Дали вашите е-пошта се безбедни?

Април 12, 2021
|In За веб, Безбедност и приватност, Во преден план
|By Андреас Арно Мајкл Фојгт

Дали вашите е-пошта се безбедни?

Денес, комуникациите и компјутерските системи се повеќе се загрозени од надворешни напади, па дури и ако мислиме дека сме безбедни затоа што веруваме дека сме усвоиле прецизни мерки на претпазливост, не сме. Сега вестите се следат една по друга со непрестајно темпо, 500 милиони сметки хакирани на Фејсбук, милиони сметки хакирани на gmail, libero или други услуги и не разбираме дека и ние, и покрај себе, несвесно сме вклучени и често стануваме возило на спамери и лоши момци кои не користат за цели за кои ние ни оддалеку не сакаме да знаеме. Работите стануваат многу комплицирани кога зборуваме за поштенски сандачиња кои се користат од професионални и/или работни причини, имајќи предвид дека Гарантот за приватност почна да наметнува прилично строги санкции кои можат дури и да го доведат бизнисот на колена. Треба да се заштитиме и да се заштитиме треба да размислуваме што треба да се направи возводно, а не кога ќе се случи катастрофата.

За оние кои користат Gmail

Многу луѓе ме прашуваат која е најбезбедната услуга за е-пошта за користење. Морам да ги разочарам, не постои. Или уште подобро, тоа не е вистинското прашање. Постојат услуги за кои плаќате, има бесплатни услуги и треба да бидете свесни што треба да направите за да бидете безбедни или во секој случај да им гарантирате на вашите клиенти безбедноста на податоците што ни се доверени. Една од најкористените платформи и од хонорарците е GMAIL. Вообичаено е да добивате е-пошта од вашиот сметководител наречен studiocommercialista@gmail.com. И верувањето дека GMAIL е една од најбезбедните мејлинг услуги во светот е исто така доста распространето. Но, не е, напротив.

Патем, GMAIL што се користи во неговата бесплатна конфигурација не е безбеден бидејќи ниту една е-пошта не е 100% безбедна, но уште повеќе, бесплатната услуга е навистина бесплатна и има ограничувања, навистина, мора да има ограничувања. Мора да го прочитате договорот за снабдување со услуги пред да ги доверите вашите комуникации на трети страни. Читајќи ги договорите, разбираме дека одговорностите што ги презема Google се многу малку во случај на прекршување на податоците или уште подобро, нема никаква одговорност. Доколку упаднат во вашето сандаче и ги украдат податоците што се складирани, испратените е-пошта, примени е-пошта, тоа се ваши проблеми и ако не сте усвоиле доволно мерки за заштита на податоците на вашите клиенти, Гарантот за приватност ќе побара од вас да дадете сметка и да наметнете санкции на тебе.што може да направи многу штета.

Користењето на платен GMAIL многу се менува. Самиот Google го кажува тоа. Сепак, таа започнува од трошок од 4.68 евра/месечно по кутија и достигнува 15,60/месечно и случајно една од карактеристиките што се истакнува вели: „Контроли за управување и безбедност“.

Верзијата 15,60/месечно вели: „Напредно управување и безбедносни контроли, вклучувајќи Vault и напредно управување со крајната точка“. Бидејќи проблемот не е само безбедноста на структурата, Google го нагласува фактот дека исто така е неопходно да се „едуцира“ корисникот за потребата од усвојување правилни контролни и безбедносни мерки за неговото однесување, почнувајќи од алатките што ги користат за пристап до нивните поштенски сандачиња. mail, Android, IOS или клиент за пошта како Thunderbird или Outlook или друго.

Ако потоа размислиме за фактот дека цената на услугата е изразена по кутија, во случај на студио со повеќе лица, лесно е да се замисли дека целокупната цена за добра комуникациска структура и однос со надворешниот свет може да стане значителен товар.

Сето ова се сведува на: дали сакате сигурност? плаќаш и солено и учиш да се однесуваш правилно.

За оние кои користат Microsoft Exchange

Во основа ништо не се менува во споредба со GMAIL. Принципот е ист, цените се еквивалентни и на пример Office 12.50 е вклучен и во месечната цена од 365 долари

Штитот за приватност што ве завртува.

