Обзор самых безопасных почтовых сервисов

Нам уже все известно про популярные почтовые сервисы, про их попытки защитить пользовательскую информацию, а также случайные и неслучайные утечки данных. Многие понимают, что, если речь идет о конфиденциальности и безопасности, к популярным провайдерам лучше не обращаться. Для таких целей существуют другие почтовые сервисы. Они не входят в списки самых популярных, зато постоянно присутствуют в списках самых безопасных. Аналитический отдел Falcongaze рассмотрел некоторые из них. Предлагаем и вам ознакомиться.

    1. ProtonMail

Данный почтовый сервис был создан в 2013 году сотрудниками ЦЕРН. Штаб-квартира и серверы расположены в Швейцарии. На официальном сайте компания пишет, что находится вне юрисдикции США и ЕС, а потому не предоставляет им пользовательские данные. Это может произойти только после официального распоряжения Кантонального суда Женевы или Высшего федерального суда Швейцарии.

Разработчики вложили немало средств в оборудование в нескольких локациях страны. Над их первичным центром обработки данных находится 1000 метров гранитной породы. Бункер хорошо охраняется и может пережить ядерную атаку.

Что касается программного уровня, то ProtonMail использует сквозное шифрование. Подчеркивается, что письма зашифрованы постоянно. В зашифрованном виде они хранятся и передаются между серверами или пользователями. Поэтому риск перехвата сообщений минимизирован. Если пользователю необходимо отослать сообщение на адрес другого провайдера, то присутствует функция отмены шифрования. Также можно задать срок действия для писем. Они будут автоматически удаляться по истечении срока действия.

Помимо шифрования используется сертификат SSL, чтобы предотвратить атаку Man-in-the-middle.

На аккаунт устанавливается два пароля: один – для входа на сайт, другой – для расшифровки писем. Второй пароль знает только пользователь, поэтому в случае его утери, будет невозможно восстановить содержимое почты.

Чтобы быть максимально прозрачными перед пользователями, ProtonMail используют библиотеки с открытым исходным кодом. Говорят, такой код качественнее закрытого, так как над ним трудится не только команда, но разработчики со всего мира. Они его постоянно проверяют, быстро находят баги и уязвимости и сообщают о них собственнику кода.

Компания сообщает, что не собирает какие-либо данные пользователей. Однако в январе 2020 года Роскомнадзор ограничил доступ к почтовому сервису на территории России. Причиной стали злоумышленники, которые использовали ProtonMail для рассылки ложных сообщений о минированиях в 2019 и 2020 годах. Пару дней спустя в сети распространилась новость о том, что компания провела собственное расследование. Оно показало, что угрозы действительно были разосланы через сервис компании. ProtonMail идентифицировала аккаунты и отключила их. Сервис предупредил, что выдаст сведения о злоумышленниках только после официального запроса через полицию Швейцарии.

Приятным бонусом является отсутствие рекламы и ссылок на сторонние сервисы.

    2. CounterMail

Данный почтовый сервис чаще всего входит в тройку лидеров самых безопасных. Сообщают, что у него еще ни разу не было утечек. Это, несомненно, является огромным плюсом в выборе e-mail провайдера.

На своем официальном сайте CounterMail обещает, что ваши переписки будут в целости и сохранности. Каждое письмо шифруется до отправки. Сервис позволяет отправлять сообщения на другие сервисы, только если они используют совместимый OpenPGP. Провайдер пишет, что не существует метода, который позволил бы взломать шифр OpenPGP с помощью криптографических или вычислительных средств. Также на сайте сообщается: чтобы пользоваться сервисом вам необходим браузер с активированным Javascript.

Компания использует защиту от атаки Man-in-the-middle. Среди приятных дополнений – автоответчик, возможность получать уведомления о пришедшем письме на другой почтовый ящик и возможность сохранять свои пароли и логины в одном месте – на платформе присутствует Safebox – менеджер паролей. Однако CounterMail предупреждает, что, если вы забудете пароль от Safebox, вы не сможете вернуть к нему доступ. У них отсутствует функция «Забыли пароль», так как разработчики сервиса считают, что это ослабляет защиту.

Сервис использует сквозное шифрование и не хранит ваши данные на серверах или жестких дисках. Это означает, что хакерам будет намного труднее добраться до писем пользователей. Если же включить опцию USB-ключа, тогда расшифровать полученные и отправленные сообщения можно будет только с его помощью. Еще один слой защиты для ваших писем.

CounterMail кажется наиболее защищенным почтовым сервисом. Однако за годы существования в интернете не появилось внятных отзывов о нем. Только в 2013 году на сайте hacker10.com опубликовали полный гайд по использованию сервиса CounterMail. С тех пор фидбеков от пользователей не поступало. К тому же на сайте cryptwerk.com данный почтовый сервис имеет рейтинг в 1,3 по неизвестной причине. 

