E-pastu drošība – šifrēšana
Lai nodrošinātu konfidenciālu saraksti un e-pasta piekļuves datu drošību, nepieciešams izmantot šifrēšanu gan komunikācijai starp e-pasta serveriem, gan katra individuāla lietotāja komunikācijai ar serveri. Zemāk aplūkosim veidus, kā pārliecināties, ka risinājums pasargā visu e-pasta datu plūsmu, nepieļaujot izņēmumus.
Lietotāju komunikācija ar serveri (IMAP, POP, SMTP) ir pasargāta ar šifrēšanu
Neaizsargātu protokolu IMAP, POP, SMTP vietā tiek izmantotas ar TLS pasargātās alternatīvas:
- IMAP vietā IMAPS
- POP vietā POPS
- SMTP vietā SMTPS vai STARTTLS
Būtiski: nepietiek ar to, ka ar TLS aizsargātās protokolu versijas tiek atbalstītas servera pusē. Jāpārliecinās par to, ka visi lietotāji (un automatizētās sistēmas, kas izmanto e-pastus) lieto TLS un nekāda konfidenciālā informācija (lietotājvārdi, paroles, e-pastu adresāti, e-pastu saturs un pielikumi) netiek pārsūtīta nešifrētā veidā. Veidi, kā to var panākt:
- bloķēt neaizsargātas konekcijas servera pusē, teiksim, aizslēdzot 110. un 143. portus ugunsmūrī un pieņemot SMTP AUTH komandu tikai tad, ja ir izveidots drošs, ar TLS aizsargāts kanāls;
- veicot regulāras pārbaudes caur servera konekciju monitoringu vai žurnālfailu analīzi, ar mērķi noskaidrot, kuri lietotāji slēdzas klāt e-pastu, serverim izmantojot nedrošus protokolus (ja tādi incidenti tiek atklāti, ar lietotājiem jāsazinās un jāatrisina problēma);
- Veicot centralizētu e-pasta klientu konfigurāciju (IT administratori manuāli sakonfigurē visu organizācijas/uzņēmuma lietotāju e-pastus vai arī automatizē šo uzdevumu).
Ja tiek izvēlēts 3. risinājums:
- vēlams izmantot Autodiscover/Autoconfig mehānismus, lai daļēji automatizētu Outlook/Thunderbird konfigurāciju;
- noteikti jāveic arī 2. punktā minētās pārbaudes servera pusē, jo lietotāji var sakonfigurēt e-pastus telefonos, mājās, vai citur ārpus organizācijas pārvaldības.
E-pastu izsūtīšana un saņemšana starp e-pastu serveriem tiek pasargāta ar šifrēšanu
Ja e-pasta nosūtīšanas laikā tas jāpārsūta uz citu serveri, kas atbalsta TLS, šai komunikācijai jābūt pasargātai ar šifrēšanu.
Šifrēšanai tiek izmantoti tikai uzticami algoritmi
Serverī jāatslēdz novecojušu algoritmu (teiksim, SSLv1, SSLv2, SSLv3) atbalsts un jāatbalsta moderni algoritmi (TLSv1.2 un TLSv1.3). Šobrīd pieejamos šifrēšanas algoritmus var noteikt ar brīvpieejas programmatūru “openssl”.
Šifrēšanai tiek izmantoti tikai derīgi sertifikāti
Visur, kur komunikāciju drošība ir pasargāta ar šifrēšanu, ir jāizmanto derīgi sertifikāti, t.i. tādi, kas ir:
- ar derīgu lietošanas termiņu;
- CA parakstīti;
- domēna vārds sertifikātā sakrīt ar to, kas norādīts e-pasta klienta iestatījumos.
(Vēlams) Tiek izmantota MTA-STS tehnoloģija
MTA-STS ir relatīvi jauns standarts, kas ļauj serveriem signalizēt, ka tie atbalsta modernus šifrēšanas standartus un ka citi e-pasta serveri (kas arī saprot MTA-STS) var droši izmantot savā komunikācijā TLS, neuztraucoties par atpakaļsaderību.
Motivācija
Veiksmīga MTA-STS ieviešana ļauj pasargāt komunikācijas ne tikai pret pasīviem novērotājiem, bet arī pret aktīviem trafika pārtveršanas mēģinājumiem.
(Vēlams) Tiek izmantota TLS-RPT tehnoloģija
TLS-RPT ir mehānisms, kas ļauj e-pastu serveriem automātiski nosūtīt un saņemt paziņojumus par kļūdām, kuras radušās, mēģinot iniciēt TLS konekcijas vai šifrētas komunikācijas laikā.
Motivācija
Šāda veida atskaites ļauj e-pastu administratoriem ātrāk pamanīt un atrisināt nesaderības TLS iestatījumos, uzturot augstu servisa līmeni un iegūstot kvantitatīvus rādītājus tālākai pakalpojumu uzlabošanai.
Vēl par e-pastu drošību:
E-pastu drošība - lietotāju autentifikācija
E-pastu drošība - aizsardzība pret ienākošo e-pastu viltošanu
E-pastu drošība - aizsardzība pret izejošo e-pastu viltošanu
Noderīgas saites:
“Guidelines on Electronic Mail Security”, NIST
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-45ver2.pdf
“Trustworthy Email”, NIST
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-177r1.pdf
“Email Authentication Best Practices”, CISCO
https://www.cisco.com/c/dam/en/us/products/collateral/security/esa-spf-dkim-dmarc.pdf
“M3AAWG Best Practices for Managing SPF Records”, Messaging, Malware and Mobile Anti-Abuse Working Group https://www.m3aawg.org/sites/default/files/m3aawg_managing-spf_records-2017-08.pdf
“M3AAWG Trust in Email Begins with Authentication”, Message, Mobile and Malware Anti-Abuse Working Group https://www.m3aawg.org/sites/default/files/document/M3AAWG_Email_Authentication_Update-2015.pdf
“Internet.nl Toolbox – hw-to’s mail security standards”, internet.nl
https://github.com/internetstandards/toolbox-wiki
“How to Combat Fake Emails”, Australian Cyber Security Centre
https://www.cyber.gov.au/publications/how-to-combat-fake-emails
Attēls: pixabay.com