Bezpieczeństwo, Dobre praktyki

Odznaka zweryfikowanego adresu e-mail

Natalia Zacholska, 16 maja 2022

Odznaka-zweryfikowanego-adresu-e-mail

Czy zauważyłeś, że obok niektórych nadawców na Twojej skrzynce odbiorczej widoczne jest oznaczenie zweryfikowanego adresu e-mail? Przykładowo – iCloud Mail pokazuje małą pieczątkę ze znakiem wyboru, Gmail – zieloną tarczę lub kółko ze znakiem wyboru, natomiast w Outlooku widoczna jest czerwona wstążka.

Te odznaki zweryfikowanego adresu e-mail, które widoczne są w większości popularnych programów pocztowych, oznaczają, że wiadomość została podpisana cyfrowo przy użyciu pewnego protokołu bezpieczeństwa, a dokładniej – S/MIME.

Czym jest S/MIME?

(ang. Secure/Multipurpose Internet Mail Extensions) to cyfrowy podpis stanowiący potwierdzenie, że adres e mail nadawcy wiadomości w rzeczywistości został użyty do jej wysłania. „Zweryfikowany adres e-mail” oznacza, że nadawca został potwierdzony za pośrednictwem cyfrowego podpisu.

Protokół S/MIME jest stosowany od około 2004 roku, jednak nadal jest on dość mało popularny i niewielu użytkowników poczty elektronicznej słyszało o tym zabezpieczeniu. Na korzystanie z certyfikatu w wiadomościach mailowych decydują się przede wszystkim instytucje z branży fintech czy bezpośrednio z sektora finansowego np. banki czy firmy udzielające pożyczek. Dotyczy to przede wszystkim wiadomości transakcyjnych oraz tych, które zawierają dane wrażliwe – te oprócz podpisywania, są też często szyfrowane. Na podpisywanie wiadomości wspomnianym certyfikatem na swoich skrzynkach służbowych decydują się bardzo często pracownicy różnych firm. Ponieważ jest on wydawany na podstawie dowodu osobistego i zaświadczenia o zatrudnieniu, możesz mieć pewność, że nikt spoza firmy nie zdobędzie takiego poświadczenia dla adresu e-mail w Twojej domenie.

Jak działa S/MIME?

Certyfikat poczty elektronicznej jest jak dwuczęściowy cyfrowy klucz (składający się z klucza publicznego i prywatnego), który jest powiązany z Twoim adresem e-mail. Dzięki użyciu certyfikatu do podpisania wiadomości e-mail, odbiorca będzie wiedział, że mogła ją nadać tylko osoba posiadająca oryginalny certyfikat i klucz prywatny. Klucz publiczny służy do przesyłania identyfikatora – zawiera on dane dotyczące urzędu certyfikującego, może też uwzględniać dodatkowe informacje na temat tożsamości jego właściciela czy firmy w której jest zatrudniony.

Teoretycznie każda osoba może stworzyć swój własny certyfikat poświadczający, że to ona jest właścicielem danego adresu mailowego. Jednak w tym miejscu do akcji wkraczają Urzędy Certyfikujące (CA – ang. Certificate Authority). Są to instytucje, które wydają różnego typu certyfikaty – np. certyfikaty SSL do szyfrowania stron internetowych czy VMC do wyświetlania BIMI. Takich głównych urzędów certyfikujących (Root CA) jest stosunkowo niewiele – wszystkie są powszechnie uznawane przez firmy na całym świecie za godne zaufania i bezpieczne.

W przypadku gdy program pocztowy odnotuje obecność błędnego certyfikatu lub wydanego przez jeden z niezatwierdzonych urzędów, wiadomość będzie zawierała oznaczenie „Niezaufany podpis” z poniższym (lub podobnie brzmiącym) komunikatem:

Poczta nie była w stanie zweryfikować autentyczności certyfikatu S/MIME dostarczonego przez „nazwa i adres nadawcy”. Wiadomości podpisane przez tego użytkownika mogą pochodzić z innego źródła.

