Bezpieczeństwo, Dobre praktyki
Bezpieczeństwo, Dobre praktyki
Czy zauważyłeś, że obok niektórych nadawców na Twojej skrzynce odbiorczej widoczne jest oznaczenie zweryfikowanego adresu e-mail? Przykładowo – iCloud Mail pokazuje małą pieczątkę ze znakiem wyboru, Gmail – zieloną tarczę lub kółko ze znakiem wyboru, natomiast w Outlooku widoczna jest czerwona wstążka.
Te odznaki zweryfikowanego adresu e-mail, które widoczne są w większości popularnych programów pocztowych, oznaczają, że wiadomość została podpisana cyfrowo przy użyciu pewnego protokołu bezpieczeństwa, a dokładniej – S/MIME.
(ang. Secure/Multipurpose Internet Mail Extensions) to cyfrowy podpis stanowiący potwierdzenie, że adres e mail nadawcy wiadomości w rzeczywistości został użyty do jej wysłania. „Zweryfikowany adres e-mail” oznacza, że nadawca został potwierdzony za pośrednictwem cyfrowego podpisu.
Protokół S/MIME jest stosowany od około 2004 roku, jednak nadal jest on dość mało popularny i niewielu użytkowników poczty elektronicznej słyszało o tym zabezpieczeniu. Na korzystanie z certyfikatu w wiadomościach mailowych decydują się przede wszystkim instytucje z branży fintech czy bezpośrednio z sektora finansowego np. banki czy firmy udzielające pożyczek. Dotyczy to przede wszystkim wiadomości transakcyjnych oraz tych, które zawierają dane wrażliwe – te oprócz podpisywania, są też często szyfrowane. Na podpisywanie wiadomości wspomnianym certyfikatem na swoich skrzynkach służbowych decydują się bardzo często pracownicy różnych firm. Ponieważ jest on wydawany na podstawie dowodu osobistego i zaświadczenia o zatrudnieniu, możesz mieć pewność, że nikt spoza firmy nie zdobędzie takiego poświadczenia dla adresu e-mail w Twojej domenie.
Certyfikat poczty elektronicznej jest jak dwuczęściowy cyfrowy klucz (składający się z klucza publicznego i prywatnego), który jest powiązany z Twoim adresem e-mail. Dzięki użyciu certyfikatu do podpisania wiadomości e-mail, odbiorca będzie wiedział, że mogła ją nadać tylko osoba posiadająca oryginalny certyfikat i klucz prywatny. Klucz publiczny służy do przesyłania identyfikatora – zawiera on dane dotyczące urzędu certyfikującego, może też uwzględniać dodatkowe informacje na temat tożsamości jego właściciela czy firmy w której jest zatrudniony.
Teoretycznie każda osoba może stworzyć swój własny certyfikat poświadczający, że to ona jest właścicielem danego adresu mailowego. Jednak w tym miejscu do akcji wkraczają Urzędy Certyfikujące (CA – ang. Certificate Authority). Są to instytucje, które wydają różnego typu certyfikaty – np. certyfikaty SSL do szyfrowania stron internetowych czy VMC do wyświetlania BIMI. Takich głównych urzędów certyfikujących (Root CA) jest stosunkowo niewiele – wszystkie są powszechnie uznawane przez firmy na całym świecie za godne zaufania i bezpieczne.
W przypadku gdy program pocztowy odnotuje obecność błędnego certyfikatu lub wydanego przez jeden z niezatwierdzonych urzędów, wiadomość będzie zawierała oznaczenie „Niezaufany podpis” z poniższym (lub podobnie brzmiącym) komunikatem:
Poczta nie była w stanie zweryfikować autentyczności certyfikatu S/MIME dostarczonego przez „nazwa i adres nadawcy”. Wiadomości podpisane przez tego użytkownika mogą pochodzić z innego źródła.
Certyfikat można nabyć bezpośrednio we wspomnianych Urzędach Certyfikacji lub u sprzedawcy detalicznego. Lista CA zatwierdzona przez Google dostępna jest tutaj (https://support.google.com/a/answer/7448393).
Nie powinno mieć znaczenia, z usług którego providera korzystasz. Ważne jest natomiast z jakiego programu pocztowego będziesz wysyłać wiadomości mailowe – np. Outlook, iCloud Mail itp. Większość programów webowych – takich jak Gmail (nie licząc Google Workspace), nie pozwala na dodawanie certyfikatów do wiadomości e-mail podczas wysyłania, ale jeśli używasz np. Outlooka do wysyłania wiadomości od nadawcy w domenie gmail, to certyfikaty będą działać.
Możesz skorzystać z S/MIME także w przypadku wysyłek realizowanych za pośrednictwem EmailLabs. Samodzielnie zakupiony certyfikat należy nam przekazać w bezpieczny sposób (przez kanał SFTP), tak abyśmy mogli go wdrożyć na naszych serwerach wysyłkowych. Dodanie i utrzymanie certyfikatu możliwe jest od Pakietu PRO – o szczegóły zapytaj naszego doradcę.
Jeżeli zdecydujesz się na wykupienie i wdrożenie S/MIME to pamiętaj, że certyfikaty mają określony termin ważności, po upływie którego należy je odnowić. Urząd certyfikacji może także wycofać (unieważnić) certyfikat przed upływem okresu jego ważności np. w przypadku poświadczenia nieprawdy lub realizowania podejrzanych wysyłek.
Odbiorca wiadomości nie musi robić nic specjalnego, aby odznaka była widoczna – certyfikaty są domyślnie obsługiwane przez wiele popularnych programów pocztowych. Tak jak wspomniano na wstępie – identyfikator będzie prezentowany w różny sposób w zależności od używanego programu pocztowego.
