在没有安全 SSL/TLS 连接的情况下发送和接收电子邮件是否存在风险？

该问题等同于通过纯 HTTP 使用您的网络邮件。中间人攻击者可以捕获您与服务器交换的电子邮件，并在它们以纯文本形式发送时嗅探您的登录凭据。

对于与您、您的室友、您的雇主或您的 ISP 使用相同 Wifi 的人来说，这样的攻击是可能的 - 对于在您和服务器之间处理流量的每个人来说都特别容易，但对于远程来说通常是不可行的攻击者（就像一个在家里攻击你的朋友）。

因此，如果您在您的私人家庭网络中执行此操作，并且不要担心您的 ISP 会记录您的数据¹，那么您就可以了。然而，在公共 Wifi 中，这是一个严重的风险 - 特别是因为电子邮件客户端通常会在后台定期联系服务器而无需您的交互。因此，与使用您的网络邮件相反，您不会在开始时只发送一次密码，而是每 15 分钟广播一次以检查更新。

（另请注意，攻击者特别容易从流量中自动提取 POP3/IMAP/SMTP 凭据，因为它们的传输是相应协议的一部分。对于网络邮件登录表单，他们至少必须通过 HTTP 流量搜索找到传输密码的请求。）

¹在您的情况下，ISP是邮件提供商，因此他们显然已经可以访问该信息。

pop.orangehome.co.uk

在 POP3 中使用 STLS 命令（类似于 SMTP 中的 STARTTLS）理论上支持显式 TLS，但此服务器不支持此命令，因此不可能使用 TLS。虽然 ISP 可能会争辩说，从您家到该服务器的连接是由 ISP 控制的，因此是安全的，但一旦您尝试从公共热点或类似的地方访问您的邮件，因为缺少加密意味着每个人都可以阅读，这个论点是无效的您的密码和邮件内容。对于在家中可以访问您的网络的任何人来说也是如此。

smtp.orangehome.co.uk

此服务器无法从外部访问，而只能从 ISP 网络内部访问。如果 ISP 对网络有严格的控制，它可以争辩说没有人可以嗅探内容，他可能大部分是对的。但希望您可以完全信任您的内部家庭网络，因为任何有权访问该网络的人都可以阅读您发送的任何邮件，因为这些邮件没有加密。有趣的是，服务器不需要身份验证，这可能意味着 ISP 通过您的内部 IP 地址对您进行身份验证。

编辑：正如@Jasen 在评论中指出的那样，如果您不在家，可以使用端口 587 连接此主机。这种访问需要身份验证，但只提供纯文本，仍然没有加密。因此安全性可与 POP3 案例相媲美：有人可以嗅探您的密码并阅读您的邮件。

总之：这不是您应该从主要 ISP 获得的安全性。

当你谈到你的 ISP 时，你的主机和你的 ISP 的网络之间通常没有任何东西。所以当然没有什么是加密的，但即使你使用了 SSL，它也会在到达服务器应用程序之前被解密。换句话说，除非你有一个不受信任的本地网络，这对于个人连接来说很奇怪，否则 SSL 加密不会带来额外的安全性。如果您不希望您的邮件提供商阅读您的邮件内容，请使用加密邮件，而不是 SSL。

但是链接页面中的下一段是恕我直言，更糟。因为他们说当您通过外部服务（例如公共 WiFi 热点）连接时，您使用端口 587（很好），使用您的用户名和密码进行身份验证（仍然正常）并且没有加密（glp ...）。换句话说，如果您在家外发送或阅读邮件，您就是在未知网络上以明文形式发送密码，这显然是不可接受的。

如果没有其他问题，您可以使用 EE 作为您的 ISP，但如果通过第三方网络连接时不支持加密，则应使用其他邮件提供商。

就像菠萝曼说的，一旦你带着手机或笔记本电脑离开家庭网络，将台式电脑带到局域网派对，你可能会受到攻击。攻击者不仅可以阅读您的邮件，还可以更改它们，将恶意内容添加到附件中，使用此访问权限来重置我们在 Web 服务上的密码，还有更多糟糕的事情......

此外，如果您出于某种原因使用 VPN 并且您的整个流量都是隧道式的，那么您可能会向您和 ISP 之间的任何人开放您的通信。

最后但并非最不重要的一点是，互联网上有大量恶意流量，试图破解您的路由器。如果它成功并更改 DNS 条目，您也会遇到问题。