Jsou vaše e-maily v bezpečí?

12, 2021
|In Pro web, Zabezpečení a soukromí, V popředí
|By Andreas Arno Michael Voigt

Jsou vaše e-maily v bezpečí?

Komunikace a počítačové systémy jsou dnes stále více ohroženy vnějšími útoky, a i když si můžeme myslet, že jsme v bezpečí, protože jsme přesvědčeni, že jsme přijali přesná opatření, nejsme. Nyní se zprávy neúprosným tempem sledují jedna za druhou, 500 milionů hacknutých účtů na Facebooku, miliony hacknutých účtů na gmailu, bezplatných nebo jiných službách a my nechápeme, že i my, navzdory sobě, nevědomky, jsme do toho zapojeni a často se stáváme prostředkem pro spammery a zlomyslné lidi, kteří nás využívají k účelům, o kterých bychom ani vzdáleně nechtěli vědět. Věci se velmi komplikují, když mluvíme o poštovních schránkách používaných z profesních a/nebo pracovních důvodů, vzhledem k tomu, že Garant ochrany osobních údajů začal udělovat poměrně přísné sankce, které mohou dokonce srazit firmu na kolena. Musíme se chránit a abychom se ochránili, musíme myslet na to, co je třeba udělat proti proudu, nikoli až ke katastrofě dojde.

Pro ty, kteří používají Gmail

Mnozí se mě ptají, která je nejbezpečnější e-mailová služba k použití. Musím je zklamat, neexistuje. Nebo ještě lépe, není to správná otázka. Existují placené služby, bezplatné služby a musíte si uvědomit, co musíte udělat, abyste byli v bezpečí nebo v každém případě zaručili svým zákazníkům bezpečnost nám svěřených dat. Jednou z nejpoužívanějších platforem i na volné noze je GMAIL. Je obvyklé, že od svého účetního obdržíte e-mail s názvem studio commercialista@gmail.com. A také se poměrně široce věří, že GMAIL je jednou z nejbezpečnějších poštovních služeb na světě. Ale není, opravdu.

Mimochodem, GMAIL použitý ve své bezplatné konfiguraci není bezpečný, protože žádný e-mail není 100% bezpečný, ale navíc bezplatná služba je přesně bezplatná a má omezení, skutečně musí mít omezení. Než svěříte svou komunikaci třetím stranám, měli byste si přečíst smlouvu o poskytování služeb. Při čtení smluv jsme pochopili, že odpovědnost, kterou společnost Google přebírá, je velmi malá v případě narušení dat nebo ještě lépe, žádná odpovědnost. Pokud se vloupají do vaší e-mailové schránky a ukradnou uložená data, odeslané e-maily, přijaté e-maily, toto jsou vaše problémy a pokud jste nepřijali dostatečná opatření k ochraně dat vašich zákazníků, Garant ochrany osobních údajů vás vyzve, abyste to vzali na vědomí uložením sankcí, které mohou způsobit mnoho škod.

Používání placeného GMAILu se hodně mění. Říká to sám Google. Cena však začíná od 4.68 EUR/měsíc za poštovní schránku až po 15,60/měsíc a shodou okolností jedna z funkcí, která je zdůrazněna, říká: „Řízení správy a zabezpečení“.

Verze 15,60/měsíc tvrdí: „Pokročilá správa a ovládací prvky zabezpečení, včetně Vaultu a pokročilé správy koncových bodů“. Protože problémem není pouze zabezpečení struktury, Google zdůrazňuje skutečnost, že je také nutné uživatele „vychovat“ o nutnosti přijmout správná kontrolní a bezpečnostní opatření na jeho chování počínaje nástroji, které používá pro přístup ke svým poštovním schránkám, Android, IOS nebo poštovním klientům typu Thunderbird nebo Outlook či jiné.

