Bezpieczeństwo, Dobre praktyki
Bezpieczeństwo, Dobre praktyki
Czy zauważyłeś, że obok niektórych nadawców na Twojej skrzynce odbiorczej widoczne jest oznaczenie zweryfikowanego adresu e-mail? Przykładowo – iCloud Mail pokazuje małą pieczątkę ze znakiem wyboru, Gmail – zieloną tarczę lub kółko ze znakiem wyboru, natomiast w Outlooku widoczna jest czerwona wstążka.
Te odznaki zweryfikowanego adresu e-mail, które widoczne są w większości popularnych programów pocztowych, oznaczają, że wiadomość została podpisana cyfrowo przy użyciu pewnego protokołu bezpieczeństwa, a dokładniej – S/MIME.
(ang. Secure/Multipurpose Internet Mail Extensions) to cyfrowy podpis stanowiący potwierdzenie, że adres e mail nadawcy wiadomości w rzeczywistości został użyty do jej wysłania. „Zweryfikowany adres e-mail” oznacza, że nadawca został potwierdzony za pośrednictwem cyfrowego podpisu.
Protokół S/MIME jest stosowany od około 2004 roku, jednak nadal jest on dość mało popularny i niewielu użytkowników poczty elektronicznej słyszało o tym zabezpieczeniu. Na korzystanie z certyfikatu w wiadomościach mailowych decydują się przede wszystkim instytucje z branży fintech czy bezpośrednio z sektora finansowego np. banki czy firmy udzielające pożyczek. Dotyczy to przede wszystkim wiadomości transakcyjnych oraz tych, które zawierają dane wrażliwe – te oprócz podpisywania, są też często szyfrowane. Na podpisywanie wiadomości wspomnianym certyfikatem na swoich skrzynkach służbowych decydują się bardzo często pracownicy różnych firm. Ponieważ jest on wydawany na podstawie dowodu osobistego i zaświadczenia o zatrudnieniu, możesz mieć pewność, że nikt spoza firmy nie zdobędzie takiego poświadczenia dla adresu e-mail w Twojej domenie.
Certyfikat poczty elektronicznej jest jak dwuczęściowy cyfrowy klucz (składający się z klucza publicznego i prywatnego), który jest powiązany z Twoim adresem e-mail. Dzięki użyciu certyfikatu do podpisania wiadomości e-mail, odbiorca będzie wiedział, że mogła ją nadać tylko osoba posiadająca oryginalny certyfikat i klucz prywatny. Klucz publiczny służy do przesyłania identyfikatora – zawiera on dane dotyczące urzędu certyfikującego, może też uwzględniać dodatkowe informacje na temat tożsamości jego właściciela czy firmy w której jest zatrudniony.
Teoretycznie każda osoba może stworzyć swój własny certyfikat poświadczający, że to ona jest właścicielem danego adresu mailowego. Jednak w tym miejscu do akcji wkraczają Urzędy Certyfikujące (CA – ang. Certificate Authority). Są to instytucje, które wydają różnego typu certyfikaty – np. certyfikaty SSL do szyfrowania stron internetowych czy VMC do wyświetlania BIMI. Takich głównych urzędów certyfikujących (Root CA) jest stosunkowo niewiele – wszystkie są powszechnie uznawane przez firmy na całym świecie za godne zaufania i bezpieczne.
W przypadku gdy program pocztowy odnotuje obecność błędnego certyfikatu lub wydanego przez jeden z niezatwierdzonych urzędów, wiadomość będzie zawierała oznaczenie „Niezaufany podpis” z poniższym (lub podobnie brzmiącym) komunikatem:
Poczta nie była w stanie zweryfikować autentyczności certyfikatu S/MIME dostarczonego przez “nazwa i adres nadawcy”. Wiadomości podpisane przez tego użytkownika mogą pochodzić z innego źródła.
Certyfikat można nabyć bezpośrednio we wspomnianych Urzędach Certyfikacji lub u sprzedawcy detalicznego. Lista CA zatwierdzona przez Google dostępna jest tutaj (https://support.google.com/a/answer/7448393).
