IETF ผ่านมาตรฐาน RFC 8314 กำหนดให้ผู้ให้บริการอีเมล (mail service provider - MSP) ต้องเปิดบริการเข้ารหัสสำหรับเชื่อมต่อไปยังไคลเอนต์ (mail user agent - MUA) ในทุกๆ ช่องทาง รวมถึงการเข้าถึงอีเมลผ่านเว็บ

ภายใต้มาตรฐานนี้ ผู้ให้บริการอีเมล "ต้อง" เปิดช่องทางการเชื่อมต่อเข้ามายังเซิร์ฟเวอร์แบบเข้ารหัส TLS ทั้งการเชื่อมต่อแบบ POP, IMAP, และการเชื่อมต่ออื่นๆ โดยเฉพาะอย่างยิ่งเมื่อมีการส่งชื่อผู้ใช้และรหัสผ่าน

มาตรฐานแนะนำให้ MSP ถอดการเชื่อมต่อแบบไม่เข้ารหัสออกไปทั้งหมดให้เร็วที่สุดเท่าที่เป็นไปได้ โดยการเชื่อมต่อควรเป็น TLS 1.2 ขึ้นไป และหากยังรองรับการเข้ารหัสที่อ่อนแอกว่านั้นก็ควรถอดออกด้วยเช่นกัน

ทางด้านผู้ผลิตอีเมลไคลเอนต์ก็ต้องปรับความปลอดภัย โดยไม่ยอมเชื่อมต่อหากความปลอดภัยไม่เพียงพอ และควรปรับหน้าจอซอฟต์แวร์แจ้งผู้ใช้ว่ากระบวนการเชื่อมต่อที่กำลังใช้งานรักษาความลับข้อมูลได้ดีเพียงใด

การส่งอีเมลเข้ารหัสเป็นเรื่องที่ IETF พยายามผลักดันอย่างต่อเนื่อง เอกสารมาตรฐานอีกหลายชุดที่อยู่ระหว่างร่างกำลังเริ่มบังคับการเข้ารหัสระหว่างเซิร์ฟเวอร์ (mail transfer agent - MTA) มากขึ้นเรื่อง เช่น เอกสาร MTA-STS ที่บังคับเข้ารหัสอีเมลระหว่างเซิร์ฟเวอร์ตลอดเวลา

กระบวนการปรับปรุงการเข้ารหัสอีเมลเป็นไปอย่างเชื่องช้าเมื่อเทียบกับการเข้ารหัสเว็บ แม้หลายครัังจะมีการส่งข้อมูลที่เป็นความลับไม่ต่างกับเว็บเลยก็ตาม อีเมลจากธนาคารในไทยที่เข้ารหัสระหว่างเซิร์ฟเวอร์ที่ผมสำรวจล่าสุด มีเพียงธนาคารกรุงเทพ (bangkokbank.com) และธนาคารกรุงไทย (ktb.co.th) เท่านั้นที่เข้ารหัสระหว่างเซิร์ฟเวอร์

ที่มา - The Register