您的電子郵件安全嗎?

四月12,2021
|In 對於網絡, Sicurezza e 隱私, 在前台
|By 安德烈亞斯·阿諾 邁克爾·沃伊特

您的電子郵件安全嗎?

如今,通信和計算機系統越來越受到外部攻擊的威脅,即使我們認為自己是安全的,因為我們相信我們已經採取了精確的預防措施,但事實並非如此。 到現在為止,這一消息接二連三地層出不窮,Facebook 上有 500 億個帳戶被黑,gmail、免費或其他服務上有數百萬個帳戶被黑,而我們卻沒有意識到,我們自己也在不知不覺中捲入其中,並經常成為垃圾郵件發送者和惡意者的工具,他們利用我們達到我們根本不想知道的目的。 當我們談論出於專業和/或工作原因使用的郵箱時,事情變得非常複雜,考慮到隱私擔保人已經開始施加相當嚴厲的處罰,甚至可能使企業陷入困境。 我們需要保護自己,為了保護自己,我們需要考慮上游需要做什麼,而不是在災難發生時才考慮。

對於那些使用 Gmail 的人

許多人問我哪種電子郵件服務最安全。 我必須讓他們失望,它不存在。 或者更好的是,這不是正確的問題。 有付費服務、免費服務,您需要了解必須採取哪些措施才能確保安全,或者在任何情況下保證您的客戶委託給我們的數據的安全。 GMAIL 是自由職業者最常用的平台之一。 通常會收到來自會計師的電子郵件,名為 studiocommercialista@gmail.com。 人們還普遍認為 GMAIL 是世界上最安全的郵件服務之一。 但事實並非如此。

順便說一句,免費配置中使用的 GMAIL 並不安全,因為沒有電子郵件是 100% 安全的,但更重要的是,免費服務恰恰是免費的,並且有限制,事實上,它必須有限制。 在將您的通信委託給第三方之前,您應該閱讀服務提供協議。 閱讀合同後,我們了解到,在數據洩露的情況下,谷歌承擔的責任很少,或者更好的是,不承擔任何責任。 如果他們闖入您的郵箱並竊取存儲的數據、發送的電子郵件、收到的電子郵件,這些都是您的問題,如果您沒有採取足夠的措施來保護客戶的數據,隱私擔保人將要求您通過實施制裁來承擔責任,這可能會造成很大的傷害。

付費GMAIL的使用發生了很大變化。 谷歌自己也是這麼說的。 然而,它的成本從每個郵箱 4.68 歐元/月增加到 15,60 歐元/月,巧合的是,突出顯示的功能之一是:“管理和安全控制”。

15,60/月的版本聲稱:“高級管理和安全控制,包括 Vault 和高級端點管理”。 因為問題不僅僅在於結構的安全性,谷歌強調,還需要“教育”用戶對自己的行為採取正確的控制和安全措施,從訪問郵箱、Android、IOS或郵件客戶端(如Thunderbird或Outlook等)的工具開始。

如果我們根據服務成本按每個包廂表示的事實進行推理,那麼在有幾個人的鉸接式工作室的情況下,很容易想像良好的溝通結構和與外界關係的總體成本可能會成為相當大的負擔。

所有這些都意味著:你想要安全嗎? 付出也咸,學會做人。

對於任何使用 Microsoft Exchange 的人

與 GMAIL 相比基本上沒有什麼變化。 原理是一樣的,價格也是一樣的,比如每月12.50美元的費用還包括Office 365

欺騙你的隱私盾。

隱私盾,或歐盟和美國之間的“隱私盾”,是為在美國成立、希望從歐盟接收個人數據的公司提供的自我認證機制。 特別是,公司承諾尊重其中包含的原則,並向利益相關方(即個人數據從歐盟轉移的所有主體)提供足夠的保護工具,否則將受到美國商務部從認證公司名單(“隱私盾名單”)中刪除的處罰,並可能受到聯邦貿易委員會的製裁。 歐盟委員會認為,該系統為從歐盟境內的個人傳輸到在美國設立的公司的個人數據提供了充分的保護,因此,盾牌構成了有關數據傳輸的法律保障來源。

歐盟-美國隱私盾自 1 年 2016 月 XNUMX 日起生效。

該護盾適用於從歐盟傳輸到美國的所有類別的個人數據,包括商業信息、健康或人力資源數據,前提是接收此類數據的美國公司已自我證明遵守該計劃。

不幸的是,這個協議被打破了。

歐洲法院審查了第一項裁決(關於標準合同條款的 2010/87 號裁決),發現該裁決雖然基於合同條款,因此不能約束各國遵守這些條款,但包含有效的機制,在實踐中可以保證遵守歐盟法律要求的保護水平,並且在違反這些條款或無法遵守這些條款的情況下,暫停或禁止基於這些條款的個人數據傳輸。

第二個決定(關於歐盟-美國盾牌提供的保護的充分性的 2016/1250)相反,將國家安全、公共利益和遵守美國立法相關的需求放在首位,從而有可能干涉數據被傳輸到第三國的人的基本權利。

法院認為,美國國內立法對個人數據保護的限制並未按照比例性和嚴格必要性原則來滿足與歐盟法律所要求的要求實質上相同的要求。

所以? 隱私護盾與我的電子郵件有什麼關係?

