Start your free 7 Days trial now by downloading Unblock Master VPN   Download on App Store   Download on Google Play

Váš e-mail je v nebezpečí. A většina firem s tím nic nedělá.

Váš e-mail je v nebezpečí. A většina firem s tím nic nedělá.

Emailová bezpečnost: Krize, o které se nikomu nechce mluvit

Upřímně? Většina firem a institucí absolutně zaspala, pokud jde o zabezpečení e-mailu. Naše parta v UnblockMaster nedávno prověřila přes 5 800 domén napříč různými odvětvími a zeměmi. Výsledky? Ty vás donutí zamyslet se nad každým e-mailem, který kdy přijmete.

Podstata problému není v tom, že by zabezpečení e-mailu bylo složité. Problém je, že většina organizací jednoduše nemá čas (nebo chuť) nasadit základní protokoly, které by ochránily jejich uživatele před falšováním zpráv, phishingem a útoky typu man-in-the-middle.

Čtyři pilíře, na kterých emailová bezpečnost stojí

Než se ponoříme do konkrétních čísel, pojďme si říct, co vlastně měříme:

SPF (Sender Policy Framework) představuje úplný základ. Jde v podstatě o seznam povolených IP adres, které smějí odesílat e-maily z vaší domény. Bez SPF si kdokoliv může vytvořit e-mail, který bude vypadat, jako by přišel od vás.

DKIM (DomainKeys Identified Mail) přidává k vašim zprávám digitální podpis. Ten ověřuje, že e-mail nikdo cestou nepozměňoval. Představte si to jako holografickou nálepku na dopise — pokud je porušená, něco není v pořádku.

DMARC (Domain-based Message Authentication, Reporting & Conformance) spojuje SPF a DKIM dohromady a zároveň říká příjemcům, jak mají s neověřenými e-maily nakládat. Je to takový hlídač na křižovatce e-mailového provozu.

MTA-STS (Mail Transfer Agent Strict Transport Security) vynucuje šifrované TLS spojení mezi poštovními servery. Zabraňuje tomu, aby někdo odposlouchával vaši e-mailovou komunikaci nebo ji záměrně degradoval na nezabezpečené spojení.

Všechny čtyři protokoly spolupracují jako dobře seřízený stroj. Když chybí byť jeden, vzniká díra v obraně.

Která odvětví na tom jsou nejhůř

Tady přichází ta nepříjemná část. Rozdělili jsme domény podle odvětví a výsledky mluví za vše:

Zdravotnictví dopadlo katastrofálně. A to přesto, že má HIPAA požadavky a pracuje s mimořádně citlivými daty. Spousta zdravotnických domén neměla vůbec žádnou DMARC politiku — prakticky kdokoliv je mohl napodobit.

Finanční sektor byl o trochu lepší, ale rozhodně ne dobrý. Menší banky a fintech společnosti, které denně zacházejí s citlivými zákaznickými údaji, často neměly implementovaný MTA-STS. Jejich e-mailová komunikace tak byla snadno odposlouchatelná.

Vzdělávací instituce nás překvapily negativně, hlavně ty menší. Univerzity s obrovskými uživatelskými základnami a cenným výzkumem často postrádaly i ty úplně nejzákladnější ověřovací protokoly.

Vládní instituce v řadě zemí ukazovaly značně nejednotný přístup. Některé měly solidní zabezpečení, jiné prakticky žádné.

E-commerce a maloobchod — přestože denně zpracovávají miliony transakcí — často selhávali v základní konfiguraci svých e-mailových systémů. Padělání potvrzovacích e-mailů k objednávkám nebo notifikací o zásilce? Pro útočníky hračka.

Geografie selhání

Když jsme se podívali na data geograficky, objevily se zajímavé vzorce:

Rozvíjející se trhy dopadly nejhůř. Spousta organizací v těchto regionech ještě neprioritizovala e-mailovou bezpečnost — soustředí se na viditelnější infrastrukturu.

Malé ostrovní státy a rozvojové ekonomiky ukazovaly překvapivě nízké nasazení všech čtyř protokolů.

Západní země a východoasijské státy s tradicí v kybernetické bezpečnosti dopadly lépe, ale i tady jsme našli značné mezery u menších organizací.

