PS всё равно оба ваши IP "торчат" в качестве MX. Можно например написать SPF так "v=spf1 mx -all". Так условие будет достаточно жестким для того, чтобы Google и Yahoo начали относиться к нему уважительно. (Не забудьте, что сработает это с задержкой близкой к TTL зоны)
"v=spf1 a ~all" это бессмысленная запись. Там должны были быть перечислены ваши IP или/и сети откуда отправка дозволена. Эксперимент считаю некорректным. Рекомендую повторить вписав туда корректные IP
Вцелом согласен, но еда неудачный пример. В индийском обществе, например, в культурную традицию заложено, что представитель боле низкой касты не может готовить еду для представителя более высокой. Там же громадное значение придаётся тому, чтобы во время приготовления еды повар был в хорошем расположении духа. Иначе эта еда мягко говоря неполезна. По возможности придерживаюсь тех же принципов (например нередко готовлю сам).
Сейчас регистрирую новый домен, и PTR запись у провадера и SPF буду делать уже для него.
Рекомендую проверить "работоспособность" SPF без PTR. У меня работает, но вдруг ваш IP в каком-то отдельном списке.
отдавать им оба ключа, что равносильно его отсутствию
Не равносильно, если считать что мои данные на их серверах в достаточной безопасности (по описанной мной выше схеме).
Не вижу в описанной вами схеме ничего достаточно безопасного для хранения на сервере приватного ключа PGP. С чего вы взяли, что те же девелоперы не смогут иметь доступа к PGP, если они же и должны обеспечить бесперебойную работоспособность вашего шифрования? Я вобще не вижу возможности обеспечить шифрование диска под пользовательские данные и при этом дать системе нормально работать не давая девелоперам и админам потенциального доступа к данным.
Ведь подразумевается работа с gmail по https, при чём тут smtp?
Потому, что Gmail не только с вами по http(s) контактирует, но и передаёт вашим корреспондентам письма по smtp (в открытом виде!). А также получает от них по smtp почту для вас. Я уже говорил, что ваш вариант защиты похож на бронированную дверь в чистом поле. Вы так и не пояснили как сервис может получать/передавать почту не имея доступа к содержимому, если вы сами не зашифровали письмо на входе.
Я читал описание их архитектуры некоторое время назад. Неприпомню там никаких гарантий относительно хранения моих писем. Можно ссылочку?
Google имеет одну и ту же техническую базу и для поиска и для почты. Дублирование данных происходит совершенно одинаково. Ссылку искать лень. Будет желание найдёте. Бэкап почты упоминается в Gmail Privacy Policy
Не обязательно заниматься криминалом для того, чтобы возникло желание обеспечить тайну переписки, и не предоставлять о себе излишней информации третьим лицам.
А если вы не занимаетесь криминалом, то чего вам "стесняться", если ваша конфиденциальная информация в этом случае НЕ МОЖЕТ БЫТЬ РАСКРЫТА? Кроме того переданная им информация не обязана быть полной или правдивой. Не знаю как вы, но я не "откровенничаю" с информационными системами и потому накопать обо мне что-то конфиденциальное в Интернет "затруднительно".
Возвращаясь к исходной точке: я предпочитаю использовать PGP при переписке. Использование gmail не предоставляет мне такой возможности.
Поскольку не имеет такой возможности. Своему компьютеру вы можете доверять нечто конфиденциальное, а Google и не претендует на хранение чего-то, что не считает ценным (типа номера кедитных карт) в зашифрованных хранилищах.
Удобнее - потому, что они эту информацию планируют как-то использовать.
Да, открыто пишут, что на основе этой информации они формируют блоки контекстной рекламы. Рекомендую прочитать внимательно их политику конфиденциальности.
Хорошо это или плохо - думайте сами.
Не вижу в этом никакой угрозы для себя, особенно если я сам не давал им в руки ничего ценного о себе.