Pokud tedy uvážíme, že náklady na službu jsou vyjádřeny na krabici, lze si v případě členité studie s více lidmi snadno představit, že celkové náklady na dobrou komunikační strukturu a vztah s vnějším světem se mohou stát značnou zátěží.

To vše znamená: chcete bezpečnost? platit a také slanit a naučit se chovat správně.

Pro každého, kdo používá Microsoft Exchange

Oproti GMAILu se v podstatě nic nemění. Princip je stejný, ceny stejné a například měsíční náklady 12.50 dolarů zahrnují i ​​Office 365

Privacy Shield, který vás oklame.

Privacy Shield neboli „štít ochrany osobních údajů“ mezi EU a USA je samocertifikační mechanismus pro společnosti usazené v USA, které chtějí dostávat osobní údaje z Evropské unie. Společnosti se zejména zavazují, že budou respektovat zásady v nich obsažené a poskytnout zainteresovaným stranám (tj. všem subjektům, jejichž osobní údaje byly předány z Evropské unie) odpovídající nástroje ochrany, pod sankcí vyřazení ze seznamu certifikovaných společností („Seznam štítu na ochranu osobních údajů“) ministerstvem obchodu USA a případnými sankcemi ze strany Federal Trade Commission. Evropská komise usoudila, že systém nabízí přiměřenou úroveň ochrany osobních údajů předávaných od jednotlivce v EU společnosti usazené ve Spojených státech, a že proto štít představuje zdroj právních záruk, pokud jde o předmětné předávání údajů.

EU-US Privacy Shield je v platnosti od 1. srpna 2016.

Štít se vztahuje na všechny kategorie osobních údajů předávaných z EU do USA, včetně obchodních informací, údajů o zdraví nebo lidských zdrojích, za předpokladu, že americká společnost, která takové údaje obdrží, sama potvrdila, že dodržuje schéma.

Bohužel pakt byl porušen.

Evropský soud přezkoumal první rozhodnutí (2010/87 o standardních smluvních doložkách) a zjistil, že toto, ačkoli je založeno na smluvních ustanoveních, která jako taková nemohou zavázat státy k jejich respektování, obsahuje účinné mechanismy, které v praxi umožňují zaručit, že bude dodržena úroveň ochrany vyžadovaná právem Unie a že přenosy osobních údajů na základě těchto doložek budou pozastaveny nebo zakázány v případě jejich porušení nebo zákazu respektování těchto doložek.

Druhé rozhodnutí (2016/1250 o přiměřenosti ochrany nabízené štítem EU-USA) místo toho stanoví přednost potřeb souvisejících s národní bezpečností, veřejným zájmem a souladem s právními předpisy USA, čímž umožňuje zasahovat do základních práv osob, jejichž údaje jsou předávány do této třetí země.

Podle Soudního dvora nejsou omezení ochrany osobních údajů vyplývající z vnitrostátních právních předpisů Spojených států koncipována tak, aby odpovídala požadavkům v podstatě rovnocenným požadavkům, které v právu EU vyžaduje zásada proporcionality a přísné nezbytnosti.

Tak? Co má Privacy Shield společného s mými e-maily?

V překladu to ve zkratce znamená, že systémy jako Gmail a Microsoft Exchange nejsou chráněny štítem Privacy Shield a musí být zohledněny během auditu a ochrany soukromí již od návrhu, aby bylo možné náležitě informovat své zákazníky pomocí správného DPA (Data Protection Assessment).

Zrekapitulujme si: Gmail p Microsoft Exchange ano, pokud je placený, za jakou cenu? Záleží na tom, kolik poštovních účtů chcete používat a zda chcete používat vlastní firemní doménu. A v každém případě mimo štít na ochranu soukromí, což nás vystavuje riziku tváří v tvář zásahu garanta soukromí se sankcemi, které mohou být značné.

Dobře, rozumíme! Ale co to má společného s bezpečností našeho e-mailu? V klidu a pohodě, jdeme na to! Trochu klidu!

