当Gmail用户收到明文而非来自加密端口的信息时,谷歌会向用户发出告警,以回应某些host采用缓慢加密的进展以及一些国家对加密的敌对态度。
谷歌研究显示,七个国家是发送邮件的危险之地,包括突尼斯、伊拉克、巴布亚新几内亚、尼泊尔、肯尼亚、乌干达和莱索托。这些未经加密的信息都采用了“STARTTLS 剥离”的方式,强迫发送邮件的机器跳过加密并将通信降级为明文,导致20%以上的信息都以未受保护的形式出现。这些国家中的未加密信息比例都在20%左右,不过突尼斯的明文信息发送达到了96.13%。
如今,邮件加密的步伐大大落后于其他服务,而谷歌研究也得出了一致的结论,那就是大量服务器并没有跟上加密要求的步伐。约有超过70万泰SMTP服务器未采用最佳实践,其中只有35%的服务武器配置了加密,1.1%的服务器明确了DMARC验证策略。这就很容易让用户暴露给将TLS连接降级为明文,从而篡改邮件交换器(MX)记录来重新路由信息。MX记录是一种DNS进入,展示了从何处为一个特殊的目标域名发送信息。最糟糕的虚假MX记录实施者是斯洛伐克,紧随其后的是罗马尼亚、保加利亚、印度、以色列、瑞士、波兰和乌克兰。
不过谷歌研究也带来了好消息:在2013年12月和2015年10月期间,Gmail从非Gmail收到的加密邮件数量几乎翻了一番,从33%增长到61%,而且利用TLS的Gmail发件比例从60%提到高80%。超过94%的发到Gmail的邮件使用了某些验证方法。