Cuide da proteção das suas trocas de e-mail
Atualizado10 October 2024
Índice
...Carregando Tabela de Conteúdos...Um e-mail é uma mensagem de texto (que pode ter anexos) enviada através do navegador ou de um aplicativo de e-mail instalado no seu dispositivo (como o Thunderbird ou K-9 Mail). Quando você clica em Enviar, a mensagem vai para os servidores do seu provedor de e-mail, onde é armazenada (normalmente na pasta Enviados) e pode ter uma cópia de segurança. Em seguida, o provedor a encaminha ao servidor do provedor dos seus destinatários, onde ela é armazenada (e também pode ter uma cópia de segurança). Finalmente, o e-mail é entregue aos destinatários, que o leem pelo navegador ou cliente de e-mail de sua escolha. A partir daí, os destinatários podem optar por manter o e-mail armazenado online ou baixá-lo e excluí-lo dos servidores do provedor.
Hoje, muitas pessoas usam e-mail com pouca frequência e preferem aplicativos de chat criptografados ou chamadas de vídeo para as comunicações do dia a dia. Mesmo assim, o e-mail ainda é utilizado para várias razões diferentes, especialmente para criar contas online e organizar nosso trabalho e conversas de acordo com diferentes critérios.
Por padrão, o e-mail não é o método mais seguro de comunicação online, uma vez que não é criptografado, carrega muitos metadados, fica armazenado nos servidores dos provedores e pode expor você a phishing, infecções por malware e outros ataques. No entanto, é uma tecnologia resiliente que garante a continuidade das comunicações, mesmo se os servidores ficarem fora do ar temporariamente, e como explicado neste guia, há maneiras de aumentar sua segurança.
Decida qual provedor de e-mail usar
Considere estas perguntas para aprender a escolher um provedor de e-mail:
- Essa plataforma já é bem desenvolvida? É mantida e atualizada com frequência? Possui um número expressivo de usuários?
- Onde o provedor está localizado? E onde ficam seus servidores? Estão em um país que atenderia a solicitações das autoridades do seu país? E esse país respeita os direitos humanos e a proteção ao consumidor? É importante saber se o provedor de e-mail respeitará sua privacidade e direitos, e em quais condições ele poderá atender a pedidos de acesso às suas informações.
- Você confia nos donos dos servidores, avaliando tanto aspectos técnicos quanto éticos? Qual é a história e missão deles? Eles publicam relatórios de transparência ou declarações de canário frequentemente? Já passaram por auditorias independentes? Armazenam informações dos clientes por muito tempo? Se receberam pedidos de informações das autoridades, como responderam?
- Nos servidores, eles utilizam software livre e de código aberto? E se tiverem um aplicativo para celular, ele também é livre e de código aberto?
- Eles criptografam os e-mails em trânsito com TLS? Você pode verificar isso realizando um teste no checktls.com.
- As mensagens nas contas de e-mail individuais são criptografadas dentro do servidor?
- É possível ativar a autenticação de dois fatores?
- Oferecem a opção de criptografia de ponta a ponta para mensagens entre os usuários?
- Oferecem um recurso para criptografar e-mails através do aplicativo? Essa funcionalidade é fundamentada em software livre e de código aberto confiável para criptografia de ponta a ponta, como o OpenPGP?
- É possível acessar serviços extras, como um calendário, uma plataforma de armazenamento de arquivos ou um serviço de VPN?
- Trata-se de um serviço pago? Se não, como funciona o modelo de negócios do provedor?
Acesse nossa lista de provedores de e-mail para decidir onde criar sua nova conta de e-mail.
Em certas ocasiões, pode ser interessante criar uma conta de e-mail em um servidor popular, como o Gmail, para evitar o uso de um domínio menos comum, que é tipicamente usado por ativistas. Se for esse o caso, leve em consideração o risco de que um provedor de e-mail comercial possa entregar suas informações às autoridades em caso de uma investigação e pense em criptografar seus e-mails.
- If you decide to create a Gmail account, read our guide on how to use Gmail more securely.
