Bezpieczeństwo, Dobre praktyki

Certyfikat S/MIME – odznaka zweryfikowanego adresu e-mail

Natalia Zacholska, 16 May 2022

Odznaka-zweryfikowanego-adresu-e-mail

Podpowiadamy, co to jest certyfikat S/MIME i jak go zdobyć.

Czy zauważyłeś, że obok niektórych nadawców na Twojej skrzynce odbiorczej widoczne jest oznaczenie zweryfikowanego adresu e-mail? Przykładowo – iCloud Mail pokazuje małą pieczątkę ze znakiem wyboru, Gmail – zieloną tarczę lub kółko ze znakiem wyboru, natomiast w Outlooku widoczna jest czerwona wstążka.

Te odznaki zweryfikowanego adresu e-mail, które widoczne są w większości popularnych programów pocztowych, oznaczają, że wiadomość została podpisana cyfrowo przy użyciu pewnego protokołu bezpieczeństwa, jakim jest S/MIME — certyfikat szyfrowania wiadomości e-mail.

Czym jest S/MIME?

S/MIME (ang. Secure/Multipurpose Internet Mail Extensions) to cyfrowy podpis stanowiący potwierdzenie, że adres e-mail nadawcy wiadomości w rzeczywistości został użyty do jej wysłania. „Zweryfikowany adres e-mail” oznacza, że nadawca został potwierdzony za pośrednictwem cyfrowego podpisu.

Protokół S/MIME jest stosowany od około 2004 roku, jednak nadal jest on dość mało popularny i niewielu użytkowników poczty elektronicznej słyszało o tym zabezpieczeniu. Na korzystanie z certyfikatu w wiadomościach mailowych decydują się przede wszystkim instytucje z branży fintech czy bezpośrednio z sektora finansowego np. banki, czy firmy udzielające pożyczek.

Dotyczy to przede wszystkim wiadomości transakcyjnych oraz tych, które zawierają dane wrażliwe – te oprócz podpisywania, są też często szyfrowane. Na podpisywanie wiadomości wspomnianym certyfikatem szyfrowania na swoich skrzynkach służbowych decydują się bardzo często pracownicy różnych firm. Ponieważ jest on wydawany na podstawie dowodu osobistego i zaświadczenia o zatrudnieniu, możesz mieć pewność, że nikt spoza firmy nie zdobędzie takiego poświadczenia dla adresu e-mail w Twojej domenie.

Jak działa S/MIME?

Certyfikat szyfrowania poczty elektronicznej jest jak dwuczęściowy cyfrowy klucz (składający się z klucza publicznego i prywatnego), który jest powiązany z Twoim adresem e-mail. Dzięki użyciu certyfikatu do podpisania wiadomości e-mail, odbiorca będzie wiedział, że mogła ją nadać tylko osoba posiadająca oryginalny certyfikat i klucz prywatny.

Klucz publiczny służy do przesyłania identyfikatora – zawiera on dane dotyczące urzędu certyfikującego, może też uwzględniać dodatkowe informacje na temat tożsamości jego właściciela czy firmy, w której jest zatrudniony.

Teoretycznie każda osoba może stworzyć swój własny certyfikat poświadczający, że to ona jest właścicielem danego adresu mailowego. Jednak w tym miejscu do akcji wkraczają Urzędy Certyfikujące (CA – ang. Certificate Authority). Są to instytucje, które wydają różnego typu certyfikaty – np. certyfikaty SSL do szyfrowania stron internetowych czy VMC do wyświetlania BIMI. Takich głównych urzędów certyfikujących (Root CA) jest stosunkowo niewiele – wszystkie są powszechnie uznawane przez firmy na całym świecie za godne zaufania i bezpieczne.

W przypadku gdy program pocztowy odnotuje obecność błędnego certyfikatu lub wydanego przez jeden z niezatwierdzonych urzędów, wiadomość będzie zawierała oznaczenie „Niezaufany podpis” z poniższym (lub podobnie brzmiącym) komunikatem:

Poczta nie była w stanie zweryfikować autentyczności certyfikatu S/MIME dostarczonego przez “nazwa i adres nadawcy”. Wiadomości podpisane przez tego użytkownika mogą pochodzić z innego źródła.

Jak zdobyć certyfikat S/MIME?

Certyfikat można nabyć bezpośrednio we wspomnianych Urzędach Certyfikacji lub u sprzedawcy detalicznego. Lista CA zatwierdzona przez Google dostępna jest tutaj (https://support.google.com/a/answer/7448393).