Privacy Shield, или „штит за приватност“ меѓу ЕУ и САД, е механизам за самосертификација за компании основани во САД кои имаат намера да добиваат лични податоци од Европската унија. Конкретно, компаниите се обврзуваат да ги почитуваат принципите содржани во него и да им обезбедат на заинтересираните страни (т.е. сите субјекти чии лични податоци се пренесени од Европската унија) соодветни средства за заштита, под казна за елиминација од листата на сертифицирани компании ( „Список на штитот за приватност“) од Министерството за трговија на САД и можни санкции од Федералната трговска комисија. Европската комисија сметаше дека системот нуди соодветно ниво на заштита на личните податоци пренесени од поединец во ЕУ на компанија основана во Соединетите држави и дека, според тоа, Шилд претставува извор на правни гаранции во однос на преносот на податоци во прашање.

Штитот за приватност ЕУ-САД е на сила од 1 август 2016 година.

Штитот е применлив за сите категории на лични податоци пренесени од ЕУ во САД, вклучително и комерцијални информации, податоци за здравјето или човечките ресурси, под услов американската компанија што ги прима таквите податоци самостојно да го потврди своето учество во шемата.

За жал, пактот беше прекршен.

Европскиот суд ја испита првата одлука (2010/87 за стандардните договорни клаузули) и утврди дека таа, иако се заснова на договорни одредби кои, како такви, не се способни да ги обврзат државите за нивната усогласеност, содржи ефективни механизми кои овозможуваат во пракса, осигурува дека се почитува нивото на заштита што го бара правото на Унијата и дека преносите на лични податоци засновани на такви клаузули се суспендирани или забранети во случај на прекршување на таквите клаузули или неможност за нивно усогласување.

Втората одлука (2016/1250 за адекватноста на заштитата што ја нуди штитот ЕУ-САД) наместо тоа, го утврдува приматот на потребите кои се однесуваат на националната безбедност, јавниот интерес и усогласеноста со американското законодавство, со што се овозможува можно мешање во основните права на лица чии податоци се пренесуваат во таа трета земја.

Според Судот, ограничувањата на заштитата на личните податоци што произлегуваат од внатрешното законодавство на Соединетите Американски Држави не се врамени на таков начин што ќе одговорат на барања суштински еквивалентни на оние што се бараат во правото на Унијата, според принципот на пропорционалност и строга неопходност.

Значи? Каква врска има Privacy Shield со моите е-пошта?

Преведено, со едноставни термини, тоа значи дека системите како што се Gmail, Microsoft Exchange не се под заштита на Privacy Shield и за време на ревизијата и Privacy By Design потребно е да се земе предвид ова за соодветно да ги информирате вашите клиенти со правилна DPA (Проценка за заштита на податоци).

Да резимираме: Gmail p Microsoft Exchange да, ако е платено, по која цена? Зависи од тоа колку сметки за е-пошта сакате да користите и дали сакате да користите сопствен домен на компанијата. И во секој случај, надвор од штитот за приватност, што нè става на ризик од интервенција на Гарантот за приватност, со санкции кои можат да станат значителни.

Па, ние го разбираме! Но, каква врска има ова со безбедноста на нашата е-пошта? Мирно и кул, еве доаѓаме! Малку мирно!

Начело на сопственост на лични податоци

Ајде да воспоставиме фиксна точка, а тоа е дека Гарантот за приватност има воспоставено принцип: Личните податоци не се ваши, туку се сопственост на луѓето на кои тие податоци се однесуваат.

Врз основа на законодавството кое го регулира ова право, затоа, секој поединец може да бара неговите лични податоци да се собираат и обработуваат од трети лица само во согласност со правилата и принципите утврдени со релевантните закони, како на Европската унија, така и на поединечните државјани. држави.. Целта на легислативата е да и се даде на заинтересираната страна овластување да располага со сопствените податоци, осигурувајќи дека поединецот има контрола над сите информации во врска со неговиот приватен живот, а во исто време обезбедувајќи му алатки за заштита на овие информации.

И за прецизност:

  • Секој има право на заштита на личните податоци што се однесуваат на него.

  • Таквите податоци мора да се обработуваат според принципот на лојалност, за конкретни цели и врз основа на согласност на заинтересираната страна или друга легитимна основа предвидена со закон. Секој поединец има право да пристапи до податоците собрани во врска со него и да добие нивна исправка.

  • Усогласеноста со овие правила е предмет на контрола од независен орган.

Врз основа на она што е напишано погоре, станува јасно дека безбедноста на нечии ИТ и надворешни комуникациски системи е многу жешка тема која бара сите нас да размислиме за тоа како сме навикнати да управуваме со нашите деловни процеси.