Princip vlastnictví osobních údajů

Stanovme si pevný bod a to, že Garant ochrany osobních údajů stanovil zásadu: Osobní údaje nejsou vaše, ale jsou ve vlastnictví lidí, kterých se tyto údaje týkají.

Na základě legislativy, která toto právo upravuje, tedy každý jednotlivec může tvrdit, že jeho osobní údaje jsou shromažďovány a zpracovávány třetími stranami pouze v souladu s pravidly a zásadami stanovenými zákony o dané věci, a to jak Evropské unie, tak jednotlivých národních států. Účelem právní úpravy je dát zainteresované osobě pravomoc nakládat se svými údaji, zajistit fyzické osobě kontrolu nad všemi informacemi týkajícími se jejího soukromého života a zároveň jí poskytnout nástroje k ochraně těchto informací.

A pro upřesnění:

  • Každý má právo na ochranu osobních údajů, které se ho týkají.

  • Tyto údaje musí být zpracovány poctivě, pro konkrétní účely a na základě souhlasu subjektu údajů nebo jiného oprávněného základu stanoveného zákonem. Každý jednotlivec má právo na přístup ke shromážděným údajům, které se ho týkají, a právo na jejich opravu.

  • Dodržování těchto pravidel podléhá kontrole nezávislého úřadu.

Na základě toho, co bylo napsáno výše, je zřejmé, jak je bezpečnost IT a externích komunikačních systémů velmi žhavým tématem, které nás všechny nutí zamyslet se nad tím, jak jsme zvyklí řídit své obchodní procesy.

Správné chování, aby bylo bezpečnější

První věc, kterou si musíme zapamatovat, je, že prvním řešením je naše chování. Jaké je správné chování? uvádím několik. Bohužel při práci se spolupracovníky a zaměstnanci se stává, že ne každý si osvojí korektní a rovnocenné chování, vždy někdo uteče z „ploty“ a musíte být velmi opatrní. Pokud ale začnete chápat, že osobní údaje používané v komunikaci jsou majetkem příslušných osob, kterých se tyto údaje týkají, je snazší navodit odpovědné a ohleduplné chování a vyhnout se mnoha problémům.

  1. Neotevírejte přílohy bez kontroly odesílatele e-mailu.
  2. Nepoužívejte automatické otevírání nástavce.
  3. Vždy si zkontrolujte odesílatele přijatého emailu
  4. Používejte správně všechna pole e-mailu
  5. Správně použijte pole „Předmět“ a stručně a správně popište předmět e-mailu. Je to užitečné pro ty, kteří e-mail obdrží, protože si okamžitě všimnou, zda byl e-mail napsán speciálně pro ně, a je užitečný pro vyhledávání v tisících e-mailů, které archivujeme každý týden, když potřebujeme najít něco konkrétního.
  6. V poli „Komu:“ použijte POUZE JEDNOHO příjemce na e-mail. Pokud potřebujeme vložit více příjemců, v takovém případě uvedeme naši adresu do pole „Komu:“ a do pole „CCn:“ (Hidden Carbon Copy) adresy všech ostatních příjemců. Tím je chráněno soukromí příjemců, kteří obdrží poštu adresovanou „Undisclosed Recipient“ a nenajdou jeho schránku všude jako spam.
  7. Vyhněte se neomezenému opakování zpráv pomocí poštovní schránky jako chatu.
  8. Vyhněte se odesílání těžkých příloh a případně posílejte přílohy ve formátu ZIP.
  9. Nevyplňujte e-maily obrázky ve spodní části s logy, podpisy, ikonami sociálních sítí nebo čímkoli jiným. Mnoho z nich zablokovalo automatické zobrazování obrázků a výsledkem je jen zmatek a nepořádek.
  10. Neotevírejte podezřelé e-maily.
  11. Změňte heslo k poštovní schránce alespoň jednou za tři měsíce a používejte složité řetězce. Pokud si nechcete pamatovat speciální znaky, velká a malá písmena, doporučujeme používat celé věty, které si snadno zapamatujete jako: "včera-můj-pes-jack-hrál-s-frisbee". Stále máte vynikající výsledek. Jednodušší hesla lze snadno hacknout pomocí několika operací hrubou silou a odtud je škoda hotová.
  12. Nepoužívejte svůj pracovní e-mail pro své sociální profily, NIKDY!
  13. Pokud je to možné, vždy používejte dvojitou autentizaci.
  14. Nemá to nic společného s bezpečností, ale NEPOUŽÍVEJTE VELKÁ PÍSMENA. Velká písmena znamená KŘIČENÁ a je zatraceně ošklivá a neslušná.
  15. Provádějte denní zálohu své pošty, nenechávejte veškerou komunikaci na serveru, je to praxe nejen doporučená, ale přísně sankcionovaná Garantem soukromí.

