تأمين المراسلات البريدية

مُحدَّث في 10 October 2024

الفهرس

…يجري تحميل الفهرس…

رسالة البريد الإلكرتوني رسالة نصيّة قد تُرفق بها ملفات تُرسَلب استخدام تطبيق للبريد الإلكتروني مثل ثَنْدَرْبِرْد أو K-9 Mail، أو بطريق الوِب. بضغط زرّ "إرسال" فإن الرسالة تنتقل من نبيطتك إلى خادوم مُقدِّم خدمة البريد حيث قد تُحفَظ في أرشيفك البريدي و قد تُنسَخ منها نُسَخ احتياطية لزوم عمليات التشغيل، و في تلك الأثناء يُمرِّرُ خادوم البريد الرسالة إلى خادوم البريد الذي يستعمله المُرسَلُ إليه حيثُ تُحفَظ في انتظار اتّصال تطبيق بريد المُرسَل إليها لاسترجاع الرسالة. هنا يكون للمُرسّل إليه خيار حفظ الرسالة أو حذفها من خادوم البريد.

استعمال البريد الإلكتروني صار اليوم أقل مما كان عليه فيما مضى، إذ يُفضِّل كثير من الناس تطبيقات التراسل الفوري المُعمّاة أو الفيديو للتواصل اليومي. إلا أنّ البريد الإلكتروني لا يزال يُستعمل لأغراض عِدَّة، منها في سياقات العمل، و للنقاشات المطوّلة المُهيكلة بين المجموعات، و للتراسل مع الجهات الحكومية و الدراسية، و يتميّز بكونه معيارًا مفتوحًا و شبكة لامركزية لا تملكها جهة بعينها.

لكنّ البريد الإلكتروني لا يضمن السريّة و الخصوصية كما يُتوقَّع حسب المعايير المعاصرة، إذ أن الرسائل لا تكون مُعمّاة على الإطلاق أثناء حفظها على خواديم البريد، كما إنها تحوي الكثير من البيانات الوصفيّة، و لأن استيثاق الرسائل صعب فيُمكن استخدام البريد الإلكتروني للتصيّد و الاستهداف بالبرمجيات الخبيثة. إلا أنّ البريد الإلكتروني مع ذلك يتميّز بمرونته، فكونه غير لحظي يضمن إمكانية استمرار التواصل حتّى مع تعطّل الخواديم لفترات أو الانقطاعات في الإنترنت، كما توجد وسائل لتأمين التراسل بالبريد الإلكتروني.

اختيار مُقدِّم خدمة البريد الإلكتروني

إجابات الأسئلة التالية تساعد على اختيار مُقدِّم خدمة البريد الإلكتروني:

هل سمعة مُقدّم الخدمة جيّدة؟ هل هي خدمة مستقرّة ناضجة؟ هل يستخدمها الكثيرون؟
أين يوجد التمثيل القانوني للجهة مُقدِّمة الخدمة؟و أين توجد خواديمهم؟ أفي بلد يتعيّن عليهم فيها تلبية طلبات السلطات من البلد التي تعمل أو تقيم فيها؟ هل تلتزم السلطات في تلك الدولة بسيادة القانون و بمعايير حقوق الإنسان و حقوق المستهلكين؟ من المهمّ معرفة إن كان مُقدِّم خدمة البريد سيُعنى بحقّك في الخصوصيّة و الظروف التي سيُفصح فيها عن بياناتك الشخصية.
هل مديرو خواديم البريد أهل للثقة من الناحيتين التقنية و الأخلاقيّة؟ ما خلفيّتهم و ما دافعهم؟ هل ينشرون دوريّا تقارير للشفافية أو تصريحات الكناري الدالة على عدم تلقيهم أمرًا بالإذعان لكشف بيانات مستخدميهم أو زبائنهم؟ هل أجري فحص مستقل على نظمهم؟ هي يحفظون بيانات زبائنهم لفترات طويلة؟ إن كانوا قد سبق لهم تلقي طلبات لكشف بيانات فكيف تصرّفوا حيالها؟
هل يستخدمون تطبيقات حُرّة مفتوحة المصدر في تشغيل بنيتهم التحتية؟ هل لديهم تطبيق للنبائط المحمولة؟ أهو أيضًا حُرٌّ مفتوح المصدر؟
هل يُعمّون الاتّصالات بالخواديم ببروتوكول TLS؟ يمكنك إجراء اختبار باستخدام checktls.com.
هل صناديق البريد مُعمّاة على الخادوم؟
هل يتيحون وظيفة الاستيثاق بعدَّة معاملات؟
هل الاتصالات بين خواديم البريد و تطبيقات بريد المستخدمين مُعمّاة بين الأطراف؟
هل يوفّرون وسيلة لتعمية الرسائل عبر تطبيقهم؟ أهي مبنية على أدوات حُرّة مفتوحة المصدر ناضجة ُمستقرّة مثل OpenPGP؟
هل يُقدّمون خدمات إضافية إلى جانب البريد بنفس المقابل، مثل الرُزنامة و تخزين الملفات أو VPN؟
أهي خدمة بمقابل أم مجّانية؟ و إن كانت الثانية فما نموذجهم للاستدامة؟ و ما دافعهم إلى هذا العمل؟

