E-postsäkerhet i fritt fall: Därför brister branscherna i att skydda din inkorg
E-postskyddet som ingen pratar om
Låt mig vara rak: de flesta organisationer klarar sig uselt när det gäller e-posthederlighet. Vårt team på UnblockMaster granskade nyligen över 5 800 domäner från olika branscher och länder. Resultaten borde oroa alla som hanterar känslig information via e-post.
Problemet är inte att e-postsäkerhet är komplicerat. Problemet är att de flesta helt enkelt struntar i att implementera de grundläggande protokollen som skulle skydda användarna från förfalskning, phishing och avlyssning.
De fyra pelarna i e-postsäkerhet
Låt mig förklara vad vi faktiskt mätte:
SPF (Sender Policy Framework) är den mest grundläggande nivån. Det talar om för mottagande mailservrar vilka IP-adresser som får skicka e-post för din domän. Utan SPF kan vem som helst förfalska e-post från din adress.
DKIM (DomainKeys Identified Mail) lägger till en digital signatur på dina e-postmeddelanden. Den bekräftar att ingen har pillrat med innehållet på vägen. Tänk dig det som ett sigill som visar om kuvertet är obrutet.
DMARC (Domain-based Message Authentication, Reporting & Conformance) knyter ihop SPF och DKIM och berättar för mottagande servrar vad de ska göra med e-post som inte klarar autentiseringen. Det är trafiKpolisen i e-postsäkerhetens värld.
MTA-STS (Mail Transfer Agent Strict Transport Security) tvingar fram krypterade TLS-anslutningar mellan mailservrar. Det förhindrar avlyssning och så kallade nedgraderingsattacker.
Alla fyra protokollen jobbar tillsammans för att skapa ett säkert e-postsystem. Saknas en enda av dem finns en lucka som angripare kan utnyttja.
Branscherna som misslyckas värst
Här är vad vi hittade när vi granskade domäner bransch för bransch:
Sjukvården hamnade konstant bland de sämsta. Det är särskilt oroande med tanke på HIPAA-kraven och känsligheten i medicinsk data. Vi såg att en stor andel av vårddomäner saknade helt DMARC-policy – vilket betyder att i princip vem som helst teoretiskt sett kunde utge sig för att vara dem.
Finanssektorn klarade sig något bättre, men visade ändå chockerande luckor. Många mindre banker och fintech-företag, trots att de hanterar känslig kunddata, hade inte implementerat MTA-STS. Deras e-postkommunikation låg öppen för avlyssning.
Utbildningssektorn överraskade oss med dåliga siffror, särskilt bland mindre institutioner. Universitet med enorma användarbaser och värdefull forskningsdata saknade ofta grundläggande e-postautentisering.
Myndigheter i flera länder visade inkonsekvent implementering. Vissa körde sofistikerad säkerhet medan andra hade i princip ingenting.
Handel och e-handel, trots att de processar miljontals transaktioner, misslyckades ofta med att konfigurera sina e-postsystem ordentligt för att förhindra förfalskning av orderbekräftelser och leveransaviseringar.
Länderna med sämst e-postsäkerhet
Den geografiska genomgången avslöjade intressanta mönster. Länder med mindre utvecklad cybersäkerhetsinfrastruktur hade konsekvent lägre implementering av e-postsäkerhetsprotokoll.
Tillväxtmarknader visade de mest alarmerande siffrorna. Många organisationer i dessa regioner har ännu inte prioriterat e-postsäkerhet – de fokuserar på mer synlig infrastruktur istället.
Små önationer och utvecklingsekonomier hade förvånansvärt låga implementeringstal för alla fyra protokollen.
Västländer och östasiatiska länder med starka cybersäkerhetstraditioner klarade sig generellt bättre. Men även där fann vi betydande luckor bland mindre organisationer.
Varför det här angår dig
Här är den praktiska verkligheten: när ett företag misslyckas med att implementera dessa protokoll är du i riskzonen varje gång du får e-post från dem.