簡而言之,這意味著 Gmail 和 Microsoft Exchange 等系統不受隱私護盾保護,必須在審核和隱私設計過程中予以考慮,以便通過正確的 DPA(數據保護評估)適當地告知客戶。

讓我們回顧一下: Gmail p Microsoft Exchange 是的,如果付費的話,費用是多少? 這取決於您想要使用多少個郵件帳戶以及您是否想要使用自己的公司域。 無論如何,在隱私護盾之外,這使我們面臨隱私擔保人干預的風險,處罰可能會變得相當大。

好吧,我們明白了! 但這與我們電子郵件的安全有什麼關係呢? 冷靜又酷,我們來了! 冷靜一點!

個人數據的所有權原則

我們先確立一個固定點,那就是隱私保證人確立了一個原則:個人數據不屬於您,而是由這些數據所涉及的人擁有。

因此,根據規範這項權利的立法,每個人都可以聲稱第三方收集和處理他的個人數據時,必須遵守歐盟和各個國家有關該主題的法律所製定的規則和原則。 立法的目的是賦予利害關係方處置其數據的權力,確保個人對其私生活的所有信息擁有控制權,同時為他提供保護這些信息的工具。

為了精確起見:

  • 每個人都有權保護與其相關的個人數據。

  • 此類數據必須出於特定目的並在數據主體同意或法律規定的其他合法依據的基礎上進行公平處理。 每個人都有權訪問所收集的有關他的數據並要求糾正。

  • 這些規則的遵守情況受到獨立機構的控制。

基於上面所寫的內容,很明顯,IT 和外部通信系統的安全性是一個非常熱門的話題,它促使我們所有人反思我們如何習慣管理我們的業務流程。

正確的行為才更安全

我們必須記住的第一件事是,第一個解決方案是我們的行為。 應該採取哪些正確的行為? 我列出幾個。 不幸的是,在與合作者和員工合作時,並不是每個人都採取正確和平等的行為,總會有人逃離“柵欄”,你必須非常小心。 但是,如果您開始了解通信中使用的個人數據是這些數據所涉及的相應人員的財產,則更容易引發負責任和體貼的行為並避免許多問題。

  1. 在未檢查電子郵件發件人的情況下,請勿打開附件。
  2. 不要使用自動附件打開功能。
  3. 請務必檢查收到的電子郵件的發件人
  4. 正確使用電子郵件的所有字段
  5. 正確使用“主題”字段並簡要、正確地描述電子郵件的主題。 它對於收到電子郵件的人很有用,因為他們會立即註意到該電子郵件是否是專門為他們編寫的,並且當我們需要查找特定內容時,它對於搜索我們每周存檔的數千封電子郵件很有用。
  6. 在“收件人:”字段中,每封電子郵件僅使用一個收件人。 如果我們需要插入更多收件人,在這種情況下,我們將我們的地址放入“收件人:”字段中,並將所有其他收件人的地址放入“CCn:”(隱藏抄送)字段中。 這保護了收件人的隱私,他們將收到發送給“未公開收件人”的郵件,並且不會發現他的郵箱到處都是垃圾郵件。
  7. 避免使用郵箱作為聊天來無限制地重播消息。
  8. 避免發送沉重的附件,並可能發送壓縮附件。
  9. 請勿在電子郵件底部填充帶有徽標、簽名、社交媒體圖標或其他任何內容的圖像。 許多人阻止了圖像的自動顯示,而您得到的結果只是混亂和混亂。
  10. 不要打開可疑電子郵件。
  11. 至少每三個月更改一次郵箱密碼並使用複雜的字符串。 如果您不想記住特殊字符(大小寫),我們建議您使用您可以輕鬆記住的整個句子,例如:“yesterday-my-dog-jack-played-with-frisbee”。 你仍然會得到一個很好的結果。 更簡單的密碼很容易通過一些暴力操作被破解,並且從那裡開始,損害就造成了。
  12. 永遠不要使用您的工作電子郵件作為您的社交資料!
  13. 如果可能,請始終使用雙重身份驗證。
  14. 它與安全無關,但請不要使用大寫字母。 大寫字母的意思是尖叫,非常骯髒和粗魯。
  15. 每天備份您的郵件,不要將所有通信保留在服務器上,這種做法不僅不建議隱私保證人反對,而且會受到隱私保證人的嚴厲處罰。

這些看似微不足道的建議,但具有諷刺意味的是,黑客和垃圾郵件發送者正是利用了用戶的粗心大意。 我們知道,它們確實很平庸,您已經聽過、說過、陳詞濫調了數千次,但顯然這還不夠!

