Článek test es

E-mail je od počátku náchylný k zneužití.

Jedním z hlavních problémů je snadné podvržení odesílatele. Je jednoduché nastavit libovolné jméno odesílatele, například jméno ředitele firmy, a poslat e-mail s falešným příkazem k převodu peněz. Záleží na správci e-mailového serveru, aby takovému podvržení odesílatele zabránil, což je obvykle možné.

Dalším problémem je bezpečnost přenášených informací. E-mailová zpráva je text bez jakékoliv ochrany, který putuje přes internet. I když putuje šifrovaným kanálem, nemáte kontrolu nad tím, zda-li všichni serverové provozovatelé na trase také používají šifrování. Obsah zprávy není chráněn heslem ani šifrováním, což může ohrozit její bezpečnost. Uživatel však může tuto úroveň ochrany zvýšit pomocí elektronického podpisu nebo šifrování zpráv pomocí S/MIME certifikátu.

Posledním problémem je spam. Boj s nevyžádanou poštou je denní výzvou pro provozovatele e-mailových serverů, protože spam obtěžuje příjemce a zaplňuje poštovní schránky. Pokud správce serveru neumí efektivně bojovat proti spamu, může se stát, že buď dostanete příliš mnoho nevyžádaných zpráv, nebo naopak důležitá zpráva bude chybně označena jako spam a nedostanete ji.

Zabezpečení e-mailového serveru a jejich použití

Existuje několik metod zabezpečení e-mailového serveru, které mohou pomoci minimalizovat rizika spojená s emailovou komunikací. Některé z těchto metod zahrnují:

• SPF (Sender Policy Framework): SPF umožňuje definovat seznam serverů, které jsou oprávněny odesílat e-maily jménem určité domény. Tím lze snížit riziko podvržení odesílatele a označení zpráv jako SPAM.
• DKIM (Domainkeys Identified Mail): DKIM slouží k ověření pravosti zprávy a její neměnnosti. Pomocí kryptografických klíčů se zpráva podepíše, což umožňuje příjemci ověřit její autenticitu a integritu.
• DMARC (Domain-based Message Authentication, Reporting, and Conformance): DMARC kombinuje mechanismy SPF a DKIM a poskytuje další možnosti konfigurace. Správce e-mailového serveru může pomocí DMARC určit, jak se má nakládat s e-maily, které neprošly správným ověřením. Tento mechanismus umožňuje lepší kontrolu nad doručováním zpráv.

Nyní se podívejme, jak je v Česku rozšířeno použití výše uvedených mechanismů a zdali je použito správně. Statistika vychází ze zpráv, které byly v posledním měsíci doručeny na poštovní servery ZONER a.s. Jedná se tedy o statistiku z „živých“ dat.

Většina odesílatelů SPF, DKIM, DMARC používá – ŠPATNĚ

Při komplexnosti výše uvedených technologií není divu, že se občas konfigurace nepovede správně. V naší statistice registrujeme určitý počet serverů, které jsou nakonfigurovány špatně a jejich správce o tom určitě neví. Ohrožuje tím doručování i příjem zpráv v dané doméně.

Všechny tři ochrany se nastavují u odesílatele formou DNS záznamu, který nese dodatečné informace o autorizovaném odesilateli. Příjemce si tyto informace z DNS přečte, vyhodnotí a následně rozhodne, co se správou udělá. Vyhodnocení může být kladné, žádné (neutrální, záznam nenalezen) či záporné (většinou odmítnutí zprávy). Pojďme se podívat jak zabezpečené byly zprávy, které do ZONERu dorazily.

Všechny tři nástroje byly použity u 83 % příchozích zpráv, což vypadá pozitivně. Po vyhodnocení jednotlivých zpráv a nastavení SPF, DKIM a DMARC však úspěšnost použití rapidně klesá. Ve vztahu ke všem příchozím zprávám je statistika ještě horší.

SPF bylo správně použito jen u 77 % zpráv, které ho měli v hlavičce. To znamená, že u 30 % všech příchozích zpráv nebylo možno SPF vyhodnotit (jako by nebylo použito) a 2 % byly odmítnuty. SPF tedy bylo správně nastaveno u méně než dvou třetin všech příchozích zpráv. Celých 23 % zpráv mělo SPF použito špatně.

DKIM byl u 68 % zpráv, kde byl použit, vyhodnocen kladně. To znamená, že DKIM byl správně vyhodnocen pouze u 53% všech příchozích zpráv a u 47% zpráv DKIM nebyl použit, nebo byl chybně nastaven.

Rozšíření DMARC je na tom podobně – pouze 54 % zpráv bylo vyhodnoceno kladně. 42 % zpráv nebylo možné takto ověřit (odesílatele ho nepoužívá) a 4 % zpráv při ověření selhaly, ale nebyly odmítnuty. DMARC byl správně vyhodnocen pouze u 39 % všech příchozích zpráv.

DKIM a DMARC neumí správci používat

Z této statistiky je zřejmé, že používání bezpečnostních mechanismů dělá správcům serverů problémy a neumí je správně nastavit. Míra adopce je u na první pohled vysoká (83 % zpráv), ale po vyhodnocení jednotlivých zpráv je statistika použití tristní; DKIM a DMARC byl správně vyhodnocen jen 53 % a 39 % příchozích zpráv. Tyto dva nástroje dělají správcům větší vrásky jak starší SPF, které už celkem umí použít – správně bylo u 77 % příchozích zpráv.

Uznávám, že DMARC a DKIM jsou komplexní technologie a jejich nastavení není triviální. Ač mohou tyto dva pomocníky mnozí správci vnímat jako zbytečné, tak pro českou veřejnou správu a státní orgány jsou už dlouho závazně povinné. Proto by se tito pomocníci neměli podceňovat.

Zcela bez jakékoliv autentizace posílá poštu 10 % serverů, které jsou velmi rizikové. Nepoužívají žádnou ochranu proti podvržení odesílatele.