Miten estät roskapostien tai huijausviestien lähetyksen omasta domainistasi?
Tiesitkö, että kuka tahansa voi käyttää sinun sähköposti-osoitettasi omiin postituksiinsa? Lähettää nimissäsi vaikka jonkun huijausviestin työkaverillesi? Pelottavaa mutta totta. Se ei ole edes vaikeaa.
Käytössä oleva vanhentunut SMTP-protokolla antaa kenen tahansa kirjoittaa emailinsa lähettäjäksi minkä tahansa sähköpostiosoitteen. Protokollassa ei ole mitään varmistusta siitä että lähettäjä on kuka hän väittää olevansa.
Käytännön esimerkkihän tässä on se että kun asennatte puhelimeen tai tietokoneeseenne uutta sähköpostiohjelmaa tai tiliä niin itsehän te sinne syötätte oman nimenne ja lähettäjän osoitteen. Sinne voi siis halutessaan kirjoittaa nimeksi vaikka ”Sauli Niinistö” ja osoitteeksi presidentti@tpk.fi.
On suorastaan lapsellisen helppoa lähettää sähköposteja jonkun toisen nimissä. Ainoa mitä tarvitaan on mikä tahansa tietokone johon saa asennettua sähköpostiohjelman. Ja tosinörtit tekevät homman telnetillä ja avaavat yhteyden vastaanottajan postipalvelimen porttiin 25 ja alkavat ”puhumaan SMTP:tä”.
Sähköpostien turvattomuuteen puuttui juuri Tietoviikkokin. Sen julkaiseman tutkimuksen mukaan 77 prosenttia suomalaisista yrityksistä ei suojaa omaa sähköpostiaan tehokkaasti.
Tähän asiaan on kohtuullisen helppo ratkaisu.
Avainsanana on SPF, eli sender policy framework. Lue kirjoituksemme, miten kytket SPF-asetuksen päälle MailChimp-palvelua varten, jolloin varmistat sähköpostiviestiesi läpimenon. Siinä domainien nimipalveluun lisätään tieto sähköpostipalvelimista jotka saavat lähettää domainin postia.
SPF:ssä listataan kaikki sähköpostipalvelimet jotka saavat domainin nimissä sähköpostia lähettää. Jos palvelinta X ei ole siellä listattuna, vastaanottajapään palvelin toimii kuten pitää, eli poistaa saapuvan postin roskapostina koska se on lähetetty sellaisen palvelimen kautta mitä ei ole listattu.
Jos SPF otetaan käyttöön on ensiarvoisen tärkeää että koko firman tasolla tehdään lista kaikista palvelimista joiden kautta lähetetään firman nimissä sähköpostia. Kyllä, myös siitä toimitusjohtajan omasta tablettitietokoneesta ja kotona olevasta ADSL-liittymästä mistä kummastakaan tietohallinto ei ole tietoinen kun toimari ne itse asensi.
Tyypillisesti listauksesta unohtuvat juuri TJ:n tai myyntijohtajan kotiliittymien postipalvelimet. Ja kuten arvata saattaa, henkilöt ovat sitten ”lievästi” äkäisiä kun heidän illalla laatimansa tarjouspyynnön aikarajaa hipova tarjous ei sitten koskaan mennytkään perille. Kauppa jäi saamatta.
SPF:kään ei ole ongelmaton. Päinvastoin. Jos sen käyttöönottoa ei suunnitella hyvin, se on ihan jumalaton ongelmageneraattori.
SPF:n käyttöönoton johdosta eräs iso asiakasyrityksemme lähetti parhaalle asiakkaalleen tratan ja tästäkös asiakas riemastui. Tämä on mahdollista esimerkiksi seuraavalla tavalla:
- Ota SPF-käyttöön, luettele siellä ”kaikki” sähköpostipalvelimet, mutta unohda se että firman taloushallinto on ulkoistettu vaikkapa jollekin taloushallintopalveluita tarjoavalle taholle.
- Asiakkaasi on pyytänyt että laskut tulisivat PDF-muotoisina sähköpostitse.
- Kun SPF:ään lisättiin kaikki firman omat SMTP-palvelimet, mutta unohdettiin ulkoistetun laskutuspalvelun käyttämä palvelin tai palveliMET, laskut ja mahdollinen maksumuistutus ei ikinä päädy asiakkaan silmien eteen vaan ensimmäinen tieto asiakkaalle laskusta on pöydälle saapuva trattakirje.
SPF:ää laajempia ja varmempia keinoja ovat sitten vielä DMARC tai DKIM jotka allekirjoittavat lähetetyt sähköpostit digitaalisesti. Ne tulevat siis SPF:n päälle ja toimiakseen edellyttävät myös SPF:n käyttöä.
Ongelmana sitten on se että digitaalisen allekirjoituksen lisääminen kaikkiin päätelaitteisiin (tietokone, puhelin, tabletti) ei ole helppoa. Valitettavasti tietoturva ja helppokäyttöisyys ovat edelleen toisensa poissulkevia määreitä.
Hyvät uutiset?
Kaikkiin webhotelleihimme kuuluu vakiona suhteellisen helppokäyttöinen työkalu jolla voit halutessasi ottaa omalle domainillesi SPF:n käyttöön. Muista kuitenkin miettiä hetki jos toinenkin ennen kuin otat sen käyttöön. Kaiken varalta.