طالعوا قائمة مُقدِّمي خدمات البريد الذين نُزكيهم لاختيار أحدهم إن كانت ليست لديكم فكرة من أين تبدؤون البحث.

في بعض الأحيان قد تحتاجون إلى إنشاء حساب بريد لدى مُقدِّم خدمة شائع، مثل بريد گوگل على سبيل المثال، لتفادي استخدام اسم نطاق يُعرف بكونه لا يشيع إلا بين النشطاء. إن كان الحال كذلك فضعوا في الحسبان أنّ مُقدِّم الخدمة التجاري قد يُفصح عن بياناتك للسلطات في حال وجود تحقيق، لذا تُستحسن تعمية المراسلات.

إن قرّرتم إنشاء حساب بريد لدى گوگل فطالعوا إرشاداتنا إلى كيفية استعمال خدمات گوگِل بأمان.

المزيد عن توصيتنا هذه

لَمْ تؤخذ اعتبارات الأمان في الحسبان عندما صُمِّمت أولى مواصفات البريد الإلكتروني في سبعينيات القرن الماضي، و الإنترنت عمومًا، عندما كان مستخدمو البريد و الإنترنت عمومًا مقتصرين على عدد قليل من الناس في سياقات أغلبها تقني و أكاديمي. اليوم تُطبّق الغالبية العُظمى من مُقدِّمي خدمات البريد الإلكتروني التعمية بين الخواديم و التطبيقات العميلة ببروتوكول TLS، لحماية سريّة المراسلات أثناء انتقالها من حاسوب المستخدِم إلى خادوم بيده عبر الشبكة المحليّة و مُقدِّم خدمة الاتصال بالإنترنت، و هذا يحول دون التنصّت على فحوى المراسلات. لذا نُزكّي مُقدّمي خدمة البريد الإلكتروني الذين يطبّقون هذه التعمية.

However, your messages remain unencrypted when they are stored on your device and on your email provider's servers as well as on the recipient's device and email provider's servers. This means someone with access to the servers or devices can read your email. Therefore we strongly recommend you to consider also encrypting your messages, especially if their content is particularly sensitive.

تأمين حساب البريد الإلكتروني

عند إنشاء حساب بريد إلكتروني ينبغي تأمينه بكلمة سرٍّ قويّة، كما يُستحسن تفعيل الاستيثاق بمعاملين.

عند وضع كلمة سرٍّ عادة يُطلب منك وضع سؤال أو أكثر لزوم استرجاع الحساب. في تلك الحالة من المستحسن إعطاء إجابات كاذبة كي لا يستطيع غيرك تخمينها. يوجد المزيد عن الاستراتيجيات المفيدة في هذه الحالات في دليلنا إلى كلمات السرِّ.

استعمال عنوان بريد مُهمَل

إذا احتجت عنوان بريد لتلقّي المراسلات عليه لفترة وجيزة فيمكنك استعمال صندوق بريد من إحدى خدمات البريد المُهمَل مثل Guerrilla Mail أو anonbox.

المزيد عن توصيتنا هذه

عند الحاجة إلى عنوان بريد لاستخدامه لمرّة واحدة، لتفعيل خدمة ما على سبيل المثال، فاستخدام عنوان بريد مُهمَل يجنّبك تعريض عنوان بريدك لخطر السُّخام.

عناوين البريد المُهمَلة يمكن استعمالها لتلقي الرسائل لكن ليس لإرسالها. أما لإرسال رسائل مُجهَّلة لا يمكن اقتفاؤها إلى هويّتك فطالعوا الإرشادات إلى إنشاء حساب بريد مُجهَّل.

