Bezpieczeństwo, Dobre praktyki
Bezpieczeństwo, Dobre praktyki
Czy zauważyłeś, że obok niektórych nadawców na Twojej skrzynce odbiorczej widoczne jest oznaczenie zweryfikowanego adresu e-mail? Przykładowo – iCloud Mail pokazuje małą pieczątkę ze znakiem wyboru, Gmail – zieloną tarczę lub kółko ze znakiem wyboru, natomiast w Outlooku widoczna jest czerwona wstążka.
Te odznaki zweryfikowanego adresu e-mail, które widoczne są w większości popularnych programów pocztowych, oznaczają, że wiadomość została podpisana cyfrowo przy użyciu pewnego protokołu bezpieczeństwa, jakim jest S/MIME — certyfikat szyfrowania wiadomości e-mail.
S/MIME (ang. Secure/Multipurpose Internet Mail Extensions) to cyfrowy podpis stanowiący potwierdzenie, że adres e-mail nadawcy wiadomości w rzeczywistości został użyty do jej wysłania. „Zweryfikowany adres e-mail” oznacza, że nadawca został potwierdzony za pośrednictwem cyfrowego podpisu.
Protokół S/MIME jest stosowany od około 2004 roku, jednak nadal jest on dość mało popularny i niewielu użytkowników poczty elektronicznej słyszało o tym zabezpieczeniu. Na korzystanie z certyfikatu w wiadomościach mailowych decydują się przede wszystkim instytucje z branży fintech czy bezpośrednio z sektora finansowego np. banki, czy firmy udzielające pożyczek.
Dotyczy to przede wszystkim wiadomości transakcyjnych oraz tych, które zawierają dane wrażliwe – te oprócz podpisywania, są też często szyfrowane. Na podpisywanie wiadomości wspomnianym certyfikatem szyfrowania na swoich skrzynkach służbowych decydują się bardzo często pracownicy różnych firm. Ponieważ jest on wydawany na podstawie dowodu osobistego i zaświadczenia o zatrudnieniu, możesz mieć pewność, że nikt spoza firmy nie zdobędzie takiego poświadczenia dla adresu e-mail w Twojej domenie.
Certyfikat szyfrowania poczty elektronicznej jest jak dwuczęściowy cyfrowy klucz (składający się z klucza publicznego i prywatnego), który jest powiązany z Twoim adresem e-mail. Dzięki użyciu certyfikatu do podpisania wiadomości e-mail, odbiorca będzie wiedział, że mogła ją nadać tylko osoba posiadająca oryginalny certyfikat i klucz prywatny.
Klucz publiczny służy do przesyłania identyfikatora – zawiera on dane dotyczące urzędu certyfikującego, może też uwzględniać dodatkowe informacje na temat tożsamości jego właściciela czy firmy, w której jest zatrudniony.
Teoretycznie każda osoba może stworzyć swój własny certyfikat poświadczający, że to ona jest właścicielem danego adresu mailowego. Jednak w tym miejscu do akcji wkraczają Urzędy Certyfikujące (CA – ang. Certificate Authority). Są to instytucje, które wydają różnego typu certyfikaty – np. certyfikaty SSL do szyfrowania stron internetowych czy VMC do wyświetlania BIMI. Takich głównych urzędów certyfikujących (Root CA) jest stosunkowo niewiele – wszystkie są powszechnie uznawane przez firmy na całym świecie za godne zaufania i bezpieczne.
W przypadku gdy program pocztowy odnotuje obecność błędnego certyfikatu lub wydanego przez jeden z niezatwierdzonych urzędów, wiadomość będzie zawierała oznaczenie „Niezaufany podpis” z poniższym (lub podobnie brzmiącym) komunikatem:
Poczta nie była w stanie zweryfikować autentyczności certyfikatu S/MIME dostarczonego przez “nazwa i adres nadawcy”. Wiadomości podpisane przez tego użytkownika mogą pochodzić z innego źródła.
