「S/MIME」を含む日記

■anond:20230408001224

ワイが代わりにchatGPTに聞いてやったやで

1.電子メールの内容は、中継サーバーで盗み見可能なのか？

中継サーバー上の電子メールは、暗号化されていない場合は、中継サーバーの管理者や攻撃者によって盗み見られる可能性があります。ただし、多くのメールプロバイダーは、暗号化された通信プロトコル（例：TLS）を使用して、中継サーバー上の電子メールを暗号化しているため、中継サーバー上で盗聴される可能性は低いです。

2.電子メールが送信される過程で、怪しい第三者が設置したサーバーを経由して送られることはあり得るのか？

インターネット上のどこかに、怪しい第三者が設置したサーバーが存在する可能性はあります。このようなサーバーを使用して、電子メールを送信すると、そのメールが第三者によって盗聴、改ざん、または中断される可能性があります。

3.電子メールが送信元のクライアントと受信先のクライアント間のP2Pで暗号化される技術は何があるのか？

P2Pで暗号化された電子メールを送信するために使用できる一般的な技術には、Pretty Good Privacy（PGP）、GNU Privacy Guard（GPG）、またはS/MIMEがあります。

4.「3.」の実現は中小企業で導入するのは難しいものなのか？

PGP、GPG、S/MIMEなどの技術を中小企業で実装することは可能ですが、技術的な知識とスキルが必要です。また、P2Pで暗号化された電子メールの受信側も同じ技術を使用する必要があります。中小企業では、公開鍵暗号化を使用したエンドツーエンド暗号化を提供するメールサービスを利用することが簡単で効果的な解決策となる可能性があります。

5.中継サーバーを経由するなら、メールアドレスは容易に漏洩し、迷惑メールが来るのはそれで漏れたのが原因？

中継サーバーを経由することによって、メールアドレスが漏洩する可能性があります。この漏洩によって、スパムメールの送信元として使用される可能性があります。

6.例えば、会社のPCのWiresharkから、ネットワーク上を流れるデータを盗聴し、隣にいる社員のメール内容を盗み見することは容易に可能なのか？

Wiresharkなどのネットワークプロトコルアナライザーを使用して、ネットワーク上を流れるデータを盗聴することは可能です。ただし、一般的には、電子メールの内容は、中継サーバー上で暗号化されているため、中継サーバー上での盗聴による情報漏洩がより問題となります。また、会社のネットワーク内でのデータ盗聴は、セキュリティポリシーや監視機能の設定によって防止される場合があります。

Permalink | 記事への反応(0) | 00:40

ツイートシェア

■電子メールが中継サーバーで漏洩するリスクを知りたい

疑問

1. 電子メールの内容は、中継サーバーで盗み見可能なのか？

2. 電子メールが送信される過程で、怪しい第三者が設置したサーバーを経由して送られることはあり得るのか？

3. 電子メールが送信元のクライアントと受信先のクライアント間のP2Pで暗号化される技術は何があるのか？

4. 「3.」の実現は中小企業で導入するのは難しいものなのか？

5. 中継サーバーを経由するなら、メールアドレスは容易に漏洩し、迷惑メールが来るのはそれで漏れたのが原因？

6. 例えば、会社のPCのWiresharkから、ネットワーク上を流れるデータを盗聴し、隣にいる社員のメール内容を盗み見することは容易に可能なのか？

疑問の詳細

疑問の背景

会社で日常的に契約書のPDFや重要な文書を送付しあってるけど、あれ、内容が漏洩することはないの？

あと、会社の情シスから、「迷惑メールが突然来るようになるのは、第三者が設置した中継サーバーでメールアドレスが漏れてしますから。インターネットは不特定多数のサーバーを経由するから、ITを囓ったものなら誰でもそれは分かる」と言われた。確かにインターネット（というかTCP/IP通信）では冗長化されたネットワーク上でパケットが送付されるが、第三者の個人が設置した野良サーバーを、会社から送付されたメールのデータが経由するものなのか・・・？