    3. Tutanota

Tutanota – это программное обеспечение с открытым исходным кодом, чьи серверы находятся на территории Германии. Эксперты по безопасности всегда могут ознакомиться с кодом, чтобы убедиться в отсутствии бэкдора.

Сервис использует сквозное шифрование и двухфакторную аутентификацию с помощью аппаратного ключа или приложения аутентификации. Компания шифрует сообщения и адресную книгу независимо от того, используете ли вы веб-версию, приложения для Android и iOS или декстопные версии для Windows, Linux и Mac OS. «Наша веб-версия и официальное приложение зашифруют ваши письма как два байта переслать ;)», — пишут на официальном сайте.

Сквозное шифрование вписано в программный код. Компания использует AES и RSA вместо PGP, так как уверена, что данные меры позволяют шифровать больше строк и больше функций. Например, контакты и календарь.

Не так давно компания объявила, что работает над постквантовым безопасным шифрованием.

Несомненным плюсом Tutanota является отсутствие рекламы и минималистичный дизайн, что позволяет сосредоточиться на главном и не отвлекаться на мельтешащие баннеры.

 Для доступа к учетной записи не требуется личная информация (напр., номер телефона). Компания не отслеживает IP-адреса ни отправителя, ни получателя. Пароль на сервер не передается, вместо него отсылается хэш. Сервис блокирует отслеживание, не загружая соответствующие пиксели.

В комплекте с почтовым сервисом идет бесплатный зашифрованный календарь. Он интегрируется в почтовый клиент и доступен на любом устройстве. Уведомления о событиях также защищены сквозным шифрованием. Присутствует функция обнаружения спама и фишинговых сообщений.

Для работы Tutanota использует «зеленую» энергию.

С февраля 2020 года сервис заблокирован в России. Причиной стали сообщения с угрозами о минировании, которые анонимно рассылали с его помощью. На своем официальном сайте компания написала, что пользователи все еще могут получить доступ к почте через VPN и браузер Tor.

В декабре 2020 года решением Кёльнского областного суда компании предписали разработать функцию, которая даст Государственному управлению уголовной полиции Северной Рейн-Вестфалии доступ к почтовым ящикам пользователей. Сервис должен сделать это до 31 декабря 2020 года. Все началось с того, что неизвестный отправил автомобильному дилеру сообщения с угрозами через Tutanota.

Компания собирается обжаловать решение суда, однако это не приостанавливает действие постановления, то есть разработать функцию все-таки придется.

Компания сообщает, что постановление ничего не изменит для пользователей, но функция может стать угрозой для защиты данных клиентов. Бэкдор позволит просматривать только новые входящие письма. Расшифровать ранее полученные ему не удастся.

    4. Runbox Solutions

Runbox Solutions – это норвежский почтовый сервис, и подчиняется он законам о конфиденциальности данных Норвегии.

Особым преимуществом Runbox является его интегрированность с такими e-mail провайдерами, как Outlook, Opera Mail, Gmail, Yahoo Mail и так далее. Инструмент синхронизации позволяет безопасно перенести данные из любой почты в Runbox.

Компания пишет, что хотя и старается шифровать электронные письма при передаче между пользователем и сервером, серверами и другими почтовыми сервисами, единственным способом убедиться, что ваши сообщения никто не будет читать, — это использовать сквозное шифрование. Runbox рекомендует использовать методы PGP или S/MIME на выбор.

Данные не шифруются только когда они хранятся на сервере. Однако хранилище, находится в Норвегии, а норвежцы очень серьезно относятся к защите личных данных.

Компания обещает не продавать данные пользователей для рекламных или других целей. Раскрывать же информацию пользователей компания будет либо только с их письменного соглашения, либо по требованию в соответствии с законодательством, либо для защиты прав и собственности Runbox Solutions.

Сервис сообщает, что детали учетных записей известны только пользователю, конечно же, если он сам не раскроет их третьим лицам. Runbox собирает cookie, чтобы «запомнить» действия пользователя и его настройки и облегчить взаимодействие между клиентом и сервером.

Присутствует на сервисе функция обнаружения спама, которая основана на стороннем приложении SpamAssassin. Доступна двухфакторная аутентификация. Компания не сохраняет IP-адреса, что является плюсом для тех, кто хочет остаться анонимным.

Runbox Solutions подойдет людям, которых волнуют проблемы окружающей среды. Компания гордится тем, что использует «зеленые» источники энергии. В 2018 году 95% электричества поступало от гидроэлектростанций. 2,6% — это ветровая энергия, 2,4% — тепловая энергия. Более того, дата-центр также потребляет 100% «зеленой» энергии.

Конечно же, это не все безопасные почтовые сервисы. Мы рассмотрели только те, которые нам показались интересными. Заботьтесь о своих данных и тщательно выбирайте, с кем будете сотрудничать.