سرویس ایمیل امن چیست و آیا شما هم باید از آن استفاده کنید؟

ایمیل در سال 1971 ابداع شد و از آن زمان به بعد تغییرات کمی در آن ایجاد شده. در آن زمان ایمیل تبدیل به یکی از مخاطرات امنیتی اساسی برای افراد، دولت‌ها و شرکت‌های خصوصی در سراسر جهان شد و این شرایط منجر به شکل گیری سرویس‌هایی موسوم به سرویس‌های ارائه خدمات ایمیل امن شد.

اما ایمیل امن چه تفاوتی با ایمیل‌های معمولی دارد؟

ایمیل رمزنگاری شده امن چیست؟

ایمیل امن در اصل همان سرویس ایمیل معمولی به همراه یکسری ارتقاهای امنیتی است. فناوری پشت صحنه هر دو مدل در اصل به یک صورت است در نتیجه روش استفاده از این دو سرویس به یک شکل است. در سرویس ایمیل امن هم پیام‌ها را به آدرس‌هایی که به یک @ و نام دامنه ختم می‌شوند ارسال می‌کنید و در این سرویس هم معمولاً ایمیل‌های اسپم زیادی دریافت می‌کنید.

به همین دلیل هر سرویس ایمیلی می‌تواند ادعای امن بودن داشته باشد چون هیچ تعریف مشخصی از چنین سرویسی وجود ندارد و بیشتر سرویس‌های مهم مثل جی میل و اوت لوک خودشان را امن تلقی می‌کنند.

بیشتر سرویس‌هایی که از چنین اصطلاحی استفاده می‌کنند، کارهایی فراتر از الزام به استفاده از پسوردهای قوی یا احرازهویت دو مرحله‌ای انجام می‌دهند. از این جهت در این زمینه بحث امنیت صرفاً مربوط به پیشگیری از دسترسی افراد غیرمجاز به اکانت کاربران نیست بلکه تأمین امنیت مستلزم حفاظت از داده‌ها و هویت کاربران است.

شرکتی که واقعاً یک راهکار امن ارائه می‌کند، قادر به خواندن ایمیل‌های کاربران نیست. چنین سرویس‌هایی باید در قلمروهایی مستقر باشند که طبق قانون ملزم به ارائه داده‌های کاربران به نهادهای دولتی نباشند. خود این فناوری هم در حالت ایده آل باید بر پایه استانداردهای باز طراحی شده باشد تا همه قادر به بررسی امنیت آن باشند. چنین سرویسی نباید اطلاعات کاربران را ثبت کند، برای آنها تبلیغات ویژه و سفارشی نمایش دهد یا ابرداده‌ها را ذخیره کند.

به همین دلیل است که جی میل، اوت لوک، یاهو و خیلی از سرویس‌های ایمیل رایگان دیگر امن تلقی نمی‌شوند. یک سرویس ایمیل امن از نظر امنیت داده‌ها نسبت به جی میل وضعیت بهتری دارد اما در چنین سرویسی به امکانات و قابلیت‌های گوگل دسترسی نخواهید داشت. در نتیجه اولویت‌ها و سلایق شما مشخص می‌کند که کدام گزینه برای شما مناسب تر است.

سرویس ایمیل امن چگونه از اطلاعات شما حفاظت می‌کند؟

برای ساختن سرویس ایمیلی که واقعاً ایمن باشد، وجود قابلیت رمزنگاری سرتاسری (end-to-end) ضروری است. هر چند سرویس‌هایی مثل جی میل کانکشن بین کامپیوتر شما و سرور را رمزنگاری می‌کنند، اما هر گونه اطلاعاتی که به سرور ارسال می‌کنید (از جمله محتوای پیام‌های شما) وقتی به این سرورها برسند، رمزنگاری شده نخواهند بود.