思えば、正直、電子メールの技術的詳細を知らなかった。

送信プロトコルとしてSMTPがあり、受信はPOP3、IMAPがあるのは知ってる。

送信元アドレスの偽装が容易なのも（エンベロープFROM）。

バイナリはBASE64でエンコードされる、とかも。

各疑問の詳しい説明

1.について： TCP/IP通信では冗長化されたネットワークをパケットが通るのは分かるが、例えばGmailからOCNのメールに送られるとして、都内在住のマンションに住むある悪意を持った人物が設置したグローバルIPを持つ野良のサーバーを経由して送られる、なんてことがあるのか？ あるとは思ってなかったのだが。。。

2.について：　上と同じ。

3.について：　S/MIMEかな？ PGPは会社で使用されているのは見たことがない。

4.について：　S/MIME、PGPは、例えば社員400名くらいの小規模な弊社でも導入は容易なのだろうか。Microsoft 365のExchange Serverの設定がいるの？

5.について：　情シスがこれ（メールアドレスは中継サーバーで漏洩するもの）を気にしていた。だから、重要な文書はメールで送ったりするな・・・と。そうなのか？ 初めて知ったのだが。。。メールアドレス漏洩は、リスト型攻撃みたいに文字列(@の左側)を試行して特定ドメインに送付され、届かなければ存在しない、届けばその文字列のアドレスは存在する、みたいなやり方とか、あとダークウェブで入手するものとか、そうだと思ってた。

6.について：　弊社の情シスが言うには、メールの盗聴というのは容易に可能だから、メールでPDFの給与明細を送付するなんてことは絶対にできないらしい（でも、普通にしてる気はするけど・・・）。確かに電子メールはネットワーク上を平文で送付されるかもしれないが、パスワード付きPDFにすればいいし、給与明細をWebサイト閲覧の形にしてTLS通信させればいいじゃん。そういうクラウドサービスあるんだし。そもそも、社内のHUBに悪意ある第三者がLANケーブルつないでパケットキャプチャするとか、実現の難易度高すぎるから、それは想定しなくていいんじゃないの？

ていうのか、疑問。誰か教えて。

Permalink | 記事への反応(2) | 00:12

ツイートシェア

■anond:20210830202932

知識不足で恐縮ですが、S/MIMEなら盗聴される危険はゼロなのでしょうか？

また、現在メールは全てS/MIMEなのでしょうか？

Permalink | 記事への反応(0) | 20:34

ツイートシェア

■anond:20210830202932

S/MIMEとか対応してなかったらサーバ間通信は垂れ流しやで

Permalink | 記事への反応(0) | 20:34

ツイートシェア

■PPAPはやめましょう！でもどうしたらいいの？への一国民からの回答

S/MIME使え。

証明書取るの。

ほとんどのメールソフトで対応してるわ。

会社とか官公庁だろ？証明書くらいとれよ。

あとは管理は外注させりゃいいだろ。

PGP？P2Pを前提にした担当者同士のメールなんて管理者が管理できねーだろ

Permalink | 記事への反応(0) | 13:43

ツイートシェア

■https://anond.hatelabo.jp/20170802230319

普通に公開鍵暗号方式のS/MIME使えばいいんじゃないのかな

対応メールクライアントも多いし

セキュリティに気を使ってますというポーズだけが重要で、新しいことは一切覚えたくないという人が多いだろうから導入に反対されそうな気はする

Permalink | 記事への反応(0) | 15:52

ツイートシェア

■機密にGmail使うなって言ってんだろ

コスト高だけどS/MIMEとか、OSSならpgpなりSHA-256だのTrueCrypt色んな選択枝があるのに

エリート様の官僚が勉強もせず、考える事もせずGoogleの無料サービスで情報ダダ漏れ。

ケツもちのNECや富士通やらも予算ぶんどってるくせに何も提案せず知らんぷり。糞が。

Permalink | 記事への反応(1) | 00:09

ツイートシェア

■法律で全メールをS/MIMEに限るとどうなるんだろう

タイトルだけ考えて投げっぱなし

Permalink | 記事への反応(0) | 05:05

ツイートシェア