Názory k článku Gmail označuje nešifrovanou poštu. Jak to opravit?

no sice to je pekne ale ak uzivatel pouziva win/down/s 1x0 tak mu to je k nicomu kedze vsetky udaje aj tak zverejnil , vedome :) alebo o tom to mozno aj je neviem , urcite je to na zvazenie .., a v linuxe/bsd ... to je teoreticky pouzitelne ale asi je lepsie pouzit platenu Email schranku a tam praktizovat sifrovanie ako na frEe email ... ak som nieco zle napisal tak ma opravte a pozdravujem Original Blek.a a aj neoriginal blek.a :)

Co maji, prosim vas, windows spolecnyho se sifrovanim emailu?

Netroufám si odhadnout, zda je mailserverů s kvalifikovaným certifikátem poskrovnu nebo ne, ale třeba můj mezi ně už docela dlouho patří. A i přesto, že jsem postfixu nikdy žádná speciální pravidla pro servery druhých stran nenastavoval, nepamatuji si, že by s TLS šifrováním nastal někdy nějaký problém. Jediné, co jsem před nedávnem udělal bylo, že jsem přidal DKIM a SPF, aby byla komunikace o kousek důvěryhodnější.

Samozřejmě.

Nechci se mylit, ale obavam se, ze to nebude kvalifikovany certifikat podle zakona.
Kvalifikovane certifikaty nejsou urcene pro sifrovani, ale pouze pro podpis a to jeste zejmena pro konkretni osoby (i kdyz uz se vydava i kvalifikovany certifikat pro automaticke zpracovani, ale stale je to neco jineho nez certifikat, na jehoz zaklade je mozne sifrovat).
Vizte: http://www.postsignum.cz/kvalifikovane_certifikaty.html

Tak urcite by stacil k sifrovani i podpisu verejny klic z certifikatu a k nemu prislusici klic privatni. Takze technicky to problem neni.
Nicmene pokud budeme chtit pouzivat certifikat (tedy v tomto pripade kvalifikovany dle zakona) - se vsemi daty, ktera obsahuje, pak - protoze je urcen pro osobni pouziti, v CN bude obsahovat jmeno cloveka, nikoliv stroje (to je vylozene v certifikacnich politikach akreditovanych CA). Z toho potom vyplyva to, ze pro pouziti postfixem neni vhodny.
Ale spis bych odhadoval, ze kolega myslel na normalni komercni certifikat.
A samozrejme certifikat s prislusnym privatnim klicem, ktery je urcen k podpisu, je mozne pouzit i pro sifrovani. Ale z dobrych duvodu ma kazdy certifikat deklarovan svuj ucel, pro ktery je vydan a v nekterych pripadech je nevhodne ho pouzivat pro sifrovani, i kdyz to technicky jde.

Google se pořád snaží vytvořit dojem, že šifrování mailů při přenosu zvyšuje bezpečnost. Jenže skutečnost je taková, že dokud nezašifruju mail už před odesláním, tak je prostě veřejný. I pokud přijde do googlu zašifrovanou formou, nemůže google vědět jestli někdy předtím už nebyl poslaný nezašifrovaně.

Podle mě je cílem přesvědčit uživatele, že mail je bezpečný a zároveň mít přístup k jejich obsahu.

+1

to je svata pravda, částečne to řeším tím že používám ne google mail ale protonmail .. sifruje i moji schránku. Takže zasifruje i to co prijede nešifrovane ..
Může nastat změt situací ..
1. dám nekomu svuj public key, může mi tedy zašifrovat "tělo" mailu. Pak je jedno jakýma kanalama to jede, nikdo se k tomu nedostane.
2. nemá muj public key .. ale jede to šifrovanými kanály .. pristane u mne a zasifruje protonmail. nikdo se po ceste ani s mé schranky nedozví co bylo odesláno. JEN z mailboxu odesilatele.
3. Nema public key, jede nesifrovanými kanaly, mail je možno odchytit a precist po ceste, ze scranky odesilatele take. U mne v schránce ne.

odesilaní pošty funguje obdobne -
1. mam cizí public key, muzu zašifrovat telo správy
2. nemám cizí public key muzu symetricky zasifrovat zpravu, a jiným kanalem poslat k ni heslo, prijemce dostane jen link na zpravu na servru protonmail.
3. odeslu klasicky - pak plati ze je zprava dostupna dle kanalú jakými jede a je dostupna i u príjemce.

To je webová stránka dělající kryptografii v JavaScriptu? Provozovatel tam může snadno jednorázově podstrčit kód, který ti klíč ukradne, a je podle mě téměř nemožné si toho všimnout.

Radši normální desktopové PGP.

Takže červený zámeček znamená, že si zprávu mohl přečíst kdokoliv a bez zámečku to znamená, že si to mohl přečíst kdokoliv. Jaký smysl to teda má?

A třeba tohle mi teda připadá jako přesvědčování o bezpečnosti: https://www.google.com/transparencyreport/saferemail/

Je potřeba si to trochu proklikat. Např.
" If my email is encrypted in transit, does it mean that no one can ever snoop on my email?

Security is an ongoing challenge where no solution is perfect and progress is incremental. Encryption in transit makes it more difficult to snoop on email and universal encryption of email in transit would be a huge step forward for security and privacy online. But encryption doesn’t make snooping impossible. Moreover, email is not only vulnerable in transit—it can also be snooped on after it’s delivered. For example, unauthorized parties could still gain access to your email by installing malware on the computer you use to read it. "

Slovo "privacy" v té odpovědi nemá co dělat. Dále zapomněli říct, že si je může přečíst každý server na cestě i bez virů, takže vlastně oproti nešifrovanému přenosu vůbec žádná změna..

