某防火墙会扫描并拦截特定电子邮件

今天接到用户反馈,某防火墙会监听邮件服务器之间的通信,并对特定邮件进行拦截。这也许已经不是什么新鲜事了。在此提醒中华人民共和国境内各界人士,慎用国内邮箱服务。

1. 电子邮件的发送过程

常见的电子邮件发送过程为:用户1->邮件服务器1->邮件服务器2->用户2

用户也可以绕过邮件服务器1,直接将邮件投递到邮件服务器2上(很多邮件客户端的快速投递就是这么实现的),但这类邮件通常会被服务器视为垃圾邮件。

2. 问题发生在哪

有不少中小电子邮件服务商(如新浪邮箱等)并未向用户提供https加密服务,用户与邮件服务器之间以明文通信,有潜在的被监听风险。因而推荐各位不要使用这类邮箱。

QQ邮箱和网易邮箱提供https加密,但我们仍然不能掉以轻心。因为这只能保证半程加密。电子邮件更严重的安全问题在于,邮件服务器之间以明文通信,容易被监听和拦截。例如,本文第一段所述,某防火墙会对国内邮件服务器和国外邮件服务器之间的通信进行监听,并对特定邮件进行拦截,造成邮件内容泄露和投递失败等等问题。长久以来,由于公众意识的缺乏,电子邮件协议的这一严重缺陷一直未有改善,终于在特定的时空集中爆发。

3. 如何解决

QQ邮箱和网易邮箱,想必是国内市占率最高的电子邮件服务。我也是QQ邮箱的用户,我打心眼里相信QQ邮箱的创新能力。但我的主用邮箱还是Gmail,因为Google Account使用方便安全可靠。在此也推荐各位使用Gmail,如一时不能完全抛弃原有邮箱,可将原有邮箱的邮件转发至Gmail邮箱中。

作为地球表面最好用、使用率最高的电子邮件服务,Gmail也许是当前电子邮件安全的唯一答案。假若人人都使用Gmail,将电子邮件发送过程简化为“用户1 -(https)-> Gmail服务器 -(https)-> 用户2”,就能使避免被别有用心的组织和个人监听。

4. Gmail的安全问题

Gmail就能保证绝对安全吗?不能,因为最大的漏洞还是人自己。根据我的使用经验,使用Gmail时应当注意以下问题:

(1)防止钓鱼攻击。目前发现QQ和中国大陆部分ISP会提供虚假的Gmail登录页面,用户稍不注意就会在这些钓鱼页面输入用户名密码造成邮箱被窃隐私外泄。另外请勿使用Gmail.cn,这不是Google提供的邮箱服务。任何情况下登录Google Account都应当注意是否正在使用安全的https加密。

(2)移除CNNIC的CA证书。这实际上是第一点的补充。普通的钓鱼页面由于未提供https加密,或SSL证书不可信,容易被用户察觉。但CNNIC获得CA权限后,有可能会签发虚假的可信SSL证书,使钓鱼攻击更为隐蔽。详细的介绍和解决方法请阅读WCM的博文《CNNIC CA:最最最严重安全警告!》

(3)慎用GAE代理。这实际上是第一点和第二点的补充。由于众所周知的原因,大陆用户早已不能正常使用GAE的SSL加密(https://*.appspot.com),故GAE服务器与客户端之间的数据传输是不安全的。因而搭建在GAE上的代理(包括但不限于Gappproxy、wallproxy、Hyk-Proxy、bs2g
rproxy和cms4g-proxy等)采用了一种妥协的方法欺骗浏览器:在GAE服务器上解开https加密,以明文传输到本地proxy客户端后再度以第三方SSL证书加密。这样实际上引入了两个安全隐患:a.客户端与GAE之间明文通信易被监听(这也是某防火墙一直没有屏蔽http://*.appspot.com的原因);b.用户为求方便手动使浏览器信任第三方SSL证书,这个证书可被用于隐蔽钓鱼攻击(如上一段所述)。
以免账号被盗。

(4)避免密码泄露。请勿在除https://www.google.com/accounts/*以外的任何地方输入Google Account的用户名和密码(包括不加密的Gtalk客户端、邮件客户端等)。

(5)尽量不用Gmail向国内邮箱帐号发送邮件,尤其是敏感邮件,否则容易被某防火墙列入黑名单而屏蔽。

(6)牢记安全问题和答案以便找回。

本站文章除注明转载外,均为本站原创编译
转载请注明以下信息
文章转载自:鲁夫的爱 [ https://opengg.me/ ]
本文标题:某防火墙会扫描并拦截特定电子邮件
本文地址:https://opengg.me/276/firewall-intercept-email/

《某防火墙会扫描并拦截特定电子邮件》有5个想法

    1. @invin
      的确没有,我觉得隐私交给谷哥比较放心,至少谷哥知道我的某些事之后不会拿来做罪证,而且我的root权限也不在美帝手里 ╮(╯▽╰)╭

    1. wallproxy 虽然废掉了https 的不对称加密, 但是它有选项可以使用对称加密, 还是比较安全的. goagent 好像没有加密, 抓包看一下吧.

发表评论

电子邮件地址不会被公开。 必填项已用*标注