E-mailurile tale sunt în siguranță?

Aprilie 12, 2021
|In Pentru web, Securitate și confidențialitate, În prim plan
|By Andreas Arno Michael Voigt

E-mailurile tale sunt în siguranță?

Astăzi, sistemele de comunicații și computere sunt din ce în ce mai periclitate de atacurile externe și chiar dacă ne putem gândi că suntem în siguranță pentru că credem că am adoptat măsuri de precauție precise, nu suntem. Acum știrile se succed într-un ritm neîncetat, 500 de milioane de conturi piratate pe Facebook, milioane de conturi sparte pe gmail, libero sau alte servicii și nu reușim să înțelegem că și noi, în ciuda noastră, în mod inconștient, suntem implicați și devenim adesea un vehicul de spammeri și băieți răi care ne folosesc în scopuri despre care nici măcar nu vrem să știm. Lucrurile se complică foarte mult atunci când vorbim de cutiile poștale folosite din motive profesionale și/sau de muncă, având în vedere că Garantul de Confidențialitate a început să impună sancțiuni destul de severe care pot chiar să pună în genunchi o afacere. Trebuie să ne protejăm și pentru a ne proteja trebuie să ne gândim la ce trebuie făcut în amonte, nu atunci când a avut loc dezastrul.

Pentru cei care folosesc Gmail

Mulți oameni mă întreabă care este cel mai sigur serviciu de e-mail de utilizat. Trebuie să-i dezamăgesc, nu există. Sau mai bine zis, nu este întrebarea potrivită. Sunt servicii pentru care plătești, există servicii gratuite și trebuie să fii conștient de ce trebuie să faci pentru a fi în siguranță sau în orice caz să le garantezi clienților tăi securitatea datelor care ni s-au încredințat. Una dintre cele mai folosite platforme și de freelanceri este GMAIL. De obicei, primiți un e-mail de la contabilul dvs. numit studiocommercialista@gmail.com. Și credința că GMAIL este unul dintre cele mai sigure servicii de corespondență din lume este, de asemenea, destul de răspândită. Dar nu este, dimpotrivă.

De altfel, GMAIL-ul folosit în configurația sa gratuită nu este sigur pentru că niciun e-mail nu este 100% securizat, dar cu atât mai mult, un serviciu gratuit este într-adevăr gratuit și are limitări, într-adevăr, trebuie să aibă limitări. Trebuie să citiți contractul de furnizare a serviciilor înainte de a vă încredința comunicările unor terți. Citind contractele, înțelegem că responsabilitățile pe care și le asumă Google sunt foarte puține în cazul unei încălcări a datelor sau, mai bine, nicio responsabilitate. Dacă vă sparg căsuța de e-mail și vă fură datele care sunt stocate, e-mailurile trimise, e-mailurile primite, acestea sunt problemele dvs. și dacă nu ați adoptat suficiente măsuri pentru a vă proteja datele clienților, Garantul de confidențialitate vă va cere să dați socoteală și să impuneți sancțiuni. asupra ta.care poate face mult rău.

Utilizarea GMAIL plătit se schimbă foarte mult. Google însuși spune așa. Pleacă însă de la un cost de 4.68 Euro/lună pe cutie și ajunge la 15,60/lună și întâmplător una dintre caracteristicile care se evidențiază spune: „Controale de management și securitate”.

Versiunea 15,60/lună precizează: „Controale avansate de gestionare și securitate, inclusiv Vault și management avansat al punctelor finale”. Pentru că problema nu este doar securitatea structurii, Google evidențiază faptul că este necesară și „educarea” utilizatorului asupra necesității de a adopta măsuri corecte de control și securitate asupra comportamentului său plecând de la instrumentele pe care le folosește pentru a-și accesa cutiile poștale. .mail, Android, IOS sau client de e-mail, cum ar fi Thunderbird sau Outlook sau altele.

Dacă ne gândim apoi la faptul că costul serviciului este exprimat pe cutie, în cazul unui studio cu mai multe persoane este ușor de imaginat că costul total pentru o bună structură de comunicare și relație cu lumea exterioară poate deveni un povara considerabila.

