BCCing e-postalarının güvenilir olması garanti ediliyor mu?


29

Başka bir deyişle, alıcılardan hiç kimsenin BCC’de hiç e-posta görmeyeceği varsayımı güvenli midir? Alıcı, (ancak gönderenlerin değil) posta sunucusunun yöneticisi ise ve sunucusunda herhangi bir değişiklik yapabilirse?


15
Genellikle e-posta güvenli değildir ve güvenilir değildir. Alıcı, sunucusunun yöneticisi ise, o zaman hemen hemen her şeyi yapabilir.
Lord Peter,

Ne pahasına olursa olsun, sadece bu ATM ile ilgili bir sorun yaşıyorum. stackoverflow.com/questions/31527974/…
johnsnails

Yanıtlar:


21

Hayır. SMTP, sakla ve ilet yöntemlerini kullanan düz metin bir protokoldür .

Bunun anlamı:

  • Düz metin: Bu iletiyi ileten her sunucu, tüm başlık bilgileri de dahil olmak üzere bütünüyle görür. Gizli alanında her alıcının genellikle kendi e-posta alır (böylece sunucu diğer tüm BCC alıcı üzerinde (vurgu dışarı atılmalı özelleştirilmiş e-posta gönderir rağmen gerektiği , nerede verileri!), CC aksine tutulur), tek bir e-postanın başlıklarda hala düz metin olarak depolanması (şifreleme yok, gizlilik yok, hiçbir şey yok).
  • Depola ve ilet: E-posta mutlaka alıcının posta sunucusuna doğrudan gönderilmez, ancak bir dizi ara e-posta sunucusu üzerinden iletilebilir (ve genellikle de gönderilebilir); o olduğu depolanmış (süresiz miktarı için) her biri üzerinde ve daha sonra iletilen sonraki hop (yine mutlaka son hedef) için.
  • e-postanın var olmayan, tam, engellenen veya başka bir işlevsel olmayan adrese gönderildiğini göz önünde bulundurun - postanın kopyası, tanılama verilerinin yanı sıra hepsi de posta kutularına değil, birden çok yerde sonuçlanabilir örneğin, hata günlükleri veya posta yöneticisi posta kutusu)
  • (bu, e-postanız, hedefin posta sunucularında sona ermeden önce, onu sonsuza kadar saklayabilir ve bir mahkeme celbi ile birlikte gelenlere kolayca teslim edebilir, ancak bu biraz farklı bir hikaye)

Başka bir deyişle, varsayımınız güvensizdir. Gizlilik ve güvenlik istiyorsanız, dijital imzalar ve şifreleme kullanın, örneğin GPG; vanilya e-posta böyle bir iş için yanlış bir araçtır.


1
Şifreleme, alıcıları gizleme sorununu nasıl çözer?
45'te

Öyle değil, ama Piskvor mutlaka gizliliğe atıfta bulunurken yalnızca içeriğe başvururken mesajın alıcı posta kutuları hakkında konuşmuyordu. AFAIK, günlüğe kaydetmeyen proxy'ler üzerinden iletilemediği sürece bir e-posta alıcılarını gizlemek genellikle mümkün değildir. Eğer mesajınız alıcıları ve içerikleri gizlemeniz gereken kadar gizliyse, başka bir iletişim mekanizması bulmanız gerekir.
afrazier,

2
Son cümleye kadar Piskvor'la birlikteydim. Tek yapmak istediğiniz alıcıları birbirinden gizlemekse, tüm BCC'leri ayrı ayrı gönderebilecek bir posta istemcisine ihtiyacınız olacaktır.
Steve Bennett

@ afrazier: Zaten rakip bir cevap eklememiş olsaydım, OP'nin sorusunu yanıtlamadığım için bunu reddettim.
Blrfl

1
BCC alıcıları e-posta başlığında kaydedilmez (çok eski ve kırılmış MTA'lar hariç). Standart bir posta sunucusu başlığa bile bakmaz, yalnızca e-postaların nereye gideceğine karar vermek için zarfı kullanır.
Adrian Pronk 14:11

13

RFC 2822'ye tam olarak uyan herhangi bir posta aktarım aracısı (MTA) (özellikle, bölüm 3.6.3, Hedef adres alanları ), Bcc:teslimatı denemeden önce alanı başlıktan kaldırır ve kör olmayan alıcıların kör alıcıları belirlemesi imkansız hale gelir kimlikleri.