Certyfikat można nabyć bezpośrednio we wspomnianych Urzędach Certyfikacji lub u sprzedawcy detalicznego. Lista CA zatwierdzona przez Google dostępna jest tutaj (https://support.google.com/a/answer/7448393).
Nie powinno mieć znaczenia, z usług którego providera korzystasz. Ważne jest natomiast z jakiego programu pocztowego będziesz wysyłać wiadomości mailowe – np. Outlook, iCloud Mail itp. Większość programów webowych – takich jak Gmail (nie licząc Google Workspace), nie pozwala na dodawanie certyfikatów do wiadomości e-mail podczas wysyłania, ale jeśli używasz np. Outlooka do wysyłania wiadomości od nadawcy w domenie Gmail, to certyfikaty będą działać.
Możesz skorzystać z S/MIME także w przypadku wysyłek realizowanych za pośrednictwem EmailLabs. Samodzielnie zakupiony certyfikat należy nam przekazać w bezpieczny sposób (przez kanał SFTP), tak abyśmy mogli go wdrożyć na naszych serwerach wysyłkowych. Dodanie i utrzymanie certyfikatu możliwe jest od Pakietu PRO – o szczegóły zapytaj naszego doradcę.
Jeżeli zdecydujesz się na wykupienie i wdrożenie S/MIME to pamiętaj, że certyfikaty mają określony termin ważności, po upływie którego należy je odnowić. Urząd certyfikacji może także wycofać (unieważnić) certyfikat przed upływem okresu jego ważności np. w przypadku poświadczenia nieprawdy lub realizowania podejrzanych wysyłek.
Odbiorca wiadomości nie musi robić nic specjalnego, aby odznaka była widoczna – certyfikaty są domyślnie obsługiwane przez wiele popularnych programów pocztowych. Tak jak wspomniano na wstępie – identyfikator będzie prezentowany w różny sposób w zależności od używanego programu pocztowego.
Na poniższych grafikach pokazano przykłady, jak wiadomość podpisana cyfrowo będzie wyglądała.
Dzięki S/MIME odbiorca może mieć pewność, iż wiadomość pochodzi od nadawcy, którego adres mailowy został wskazany w polu from.
Należy mieć jednak świadomość, że każdy może zakupić taki certyfikat dla swojego adresu mailowego, a następnie użyć go niezgodnie z prawem. Phishing czy Spoofing to jedne z najpopularniejszych metod oszustwa w Internecie, które wykorzystują wysyłkę wiadomości email łudząco podobnych do tych, które otrzymujemy na co dzień od znanych nam nadawców.
Często jest ona realizowana z tej samej lub nieznacznie różniącej się domeny. Dlatego tak ważne by sam certyfikat S/MIME był uzupełnieniem dla innych zabezpieczeń – takich jak SPF, DKIM, DMARC i dość nowy standard – BIMI.
Oprócz tego bardzo ważne jest stosowanie zasady ograniczonego zaufania wobec otrzymanych wiadomości maili. Jeśli nie masz pewności co do ich wiarygodności, skontaktuj się z nadawcą innym kanałem – np. telefonicznie.
Chcesz wiedzieć więcej? Skontaktuj się z naszymi specjalistami z Biura Obsługi Klienta.
Dobre praktyki, Gmail, Yahoogle
Gmail zapowiada, że od 1 lutego 2024 wysyłający wiadomości email do swoich klientów będą musieli liczyć się ze sporymi zmianami w zakresie wymagań, jakie należy spełniać, aby cieszyć się...
GDPR, Zgodność i bezpieczeństwo
Spółka Vercom S.A., która prowadzi projekt EmailLabs, z sukcesem przeszła kolejną certyfikację na normę ISO/IEC 27001 oraz ISO 27018. Wdrożony w Vercom S.A. System Zarządzania Bezpieczeństwa Informacji 0bejmuje tworzenie,...
To, że z roku na rok kampanii phishingowych jest coraz więcej i że ten trend będzie tylko rósł, raczej nikogo nie zdziwi. Wkrótce, może stać się to najpoważniejszym problemem...