La ce se rezumă toate acestea: vrei securitate? plătești și de asemenea sărat și înveți să te comporți corect.

Pentru cei care folosesc Microsoft Exchange

Practic, nimic nu se schimbă în comparație cu GMAIL. Principiul este același, prețurile sunt echivalente și de exemplu Office 12.50 este inclus și în costul lunar de 365 de dolari

Scutul de confidențialitate care te încurcă.

Privacy Shield, sau „privacy shield” dintre UE și SUA, este un mecanism de autocertificare pentru companiile stabilite în SUA care intenționează să primească date cu caracter personal din Uniunea Europeană. În special, companiile se angajează să respecte principiile cuprinse în acesta și să ofere părților interesate (adică tuturor subiecților ale căror date cu caracter personal au fost transferate din Uniunea Europeană) instrumente de protecție adecvate, sub sancțiunea eliminării de pe lista firmelor certificate ( „Privacy Shield List”) de către Departamentul de Comerț al SUA și posibile sancțiuni din partea Comisiei Federale pentru Comerț. Comisia Europeană a considerat că sistemul oferă un nivel adecvat de protecție a datelor cu caracter personal transferate de la o persoană fizică din UE către o companie stabilită în Statele Unite și că, prin urmare, Shield constituie o sursă de garanții legale în ceea ce privește transferurile de date. în cauză.

Scutul de confidențialitate UE-SUA este în vigoare de la 1 august 2016.

Scutul este aplicabil tuturor categoriilor de date cu caracter personal transferate din UE în SUA, inclusiv informații comerciale, date de sănătate sau de resurse umane, cu condiția ca compania americană care primește astfel de date să-și fi autocertificat participarea la schemă.

Din păcate, pactul a fost rupt.

Curtea Europeană a examinat prima decizie (2010/87 privind clauzele contractuale tip) și a constatat că aceasta, deși se bazează pe prevederi contractuale care, ca atare, nu sunt de natură să oblige statele la respectarea acestora, conține mecanisme eficiente care permit, în practică, să se asigură că nivelul de protecție cerut de dreptul Uniunii este respectat și că transferurile de date cu caracter personal bazate pe astfel de clauze sunt suspendate sau interzise în cazul încălcării unor astfel de clauze sau al imposibilității respectării acestora.

A doua decizie (2016/1250 privind caracterul adecvat al protecției oferite de scutul UE-SUA) stabilește, în schimb, primatul nevoilor referitoare la securitatea națională, interesul public și respectarea legislației SUA, făcând astfel posibilă ingerință în drepturile fundamentale ale persoane ale căror date sunt transferate în acea țară terță.

Potrivit Curții, limitările privind protecția datelor cu caracter personal care rezultă din legislația internă a Statelor Unite nu sunt încadrate astfel încât să răspundă unor cerințe substanțial echivalente cu cele impuse, în dreptul Uniunii, de principiul proporționalității și strictă necesitate.

Asa de? Ce legătură are Privacy Shield cu e-mailurile mele?

Tradus, în termeni simpli, înseamnă că sisteme precum Gmail, Microsoft Exchange nu se află sub protecția Privacy Shield și în timpul Auditului și Privacy By Design este necesar să țineți cont de acest lucru pentru a vă informa în mod corespunzător clienții cu un DPA corect. (Evaluarea protecției datelor).

Să recapitulăm: Gmail p Microsoft Exchange da, dacă este plătit, cu ce cost? Depinde de câte conturi de e-mail doriți să utilizați și dacă doriți să utilizați propriul domeniu de companie. Și în orice caz, în afara Privacy Shield-ului, ceea ce ne expune riscului unei intervenții a Garantului de confidențialitate, cu sancțiuni care pot deveni considerabile.

Ei bine, înțelegem! Dar ce legătură are asta cu securitatea e-mailului nostru? Calm și cool, iată-ne! Puțin calm!

Principiul dreptului de proprietate asupra datelor cu caracter personal

Să stabilim un punct fix și anume că Garantul de confidențialitate a stabilit un principiu: Datele personale nu sunt ale tale, ci sunt proprietatea persoanelor la care se referă acele date.