همه گفتگوهای خصوصی (و حتی اسرار دولتی) که از طریق ایمیل آنها را مبادله می‌کنید، به شکل رمزنگاری نشده روی سرورهای گوگل ذخیره می‌شوند. مثلاً اگر این اطلاعات در یک رخنه امنیتی به سرقت بروند، مهاجمان سایبری برای خواندن آنها نیازی به رمزگشایی ندارند اما سرویس ایمیل امن داده‌های کاربران را پیش از ذخیره بر روی سرورهای خودش رمزنگاری می‌کند تا اشخاص متفرقه قادر به خواندن آنها نباشند.

نبود رمزنگاری سرتاسری باعث می‌شود که ارائه دهنده سرویس ایمیل بتواند به پیام‌های شما دسترسی پیدا کند که قبلاً هم چنین اتفاقی رخ داده و مثلاً گوگل برای مقاصد تبلیغاتی متن پیام‌های کاربرانش را اسکن کرده هر چند این عملکرد از سال 2017 به بعد متوقف شد اما این شرکت هنوز هم برای سرویس‌هایی مثل Google Now (که حالا منسوخ شده) به اسکن ایمیل‌ها ادامه می‌دهد.

جی میل

محل قرار گرفتن این سرورها هم بر نحوه کار با این داده‌ها تأثیرگذار است. سرورهای ایمیل امن هم مثل سرورهای وی‌پی‌ان بیشتر در مناطق دور دست یا کشورهای بی طرف مستقر شده‌اند. مثلاً سرورهای ProtonMail در سوئیس مستقر هستند که قوانین حفاظت از حریم خصوصی این کشور کاملاً مشهور و شناخته شده هستند اما در آمریکا دولت می‌تواند طبق حکم دادگاه به اطلاعات سرورهای مستقر در این کشور دسترسی پیدا کند. آمریکا هم در کنار استرالیا، کانادا، انگلیس و نیوزلند عضو اتحادیه فایو آیز (Five Eyes یا 5 چشم) است. این کشورها همواره به بهانه حفاظت از امنیت ملی، داده‌های کاربران را با هم مبادله می‌کنند.

چنین داده‌هایی به همراه پیام‌های مبادله شده شما می‌توانند اطلاعات زیادی را درباره شما افشا کنند. ابَر داده‌ها در واقع “داده‌هایی درباره سایر داده‌ها” هستند مثل زمان ارسال یک ایمیل یا امضاهای خاصی که توسط مرورگر مورد استفاده شما ثبت می‌شوند. خود شما ابرداده‌ها را به صورت آگاهانه تولید نمی‌کنید اما این داده‌ها مثل یک ردپای واضح از شما عمل کرده و همه کارهایی که در فضای آنلاین انجام می‌دهید را مشخص می‌کنند.

سرویس‌های ایمیل امن سعی می‌کنند این ابرداده‌ها را تا حد امکان کاهش دهند. در نتیجه پیدا کردن منشأ پیام و تشخیص هویت ارسال کننده آن سخت می‌شود.

همچنین ارائه دهندگان این سرویس‌ها از ابزارهایی مثل Pretty Good Privacy (به اختصار PGP) در اینترفیس‌های خودشان استفاده می‌کنند. PGP امکان قفل کردن عناصر مختلف یک پیام را فراهم می‌کند طوری که فقط دارنده کلید خصوصی قادر به خواندن آنها باشد. با استفاده از این سرویس، ایمیل‌های شما برای خودتان مثل متن معمولی و کاملاً خوانا به نظر می‌رسند اما برای فردی که کلید خصوصی رمزگشایی پیام را در اختیار نداشته باشد، مبهم و ناخوانا خواهند بود.

نکته آخر اینکه وقتی محصولی به شکل اپن سورس طراحی شود، امکان بازبینی و مشخص کردن مشکلات آن توسط همه وجود دارد اما امکان انجام این کار با کدهای بسته وجود ندارد.

کدام سرویس ایمیل امن بهتر است؟

نمی توان برای هر کاربران یک سرویس واحد را معرفی کرد. سرویس‌های مختلفی وجود دارند که هر کدامشان قیمت و گزینه‌های امنیتی خاص خودشان را دارند. بودجه از جمله مواردی است که باید به آن توجه داشته باشید چون بیشتر سرویس‌های امن امکانات و ابزارهایی مثل گوگل یا اوت لوک را به شکل رایگان در اختیار شما قرار نمی‌دهند.