Nie powinno mieć znaczenia, z usług którego providera korzystasz. Ważne jest natomiast z jakiego programu pocztowego będziesz wysyłać wiadomości mailowe – np. Outlook, iCloud Mail itp. Większość programów webowych – takich jak Gmail (nie licząc Google Workspace), nie pozwala na dodawanie certyfikatów do wiadomości e-mail podczas wysyłania, ale jeśli używasz np. Outlooka do wysyłania wiadomości od nadawcy w domenie gmail, to certyfikaty będą działać.
Możesz skorzystać z S/MIME także w przypadku wysyłek realizowanych za pośrednictwem EmailLabs. Samodzielnie zakupiony certyfikat należy nam przekazać w bezpieczny sposób (przez kanał SFTP), tak abyśmy mogli go wdrożyć na naszych serwerach wysyłkowych. Dodanie i utrzymanie certyfikatu możliwe jest od Pakietu PRO – o szczegóły zapytaj naszego doradcę.
Jeżeli zdecydujesz się na wykupienie i wdrożenie S/MIME to pamiętaj, że certyfikaty mają określony termin ważności, po upływie którego należy je odnowić. Urząd certyfikacji może także wycofać (unieważnić) certyfikat przed upływem okresu jego ważności np. w przypadku poświadczenia nieprawdy lub realizowania podejrzanych wysyłek.
Odbiorca wiadomości nie musi robić nic specjalnego, aby odznaka była widoczna – certyfikaty są domyślnie obsługiwane przez wiele popularnych programów pocztowych. Tak jak wspomniano na wstępie – identyfikator będzie prezentowany w różny sposób w zależności od używanego programu pocztowego.
Na poniższych grafikach pokazano przykłady jak wiadomość podpisana cyfrowo będzie wyglądała.
Widok u odbiorcy odbierającego pocztę z konta iCloud na urządzeniu Apple
Widok u odbiorcy odbierającego pocztę z Gmail na urządzeniu Android
Widok u odbiorcy odbierającego pocztę z Gmail w wersji webowej
Widok u odbiorcy odbierającego pocztę z webowej wersji programu Outlook
Dzięki S/MIME odbiorca może mieć pewność iż wiadomość pochodzi od nadawcy, którego adres mailowy został wskazany w polu from. Należy mieć jednak świadomość, że każdy może zakupić taki certyfikat dla swojego adresu mailowego a następnie użyć go niezgodnie z prawem. Phishing czy Spoofing to jedne z najpopularniejszych metod oszustwa w Internecie, które wykorzystują wysyłkę wiadomości email łudząco podobnych do tych, które otrzymujemy na co dzień od znanych nam nadawców. Często jest ona realizowana z tej samej lub nieznacznie różniącej się domeny. Dlatego tak ważne by sam S/MIME był uzupełnieniem dla innych zabezpieczeń – takich jak SPF, DKIM, DMARC i dość nowy standard – BIMI. Oprócz tego, bardzo ważne jest stosowanie zasady ograniczonego zaufania wobec otrzymanych wiadomości maili. Jeśli nie masz pewności co do ich wiarygodności, skontaktuj się z nadawcą innym kanałem – np. telefonicznie.
Chcesz wiedzieć więcej? Skontaktuj się z naszymi specjalistami z Biura Obsługi Klienta.
Apple Mail, Dostarczalność email
Choć nowa polityka prywatności dla użytkowników Apple została wprowadzona już we wrześniu 2021 (wraz ze startem systemu iOS 15 i macOS Monterey), jej wpływ na otwarcia wiadomości e-mail oraz...
Bezpieczeństwo, Dobre praktyki
mBank jako pierwszy bank w naszym kraju wypowiedział wojnę działaniom cyberprzestępców i wdrożył weryfikację nadawcy w najpopularniejszych skrzynkach e-mail, z których korzystają jego klienci. Rozwiązania te pomagają w sposób...
