Безопасность email

Обновлено10 October 2024

Email — текстовое сообщение (возможно, с вложенным файлом или файлами), которое вы отправляете через браузер или с помощью отдельной почтовой программы, установленной на вашем устройстве (например, Thunderbird или K-9 Mail). Когда вы щелкаете кнопку "Отправить", сообщение попадает на сервер вашего почтового провайдера. Там оно и хранится (обычно в папке "Отправленные"). Бывает, что создается резервная копия. Затем ваш провайдер отправляет сообщение на сервер почтового провайдера адресата. Там оно тоже сохраняется (возможно, также создается резервная копия). В конце концов получатель читает сообщение в своем браузере или в почтовом клиенте (как сам захочет). Получатель волен решить, хранить письмо в сети или скачать его на свое устройство и удалить с сервера провайдера.

В наши дни люди пользуются email все реже, предпочитая для повседневного общения мессенджеры с шифрованием или видеозвонки. Но электронная почта остается важным средством коммуникаций по разным причинам, например, для создания других онлайн-аккаунтов, для организации рабочих процессов, для общения на определенные темы или с определенными людьми.

По умолчанию электронная почта — не самый безопасный способ онлайн-коммуникаций. Она не зашифрована, содержит много метаданных, хранится на серверах провайдеров, а также бывает подвержена фишингу, заражению вредоносным кодом и прочим угрозам. Тем не менее, это испытанная временем технология. Она обеспечивает связь, даже если серверы на некоторое время перестанут работать. В этом руководстве мы разберемся, как сделать ее более безопасной.

Выберите почтового провайдера

Чтобы выбрать провайдера, нужно задать себе несколько вопросов.

• Это проверенный временем сервис? Насколько активно он поддерживается и развивается? Много ли у него пользователей?
• Где находится провайдер? А его серверы? Может, они в стране, которая охотно выполнит запрос властей вашей страны? Соблюдают ли в этой стране права человека? Защищены ли права потребителей? Оцените, будет ли почтовый провайдер уважать вашу конфиденциальность и права, и при каких обстоятельствах он даст кому-либо еще доступ к вашей информации.
• Можно ли доверять владельцу сервера как с технической, так и с этической точки зрения? Каковы его история и миссия? Публикует ли он регулярные отчеты о прозрачности или "свидетельства канарейки"? Был ли независимый аудит? Как долго хранятся данные о клиентах? Если провайдеру когда-нибудь приходили запросы на информацию от органов власти, как реагировал провайдер?
• Используются ли на серверах бесплатные программы с открытым исходным кодом? Если есть мобильное приложение, является ли оно также бесплатным и с открытым исходным кодом?
• Шифруются ли сообщения при передаче с помощью TLS? Это можно проверить с помощью теста на сайте checktls.com.
• Шифруются ли отдельные почтовые ящики на сервере?
• Есть ли опция двухфакторной аутентификации?
• Поддерживается ли сквозное шифрование между пользователями этого провайдера?
• Предлагают ли они шифрование email в своем приложении? Если да, эта опция использует проверенное бесплатное программное обеспечение с открытым исходным кодом (вроде OpenPGP)?
• Есть ли у провайдера дополнительные услуги, например, календарь, файловое хранилище, VPN?
• Сервис платный или нет? Если бесплатный, то какова бизнес-модель провайдера?

Чтобы выбрать, где создать почтовый ящик, обратите внимание на наш список почтовых провайдеров.

Иногда есть смысл завести ящик на популярном сервере, таком как Gmail, чтобы не использовать необычное доменное имя (по которому вас могут "опознать" как вероятного активиста). Примите во внимание риск, что коммерческий почтовый провайдер может передать ваши данные властям в случае расследования. Подумайте о шифровании электронной почты.

• If you decide to create a Gmail account, read our guide on how to use Gmail more securely.

Защитите свой почтовый аккаунт

Создали почтовый аккаунт — сразу же защитите его надежным паролем и, если возможно, двухфакторной аутентификацией.

При создании нового пароля, возможно, придется выбрать один или несколько вопросов для восстановления. Советуем давать фейковые ответы. О том, как можно действовать в подобных случаях, читайте в нашем руководстве по безопасным паролям.

Подумайте об одноразовом аккаунте

• Если нужен просто ящик для входящих писем на короткий срок, можно создать одноразовый аккаунт на Guerrilla Mail или на anonbox.

