Googles e-posttjeneste, Gmail, er i ferd med å ta i bruk en ny funksjon som varsler brukeren dersom det oppdages at en e-post brukeren har mottatt, har blitt sendt via en ikke-kryptert forbindelse. Tilsvarende vil avsenderen varsles dersom det oppdages at vedkommende planlegger å sende en e-post over en forbindelse som ikke er kryptert.
Planene om å innføre denne funksjonen ble kunngjort i november i fjor.
TLS-kryptering
Til tross for at e-post kan inneholde fortrolig informasjon, blir mye e-post overført over forbindelser som i begrenset grad hindrer noen i å få tilgang til dataene som overføres. Dette gjelder spesielt dersom man sender e-post til en mottaker som benytter en annen e-postserver enn en selv.
Som avsender eller mottaker har man normalt bare kontroll over forbindelsen mellom ens egen e-postklient og e-postserveren som man benytter. Dette skjer ofte ved hjelp av krypterte e-postprotokoller eller en webklient som benytter HTTPS.
Verre er det med forbindelsen mellom e-postserveren man selv benytter og serveren som mottakeren benytter. Google opplyser at 42 prosent av alle e-postmeldinger som mottas av Gmail, er overført fra en annen e-postserver via ikke-kryptert forbindelser. I motsatt retning er andelen 18 prosent.
Hengelås
Selve varselet vil ikke være spesielt påtrengende. Det dreier seg om et hengelås-ikon som vises sammen med meldingene man mottar eller planlegger å sende.
Innkommende e-post inkluderer vanligvis mye data om hvordan transporten har skjedd, inkludert at forbindelsen mellom e-postservere har benyttet TLS-kryptering.
Google oppgir det ikke spesifikt, men man kan gå ut fra at varselet som vises til Gmail-brukere som er i ferd med å skrive en e-post, tar utgangspunkt i e-postadressen(e) som brukeren har oppgitt og sjekker serverne som skal motta e-post, støtter TLS-kryptering for meldinger i transitt.
Autentisering
Gmail skal heretter også tydeligere merke e-postmeldinger som kommer fra ikke-autentiserte avsendere. Når man åpner en e-postmelding i Gmail, vises det vanligvis et bilde, logo eller avatar ved siden av avsendernavnet. Men fra nå av vil dette bli erstattet av et bilde av et spørsmålstegn dersom meldingen ikke kan autentiseres.
Det at en e-postmelding ikke inneholder autentiseringsinformasjon, må ikke bety at det er noe skummelt med den. Men bør kanskje være litt ekstra oppmerksom når man åpner slike e-postmeldinger. Kommer meldingen tilsynelatende fra en finansinstitusjon eller en stor e-postleverandør som Google, Microsoft eller Yahoo, er derimot stor sannsynlighet for at meldingen er forfalsket dersom den ikke kan autentiseres.