În baza legislației care reglementează acest drept, așadar, fiecare persoană poate cere ca datele sale cu caracter personal să fie colectate și prelucrate de către terți numai cu respectarea regulilor și principiilor stabilite de legile relevante, atât ale Uniunii Europene, cât și ale fiecărui național. state.. Scopul legislației este de a acorda persoanei interesate puterea de a dispune de propriile date, asigurându-i individului controlul asupra tuturor informațiilor care privesc viața sa privată și, în același timp, oferindu-i instrumentele pentru a proteja aceste informații.

Și de dragul preciziei:

  • Orice persoană are dreptul la protecția datelor cu caracter personal care o privesc.

  • Astfel de date trebuie prelucrate conform principiului loialității, în scopuri specifice și pe baza consimțământului părții interesate sau a altui temei legitim prevăzut de lege. Fiecare persoană are dreptul de a accesa datele colectate care o privesc și de a obține rectificarea acestora.

  • Respectarea acestor reguli este supusă controlului de către o autoritate independentă.

Pe baza celor scrise mai sus, devine clar că securitatea sistemelor IT și de comunicații externe ale cuiva este un subiect foarte fierbinte care ne impune cu toții să reflectăm la modul în care suntem obișnuiți să ne gestionăm procesele de afaceri.

Comportamentele corecte pentru a fi mai sigur

Primul lucru de care trebuie să ne amintim este că prima soluție este comportamentul nostru. Care sunt comportamentele corecte de adoptat? Enumerez mai multe. Din păcate, atunci când lucrezi cu colaboratori și angajați, se întâmplă ca nu toți să adopte un comportament corect și egal, cineva scapă mereu de „gard” și trebuie să fii foarte atent. Dar dacă începem să înțelegem că datele cu caracter personal utilizate în comunicări sunt proprietatea persoanelor respective la care se referă aceste date, putem induce mai ușor un comportament responsabil și atent și putem evita multe probleme.

  1. Nu deschideți atașamente fără a verifica expeditorul e-mailului.
  2. Nu utilizați deschiderea automată a atașamentului.
  3. Verificați întotdeauna expeditorul e-mailului primit
  4. Utilizați corect toate câmpurile e-mailului
  5. Utilizați câmpul „Subiect” corect și concis și descrieți corect subiectul e-mailului. Este util pentru cei care primesc emailul pentru ca isi dau seama imediat daca emailul a fost scris special pentru ei si este util pentru cautari in miile de email-uri pe care le arhivam saptamanal cand trebuie sa gasim ceva anume.
  6. Folosiți NUMAI UN destinatar pe e-mail în câmpul „Către:”. Dacă trebuie să inserăm mai mulți destinatari, în acest caz punem adresa noastră în câmpul „Către:” și adresele tuturor celorlalți destinatari în câmpul „BCC:” (copie carbon ascunsă). Acest lucru protejează confidențialitatea destinatarilor care vor primi e-mailul destinat „Destinatarului nedezvăluit” și nu își găsește cutia poștală spam peste tot.
  7. Evitați redarea la nesfârșit a mesajelor folosind căsuța de e-mail ca pe chat.
  8. Evitați trimiterea de atașamente mari și, eventual, trimiteți atașamente cu fermoar.
  9. Nu completați e-mailurile cu imagini în partea de jos a logo-urilor, semnăturilor, pictogramelor rețelelor sociale sau orice altceva. Mulți au blocat afișarea automată a imaginilor și rezultatul pe care îl obțineți este doar confuzie și dezordine.
  10. Nu deschide e-mailuri suspecte.
  11. Schimbați parola cutiei poștale cel puțin o dată la trei luni și utilizați șiruri complexe. Dacă nu doriți să vă amintiți caractere speciale, majuscule și minuscule, vă sugerăm să folosiți propoziții întregi pe care le puteți reține cu ușurință, cum ar fi: „ieri-câinele-meu-jack-jucat-cu-frisbee”. Încă obții un rezultat excelent. Parolele mai simple sunt ușor sparte cu câteva operațiuni brute-force și de acolo, daunele sunt făcute.
  12. Nu vă folosiți NICIODATĂ e-mailul de la serviciu pentru profilurile de socializare!
  13. Acolo unde este posibil, utilizați întotdeauna autentificarea dublă.
  14. Nu are nimic de-a face cu securitatea, dar vă rugăm să NU UTILIZAȚI MAJUSCULE. Cu majuscule înseamnă A TIPA și este al naibii de neplăcut și nepoliticos.
  15. Faceți o copie de rezervă zilnică a e-mailului dvs., nu lăsați toate comunicările pe server, este o practică care nu numai că nu este recomandată, ci și penalizată puternic de Garantul de confidențialitate.