ProtonMail

ProtonMail (با قابلیت استفاده از نسخه رایگان) یکی از شناخته شده ترین سرویس‌های ایمیل رمزنگاری شده و یکی از کامل ترین آنهاست. این سرویس داده‌های کاربران را رمزنگاری کرده و روی سرورهایی مستقر در کشور سوئیس ذخیره می‌کند و این شرکت دائماً بازرسی‌هایی برای اطمینان از حفظ امنیت داده‌های کاربران انجام می‌دهد. این سرویس بر پایه یک فناوری اپن سورس ساخته شده و یک اپلیکیشن آیفون و اندروید اختصاصی هم دارد.

Tutanota

Tutanota (با نسخه رایگان) یکی دیگر از سرویس‌های ایمیل توصیه شده با مجموعه امکانات و فرایندهای بازرسی شبیه به ProtonMail است. سرورهای این سرویس در آلمان مستقر هستند (خود این شرکت دلیل انجام این کار را توضیح داده) و این سرویس بر پایه امکانات اپن سورس طراحی شده است. فقط یک ایراد جزئی در رابطه با سرویس موبایلی وجود دارد از این جهت که برای رمزگشایی ایمیل‌ها به یک اپلیکیشن اختصاصی نیاز دارید.

Posteo (بدون نسخه رایگان) هم در آلمان مستقر شده و از این جهت که نسبت به ProtonMail و Tutanota ارزان تر است، شهرت زیادی پیدا کرده. در این سیستم هم همه اطلاعات به شکل سرتاسری رمزنگاری می‌شوند و امکان پیاده سازی PGP برای فراهم شدن اطمینان خاطر هر چه بیشتر وجود دارد. برای استفاده از این سیستم و ساختن اکانت نیازی به نام، ایمیل پشتیبان یا سایر اطلاعات هویتی ندارید.

سرویس‌های ایمیل مختلفی هستند که می‌توانید گزینه مناسبتان را از بین آنها انتخاب کنید از جمله Mailfence، mailbox.org، Fastmail و CounterMail. توصیه می‌کنیم که در رابطه با سرویس ایمیل امنی که قصد استفاده از آن را دارید درست مثل انتخاب سرویس وی‌پی‌ان خوب فکر کنید.

بهتر است سرویسی را انتخاب کنید که سابقه و تاریخچه خوبی داشته باشد. یکی از این سرویس‌ها به نام UnSeen که در ایسلند مستقر بود، در اواخر سال 2020 بدون هیچ اثری ناپدید شد و بعد دوباره با یک دامنه تایوانی شروع به کار کرد که این مسئله منجر به ایجاد گمانه زنی‌ها و بی اعتمادی‌های زیادی شد.

آیا شما هم به سرویس ایمیل امن نیاز دارید؟

اگر نیاز به سرویس ایمیل امن داشته باشید، به احتمال زیاد خود شما از این موضوع باخبرید. مثل بعضی خبرنگاران که باید هویت منابع خبری و مطالب خصوصی را حفظ کنند.

برای اکثر مردم عادی استفاده از چنین سرویس‌هایی ضروری نیست. این سرویس‌ها در ازای کم شدن امکانات، راحتی و هزینه‌ای که از شما دریافت می‌کنند، باعث ایجاد آرامش خاطر بیشتری می‌شوند. ارائه دهنده سرویس ایمیل قادر به مشاهده محتوای پیام‌های شما نیست و معمولاً برقراری ارتباط با دیگران با استفاده از رمزنگاری سرتاسری راحت تر است (البته می‌توانید از پیام رسان‌هایی مثل سیگنال با قابلیت رمزنگاری سرتاسری هم استفاده کنید) اما انتخاب و تصمیم گیری با شماست.

اما اگر مهم ترین نگرانی و دغدغه شما بحث حریم خصوصی است، باید دقت داشته باشید که احتمال قربانی شدن در برابر حملات مهندسی اجتماعی بیشتر از نشت داده است.