Proč by vás to mělo zajímat

Pojďme k praktické stránce věci. Když firma tyto protokoly nemá:

  • Podvodníci vám můžou posílat věrohodně vypadající e-maily „od vaší banky"
  • Útočníci můžou zfalšovat notifikace o zásilce a doručit malware
  • Citlivá firemní komunikace může být odposlouchávána
  • Doména vašeho dodavatele může být zneužita proti vám v cílených útocích

Testovali jsme to opakovaně. Pomocí UnblockMaster VPN jsme analyzovali síťový provoz a viděli, jak snadno se dá e-mailový traffic zneužít, když chybí základní protokoly.

Takhle vypadá správné zabezpečení e-mailu

Podle naší analýzy správná konfigurace zahrnuje:

  • SPF záznamy správně nastavené s výčtem pouze povolených poštovních serverů
  • DKIM podpisy na všech odchozích e-mailech
  • DMARC politiku nastavenou na „reject" (odmítnout) nebo aspoň „quarantine" (karanténa) — rozhodně ne „none"
  • MTA-STS aktivované pro vynucení TLS spojení
  • TLS reporting pro sledování případných problémů

Správný DMARC záznam vypadá třeba takhle:

v=DMARC1; p=reject; rua=mailto:reports@example.com; pct=100

Jednoduše řečeno: příjemcům se říká, aby odmítli jakýkoliv e-mail, který neprojde ověřením, a zároveň vám chodí zprávy o pokusech o falšování.

Co můžete udělat hned teď

Pro jednotlivce:

  1. Používejte kvalitní VPN jako UnblockMaster, když přistupujete k e-mailu na veřejných sítích — přidá to vrstvu ochrany, i když poskytovatel e-mailu zaspal
  2. Zapněte dvoufaktorovou autentifikaci na všech e-mailových účtech
  3. Buďte podezřívaví vůči e-mailům žádajícím o citlivé informace, i když přijdou od známých kontaktů
  4. Kontrolujte indikátory šifrování ve svém e-mailovém klientovi

Pro organizace:

  1. Prověřte svou aktuální e-mailovou bezpečnost — existují zdarma nástroje jako MXToolbox nebo námi doporučené skenery
  2. Implementujte všechny čtyři protokoly ve správném pořadí
  3. Začněte v režimu monitorování (p=none) před přechodem na vynucování
  4. Sledujte DMARC reporty — informují vás o pokusech o falšování vaší domény
  5. Vyžadujte TLS pro veškerou citlivou e-mailovou komunikaci

Závěr

E-mail zůstává hlavním vstupním bodem pro většinu kybernetických útoků. Protokoly, které ho zabezpečí, existují roky a jsou zdarma. Přesto naše analýza ukazuje, že většina organizací je jednoduše neimplementovala správně.

Toto už není technický problém. Je to problém priorit. Dokud se firmy, vlády a instituce nenaučí brát e-mailovou bezpečnost jako nezbytnou infrastrukturu místo volitelné režie, budeme dál vidět masivní úniky dat, phishingové kampaně a e-mailové podvody v epidemiálních rozměrech.

V UnblockMaster denně pozorujeme následky těchto bezpečnostních selhání. Pomáháme uživatelům chránit se pomocí šifrovaných připojení a bezpečného prohlížení. Ale skutečné řešení? To spočívá v tom, aby organizace konečně nasadily základy.

Nástroje existují. Znalosti taky. Chybí jen jediná věc — vůle je použít.

Tags: email security, spf, dmarc, dkim, mta-sts, cybersecurity, data protection, online privacy, vpn security

Unblock Master VPN Screenshot

What is Unblock Master VPN?

Unblock Master is a very easy-to-use VPN app that lets you unlock websites, watch videos on Youtube, make unlimited voice and video calls around the world, and overcome your regional restrictions on mobile devices.

Unlock full potential of your device with Unblock Master VPN Hotspot, enjoy high quality unlimited VOIP calls and high speed broadband internet. Unblock Master VPN offers a secure path through public networks. Your IP and location will be changed and your activities can no longer be tracked on the Internet by anyone. Both mobile phones and tablets are supported by this VPN app.

  • Unblock Master VPN keeps your privacy secured, reclaim your privacy!
  • Changing IP address makes you anonymous on the internet.
  • Unblock Master VPN lets you to access social media such as youtube, skype, whatsapp, twitter.
  • Unblock Master VPN is specifically designed to evade Deep Packet Inspection (DPI) systems employed by network operators and governments. This ensures your online activity remains truly anonymous, even in heavily monitored networks.

Download Unblock Master VPN Now

7 days free trial, no commitment, cancel anytime