Kirjoittaja
Lauri Ylimaa

Kuinka teillä suojaudutaan sähköpostin väärennöksiltä?

Tivi nosti lokakuun alkupuolella esille, kuinka huonosti suomalaiset yritykset suojautuvat sähköpostihuijauksilta ja miten levällään käsitykset tietoturvan tasosta saattavat olla. Jutun pääpointti – ja se mihin mekin Gappsilla törmätään yhä enenevissä määrin – on, että niin pienet kuin suuretkin suomalaiset organisaatiot suojaavat itsensä verrattain huonosti sähköpostihuijauksilta ja samalla altistavat myös heidän asiakkaansa väärennöksille ja tietojen kalasteluille.

Monesti tilanne on se, että yrityksillä ei omilta operatiivisilta kiireiltään ole aikaa katsoa sähköpostin varmentamiseen ja muuhun tietoturvaan liittyviä asioita kuntoon. On kuitenkin erittäin ikävää, että herääminen asian tärkeyteen tapahtuukin monesti vasta sitten, kun yrityksen työntekijän nimellä lähtee roskapostia yhteistyökumppaneille tai, kun oma verkkotunnus joutuu mustalle listalle. Jo sattuneen vahingon korjaaminen on täysin eri asia kuin ennakoiva riskien minimointi.

Screenshot 2016-10-26 at 3.48.30 PM - Display 2

Sähköpostin lähettäjän varmentaminen

Verkkotunnus on osa yrityksenne brändiä ja sähköposti edelleen tärkeä viestintäväline. Yrityksenne nimeä yrittävät kuitenkin hyödyntää myös ulkopuoliset tahot; joko vain saadakseen lähettämänsä roskapostin toimitetuksi perille, tai nykyään yhä enemmän tietojen kalasteluun tai kiristysohjelmien, ”ransomware”, levittämiseen. Kunhan viesti saadaan toimitetuksi postilaatikkoon saakka, todennäköisyys, että vastaanottaja avaa sen on suuri.

”Sähköpostin otsaketietojen väärentäminen on todella helppoa, eikä se vaadi minkäänlaisia teknisiä taitoja. Spf:ää olisi hyvä ryhtyä käyttämään”, rikoskomisario Jyrki Kaipanen keskusrikospoliisin Kyberrikostorjuntakeskuksesta kommentoi Tivin jutussa. Myös Viestintäviraston tietoturva-asiantuntija komppaa tätä kommenttia.

Mitä voitte tehdä

Julkaisemalla tietoa ja ohjeistusta verkkotunnuksestanne tarjoatte kaikille vastaanottajille mahdollisuuden varmentaa viestin lähettäjän oikeellisuuden.

Termit SPF, DKIM, ja DMARC, voivat kuulostaa hankalilta, mutta näiden lyhenteiden takana on tehokkaat ja laajalti käytössä olevat menetelmät seuloa aidot ja väärennetyt viestit verkkotunnustasolla. Nämä kolme, vaikkakin ovat toisistaan erillisiä ja erikseen määritettäviä, on syytä ottaa kaikki käyttöön jotta niistä saadaan toivottu hyöty – oman verkkotunnuksenne maineen paraneminen sähköpostin osalta.

Menetelmät selitettyinä

SPF: Ohje, jolla ilmoitetaan vastaanottaville postipalvelimille, myös omillenne, minkä kaikkien postipalvelimien kautta verkkotunnuksenne lähettää viestejä. Lisäksi tällä ohjeistetaan miten kohdella viestejä, jotka tulevat verkkotunnuksenne nimissä muualta.

DKIM: Kunkin viestin otsakkeisiin automaattisesti lisättävä allekirjoitus, joka on tarkoitettu vastaanottavan palvelimen tarkistettavaksi. Jos allekirjoitus on todennettavissa julkisella avaimellanne, viestin voidaan päätellä tulleen teidän palvelimenne kautta.

Vastaanottajan palvelin ei kuitenkaan voi tietää, pitäisikö viestin olla allekirjoitettu, joten allekirjoittamattomia viestejä ei kohdella eri tavalla. Jotta DKIM:stä olisi hyötyä, täytyy luoda ja julkaista myös DMARC-ohje.

DMARC: Ohje, jossa kerrotaan pitäisikö verkkotunnuksenne nimissä saapuneen viestin läpäistä DKIM- ja/tai SPF-tarkistukset, ja ehdotetaan vastaanottajalle mitä tehdä jos näin ei tapahdu. Lisäksi ohjeella voidaan pyytää raportteja verkkotunnuksenne nimissä saapuneista viesteistä jotka eivät läpäise tarkastuksia. Näin DMARC:ia voidaan käyttää myös verkkotunnuksenne nimissä lähetetyn roskapostin kartoittamiseen, ja saada esimerkiksi SPF:ää varten arvokasta tietoa. Voihan olla, että yksittäinen postipalvelin on unohtunut listata SPF-ohjeessanne tai jollekin palvelimellenne on jäänyt DKIM kytkemättä päälle.

Mikäli SPF- ja DMARC-ohjeita ei ole julkaistuna, vastaanottavat palvelimet eivät pysty päättelemään mitkä viesteistä ovat teiltä ja mitkä muilta lähtöisin.

Haluamme antaa sinulle parhaat eväät tällaisten uhkien torjumiseen ja ennaltaehkäisyyn. Laadimme tätä varten yksityisohtaisen ohjeistuksen, jonka voit ladata itsellesi ilmaiseksi täältä.

Lauri Ylimaa
Technical Project Manager

Ota yhteyttä