استعمال كُنى بريدية

الكنية البريدية اسم بديل يؤدّي إلى صندوق بريد قائم، و له استخدامات عديدة، و قد يفيد في حال الرغبة في تلافي التعرّض للسُّخام.
- كيفية إنشاء كُنية بريدية مشروحة في وثائق كلّ خدمة: Proton Mail و Riseup و Autistici/Inventati و Disroot و Posteo و Mailfence.
- كما أنّ ضبط تطبيقات البريد لأجل إرسال رسائل من كُنية بريدية مشروحة لكل من Thunderbird و K-9 Mail.

المزيد عن توصيتنا هذه

تتيح أغلب خدمات البريد الإلكتروني إنشاء كُنية بريدية أو أكثر، و الكُنية بمثابة عنوان بريد إضافي لصندوق بريد قائم. فالرسائل المُرسلة إلى الكُنية البريدية ستصل إلى صندوق البريد الوارد، كما يمكن إرسال رسائل بعنوان الكُنية البريدية، لكن بعد إعداد تطبيق البريد الإلكتروني. تنبغي ملاحظة أن الكُنى البريدية ليست مُجهّلة، ففي أغلب الأحوال يمكن اقتفاؤها رجوعا إلى صندوق البريد الأساسي بتحليل ترويسات رسلة مُرسلة منها.

[اختياري] إنشاء حساب بريد مُجهَّل

توجد في دليلنا إرشادات إلى كيفية إنشاء حساب بريد مُجهَّل غير مرتبط بهويّتك القانونية و لا يمكن تقفّيه رجوعها إليها.

أساليب استعمال البريد

يمكنك استعمال تطبيق بريد إلكتروني في حاسوبك، مثل ثَنْدَرْبِرْد إن كان مُقدّم الخدمة يتيح الاتّصال ببروتوكولي IMAP و\أو POP3.
- يوجد في موقع موزيلا شرح كيفية تنصيب و إعداد ثَنْدَرْبِرْد لاستخدامه مع حساب بريد.
إن كانت الخدمة التي تستعملها لا تُتيح تطبيق بريد حُرِّ مفتوح المصدر للنبائط المحمولة فيمكنك استعمال K-9 Mail أو ثَنْدَرْبِرْد في أندرويد.
- كيفية تنصيب و إعداد K-9 Mail لاستخدامه مع حساب بريد مشروحة في موقع المشروع.
If you have more than one email account, consider organizing all your mail in a mail client like Thunderbird for computers and Android and K-9 Mail for mobile devices.
- كما يمكن جمع عِدّة حسابات بريد في صندوق بريد واحد باستخدام ثَنْدَرْبِرْد.
- كما يمكن إضافة عدّة حسابات بريد إلى تطبيق K-9 Mail.

المزيد عن توصيتنا هذه

يُتيتح أغلب مُقدِّمي خدمات البريد الإلكتروني واجهات على الوِب و أحيانا تطبيقات للنبائط المحمولة لاستعمال الخدمة البريدية إلا أن استعمال تطبيق مثل ثَنْدَرْبِرْد أو K-9 له مميّزات.

فإلى جانب قابلية تطبيقات البريد للتطويع بدرجة كبيرة حسب نمط الاستعمال الشخصي، و زيادة وظائفها بالملحقات، فإنّها تتيح نقل الرسائل من الخادوم لتخزينها بمعرفتك في نَبِيطة مؤمّنة، أو استبقاء نسخة منها على الخادوم للتعامل معها من واجهة الوب أو من نَبِيطة أخرى.

طالعوا المقالة بعنوان "Why Use a Mail Client vs Webmail in the Thunderbird blog" (بالإنگليزية) في موقع مشروع ثَنْدَرْبِرْد.

الحذف الدوري للرسائل المحفوظة في الخادوم

إذا كان يناسبك استعمال تطبيق للبريد الإلكتروني مثل ثَنْدَرْبِرْد لتنزيل الرسائل إلى حاسوبك، فيمكن إما جلبها ببروتوكول POP3 (تنمحي من الخادوم)، أو استخدام بروتوكول IMAP لمزامنة الرسائل ما بين صندوق البريد المحلي في الحاسوب و صندوق البريد في الخادوم. في كلا الحالتين يلزم تأمين مخزن الرسائل المحلي.

