Milyen a biztonságos e-mail kliens, és miért van rá szükséged?

2021-02-16 09:34


Lassan nem túlzás azt mondani, hogy az e-mailezés lett az üzleti élet alapja. Rengeteg chat program és azonnali üzenetküldő szolgáltatás létezik. A régi, jó, stabil elektronikus levelek szerepét azonban eddig nem nagyon tudta más átvenni. Jól követhető, kényelmes, gyors és rugalmas - ha viszont nem használjuk megfelelően, akár veszélyes is lehet az adatbiztonságra. Nézzük, mit kell tudnia egy jó e-mail kiszolgálónak és miért kell odafigyelni a cégen belüli levelezési protokollra!

Mennyire biztonságos az e-mailed?

Az e-mail tartalmak védelme az egyik legfontosabb terület, amelyre nem csak a céges világban, de a magánéletben is figyelmet kell fordítani. Az e-mail fiókban egy idő után rengeteg kritikus információ halmozódik fel. A céges jelentkezéshez csatolt önéletrajzunkból egy sor személyes adat derülhet ki, a bankszámla-kivonatokból és ügyfél-tájékoztató levelekből rengeteg minden megtudható az anyagi helyzetünkről. Ma már nem ritka, hogy az orvosi leletek, az okmányokkal kapcsolatos értesítések és sok más hivatalos és kényes irat is az elektronikus postafiókunkban landol. Csak az elmúlt hetünk levelezéséből részletes és értékes profilt lehetne rólunk összeállítani. 

Az elektronikus postaláda árulkodó lehet

Számos szolgáltató, így például a Google is kihasználta az ebben rejlő lehetőségeket. Bár a keresőóriás ígéretet tett arra, hogy nem szkenneli az emaileket marketing célból, sok jel utal arra, hogy a cég nem minden elemet kezel a kijelentésének megfelelően, például gyakran az email tartalmának megfelelő hirdetések jelennek meg a felhasználóknak. Míg a kevésbé felkészült szolgáltatók fiókjai gyakran a hacker támadások célpontjai is egyben. A bűnözők sokszor nem is adatokat keresnek, hanem egyszerűen visszaélnek az ellopott fiókkal - például reklámot vagy vírust továbbítanak a felhasználó nevében -, illetve más fiókokat keresnek, amihez hozzáférhetnek az email hozzáféréssel (password reset). Így pedig egyetlen kapun keresztül szerezhetnek hatalmat a többi fiókunk felett.

Az e-mail szolgáltatásokkal kapcsolatban az egyik legfontosabb követelmény, hogy lehetőleg end-to-end encryptiont, vagyis a végpontok közötti titkosítást használjanak. Ez azt jelenti, hogy nem csak illetéktelenek, de maguk a szolgáltatók sem tudnak belenézni az e-mailek tartalmába. A legjobb, ha a titkosítás a címlistára és a levél meta-adataira, például a tárgymezőre is kiterjed. 

A második minimum feltétel, hogy maga a fiók is biztonságos legyen. A kétlépcsős azonosítás szinte kötelező kritérium, de ma már akár ennél fejlettebb rendszerek is léteznek, amelyekkel tudatosan döntve mi magunk is élhetünk.

Mi a baj a legnépszerűbb e-mail szolgáltatókkal?

A legnépszerűbb szolgáltatások általában már a végpontok közötti titkosítás kérdésénél elbukják a tesztet, de az óriásoknak számos egyéb gyengesége is van, amely miatt érdemes biztonságosabb, fair alternatívát keresni. 

Az egyik legnagyobb probléma, hogy a legtöbb vállalkozás túl sok adatot gyűjt a felhasználóról, vagy túl sok adatot kér a regisztráció során. Ahhoz, hogy valaki e-mail fiókot regisztráljon, elégnek kellene lennie egy felhasználónévnek és egy jelszónak. Ehhez képest viszont az ingyenes szolgáltatások jelentős része valódi nevet, telefonszámot és születési adatokat is kér. Csupa olyan adatot kötnek a fiókhoz, ami a felhasználót azonosíthatóvá és lenyomozhatóvá teszi. 

A szolgáltatók és az eszközök néha túl sokat tudnak.

Sok esetben viszont kulcsfontosságú lenne, hogy az e-mail használójáról ne derüljön ki több adat, mint ami feltétlenül szükséges. Az újságírók informátorai, a visszaélések névtelen bejelentői, de akár egy pályázat indulói számára is veszélyes, legalább is előnytelen lehet, ha az e-mail címünkön keresztül pillanatok alatt lenyomozható az identitásuk. Az egyéb kellemetlen következményekről, mint például a születésnapra érkező marketinglevél-áradatról már nem is érdemes beszélni. 