Jak zdobyć certyfikat S/MIME?

Certyfikat można nabyć bezpośrednio we wspomnianych Urzędach Certyfikacji lub u sprzedawcy detalicznego. Lista CA zatwierdzona przez Google dostępna jest tutaj (https://support.google.com/a/answer/7448393).

Nie powinno mieć znaczenia, z usług którego providera korzystasz. Ważne jest natomiast z jakiego programu pocztowego będziesz wysyłać wiadomości mailowe – np. Outlook, iCloud Mail itp. Większość programów webowych – takich jak Gmail (nie licząc Google Workspace), nie pozwala na dodawanie certyfikatów do wiadomości e-mail podczas wysyłania, ale jeśli używasz np. Outlooka do wysyłania wiadomości od nadawcy w domenie gmail, to certyfikaty będą działać.

Możesz skorzystać z S/MIME także w przypadku wysyłek realizowanych za pośrednictwem EmailLabs. Samodzielnie zakupiony certyfikat należy nam przekazać w bezpieczny sposób (przez kanał SFTP), tak abyśmy mogli go wdrożyć na naszych serwerach wysyłkowych. Dodanie i utrzymanie certyfikatu możliwe jest od Pakietu PRO – o szczegóły zapytaj naszego doradcę.

Jeżeli zdecydujesz się na wykupienie i wdrożenie S/MIME to pamiętaj, że certyfikaty mają określony termin ważności, po upływie którego należy je odnowić. Urząd certyfikacji może także wycofać (unieważnić) certyfikat przed upływem okresu jego ważności np. w przypadku poświadczenia nieprawdy lub realizowania podejrzanych wysyłek.

Jak certyfikat S/MIME jest wyświetlany na skrzynce odbiorczej?

Odbiorca wiadomości nie musi robić nic specjalnego, aby odznaka była widoczna – certyfikaty są domyślnie obsługiwane przez wiele popularnych programów pocztowych. Tak jak wspomniano na wstępie – identyfikator będzie prezentowany w różny sposób w zależności od używanego programu pocztowego.

Na poniższych grafikach pokazano przykłady jak wiadomość podpisana cyfrowo będzie wyglądała.

 

Widok u odbiorcy odbierającego pocztę z konta iCloud na urządzeniu Apple

apple-icloud

 

Widok u odbiorcy odbierającego pocztę z Gmail na urządzeniu Android

gmail-android

 

Widok u odbiorcy odbierającego pocztę z Gmail w wersji webowej

gmail-android

 

Widok u odbiorcy odbierającego pocztę z webowej wersji programu Outlook

desktop-outlook

PODSUMOWANIE

Dzięki S/MIME odbiorca może mieć pewność iż wiadomość pochodzi od nadawcy, którego adres mailowy został wskazany w polu from. Należy mieć jednak świadomość, że każdy może zakupić taki certyfikat dla swojego adresu mailowego a następnie użyć go niezgodnie z prawem. Phishing czy Spoofing to jedne z najpopularniejszych metod oszustwa w Internecie, które wykorzystują wysyłkę wiadomości email łudząco podobnych do tych, które otrzymujemy na co dzień od znanych nam nadawców. Często jest ona realizowana z tej samej lub nieznacznie różniącej się domeny. Dlatego tak ważne by sam S/MIME był uzupełnieniem dla innych zabezpieczeń – takich jak SPF, DKIM, DMARC i dość nowy standard – BIMI. Oprócz tego, bardzo ważne jest stosowanie zasady ograniczonego zaufania wobec otrzymanych wiadomości maili. Jeśli nie masz pewności co do ich wiarygodności, skontaktuj się z nadawcą innym kanałem – np. telefonicznie.

Chcesz wiedzieć więcej? Skontaktuj się z naszymi specjalistami z Biura Obsługi Klienta.

Najczęściej czytane