Hei IT-vastaava, ryhdy toimenpiteisiin nyt. Markkinointiosasto ja tietoturvavastaava ovat kohta käsi kädessä kimpussasi. 😉
Asia ei ehkä ihan vielä näin ole, mutta raflaavan klikkiotsikon takana piilee myös osittainen totuus. BIMI (Brand Indicators for Message Identification) on uusin sähköpostin suojaustoiminta DMARC:n, DKIM:n ja SPF:n jatkoksi. Se on pikkuhiljaa nostanut päätään ja isoimmat sähköpostitoimijat kuten esimerkiksi Google, Yahoo ja Apple sitä jo tukevat. Microsoftin mukaan tuloa saatetaan vielä tovi joutua odottamaan, mutta jos/kun se saapuu, saattaa tietohallinoilla tulla kiire, kun sitä organisaatioissa halutaan kiireellä käyttöön.
Mikä ihmeen BIMI?
BIMI (Brand Indicators for Message Identification) sähköpostin todennusteknologia, joka auttaa organisaatioita vahvistamaan sähköpostiviestien aitouden. BIMI toimii yhdessä DKIM:n, SPF:n ja DMARC:n kanssa suojaten sähköpostin toimialueita haitallisilta toimijoilta, jotka yrittävät lähettää nimissämme väärennettyjä sähköposteja.
BIMI:n avulla organisaatiot voivat lisätä brändilogonsa sähköpostiviestien viereen vastaanottajan postilaatikossa. Tämä auttaa vastaanottajia tunnistamaan, että sähköposti on peräisin kyseiseltä brändiltä tai yritykseltä. Tällä lisätään luottamusta ja parannetaan sähköpostien avausprosentteja, koska vastaanottajat voivat helposti erottaa, että viesti on aidosti tullut siltä taholta, jolta se viestissä väittää tulleensa. Alla olevassa esimerkkikuvassa on nähtävissä miltä BIMI käytännössä näyttää. LinkedIn -palvelun lähettämässä viestissä on heidän tunnistettava logonsa. Lisäksi Gmail näyttää sinisellä ”verified” tunnisteen, jonka avulla vastaanottaja voi todeta viestin alkuperän.
BIMI:ä ei ole mahdollista väärentää siten, että jokin taho voisi hyväksikäyttää sitä lähettääkseen haittaviestejä toisen organisaation nimissä ja logoilla.
BIMI:n käyttönotto
BIMI:n käyttöönoton yhtenä vaatimuksena on, että DMARC-asetus on viety joko quarantine tai reject -tilaan. Mikäli DMARC ei ole käytössä tai se on raportointitilassa (p=none), ei BIMI-todennuskaan toimi. Yksi syy siis lisää ottaa DMARC täysimääräisenä käyttöön. Kirjoitin DMARC:sta viime vuonna blogikirjoituksessa Viestinnän tietoturva osa 1 ja se on luettavissa täältä.
Toinen mitä BIMI:ä varten tarvitaan, on sertifikaatti. Sertifikaatteja on kahta eri tyyppiä. VMC (Verified Mark Certificate) on vahvempi ja se edellyttää rekisteröityä tuotemerkkiä, jotta sen saa käyttöönsä. CMC (Common Mark Certificate) on saatavilla kaikille organisaatiolle, mutta sen todennus ei ole yhtä vahva kuin VMC:n. Sertifikaatteja saa hankittua Digicertiltä ja Entrustilta. Hinnaltaan ne ovat noin 1200-1600 euron välillä vuodessa. VMC-sertifikaatit ovat hivenen kalliimpia kuin CMC:t.
Yhteenveto
BIMI:n idea tuoda vastaanottajalle helposti viestin alkuperän tunnistus on mielestäni erinomainen asia. Myös brändinäkökulmasta logon tuominen viesteihin on varmasti mieluinen ominaisuus eri tahoille kuten organisaatioiden myynti- ja markkinointiosastoille. BIMI:n haasteena kuitenkin on sen vaatimukset tuotemerkin rekisteröinnin osalta. CMC-sertifikaateilla BIMI:n saa toki toimimaan, mutta eri sähköpostipalvelut saattavat käsitellä niiden luotettavuutta eri tavoin. Mielenkiinnolla kuitenkin jään odottamaan miten BIMI tulee kehittymään ja saamaan suosioita. Aineksia siihen on.
Vaikkakin BIMI:n käyttöönotto eri juuri nyt olisi ajankohtaista, on viestinnän luotettavuuteen meillä Suomessa syytä kiinnittää huomioita ottamalla DMARC -käyttöön. Suomessa ainoastaan noin 50% kaikista organisaatioista on ottanut sen käyttöönsä. Tehtävää siis on, jotta saadaan suojauduttua sähköpostitoimialueidemme väärinkäytöksiltä.
Mikäli viestinnän luotettavuusasiat mietityttävät, ota yhteyttä alta niin jutellaan lisää.