Saiba por que recomendamos isso
O e-mail não foi projetado com foco na segurança. Foi desenvolvido na década de 1970, quando era utilizado por um número limitado de pessoas que precisavam apenas se comunicar. Hoje, a maioria dos provedores de e-mail protege suas mensagens com criptografia de cliente para servidor (usando TLS) enquanto elas vão do seu dispositivo, passando pelo roteador local e o provedor de internet, até os servidores dos provedores de e-mail. Isso impede que qualquer pessoa bisbilhote sua rede local ou os cabos que conectam seu dispositivo aos provedores de e-mail e aos dispositivos dos destinatários, garantindo que suas mensagens permaneçam privadas. Por essa razão, recomendamos provedores de e-mail que, entre outras funcionalidades, utilizam criptografia em trânsito via TLS.
However, your messages remain unencrypted when they are stored on your device and on your email provider's servers as well as on the recipient's device and email provider's servers. This means someone with access to the servers or devices can read your email. Therefore we strongly recommend you to consider also encrypting your messages, especially if their content is particularly sensitive.
Cuide da segurança da sua conta de e-mail
Quando você criar uma nova conta de e-mail, lembre-se de protegê-la logo de cara com uma senha forte e, sempre que possível, com autenticação em duas etapas.
Quando for definir sua nova senha, você provavelmente terá que escolher uma ou mais perguntas de recuperação. Nesses momentos, é sempre uma boa prática dar respostas falsas. Aprenda quais estratégias você pode adotar nesses casos em nosso guia sobre senhas seguras.
Considere usar uma conta de e-mail descartável
- Caso precise de um endereço de e-mail apenas para receber mensagens por um curto espaço de tempo, você pode criar uma caixa de e-mail temporária no Guerrilla Mail ou no anonbox.
Saiba por que recomendamos isso
Se você precisar de um endereço de e-mail em uma situação pontual, como para ativar um serviço, pode usar uma caixa de entrada descartável. Essa solução pode ajudar a evitar que sua caixa de entrada principal fique exposta a spam e outros riscos.
Vale lembrar que você pode utilizar e-mails descartáveis para receber mensagens, mas não para enviar. Se quiser enviar mensagens que não possam ser vinculadas à sua identidade principal, leia as instruções sobre como criar um e-mail anônimo.
Considere usar aliases de e-mail
- Configure um endereço alternativo ligado à sua conta de e-mail, para
evitar o recebimento de spam.
- Saiba como configurar um alias no Proton Mail, Riseup, Autistici/Inventati, Disroot, Posteo e Mailfence.
- Aprenda a configurar o Thunderbird e o K-9 Mail para enviar mensagens a partir de um alias.
Saiba por que recomendamos isso
A maioria dos serviços de e-mail permite que você crie um ou mais aliases. Um alias é um endereço de e-mail adicional que se conecta à sua caixa de entrada. Quando uma mensagem é enviada para um alias que você configurou, ela será encaminhada para sua caixa de entrada. Você também pode utilizar um alias para enviar mensagens com um nome de remetente diferente, mas isso requer que você configure essa identidade extra em seu cliente de e-mail ou na webmail. Vale ressaltar que os aliases de e-mail não são anônimos: em muitos casos, podem ser rastreados de volta ao seu endereço principal através dos cabeçalhos de qualquer mensagem enviada com o alias.
[Opcional] Crie um e-mail anônimo
Se o seu objetivo é criar uma conta de e-mail desvinculada de sua identidade oficial e que não possa ser rastreada até você, siga as instruções em nosso guia sobre anonimato para aprender a criar e utilizar uma conta de e-mail de maneira anônima.
Decida de que maneira irá acessar sua caixa de entrada
- Se o serviço que você decidiu usar permitir, faça uso do Thunderbird em seu computador.
- Se o serviço que você decidiu usar não tiver um aplicativo móvel, aproveite o K-9 Mail em seu dispositivo móvel ou o Thunderbird no Android.
- Se você tiver mais de um endereço de e-mail, considere agrupar todos os seus e-mails em um cliente como o Thunderbird para computadores e Android, e o K-9 Mail para dispositivos móveis.
