Käymme kaksiosaisessa blogikirjoituksessa läpi: mitä asioita jokaisen organisaation tulisi miettiä tänä päivänä suojatakseen organisaation sähköpostitoimialueet väärinkäytöksiltä, mitä parantaa viestiensä perillemenoa ja mitä asioita tulisi ottaa huomioon kalastelu- ja haittaviestien suojauksesta saapuvien viestien osalta.
Tässä ensimmäisessä osassa paneudutaan viestihygieniaan, eli kuinka suojaamme oman organisaatiomme sähköpostiosoitteet väärinkäytöksiltä ja parannamme viestiemme perillemeno mahdollisuuksia, jotta ne eivät päätyisi roskapostiksi tai jopa estetyksi kokonaan vastaanottajapäässä. Toisessa myöhemmin ilmestyvässä osiossa keskitymme siihen, kuinka voimme suojata käyttäjämme kalastelu- ja haittaviesteiltä parhaalla mahdollisella tavalla.
Sähköpostia hyödynnetään monin eri tavoin
Jokainen organisaatio käyttää sähköpostia eri käyttötarkoituksiin. Kommunikoimme esimerkiksi sen avulla eri sidosryhmien kanssa. Markkinointiosasto käyttää sitä markkinointiviestien lähetykseen ja jossain organisaatiossa se on vahvasti osana toiminnanohjausjärjestelmää toimiakseen viestinvälityskanavana eri järjestelmien kesken. Käyttötarkoituksia on lukuisia muitakin. Kautta aikojen sähköpostin ongelmana on ollut lähettäjätahon identiteetin todentaminen. Käytännössä tänäkin päivänä kuka tahansa voi lähettää meidän nimissämme sähköpostiviestejä niin hyvässä kuin pahassa.
Yleisimmät suojausmekanismit, joilla kerromme muille mistä palveluista meidän nimissä sähköpostiviestejä lähetetään ovat SPF, DKIM ja DMARC. DMARC on näistä viimeisenä tullut ja toimii ”varmistavana lukkona” SPF ja DKIM -asetuksille, jotka ilman DMARC:ia ovat itseasiassa helposti kierrettävissä. Tästä syystä sen käyttöä vaaditaan nyt enenemissä määrin, kuten Googlen ja Yahoon osalta on jo tapahtunut. Itse uskon, että tämä on vasta alkusoittoa ja vaatimukset tulevat tulevaisuudessa kiristymään entisestään.
Google ja Yahoo kiristävät vaatimuksiaan
Google ja Yahoo Ilmoittivat viime syksynä vaativansa yli 5000 viestiä päivässä palveluunsa lähettäviltä tahoilta DMARC:n käyttöä. Asetus astui voimaan heidän palveluissaan helmikuun alusta. Asetusvaatimus DMARC:n osalta on kuitenkin maltillisesti vielä raportointitila (Policy=none), jonka käyttöönotto ei vaaranna organisaatioiden viestien perillemenoa tilanteissa, joissa kaikki sähköpostin suojausmekanismit (kuten SPF ja DKIM ) eivät olisikaan vielä kaikilta osin kunnossa. Olen saanut asiasta paljon kyselyitä, kun eri toimittajat ovat viestineet DMARC -politiikan käyttöönoton vaatimuksista. Vastaukseni on, että sen voi huoletta laittaa päälle kyseisessä tilassa. Se ei silti riitä suojataksesi organisaation sähköpostitoimialueen väärinkäytöksiltä. Hyvä ensimmäinen askel kuitenkin.
Mitä suojauksien osalta tulisi tehdä?
Me Above IT:n asiantuntijat olemme tehneet lukuisia sähköpostiviestinnän parannustoimia niin pienille kuin isoillekin organisaatioille, usean vuoden kokemuksella.
Ota yhteyttä! Varaa suoraan aika kalenteristani sivun alalaidasta, niin jutellaan tarkemmin miten voisimme olla asiassa avuksenne.
Turvallista viestintää toivottaen,
Mika, consigliere