Chraňte e-mail proti zneužití, ale s rozmyslem

V posledních týdnech jsme se poměrně často zabývali e-mailovou komunikací a dnes do této skupiny článků přibude další. Z části jej nepřímo „sponzoroval“ web technet.cz tím, že jsem si všiml jejich nedávno publikovaného článku Ohlídejte si e-mail. Nejen vaši adresu může zfalšovat každý.

Pokud se internetem profesionálně nezabýváte, tak jej mohu doporučit k přečtení, protože formou přístupnou veřejnosti popisuje některá rizika e-mailové komunikace včetně některých poměrně zásadních poznámek, které obvykle málokoho napadne explicitně zmínit (například, že znalost hesla ke schránce k podvržení odesílatele skutečně není nutná).

Pozor na přehnaná opatření

Čemu se chci ale krátce věnovat jsou naše zkušenosti s opačnou stranou extrému. Odesílatelé (myšleno firmy, které mají vlastní doménu a na ní e-mailové schránky) totiž ve spěchu za zabezpečením proti podvrhu jejich e-mailových adres nasadí, bez předchozí kontroly, příliš extrémní opatření. A to i přes to, že hlavní část problému spočívá na straně příjemce. Můžete totiž sice opevnit svoji doménu mojevlastnifirma.cz, ale pokud si Vaši zákazníci nezkontrolují pečlivě odesílatele a vesele pošlou peníze na účet v podvrženém e-mailu od fakturace@mojevlastnifirma.eu, pak stejně nemůžete cíleným útokům zabránit.

Systém na ověření IP adresy: dobrý sluha, zlý pán

Příkladem snadného přehnaného opatření může být využití SPF (Sender Policy Framework). Zjednodušeně jde o nastavení domény, které říká, že e-maily jejím jménem smí posílat pouze vybrané počítače v internetu – obvykle poštovní servery. Pokud tedy máte hosting u nás na serveru s IP adresou 78.24.9.91, tak byste tam napsali „78.24.9.91 může, ostatní nemůžou“. Vy budete odesílat svoje e-maily přes SMTP server mail.mojevlastnifirma.cz, což je jenom pojmenování pro tutéž adresu 78.24.9.91 a vše bude v pořádku.

Jenže ouha, v té poslední větě je skrytá ta zrada. Třeba pokud se rozhodnete, že k rozeslání velkého firemního newsletteru použijete specializovanou službu. V určitém místě budete muset vyplnit jménem jaké e-mailové adresy se má newsletter odeslat, tak pochopitelně zvolíte něco jako recepce@mojevlastnifirma.cz. Což je ale přesně to, o čem se v článku mluví – tedy chcete po rozesílající službě, aby podvrhla adresu odesílatele a místo sebe tam napsala tu Vaši. Když pak zapomenete SPF nastavení předem upravit, tak celý Váš newsletter letí rovnou do koše.

Podobným způsobem se lze takzvaně střelit do nohy s každým z těch bezpečnostních opatření. To samozřejmě není zrovna dobrý důvod nic nedělat, ale pouze připomenutí, že i chránit e-maily je třeba s rozmyslem.

O autorovi

analytik a vývojář