Saiba por que recomendamos isso
Embora todos os provedores de e-mail ofereçam uma interface para web e aplicativos móveis para acessar suas mensagens, pode ser muito conveniente agrupar todos os seus e-mails em um só cliente de e-mail, como o Thunderbird ou o K-9 Mail.
Os clientes de e-mail possibilitam que você escolha entre baixar seu e-mail para um dispositivo seguro ou mantê-lo no servidor, permitindo que você o acesse de diferentes dispositivos.
Leia mais sobre Por que usar um cliente de e-mail em vez de webmail no blog do Thunderbird.
Considere fazer a limpeza regular dos e-mails armazenados no servidor
Sempre que puder, considere usar um cliente de e-mail como o Thunderbird para baixar seus e-mails em um dispositivo seguro e deletá-los do servidor utilizando POP3. Se precisar acessar suas mensagens de diferentes dispositivos (como computador e celular), talvez seja melhor manter os e-mails no servidor e optar pelo IMAP.
Saiba por que recomendamos isso
Você pode consultar a documentação oficial do Thunderbird para entender a diferença entre baixar e-mails com POP3 (caso deseje excluir seus e-mails do servidor) e IMAP (para mantê-los no servidor). A maioria dos provedores de e-mail oferece instruções sobre como configurar um cliente de e-mail para receber suas mensagens por meio de POP3 ou IMAP.
Tenha em mente que o acesso ao seu e-mail por meio de um dispositivo móvel pode ser menos seguro em comparação ao uso de um computador, uma vez que os dispositivos móveis podem ser perdidos com facilidade e costumam ser mais difíceis de proteger do que os computadores.
Caso opte por baixar todos os seus e-mails em um dispositivo, assegure-se de que esse dispositivo seja seguro, esteja sempre atualizado e tenha backup.
Organize sua caixa de entrada
- Organize seus e-mails no Thunderbird:
- Explore a interface do Thunderbird e veja como organizar seus e-mails por meio de etiquetas e como visualizar as etiquetas ao lado das pastas.
- Encontre seus e-mails com o filtro rápido do Thunderbird.
- Experimente organizar seus e-mails usando só 4 pastas.
- Saiba como utilizar filtros no Thunderbird.
- Aprenda a configurar o filtro de spam no Thunderbird.
- Organize suas conversas com a visualização em tópicos no Thunderbird.
- Aprenda a fazer modelos de mensagem no Thunderbird e torne sua escrita mais prática.
- Saiba como manter sua caixa de entrada sempre vazia com as dicas de Cory Doctorow.
Faça um backup da sua caixa de entrada
- Proteja seus e-mails fazendo backup do servidor para um dispositivo seguro com o Thunderbird através do POP3 (você pode escolher manter o e-mail no servidor, se precisar acessá-lo em outros dispositivos).
- Descubra como realizar o backup do seu perfil no Thunderbird, incluindo contas, mensagens, agendas de contatos e configurações.
- Descubra como recuperar o backup do seu perfil do Thunderbird utilizando a ferramenta de importação.
Proteja-se contra phishing e malware
- Desenvolva o hábito de perceber quando um e-mail tenta te pressionar a agir rapidamente ou apelar para suas emoções,pois isso pode ser uma tentativa de te fazer abrir um link malicioso, baixar um anexo infectado ou inserir seus dados de login em uma página de phishing.
Saiba por que recomendamos isso
Os especialistas em segurança consideram que as emoções e os hábitos das pessoas são os aspectos mais vulneráveis da segurança digital. Quando somos chamados a agir rapidamente, quando sentimos curiosidade ou quando estamos sob ameaça, normalmente cumprimos as instruções que nos foram fornecidas.
O estresse que passamos ao trabalhar com direitos humanos pode nos deixar especialmente vulneráveis a esses tipos de ataques. Muitos de nós estamos convencidos de que nunca seríamos enganados, mas pensar duas vezes pode evitar com que malwares sejam instalados em nossos dispositivos para nos espionar sem que saibamos.
