Ваша электронная почта в безопасности?

Aprile 12, 2021
|In Для Интернета, Безопасность и конфиденциальность, Популярные
|By Андреас Арно Майкл Фойт

Ваша электронная почта в безопасности?

Сегодня средства связи и компьютерные системы подвергаются все большей опасности внешних атак, и даже если мы думаем, что находимся в безопасности, потому что считаем, что приняли точные меры предосторожности, это не так. К настоящему времени новости продолжаются в непрекращающемся темпе, 500 миллионов учетных записей взломаны на Facebook, миллионы учетных записей взломаны на gmail, бесплатных или других сервисах, и мы не понимаем, что мы тоже, вопреки себе, неосознанно, вовлечены и часто стать средством распространения спамеров и преступников, которые используют нас в целях, о которых мы даже отдаленно не хотим знать. Все становится очень сложно, когда мы говорим о почтовых ящиках, используемых в профессиональных и/или рабочих целях, учитывая, что Гарант конфиденциальности начал налагать довольно суровые санкции, которые могут даже поставить бизнес на колени. Мы должны защитить себя, а чтобы защитить себя, мы должны думать о том, что нужно делать выше по течению, а не тогда, когда произошло бедствие.

Для тех, кто использует Gmail

Многие спрашивают меня, какой почтовый сервис самый безопасный. Я должен их разочаровать, его не существует. Или еще лучше, это не правильный вопрос. Существуют платные услуги, бесплатные услуги, и вам необходимо знать, что вы должны делать, чтобы быть в безопасности или, в любом случае, гарантировать своим клиентам безопасность доверенных нам данных. Одной из наиболее часто используемых платформ даже фрилансерами является GMAIL. Обычно вы получаете электронное письмо от вашего бухгалтера по адресу studiocommercialista@gmail.com. А еще довольно широко распространено мнение, что GMAIL — одна из самых безопасных почтовых служб в мире. Но это не так.

Между прочим, GMAIL, используемый в его бесплатной конфигурации, не является безопасным, потому что ни одна электронная почта не является безопасной на 100%, но более того, бесплатная служба именно бесплатна и имеет ограничения, действительно, она должна иметь ограничения. Вы должны прочитать соглашение об оказании услуг, прежде чем доверить свои сообщения третьим лицам. Читая контракты, мы понимаем, что ответственность, которую берет на себя Google, очень мала в случае утечки данных или, что еще лучше, никакой ответственности. Если они взломают ваш почтовый ящик и украдут сохраненные данные, отправленные электронные письма, полученные электронные письма, это ваши проблемы, и если вы не предприняли достаточных мер для защиты данных ваших клиентов, Гарант конфиденциальности попросит вас учесть это. наложение штрафов, которые могут нанести большой вред.

Использование платного GMAIL многое меняет. Сам гугл так говорит. Тем не менее, он стоит от 4.68 евро в месяц за почтовый ящик до 15,60 евро в месяц, и по совпадению одна из выделенных функций гласит: «Управление и контроль безопасности».

В версии 15,60/месяц заявлено: «Расширенные возможности управления и контроля безопасности, включая Vault и расширенное управление конечными точками». Поскольку проблема заключается не только в безопасности структуры, Google подчеркивает тот факт, что необходимо также «обучать» пользователя необходимости принятия правильных мер контроля и безопасности в отношении его поведения, начиная с инструментов, которые он использует для доступа к своим почтовым ящикам. , почта, Android, IOS или почтовый клиент, такой как Thunderbird или Outlook или любой другой.

Если затем рассуждать о том, что стоимость услуги выражается за коробку, то в случае артикулированного исследования с несколькими людьми легко представить, что общая стоимость хорошей коммуникационной структуры и отношений с внешним миром может стать немалая ноша.

Все это означает: вам нужна безопасность? плати и тоже соленый и учись вести себя правильно.

Для всех, кто использует Microsoft Exchange

По сути ничего не меняется по сравнению с GMAIL. Принцип тот же, цены одинаковые и например ежемесячная стоимость 12.50 Долларов также включает в себя Office 365

Защита конфиденциальности, которая обманывает вас.