المزيد عن توصيتنا هذه

يوجد في وثائق موزيلا شرح لكلا الأسلوبين و مقارنة بينهما، كما ينشر أغلب مُقدّمو خدمة البريد الإلكتروني شرحا لكيفية ضبط تطبيق بريد إلكتروني لجلب البريد من خادومهم.

Consider that accessing your email through a mobile device is less secure than through a computer, since mobile devices can be easily lost and are generally harder to protect than computers.

إن اخترت جلب رسائل البريد من الخادوم إلى نَبِيطة محمولة فينبغي الحرص على تأمينها و تحديث نظامها دوريا و كذلك حفظ نسخة احتياطية.

تنظيم صندوق البريد

تنظيم البريد في ثَنْدَرْبِرْد:
- تعرّفوا على واجهة ثَنْدَرْبِرْد و تعلّموا كيفية تنظيم البريد بالوسوم و كيفية عرض الوسوم إلى جانب المجلّدات.
- تعلّموا إيجاد الرسائل بالمرشّحات السريعة في ثَنْدَرْبِرْد.
- جرّب ممارسة تنظيم البريد في أربع مجلّدات و حسب.
- تعلّموا كيفية استخدام المرشّحات في ثَنْدَرْبِرْد.
- تعلّموا كيفية تدريب مُرشِّح السخام في ثَنْدَرْبِرْد.
- تعلّموا كيفية تنظيم المحاورات في ثَنْدَرْبِرْد.
- تعلّموا كيفية صنع و استخدام القوالب في ثَنْدَرْبِرْد لتجنّب كتابة الرسائل النمطية من الصفر.
اقرأوا مقالة كوري دُكتُرو في كيفية استبقاء صندوق الوارد خاويًا )بالإنگليزية).

الحفظ الاحتياطي لصندوق البريد

Back up your email from your server to a secure device using Thunderbird with POP3 (you can choose to leave the mail on the server, if you need to access it from other devices).
تعلّموا كيفية حفظ نسخة احتياطية من بيانات ثَنْدَرْبِرْد متضمّنة إعدادات الحسابات و الرسائل المجلوبة و دفاتر العناوين و تضبيطات التطبيق.
تعلّموا كيفية استرجاع نسخة محفوظة من بيانات ثَنْدَرْبِرْد.

تجنّب التصيّد و البرمجيات الخبيثة

درّبوا أنفسكم على الوعي بالمواقف التي يحاول فيها أحدهم بطريق الرسائل البريدية الإلحاح عليكم للتصرّف بسرعة أو بناء على العاطفة ﻷنها قد تكون محاولة لدفعكم إلى اتّباع رابط خبيث أو تنزيل مُرفقة تحمل برمجية خبيثة أو إدخال مسوّغات ولوجكم في صفحة تصيّد.

المزيد عن توصيتنا هذه

يرى خبراء الأمان أن عواطف الناس و عاداتهم أضعف حلقة في منظومة الأمان. فنحن عندما يُطلب منا التصرّف سريعا، أو عندما يُستثار فضولنا أو نشعر بالتهديد فإنّنا نطيع و نتّبع ما يُملى علينا.

قد تتسبب الضغوط المتعلّقة بالدفاع عن حقوق الإنسان في زيادة وقع تلك الهجمات عليكم، فأغلبنا يظنّ أننا لا يمكن خداعنا، لكن التريّث قد يحول دون زرع برمجيات خبيثة في نبائطتنا للتجسّس علينا.

