Jak zabezpečit e-mail před zneužitím

Zfalšovat e‑mailovou adresu odesilatele je dnes velmi jednoduché. Spousta uživatelů o tomhle riziku vůbec neví, přitom reálně hrozí, že z vás podvodník vytahá citlivá data nebo peníze. Ukážu vám proto, jak si zabezpečit e‑mail, aby ho nešlo podvrhnout.

Proč řešit zabezpečení e‑mailů?

Protokol pro zasílání e‑mailových zpráv SMTP byl u samotného zrodu internetu, od té doby ale trochu zaspal dobu. Kamenem úrazu je zvlášť jeho bezpečnost, která nepočítá s žádným ověřováním údajů o odesílateli, a snadno tak může dojít k zneužití e‑mailové adresy. Je to jako s poštovní obálkou, na kterou jde napsat vymyšlená adresa odesílatele, jen mnohem nebezpečnější. Podvodník se může vydávat za kamaráda a vymámit z vás třeba peníze nebo přístupové údaje.

Příkladem zneužití je třeba tenhle nepříjemný spam. Informuje o napadení účtu a snaží se to dokázat falešnou adresou odesílatele.

Poslat e‑mail, který se tváří, že je odeslaný z cizí adresy, je přitom velice jednoduché. Nepotřebujete žádné technické znalosti, na internetu je volně dostupná celá řada nástrojů. Zkuste si třeba přes https://emkei.cz/ poslat zprávu sami sobě. Dorazila do doručené pošty? Pak rozhodně pokračujte ve čtení, váš e‑mail potřebuje zabezpečit.

Vymezení poštovních serverů pro vaši doménu (SPF)

První ochranou před zneužitím je omezení poštovních serverů, které mají povoleno e‑mailové zprávy z vaší domény odesílat. Poštovní server příjemce vždy kontroluje, zda nová zpráva přišla od povoleného serveru. Když ne, buď ji označí jako podezřelou nebo úplně zahodí.

Správce záznamů zapisuje seznam povolených poštovní serverů do DNS jako SPF záznam domény. Například pro igloonet.cz vypadá následovně:

v=spf1 mx include:spf.igloonet.cz include:spf.mailkit.eu include:registrarmail.net ~all

Do SPF záznamu je potřeba přidat všechny poštovní servery, které vaše doména může používat. Dobře si to rozmyslete, nemusí to být pouze server odchozí pošty z e‑mailového klienta, ale i webový server e-shopu nebo nástroj pro rozesílání newsletterů. Ukažme si to na výše zmíněné doméně igloonetu: Záznam obsahuje naše poštovní servery, dále servery Mailkitu, kterým klientům posíláme hromadné rozesílky a servery registru domén, které rozesílají z naší domény informace k registrovaným doménám našim klientům.

Poslední část říká poštovnímu serveru příjemce, jak by se měl chovat ke zprávě, která dorazila z nepovoleného serveru. Hlavní dvě možnosti jsou:

softfail (~all) - zpráva nejčastěji spadne do spamu
fail (-all) - zpráva by se vůbec neměla dostat do schránky příjemce

Možnost softfail v SPF záznamu je docela ošemetná. V lepším případě zpráva spadne do spamu, v horším se do předmětu přidá pro běžného uživatele nic neříkající [SPFSOFTFAIL]. Server příjemce také nemusí udělat vůbec nic. Přesně tohle se nedávno stalo v případě falešné zprávy s nabídkou orientálních produktů na Vánoce, která přišla do poslaneckých e‑mailů zdánlivě od Tomia Okamury. Doména psp.cz měla sice nastavený v SPF záznamu softfail, nicméně poštovní server sněmovny zprávu odeslanou z jiného serveru vůbec neoznačil, a hodně poslanců se nachytalo. Jistější je tedy nastavovat nejtvrdší politiku -all.

Ad Tomiovo sushi, je to hoax, za jehož šíření se omlouvám. Smutné je, že mně nenapadlo kontrolovat hlavičku. Vůbec mě to od Tomia nepřekvapovalo a nenapadlo mě, že sněmovní mail nezvládne odfiltrovat maily poslané z jiné domény, který se tváří pravě. Člověk se pořád učí, pardon.