Privacy Shield, или «щит конфиденциальности» между ЕС и США, представляет собой механизм самосертификации для компаний, зарегистрированных в США, которые хотят получать персональные данные из Европейского Союза. В частности, компании обязуются соблюдать содержащиеся в нем принципы и предоставлять заинтересованным сторонам (т.е. всем субъектам, чьи персональные данные были переданы из Европейского Союза) адекватные средства защиты под угрозой исключения из списка сертифицированных компаний (« Privacy Shield List») Министерством торговли США и возможными санкциями Федеральной торговой комиссии. Европейская комиссия считает, что система обеспечивает адекватный уровень защиты персональных данных, передаваемых от лица в ЕС компании, зарегистрированной в Соединенных Штатах, и что, таким образом, Щит представляет собой источник правовых гарантий в отношении передачи данные под вопросом.

Щит конфиденциальности между ЕС и США действует с 1 августа 2016 года.

Программа Shield применима ко всем категориям персональных данных, передаваемых из ЕС в США, включая деловую информацию, данные о состоянии здоровья или кадровых ресурсах, при условии, что американская компания, получающая такие данные, самостоятельно подтвердила свое согласие со схемой.

К сожалению, договор был нарушен.

Европейский суд изучил первое решение (2010/87 о стандартных договорных положениях) и пришел к выводу, что оно, хотя и основано на договорных положениях, которые как таковые не могут обязывать государства соблюдать их, содержит эффективные механизмы, которые позволяют на практике , чтобы обеспечить соблюдение уровня защиты, требуемого законодательством Союза, и приостановку или запрет передачи персональных данных на основании этих положений в случае нарушения этих положений или невозможности их соблюдения.

Второе решение (2016/1250 об адекватности защиты, предлагаемой щитом ЕС-США) вместо этого устанавливает приоритет потребностей, связанных с национальной безопасностью, общественными интересами и соблюдением законодательства США, что позволяет вмешиваться в основные права лиц, чьи данные передаются в эту третью страну.

По мнению Суда, ограничения на защиту персональных данных, вытекающие из внутреннего законодательства Соединенных Штатов, не сформулированы таким образом, чтобы отвечать требованиям, по существу эквивалентным тем, которые требуются в законодательстве ЕС в соответствии с принципом пропорциональности и строгая необходимость.

Так? Какое отношение Privacy Shield имеет к моим электронным письмам?

В двух словах это означает, что такие системы, как Gmail и Microsoft Exchange, не защищены Privacy Shield и должны учитываться во время Аудита и Конфиденциальности по дизайну, чтобы должным образом информировать своих клиентов с помощью правильного DPA (Защита данных). Оценка).

Подведем итоги: Gmail p Microsoft Exchange да, если платный, то по какой цене? Это зависит от того, сколько почтовых учетных записей вы хотите использовать и хотите ли вы использовать свой собственный корпоративный домен. И в любом случае за пределами Privacy Shield, что подвергает нас риску в случае вмешательства Гаранта конфиденциальности с санкциями, которые могут стать значительными.

Ну, мы поняли! Но какое это имеет отношение к безопасности нашей электронной почты? Спокойно и прохладно, мы идем! Немного спокойствия!

Принцип владения персональными данными

Давайте установим фиксированную точку, а именно то, что Гарант конфиденциальности установил принцип: персональные данные не являются вашими, но принадлежат людям, к которым относятся эти данные.

Таким образом, на основании законодательства, регулирующего это право, каждое физическое лицо может заявлять, что его персональные данные собираются и обрабатываются третьими лицами только в соответствии с правилами и принципами, установленными законами о предмете, как Европейского Союза, так и отдельных национальных государств. Цель законодательства — дать заинтересованному лицу право распоряжаться своими данными, обеспечив человеку контроль над всей информацией, касающейся его частной жизни, и в то же время предоставив ему инструменты для защиты этой информации.

И ради точности:

  • Каждый имеет право на защиту персональных данных, касающихся его.

  • Такие данные должны обрабатываться добросовестно, для конкретных целей и на основании согласия субъекта данных или на другом законном основании, установленном законом. Каждый человек имеет право на доступ к собранным о нем данным и на их исправление.

  • Соблюдение этих правил подлежит контролю со стороны независимого органа.

На основании того, что было написано выше, становится ясно, что безопасность своих ИТ и внешних коммуникационных систем является очень актуальной темой, которая обязывает всех нас задуматься о том, как мы привыкли управлять своими бизнес-процессами.

