Bilhões de e-mails são enviados todos os dias, inundando as caixas de entrada com tudo, desde consultas de vendas e suporte ao cliente até spam e publicidade.
O e-mail não foi especialmente projetado com segurança, privacidade e criptografia em mente. Atores de ameaças como governos, ISPs, hackers e grandes corporações podem fazer login em sua conta e ler seus e-mails. A boa notícia é que você pode usar serviços de e-mail seguros para proteger seus e-mails de olhares indiscretos.
Se você é um usuário doméstico ou trabalha para uma grande empresa, é bom conhecer os recursos de segurança do seu provedor de e-mail. Além disso, nem todos os provedores de e-mail que afirmam ser seguros são seguros e privados. Aqui está uma lista de recursos esperados em um provedor de e-mail seguro.
1. Método de criptografia
Muitos provedores de e-mail oferecem segurança básica, como proteção contra spam e vírus. Mas, dependendo do seu setor e jurisdição, você também pode querer proteger suas comunicações por e-mail com criptografia.
E-mails não criptografados são os culpados por inúmeras violações importantes nos últimos anos, vazando mensagens e credenciais e perdendo milhões de dólares em receita. Os provedores de e-mail sabem disso, então normalmente explicam as criptografias que oferecem em seu site.
Enviar um e-mail por uma rede criptografada embaralha o texto simples do e-mail, impossibilitando a leitura da mensagem sem uma chave de criptografia.
Os cibercriminosos podem interceptar facilmente seus e-mails se o seu provedor de e-mail não oferecer criptografia (ou oferecer pouca criptografia). Provedores padrão, como o Gmail, usam criptografia de transporte para criptografar mensagens entre seu dispositivo e o servidor. No servidor, o Google criptografa as mensagens no nível da rede. Mas o Google pode acessar os dados.
O e-mail então sai do servidor do Google e segue para seu destino. Se o provedor de e-mail do destinatário também usar criptografia de transporte, o e-mail continuará protegido ao longo do caminho. Caso contrário, o e-mail não será criptografado e será fácil de interceptar.
No entanto, o Google verifica seus dados do Gmail para oferecer experiências personalizadas e assistivas, como o Smart Compose e o Smart Reply.
Os provedores mais seguros usam criptografia de ponta a ponta para proteger seus e-mails. Isso significa que as mensagens são criptografadas no dispositivo do remetente e apenas o destinatário pretendido pode descriptografá-las.
Com a criptografia de ponta a ponta, a única pessoa que pode ler o email que você está enviando é o destinatário. Nem mesmo o provedor de e-mail pode acessar seus e-mails.
Provedores de e-mail seguros, como Tutanota e ProtonMail, usam Pretty Good Privacy (PGP) para e-mail criptografado de ponta a ponta. Dessa forma, ninguém pode ler seus e-mails e seus dados nunca são usados para publicidade. Para uma comunicação interna mais segura, você pode evitar e-mails e usar aplicativos de mensagens criptografadas, como Signal ou Wire.
A criptografia de ponta a ponta funciona de duas maneiras: simétrica e assimétrica. A criptografia simétrica usa uma única chave para criptografar o texto simples e descriptografar o texto cifrado.
A criptografia assimétrica, também conhecida como criptografia de chave pública, criptografa e descriptografa dados usando dois conjuntos exclusivos de chaves. Como tal, é o mais eficaz dos dois. Para saber mais sobre essas criptografias, você deve revisar como a criptografia funciona e o que ela faz.
2. Registros
Os provedores de e-mail mantêm logs por vários motivos, como proteção contra DDoS. Os logs mantidos podem incluir endereços IP e tempos de conexão.
A quantidade de dados registrados e como esses logs são armazenados devem influenciar sua decisão. Sempre que um serviço de e-mail armazena logs, esses dados podem acabar com terceiros.
Os provedores de e-mail mais seguros não armazenam logs, portanto, nada pode ser rastreado até você. O provedor também deve retirar os endereços IP dos e-mails enviados e recebidos.
Com um endereço IP, um invasor pode conhecer seu provedor de internet e endereço físico. Considere usar uma boa VPN para ocultar seu endereço IP e localização de forma eficaz.
3. Autenticação de dois fatores
Os detalhes de login são frequentemente vazados ou hackeados e usados para acessar as contas das vítimas. Autenticação de dois fatores (2FA) significa que roubar seu nome de usuário e senha não será suficiente para fazer login em sua conta de e-mail.
A 2FA depende de duas coisas: algo que você conhece, como uma senha, e algo que você tem, como um telefone celular. Uma das formas mais comuns de autenticação de dois fatores é o seu provedor de e-mail enviando um código via SMS para usar junto com seu nome de usuário e senha.
Cada e-mail tem metadados — bits de informação que os invasores podem explorar. Os metadados podem conter informações sobre seu computador, navegador da Web, rede e destinatário de e-mail. Os serviços de e-mail seguros geralmente eliminam essas informações.
Embora os pequenos fragmentos de informações pareçam bastante inúteis, para um invasor, é o primeiro passo para aprender mais sobre suas conversas. Por exemplo, um hacker pode usar metadados para extrair informações sobre sua vida, hábitos e preferências.
5. Localização do Servidor
A localização do seu serviço de e-mail pode afetar a segurança e a privacidade dos seus dados, pois determina como o provedor lidará com as solicitações de dados do governo.
Países, como as nações Five Eyes e outras, coletam e compartilham dados de inteligência coletados de servidores de e-mail. Algumas nações, incluindo os EUA e o Reino Unido, têm leis de retenção de dados que exigem que os provedores de e-mail armazenem dados por um determinado período.
Os provedores nos EUA podem ser forçados a conceder ao governo acesso direto a seus servidores para vigilância de comunicações e informações armazenadas. As solicitações de dados podem ser acompanhadas de ordens de silêncio, proibindo o provedor de divulgar o que está acontecendo aos usuários.
Dependendo da ameaça à segurança do e-mail, a localização do servidor pode ser uma consideração importante. Por exemplo, se você é um ativista, jornalista ou denunciante que pode esperar que suas comunicações sejam intimadas pelo governo, um provedor de e-mail localizado na Alemanha e na Suíça seria o ideal. Todos eles têm leis de privacidade mais rígidas.
6. Planos pagos
O modelo de negócios “gratuito” ilimitado é fundamentalmente falho. Os provedores de e-mail operam e mantêm servidores, oferecem suporte ao cliente e muito mais. Essas coisas custam dinheiro, então um bom provedor de e-mail provavelmente cobrará por uma conta.
Muitos serviços de e-mail gratuitos podem fazer mais mal do que bem. Os provedores de e-mail gratuitos podem coletar seus dados e monetizá-los com anúncios.
Os provedores seguros geralmente ganham dinheiro vendendo planos premium e não anúncios ou seus dados. Alguns desses serviços permitem que você pague anonimamente usando Bitcoin.
Mantenha as conversas privadas usando provedores de e-mail seguros
O e-mail é uma das formas menos privadas de enviar e receber conteúdo online. Para manter suas comunicações seguras, considere usar um provedor de e-mail seguro.
Existem alguns serviços de e-mail seguros por aí, cada um com um conjunto diferente de recursos. Por isso, ao escolher um provedor de e-mail, você precisa prestar atenção a recursos como criptografia de ponta a ponta, autenticação de dois fatores e localização do data center.