Acestea pot părea niște recomandări banale, dar în mod ironic, hackerii și spammerii profită de neatenția utilizatorilor. Știm, sunt cu adevărat banalități și le-ați auzit, le-ați spus, banal și banal de mii de ori, dar se pare că nu este suficient!

Gmail nu, Microsoft Exchange nu, ce să fac?

Având în vedere că nu am spus nu, ci pur și simplu v-am făcut conștienți de riscurile pe care le expuneți, există totuși soluții practice, interesante, care vă țin în siguranță, presupunând și neadmițând că comportamentul persoanelor fizice reflectă salariul minim necesar pentru a evita ruinarea totul. Mai mult, având în vedere că nu am spus că nu puteți utiliza GMAIL sau Microsoft Exchange, dar că pentru a face acest lucru trebuie să fiți conform GDPR, să încercăm sa dea si alte raspunsuri.

Alternative la Gmail și Microsoft Exchange:

ProtonMail

Platformă elvețiană, conformă GDPR, care utilizează criptare end-to-end. Servicii foarte bune, extrem de sigure, dar nu ieftine. Ce-i drept, din punct de vedere comercial nu au obținut succesul pe care îl meritau și au rămas puțin „la miză” chiar dacă tehnologic vorbind serviciul este impecabil.

Rapidă poștă

Fast Mail este o alternativă valabilă la Gmail, foarte funcțională și completă cu un preț accesibil, dar este necesar să se verifice conformitatea cu GDPR deoarece este o platformă americană.

QBOX Mail

O alternativă foarte validă, conform tuturor italienilor și GDPR. Versiunea enterprise costă 3.60 euro per cutie și 1 euro pentru fiecare 25 GB de spațiu suplimentar. Nu putem decât să-l recomandăm cu căldură. În opinia noastră, este una dintre cele mai interesante soluții.

Există, de asemenea, mulți alți furnizori de servicii de e-mail în cloud, este o lume care poate fi explorată. Dar pentru a nu da informații excesive, ne vom opri aici.

Server sau server de e-mail proprietar SMTP.

Câți dintre voi au un site și un domeniu și folosesc serverul de mail integrat în serverul dvs. web unde este găzduit site-ul? Este una dintre cele mai frecvente situații.

Serverul SMTP al furnizorului

Serverele SMTP ale furnizorilor consacrați sunt, de asemenea, recunoscute ca fiabile de către alți furnizori. În plus, filtrele lor de spam sunt considerate deosebit de eficiente datorită cantității mari de date procesate. Cu toate acestea, în cazul ofertelor gratuite, de obicei există limitări stricte în ceea ce privește numărul de e-mailuri pe zi, dimensiunea atașamentelor și spațiul de stocare al căsuței de e-mail.

