Как работает шифрование почты

Когда письмо отправляется по сети, оно проходит через десятки серверов, и на каждом этапе может быть прочитано посторонними. Чтобы этого не произошло, почта использует шифрование — технологию, которая защищает письмо в пути и скрывает его содержимое от чужих глаз. В этой статье разберём, как устроено шифрование в почте, чем отличаются протоколы шифрования TLS, S/MIME и PGP и как настроить всё так, чтобы ваши письма не перехватили и не прочитали посторонние.

Зачем нужно шифрование почты

Когда вы отправляете письмо, оно не летит напрямую от вашего компьютера к получателю. Сначала письмо проходит через почтовый сервер отправителя, потом через несколько промежуточных серверов — и только потом попадает в нужный ящик. На каждом этапе данные могут быть перехвачены.

Без шифрования письмо похоже на открытку: любой, кто окажется на пути, может прочитать, что в нём написано. Шифрование делает из открытки запечатанный конверт. В нём можно видеть, от кого и кому письмо, но само содержимое остаётся скрытым.

Например, вы отправляете подрядчику тестовый доступ к CRM или таблицу с контактами клиентов. Если шифрования нет, эти данные путешествуют по сети «в открытую». Если письмо зашифровано, даже при перехвате никто не сможет прочитать содержимое — всё будет выглядеть как набор символов.

Какие риски устраняет шифрование:

1. Перехват данных. Если письмо идёт «в открытую», злоумышленник может перехватить его в сети — особенно если вы подключаетесь к публичному Wi-Fi, например, в кафе или аэропорту.
2. Подмена письма. Без защиты можно незаметно изменить часть сообщения — например, подменить ссылку на фишинговую.
3. Утечки у сервисов. Даже если письмо дошло, уязвимости на сервере или у подрядчика могут привести к тому, что ваши данные прочтут посторонние.

Как шифруется письмо: при передаче и изнутри

Шифрование в почте бывает двух типов. Один защищает путь письма от отправителя к получателю. Другой — само содержимое письма. Они работают по-разному, но часто используются вместе.

Шифрование при передаче — чтобы письмо не перехватили

Когда письмо идёт по сети, оно проходит через несколько серверов. Чтобы никто не смог «подглядеть», что в нём написано, между этими серверами устанавливается защищённое соединение — по протоколу TLS (Transport Layer Security).

TLS работает примерно так же, как HTTPS на сайтах: создаёт зашифрованный «туннель» между точками передачи данных. В итоге, если кто-то попытается перехватить письмо по пути, он увидит только набор символов.

Такой способ шифрования называют транспортным. Он защищает передачу, но не само письмо. Содержимое всё ещё доступно почтовому сервису — например, Gmail или Яндекс Почте, ведь сервер должен прочитать его, чтобы доставить в нужный ящик.

Шифрование содержимого — чтобы письмо не прочитал никто, кроме адресата

Если нужно, чтобы даже сам почтовый сервис не видел текст, используется сквозное шифрование. Оно защищает не только передачу, но и само письмо — от момента отправки до открытия адресатом.

Для этого применяются специальные стандарты, самые популярные из них — S/MIME и OpenPGP (или PGP-MIME). Они работают с помощью пары ключей:

• публичного, который можно передать любому — им шифруют письмо;
• приватного, который хранится только у владельца — им письмо расшифровывают.

Получается, что даже если письмо перехватят на сервере или на любом этапе пути, открыть его сможет только тот, у кого есть нужный ключ.

Как устроен TLS

Почта состоит из нескольких этапов передачи, и на каждом можно включить шифрование:

1. SMTP (Simple Mail Transfer Protocol) — отвечает за отправку письма с вашего сервера на сервер получателя. Когда вы нажимаете «Отправить», именно SMTP доставляет письмо адресату.
2. MTA (Mail Transfer Agent) — это как «перевалочная станция» между серверами. MTA может быть несколько: письмо может проходить через них, прежде чем дойти до получателя.
3. IMAP (Internet Message Access Protocol) и POP3 (Post Office Protocol) — это протоколы, по которым почтовый клиент (например, Outlook или Apple Mail) забирает письма с сервера.

Существует два основных способа, как почта устанавливает шифрованное соединение. В обоих случаях итог один — данные в пути зашифрованы. Разница лишь в моменте, когда включается защита.

STARTTLS.  Этот способ работает так: сначала сервер и клиент соединяются «в открытую» — просто чтобы поздороваться и договориться, какие возможности у каждой стороны есть.
После этого они решают: «Давай продолжим по защищённому каналу» — и переключаются в режим TLS. То есть шифрование начинается не с первой секунды, а после того, как стороны убедились, что обе умеют его использовать.

TLS с самого начала (его ещё называют "implicit TLS"). Здесь защита включена сразу, без предварительных договорённостей. Всё общение с самого первого байта идёт через зашифрованный канал. Например, когда почтовый клиент подключается к серверу на порту 465 (SMTP) или 993 (IMAP) — это уже сразу «чистый» TLS.