[Avançado] Proteja suas mensagens de e-mail com criptografia de ponta a ponta
- Criptografe e assine suas mensagens de email com OpenPGP usando uma das
seguintes ferramentas:
- Thunderbird (Windows, Linux, macOS, Android)
- K-9 Mail e
OpenKeychain (Android)
- Confira o guia no site do K-9 Mail.
- Mailvelope (Chrome/Chromium, Firefox, Edge)
- Experimente serviços de email que oferecem suporte à criptografia
- Proton Mail
- OBSERVAÇÃO: O Proton Mail não criptografa automaticamente as mensagens enviadas para endereços que não estão no Proton Mail. Para criptografar uma mensagem para alguém que não usa o Proton Mail, você deve definir uma senha que o destinatário poderá usar para abrir a mensagem ou poderá precisar trocar chaves públicas de criptografia.
- Mailfence
- OBSERVAÇÃO: O Mailfence não criptografa automaticamente as mensagens enviadas para endereços que não estão no Mailfence. Para enviar uma mensagem criptografada a alguém que não usa o Mailfence, você pode definir uma senha que o destinatário poderá usar para abrir a mensagem ou trocar chaves públicas de criptografia com o seu destinatário.
- Proton Mail
Saiba por que recomendamos isso
A criptografia de email utiliza matemática elaborada para codificar o conteúdo de suas mensagens ou arquivos, de forma que apenas aqueles que têm a "chave" para a descriptografia consigam acessá-los. Especialistas depositam sua confiança na criptografia OpenPGP, já que até agora, ninguém conseguiu descriptografá-la sem a chave correspondente.
Criptografar emails é muito importante. Por padrão, suas mensagens são salvas sem criptografia nos servidores do seu provedor e do destinatário, e podem ser armazenadas, sem criptografia, em mais de um dispositivo do destinatário, como celular e computador. Qualquer pessoa que tenha acesso a um servidor ou dispositivo onde sua mensagem está armazenada pode, potencialmente, ler seu conteúdo. A criptografia impede que invasores acessem partes do email que foram criptografadas (como o corpo, anexos e, em alguns casos, a linha de assunto), que parecerão para eles uma sequência de caracteres sem sentido.
Porém, vale destacar que a criptografia não evitará que um invasor descubra a origem da mensagem, o destinatário, a data de envio e outras informações que constam no cabeçalho do e-mail. Isso pode ou não incluir o assunto da mensagem (que às vezes é criptografado e outras vezes não). Um invasor poderia usar essas informações para mostrar que pessoas estão se comunicando entre si, mesmo sem saber o que está sendo discutido.
[Avançado] Além do corpo: aprenda a ler um cabeçalho de e-mail
- Leia o guia sobre como visualizar e extrair mensagens em formato bruto em clientes de email comuns no site do Centro de Resposta a Incidentes de Computador de Luxemburgo (CIRCL).
- Saiba como analisar cabeçalhos de email na seção que trata desse tema no Guia de Campo da Internews sobre resposta a incidentes para a sociedade civil e a mídia (2023, p. 60).
Saiba por que recomendamos isso
Assim como uma carta, um email é composto pelo corpo da mensagem e por informações adicionais necessárias, como, por exemplo, para que a mensagem chegue ao seu destino e para que o destinatário saiba quando ela foi enviada. Essas informações geralmente incluem a data e a hora em que o email foi enviado, o nome do remetente, o endereço de email e o IP, o nome e o endereço de email do destinatário, o assunto do email e a data e a hora em que o email foi recebido por cada computador ao longo do caminho entre o remetente e o destinatário. Um cabeçalho também fornecerá informações sobre se um email foi enviado a partir de um sistema autorizado, portanto, ser capaz de lê-lo pode ajudar a confirmar que não se trata de spam e que o email do remetente alegado não é falsificado. Por isso, em caso de dúvida (por exemplo, se você suspeitar que o remetente de um email não é quem diz ser), é importante saber visualizar o cabeçalho e analisá-lo ou enviá-lo a especialistas que possam analisá-lo para você.