邮件作为互联网中最通用的一种信息传输协议,被人们广泛使用着。但在互联网上冲浪时间一长,邮箱里难免充斥着各种营销邮件甚至垃圾邮件,在社工库里,邮箱作为最常用的一个身份标识,即使它并不一定跟真实姓名绑定在一起。
邮件隐私,在我看来,主要分为两个部分。一个是邮件内容的隐私:你的邮件内容,是否相对安全的保存在邮件服务商的服务器上,邮件服务商会不会偷看你的邮件内容,邮件在发送和接收过程中有没有被中间人攻击。另一个是邮件地址的隐私,看到了一个邮件地址,是否就会清晰的标识出你这个真实的人,并且发现你的一系列关联行为。
内容隐私
一个比较明确的信息是,大多数主流的邮箱,默认对内容隐私的保护是不太够用。虽然找不到信息的具体出处,但可以从目的方面来看:他们做邮箱的最大目的是维持一个流量的入口,保持邮件免费,为用户进入他们的其他产品做渠道,而不是靠邮件本身盈利。相比之下,一些专门做隐私邮箱的,在这方面似乎值得信任,例如 Proton mail。即使我没有认真研究过它是如何让这一些都保持安全的,但它在安全方面的确实口碑不错(也可能是营销不错)。
安全不仅取决于邮件服务商,自己本身也可以在内容上加一些东西,也就是对邮件内容加密,最流行的可能就是 GPG 加密,第一次在 thunderbird 上看到这个功能,觉得很是惊艳。尽管这种加密需要收发邮件的人双方的配合,自己完全掌管着私钥,别人任何人都没办法解密,只要密码学的理论基石没有被攻破,那么你的内容就都是安全了。但要开始用 GPG,又要涉及到如何保管私钥,如何在多个设备间安全的同步私钥,这真是一件麻烦的事儿。
当然,使用邮件托管服务终究还是得相信别人,相信一方,把作恶的权利完全交到别人手上,更隐私的办法就是自己搭建邮件服务器,但对人的要求会更高。要求过多的隐私,就太太不便利和高效了。
地址隐私
有时候难免接触要一些不成熟的网站,甚至一些危险的网站,想要注册进去体验一下的时候,会犹豫要不要用自己的主邮箱。这时候,应该警告自己:网站会将你的个人信息作为营销信息出售,你在网站上的所有行为都暴露了你真实的个人。遇到这种境况的时候,一开始会考虑 临时邮箱,这种临时创建、接收验证码、用完即扔的邮箱服务。但临时邮箱没办法长久使用,也就能用于后面不会再用的网站了,一个更好的是 马甲邮箱,例如 firefox relayer, simplelogin。马甲邮箱是可以随时创建一个新的邮件地址,然后一直把马甲邮件收到的邮件,转发给你的真实邮箱,除非你手动删除这层关联关系。这一好处在于,你依旧能长久的使用一个邮箱来使用某一个网站的服务,但网站的服务提供者没办法知道你的主邮箱。给每一个网站创建完全不同的马甲邮箱,去注册和登录,千人千面,超级酷的。
小结
小结一下,在内容隐私方面:
- 选择存储加密和传输加密的邮件服务商
- 使用 GPG 加密进一步加密内容
- 自建邮件服务器
在地址隐私方面:
- 临时邮箱可以用临时的马甲访问网站
- 马甲邮箱可以长久的使用一个新建的地址访问网站
总的来说,越安全隐私,越不方便。大多数场景下还是会用主流的邮箱,因为它被网站承认的概率更高。在加上邮件隐私的套件后,每个月又多了些支出。在最深的夜里,还是会问一句自己:我真的有那么多隐私要保护吗?