Gmail 不行,Microsoft Exchange 不行,怎麼辦?

鑑於我們沒有拒絕,只是讓你意識到你所面臨的風險,但是,有一些實用的、有趣的解決方案可以保證你的安全,假設但不承認個人的行為反映了避免毀掉一切所必需的最低限度的聯合。 此外,鑑於我們沒有說您不能使用 GMAIL 或 Microsoft Exchange,但要做到這一點,您需要遵守 GDPR,讓我們嘗試一下 也給出其他答案。

Gmail 和 Microsoft Exchange 的替代品:

ProtonMail

總部位於瑞士、符合 GDPR 的平台,使用端到端加密。 服務非常好,非常安全,但不便宜。 說實話,從商業上來說,他們並沒有取得應有的成功,即使從技術上來說服務無可挑剔,但仍然有點“岌岌可危”。

快郵

Fast Mail 是 Gmail 的有效替代品,功能齊全且價格實惠,但有必要驗證與 GDPR 相關的合規性,因為無論如何它都是美國平台。

QBOX郵箱

一個非常有效的替代方案,完全符合意大利和 GDPR 標準。 企業版每個郵箱收費 3.60 歐元,每 1 GB 額外空間收費 25 歐元。 我們只能熱烈推薦它。 我們認為這是最有趣的解決方案之一。

還有許多其他雲郵件服務提供商,這是一個可以探索的世界。 但為了不提供過多的信息,我們就到此為止。

擁有 SMTP 服務器或郵件服務器。

你們中有多少人擁有網站和域,並利用集成在託管網站的 Web 服務器中的郵件服務器? 這是最常見的情況之一。

提供商的 SMTP 服務器

成熟提供商的 SMTP 服務器也被其他提供商認為是可靠的。 此外,由於它們處理的數據量很大,因此它們的垃圾郵件過濾器被認為特別有效。 然而,在免費提供的情況下,通常對每天的電子郵件數量、附件大小和郵箱存儲空間有嚴格的限制。

優惠信息顯示在多個頁面上:

Internet 服務提供商:Internet 服務提供商 (ISP)(例如 IONOS)通常會提供用於 Internet 連接的電子郵件地址,通過該地址可以訪問公司的 SMTP 郵件服務器。
電子郵件提供商:個人向朋友和家人發送電子郵件的最典型方式是使用免費電子郵件提供商(例如 Gmail、Yahoo 或 Libero)的網絡郵件應用程序。 唯一的要求是與域匹配的電子郵件地址,提供商的 SMTP 服務器可用於個人通信。 您所要做的就是為您的郵箱配置正確的 SMTP 服務器地址。 您將在下面找到最受歡迎的提供商及其地址的摘要。
託管服務提供商:許多託管軟件包(例如來自 IONOS 的託管軟件包)默認包含 SMTP 服務器,可用於處理內部和外部公司郵件流量。
專業提供商:一些公司專門租賃 SMTP 服務器,其中包括 Amazon SES 和 SparkPost,它們允許租賃所需的硬件。

我們強烈建議不要使用此解決方案

自己的SMTP服務器

有了一些基本的技術知識,您就可以設置自己的 SMTP 服務器。 例如,可以使用適當的軟件作為硬件基礎來設置 Raspberry Pi。

優點是顯而易見的:沒有提供商的使用限制、完全控制所有設置以及獨立的數據管理。 此外,擁有自己的服務器非常適合熟悉電子郵件流量的技術機制。 但也有缺點:由於私人 Internet 訪問特有的動態 IP 地址,私人 SMTP 服務器經常被大型電子郵件提供商歸類為垃圾郵件。 這個問題只能通過一些改造措施和/或額外費用來解決。 但是,如果您只想將電子郵件發送給另一個私人客戶端,那麼自己的 SMTP 服務器無論如何都是一個不錯的選擇。 因此有必要擁有一個固定的IP。

