Хотя электронная почта существует уже несколько десятилетий, лежащий в её основе транспортный протокол SMTP всё это время оставался почти неизменным. Большинство электронных писем передаются в виде простого незашифрованного текста посредством SMTP, что не мешает пользователям вести в них общение, не предназначенное для посторонних глаз.
Для решения этой проблемы много лет назад появилось расширение протокола SMTP STARTTLS, но множество уязвимостей не позволили ему обрести популярность. В частности, оно не могло гарантировать шифрования сообщений.
Сейчас с этой технологией легко выполнить атаку типа «человек посередине», перехватить письмо до его отправки и уведомления отправителя о том, что не активирован протокол SSL, так что клиент отправит письмо незашифрованным без предупреждения. Новое предложение было внесено в Internet Engineering Task Force в минувшую пятницу, над ним работали специалисты Google, Yahoo, Comcast, Microsoft, LinkedIn и 1&1 Mail & Media Development.
Предлагается защита против злоумышленников, которые хотят перехватить или модифицировать письмо, либо выдав себя за сервер назначения, либо взломав SSL при помощи имеющихся для этого методов. При отправке письма на домен с поддержкой SMTP STS отправитель автоматически проверяет поддержку шифрования у получателя и наличие надёжного сертификата, прежде чем выполнить передачу.
Если проверка не пройдена, письмо не отправляется и пользователю сообщается о причине. Предложение содержит множество описаний технических подробностей. Если оно будет принято, почтовые сообщения получат надлежащий уровень защиты за счёт применения давно существующих в вебе технологий.
Шифрование TLS уже широко применяется, более 70% писем в Gmail приходят с применением SSL, но различные проблемы могут отключать его без уведомления пользователя. Пока это только предложение, но при поддержке крупнейших технологических компаний оно может стать реальностью.