Az emailjeid védtelenek – a legtöbb iparág pedig pocsékul teljesít a biztonságodban
Az emailbiztonság válsága, amiről senki nem beszél
őszintén szólva: a legtöbb cégnél borzasztóan rosszul állnak az emailbiztonsággal. A csapatunk mostanában több mint 5800 domaint vizsgált át különböző iparágakban és országokban, és az eredményeknek mindenkit aggasztania kellene, aki érzékeny információkat küld vagy fogad emailben.
A baj nem az, hogy bonyolult lenne az emailbiztonság. Az a baj, hogy egyszerűen nem veszik a fáradságot, hogy implementálják az alapvető protokollokat, amelyek megvédenék a felhasználóikat a hamisítástól, phishingtől és a közbeékelődéses támadásoktól.
A négy pillér, amit senki sem ismer
De mielőtt belemennénk a számokba, tisztázzuk, mit is mértünk valójában:
Az SPF a legelemibb védelmi vonal. Ez mondja meg a fogadó mailszervereknek, hogy mely IP-címek küldhetnek emailt a domainünk nevében. SPF nélkül bárki küldhet hamisított leveleket a nevünkben.
A DKIM egy digitális aláírást tesz a leveleinkre, ezzel igazolja, hogy nem módosították őket útközben. Vagyis olyan, mint egy zárjegy a borítékon.
A DMARC összekapcsolja az SPF-et és a DKIM-et, és megmondja a fogadó szervereknek, hogy mit tegyenek azokkal a levelekkel, amelyek nem mennek át az autentikáción. Ő a traffipax az emailbiztonságban.
Az MTA-STS kikényszeríti a titkosított TLS-kapcsolatokat a mailszerverek között, így nem lehet belehallgatni a kommunikációba, és nem lehet visszafejleszteni a kapcsolatot egy gyengébb protokollra.
Mind a négy protokoll együtt működik, és együtt alkotják a biztonságos emailecoszisztémát. Ha bármelyik hiányzik, ott támadási felület nyílik.
Az iparágak, ahol a legnagyobb a kudarc
Nézzük, mit találtunk, amikor iparágak szerint vizsgáltuk a domaineket:
A health szektor következetesen a legrosszabbak között van. Ez különösen aggasztó, ha figyelembe vesszük a HIPAA-előírásokat és az érzékeny egészségügyi adatokat. Rengeteg egészségügyi domainnek egyáltalán nincs DMARC-szabályzata — vagyis elméletileg bárki megszemélyesítheti őket.
A pénzügyi szektor valamivel jobban teljesített, de még mindig döbbenetes hiányosságokkal. Sok kisebb bank és fintech cég, amely érzékeny ügyféladatokat kezel, nem implementálta az MTA-STS-t, így az emailkommunikációjuk sebezhető az elfogással szemben.
Az oktatás meglepett minket a gyenge számokkal, főleg a kisebb intézményeknél. Egyetemek, amelyek hatalmas felhasználói bázissal és értékes kutatási adatokkal rendelkeznek, gyakran még az alapvető emailhitelesítést sem használják.
A kormányzati szervek több országban is inconsistent módon implementáltak — van, ahol kiforrott biztonsági rendszer működik, de olyan is akad, ahol szinte semmi sincs.
A kereskedelem és e-kereskedelem cégek, amelyek milliószámra bonyolítanak tranzakciókat, gyakran nem konfigurálják megfelelően az emailrendszerüket, így a hamis rendelésvisszaigazolások és szállítási értesítők könnyen megszemélyesíthetők.
Országok, ahol a legrosszabb az emailbiztonság
A földrajzi bontás érdekes mintákat mutatott. Azok az országok, ahol kevésbé fejlett a kiberbiztonsági infrastruktúra, következetesen alacsonyabb adoptációs rátákat mutatnak az emailbiztonsági protokolloknál.
A fejlődő piacok a legaggasztóbb statisztikákat produkálták. Sok szervezet ezekben a régiókban még nem tette prioritássá az emailbiztonságot, más, látványosabb infrastrukturális problémákra koncentrálnak.
A kis szigetállamok és fejlődő gazdaságok meglepően alacsony implementációs rátákat mutatnak mind a négy protokoll esetében.
A nyugati országok és a erős kiberbiztonsági hagyományokkal rendelkező kelet-ázsiai államok általában jobban teljesítenek, de még itt is jelentős hiányosságokat találtunk a kisebb szervezeteknél.
Miért kell ez neked?
A gyakorlatban ez azt jelenti: amikor egy cég nem implementálja ezeket a protokollokat, te vagy veszélyben minden alkalommal, amikor kapsz tőlük egy levelet.
