Lai šī tīmekļa vietne darbotos, CERT.LV izmanto obligāti nepieciešamās sīkdatnes.

Ar Jūsu piekrišanu šajā vietnē papildus var tikt izmantotas statistikas un mārketinga sīkdatnes.

Ja piekrītat šo papildu sīkdatņu izmantošanai, lūdzam atzīmēt savu izvēli:

Plašāka informācija un iespēja mainīt savu izvēli šeit.

☰
Sākums Incidenti Rīki un ieteikumi

E-pastu drošība – šifrēšana

Lai nodrošinātu konfidenciālu saraksti un e-pasta piekļuves datu drošību, nepieciešams izmantot šifrēšanu gan komunikācijai starp e-pasta serveriem, gan katra individuāla lietotāja komunikācijai ar serveri. Zemāk aplūkosim veidus, kā pārliecināties, ka risinājums pasargā visu e-pasta datu plūsmu, nepieļaujot izņēmumus.

Lietotāju komunikācija ar serveri (IMAP, POP, SMTP) ir pasargāta ar šifrēšanu

Neaizsargātu protokolu IMAP, POP, SMTP vietā tiek izmantotas ar TLS pasargātās alternatīvas:

  • IMAP vietā IMAPS
  • POP vietā POPS
  • SMTP vietā SMTPS vai STARTTLS

Būtiski: nepietiek ar to, ka ar TLS aizsargātās protokolu versijas tiek atbalstītas servera pusē. Jāpārliecinās par to, ka visi lietotāji (un automatizētās sistēmas, kas izmanto e-pastus) lieto TLS un nekāda konfidenciālā informācija (lietotājvārdi, paroles, e-pastu adresāti, e-pastu saturs un pielikumi) netiek pārsūtīta nešifrētā veidā. Veidi, kā to var panākt:

  1. bloķēt neaizsargātas konekcijas servera pusē, teiksim, aizslēdzot 110. un 143. portus ugunsmūrī un pieņemot SMTP AUTH komandu tikai tad, ja ir izveidots drošs, ar TLS aizsargāts kanāls;
  2. veicot regulāras pārbaudes caur servera konekciju monitoringu vai žurnālfailu analīzi, ar mērķi noskaidrot, kuri lietotāji slēdzas klāt e-pastu, serverim izmantojot nedrošus protokolus (ja tādi incidenti tiek atklāti, ar lietotājiem jāsazinās un jāatrisina problēma);
  3. Veicot centralizētu e-pasta klientu konfigurāciju (IT administratori manuāli sakonfigurē visu organizācijas/uzņēmuma lietotāju e-pastus vai arī automatizē šo uzdevumu).

Ja tiek izvēlēts 3. risinājums:

  • vēlams izmantot Autodiscover/Autoconfig mehānismus, lai daļēji automatizētu Outlook/Thunderbird konfigurāciju;
  • noteikti jāveic arī 2. punktā minētās pārbaudes servera pusē, jo lietotāji var sakonfigurēt e-pastus telefonos, mājās, vai citur ārpus organizācijas pārvaldības.

E-pastu izsūtīšana un saņemšana starp e-pastu serveriem tiek pasargāta ar šifrēšanu

Ja e-pasta nosūtīšanas laikā tas jāpārsūta uz citu serveri, kas atbalsta TLS, šai komunikācijai jābūt pasargātai ar šifrēšanu.

Šifrēšanai tiek izmantoti tikai uzticami algoritmi

Serverī jāatslēdz novecojušu algoritmu (teiksim, SSLv1, SSLv2, SSLv3) atbalsts un jāatbalsta moderni algoritmi (TLSv1.2 un TLSv1.3). Šobrīd pieejamos šifrēšanas algoritmus var noteikt ar brīvpieejas programmatūru “openssl”.

Šifrēšanai tiek izmantoti tikai derīgi sertifikāti

Visur, kur komunikāciju drošība ir pasargāta ar šifrēšanu, ir jāizmanto derīgi sertifikāti, t.i. tādi, kas ir:

  • ar derīgu lietošanas termiņu;
  • CA parakstīti;
  • domēna vārds sertifikātā sakrīt ar to, kas norādīts e-pasta klienta iestatījumos.

(Vēlams) Tiek izmantota MTA-STS tehnoloģija

MTA-STS ir relatīvi jauns standarts, kas ļauj serveriem signalizēt, ka tie atbalsta modernus šifrēšanas standartus un ka citi e-pasta serveri (kas arī saprot MTA-STS) var droši izmantot savā komunikācijā TLS, neuztraucoties par atpakaļsaderību.

Motivācija

Veiksmīga MTA-STS ieviešana ļauj pasargāt komunikācijas ne tikai pret pasīviem novērotājiem, bet arī pret aktīviem trafika pārtveršanas mēģinājumiem.

(Vēlams) Tiek izmantota TLS-RPT tehnoloģija

TLS-RPT ir mehānisms, kas ļauj e-pastu serveriem automātiski nosūtīt un saņemt paziņojumus par kļūdām, kuras radušās, mēģinot iniciēt TLS konekcijas vai šifrētas komunikācijas laikā.

Motivācija

Šāda veida atskaites ļauj e-pastu administratoriem ātrāk pamanīt un atrisināt nesaderības TLS iestatījumos, uzturot augstu servisa līmeni un iegūstot kvantitatīvus rādītājus tālākai pakalpojumu uzlabošanai.

Vēl par e-pastu drošību:

E-pastu drošība - lietotāju autentifikācija
E-pastu drošība - aizsardzība pret ienākošo e-pastu viltošanu
E-pastu drošība - aizsardzība pret izejošo e-pastu viltošanu

Noderīgas saites:

“Guidelines on Electronic Mail Security”, NIST
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-45ver2.pdf

“Trustworthy Email”, NIST
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-177r1.pdf

“Email Authentication Best Practices”, CISCO
https://www.cisco.com/c/dam/en/us/products/collateral/security/esa-spf-dkim-dmarc.pdf

“M3AAWG Best Practices for Managing SPF Records”, Messaging, Malware and Mobile Anti-Abuse Working Group https://www.m3aawg.org/sites/default/files/m3aawg_managing-spf_records-2017-08.pdf

“M3AAWG Trust in Email Begins with Authentication”, Message, Mobile and Malware Anti-Abuse Working Group https://www.m3aawg.org/sites/default/files/document/M3AAWG_Email_Authentication_Update-2015.pdf

“Internet.nl Toolbox – hw-to’s mail security standards”, internet.nl
https://github.com/internetstandards/toolbox-wiki

“How to Combat Fake Emails”, Australian Cyber Security Centre
https://www.cyber.gov.au/publications/how-to-combat-fake-emails

Attēls: pixabay.com

Ziņas

Par mums

Incidenti

Pakalpojumi

Kontakti

© 2024 CERT.LV