En d'autres termes, est-ce une hypothèse sûre que personne parmi les destinataires ne verra jamais les e-mails dans BCC? Que faire si le destinataire est administrateur de son serveur de messagerie (mais pas de l'expéditeur) et peut apporter des modifications à son serveur?
29
Réponses:
Non. SMTP est un protocole en texte brut, utilisant des méthodes de stockage et de retransmission .
Qu'est-ce que cela signifie:
En d'autres termes, votre hypothèse n'est pas sûre. Si vous voulez la confidentialité et la sécurité, utilisez les signatures numériques et le cryptage, par exemple GPG; e-mail vanille est un mauvais outil pour un tel travail.
la source
Tout agent de transfert de courrier (MTA) qui est entièrement conforme à la RFC 2822 (en particulier, section 3.6.3, Champs d'adresse de destination ) supprimera le
Bcc:
champ de l'en-tête avant de tenter la livraison, ce qui rendra impossible pour les destinataires non aveugles de déterminer les destinataires aveugles. 'identités.Il y a quelques captures:
À moins que vous ne contrôliez le tout premier MTA que vos e-mails sortants atteignent, vous ne pouvez pas garantir que le logiciel de ce MTA fonctionnera conformément aux instructions de la RFC 2822.
Le fait qu'un e-mail de votre part à un destinataire qui aurait pu être copié en aveugle a traversé un ou plusieurs MTA peut survivre dans les journaux de ces MTA.
la source
Bcc:
tête; à la place, le MUA (programme client de messagerie) doit spécifier toutes les adresses dans l'enveloppe SMTP (MAIL FROM
).Vous ne devez jamais supposer que les destinataires ne prendront pas connaissance du destinataire BCC. J'ai eu des destinataires BCCed frappé "Répondre à tous" dans leur programme de messagerie, et annoncer à tout le monde leur réception d'un courrier avant, dans un étonnant manque de compréhension de ce que signifiait réellement BCCed. Si vous avez vraiment besoin qu'il soit privé, transférez le message à partir de votre dossier Envoyé après l'avoir envoyé aux destinataires d'origine, de sorte que la seule autre adresse dans les en-têtes de message soit la vôtre.
Cela dit, même si vous avez utilisé BCC, tant que le serveur du destinataire BCCed est distinct du destinataire d'origine, le serveur du destinataire n'aurait pas accès aux informations BCC, car il aurait été supprimé (ou plus probablement jamais inclus dans le corps du message) par le serveur de messagerie de votre fournisseur.
Soit dit en passant : SMTP n'est ni fiable, ni particulièrement privé. Certaines affiches affirment qu'il existe des "chaînes" de serveurs SMTP, mais en général, SMTP envoie de votre ordinateur, à votre FAI, aux FAI destinataires. (et quel que soit le nombre de serveurs qu'ils possèdent en interne) En général, votre courrier ne sera PAS acheminé vers le serveur de messagerie d'un tiers, et en fait, de telles tentatives sont généralement interdites pour des raisons anti-spam. (Il existe des exceptions, car les petits fournisseurs et les réseaux domestiques transmettront à leur fournisseur, mais ce n'est pas l'exception, mais la règle)
Cela dit, le courrier électronique en transit n'est pas garanti d'être chiffré, et tout élément potentiellement sensible ne devrait vraiment pas être approuvé non chiffré sur Internet via N'IMPORTE QUELLE méthode, y compris le courrier électronique, car il est trivial pour tout grand fournisseur ou opérateur de télécommunications d'exploiter les fibres qui le traversent. leurs installations, ou des paquets de journaux voyageant à travers leurs routeurs.
Le FBI le fait régulièrement par le biais du Carnivore et d'autres programmes, et des éléments voyous ont également été documentés dans le passé.
la source
I've had BCCed recipients hit "Reply All" in their mail program
Cela ne m'est jamais arrivé, mais je l'ai vu de nombreuses fois. Vos conseils (pas Cci, mais avant l'envoi) sont exactement ce que je fais aussi. Je déteste ressembler à un imbécile arrogant, mais parfois vous devez protéger les gens d'eux-mêmes.BCCed recipients hit "Reply All"
n'est pas garanti fiable. Je suis d'accord avec enforward the message from your Sent folder
particulier pour les destinataires BCCed non avertis en technologie tels que les PDG.Votre client ou serveur de messagerie (je ne sais pas lequel) doit supprimer les informations BCC avant d'envoyer un message. Si vous vous BCC vous-même sur un message et affichez ensuite la source, vous ne devriez pas trouver votre adresse e-mail ailleurs que dans la ligne De (vérifié cela avec mon propre courrier).
la source
Tout dépend du serveur. La plupart des serveurs prendront la ligne BCC et enverront essentiellement le message une fois par adresse. mettre essentiellement l'adresse bcc dans la ligne cc send, la prochaine adresse dans la ligne cc et envoyer le type de chose. Mais tout dépend de la configuration du serveur MAIL. BCC ne doit jamais aller plus loin que votre serveur de messagerie sortant.
la source
Bcc:
têtes. Au moment où les choses atteignent un serveur SMTP, les adresses des destinataires sont dans l' enveloppe du message , pas les en-têtes. Deuxièmement, seuls les serveurs de soumission SMTP réécrivent ces en-têtes en premier lieu. Troisièmement, les messages sont toujours envoyés une fois par destinataire d'enveloppe. Ce n'est ni spécial ni différent.Tout ce qui voyage sur le net sans signature numérique ni cryptage peut être facilement modifié. Si vous avez besoin d'une intégrité de bout en bout pour les e-mails, utilisez la signature PGP / GPG.
Vous devrez également transférer votre clé publique PGP / GPG aux destinataires (afin qu'ils puissent vérifier que vos messages électroniques sont vraiment les vôtres). Son genre de problème de poule et d'oeuf: il s'agit d'établir un canal de communication sûr, mais cela nécessite déjà un canal de communication sûr. L'envoyer par e-mail est OK, mais vous devez vérifier l'empreinte digitale de la clé PGP / GPG par téléphone ou par d'autres moyens. Le publier sur un site Web compatible avec https est également une bonne idée, car SSL fournit les garanties d'intégrité de transport nécessaires.
la source