Ofertele sunt prezentate pe mai multe pagini:

Furnizorii de servicii de internet: Furnizorii de servicii de internet (ISP) precum IONOS oferă adesea o adresă de e-mail pentru o conexiune la Internet cu care puteți accesa serverele de e-mail SMTP ale companiei.
Furnizori de e-mail: cel mai obișnuit mod prin care indivizii pot trimite e-mailuri prietenilor și familiei este să folosească aplicația de webmail a unui furnizor de e-mail gratuit, cum ar fi Gmail, Yahoo sau Libero. Singura cerință este o adresă de e-mail care să corespundă domeniului, cu care serverul SMTP al furnizorului poate fi folosit pentru corespondența personală. Tot ce trebuie să faceți este să configurați căsuța de e-mail pentru adresa corectă a serverului SMTP. Mai jos veți găsi un rezumat al celor mai populari furnizori și adresele acestora.
Furnizor de servicii de găzduire: multe pachete de găzduire, cum ar fi cele de la IONOS, conțin implicit un server SMTP, care poate fi folosit pentru a gestiona traficul de e-mail intern și extern al companiei.
Furnizori specializați: unele companii s-au specializat în închirierea de servere SMTP, inclusiv de exemplu Amazon SES și SparkPost, care permit închirierea hardware-ului necesar.

Vă sfătuim categoric împotriva acestei soluții

Server SMTP propriu

Cu niște cunoștințe tehnice de bază, vă puteți configura propriul server SMTP. De exemplu, un Raspberry Pi cu software-ul corespunzător poate fi configurat ca bază hardware.

Avantajele sunt evidente: fără restricții de utilizare de către un furnizor, control deplin asupra tuturor setărilor și gestionarea autonomă a datelor. Mai mult, a avea propriul server este perfect potrivit pentru a te familiariza cu mecanismele tehnice ale traficului de e-mail. Dar există și dezavantaje: datorită adresei IP dinamice specifice accesului privat la Internet, serverele private SMTP sunt adesea clasificate ca spam de către furnizorii mari de e-mail. O problemă care poate fi rezolvată doar cu câteva măsuri de renovare și/sau costuri suplimentare. Cu toate acestea, dacă doriți să vă trimiteți e-mailurile doar către un alt client privat, propriul dvs. server SMTP este în orice caz o alternativă bună. Prin urmare, este necesar să aveți o IP fixă.

Eh, dar nu e un pat de trandafiri, dimpotrivă. Aducerea unui server SMTP în casa ta sau folosirea unuia legat de găzduirea site-ului tău web aduce consecințe care pot fi chiar grave dacă nu ești capabil să gestionezi problemele.

Server sau server de e-mail proprietar SMTP.

Câți dintre voi au un site și un domeniu și folosesc serverul de mail integrat în serverul dvs. web unde este găzduit site-ul? Este una dintre cele mai frecvente situații.

Când vă gestionați propriul server SMTP pentru primirea și trimiterea corespondenței, trebuie să țineți cont de câteva aspecte care pot fi și neplăcute:

Timpul de funcționare a sistemului. În general, diverșii furnizori ISP, în special cei „low-cost” precum Aruba sau Register, nu au un SLA și nu garantează uptime. Înseamnă că pe parcursul a 365 de zile pe an este posibil ca găzduirea dvs. și, prin urmare, domeniul dvs. să nu fie accesibil, ca e-mailurile trimise să nu iasă sau cele care urmează să fie primite să nu ajungă la destinație. Dacă DNS-ul nu este accesibil, sistemul dvs. de gestionare a e-mailului este complet oprit. Furnizori de găzduire care garantează în scris, prin contract, un timp de funcționare mai mare de 99.99% din timp pe un an, există, dar serviciul începe să coste. Oferim un SLA de 99.99% și de fapt costul găzduirii noastre nu este comparabil cu cel din Aruba.

Redundanța. Un server SMTP legat de spațiul dvs. de găzduire se află în general într-un loc, care este o fermă de servere, dacă aceasta explodează, așa cum sa întâmplat recent cu OVH sau cu Aruba în trecutul recent, atât site-ul, cât și întreaga structură IT pentru trimitere și primirea de e-mailuri poate avea probleme. Prin urmare, să pot conta pe o structură redundantă în care, în cazul unei defecțiuni sau închidere a sistemului meu IT, o structură paralelă poate intra imediat în funcțiune. Am putea deschide un capitol separat despre redundanță și am putea intra în cele mai mici detalii, dar nu este locul unde să facem acest lucru. să spunem că redundanța este definită ca un sistem care este capabil să dubleze anumite funcții și deci să garanteze continuitatea serviciilor în cazul unei defecțiuni.