Правильное поведение для большей безопасности

Первое, что мы должны помнить, это то, что первое решение — это наше поведение. Каковы правильные модели поведения? Я перечисляю несколько. К сожалению, при работе с соавторами и сотрудниками бывает, что не все придерживаются правильного и равного поведения, всегда кто-то ускользает из-за «забора» и нужно быть очень осторожным. Но если вы начнете понимать, что персональные данные, которые используются в коммуникациях, являются собственностью соответствующих людей, к которым эти данные относятся, вам будет легче добиться ответственного и внимательного поведения и избежать многих проблем.

  1. Не открывайте вложения, не проверив отправителя электронной почты.
  2. Не используйте автоматическое открытие вложений.
  3. Всегда проверяйте отправителя полученного письма
  4. Правильно используйте все поля письма
  5. Правильно используйте поле «Тема» и кратко и правильно опишите тему письма. Это полезно для тех, кто получает электронное письмо, потому что они сразу замечают, было ли электронное письмо написано специально для них, и полезно для поиска в тысячах электронных писем, которые мы архивируем каждую неделю, когда нам нужно найти что-то конкретное.
  6. Используйте ТОЛЬКО ОДНОГО получателя для каждого письма в поле «Кому:». Если нам нужно вставить больше получателей, в этом случае мы помещаем наш адрес в поле «Кому:», а в поле «CCn:» (Скрытая копия) адреса всех других получателей. Это защищает конфиденциальность получателей, которые будут получать почту, адресованную «Нераскрытому получателю», и не обнаружат, что его почтовый ящик забит спамом повсюду.
  7. Не делайте неограниченных повторов сообщений, используя почтовый ящик в качестве чата.
  8. Избегайте отправки тяжелых вложений и, возможно, отправляйте заархивированные вложения.
  9. Не заполняйте электронные письма изображениями внизу с логотипами, подписями, значками социальных сетей или чем-либо еще. Многие заблокировали автоматический показ изображений, и в результате вы получаете только путаницу и беспорядок.
  10. Не открывайте подозрительные электронные письма.
  11. Меняйте пароль от почтового ящика не реже одного раза в три месяца и используйте сложные строки. Если вы не хотите запоминать специальные символы, верхний и нижний регистр, мы предлагаем использовать целые предложения, которые вы можете легко запомнить, например: «вчера-моя-собака-джек-играла-с-фрисби». Вы все равно получите отличный результат. Простые пароли легко взломать с помощью нескольких операций грубой силы, и оттуда уже нанесен ущерб.
  12. НИКОГДА не используйте рабочую электронную почту для своих социальных профилей!
  13. По возможности всегда используйте двойную аутентификацию.
  14. Это не имеет ничего общего с безопасностью, но, пожалуйста, НЕ ИСПОЛЬЗУЙТЕ ЗАГЛАВНЫЕ БУКВЫ. Заглавные буквы означают КРИЧАЛИ, это чертовски противно и грубо.
  15. Ежедневно делайте резервную копию своей почты, не оставляйте все сообщения на сервере, это не только не рекомендуется, но и строго наказывается Гарантом конфиденциальности.

Это кажутся тривиальными рекомендациями, но по иронии судьбы хакеры и спамеры полагаются на невнимательность пользователей. Мы знаем, они действительно банальны, и вы слышали, говорили, избиты тысячи раз, но, видимо, этого недостаточно!

Gmail нет, Microsoft Exchange нет, что делать?

Однако, учитывая, что мы не сказали «нет», а просто информировали вас о рисках, которым вы подвергаетесь, существуют практические и интересные решения, которые сохранят вашу безопасность, предполагая, а не допуская, что поведение людей отражает минимальный союз, необходимый для предотвращения разрушения. все. Кроме того, учитывая, что мы не говорили, что вы не можете использовать GMAIL или Microsoft Exchange, но для этого вам необходимо соблюдать GDPR, давайте попробуем дать и другие ответы.

Альтернативы Gmail и Microsoft Exchange:

ProtonMail

Базирующаяся в Швейцарии платформа, соответствующая GDPR, использующая сквозное шифрование. Очень хороший сервис, очень безопасный, но не дешевый. По правде говоря, с коммерческой точки зрения они не добились заслуженного успеха и остались немного «на кону», даже если с технической точки зрения сервис безупречен.

Быстрая почта

Fast Mail — это действующая альтернатива Gmail, очень функциональная и доступная по цене, но необходимо проверить соответствие требованиям GDPR, поскольку в любом случае это американская платформа.