Правилните однесувања за да бидат побезбедни

Првото нешто што мораме да го запомниме е дека првото решение е нашето однесување. Кои се правилните однесувања да се присвојат? Набројувам неколку. За жал, кога се работи со соработници и вработени, се случува сите да не усвојат коректно и еднакво однесување, секогаш некој бега од „оградата“ и мора да бидете многу внимателни. Но, ако почнеме да разбираме дека личните податоци што се користат во комуникациите се сопственост на соодветните луѓе на кои се однесуваат овие податоци, можеме полесно да поттикнеме одговорно и внимателно однесување и да избегнеме многу проблеми.

  1. Не отворајте прилози без да го проверите испраќачот на е-поштата.
  2. Не користете автоматско отворање на додатокот.
  3. Секогаш проверувајте го испраќачот на добиената е-пошта
  4. Користете ги правилно сите полиња на е-поштата
  5. Користете го полето „Предмет“ правилно и концизно и правилно опишете го предметот на е-поштата. Корисна е за оние кои ја добиваат е-поштата бидејќи веднаш сфаќаат дали е-поштата е специјално напишана за нив и е корисна за пребарување во илјадниците мејлови што ги архивираме секоја недела кога треба да најдеме нешто конкретно.
  6. Користете САМО ЕДЕН примач по е-пошта во полето „До:“. Ако треба да вметнеме повеќе примачи, во тој случај ја ставаме нашата адреса во полето „До:“ и адресите на сите други примачи во полето „BCC:“ (скриена карбонска копија). Ова ја заштитува приватноста на примателите кои ќе ја добијат е-поштата наменета за „Неоткриен примач“ и не го наоѓа неговото поштенско сандаче спамено насекаде.
  7. Избегнувајте бескрајно повторување на пораките со користење на вашето сандаче како разговор.
  8. Избегнувајте испраќање големи прилози и евентуално испраќајте прилози со зипен.
  9. Не пополнувајте е-пошта со слики на дното на логоа, потписи, икони на социјалните мрежи или што било друго. Многумина го блокираа автоматското прикажување на сликите и резултатот што го добивате е само конфузија и неред.
  10. Не отворајте сомнителни пораки.
  11. Променете ја лозинката на вашето поштенско сандаче најмалку еднаш на секои три месеци и користете сложени низи. Ако не сакате да запомните специјални знаци, големи и мали букви, предлагаме да користите цели реченици кои лесно можете да ги запомните како: „вчера-моето-куче-џек-играше-со-фризби“. Сè уште добивате одличен резултат. Поедноставните лозинки лесно се пробиваат со неколку операции со брутална сила и оттаму штетата е направена.
  12. Не користете ја вашата работна е-пошта за вашите социјални профили, НИКОГАШ!
  13. Секогаш кога е можно, користете двојна автентикација.
  14. Нема врска со безбедноста, но ве молиме НЕ КОРИСТЕТЕ КАПИТАЛИ. Капитализирано значи ВИКАЛ и е проклето непријатно и безобразно.
  15. Направете дневна резервна копија на вашата е-пошта, не оставајте ги сите комуникации на серверот, тоа е практика која не само што не се препорачува туку и строго казнувана од Гарантот за приватност.

Овие може да изгледаат како тривијални препораки, но иронично, хакерите и спамерите го користат невниманието на корисниците. Знаеме, тие се навистина баналности и сте ги слушнале, кажале, банални и банални илјадници пати, но очигледно тоа не е доволно!

Gmail не, Microsoft Exchange не, што да правам?

Со оглед на тоа што не рековме не, туку едноставно ве известивме за ризиците што ги трчате, сè уште има практични, интересни решенија кои ве чуваат безбедни, претпоставувајќи и не дозволувајќи дека однесувањето на поединците ја одразува минималната плата неопходна за да се избегне уништување на сè. Понатаму, со оглед на тоа што не рековме дека не можете да користите GMAIL или Microsoft Exchange, но дека за да го направите тоа мора да бидете во согласност со GDPR, ајде да се обидеме да даде и други одговори.

Алтернативи на Gmail и Microsoft Exchange:

ProtonMail

Платформа во согласност со GDPR со седиште во Швајцарија која користи шифрирање од крај до крај. Многу добра услуга, исклучително безбедна, но не е евтина. Да ја кажеме вистината, комерцијално гледано не го постигнаа заслужениот успех и останаа малку „на коцка“ дури и ако технолошки гледано услугата е беспрекорна.

Брза пошта

Брзата пошта е валидна алтернатива на Gmail, многу функционална и комплетна со прифатлива цена, но неопходно е да се провери усогласеноста во врска со GDPR бидејќи е американска платформа.