[نصيحة متقدّمة] حماية سريّة المراسلات بالتعمية بين الأطراف

تُعمّى المراسلات أو توقّع رقميًّا وفق مواصفة OpenPGP بإحدى الأدوات التالية:
- ثَنْدَرْبِرْد (لوِندوز و لينُكس و ماك و أندرويد)
- K-9 Mail و OpenKeychain (لأندرويد)
  - طالعوا وثائق K-9 Mail التي تتناول التعمية باستخدام PGP.
- Mailvelope (لكروميوم\كروم و فَيَرْفُكْس و إدج)
- FlowCrypt (Android app for any email provider, iOS app for Gmail, browser extension/add-on for Gmail available for Firefox, Chrome/Chromium, Brave, Edge and Opera)
جرّبوا خدمات البريد الإلكتروني التي تتيح التعمية
- Proton Mail
  - ملاحظة: لا يُعمّي بريد بروتون تلقائيًّا الرسائل المرسلة إلى المُرسل إليهم إن كانوا لا يستخدمون الخدمة نفسها. لتعمية الرسائل إلى من لا يستخدمون بروتون يتعين على المُرسِل إما وضع كلمة سرّ يُطلب من المُرسَل إليه إدخالها ليُمَكَّن من مطالعة الرسالة، أو تعمية الرسالة باستخدام PGP بعد تبادل المفاتيح العلنيّة و استيثاقها.
- Mailfence
  - ملاحظة: لا يُعمّي ميلفِنس تلقائيًّا الرسائل المرسلة إلى المُرسل إليهم إن كانوا لا يستخدمون الخدمة نفسها. لتعمية الرسائل إلى من لا يستخدمون بروتون يتعين على المُرسِل إما وضع كلمة سرّ يُطلب من المُرسَل إليه إدخالها ليُمَكَّن من مطالعة الرسالة، أو تعمية الرسالة باستخدام PGP بعد تبادل المفاتيح العلنيّة و استيثاقها.

المزيد عن توصيتنا هذه

توظّف التعمية خوارزميات معتمدة على مسائل رياضياتية صعبة لتحويل النصوص الصريحة إلى نصوص مُعمّاة لا معنى لها و لا يُمكن تظهيرها مُجدّدًا إلّا بمعرفة مفتاح سرّي. يثق الخبراء في التعمية القوية التي يُطبّقها OpenPGP و غيره من تطبيقات لأنّها مبنية على أسس نظرية صلبة و عمليا لم يتمكّن أحد من استخراج المُعمّى بها بغير حيازة مفتاح التعمية السرّي.

تعمية البريد هاّمة للغاية، لأن البريد يُحفظ بلا تعمية في خواديم البريد لكل الأطراف المتراسلة و قد يُحفظ بلا تعمية أيضًا في نبائط المتراسلين. كُلُّ من يسعه النفاذ إلى الخواديم تمكنه مطالعة المراسلات. تحمي التعمية سرية أجزاء المراسلات المُعمّاة، أي متن الرسالة و المرفقات و في بعض الحالات موضوع الرسالة.

لكن تجدر ملاحظة أن التعمية لا تمنع المهاجمين من معرفة أطراف التراسل و لا تاريخ و وقت التراسل و معلومات أخرى مُضمّنة في ترويسات رسائل البريد الإلكتروني، بما فيها أحيانًا حقل موضوع الرسالة، ﻷنه يُعمّى أحيانًا، حسب التطبيق. يمكن باستغلال هذه البيانات معرفة كون الأطراف يتراسلون، لكن دون معرفة ما يتراسلون بشأنه.

[نصيحة متقدّمة] ما بعد المتن: قراءة ترويسات الرسائل

يحوي دليل مركز (CIRCL) دليلا إلى كيفية استخراج الرسائل الخام في تطبيقات البريد الشهيرة.
يوجد في دليل إنترنيوز بعنوان "Field Guide to incident response for civil society and media " شرح لكيفية تحليل ترويسات رسائل البريد الإلكتروني، في صفحة 60.

المزيد عن توصيتنا هذه

رسائل البريد الإلكتروني تشبه الخطابات المعتادة في كونها تتألّف من متن يضم فحوى التراسل و بيانات أخرى لازمة لإيصال الرسالة إلى وجهتها و لمعرفة تاريخ إرسال الرسالة. هذه البيانات تتضمّن عادة تاريخ و ساعة إرسال الرسالة و اسم المُرسِل و عنوان بريده الإلكتروني و عنوان آي‌پي المعيّن للحاسوب الذي أرسلت منه الرسالة و اسم المُرسَل إليه و عنوان بريده الإلكتروني ، و كذلك موضوع الرسالة، و الختم الزمني لتاريخ و ساعة تسلّم الرسالة لدى كلّ حاسوب بريد مرّت به في طريقها من المُرسِل إلى المُرسَل إليه و اسمه. كما تحوي الترويسات كذلك توقيعا رقميّا يمكن بطريقه التحقّق مما إن كانت الرسالة قد أرسلت فعلا من اسم النطاق الذي تدّعي أنها أرسلت منه، و هذا يستخدم في ترشيح السخام. لذا فمن المهم عند الشك فحص ترويسات الرسالة أو إرسالها إلى من يستطيع ذلك.