Socjotechnika, czy mówiąc inaczej inżynieria społeczna to każde działanie wpływające na inną osobę w celu nakłonienia jej do podjęcia pewnych działań, które mogą być niezgodne z osobistym interesem tej...
Best practices, Dobre praktyki
Maile promocyjne zawierają zazwyczaj bardzo dużo informacji – mówimy tu nie tylko o treści, ale też grafikach przedstawiających produkty objęte promocją, odnośnikach do różnych zakładek na stronie www, przyciskach...
Ignorowanie błędów mających miejsce w poprzednich latach oraz niewyciąganie odpowiednich wniosków, to podstawowe ‘grzeszki’ marketerów przygotowujących kampanie na Black Friday – dzień uznawany za początek przedświątecznego szaleństwa zakupów, będący...
Dobre praktyki, Dostarczalność email
E-commerce rośnie w astronomicznym tempie, a wraz z nim kanał, który charakteryzuje się najwyższym czynnikiem konwersji w tej branży – E-mail. Wg raportu Statista z 2017 roku, globalny handel...
Spółka publiczna Vercom S.A. do której należy projekt EmailLabs, z sukcesem przeszła audyt nadzoru ISO 27001 oraz certyfikację ISO 27018. Audyty są potwierdzeniem stosowania najlepszych praktyk systemu zarządzania...
Startujemy z cyklem CyberLabs poświęconym najnowszym informacjom ze świata cyberbezpieczeństwa. Nasz Pentester na praktycznych przykładach podpowie, jak przygotować się na zagrożenia i jak zminimalizować skutki ataków. Przedstawiamy sylwetkę Michała,...
Antyspam, Bezpieczeństwo, BIMI, Dobre praktyki, Nowe funkcje, Nowości
Organizacja AuthIndicators Working Group (BIMI Group) ogłosiła niedawno, że systemy Apple takie jak iOS 16, iPadOS 16 i macOS Ventura będą wspierać BIMI już od jesieni tego roku. Tym...
Dobre praktyki, Dostarczalność email, Maile transakcyjne
Aby komunikacja E-mail mogła przynosić efekty, musi być odpowiednio realizowana. Obok kwestii technicznych, bardzo ważne jest budowanie pozytywnego zaangażowania subskrybentów w komunikację E-mail. Obecnie każdego dnia konsumenci otrzymują liczne komunikaty...
Dobre praktyki, Pytania i odpowiedzi
ESP (ang. Email Service Provider) to usługa oparta na oprogramowaniu służącym do dystrybucji poczty elektronicznej, często w oparciu o własne serwery, zoptymalizowane pod kątem dużego (masowego) ruchu. Wiele z...
Dobre praktyki, Dostarczalność email
Czym jest dostarczalność wiadomości email? Rozmawiając z właścicielami sklepów eCommerce, specjalistami od marketingu lub czytając różne publikacje na temat komunikacji email coraz częściej można odnieść wrażenie, że wyłącznym kryterium...
Bezpieczeństwo, GDPR, Porównania
EOG a RODO W zakresie przekazywania danych poza EOG należy wspomnieć o dwóch podstawowych grupach; wyróżniamy kraje względem których Komisja Europejska wydała decyzję stwierdzającą prawidłowy poziom ochrony danych...
Wraz z pojawieniem się pandemii Covid-19, wiele marek zostało postawionych przed sporym wyzwaniem aby w krótkim czasie przystosować się do zmienionej rzeczywistości oraz nowego podejścia konsumentów i zreorganizować swoje...
Jak uniknąć zatrzymania wysyłanych wiadomości przez filtr spamu? Skrzynka odbiorcza Twoich klientów z pewnością ma ustawione zabezpieczenia dla ochrony przed niechcianą korespondencją. Jednak, aby pozytywnie przejść ich walidację, wystarczy...
Od wielu lat jednym z najczęściej monitorowanych wskaźników mierzących efektywność zrealizowanych kampanii mailowych był współczynnik otwarć (ang. Open rate) czyli stosunek wiadomości otwartych do wysłanych. Za sprawą aktualizacji polityki...