Utan ordentlig e-postautentisering:
- Phishing-bedragare kan utge sig för att vara din bank med övertygande meddelanden
- Angripare kan förfalska leveransaviseringar för att leverera skadlig programvara
- Känsliga affärskommunikationer kan avlyssnas
- Din leverantörs domän kan användas mot dig i riktade attacker
Vi har testat det här ingående. Med UnblockMaster VPN:s möjligheter att analysera nätverkstrafikmönster ser vi regelbundet hur lätt e-posttrafik kan utnyttjas när dessa protokoll saknas.
Så här ser bra e-postsäkerhet ut
Baserat på vår analys, här är vad korrekt e-postsäkerhetskonfiguration innebär:
- SPF-poster korrekt konfigurerade för att bara lista behöriga mailservrar
- DKIM-signaturer implementerade på all utgående e-post
- DMARC-policys inställda på "reject" eller minst "quarantine" (inte "none")
- MTA-STS aktiverat för att tvinga fram TLS-anslutningar
- TLS-rapportering aktiverad för att övervaka problem
En korrekt DMARC-post ser ut ungefär så här:
v=DMARC1; p=reject; rua=mailto:reports@example.com; pct=100
Den här posten talar om för mottagande servrar att förkasta e-post som inte klarar autentiseringen och skicka rapporter till dig om försök till förfalskning.
Vad du kan göra nu
För privatpersoner:
- Använd ett bra VPN som UnblockMaster när du läser e-post på offentliga nätverk – det ger ett extra skyddlager även när e-postleverantörer inte har implementerat ordentlig säkerhet
- Aktivera tvåfaktorsautentisering på dina e-postkonton
- Var misstänksam mot e-postmeddelanden som ber om känslig information, även från kända kontakter
- Kolla efter krypteringsindikatorer i din e-postklient
För organisationer:
- Granska er nuvarande e-postsäkerhet med verktyg som MXToolbox eller vår rekommenderade scanner
- Implementera alla fyra protokollen i rätt ordning
- Börja i övervakningsläge (p=none) innan ni går över till tvång
- Övervaka era DMARC-rapporter för försök till förfalskning
- Kräv TLS för all känslig e-postkommunikation
Sammanfattning
E-post förblir den främsta attackvektorn för de flesta cyberattacker. Protokollen för att säkra den har funnits i åratal och är fritt tillgängliga. Ändå visar vår analys att majoriteten av organisationer inte har brytt sig om att implementera dem ordentligt.
Det här är inte längre ett tekniskt problem – det är ett problem med organisationsprioriteringar. Och så länge företag, myndigheter och institutioner fortsätter att behandla e-postsäkerhet som valfri overhead istället för nödvändig infrastruktur, kommer vi att fortsätta se dataintrång, phishingattacker och e-postbaserat bedrägeri på epidemiska nivåer.
På UnblockMaster ser vi de negativa effekterna av dessa säkerhetsmisslyckanden varje dag. Vi hjälper användare att skydda sig med krypterade anslutningar och säker surfning. Men den verkliga lösningen ligger i att få organisationer att implementera grunderna.
Verktygen finns. Kunskapen existerar. Den enda sak som saknas är viljan att använda dem.
Tags: email security, spf, dmarc, dkim, mta-sts, cybersecurity, data protection, online privacy, vpn security
What is Unblock Master VPN?
Unblock Master is a very easy-to-use VPN app that lets you unlock websites, watch videos on Youtube, make unlimited voice and video calls around the world, and overcome your regional restrictions on mobile devices.
Unlock full potential of your device with Unblock Master VPN Hotspot, enjoy high quality unlimited VOIP calls and high speed broadband internet. Unblock Master VPN offers a secure path through public networks. Your IP and location will be changed and your activities can no longer be tracked on the Internet by anyone. Both mobile phones and tablets are supported by this VPN app.
- Unblock Master VPN keeps your privacy secured, reclaim your privacy!
- Changing IP address makes you anonymous on the internet.
- Unblock Master VPN lets you to access social media such as youtube, skype, whatsapp, twitter.
- Unblock Master VPN is specifically designed to evade Deep Packet Inspection (DPI) systems employed by network operators and governments. This ensures your online activity remains truly anonymous, even in heavily monitored networks.