嗯,但它們確實不是玫瑰和鮮花。 將 SMTP 服務器帶入您的家中或使用鏈接到您的網站託管的服務器會產生嚴重的後果,如果您無法解決問題的話。

擁有 SMTP 服務器或郵件服務器。

你們中有多少人擁有網站和域,並利用集成在託管網站的 Web 服務器中的郵件服務器? 這是最常見的情況之一。

當您管理自己的 SMTP 服務器來接收和發送信件時,您需要考慮一些可能令人不快的方面:

系統正常運行時間。 一般來說,各種 ISP 提供商,尤其是 Aruba 或 Register 等“低成本”提供商,沒有 SLA,也不保證正常運行時間。 這意味著在一年 365 天的時間裡,您的主機以及您的域可能無法訪問,發送的電子郵件無法發出,或者要接收的電子郵件無法到達目的地。 如果 DNS 無法訪問,則您的郵件系統將完全關閉。 通過合同以書面形式保證一年內 99.99% 以上的正常運行時間的託管提供商確實存在,但服務開始收費。 我們提供 99.99% 的 SLA,事實上我們的託管成本無法與 Aruba 相比。

冗餘。 鏈接到您的託管空間的 SMTP 服務器通常位於某個地方,即服務器場,如果該服務器發生故障,就像最近在 OVH 或 Aruba 發生的那樣,則該站點以及用於發送和接收電子郵件的整個 IT 結構都會崩潰。 因此,能夠依靠冗餘結構,在計算機系統發生故障或關閉的情況下,並行結構可以立即投入運行。 我們可以單獨開一章來討論冗餘並深入探討最小的細節,但這不是這樣做的地方。 假設冗餘被定義為能夠複製某些功能的系統,從而在發生故障時保證服務的連續性。

使用專有 SMTP 服務器的優點。 我嘗試列出它們:

  • 能夠在不增加成本的情況下管理多個電子郵件帳戶
  • 可以自主管理您自己的發送/接收策略
  • 可以在內部維護郵件和與外界通信流量的更新檔案
  • 可以自主命名/重命名您的郵箱,無需外部干預
  • 可以建立(取決於所選提供商)將地址和/或 IP 列入黑名單或白名單。
  • 能夠獨立制定反垃圾郵件政策
  • 能夠獨立建立標記、DKIM、SPF 和 DMARC,這些標記是許多人忘記的,也是將您的域列入黑名單的主要原因。

使用專有 SMTP 服務器的缺點

缺點是無數的,特別是如果您的結構沒有準備好,並且沒有充分意識到將郵件服務器帶入家中所面臨的風險。 技術、法律和運營問題也可能阻礙這條道路,這在很大程度上取決於一個組織中存在的技術文化水平。

  • 由於管理和歸檔電子郵件的所有責任對您的結構造成壓力,因此無法對自己進行賠償。
  • 遭受各種類型的攻擊並需要採取一切措施來限製或取消它們。
  • 可能會出現“黑暗”時刻,服務器因其他操作而減慢速度,甚至無法執行其功能。
  • 需要實施兇猛的反病毒和反垃圾郵件控制策略(說實話,這對今天的每個人來說都有點適用)
  • 需要係統且高效的備份策略(對於當今的一切都是如此)。

確實,許多“專業”提供商提供受保護的、經過認證的或在任何情況下幾乎沒有漏洞的 SMTP 服務器,因此危險完全是由於操作員的疏忽或魯莽和不負責任而產生的,但是,相反,我們可以說,將郵件服務器託管在託管網絡服務器的同一結構上可能並不總是正確的策略。

結論

好吧,很好,但結論是? 選擇什麼?

沒有單一的答案,這取決於具體情況,也取決於操作。 當公司結構較小或微觀時,我們建議使用雲郵件服務器;當結構需要至少有十幾個郵箱(如果不是 20 個)時,我們建議使用 SMTP 服務器。更多的是出於成本原因,因為將 SMTP 服務器託管在安全、高效的結構中,正確地對服務器進行品牌標記並使用有效且正確的安全協議,總是比其他任何事情都具有離散的優勢。確實,潛在的問題是由內部帶來的,而人們卻想留在外部。 即使就 GDPR 而言,如果一方面有必要採用正確的隱私政策,但如果發生數據洩露,使用第三方管理的雲系統的後果可能會更加嚴重。 因此,一個好的 SMTP 服務器和精明的郵件管理應該可以解決小型企業或專業活動 90% 的問題。 一個提供足夠託管服務的好合作夥伴,一個知道如何正確安裝電子郵件客戶端的現場技術人員,一個良好的備份系統,一個防火牆和一個始終最新的防病毒軟件,一個對端口進行嚴格控制的路由器,你幾乎可以安然入睡。 請注意,任何事情都可能發生,但原則上這是我們的建議。