Nem elhanyagolható szempont az sem, hogy mennyi reklám érkezik hozzánk az adott csatornán keresztül. Nem csak a spam-szűrő finomsága és hangolhatósága a kérdés. Az is, hogy maga a platform mennyi marketinget engedélyez. Sokszor maga a levelező szolgáltatás kezelője helyez el reklámokat a felületen vagy adja tovább az e-mail címet a hirdetőknek. Az ingyenes szolgáltatásokért tehát a felhasználó legtöbbször az idejével és a figyelmével fizet. 

Érdekesség, hogy a Google ennél is tovább ment. Az e-mailekben bevezette az AMP használatát. Az Accelerated Mobile Pages a Google saját technológiája. A módszert a reklám szerint azért dolgozták ki, hogy mobilon is gyorsabbá tegyék az oldalakat. Szakértők szerint viszont a helyzet kissé ellentmondásos. Az AMP lehetővé teszi, hogy az emailekbe applikációkat ágyazzanak. Ezek a programok segítik például a hirdetések betöltését vagy videók automatikus lejátszását a levelekben. 

Az adatátvitel gyorsításának szándéka tehát megkérdőjelezhető - hiszen egy oldal lényegesen gyorsabban töltődik be, ha reklámmentes és nem játszik le automatikus tartalmat, vagyis nem tartalmaz olyan funkciókat, amelyek a levelezésből eddig sem hiányoztak igazán. Az AMP használatával viszont az is megoldható, hogy a felhasználó kattintásait és cselekedeteit nyomonkövessék. Ezentúl a szolgáltatók tehát már egy olyan érzékeny területen is adatot gyűjthetnek, mint a személyes levelezés. 

Milyen a biztonságos céges e-mailezés?

Ahhoz, hogy biztonságosan küldhessünk céges üzeneteket, első sorban egy végponti titkosítással ellátott levelezőrendszerre van szükség. Legjobb, ha nem csak maguk az üzenetek, de a tárhely, a címlista és a meta-adatok is biztonságos csatornán áramlanak. Jó, ha a levelezést kiszolgáló kezelőfelület, vagyis maga a levelezőprogram is mentes a kockázattól. Ezekből is létezik nyílt forráskódú megoldás, természetesen fejlett azonosítással. 

Jó megoldás lehet a különböző szolgáltatások helyett a saját e-mail szerver használata is. A self-hosted e-mail rendszer azért lehet jó választás, mert a nagyobb szerverek ideálisabb célpontok lehetnek egy-egy támadás során. A saját szervert különböző beállításokkal lehet biztonságosabbá tenni. A forgalom jobban ellenőrizhető, így hamarabb szűrni lehet a gyanús üzeneteket is.

Jó, ha a rendszer több platformról is elérhető

Viszont nem csak a programozás szintjén tehetünk sokat azért, hogy elkerüljük a kellemetlenségeket - a felhasználói fegyelem is sokat számít. A biztonságos használat néha egészen kis dolgokon múlik. Érdemes odafigyelni a következőkre:

  • Egyáltalán kivel és milyen információt osztunk meg. Jó, ha a cégen belül mindenki csak azokhoz az adatokhoz és csak annyi ideig fér hozzá, amíg az feltétlenül szükséges. 

  • Mire és hogyan használjuk az e-mail címeket? A nagyobb fájlok továbbítására érdemes lehet például külön erre a célra fejlesztett szoftvereket használni. Az azonnali megbeszélésekhez, mindennapi ügyekhez sokszor jobb egy csevegő app, mint a lassú e-mail fiók.

  • Mennyire felkészültek a felhasználók? Felismerik-e például a zsaroló- vagy adathalász e-maileket? Mennyire könnyen válnak áldozattá?


Számos olyan program létezik, amely azon kívül, hogy megfelel a fenti követelményeknek, sok apró újítással is védi a felhasználókat. A Tutanota például GDPR-kompatibilis, környezetbarát és minden platformmal kompatibilis alternatíva. A Protonmail segítségével akár önmegsemmisítő e-maileket is küldhetünk, és harmadik fél klienseit is használhatjuk, így a megszokott felületen levelezhetünk. 

Az IT biztonság területén tevékenykedő cégként nem csak a megfelelő programok kiválasztásában és konfigurálásában tudunk segíteni. A biztonságos e-mailezés a kényelmes és zavartalan működés alapja. Érdemes tehát már a kezdetekben egy jól használható rendszert kialakítani. Több év tapasztalattal a hátunk mögött a protokollok kialakítását és folyamatok megtervezését is szívesen vállaljuk. Fordulj hozzánk bizalommal!