Почта QBOX

Очень достойная альтернатива, полностью итальянская и соответствующая GDPR. Корпоративная версия стоит 3.60 евро за почтовый ящик и 1 евро за каждые 25 ГБ дополнительного пространства. Мы можем только горячо рекомендовать его. На наш взгляд, это одно из самых интересных решений.

Есть много других поставщиков облачных почтовых услуг, это мир, который можно исследовать. Но чтобы не давать избыточной информации, на этом остановимся.

Владелец SMTP-сервера или почтового сервера.

Кто из вас имеет сайт и домен и использует почтовый сервер, интегрированный в ваш собственный веб-сервер, на котором размещен сайт? Это одна из самых частых ситуаций.

SMTP-сервер провайдера

SMTP-серверы известных провайдеров также признаются надежными другими провайдерами. Кроме того, их спам-фильтры считаются особенно эффективными из-за большого объема обрабатываемых данных. Однако в случае бесплатных предложений обычно существуют строгие ограничения в отношении количества электронных писем в день, размера вложений и места для хранения почтового ящика.

Предложения представлены на нескольких страницах:

Провайдеры интернет-услуг: Провайдеры интернет-услуг (ISP), такие как IONOS, часто предлагают адрес электронной почты для подключения к Интернету, с помощью которого можно получить доступ к почтовым SMTP-серверам компании.
Провайдер электронной почты. Наиболее типичным способом отправки электронной почты друзьям и родственникам является использование почтового веб-приложения бесплатного провайдера электронной почты, такого как Gmail, Yahoo или Libero. Единственное требование — адрес электронной почты, соответствующий домену, с которым можно использовать SMTP-сервер провайдера для личной переписки. Все, что вам нужно сделать, это настроить свой почтовый ящик на правильный адрес SMTP-сервера. Ниже вы найдете краткую информацию о самых популярных провайдерах и их адресах.
Поставщики услуг хостинга: многие пакеты хостинга, например, от IONOS, по умолчанию содержат SMTP-сервер, который можно использовать для обработки внутреннего и внешнего почтового трафика компании.
Специализированные провайдеры: некоторые компании специализируются на аренде SMTP-серверов, среди которых, например, Amazon SES и SparkPost, которые позволяют арендовать необходимое оборудование.

Мы настоятельно не рекомендуем это решение

Собственный SMTP-сервер

Обладая некоторыми базовыми техническими знаниями, вы можете настроить свой собственный SMTP-сервер. Например, Raspberry Pi можно настроить с соответствующим программным обеспечением в качестве аппаратной основы.

Преимущества очевидны: отсутствие ограничений провайдера на использование, полный контроль над всеми настройками и независимое управление данными. Кроме того, наличие собственного сервера идеально подходит для ознакомления с технической механикой почтового трафика. Но есть и недостатки: из-за динамического IP-адреса, характерного для частного доступа в Интернет, частные SMTP-серверы часто классифицируются крупными поставщиками электронной почты как спам. Проблема, которая может быть решена только несколькими мерами по обновлению и/или дополнительными затратами. Однако, если вы хотите отправлять свои электронные письма только другому частному клиенту, собственный SMTP-сервер в любом случае является хорошей альтернативой. Поэтому необходимо иметь фиксированный IP.

Эх, но они действительно не розы и цветы. Использование SMTP-сервера в вашем доме или использование сервера, связанного с хостингом вашего веб-сайта, может иметь последствия, которые могут быть даже серьезными, если вы не в состоянии справиться с проблемами.

Владелец SMTP-сервера или почтового сервера.

Кто из вас имеет сайт и домен и использует почтовый сервер, интегрированный в ваш собственный веб-сервер, на котором размещен сайт? Это одна из самых частых ситуаций.

При управлении собственным SMTP-сервером для приема и отправки корреспонденции необходимо учитывать некоторые аспекты, которые тоже могут быть неприятными:

Время работы системы. Как правило, различные провайдеры интернет-услуг, особенно «недорогие», такие как Aruba или Register, не имеют SLA и не гарантируют бесперебойную работу. Это означает, что в течение 365 дней в году ваш хостинг и, следовательно, ваш домен могут быть недоступны, отправленные электронные письма не отправляются или те, которые должны быть получены, не доходят до места назначения. Если DNS недоступны, ваша почтовая система полностью отключена. Хостинг-провайдеры, которые письменно гарантируют по контракту время безотказной работы, превышающее 99.99% времени в течение года, существуют, но услуга начинает стоить. Мы предоставляем SLA 99.99% и фактически стоимость нашего хостинга несопоставима со стоимостью Арубы.