Zdá se, že jde o triviální doporučení, ale ironicky se hackeři a spammeři spoléhají na neopatrnost uživatelů. Víme, že jsou opravdu banální a slyšeli jste, říkali, otřepané tisícekrát, ale zjevně to nestačí!

Gmail ne, Microsoft Exchange ne, Co dělat?

Vzhledem k tomu, že jsme neřekli ne, ale pouze jsme vás upozornili na rizika, která podstupujete, existují praktická a zajímavá řešení, která vás udrží v bezpečí, za předpokladu, že chování jednotlivců pak odráží minimální jednotu nezbytnou k tomu, aby se vše nezničilo. Navíc, vzhledem k tomu, že jsme neřekli, že nemůžete používat GMAIL nebo Microsoft Exchange, ale že k tomu musíte být v souladu s GDPR, zkusme to dát i jiné odpovědi.

Alternativy k Gmailu a Microsoft Exchange:

ProtonMail

Platforma se sídlem ve Švýcarsku v souladu s GDPR využívající end-to-end šifrování. Velmi dobré služby, extrémně bezpečné, ale ne levné. Abych řekl pravdu, komerčně vzato nedosáhli úspěchu, který by si zasloužili, a zůstali tak trochu „v sázce“, i když technologicky vzato je služba bezvadná.

Rychlá pošta

Fast Mail je platnou alternativou Gmailu, velmi funkční a kompletní s dostupnou cenou, ale je nutné ověřit soulad s GDPR, protože se v každém případě jedná o americkou platformu.

Pošta QBOX

Velmi platná alternativa, vše v souladu s italštinou a GDPR. Enterprise verze stojí 3.60 EUR za poštovní schránku a 1 EUR za každých 25 GB dalšího prostoru. Můžeme jen vřele doporučit. Podle nás je to jedno z nejzajímavějších řešení.

Existuje také mnoho dalších poskytovatelů cloudových poštovních služeb, je to svět, který lze prozkoumat. Abychom ale neposkytli přemíru informací, zastavíme se zde.

Vlastněný SMTP server nebo poštovní server.

Kolik z vás má web a doménu a využívá poštovní server integrovaný na vašem vlastním webovém serveru, kde je web hostován? Je to jedna z nejčastějších situací.

SMTP server poskytovatele

Servery SMTP zavedených poskytovatelů jsou uznávány jako spolehlivé i jinými poskytovateli. Také jejich spamové filtry jsou považovány za zvláště účinné kvůli velkému množství dat, které zpracovávají. V případě nabídek zdarma však bývají přísná omezení ohledně počtu e-mailů za den, velikosti příloh a úložného prostoru schránky.