Перед тем как начать защищённый обмен, серверы должны согласовать, как именно они будут шифровать данные. Этот процесс называют «рукопожатием» (handshake) — потому что стороны как бы пожимают друг другу руки и договариваются о правилах общения. Во время рукопожатия сервер сообщает клиенту:

• какие версии TLS он поддерживает;
• какими алгоритмами умеет шифровать;
• и самое главное — предъявляет сертификат, чтобы подтвердить свою подлинность.

Сертификат — это как паспорт сервера. Его выдают специальные организации — центры сертификации. В нём указаны:

• имя (домен) сервера;
• срок действия сертификата;
• кто его выдал;
• цифровая подпись, которая подтверждает, что сертификат настоящий, а не подделка.

Когда клиент получает сертификат, он проверяет: действительно ли он выдан доверенным центром и совпадает ли имя в сертификате с адресом сервера. Если всё в порядке — соединение считается безопасным, и дальше данные начинают шифроваться.

Иногда сервер отправителя может работать по принципу «если получится — шифрую». Это называется оппортунистическим TLS. Сервер сначала пытается установить защищённое соединение, но если другая сторона не поддерживает TLS, письмо всё равно отправляется — уже без шифрования. Такой вариант удобен для совместимости со старыми системами, но менее безопасен.

Более надёжный вариант — «только по TLS». В этом режиме сервер не отправит письмо, если не удастся установить защищённое соединение. Письмо будет ждать, пока получатель не станет доступен по безопасному каналу. Такую настройку обычно включают компании, которые работают с персональными данными или коммерческой перепиской и не могут позволить себе риск утечек.

Как устроены S/MIME и PGP

Если вы хотите, чтобы текст и вложения не могли прочитать никто, кроме адресата, используется сквозное шифрование. Оно работает так: письмо зашифровано сразу при отправке и расшифровывается только на устройстве получателя. Даже почтовые серверы не могут посмотреть, что внутри. Самые распространённые технологии такого шифрования — S/MIME и PGP. Они работают по схожему принципу, но устроены по-разному.

Чтобы сквозное шифрование вообще было возможно, у каждого участника есть пара ключей — один публичный, другой приватный.

• Публичный ключ можно свободно передавать другим людям. Им шифруют письма.
• Приватный ключ хранится только у владельца и нужен, чтобы письма расшифровать.

Если злоумышленник перехватит письмо в пути, он увидит только набор символов — без приватного ключа прочитать его невозможно.

S/MIME (Secure/Multipurpose Internet Mail Extensions) — это технология шифрования и электронной подписи, которая изначально создавалась для корпоративной почты.

Чтобы использовать S/MIME, пользователю нужен сертификат — по сути, тот же принцип, что и у TLS. Сертификат подтверждает личность владельца и содержит его публичный ключ.

Когда вы отправляете письмо с S/MIME:

1. Почтовая программа шифрует письмо публичным ключом получателя.
2. Получатель расшифровывает его своим приватным ключом.
3. При этом можно добавить электронную подпись — она подтверждает, что письмо точно от вас и не было изменено.

PGP (Pretty Good Privacy) — это более «гибкий» вариант сквозного шифрования, который не требует официальных сертификатов. Каждый пользователь создаёт ключи сам и может самостоятельно решать, кому доверять.

В PGP нет единого центра, который подтверждает, что ключ действительно принадлежит человеку. Всё держится на взаимных подтверждениях пользователей: люди сами проверяют ключи друг друга и «подписывают» их своей цифровой подписью, если уверены, что ключ настоящий. Так со временем складывается сеть доверия — вы можете быть уверены в ключах тех, кого знаете лично, и тех, кому они доверяют.

PGP часто используют сервисы, которые делают ставку на приватность — например, Proton Mail. Но его можно применять и вручную — через почтовые клиенты вроде Thunderbird с плагинами (Enigmail, OpenPGP).

Для наглядности — таблица с разницей между S/MIME и PGP:

Где часто ломается защита почты

Даже если письма передаются по TLS или зашифрованы с помощью S/MIME и PGP, защита может дать сбой. Не потому что шифрование плохое, а потому что в реальной работе есть места, где безопасность «расшатывается» из-за человеческого фактора, настроек или особенностей инфраструктуры.

Пересылка и цепочки писем. Когда вы пересылаете письмо дальше, шифрование, которое действовало между вами и исходным адресатом, чаще всего не сохраняется. Почтовый клиент расшифровывает письмо, и новое отправляется уже в открытом виде — даже если оригинал был зашифрован.

Как избежать:

• при пересылке конфиденциальных писем — копируйте только нужный фрагмент текста, а не весь диалог;
• если нужно переслать зашифрованное письмо, лучше создать новое и снова зашифровать его на стороне получателя.

Публичные сети и устройства. Если вы входите в почту с чужого ноутбука или подключаетесь к открытому Wi-Fi, можно стать жертвой кибератаки. В таких условиях даже TLS может не помочь, если злоумышленник подменяет сертификаты или перенаправляет трафик.