Теперь вместо информации о кредитке собирают список слушаемых вами песен (last.fm), ваши письма, списки посещаемых вами сайтов, и т.д. и т.п. без всяких гарантий приватности этих данных (а иногда даже не получив разрешения на сбор этих данных).
Укажите мне пожалуйста как можно использовать против вас информацию о ваших предпочтениях на Last.fm? Ато я действительно не понимаю угрозы, на которую вы намекаете.
Вы считаете что за предоставляемые нам возможности стоит заплатить эту цену - о-кей, но я так не считаю.
И всё-таки если можно поподробнее что вы считаете "этой ценой" и чем это дорого для вас?
1. Безусловно, шифрование на серверах Google имеет мало смысла, если при этом не используется PGP для защиты на транспортном уровне.
PGP на стороне сервера бессмысленно. для его реализации вам прийдётся отдавать им оба ключа, что равносильно его отсутствию.
Дело в том, что из всех сотрудников Google сниферить smtp-пакеты может только root на smtp-сервере, в то время как доступ к базе имеет, скорее всего, значительно большее кол-во народа (девелоперы, тех.поддержка, etc.).
давайте пока забудем про работников гугла снифить вашу исходящюю почту может ваш собственный провайдер. и провайдер вашего адресата. Тут все бессильны так устроен протокол. Для обеспечания полной безопасности вам прийдётся придумать собственный.
Насчёт терминалов согласен, но при использовании gmail с разных точек (дом/работа/инет кафе/pda/...) это практически нереально реализовать, поэтому в роли такого терминала должен выступать сам gmail.
Боюсь вы не поняли. При таких требованиях к безопасности никакая сторонняя почта вас не устроит. Вам однозначно прийдётся использовать шифрование на локальной машине совместно с тем, с кем вы переписываетесь (пердварительно обменявшись публичными ключами). Так что выбор у вас невелик либо пользоваться шифрованной почтой на одном конкретном компьютере, либо пользоваться почтой с чужих компьютеров безо всякой гарантии. В любом случае не особо разумно доверять приватные ключи компьютерам в интернет-кафе.
При использовании PGP и https провайдер идёт лесом.
Протокол smtp исключает использование https. А PGP вы можете использовать только на своём компьютере (иначе это не защита) и только предварительно обменявшись приватными ключами с респондентами (это уже требование PGP).
Вам кто-то гарантировал, что именно Ваш почтовый архив полностью продублирован в географически разных ДЦ
Вы зря не поискали архитектуру датацентров Google. Этого вопроса у вас не возникло бы.
Вопрос в том, что у пользователя потихоньку отбирают контроль над его же информацией...
ИМХО вы переоценили ситуацию. Вы имеете полное право пользоваться pop3, как делали это раньше. Google в отличие от Yahoo не берёт а это денег. Так что никакой контроль у вас никто не отнимал. А вот свой выбор я легко могу пояснить я не питаю иллюзий относительно ценности своей корреспонденции и потому не переоцениваю опасность. Если бы у меня был страх преследования, то я использовал бы для хранения почты выделенный сервер. Я пользуюсь Gmail потому, что не имею подобных страхов и не вижу никаких угроз в действиях Gmail.
лишают возможности использовать PGP
покажите где у вас отняли возможность использования PGP? ваши шифрованные письма перестали приниматься к отправке? НЕТ. Так зачем вы преувеличиваете? (Я уже дважды указал, что шифрование писем PGP на стороне сервера БЕССМЫСЛЕННО и потому не вижу для gmail в этом задачи)
Против этого есть шифрование локальных дисков, и ключ на ломаемой в руке флешке (чтобы терморектальным криптоанализом не занимались).
Я уверен у вас точно не реализован такой механизм. И уверяю вас вы не успеете этим воспользоваться. (Спросите у onk, у него есть опыт попадания под макси-шоу)
А вот что gmail скажет, если почту пользователя у него попросит ФБР или спецслужба любой другой страны где у gmail много пользователей, мы знать не можем.