Nabídky jsou prezentovány na několika stránkách:

Poskytovatelé internetových služeb: Poskytovatelé internetových služeb (ISP), jako je IONOS, často nabízejí e-mailovou adresu pro internetové připojení, pomocí které lze přistupovat k poštovním serverům SMTP společnosti.
Poskytovatel e-mailu: Nejtypičtějším způsobem, jak jednotlivci posílat e-maily přátelům a rodině, je použití webové aplikace bezplatného poskytovatele e-mailu, jako je Gmail, Yahoo nebo Libero. Jediným požadavkem je e-mailová adresa shodná s doménou, se kterou lze pro osobní korespondenci využívat SMTP server poskytovatele. Jediné, co musíte udělat, je nakonfigurovat svou poštovní schránku na správnou adresu serveru SMTP. Níže naleznete přehled nejoblíbenějších poskytovatelů a jejich adresy.
Poskytovatelé hostingových služeb: Mnoho hostingových balíčků, jako jsou ty od IONOS, ve výchozím nastavení obsahuje SMTP server, který lze použít ke zpracování interní a externí firemní pošty.
Specializovaní poskytovatelé: Na pronájem SMTP serverů se specializují některé společnosti, mezi které patří například Amazon SES a SparkPost, které umožňují pronájem potřebného hardwaru.

Toto řešení důrazně nedoporučujeme

Vlastní SMTP server

S některými základními technickými znalostmi si můžete nastavit svůj vlastní SMTP server. Například Raspberry Pi lze nastavit s příslušným softwarem jako hardwarovým základem.

Výhody jsou zřejmé: žádná omezení poskytovatele při používání, plná kontrola nad veškerým nastavením a nezávislá správa dat. Mít vlastní server je navíc ideální pro seznámení se s technickou mechanikou e-mailového provozu. Existují však i nevýhody: Vzhledem k dynamické IP adrese, která je typická pro soukromé přístupy k internetu, jsou soukromé servery SMTP často klasifikovány jako spam velkými poskytovateli e-mailu. Problém, který lze vyřešit pouze několika renovačními opatřeními a/nebo dodatečnými náklady. Pokud však chcete své e-maily pouze posílat jinému soukromému klientovi, vlastní SMTP server je v každém případě dobrou alternativou. Je tedy nutné mít pevnou IP.

Eh, ale ve skutečnosti to nejsou růže a květiny. Přivedení serveru SMTP k vám domů nebo použití serveru propojeného s hostingem vašeho webu má důsledky, které mohou být dokonce vážné, pokud nebudete schopni problémy zvládnout.

Vlastněný SMTP server nebo poštovní server.

Kolik z vás má web a doménu a využívá poštovní server integrovaný na vašem vlastním webovém serveru, kde je web hostován? Je to jedna z nejčastějších situací.

Když spravujete svůj vlastní SMTP server pro příjem a odesílání korespondence, musíte vzít v úvahu některé aspekty, které mohou být také nepříjemné:

Doba provozu systému. Obecně platí, že různí poskytovatelé ISP, zejména ti „nízkonákladoví“, jako je Aruba nebo Register, nemají SLA a nezaručují dostupnost. To znamená, že v průběhu 365 dní v roce se může stát, že váš hosting a tedy i vaše doména není dosažitelná, že odeslané emaily neodcházejí nebo ty, které mají být přijaty, nedorazí na místo určení. Pokud jsou DNS nedostupné, váš poštovní systém je zcela vypnut. Poskytovatelé hostingu, kteří písemně a smluvně zaručují dostupnost delší než 99.99 % času za rok, existují, ale služba začíná být zpoplatněna. Poskytujeme 99.99% SLA a ve skutečnosti náklady na náš hosting nejsou srovnatelné s Arubou.

Nadbytečnost. SMTP server propojený s vaším hostingovým prostorem se obecně nachází na místě, což je serverová farma, pokud to vybuchne, jak se nedávno stalo s OVH nebo s Arubou v nedávné minulosti, může selhat jak stránka, tak celá vaše IT struktura pro odesílání a přijímání e-mailů. Mohu tedy počítat s redundantní strukturou, kde v případě poruchy nebo odstavení mého počítačového systému může okamžitě zprovoznit paralelní struktura. Mohli bychom otevřít samostatnou kapitolu o redundanci a jít do nejmenších detailů, ale tady to není místo. řekněme, že redundance je definována jako systém, který je schopen duplikovat určité funkce a tím zaručit kontinuitu služeb v případě výpadku.