Как защититься:

• проверяйте, что подключение действительно идёт к нужному серверу, и браузер не выдаёт предупреждений о сертификате;
• избегайте авторизации в корпоративной почте через незнакомые устройства.

Хранение писем и резервные копии. Даже если передача была зашифрована, письмо хранится на сервере и в ящике пользователя в обычном виде. Если сервер уязвим или доступ к устройству не защищён, содержимое легко прочитать.

Как снизить риски:

• включите двухфакторную аутентификацию для всех почтовых аккаунтов;
• на сервере — поддерживайте шифрование дисков и регулярное обновление ПО;
• на ноутбуках и смартфонах — поставьте пароли и шифрование хранилища, чтобы при утере устройства письма не утекли.

Вложенные изображения, пиксели и внешние ссылки. Даже при включённом шифровании письма часто содержат отслеживающие пиксели или внешние картинки, которые загружаются с сервера при открытии письма. Шифрование не мешает этим обращениям: клиент всё равно запрашивает внешние ресурсы, передавая IP-адрес и другие данные.

Что делать:

• не вставляйте в служебные письма изображения, загружаемые с открытых адресов;
• при необходимости аналитики — используйте встроенные инструменты ESP, а не сторонние трекеры;
• при работе с конфиденциальными клиентами отключайте автозагрузку изображений по умолчанию.

Метаданные и темы писем. Даже самое надёжное шифрование скрывает только содержимое письма — не тему, не отправителя и не получателя. Эти данные (метаданные) нужны, чтобы письмо дошло, поэтому они всегда остаются открытыми.

Как это учитывать: не пишите в теме ничего, что может раскрывать конфиденциальную информацию: фамилии клиентов, номера договоров, суммы и т.п.

Как настроить шифрование

Шифрование почты не требует глубоких технических знаний. Большинство сервисов уже поддерживают нужные протоколы, нужно лишь убедиться, что всё действительно работает и включено.

Проверьте, что ваш почтовый сервер работает по TLS. Почти все современные сервисы (Google, Microsoft 365, Яндекс 360 и др.) включают TLS по умолчанию. Но если вы используете собственный сервер или корпоративную инфраструктуру, убедитесь, что защита действительно активна.

1. Проверьте, чтобы входящая и исходящая почта шла по защищённым портам: SMTP 465/587, IMAP 993, POP3 995.
2. Убедитесь, что сервер использует актуальную версию протокола (TLS 1.2 или 1.3).
3. Проверьте сертификат: он должен быть выдан доверенным центром, действителен и совпадает с вашим доменом.

Настройте S/MIME для корпоративной переписки. Если вы работаете в большой компании или в сервисе вроде Google Workspace или Microsoft 365, S/MIME можно включить прямо в настройках почты.

1. Получите сертификат для вашего адреса — обычно через IT-отдел или корпоративный сертификатный центр.
2. Установите сертификат на свой компьютер или почтовый клиент (например, Outlook, Apple Mail или Gmail для бизнеса).
3. В настройках клиента включите опцию «Подписывать и шифровать письма с помощью S/MIME».
4. Перед первым письмом обменяйтесь с собеседником цифровыми подписями — после этого вы сможете шифровать письма друг другу.

На что обратить внимание:

• сертификаты нужно обновлять — обычно раз в год;
• приватный ключ храните только на своём устройстве, не пересылайте и не копируйте в облако;
• если сотрудник увольняется или теряет устройство, сертификат надо отозвать.

Настройте PGP, если нужна личная или гибкая защита. PGP больше подходит, если у вас нет корпоративной инфраструктуры, но вы хотите полностью контролировать процесс шифрования.

1. Установите почтовый клиент, поддерживающий PGP, например — Thunderbird.
2. Создайте пару ключей (публичный и приватный).
3. Отправьте публичный ключ коллегам или клиентам, с которыми планируете обмениваться зашифрованными письмами.
4. При получении их ключей добавьте их в свой клиент.
5. При отправке выберите опцию «Зашифровать сообщение» — и клиент автоматически зашифрует письмо нужным ключом.

Коротко о главном

Шифрование защищает письма от подглядывания и подмены. Без него письмо передаётся «в открытую» и может быть перехвачено на любом этапе.

TLS шифрует путь письма — обеспечивает безопасную передачу между серверами и включено во всех современных почтовых сервисах. S/MIME и PGP шифруют само письмо. Даже почтовый сервер не может прочитать содержимое — доступ есть только у отправителя и получателя.

Главные уязвимости — в пересылках, вложениях и привычных действиях пользователей. Защита ломается не из-за технологий, а из-за невнимательности или устаревших настроек. Проверяйте настройки TLS и сертификаты, обновляйте их вовремя. Для корпоративной почты используйте S/MIME, для личной — PGP, если нужно больше контроля.

Шифрование работает незаметно, но именно оно делает переписку безопасной. Один раз настроив систему, вы защищаете себя, коллег и клиентов от случайных утечек.