QBOX пошта

Многу валидна алтернатива, целосно во согласност со Италија и GDPR. Верзијата за претпријатие чини 3.60 евра по кутија и 1 евро за секои 25 GB дополнителен простор. Можеме само силно да го препорачаме. Според нас тоа е едно од најинтересните решенија.

Исто така, постојат многу други даватели на услуги за е-пошта во облак, тоа е свет што може да се истражи. Но, за да не даваме претерани информации, ќе застанеме овде.

SMTP комерцијален сервер или сервер за пошта.

Колкумина од вас имаат сајт и домен и го користат серверот за пошта интегриран во вашиот веб-сервер каде што е хостирана страницата? Тоа е една од најчестите ситуации.

SMTP сервер на провајдерот

SMTP серверите на воспоставените провајдери се исто така препознаени како доверливи од други провајдери. Понатаму, нивните филтри за спам се сметаат за особено ефикасни поради големата количина на обработени податоци. Меѓутоа, во случај на бесплатни понуди, обично има строги ограничувања во однос на бројот на е-пошта дневно, големината на прилозите и просторот за складирање на сандачето.

Понудите се претставени на неколку страници:

Даватели на интернет услуги: Интернет провајдерите (ISP) како што е IONOS често нудат адреса за е-пошта за интернет конекција со која можете да пристапите до серверите за пошта SMTP на компанијата.
Даватели на е-пошта: Најтипичен начин поединците да испраќаат е-пошта до пријателите и семејството е да ја користат апликацијата за веб-пошта на бесплатен провајдер на е-пошта како што се Gmail, Yahoo или Libero. Единствениот услов е адресата на е-пошта што одговара на доменот, со која SMTP-серверот на давателот може да се користи за лична кореспонденција. Сè што треба да направите е да го конфигурирате вашето сандаче за е-пошта за точната адреса на серверот SMTP. Подолу ќе најдете резиме на најпопуларните добавувачи и нивните адреси.
Давател на услуги за хостирање: Многу пакети за хостирање, како што се оние од IONOS, стандардно содржат сервер SMTP, кој може да се користи за управување со внатрешниот и надворешниот сообраќај на пошта на компанијата.
Специјализирани провајдери: некои компании се специјализирани за изнајмување на SMTP сервери, вклучувајќи ги на пример Amazon SES и SparkPost, кои овозможуваат изнајмување на потребниот хардвер.

Ние категорично советуваме да не се користи ова решение

Сопствен SMTP сервер

Со некои основни технички знаења можете да поставите сопствен SMTP сервер. На пример, Raspberry Pi со соодветен софтвер може да се постави како хардверска основа.

Предностите се очигледни: нема ограничувања за користење од провајдер, целосна контрола врз сите поставки и автономно управување со податоци. Понатаму, да имате сопствен сервер е совршено прилагоден за запознавање со техничките механизми на сообраќајот на е-пошта. Но, има и негативни страни: Поради динамичната IP адреса карактеристична за приватниот пристап до Интернет, приватните SMTP сервери често се класифицирани како спам од страна на големите даватели на е-пошта. Проблем кој може да се реши само со неколку мерки за реновирање и/или дополнителни трошоци. Меѓутоа, ако сакате да ги испраќате вашите е-пошта само на друг приватен клиент, вашиот сопствен SMTP сервер во секој случај е добра алтернатива. Затоа е неопходно да се има фиксна IP адреса.

Ех, но тоа не е кревет со рози, напротив. Внесувањето на SMTP сервер во вашиот дом или користењето поврзан со хостирањето на вашата веб-локација носи последици кои можат да бидат дури и сериозни ако не сте способни да управувате со проблемите.

SMTP комерцијален сервер или сервер за пошта.

Колкумина од вас имаат сајт и домен и го користат серверот за пошта интегриран во вашиот веб-сервер каде што е хостирана страницата? Тоа е една од најчестите ситуации.

Кога управувате со вашиот сопствен SMTP сервер за примање и испраќање кореспонденција, треба да земете предвид некои аспекти кои исто така можат да бидат непријатни:

Време на функционирање на системот. Општо земено, различните провајдери на интернет провајдерите, особено оние со „ниска цена“ како што се Аруба или Регистрирај, немаат SLA и не гарантираат ажурирање. Тоа значи дека во текот на 365 дена во годината е можно вашиот хостинг, а со тоа и вашиот домен да не е достапен, испратените е-пораки да не излегуваат или оние што треба да се примат да не пристигнат на нивната дестинација. Ако DNS не е достапен, вашиот систем за управување со пошта е целосно исклучен. Провајдери на хостинг кои писмено гарантираат, со договор, време на ажурирање кое е поголемо од 99.99% од времето во текот на една година, постојат, но услугата почнува да чини. Ние обезбедуваме SLA од 99.99% и всушност цената на нашиот хостинг не е споредлива со онаа на Аруба.

