为什么像 Edward Snowden 这样的人会依赖 Lavabit 或 Hushmail 等第三方服务来托管他的电子邮件?
我的意思是设置自托管电子邮件服务器非常容易。你需要什么:
这样的设置不是比依赖第三方电子邮件服务“更安全”吗?
为什么这么多安全专家(即密码学家 & co.)不托管自己的电子邮件?
租用 VPS(甚至更好:家庭服务器)和域(可能需要长达 2 天,谁在乎..)
有多少 ISP 不提供对其站点及其为客户提供的系统的执法访问权限?
对于家庭服务器:许多站点明确拒绝从“家庭”IP 地址(这些是已知的地址块)访问其邮件服务器,以对抗垃圾邮件。即使您做到了这一点:您是整天在家还是您确定能检测到任何类型的闯入?请注意,您不是普通的窃贼。
再次保护一切并进行测试(30 分钟 - 2 小时)
您所描述的内容可能有助于保护您的隐私免受 Google 等(至少是电子邮件)的侵害。对付 NSA 可能还不够。如果他们真的想拥有您,他们可以发送带有恶意软件的巧妙网络钓鱼邮件、使用恶意广告攻击您、简单地闯入您的家等等。
为什么这么多安全专家(即密码学家 & co.)不托管自己的电子邮件?
安全是一个非常广泛的领域,我相信很多加密专家可能不知道如何设置和正确保护邮件服务器。许多邮件管理员也不知道更深层次的密码学。他们都是各自领域的专家,不可能无所不知。这意味着他们要么学会成为另一个领域的专家,而在自己的领域中花费的时间更少,要么他们必须找到一种方法将这些任务外包给他们信任的人。
DKIM、SPF、DMARC、DNSSEC、DANE & co,如果你愿意的话。(1 小时 - 2 小时)
这些绝对不容易。您必须首先找到允许您使用自己的域进行 DNSSec 的人。大多数 ISP 甚至专门的 DNS 提供商都没有。要拥有 DKIM、SPF 或 DANE,您要么需要使用自己的 DNS 服务器来解决所有问题(需要主要和次要的可用性等),要么必须再次找到可以让您设置所有这些记录的提供商。对于第一次这样做的人来说,你给出的这些短暂的时间绝对是不现实的。
作为实际上已经这样做了几年的人,我可以告诉您,它并不像您描述的那么简单,而且它没有提供您想要的安全属性。
总之:
为什么这么多安全专家(即密码学家 & co.)不托管自己的电子邮件?
因为正确地完成它需要大量的时间和专业知识,所以一般来说并没有更安全(在某些情况下实际上不太安全),并且有更好和更简单的解决方案现成可用
您最初的时间估计是非常乐观的,即使假设您是一位知识渊博的系统管理员,并且在该任务上拥有丰富的经验。
为了让您快速了解一下,一本涵盖最流行MTA之一的流行书籍大约有 500 页。
这仅适用于 MTA。在现实世界中,您还需要一个带有 POP/IMAP、垃圾邮件过滤和可能的身份验证服务器的MDA 。
您还忽略了保持系统健康和安全所需的持续努力:
监控机器和服务运行状况(是否有操作系统更新?服务是否正在运行和响应?磁盘空间是否不足?)
监控日志,诊断错误(是否有持续的 DoS 攻击?是否有人暴力破解 SMTP 身份验证?为什么登录不起作用?)
与安全相关的监控(是否tripwire因为操作系统更新或入侵而提醒您?本周您的操作系统是否有任何安全建议?机器上运行的所有其他软件呢?)
除非您很高兴您的消息偶尔会严重延迟(或在最坏的情况下丢失),否则还需要许多其他的东西来可靠地提供电子邮件(想到备份 MX、故障转移和存储冗余)。如果您的连接中断并且您需要紧急回复电子邮件,则单个家庭服务器可能还不够。
您没有非常清楚地指定您的线程模型,但似乎您关心的是一个特别有兴趣访问您的电子邮件的国家资助的演员。您描述的设置不会阻止这种情况。例如,有强有力的证据表明Heartbleed 漏洞在公开发现之前已被广泛使用。如果您是一个运行电子邮件服务器的足够有趣的目标,那么破坏它根本没有问题。一个资金充足的对手将有能力破坏您可以设计的任何实用安全系统。
如果您的系统用户很少,自托管也有一个严重的缺点,即会暴露更多关于您的信息。您的 ISP 可以简单地判断您何时接收或发送电子邮件,以及您与哪些提供商通信。
当然,这并不是说自托管模型对其他威胁模型毫无用处。它可以防止将您的电子邮件泄露给您的服务提供商,并帮助您在发生大规模安全漏洞时保持安全,因为它是一个孤立的系统。它还可以防止提供者的无声胁迫(合法与否)。通过在具有严格数据保护法的国家/地区使用合格的提供商,可以部分缓解其中一些问题。
如果您需要考虑这种威胁模型的安全性,那么有更好、更简单的解决方案,正如斯诺登自己所说:
PGP对这种特定的威胁模型无可匹敌,因为您根本不需要信任任何服务器或提供商。
与维护电子邮件服务器相比,PGP 实际上非常易于使用和理解。
当您在您的场景中发送电子邮件时,您会宣布您的自定义私人电子邮件服务器的 IP。每个收件人和任何相关方现在都知道您使用自己的电子邮件服务器以及它在哪里。
这会导致此服务器和您与它的连接的一对一映射。如果政府机构想要追踪您,他们需要做的就是寻找您服务器的流量,他们知道您在哪里,或者您使用什么服务来试图隐藏您的位置。或者,作为替代选择,政府机构可以简单地要求您的服务器托管公司暂停您的服务器并等待您致电支持。
更不用说管理上的麻烦了。当您使用电子邮件服务时,停机时间、垃圾邮件、流量问题、冗余、服务器修补、日志分析,所有这些事情都由一个致力于您的安全 24/7 的专业团队管理。
有人说从未运行过自己的电子邮件。
您没有提到入站反垃圾邮件解决方案。DKIM 和相关技术用于将您自己的邮件验证为非垃圾邮件并使其可交付。(可交付性是家庭托管的主要障碍:大多数提供商阻止端口 25 ,许多邮件收件人阻止所有已知为 ADSL 的范围)。但是,如果您没有入站反垃圾邮件,您就会淹没在垃圾邮件中,而且现有的解决方案都不是真正的交钥匙解决方案。
对于以前设置过所有这些部分的经验丰富的系统管理员来说,您的时间是最好的情况。对于没有的人可能需要更长的时间。在确定一切正常之前,您需要忍受默默丢失邮件的风险。
你的时代是一次性的。您需要跟踪所有这些部分的版本和建议,并准备好在宣布漏洞后立即放弃所有内容。显然,如果在你睡着的时候宣布了一个关键漏洞,你可能会在醒来之前受到攻击。