Sähköposti on vaaravyöhykkeessä – miksi lähes kaikki toimialat epäonnistuvat postilaatikon suojelussa?
Sähköpostiturvallisuuden hiljainen kriisi
Ollaan suoraan: valtaosa organisaatioista laiminlyö sähköpostin suojaamisen. Tiimimme UnblockMasterilla analysoi hiljattain yli 5 800 verkkotunnusta eri toimialoilta ja maista. Tulokset huolestuttavat jokaista, joka käsittelee arkaluonteista tietoa sähköpostitse.
Kyse ei ole siitä, että sähköpostiturvallisuus olisi monimutkaista. Ongelma on, että organisaatiot eivät yksinkertaisesti vaivaudu toteuttamaan perusprotokollia, jotka suojelisivat käyttäjiä väärennyksiltä, tietojenkalastelulta ja hyökkäyksiltä.
Sähköpostiturvallisuuden neljä tukipilaria
Ennen kuin sukellamme lukuihin, käydään läpi mitä oikeastaan mittasimme.
SPF (Sender Policy Framework) on perustaso. Se kertoo vastaanottaville postipalvelimille, mitkä IP-osoitteet saavat lähettää sähköpostia verkkotunnuksesi nimissä. Ilman SPF:ää kuka tahansa voi tehdä sähköposteja, jotka näyttävät tulevan sinulta.
DKIM (DomainKeys Identified Mail) lisää digitaalisen allekirjoituksen viesteihisi. Se varmistaa, ettei viestejä ole muokattu matkalla. Ajattele sitä tamperointisuojana kirjekuoressa.
DMARC (Domain-based Message Authentication, Reporting & Conformance) sitoo SPF:n ja DKIM:n yhteen. Se kertoo vastaanottajille, miten toimia viestien kanssa, jotka eivät läpäise todennusta. Tämä on sähköpostiturvallisuuden liikennevartija.
MTA-STS (Mail Transfer Agent Strict Transport Security) pakottaa salausprotokollan postipalvelinten välisiin yhteyksiin. Se estää vakoilun ja yhteyden heikennyksen hyökkäykset.
Nämä neljä protokollaa toimivat yhdessä. Yhdenkin puuttuminen jättää aukon suojaan.
Toimialat, jotka epäonnistuvat pahiten
Näin kävi, kun tutkimme verkkotunnuksia toimialoittain.
Terveydenhuolto sijoittui johdonmukaisesti huonoimpien joukkoon. Tämä on erityisen huolestuttavaa, kun ottaa huomioon GDPR:n ja sairausdatan herkkyyden. Huomasimme, että merkittävä osa terveydenhuollon verkkotunnuksista ei käyttänyt DMARC-politiikkaa lainkaan. Käytännössä kuka tahansa saattoi tekeytyä heiksi.
Rahoitusala pärjäsi hieman paremmin, mutta silti heikosti. Monet pienet pankit ja fintech-yritykset eivät olleet ottaneet käyttöön MTA-STS:ää. Sähköpostiyhteydet jäivät alttiiksi sieppauksille, vaikka käsiteltiin arkaluonteista asiakastietoa.
Koulutusala yllätti negatiivisesti. Suurten käyttäjämäärien ja arvokkaan tutkimusdatan omaavat yliopistot puuttuivat usein perustodennuksesta.
Julkishallinto näytti vaihtelevaa osaamista eri maissa. Osa oli pitkällä, osalla ei ollut käytännössä mitään suojauksia.
Vähittäiskauppa ja verkkokauppa epäonnistui säännöllisesti. Miljoonien transaktioiden käsittelystä huolimatta tilausvahvistuksia ja toimitusilmoituksia saattoi väärentää helposti.
Maat, joissa sähköpostiturva on heikoimmillaan
Maantieteellinen jakautuma paljasti mielenkiintoisia eroja. Maat, joissa kyberturvallisuuden perusrakenne on heikko, näyttivät matalampia lukuja kaikissa protokollissa.
Kehittyvät markkinat näyttivät hälyttävimpiä tilastoja. Monissa näissä maissa organisaatiot keskittyvät näkyvämpään infrastruktuuriin ja sähköpostiturvallisuus jää sivuun.
Pienet saarivaltiot ja kehittyvät taloudet yllättivät matalilla toteutusluvuilla kaikissa neljässä protokollassa.
Länsimaiset maat ja vahvan kyberturvaosaamisen omaavat Itä-Aasian maat pärjäsivät paremmin. Silti täälläkin pienemmissä organisaatioissa oli merkittäviä aukkoja.
Miksi tämä koskee sinua
Käytännön totuus on tämä: kun yritys ei toteuta näitä protokollia, olet riskissä joka kerta kun saat sähköpostin heiltä.