Avantajele utilizării unui server SMPT proprietar. Voi încerca să le enumerez:

  • Abilitatea de a gestiona mai multe conturi de e-mail fără a crește costurile
  • Posibilitatea de a gestiona independent propriile politici de trimitere/primire
  • Posibilitatea de a menține intern o arhivă actualizată a traficului de e-mail și comunicații externe
  • Posibilitatea de a denumi/redenumi cutiile poștale în mod independent și fără intervenție externă
  • Posibilitatea de a stabili (în funcție de furnizorul ales) adresele și/sau IP-urile care urmează să fie incluse în lista neagră sau albă.
  • Posibilitatea de a stabili independent politici anti-spam
  • Posibilitatea de a stabili în mod independent marcajele, DKIM, SPF și DMARC care sunt cele pe care mulți le uită și sunt principala cauză a punerii pe lista neagră a domeniului dvs.

Dezavantajele utilizării unui server SMTP proprietar

Dezavantajele sunt nenumărate, mai ales dacă structura ta nu este pregătită și nu există o conștientizare adecvată a riscurilor pe care le implică aducerea unui server de e-mail în casa ta. Problemele tehnice, juridice și operaționale ar putea, de asemenea, să sfătuiască această cale, mult depinde mai ales de nivelul de cultură tehnologică prezent în structura dumneavoastră.

  • Imposibilitatea de a se despăgubi deoarece toate responsabilitățile de gestionare și arhivare a mesajelor de e-mail cântăresc asupra propriei structuri.
  • Expunerea la toate tipurile de atacuri și necesitatea de a lua toate măsurile pentru limitarea sau anularea acestora.
  • Posibilitatea de a avea momente „întunecate” în care serverul este încetinit de alte operațiuni sau chiar nu își poate îndeplini funcțiile.
  • Necesitatea implementării unei politici acerbe de control antivirus și antispam (aceasta se aplică tuturor astăzi, să spun adevărul)
  • Necesitatea unei politici de backup sistematice și eficiente (aceasta se aplică la toate în prezent).

De asemenea, este adevărat că mulți furnizori „profesioniști” pun la dispoziție servere SMTP care sunt protejate, certificate sau în orice caz aproape lipsite de vulnerabilități și de aceea pericolele apar numai și exclusiv din nepăsarea operatorului sau din imprudența și iresponsabilitatea acestuia.Totuși, să spunem că găzduirea serverului plasat pe aceeași structură în care este găzduit serverul web poate să nu fie întotdeauna o politică corectă, dimpotrivă.

concluzie

Ok, frumos, dar concluzia? Ce sa aleg?

Nu există un singur răspuns, depinde de circumstanțe și, de asemenea, de operație. Vă recomandăm să folosiți un server de e-mail cloud atunci când structura companiei este mică sau microscopică și un server SMTP când structura presupune să aveți cel puțin zece sau chiar 20 de căsuțe poștale. Mai mult din motive de cost decât orice altceva, de ce să aveți un server SMTP găzduit într-un mediu sigur, eficient. structură care marchează corect serverele și folosește protocoale de securitate valide și corecte, are întotdeauna un avantaj just față de orice.Este adevărat că aducem potențiale probleme pe care am dori să rămânem în afara. Chiar și în ceea ce privește GDPR, deși pe de o parte va fi necesar să existe o Politică de confidențialitate corectă, este și adevărat că în cazul unei încălcări a datelor, consecințele pot fi mult mai grave cu utilizarea sistemelor cloud gestionate de terțe părți. Prin urmare, un server SMTP bun și o gestionare atentă a e-mailului ar trebui să rezolve 90% dintre problemele întreprinderilor mici sau activităților profesionale. Un partener bun care oferă un serviciu de găzduire adecvat, un tehnician la fața locului care știe să instaleze corect un client de e-mail, un sistem de backup bun, un firewall și un antivirus mereu la zi, un router cu control aprins asupra porturilor și da aproape că pot dormi liniștit. Atunci orice se poate întâmpla, să fim clari, dar în principiu asta sugerăm.