Вишокот. SMTP-серверот поврзан со вашиот хостинг простор генерално се наоѓа на место, што е фарма на сервери, ако се разнесе, како што се случи неодамна со OVH или со Аруба во блиското минато, и страницата и целата ваша ИТ структура за испраќање и примањето е-пошта може да биде во неволја. Затоа, да можам да сметам на излишна структура каде што, во случај на дефект или исклучување на мојот ИТ систем, паралелна структура веднаш може да стапи во функција. Можеме да отвориме посебно поглавје за вишок и да навлеземе во најмалите детали, но ова не е место за тоа. да речеме дека вишокот е дефиниран како систем кој е способен да дуплира одредени функции и затоа гарантира континуитет на услугите во случај на дефект.

Предностите на користење на комерцијален SMPT сервер. Ќе се обидам да ги набројам:

  • Можност за управување со повеќе сметки за е-пошта без зголемување на трошоците
  • Можност за самостојно управување со сопствените политики за испраќање/примање
  • Можност за внатрешно одржување на ажурирана архива на вашата пошта и надворешниот комуникациски сообраќај
  • Можност за именување/преименување на вашите поштенски сандачиња самостојно и без надворешна интервенција
  • Можност за утврдување (во зависност од избраниот провајдер) адресите и/или IP-адресите што ќе бидат вклучени во црната или белата листа.
  • Можност за самостојно воспоставување анти-спам политики
  • Можност за самостојно воспоставување на ознаките, DKIM, SPF и DMARC кои се оние кои многумина ги забораваат и се главната причина за ставање на црната листа на вашиот домен.

Недостатоци на користење на комерцијален SMTP сервер

Недостатоците се безбројни, особено ако вашата структура не е подготвена и нема соодветна свест за ризиците вклучени во внесувањето на серверот за пошта во вашиот дом. Техничките, правните и оперативните прашања исто така би можеле да советуваат против овој пат, многу зависи пред се од нивото на технолошка култура присутна во вашата структура.

  • Неможност за обештетување, бидејќи сите одговорности за управување и архивирање на е-пошта тежат на сопствената структура.
  • Изложеност на сите видови напади и потреба од преземање на сите мерки за нивно ограничување или откажување.
  • Можност за „мрачни“ моменти во кои серверот е забавен од други операции или дури и не може да ги извршува своите функции.
  • Треба да се имплементира жестока политика за контрола на антивирус и антиспам (ова важи за сите денес, да ја кажеме вистината)
  • Потреба од систематска и ефикасна политика за резервни копии (ова важи за сè денес).

Вистина е и дека многу „професионални“ провајдери ставаат достапни SMTP сервери кои се заштитени, сертифицирани или во секој случај речиси без ранливост и затоа опасностите произлегуваат само и исклучиво од невнимателноста на операторот или од неговата непромисленост и неодговорност.Сепак, да речеме дека хостирањето на серверот поставен на истата структура каде што е хостиран веб-серверот можеби не е секогаш правилна политика, напротив.

заклучок

Добро, убаво, но што е со заклучокот? Што да се избере?

Нема единствен одговор, зависи од околностите и од операцијата. Препорачуваме да користите облак поштенски сервер кога структурата на компанијата е мала или микроскопска и SMTP сервер кога структурата вклучува најмалку десет, па дури и 20 поштенски сандачиња. Повеќе поради трошоци отколку што било друго, зошто SMTP-серверот е хостиран во безбеден, ефикасен структура која правилно ги брендира серверите и користи валидни и точни безбедносни протоколи, секогаш има фер предност пред сè.Точно е дека носиме потенцијални проблеми кои би сакале да останат надвор. Дури и во однос на GDPR, додека од една страна ќе биде неопходно да се има правилна Политика за приватност, исто така е точно дека во случај на прекршување на податоците, последиците можат да бидат многу посериозни со употребата на облак системи управувани од трети лица. Затоа, добар SMTP сервер и внимателно ракување со поштата треба да реши 90% од проблемите за малите бизниси или професионалните активности. Добар партнер кој обезбедува соодветна услуга за хостирање, техничар на лице место кој знае како правилно да инсталира клиент за е-пошта, добар резервен систем, заштитен ѕид и антивирус кој е секогаш ажуриран, рутер со жестока контрола над портите и да, речиси може да спие цврсто. Тогаш сè може да се случи, да бидеме јасни, но во принцип ова е она што го предлагаме.