Ilman kunnollista sähköpostitodennusta:
- Huijarit voivat tekeytyä pankiksesi vakuuttavilla viesteillä
- Hyökkääjät voivat väärentää toimitusilmoituksia levittääkseen haittaohjelmia
- Arkaluonteiset yritysviestit voidaan kaapata
- Toimittajasi verkkotunnusta voidaan käyttää sinua vastaan kohdennetuissa hyökkäyksissä
Testasimme tätä laajasti. UnblockMaster VPN:n avulla analysoimme verkkoliikenteen kaavoja. Näimme säännöllisesti, miten helposti sähköpostiliikennettä voidaan hyödyntää, kun näitä protokollia ei ole käytössä.
Hyvän sähköpostiturvallisuuden piirteet
Analyysimme perusteella kunnollinen sähköpostin suojaus sisältää:
- SPF-tietueet määriteltynä vain valtuutetuille postipalvelimille
- DKIM-allekirjoitukset kaikessa lähtevässä postissa
- DMARC-politiikat asetettuna "reject"-tilaan tai vähintään "quarantine"-tilaan (ei "none")
- MTA-STS käytössä TLS-yhteyksien pakottamiseksi
- TLS-raportointi ongelmien seurantaan
Kunnollinen DMARC-tietue näyttää tältä:
v=DMARC1; p=reject; rua=mailto:reports@example.com; pct=100
Tämä käskee vastaanottavia palvelimia hylkäämään kaikki todennuksen läpäisemättömät viestit ja lähettämään sinulle raportteja yrityksistä.
Mitä voit tehdä nyt
Yksityishenkilöille:
- Käytä laadukasta VPN:ää kuten UnblockMasteria, kun käytät sähköpostia julkisissa verkoissa — tämä lisää suojakerroksen, vaikka palveluntarjoaja ei olisi toteuttanut kunnollista turvallisuutta
- Ota kaksivaiheinen tunnistus käyttöön sähköpostitileilläsi
- Ole epäluuloinen arkaluonteisia tietoja pyytävien viestien suhteen, vaikka ne näyttäisivät tulevan tutulta
- Tarkista salauksen merkit sähköpostiohjelmassasi
Organisaatioille:
- Tarkista nykyinen sähköpostiturvallisuuden tila työkaluilla kuten MXToolbox tai suosittelemamme skanneri
- Ota kaikki neljä protokollaa käyttöön oikeassa järjestyksessä
- Aloita seurantamoodista (p=none) ennen pakotteiden käyttöönottoa
- Seuraa DMARC-raportteja havaitsemaan väärennysyritykset
- Vaadi TLS-salausta kaikessa arkaluonteisessa sähköpostiviestinnässä
Lopuksi
Sähköposti on edelleen yleisin hyökkäysväylä kyberuhkissa. Sen suojaamiseen tarvittavat protokollat ovat olleet olemassa vuosia ja ne ovat ilmaisia. Silti analyysimme osoittaa, että enemmistö organisaatioista ei ole vaivautunut toteuttamaan niitä kunnolla.
Tämä ei ole enää tekninen ongelma. Kyse on organisaatioiden prioriteeteista. Kunnes yritykset, viranomaiset ja laitokset alkavat pitää sähköpostiturvallisuutta välttämättömänä infrastruktuurina eikä ylimääräisenä kustannuksena, näemme tietomurtoja, tietojenkalastelua ja sähköpostipetoksia epidemiatasolla.
UnblockMasterilla näemme päivittäin näiden tietoturva-aukoista johtuvat seuraukset. Autamme käyttäjiä suojautumaan salatuilla yhteyksillä ja turvallisella selailulla. Mutta oikea ratkaisu on saada organisaatiot toteuttamaan perusasiat.
Työkalut ovat olemassa. Tieto on olemassa. Ainoa puuttuva osa on tahto käyttää niitä.
Tags: email security, spf, dmarc, dkim, mta-sts, cybersecurity, data protection, online privacy, vpn security
What is Unblock Master VPN?
Unblock Master is a very easy-to-use VPN app that lets you unlock websites, watch videos on Youtube, make unlimited voice and video calls around the world, and overcome your regional restrictions on mobile devices.
Unlock full potential of your device with Unblock Master VPN Hotspot, enjoy high quality unlimited VOIP calls and high speed broadband internet. Unblock Master VPN offers a secure path through public networks. Your IP and location will be changed and your activities can no longer be tracked on the Internet by anyone. Both mobile phones and tablets are supported by this VPN app.
- Unblock Master VPN keeps your privacy secured, reclaim your privacy!
- Changing IP address makes you anonymous on the internet.
- Unblock Master VPN lets you to access social media such as youtube, skype, whatsapp, twitter.
- Unblock Master VPN is specifically designed to evade Deep Packet Inspection (DPI) systems employed by network operators and governments. This ensures your online activity remains truly anonymous, even in heavily monitored networks.