Jaké jsou možnosti zabezpečení e-mailu? 2. díl

16. 10. 2022 | Jindřich Zechmeister

Druhý díl seriálu o zabezpečení e-mailu je věnován zabezpečení domény odesilatele proti zneužití spamery a podvodníky (podvržení identity). Zprávy ze správně zabezpečené domény vždy dorazí příjemci a nikdy se nejedná o spam či phishing. Podíváme se také na otázku zabezpečení zpráv při přenosu.

Zamezte podvodníkům ve zneužívání vaší domény

V prvním dílu seriálu jste se dozvěděli, že e-mail zcela postrádá kontrolu identity odesilatele a není odolný proti podvržení identity. Co si do jména odesilatele napíšete, to tam příjemce e-mailu uvidí.

Příklad podvržení odesilatele
Co si do pole odesilatele nastavíte...
Ukázka podvržení odesilatele
To se příjemci také zobrazí.

Nikdo nechce dostávat divné zprávy s podvrženým odesilatelem, kterého nelze ověřit. Stačí si vzpomenout třeba na známé vyděračské e-maily vyhrožující zveřejněním videa masturbujících uživatelů, pokud podvodníkům nebude poslán bitcoin. Těm přitom stačilo banálně podvrhnout adresu odesilatele, aby si uživatelé mysleli, že je e-mail odeslán z jejich adresy.

Nyní se dozvíte, jak toto riziko eliminovat a jak si doménu odesílající poštu správně zabezpečit. Tím, že zabráníte posílání spamu a phishingu pod vaším jménem, navíc zvýšíte úspěšnost doručení vašich pravých zpráv příjemcům.

Technologie pro zabezpečení e-mailu

Během padesátileté historie e-mailů se objevilo mnoho způsobů, jak zvýšit jejich důvěryhodnost a bezpečnost. Téměř polovina posílaných zpráv je nevyžádaný spam (poměr se naštěstí snižuje, spam činil jednu dobu přes 70 % všech zpráv). Eliminace spamu a zabezpečení pošty je téma pro každého správce.

Pojďme se seznámit se základními nástroji pro zabezpečení pošty. Každý IT správce zná minimálně část z těchto nedocenitelných pomocníků. Pomocí nich uděláte z používání e-mailů opět příjemný zážitek a zvýšíte bezpečnost uživatelů.

Nástroje pro zabezpečení pošty:

  • SPF: pomocí SPF záznamu (TXT záznam v DNS) potvrzujete světu, které servery a domény jsou autorizované posílat e-maily za vaši organizaci. Jedná se o primární ochranu před zneužitím domény pro spam.
  • DKIM: protokol podepisující e-maily klíčem, který je v DNS a který si může příjemce ověřit. Kladný výsledek dokazuje, že zpráva nebyla změněna a že e-mail skutečně pochází z odesilatelovy domény
  • DMARC: navazuje na SPF a DKIM. Pomocí něj definujete, co se má stát se zprávou, která SPF a DKIM pravidlům nevyhovuje – můžete ji dát do karantény, nebo úplně odmítnout. Při aktivním DMARC chodí správcům reporty e-mailem a mají tak kontrolu o jeho správné funkčnosti, nebo o pokusech o zneužití domény.
  • S/MIME: protokol a standard pro zabezpečení zpráv. Poskytuje důkaz identity, digitální zapečetění zprávy a úplné end-to-end šifrování. Bude popsán v dalším dílu seriálu.

U všech výše zmíněných technologií platí, že pokud je informace v hlavičce zprávy v rozporu s informací u domény, tak by měl příjemce takovou zprávu považovat za spam. Stejně tak narušení podpisu zprávy (například jejím pozměněním) se projeví chybou podpisu, kterou příjemce vidí (upozorní ho na nesrovnalost).

Server příjemce (tedy přijímající poštu) se samozřejmě informacemi z výše uvedených protokolů řídit nemusí, ale je v jeho zájmu, aby doručoval pravé zprávy (nikoliv spam) a aby byli jeho uživatelé spokojení.

Jak technologie pro zabezpečení využít?

Pokud spravujete poštovní server, tak je využití a správné nastavení těchto technologií na vás. Máte tedy velkou odpovědnost, protože při rezignaci na tyto technologie bude uživatelům chodit velké množství spamu a snadno se stanou terčem phishingu. Pokud však zabezpečení nastavíte nesprávně, třeba kvůli nedostatečným zkušenostem, tak můžete ohrozit správné doručování pošty na doméně (v krajním případě mu úplně zamezit).

Pokud jste pouze uživatel a máte pouze e-mailovou adresu, nikoliv přístup k serveru, musíte výše uvedené zabezpečení požadovat po vašem IT správci či přímo po poskytovateli e-mailových služeb.