Используйте псевдонимы

• Создайте альтернативный адрес email, связанный с вашим основным ящиком (пригодится, например, для защиты от спама).
  • Как создать псевдоним на Proton Mail, Riseup, Autistici/Inventati, Disroot, Posteo и Mailfence.
  • Как настроить Thunderbird и K-9 Mail для отправки сообщений с адреса-псевдонима.

[Опция] Создайте анонимный email

Если хотите создать email, по которому вас нельзя будет отследить, воспользуйтесь нашим руководством по анонимности.

Определитесь, как будете открывать свой ящик

• Если выбранный вами сервис email позволяет, используйте на компьютере Thunderbird.
  • Как настроить почтовый ящик в Thunderbird.
• Если у почтового сервиса нет мобильного приложения, используйте K-9 Mail. Для Android также есть версия Thunderbird.
  • Как создать аккаунт в K-9 Mail.
• Если у вас несколько адресов email, подумайте о том, чтобы работать со всей почтой в клиенте вроде Thunderbird (на компьютере и Android) или K-9 Mail (на мобильных устройствах).
  • Как объединить несколько email в Thunderbird.
  • Добавление второй учетной записи в K-9 Mail.

Регулярно удаляйте почту, хранящуюся на сервере

По возможности используйте почтовый клиент, например, Thunderbird для загрузки почты на защищенное устройство и удаления ее с сервера через POP3. Если вам нужен доступ к почте с разных устройств (например, с компьютера и телефона), вряд ли есть смысл удалять письма с сервера, лучше использовать IMAP.

Обустройте ваш почтовый ящик

• Ниже даны некоторые советы о том, как организовать почту в Thunderbird.
  • Познакомьтесь с интерфейсом Thunderbird и узнайте, как организовать почту с помощью тегов и как визуализировать теги вместе с папками.
  • Попробуйте поиск по emai с помощью быстрого фильтра Thunderbird.
  • Почту можно организовать с помощью всего лишь 4 папок.
  • Как использовать фильтры в Thunderbird.
  • Как обучить спам-фильтр в Thunderbird.
  • Группируйте сообщения в Thunderbird.
  • Как создавать шаблоны в Thunderbird, чтобы не писать сообщения "с нуля".
• Прочитайте советы Кори Доктороу: как сделать так, чтобы ваш почтовый ящик всегда был пустым.

Создавайте резервные копии писем

• Сохраните резервную копию почты с сервера на защищенное устройство с помощью Thunderbird и POP3. Если вам нужен доступ к письмам с других устройств, можно оставить почту на сервере.
• Как создать резервную копию профиля Thunderbird, включая учетные записи, сообщения, адресные книги и настройки.
• Как восстановить данные из резервной копии Thunderbird с помощью инструмента импорта.

Защититесь от фишинга и вредоносных программ

• Обращайте внимание, когда отправитель email пытается заставить вас действовать быстро или "давит на эмоции". Возможно, он хочет, чтобы вы перешли по опасной ссылке, открыли зараженное вложение или ввели реквизиты доступа на фишинговой веб-странице.

[Опция] Защитите email сквозным шифрованием

• Шифруйте и подписывайте сообщения с помощью OpenPGP. Для этого существуют разные инструменты.
  • Thunderbird (Windows, Linux, macOS, Android)
  • K-9 Mail и OpenKeychain (Android)
    • См. руководство на сайте K-9 Mail.
  • Mailvelope (Chrome/Chromium, Firefox, Edge)
• Попробуйте email с поддержкой шифрования
  • Proton Mail
    • Обратите внимание: Proton Mail не шифрует почту автоматически для получателей с не-протоновскими адресами. Чтобы зашифровать письмо не для пользователя Proton Mail, нужно установить пароль, который получатель сможет использовать для открытия сообщения, или обменяться открытыми ключами шифрования.
  • Mailfence
    • Обратите внимание: Mailfence не шифрует почту автоматически для получателей с адресами не в Mailfence. Чтобы зашифровать письмо не для пользователя Mailfence, нужно задать пароль, который получатель сможет использовать для открытия сообщения, или обменяться открытыми ключами шифрования.

[Дополнительно] Кроме текста: учитесь читать заголовки email

• Обратите внимание на руководство по просмотру и извлечению необработанных сообщений в популярных почтовых клиентах на сайте Центра реагирования на компьютерные инциденты Люксембурга (CIRCL).
• О том, как анализировать заголовки email, рассказывается в соответствующем разделе Полевого руководства Internews по реагированию на инциденты для гражданского общества и СМИ (2023, с. 60).