Birkaç yakalama var:

  • Giden e-postalarınızın ulaştığı ilk MTA üzerinde kontrol sahibi olmadığınız sürece, MTA üzerindeki yazılımın RFC 2822'nin talimatı doğrultusunda yapacağını garanti edemezsiniz.

  • Sizden, kör kopyalanmış bir alıcıya gönderilen bir e-postanın bir veya daha fazla MTA'dan geçtiği gerçeği, bu MTA'ların kayıtlarında hayatta kalabilir.


1
Özellikle "hiç kimsenin BCC’de e-postaları [adresleri" görmeyeceği ") konusuna hitap eden mükemmel cevap. İlk MTA'nızın BCC başlıklarıyla ne yaptığını test ederek e-postanızın başlıklarını döndüren bir e-posta cevap botuna e-posta gönderebilirsiniz.
sabre23t

MTA'nın Bcc:başlığı bile görmemesi gerekiyordu ; bunun yerine, MUA (posta istemci programı) SMTP zarfındaki ( MAIL FROM) tüm adresleri belirtmelidir .
yerçekimi

Bu numara her durumda işe yaramaz çünkü standartlar, teslimatın, alıcıların dışında başlıkların dışında verilebilecek bir şeyi geçmesini gerektirmez. MTP, BCC davranışının ilk tanımlanmasından altı yıl öncesine kadar mevcut değildi (RFC 680, 1975); SMTP bir yıl sonra geldi.
Blrfl

5

Alıcıların BCC alıcısının farkında olmayacağını asla varsaymamalısınız. BCCed alıcılarını posta programlarında "Tümünü Yanıtla" yı çektim ve BCC'nin gerçekte ne anlama geldiğini anlama konusunda çarpıcı bir eksiklikten önce herkese bir posta aldıklarını duyurdum. Gerçekten özel olması gerekiyorsa, mesajı orijinal alıcılara gönderdikten sonra Gönderilenler klasörünüzden iletin; böylece ileti başlıklarındaki diğer tek adres sizindir.

Bununla birlikte, BCCed alıcının sunucusu orijinal alıcıdan ayrı olduğu sürece, BCC kullanmış olsanız bile, alıcının sunucusu, soyulmuş olacağından (veya büyük olasılıkla hiç bir zaman söz konusu olmadığı sürece) BCC bilgisine erişemez. mesaj gövdesi) sağlayıcınızın posta sunucusu tarafından

Bir yandan not: SMTP güvenilir değil, özel değil. Bazı posterler SMTP'nin sunucuların "zincirlerinin" mevcut olduğunu iddia eder, ancak genel olarak SMTP bilgisayarınızdan ISS'nize, ISS alıcılarına gönderir. (ve dahili olarak sahip oldukları birçok sunucuya) Genel olarak, postanız üçüncü bir tarafın posta sunucusuna yönlendirilmez ve aslında bu tür girişimler spam karşıtı nedenlerden dolayı genellikle reddedilir. (Küçük sağlayıcılar ve ev ağlarının sağlayıcılarına ileteceği özel durumlar vardır, ancak kural bu değil.

Bununla birlikte, aktarılan e-postaların şifrelenmesi garanti edilmez ve potansiyel olarak hassas herhangi bir şeyin gerçekten büyük bir sağlayıcı için önemsiz olduğu için e-posta da dahil olmak üzere, HERHANGİ bir yöntemle internete şifrelenmeden güvenilmemelidir. tesislerini veya yönlendiricileri üzerinden seyahat eden paketleri günlüğe kaydedin.