Поищите в архиве новостей Google уже не раз отказывали FBI в предоставлении личных данных своих пользователей.
А вы, по сути, жертвуете своей privacy ради удобного интерфейса.
Вам не кажется, что вы переоцениваете своё прайваси? Мало того, что вас уже давно "посчитали" через cookie глобальных рекламных сетей, так вы не имеете свободы пересечь границу без вмешательства в ваше прайваси, не можете ни слова сказать по телефону без подключения к системе "мониторинга". Я не беру на себя столько, чтобы считать, что у меня можно подслушать или украсть главное я как-то привык полагать, что оно неотделимо от моей личности и никакой сниффинг или паспортный контроль не в состоянии отнять этого у меня.
При этом Google хотя и может без проблем реализовать поддержку вашей privacy, этого не делает
Боюсь, я не соглашусь с вами. Они достаточно хорошо заботятся о моём прайваси и если у вас есть другие требования к нему, то это не моя проблема.
не буду делать оценок насчёт здоровья того или иного выбора, замечу лишь, что:
1. Предложенная вами схема защиты выглядит как бронированная дверь в чистом поле. Почтовая система принципиально не обеспечивает шифрование писем исходящих от вашего корреспондента. Это означает также, что при всём желании почтовый сервер получает по smtp ОТКРЫТОЕ для прочтения письмо по НЕЗАШИФРОВАННЫМ каналам, которые могут быть "промониторены" сторонними провайдерами незаметно для участников. Google к этому не имеет отношения так работает smtp.
2. В случае принципиальной необходимости тотальной защиты данных она В ЛЮБОМ СЛУЧАЕ обязана реализовываться НА КОНЕЧНЫХ ТЕРМИНАЛАХ, а не сторонними компаниями, контролирующими лишь часть маршрута доставки. НИГДЕ кроме компьютеров конечных пользователей не могут располагаться механизмы шифрования/дешифрования и только это может обеспечить гарантию. Таким образом использовать PGP на серверах БЕСПОЛЕЗНО, хотя Gmail никак не препятствует передаче зашифрованных писем. Так что я совершенно не могу понять ваши претензии к их действиям.
3. Организаций которые собирают данные о пользователях сейчас значительно больше, чем вам кажется. В частности вашему провайдеру доступно значительно больше информации о вас (а в России уже давно провайдеры официально "содействуют органам"), чем gmail (включая содержимое почты). Но между тем вы похоже не ратуете за отказ от их услуг и не можете заставить их обеспечить полную конфиденциальность.
3. Боюсь затребованная вами поддержка шифрования ваших данных на их дисках не имеет смысла по той же причине вашему адресату письмо ДОЛЖНО быть отправлено в открытом виде, если вы не зашифровали его публичным ключом этого адресата.
4. Экспорт ваших данных доступен через API. пишите программы и пользуйтесь. (лучше сначала поищите, может уже есть)
5. Про террориста в датацентре читать несколько странно. Во-первых ДЦ это не вокзал, а во вторых данные google дублированы географически разнесёнными ДЦ, чего нет больше НИ У ОДНОГО почтового сервиса. (подробности об архитектуре DC Google легко найти в нём же)
6. Насчёт замены почтовых программ на gmail это выбор конкретного потребителя. У вас всегда есть возможность использовать pop3 и держать архив на своём компьютере. На мой же вкус программы работы с почтой стали менее удобны чем web-интерфейс gmail. Но мы ведь не будем спорить о вкусах? =)
7. Думаю изъятие компьютера и архивных дисков органами правопорядка может нарушить вашу приватность как раз в случае, если архив свой вы храните локально, а gmail при этом сохранит ваши данные в вашем распоряжении. Кстати подумайте внимательно чьих нападок на вашу приватность вам следует больше бояться: далёких американцев или местной власти?
Не хотел продолжать это обсуждение... Не выдержал.
Подкину ещё аргументов:
1. База данных программы The Bat подвержена повреждениям как от случайных вирусов, так и от порчи оборудования, так что многократно дублированные данные на серверах Google неплохая замена распечаткам и явно надёжнее чем локальный компьютер.