Nie powinno mieć znaczenia, z usług którego providera korzystasz. Ważne jest natomiast z jakiego programu pocztowego będziesz wysyłać wiadomości mailowe – np. Outlook, iCloud Mail itp. Większość programów webowych – takich jak Gmail (nie licząc Google Workspace), nie pozwala na dodawanie certyfikatów do wiadomości e-mail podczas wysyłania, ale jeśli używasz np. Outlooka do wysyłania wiadomości od nadawcy w domenie Gmail, to certyfikaty będą działać.

Możesz skorzystać z S/MIME także w przypadku wysyłek realizowanych za pośrednictwem EmailLabs. Samodzielnie zakupiony certyfikat należy nam przekazać w bezpieczny sposób (przez kanał SFTP), tak abyśmy mogli go wdrożyć na naszych serwerach wysyłkowych. Dodanie i utrzymanie certyfikatu możliwe jest od Pakietu PRO – o szczegóły zapytaj naszego doradcę.

Jeżeli zdecydujesz się na wykupienie i wdrożenie S/MIME to pamiętaj, że certyfikaty mają określony termin ważności, po upływie którego należy je odnowić. Urząd certyfikacji może także wycofać (unieważnić) certyfikat przed upływem okresu jego ważności np. w przypadku poświadczenia nieprawdy lub realizowania podejrzanych wysyłek.

Jak certyfikat S/MIME jest wyświetlany na skrzynce odbiorczej?

Odbiorca wiadomości nie musi robić nic specjalnego, aby odznaka była widoczna – certyfikaty są domyślnie obsługiwane przez wiele popularnych programów pocztowych. Tak jak wspomniano na wstępie – identyfikator będzie prezentowany w różny sposób w zależności od używanego programu pocztowego.

Na poniższych grafikach pokazano przykłady, jak wiadomość podpisana cyfrowo będzie wyglądała.

Widok u odbiorcy odbierającego pocztę z konta iCloud na urządzeniu Apple

apple-icloud

Widok u odbiorcy odbierającego pocztę z Gmail na urządzeniu Android

gmail-android

Widok u odbiorcy odbierającego pocztę z Gmail w wersji webowej

gmail-android

Widok u odbiorcy odbierającego pocztę z webowej wersji programu Outlook

desktop-outlook

PODSUMOWANIE

Dzięki S/MIME odbiorca może mieć pewność, iż wiadomość pochodzi od nadawcy, którego adres mailowy został wskazany w polu from.

Należy mieć jednak świadomość, że każdy może zakupić taki certyfikat dla swojego adresu mailowego, a następnie użyć go niezgodnie z prawem. Phishing czy Spoofing to jedne z najpopularniejszych metod oszustwa w Internecie, które wykorzystują wysyłkę wiadomości email łudząco podobnych do tych, które otrzymujemy na co dzień od znanych nam nadawców.

Często jest ona realizowana z tej samej lub nieznacznie różniącej się domeny. Dlatego tak ważne by sam certyfikat S/MIME był uzupełnieniem dla innych zabezpieczeń – takich jak SPF, DKIM, DMARC i dość nowy standard – BIMI.

Oprócz tego bardzo ważne jest stosowanie zasady ograniczonego zaufania wobec otrzymanych wiadomości maili. Jeśli nie masz pewności co do ich wiarygodności, skontaktuj się z nadawcą innym kanałem – np. telefonicznie.

Chcesz wiedzieć więcej? Skontaktuj się z naszymi specjalistami z Biura Obsługi Klienta.

Natalia Zacholska

Natalia Zacholska

Email Deliverability Team Coordinator

Porzuciła karierę biologa eksperymentalnego na rzecz cyfrowego uniwersum i nowych technologii. Lubi wiedzieć coś o wszystkim i wszystko o czymś. Z zapartym tchem śledzi i opisuje nowinki ze świata maili. Wspiera użytkowników EmailLabs w integracji, analizie i raportowaniu dostarczalności, pomaga wdrażać zabezpieczenia domeny i standard BIMI oraz edukuje na temat dobrych praktyk mailingu.

See more articles

Załóż konto w EmailLabs już dziś!

Zadbaj o swoją prywatność i bezpieczeństwo swojej komunikacji!

left right

Najpopularniejsze

Najnowsze wpisy na blogu