伺服器提供者不明
筆者友人去年接手中小企的資訊科技部,發覺上手在處理企業網站及電郵存在不少問題,就連網站及電郵的伺服器提供者亦沒留下紀錄。友人從同事得知伺服器可能位於中國大陸,好像還不用付費。筆者利用網上工具查核,確認其網站及電郵伺服器位於中國大陸。這意味任何人使用這個電郵,資料已被審查或過濾。友人從事正當生意,但畢竟涉及商業敏感資料及客戶交易細節,資料被第三方讀取對公司及客戶非常不利。即使伺服器不查閱電郵內容,單是電郵地址及標題,已可暴露極多資訊。筆者建議友人馬上登記一個新網址,並將電郵伺服器換至穩妥的提供者。事件亦正好透露了兩大陷阱。首先是中小微企,為了節省支出,使用中國大陸的電郵伺服器,等同所有電郵「送中」並被中共審查。「紅姐事件」提醒大家便宜莫貪,免費可能最貴,涉及客戶私隱商業秘密感應極度審慎處理。其次是當你發送電郵時,個人電郵例如Gmail、Outlook、Proton等,一看電郵地址便馬上知道提供者是誰。當你看到163、qq等,亦會意識到電郵將被中共審查及過濾。一旦商業機構以自己登記的網址命名電郵,情況便不明顯,可是絕大部份人在未有清楚了解對方電郵伺服器是否穩妥就按發送鍵。
電郵並不安全
大眾收發電郵可能已經有二三十年的經驗,習以為常,但使用年資並不等同了解背後運作。其實真正了解電郵運作的人少之又少,安全更不是理所當然,在使用前絕對有必要了解其運作。首先,電郵是Web2的產物,依賴中心化服務,除非在流程上設限,服務者擁有所有權限包括讀取及分析你的電郵。其次,絕大部份電郵預設的是不提供端對端加密,而是使用傳輸時加密的安排,伺服器完全看到發出及收到的資料。即使雙方電郵都在同一伺服器亦大多數不提供端對端加密。極權國家絕大部份在地電郵伺服器表明不接受電郵加密協議。其三,即使在特別安排下電郵內容加密,所有電郵皆有Header,內裏包含收發者、抄送者、秘密抄送者、題目、時間標記,甚至適用語言,這些元數據不在加密範圍,且可透露資訊,讓過濾進行,例如辨別廣告或釣魚電郵。除非發送方與接收方是同一電郵伺服器,元數據可能經過多重傳送包括中介伺服器,甚至被第三方截取,誰人拿到這些元素據難以預測。一旦政權規定所有電郵實名制,並控制所有電郵伺服器,威力可想而知。依筆者所見,不少服務外方但身處極權體制內的高科技公司,為了避免商業機密或研究成果外洩,他們要不是「翻牆」,就是利用非電郵發送。他們較多使用Telegram直接發送,他們早意識到Telegram較電郵安全。
採取措施提升安全
從上述可見,一般情況下電郵並非安全通訊的渠道,所以在發送電郵前務必審慎處理。其一,請先查一查對方電郵伺服器在哪裏,是否信譽良好。你可利用下方網上工具(註)。一旦伺服器在極權國家或背景不明,若你繼續發送,你必須假設所有資訊被閱讀且聯絡關係曝光,再決定是否繼續。其二,避免將個人或商業敏感資料以電郵直接發送。若無法避免,應採取保護措施,例如將資料放在一個加密庫或上鎖的檔案內,電郵內容及標題不要提及任何與資料相關的資訊,並用其他穩妥的方式告訴對方開啟密碼。其三,將資料閉環管理,即資料留在你指定的伺服器上,並發送一個資料連結,以另外渠道告知開啟連結的方法。連結可設定時限及限制下載。部份付費電郵服務提供相關功能。由於連結電郵是服務提供者發出,可防止聯絡關係曝光。其四,請使用加密電郵例如Proton或Tuta等。但必須注意加密是指提供者以加密儲存使用者資料,不能讀取用戶電郵內容,在利用上述第三點時有更佳安全保障,但並不代表中間人無法窺看。部份加密電郵例如Proton,若收發雙方同時使用,可提供端對端加密,防止資訊被窺看。最後,請多加留意Web3發展,Web3關鍵概念是去中心化及安全化,類似錢包與錢包由用戶主導的直接溝通正在實現,可解決上述大部份問題。
數碼世界,大眾習慣了方便,但若對背後運作並不理解,很容掉進陷阱而不自知,電郵使用就是其中之一。請馬上改變習慣,發送電郵前停一停想一想。◇
註: https://mxtoolbox.com/
-------------------
局勢持續演變
與您見證世界格局重塑
-------------------
🔔下載大紀元App 接收即時新聞通知:
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand
📰周末版實體報銷售點👇🏻
http://epochtimeshk.org/stores