2. Можно легко переслать письмо любого размера не глядя на время пребывания в сети и ширину канала.
PS "не подсаженного на интернет гика" легко могут уличить в "подсаженности на компьютер", что в глазах "нормальных" людей одно и то же. Так, что отстройки "вы тут больные, а я здоровый" не получилось. Впрочем сама попытка такого отмежевания показалась мне старанной, если вспомнить что пишет о себе господин Novikov.
Ясно. Так найдётся человек, который возразит вам, что не всегда есть электричество и потому почту надо держать распечатанной =)
Ладно, не будем флеймить
Дело вкуса конечно, но какой толк от электронных писем, когда нет интернета? Другой вопрос в наличии нормального канала связи. Лично я не пользуюсь почтовыми программами уже несколько лет скорость работы gmail меня полностью устраивает, но понятное дело связано это со стабильным скоростным каналом.
Хватит истерик. набираем в Google "dns spf" и находим море доки о том как привильно прописать в dns своего домена (который в исходящих письмах) IP или сетку из которой позволено слать почту от имени этого домена. 10 минут работы и никаких проблем и мучений с дедиками/провайдерами.
Удачи
Лучшая контора та, где клиенту не нужно обращаться в техподдержку.
За 3 года работы с недорогим штатовским хостингом (не буду рекламировать) имел лишь один повод для общения с техподдержкой заказывал расширенный аккаунт. Бывало пара сбоев, но письмо с разъяснениями и уверениями появлялось в моём ящике раньше, чем я успевал заметить проблему.
Клиент по соседству на adsl от Стрим.
В том то и дело, что ему в глаза бросается разница в скорости между девелоперским хостингом за 1$/мес в штатах и бизнес тарифом мастерхоста. Далеко не в пользу последнего. Полагаю, что не повезло с конкретным сервером/маршрутизатором/сетевым кабелем/админом но сути проблемы это не меняет. Кстати техподдержка ничем не помогла.
Ничего не знаю об условиях работы, но последний из клиентов, который там разместился получил настолько дикие тормоза работы сайта, что впору задуматься. Шутки шутками, но когда задержка ответа на запрос статического файла составляет 7-8 секунд, а простую страницу приходится ждать по 40-55 секунд, то с конторой что-то явно не так.
Рекомендую проверить "работоспособность" SPF без PTR. У меня работает, но вдруг ваш IP в каком-то отдельном списке.
Не вижу в описанной вами схеме ничего достаточно безопасного для хранения на сервере приватного ключа PGP. С чего вы взяли, что те же девелоперы не смогут иметь доступа к PGP, если они же и должны обеспечить бесперебойную работоспособность вашего шифрования? Я вобще не вижу возможности обеспечить шифрование диска под пользовательские данные и при этом дать системе нормально работать не давая девелоперам и админам потенциального доступа к данным.
Потому, что Gmail не только с вами по http(s) контактирует, но и передаёт вашим корреспондентам письма по smtp (в открытом виде!). А также получает от них по smtp почту для вас. Я уже говорил, что ваш вариант защиты похож на бронированную дверь в чистом поле. Вы так и не пояснили как сервис может получать/передавать почту не имея доступа к содержимому, если вы сами не зашифровали письмо на входе.
Google имеет одну и ту же техническую базу и для поиска и для почты. Дублирование данных происходит совершенно одинаково. Ссылку искать лень. Будет желание найдёте. Бэкап почты упоминается в Gmail Privacy Policy
А если вы не занимаетесь криминалом, то чего вам "стесняться", если ваша конфиденциальная информация в этом случае НЕ МОЖЕТ БЫТЬ РАСКРЫТА? Кроме того переданная им информация не обязана быть полной или правдивой. Не знаю как вы, но я не "откровенничаю" с информационными системами и потому накопать обо мне что-то конфиденциальное в Интернет "затруднительно".