Výhody použití proprietárního SMTP serveru. Pokusím se je uvést:

  • Schopnost spravovat více e-mailových účtů bez zvýšení nákladů
  • Možnost autonomně spravovat své vlastní zásady odesílání/přijímání
  • Možnost interního udržování aktualizovaného archivu vlastní pošty a provozu komunikace s vnějším světem
  • Možnost pojmenovat/přejmenovat své poštovní schránky autonomně a bez vnějšího zásahu
  • Možnost stanovení (v závislosti na zvoleném poskytovateli) adres a/nebo IP adres, které mají být na blacklistu nebo whitelistu.
  • Schopnost nezávisle stanovit zásady proti spamu
  • Schopnost nezávisle stanovit označení, DKIM, SPF a DMARC, na které mnozí zapomínají a jsou hlavní příčinou zařazení vaší domény na černou listinu.

Nevýhody použití proprietárního serveru SMTP

Nevýhod je nespočet, zvláště pokud vaše struktura není připravena a nemáte dostatečné povědomí o rizicích, která podstupujete přivedením poštovního serveru k vám domů. Technické, právní a provozní problémy by také mohly od této cesty odrazovat, hodně záleží především na úrovni technologické kultury přítomné v jeho struktuře.

  • Neschopnost se odškodnit, protože všechny odpovědnosti za správu a archivaci e-mailových zpráv zatěžují vaši strukturu.
  • Vystavení všem typům útoků a nutnost přijmout veškerá opatření k jejich omezení nebo zrušení.
  • Možnost chvíle "temnoty", kdy je server zpomalen jinými operacemi nebo dokonce není schopen plnit své funkce.
  • Potřeba zavést zuřivou politiku ochrany proti virům a spamu (abych řekl pravdu, dnes to platí trochu pro každého)
  • Potřeba systematické a efektivní politiky zálohování (toto dnes platí pro všechno).

Je také pravdou, že mnoho „profesionálních“ poskytovatelů poskytuje chráněné, certifikované nebo v každém případě téměř bez zranitelnosti SMTP servery a nebezpečí tedy plyne pouze a výhradně z nepozornosti provozovatele nebo z jeho lehkomyslnosti a nezodpovědnosti, nicméně řekněme, že hostování poštovního serveru na stejné struktuře, kde je hostován webový server, nemusí být naopak vždy správnou politikou.

závěr

Dobře, pěkné, ale na závěr? Co si vybrat?

Jednoznačná odpověď neexistuje, záleží na okolnostech a také na operaci. Doporučujeme používat cloudový poštovní server, když je struktura společnosti malá nebo mikroskopická, a SMTP server, když struktura vyžaduje mít alespoň tucet poštovních schránek, ne-li 20. Spíše z důvodu nákladů než cokoli jiného, ​​protože mít server SMTP hostovaný v zabezpečené, efektivní struktuře, která servery správně označí a používá platné a správné bezpečnostní protokoly, má vždy diskrétní výhodu nade vším. Je pravda, že potenciální problémy jsou přeneseny uvnitř. I z hlediska GDPR, bude-li na jedné straně nutné přijmout korektní Zásady ochrany osobních údajů, také platí, že v případě narušení dat mohou být důsledky mnohem závažnější s využitím cloudových systémů spravovaných třetími stranami. Dobrý SMTP server a chytrost ve správě pošty by proto měly vyřešit 90 % problémů malých podniků nebo profesionálních činností. Dobrý partner, který poskytuje adekvátní hostingové služby, technik na místě, který ví, jak správně nainstalovat e-mailového klienta, dobrý zálohovací systém, firewall a vždy aktuální antivirus, router s divokou kontrolou nad porty a můžete téměř klidně spát. Pak se může stát cokoliv, ale v zásadě to je to, co navrhujeme.