Избыточность. SMTP-сервер, связанный с вашим хостинг-пространством, как правило, находится в месте, которое представляет собой серверную ферму, если она взорвется, как это было недавно с OVH или с Aruba в недавнем прошлом, как сайт, так и вся ваша ИТ-структура для отправки и получение электронной почты может перейти к ramengo. Таким образом, я могу рассчитывать на резервную структуру, где в случае поломки или отключения моей компьютерной системы может быть немедленно введена в действие параллельная структура. Мы могли бы открыть отдельную главу об избыточности и вдаваться в мельчайшие детали, но здесь не место для этого. скажем, избыточность определяется как система, способная дублировать определенные функции и, следовательно, гарантирующая непрерывность обслуживания в случае сбоя.

Преимущества использования проприетарного SMTP-сервера. Я пытаюсь их перечислить:

  • Возможность управлять несколькими учетными записями электронной почты без увеличения затрат
  • Возможность автономного управления собственными политиками отправки/получения
  • Возможность внутреннего ведения обновляемого архива своей почты и трафика коммуникаций с внешним миром
  • Возможность переименовывать/переименовывать свои почтовые ящики автономно и без постороннего вмешательства
  • Возможность установления (в зависимости от выбранного провайдера) адресов и/или IP-адресов для внесения в черный или белый список.
  • Возможность самостоятельно устанавливать антиспамовые политики
  • Возможность самостоятельно установить маркировку DKIM, SPF и DMARC, о которой многие забывают и которая является основной причиной занесения вашего домена в черный список.

Недостатки использования проприетарного SMTP-сервера

Недостатки бесчисленны, особенно если ваша структура не подготовлена ​​и нет адекватного понимания рисков, которым вы подвергаетесь, принося почтовый сервер к себе домой. Технические, юридические и операционные проблемы также могут препятствовать этому пути, многое зависит, прежде всего, от уровня технологической культуры, присутствующей в структуре.

  • Невозможность обезопасить себя, поскольку все обязанности по управлению и архивированию сообщений электронной почты ложатся на вашу структуру.
  • Подверженность всем видам атак и необходимость принятия всех мер по их ограничению или отмене.
  • Возможны моменты «мрака», когда сервер замедляется из-за других операций или даже не может выполнять свои функции.
  • Необходимо внедрить жесткую политику антивирусного и антиспамового контроля (по правде говоря, сегодня это немного касается всех)
  • Нужна систематическая и эффективная политика резервного копирования (сегодня это актуально для всего).

Верно и то, что многие «профессиональные» провайдеры предоставляют защищенные, сертифицированные или, во всяком случае, почти безуязвимые SMTP-серверы, и поэтому опасности возникают исключительно и исключительно из-за невнимательности оператора или из-за его безрассудства и безответственности, однако скажем, что хостинг размещение в той же структуре, где размещен веб-сервер, не всегда может быть правильной политикой, наоборот.

заключение

Хорошо, красиво, но в заключение? Что выбрать?

Однозначного ответа нет, это зависит от обстоятельств, а также от операции. Мы рекомендуем использовать облачный почтовый сервер, когда корпоративная структура является небольшой или микроскопической, и SMTP-сервер, когда структура требует наличия не менее дюжины почтовых ящиков, если не 20. Больше по причине затрат, чем по какой-либо другой причине, поскольку наличие SMTP-сервера, размещенного в безопасном , эффективная структура, которая правильно маркирует серверы и использует действительные и правильные протоколы безопасности, она всегда имеет дискретное преимущество перед всем.Это правда, что потенциальные проблемы привносятся внутрь, и хотелось бы оставаться снаружи. Даже с точки зрения GDPR, если, с одной стороны, будет необходимо принять правильную Политику конфиденциальности, также верно и то, что в случае утечки данных последствия могут быть гораздо более серьезными при использовании управляемых облачных систем. третьими лицами. Поэтому хороший SMTP-сервер и смекалка в управлении почтой должны решить 90% проблем для малого бизнеса или профессиональной деятельности. Хороший партнер, предоставляющий адекватные услуги хостинга, выездной технический специалист, знающий, как правильно установить почтовый клиент, хорошая система резервного копирования, брандмауэр и всегда актуальный антивирус, маршрутизатор со свирепым контролем над портами и да можно почти спать спокойно. Тогда все может случиться, заметьте, но в принципе это то, что мы предлагаем.