый

Среди российских пользователей.

Что с тобой случилось, что произошло,

Как так получилось, что пал жертвой

Хакерской атаки, и миллионы ящиков

От Яндекс-почты уже раскрыты,

И в интернете, в общем доступе.

В этом прискорбном списке ты не один,

Рядом стоит мейл ру, а дальше гмейл.

К сожалению, наш интернет уже давно

Место воровства и кражи данных,

Безудержного шантажа, слежения,

Зомбирования, сексуального насилия

Одних другими, ведь интернет лишь

Зеркало наших отношений на земле.

А человечество ещё не доросло

До зрелых отношений и высоких технологий,

Где так необходимы коллективный разум,

Совместные усилия, поддержка,

Создание условий одарённым для

Продвижения всем остальным вперёд.

У нас же, всё золотой телец перед глазами,

Он нам тормозит прогресс, обрасывая нас всех назад.

 

Никогда не стоит забывать, что интернет как средство

Общения народов мира – изначально произведение

Министерства обороны США, Пентагона детище.

И вот мнение общества готово для значительных трат

На приобретение новых программ по защите паролей

Всех пользователей в почте, виртуальных

Платёжных системах, банках, социальных сетях.

А кто-то получает дивиденды, а также скрытую

Возможность слежения за нами всеми во всём мире.

 

А может подойти к проблеме безопасности паролей

В интернете под другим углом, а может поставить

Проблему шире, озадачить учёных всего мира?

Использовать пароли один раз, и сразу сбрасывать?

Возможно, идентифицировать пользователя

По сетчатки глаза с привязкой к конкретной

Виртуальной машине, всё больше, и больше усилий

По созданию условий конфидициальности,

А её как не было, так и нет, всё это миф,

И сказки для детей, всех прослушивают,

И все на обозрении, как на длинном поводке.

О, милый Яндекс, возможно с этим что-то

 

Можно сделать? Хотя, я очень сильно сомневаюсь…         

Новости Украины 22.09.2014