Spośród wszystkich rzeczy, które mogą pójść źle podczas wysyłania e-maili marketingowych i transakcyjnych, trafienie do SPAMu jest prawdopodobnie najbardziej kłopotliwe – i łatwo zrozumieć, dlaczego. W końcu zależy nam...
DMARC, czyli Domain-based Message Authentication, Reporting, and Conformance jest protokołem uwierzytelniania, zasad i raportowania poczty elektronicznej. Jego zadaniem jest ochrona przed atakami phishingowymi i pomoc w zwalczaniu innych prób...
Wraz z pojawieniem się pandemii Covid-19, wiele marek zostało postawionych przed sporym wyzwaniem aby w krótkim czasie przystosować się do zmienionej rzeczywistości oraz nowego podejścia konsumentów i zreorganizować...
Czym jest darknet? Otoczony przez wiele lat tajemnicą i nierzadko okrzyknięty mrocznymi mianami, darknet jest obszarem internetu, który u niejednej osoby wzbudza ciekawość, fascynacje a także strach. Ta “niewidoczna” część...
Kilka tygodni temu w Vercom rozpoczęliśmy proces wdrażania postanowień dyrektywy NIS2 i przygotowanie do wdrożenia wymagań wynikających z Rozporządzenia w sprawie operacyjnej odporności cyfrowej DORA. Jakie Korzyści Niosą ze...
Jeśli śledzisz nasze publikacje na bieżąco, na pewno wiesz o zmianach w wymaganiach dotyczących nadawców wiadomości mailowych wprowadzanych przez globalnych providerów Gmail i Yahoo. Od pierwszego lutego 2024 roku...
Czym jest darknet? Otoczony przez wiele lat tajemnicą i nierzadko okrzyknięty mrocznymi mianami, darknet jest obszarem internetu, który u niejednej osoby wzbudza ciekawość, fascynacje a także strach. Ta “niewidoczna” część...
Kilka tygodni temu w Vercom rozpoczęliśmy proces wdrażania postanowień dyrektywy NIS2 i przygotowanie do wdrożenia wymagań wynikających z Rozporządzenia w sprawie operacyjnej odporności cyfrowej DORA. Jakie Korzyści Niosą ze...
Jeśli śledzisz nasze publikacje na bieżąco, na pewno wiesz o zmianach w wymaganiach dotyczących nadawców wiadomości mailowych wprowadzanych przez globalnych providerów Gmail i Yahoo. Od pierwszego lutego 2024 roku...
Czy zdarzyło Ci się kiedykolwiek wysłać e-mail w pośpiechu i zaraz tego pożałować? Zdarza się to częściej, niż byśmy chcieli przyznać. Jeśli kiedykolwiek ponownie znajdziesz się w takiej...
Jednym z bezpiecznych i łatwych sposobów na śledzenie cyfrowych interakcji jest zapisywanie wiadomości e-mail w formacie PDF. Czy wiesz jednak, jakie są najlepsze sposoby na łatwe przekształcanie e-maili w...
Wysyłanie dużych plików online może czasami przypominać manewrowanie przez labirynt z nieoczekiwanymi zwrotami akcji. Frustracja związana z przekroczeniem limitów rozmiaru załącznika lub powolnym przesyłaniem może być aż nazbyt realna....
Czy protokoły e-mail, takie jak IMAP, POP3 i SMTP, są dla Ciebie zagadką? Nie martw się – ten artykuł wyjaśni wszystko. Jeśli kiedykolwiek zastanawiałeś się, jak wysyłane i odbierane...
W 2024 roku oczy wielu nadawców zwrócone zostały w stronę globalnych providerów. Gmail oraz Yahoo od lutego zapoczątkowali ciąg zmian, które dotyczą głównie, ale nie tylko nadawców masowych. Pierwsze...
Dobre praktyki, Email Marketing
Email marketing B2B – to termin, który już prawdopodobnie słyszałeś, ale co tak naprawdę oznacza? Na czym polega i jak skutecznie realizować komunikację biznesową, by osiągać wysoką konwersję? W...