Поскольку не имеет такой возможности. Своему компьютеру вы можете доверять нечто конфиденциальное, а Google и не претендует на хранение чего-то, что не считает ценным (типа номера кедитных карт) в зашифрованных хранилищах.
Да, открыто пишут, что на основе этой информации они формируют блоки контекстной рекламы. Рекомендую прочитать внимательно их политику конфиденциальности.
Не вижу в этом никакой угрозы для себя, особенно если я сам не давал им в руки ничего ценного о себе.
Укажите мне пожалуйста как можно использовать против вас информацию о ваших предпочтениях на Last.fm? Ато я действительно не понимаю угрозы, на которую вы намекаете.
И всё-таки если можно поподробнее что вы считаете "этой ценой" и чем это дорого для вас?
PGP на стороне сервера бессмысленно. для его реализации вам прийдётся отдавать им оба ключа, что равносильно его отсутствию.
давайте пока забудем про работников гугла снифить вашу исходящюю почту может ваш собственный провайдер. и провайдер вашего адресата. Тут все бессильны так устроен протокол. Для обеспечания полной безопасности вам прийдётся придумать собственный.
Боюсь вы не поняли. При таких требованиях к безопасности никакая сторонняя почта вас не устроит. Вам однозначно прийдётся использовать шифрование на локальной машине совместно с тем, с кем вы переписываетесь (пердварительно обменявшись публичными ключами). Так что выбор у вас невелик либо пользоваться шифрованной почтой на одном конкретном компьютере, либо пользоваться почтой с чужих компьютеров безо всякой гарантии. В любом случае не особо разумно доверять приватные ключи компьютерам в интернет-кафе.
Протокол smtp исключает использование https. А PGP вы можете использовать только на своём компьютере (иначе это не защита) и только предварительно обменявшись приватными ключами с респондентами (это уже требование PGP).
Вы зря не поискали архитектуру датацентров Google. Этого вопроса у вас не возникло бы.
ИМХО вы переоценили ситуацию. Вы имеете полное право пользоваться pop3, как делали это раньше. Google в отличие от Yahoo не берёт а это денег. Так что никакой контроль у вас никто не отнимал. А вот свой выбор я легко могу пояснить я не питаю иллюзий относительно ценности своей корреспонденции и потому не переоцениваю опасность. Если бы у меня был страх преследования, то я использовал бы для хранения почты выделенный сервер. Я пользуюсь Gmail потому, что не имею подобных страхов и не вижу никаких угроз в действиях Gmail.
покажите где у вас отняли возможность использования PGP? ваши шифрованные письма перестали приниматься к отправке? НЕТ. Так зачем вы преувеличиваете? (Я уже дважды указал, что шифрование писем PGP на стороне сервера БЕССМЫСЛЕННО и потому не вижу для gmail в этом задачи)
Я уверен у вас точно не реализован такой механизм. И уверяю вас вы не успеете этим воспользоваться. (Спросите у
Поищите в архиве новостей Google уже не раз отказывали FBI в предоставлении личных данных своих пользователей.
Вам не кажется, что вы переоцениваете своё прайваси? Мало того, что вас уже давно "посчитали" через cookie глобальных рекламных сетей, так вы не имеете свободы пересечь границу без вмешательства в ваше прайваси, не можете ни слова сказать по телефону без подключения к системе "мониторинга". Я не беру на себя столько, чтобы считать, что у меня можно подслушать или украсть главное я как-то привык полагать, что оно неотделимо от моей личности и никакой сниффинг или паспортный контроль не в состоянии отнять этого у меня.
Боюсь, я не соглашусь с вами. Они достаточно хорошо заботятся о моём прайваси и если у вас есть другие требования к нему, то это не моя проблема.
PS ну как, у вас что-то получилось с SPF?