Na poniższych grafikach pokazano przykłady jak wiadomość podpisana cyfrowo będzie wyglądała.
Widok u odbiorcy odbierającego pocztę z konta iCloud na urządzeniu Apple
Widok u odbiorcy odbierającego pocztę z Gmail na urządzeniu Android
Widok u odbiorcy odbierającego pocztę z Gmail w wersji webowej
Widok u odbiorcy odbierającego pocztę z webowej wersji programu Outlook
Dzięki S/MIME odbiorca może mieć pewność iż wiadomość pochodzi od nadawcy, którego adres mailowy został wskazany w polu from. Należy mieć jednak świadomość, że każdy może zakupić taki certyfikat dla swojego adresu mailowego a następnie użyć go niezgodnie z prawem. Phishing czy Spoofing to jedne z najpopularniejszych metod oszustwa w Internecie, które wykorzystują wysyłkę wiadomości email łudząco podobnych do tych, które otrzymujemy na co dzień od znanych nam nadawców. Często jest ona realizowana z tej samej lub nieznacznie różniącej się domeny. Dlatego tak ważne by sam S/MIME był uzupełnieniem dla innych zabezpieczeń – takich jak SPF, DKIM, DMARC i dość nowy standard – BIMI. Oprócz tego, bardzo ważne jest stosowanie zasady ograniczonego zaufania wobec otrzymanych wiadomości maili. Jeśli nie masz pewności co do ich wiarygodności, skontaktuj się z nadawcą innym kanałem – np. telefonicznie.
Chcesz wiedzieć więcej? Skontaktuj się z naszymi specjalistami z Biura Obsługi Klienta.
Antyspam, Bezpieczeństwo, BIMI, Dobre praktyki, Nowe funkcje, Nowości
Organizacja AuthIndicators Working Group (BIMI Group) ogłosiła niedawno, że systemy Apple takie jak iOS 16, iPadOS 16 i macOS Ventura będą wspierać BIMI już od jesieni tego roku. Tym...
Dobre praktyki, Dostarczalność email, Maile transakcyjne
Aby komunikacja E-mail mogła przynosić efekty, musi być odpowiednio realizowana. Obok kwestii technicznych, bardzo ważne jest budowanie pozytywnego zaangażowania subskrybentów w komunikację E-mail. Obecnie każdego dnia konsumenci otrzymują liczne komunikaty...
RBL (ang. Real-time blackhole list) to dynamiczna, działająca w czasie rzeczywistym lista na którą trafiają adresy IP będące aktywnymi spamerami (działanie celowe) lub przypadkowymi źródłami spamu. Czarna lista...
Bezpieczeństwo, Dobre praktyki
Czy zauważyłeś, że obok niektórych nadawców na Twojej skrzynce odbiorczej widoczne jest oznaczenie zweryfikowanego adresu e-mail? Przykładowo – iCloud Mail pokazuje małą pieczątkę ze znakiem wyboru, Gmail – zieloną...
Dobre praktyki, Pytania i odpowiedzi
ESP (ang. Email Service Provider) to usługa oparta na oprogramowaniu służącym do dystrybucji poczty elektronicznej, często w oparciu o własne serwery, zoptymalizowane pod kątem dużego (masowego) ruchu. Wiele z...
Dobre praktyki, Dostarczalność email
Czym jest dostarczalność wiadomości email? Rozmawiając z właścicielami sklepów eCommerce, specjalistami od marketingu lub czytając różne publikacje na temat komunikacji email coraz częściej można odnieść wrażenie, że wyłącznym kryterium...
Dobre praktyki, Maile marketingowe, Maile transakcyjne
Materiał powstał przy współpracy z CyberFolks, który pomoże Ci wybrać i zakupić domenę i dostarcza usługi hostingowe dla tysięcy Klientów w Polsce. Jak połączyć rozwiązanie w zakresie hostingu stron...
EmailLabs początkowo obsłuży wysyłki Bloomreach (dawniej Exponea) dla polskich klientów e-commerce i retail, a w perspektywie również dla klientów w innych krajach CEE. „Wybieramy EmailLabs ze względu na wysoką...
Bezpieczeństwo, GDPR, Porównania
EOG a RODO W zakresie przekazywania danych poza EOG należy wspomnieć o dwóch podstawowych grupach; wyróżniamy kraje względem których Komisja Europejska wydała decyzję stwierdzającą prawidłowy poziom ochrony danych...
Wraz z pojawieniem się pandemii Covid-19, wiele marek zostało postawionych przed sporym wyzwaniem aby w krótkim czasie przystosować się do zmienionej rzeczywistości oraz nowego podejścia konsumentów i zreorganizować swoje...
Wystąpiliśmy w podcaście #TPayPodcast! Odcinek z naszym udziałem już jest w sieci, a w nim rozmowa Dyrektora IT EmailLabs Marcina Kujawskiego z Martą Kwiatkowską z Tpay.com, w której przybliżają...
Jest nam niezmiernie miło ogłosić nominację EmailLabs do nagrody E-commerce Germany Awards 2022 w kategorii „Best Customer Communication Tool”. Satysfakcja Klientów oraz zdolność do utrzymania i wzmacniania z...
Pozytywnie zakończyliśmy proces certyfikacji BIMI. Wdrożenie tego nowego standardu bezpieczeństwa pozwali nam jeszcze skuteczniej chronić się przed potencjalnym spoofingiem czy phishingiem, zwiększyć poziom OR i CTR, a także budować...
1 minutę