— Mikulas Ferjencik (@Mikiferjencik) 20. listopadu 2018

Podepsání zprávy poštovním serverem (DKIM)

Další metodou zabezpečení je opatření zprávy elektronickým podpisem poštovního serveru. Odesílající poštovní server e‑mail podepíše privátním klíčem a server příjemce ho ověří. Veřejný klíč k ověření podpisu musíme přidat do DNS záznamů domény.

Zní to složitě, nicméně v praxi stačí požádat správce poštovního serveru o aktivaci DKIM. Předá vám záznam, který si nastavíte do DNS domény. Důležité je, aby poštovní server začal zprávy podepisovat až ve chvíli, kdy se záznam s privátním klíčem pro ověření podpisu všude bezpečně propíše. Doporučujeme proto počkat alespoň 24 hodin od nastavení.

V praxi se nic nemění. U odeslaných zpráv se podpis přidává na serveru automaticky a přijaté zprávy s nesprávným podpisem se do vaší schránky vůbec nedostanou.

Kontrola a vyhodnocení (DMARC)

Po nastavení SPF a DKIM pro doručované zprávy je potřeba rozhodnout, jak s nimi má server příjemce zacházet, pokud neprojdou ověřením. Pro nastavení tohoto chování slouží DMARC záznam, který může vypadat například takto:

dmarc.Igloonet.cz TXT v=DMARC1; p=none; rua=mailto:dmarc.aggregate@igloonet.cz

Tento konkrétní záznam má politiku “none”, tedy zprávy nijak nepostihuje. Nicméně v případě chyby pošle server příjemce souhrnný report na naší e‑mailovou adresu. Můžeme tak jednoduše přijít na možné problémy v doručování. Když budou přicházející reporty určitou dobu v pořádku, můžeme politiku “none” změnit na “reject” a server příjemce bude chybné zprávy odmítat.

Report chodí ve formátu XML a může být dost obsáhlý a pro člověka špatně čitelný. K analýze je vhodné použít specializovaný nástroj, například dmarcian.

Opatření zprávy elektronickým podpisem

Poslední a zřejmě nejefektivnější metodou je podepisovat zprávy osobním elektronickým podpisem. Zařídíte si ho pomocí certifikátu:

Zdarma jsou dostupné certifikáty, které ověřují pouze e‑mailovou adresu. Příjemce si snadno ověří, zda byla zpráva opravdu odeslána z uvedené schránky.

Osobní certifikát stojí v řádu stokorun a ověří vaši identitu. Pokud příjemce důvěřuje certifikační autoritě, může si být jist, že jste zprávu napsali a odeslali opravdu vy.

Takhle vypadá ověření e‑mailové adresy v Gmailu

V igloonetu používáme k podepisování e‑mailových zpráv GPG. O důvěryhodnosti našich klíčů nerozhoduje jedna centrální autorita, ale ověřujeme si je navzájem. Je to sice pracnější, než přenést důvěru na někoho jiného, ale mnohem bezpečnější. Popsané metody zabezpečení je vhodné kombinovat a ideálně je využívat všechny.

I když se tu zabýváme způsoby ochrany vlastní e‑mailové adresy před zneužitím, nezapomínejte na problém z druhé strany. Než uděláte na základě e‑mailu jakékoli zásadnější rozhodnutí, ověřte si, zda není adresa odesílatele podvrh nebo zda někdo cizí nezískal přístup do jeho schránky. Opatrnosti není nikdy dost.

michal
23. 10. 2019 21:46

Ad ta treti moznost - je zrejme efektivni, kdyz dorazi podepsany email, ale co kdyz dorazi nepodepsany email a adresat nevi, ze pravy odesilatel by pouzil podpis? Nebo se da v zaznamu domeny nastavit, ze vsechny emaily budou podepsany a pokud nejsou tak budou odmitnuty? Mozna mi neco unika..

Odpovědět ↓

Autor Martin Taraba
24. 10. 2019 11:05

Pokud jde o DKIM, tak pokud se nastaví v DMARC politika reject nebo quarantine. Budou se nepodepsané zprávy odmítat, resp. označovat.

U podepisování zpráv osobním certifikátem by to musel nějak vynucovat poštovní klient. Podobně jako to dělá HSTS pro web. Nevím o ničem co by tohle dělalo. Je potřeba spoléhat jen na obezřetnost příjemce.

Odpovědět ↓