1. Предложенная вами схема защиты выглядит как бронированная дверь в чистом поле. Почтовая система принципиально не обеспечивает шифрование писем исходящих от вашего корреспондента. Это означает также, что при всём желании почтовый сервер получает по smtp ОТКРЫТОЕ для прочтения письмо по НЕЗАШИФРОВАННЫМ каналам, которые могут быть "промониторены" сторонними провайдерами незаметно для участников. Google к этому не имеет отношения так работает smtp.
2. В случае принципиальной необходимости тотальной защиты данных она В ЛЮБОМ СЛУЧАЕ обязана реализовываться НА КОНЕЧНЫХ ТЕРМИНАЛАХ, а не сторонними компаниями, контролирующими лишь часть маршрута доставки. НИГДЕ кроме компьютеров конечных пользователей не могут располагаться механизмы шифрования/дешифрования и только это может обеспечить гарантию. Таким образом использовать PGP на серверах БЕСПОЛЕЗНО, хотя Gmail никак не препятствует передаче зашифрованных писем. Так что я совершенно не могу понять ваши претензии к их действиям.
3. Организаций которые собирают данные о пользователях сейчас значительно больше, чем вам кажется. В частности вашему провайдеру доступно значительно больше информации о вас (а в России уже давно провайдеры официально "содействуют органам"), чем gmail (включая содержимое почты). Но между тем вы похоже не ратуете за отказ от их услуг и не можете заставить их обеспечить полную конфиденциальность.
3. Боюсь затребованная вами поддержка шифрования ваших данных на их дисках не имеет смысла по той же причине вашему адресату письмо ДОЛЖНО быть отправлено в открытом виде, если вы не зашифровали его публичным ключом этого адресата.
4. Экспорт ваших данных доступен через API. пишите программы и пользуйтесь. (лучше сначала поищите, может уже есть)
5. Про террориста в датацентре читать несколько странно. Во-первых ДЦ это не вокзал, а во вторых данные google дублированы географически разнесёнными ДЦ, чего нет больше НИ У ОДНОГО почтового сервиса. (подробности об архитектуре DC Google легко найти в нём же)
6. Насчёт замены почтовых программ на gmail это выбор конкретного потребителя. У вас всегда есть возможность использовать pop3 и держать архив на своём компьютере. На мой же вкус программы работы с почтой стали менее удобны чем web-интерфейс gmail. Но мы ведь не будем спорить о вкусах? =)
7. Думаю изъятие компьютера и архивных дисков органами правопорядка может нарушить вашу приватность как раз в случае, если архив свой вы храните локально, а gmail при этом сохранит ваши данные в вашем распоряжении. Кстати подумайте внимательно чьих нападок на вашу приватность вам следует больше бояться: далёких американцев или местной власти?
Подкину ещё аргументов:
1. База данных программы The Bat подвержена повреждениям как от случайных вирусов, так и от порчи оборудования, так что многократно дублированные данные на серверах Google неплохая замена распечаткам и явно надёжнее чем локальный компьютер.
2. Можно легко переслать письмо любого размера не глядя на время пребывания в сети и ширину канала.
PS "не подсаженного на интернет гика" легко могут уличить в "подсаженности на компьютер", что в глазах "нормальных" людей одно и то же. Так, что отстройки "вы тут больные, а я здоровый" не получилось. Впрочем сама попытка такого отмежевания показалась мне старанной, если вспомнить что пишет о себе господин
Ладно, не будем флеймить
Удачи
За 3 года работы с недорогим штатовским хостингом (не буду рекламировать) имел лишь один повод для общения с техподдержкой заказывал расширенный аккаунт. Бывало пара сбоев, но письмо с разъяснениями и уверениями появлялось в моём ящике раньше, чем я успевал заметить проблему.
В том то и дело, что ему в глаза бросается разница в скорости между девелоперским хостингом за 1$/мес в штатах и бизнес тарифом мастерхоста. Далеко не в пользу последнего. Полагаю, что не повезло с конкретным сервером/маршрутизатором/сетевым кабелем/админом но сути проблемы это не меняет. Кстати техподдержка ничем не помогла.