FBI düzenli olarak Carnivore ve diğer programlar aracılığıyla bunu yapar ve haydut unsurların geçmişte de yaptıkları belgelenmiştir.


1
I've had BCCed recipients hit "Reply All" in their mail program Bu bana hiç olmadı, ama defalarca olduğunu gördüm. Tavsiyeniz (Bcc yapmayın, ancak gönderdikten sonra iletin), ben de aynısını yapıyorum. Kibirli bir pislik gibi görünmekten nefret ediyorum ama bazen insanları kendinden korumak zorundasın.
Dan7119

@ Dan7119 Tahmin edeyim .. sende / sen de bir sysadmin misin?
SplinterReality

Mükemmel cevap. BCC bilgilerinin çıkarılması% 100 güvenilir olsa bile, insan faktörü BCCed recipients hit "Reply All"güvenilirliği garanti edilmez. forward the message from your Sent folderÖzellikle CEO gibi teknoloji meraklısı olmayan BCCed alıcıları için hemfikirim .
sabre23t

1

E-posta istemciniz veya sunucunuz (hangisini bilmiyorum) bir mesaj göndermeden önce BCC bilgilerini çıkarması gerekir. Kendinizi bir mesajda BCC'ye gönderirseniz ve kaynağı görürseniz, e-posta adresinizi Kimden hattı dışında hiçbir yerde bulamamalısınız (bunu kendi postamla doğruladım).


Teşekkür ederim. Ancak benim sorum aslında daha derin ve güvenilirlik ve güvenlik. Teoride olması gerektiği gibi değil.
qwerty

Şey, bildiğim kadarıyla, teoriyle uyuşup uyuşmadığını görmenin yolu, bir e-postada kendiniz BCC'ye göndermek, kaynağı görüntülemek ve BCC adresinin orada olup olmadığını görmek.
zpletan

E-posta istemciniz BCC bilgilerini çıkarmıyor. Bu hiç mantıklı değil.
Steve Bennett

1

Hepsi sunucuya bağlı. Çoğu sunucu BCC hattını kullanır ve mesajı her adres için bir kez gönderir. Temel olarak, bcc adresini cc satırı gönderimine, sonraki adresi cc satırı gir ve yazmayı gönder. Ancak bunların tümü MAIL sunucusu kurulumuna bağlıdır. BCC, hiçbir zaman giden posta sunucunuzdan daha ileri gitmemelidir.


7
Üç noktada yanlış. İlk olarak, Bcc:başlıklarla ilgilenen SMTP sunucuları değil MUA'lardır . İşlerin bir SMTP sunucusuna ulaştığı zaman, alıcı adresleri başlıklar değil mesaj zarfındadır . İkincisi, yalnızca SMTP Gönderme sunucuları bu tür başlıkları ilk etapta yeniden yazar. Üçüncüsü, mesajlar her alıcı için bir kere gönderilir. Bu özel veya farklı değil.
JdeBP

1

Dijital imza veya şifreleme olmadan internette dolaşan her şey kolayca değiştirilebilir. E-posta için uçtan uca bütünlüğe ihtiyacınız varsa, PGP / GPG imzalamayı kullanın.

Ayrıca genel PGP / GPG anahtarınızı alıcılara bir şekilde aktarmanız gerekir (böylece e-posta iletilerinizin gerçekten size ait olduğunu doğrulayabilirler). Bir tür tavuk ve yumurta problemi: bu güvenli bir iletişim kanalı oluşturmaktır, ancak zaten güvenli bir iletişim kanalı gerektirmektedir. E-postayla göndermek tamam, ancak telefonla veya başka yollarla PGP / GPG anahtar parmak izini doğrulamanız gerekiyor. SSL'nin gerekli taşıma bütünlüğü garantilerini sağladığı için, https etkin web sitesinde yayınlamak da iyi bir fikirdir.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.