Megfelelő emailhitelesítés nélkül:
- A phisherek megszemélyesíthetik a bankodat hitelesnek tűnő levelekkel
- A támadók hamis szállítási értesítésekkel malware-t juttathatnak be
- Az érzékeny üzleti kommunikációt el lehet fogni
- A partnered domainjét felhasználhatják ellened egy célzott támadásban
Ezt alaposan leteszteltük. Az UnblockMaster VPN segítségével elemezve a hálózati forgalmi mintákat, rendszeresen látjuk, mennyire könnyű kihasználni az emailforgalmat, ha ezek a protokollok nincsenek a helyükön.
Mire néz ki a jó emailbiztonság?
Az elemzésünk alapján a megfelelő emailbiztonsági konfiguráció ezeket tartalmazza:
- SPF rekordok megfelelően beállítva, csak az engedélyezett mailszerverekkel
- DKIM aláírások implementálva minden kimenő levelen
- DMARC szabályzatok „reject" módban, vagy minimum „quarantine" (nem „none")
- MTA-STS bekapcsolva a TLS-kapcsolatok kikényszerítéséhez
- TLS reporting bekapcsolva a problémák monitorozásához
Egy rendes DMARC rekord így néz ki:
v=DMARC1; p=reject; rua=mailto:reports@example.com; pct=100
Ez megmondja a fogadó szervereknek, hogy utasítsák el azokat a leveleket, amelyek nem mennek át az autentikáción, és küldjenek jelentést a szóban forgó hamisítási kísérletekről.
Mit tehetsz most azonnal?
Ha egyéni felhasználó vagy:
- Használj jó VPN-t — például UnblockMaster — nyilvános hálózatokon az email eléréséhez. Ez plusz védelmet ad, még ha az email-szolgáltatód nem is implementálta rendesen a biztonságot
- Kapcsold be a kétfaktoros azonosítást az emailfiókjaidon
- Legyél gyanakvó minden olyan leveleddel szemben, amely érzékeny információkat kér, még ismert feladóktól is
- Ellenőrizd a titkosítási jelzéseket az emailkliensedben
Ha szervezetnél dolgozol:
- Auditáld a jelenlegi emailbiztonsági helyzetedet — használj olyan eszközöket, mint az MXToolbox vagy az általunk ajánlott scanner
- Implementáld mind a négy protokollt a helyes sorrendben
- Kezdd monitorozási módban (p=none), mielőtt átállítanád a kényszerítésre
- Figyeld a DMARC-jelentéseket a szóban forgó hamisítási kísérletekért
- Követeld meg a TLS-t minden érzékeny emailkommunikációnál
A lényeg
Az email továbbra is az elsődleges támadási vektor a legtöbb kibertámadásnál. A protokollok, amelyek biztosítanák, évek óta léteznek és ingyenesen elérhetők. Mégis, az elemzésünk azt mutatja, hogy a szervezetek többsége nem veszi a fáradságot, hogy rendesen implementálja őket.
Ez már nem technikai probléma — szervezeti prioritás kérdése. És amíg a vállalkozások, kormányok és intézmények nem kezelik az emailbiztonságot alapvető infrastruktúraként, hanem opcionális költségként, addig folytatódnak a incidensek, phishingtámadások és emailalapú csalások járványszerű méretekben.
Az UnblockManagernél nap mint nap látjuk ezeknek a biztonsági kudarcoknak a következményeit. Segítünk a felhasználóknak védekezni titkosított kapcsolatokkal és biztonságos böngészéssel, de a valódi megoldás az lenne, ha a szervezetek implementálnák az alapokat.
A eszközök megvannak. A tudás rendelkezésre áll. Az egyetlen hiányzó elem a szándék, hogy használják őket.
Tags: email security, spf, dmarc, dkim, mta-sts, cybersecurity, data protection, online privacy, vpn security
What is Unblock Master VPN?
Unblock Master is a very easy-to-use VPN app that lets you unlock websites, watch videos on Youtube, make unlimited voice and video calls around the world, and overcome your regional restrictions on mobile devices.
Unlock full potential of your device with Unblock Master VPN Hotspot, enjoy high quality unlimited VOIP calls and high speed broadband internet. Unblock Master VPN offers a secure path through public networks. Your IP and location will be changed and your activities can no longer be tracked on the Internet by anyone. Both mobile phones and tablets are supported by this VPN app.
- Unblock Master VPN keeps your privacy secured, reclaim your privacy!
- Changing IP address makes you anonymous on the internet.
- Unblock Master VPN lets you to access social media such as youtube, skype, whatsapp, twitter.
- Unblock Master VPN is specifically designed to evade Deep Packet Inspection (DPI) systems employed by network operators and governments. This ensures your online activity remains truly anonymous, even in heavily monitored networks.