Opět není pravda, mail poslaný zašifrovaným spojením je pořád ekvivalent pohledu:
"Why isn’t all email sent to or from Gmail encrypted in transit?
For decades, the default has been for email to travel across the Internet unencrypted—as if it was written on a postcard. Gmail is capable of encrypting the email it sends and receives, but only when the other email provider supports TLS encryption. ..."

pozrite si hlavicku nejakeho mailu. Mate tam hromady:
Received: from localhost (localhost [127.0.0.1]) by a.b.c.d (Postfix) with ESMTP ...

Cize milters ala amavis,spamas­sasin,opendkim,­.... Zakazdym ked to cez nejaky prejde, je to rozsifrovane a vacsina z nich mail ulozi pri processingu na disk a neskor zmaze.

Takze je uplne jedno ci bude TLS na komunikaciu so svetom pouzivat kazdy, ked 99% casu je ten mail v plaintexte a posledny hop urobi cez ESMTPS

Ano, genialni pristup ...

Hnedle zduvodnim jak. Takze zacneme sifrovat, je to sice nanic, protoze nevime jestli bylo sifrovany celou cestu, ale necht. Pak zacneme odmitat nesifrovanou komunikaci ... proc ne, jde prece o bezpeci. Mno a pak, pak zacneme resit, ze ten ci onen algoritmus je prece nebezpecny, takze ho nebudeme pouzivat ... a uzivatele/admi­nistratori/... budou konecne naprosto v bezpeci, protoze budou naprosto v pici.

Proc ze to? Mno uz ted si nenakonfigurujou svuj router, protoze jim nekdo zcela bezpecne vypnul ty nebezpecne sifrovaci algoritmy, takze si prej maji https vypnout, a pouzivat http. Je totiz daleko bezpecnejsi prihlasovat se k routeru tak, a heslo posilat jako open text.

S mailama je to presne totez. Hromada vsemoznyho harampadi posila maily. Miliony tehle krabic neumi sifrovat nebo umi "nebezpecne" varianty. Takze uzivatelum dame na vyber ... vyhodte sve krabice ... nebo pouzivejte starou veriz MTA, ktera jeste nevyzaduje ssl povine ... Uzasny, primo genialni ...

A samo, protoze cyklus likvidace nebezpecnych sifer bude rok co rok, tak si budou muset useri zvyknout, ze tok co rok maji svuj HW zahodit, a koupit novy. Vsak s televizi to bude brzo stejne, ze ... pocitam ze pristi rok nekdo prijde s dvb-t3.

Odkud, kolik a co v tech emailech posilate? Je mozny, ze vas hazi do spamu ti lidi, co email dostali...:)

to je karma :)

Nastav si User-Agent třeba na thunderbirdí. Google mi odmítal veškeré maily s neznámou UA hlavičkou. (magoři, spammer si tam přece taky může nastavit, co chce)

Zkus neco poslat na https://www.mail-tester.com/ myslim, ze je nekde nejakej zadrhel v konfiguraci (co treba reverz?)
...a pak si muzes jeste zkusit nainstalovat do dockeru komplet mailserver https://poste.io/open ...sam jsem s tim nikdy nemel problem a to uz jsem par novejch mailserveru instaloval.

Cez akeho relay-agenta ides? Akurat som to riesil.

Máš reverzní PTR záznam?

> Gmail označuje nešifrovanou poštu. Jak to opravit?

Jednoducho, prestať to používať.

Kvôli ním tu máme DMARC, vďaka čomu musia mailinglisty, bugzilly (a podobné služby) mršiť emaily, lebo inak ich Gmail dáva do spamu. Sú to úplne validné emaily, ktoré vôbec nie sú spam a vyhovujú (asi poslednému?) štandardu RFC 5322.

Som zvedavý, kedy dospejeme do stavu, že na komunikáciu bude treba mať službu gmail, ktorá bude úplne nekompatibilná so službou "email"...

Je směšné, že vám Google ukazuje, která zpráva nebyla zašifrována, když je to americká společnost s povinností dodržovat tajné zákony a nařízení a předávat tak zprávy do NSA.

Už jsem tě jednou žádal, abys doložil ty tajné zákony, a nepovedlo se to.

alobal... chce to viac alobalu :-D

Mám freemail na atlas.sk, ale tu nastáva problém. Freemailoví poskytovatelia predsa zadarmo nebudú šifrovať. Na druhej strane ten email zrušiť zo dňa na deň nemôžem. Niekde som čítal, že vraj atlas, centrum a pobox (jedna firma na Slovensku, neviem ako v Čechách) umožňuje aj šifrovanie pošty pre freemail. Nastavoval som to 2x, ale nepodarilo sa. Vedel by s tým niekto pomôcť? Je mi jasné, že článok je o niečom inom, ale v rámci diskusie si myslím, že sa môže spomenúť aj táto časť problému.

Další nesmyslná googlovina. To že to přijde na google last hop přes zašifrovaný kanál, neznamená, že to někde po cestě nešlo nezašifrovaným kanálem nebo že to někdo po cestě neodposlechl např. přes MITM. Bez šifrování obsahu a podepisování na koncových bodech pomocí PGP nebo S-MIME je to úplně k ničemu a v podstatě stejné jako by se ty maily posílaly s CC na info@nsa.gov

Ak si schopny spravit PCAP, tak si schopny aj spravit MITM a kedze klientsky server neoveruje serverovsky certifikat, tak na to google ani odosielatel nepridu. A hned je na svete falosny pocit bezpecia.

Takze ano, je mozne lahko precitat aj pozmenit email, ak si schopny spravit PCAP (snifnut, pozmenit traffic medzi dvoma SMTP servermi).