V obou případech je zjevně výhodnější nechat tyto starosti na profesionálech, kteří vám mohou garantovat perfektní zabezpečení a provoz vaší pošty. Tím se dostáváme k poskytovatelům e-mailových služeb, kterými je i ZONER a. s. a projekt CZECHIA.com. S CZECHIA.com můžete využít všechny výše zmíněné výhody, a navíc získáte trojí ochranu vaší pošty – antivir, antispam a antiphishing. Budete tak chránění proti spamu, virům a podvodníkům.

Do administrace e-mailů (e-mail. serverů) se nemá cenu pouštět a je lepší ji přenechat odborníkům. Fungující službu uživatelé očekávají a nedokáží ji ocenit; zejména díky rozšířeným službám zdarma je zakořeněno, že za e-mail není třeba platit. Pokud se však něco nepovede, například nepřijde nějaká zpráva, tak se nespokojený zákazník ozve a někdy i nevybíravým tónem – protože neví, jak e-mail funguje. Laik nezná komplexnost celého procesu posílání a doručování pošty (viz Wikipedia), takže logicky nerozumí ani problematice zabezpečení e-mailu.

Tipy pro další zvýšení bezpečnosti

DANE, MTA-STS a BIMI jsou další technologie, které můžou zabezpečení pošty pomoci. Pro náš článek mají však marginální význam, proto je představím stručně.

Principem DANE je zveřejnění kryptografického otisku certifikátu v DNS záznamu v zóně domény, kde si ho může kdokoliv najít a ověřit si pravost použitého certifikátu. V případě e-mailových služeb se certifikát (uvedený v TLSA záznamu DANE) používá pro zabezpečení komunikace mezi servery. Důvěra v DANE spoléhá na DNSSEC, který zaručuje pravost informací v DNS zóně domény. Osobně si myslím, že DANE není v současnosti příliš akceptovaná a rozšířená technologie pro zabezpečení pošty. Nicméně český regulátor NÚKIB ji uvádí ve svém doporučení pro zabezpečení pošty a bude vyžadovat její nasazení.

MTA-STS je mladá technologie, která slouží pro použití důvěryhodných certifikátů při přenosu odesílané pošty přes SMTP. MTA-STS je jednoduše řečeno ekvivalent DANE, ale bez nutnosti použít DNSSEC.

BIMI umožňuje použít indikátor odesilatele v poštovním klientovi. K jeho reálnému použití v poštovních službách však potřebujete VMC certifikát. Více na toto téma najdete v dalším díle seriálu.

Šifrování mezi poštovními servery

Dovolím si ještě připojit odstavec k šifrování komunikace pomocí TLS. Díky SSLmarketu máte jistě svůj TLS certifikát pro web a zabezpečení stránek je jednoduché; prostě zapnete HTTPS a všichni návštěvníci se připojují pomocí šifrovaného HTTPS. U e-mailů to tak jednoduché ale není – vlastně se zde s žádným zabezpečením nepočítá, to závisí na správci poštovního serveru.

V prvním díle tohoto seriálu jste se dozvěděli, že e-mail je jako korespondenční lístek, který může na jeho cestě každý přečíst. Obsah e-mailu není vůči cizím očím nijak chráněn, a proto jistě oceníte, pokud je zabezpečen alespoň cestou pomocí TLS šifrování. Servery, které si ho mezi sebou vyměňují, mohou tuto komunikaci šifrovat a chránit ji proti odposlechu.

Můžeme mít jistotu, že se zpráva opravdu přenáší šifrovaně? Ne vždy. Většina e-mailových serverů se snaží šifrovat a použít protokol STARTTLS, avšak pokud se šifrování nepovede navázat, tak komunikace proběhne nešifrovaně (a uživatel to nemá jak ovlivnit). Můžete tedy šifrování předpokládat, ale nemůžete si jím být jistí. Můžete se pokusit šifrování vynutit (viz výše DANE a MTA-STS), ale doručení zprávy má vždy prioritu a pokud se šifrované spojení nepodaří navázat, tak dorazí nezabezpečeným kanálem (bez TLS).

Třetí díl bude o zabezpečení z pohledu uživatele

Všechny výše zmíněné technologie slouží k potvrzení pravosti domény, ze které se pošta odesílá, případně k zamezení zneužití domény pro spam a phishing (podvržení adres). Neřeší však identitu samotného odesilatele e-mailu. Na tento aspekt a jeho řešení se podíváme příště. Dozvíte se více o technologii S/MIME, podepisování a šifrování mailů, ale také o principu BIMI, který umožňuje využít VMC certifikát. Jak určitě víte, VMC certifikáty umožňují zobrazit logo odesilatele příjemci e-mailu a jedná se o perspektivní a stále mladou technologii. Díky SSLmarketu ji můžete využít i vy!

Zdroj

  1. (Ne)bezpečný e-mail, aneb DKIM, DMARC, DANE a další nejen od D. Dostupné na Root.cz


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz