Securitatea e-mailului: cum îi ajută cadrele de bază proprietarii de site-uri WordPress
Publicat: 2018-12-20În toate țările și industriile, o tehnologie a împărtășit nenumărate secrete de peste două decenii. Da, în ciuda creșterii rețelelor sociale, a aplicațiilor de mesagerie și a instrumentelor de management de proiect, e-mailul rămâne canalul de comunicare online numărul unu de facto – dar este și o sursă de mare îngrijorare când vine vorba de securitate.
Când luați în considerare epoca tehnologiei și stimulentul pentru hackeri de a încerca fraudarea, este ușor de înțeles de ce aceasta continuă să deranjeze atât companiile, cât și persoanele fizice. Este, de fapt, mai multă îngrijorare acum decât oricând, deoarece apariția autentificării cu mai mulți factori, a stocării în cloud, a ecosistemelor digitale și a autentificărilor sociale i-a făcut pe mulți dintre noi să ne bazăm pe siguranța adreselor noastre de e-mail pur și simplu pentru a trece peste zi.
Din păcate, nu este suficient să ai o parolă complexă și să o păstrezi protejată, deoarece e-mailul poate fi atacat în alte moduri: falsificat, falsificat și folosit pentru a manipula oameni de tot felul. Acesta este locul în care cadrele de securitate pentru e-mail devin de o importanță vitală - fac mult mai ușor să ai încredere în legitimitatea e-mailurilor tale.
Dar de ce este frauda o asemenea amenințare? Care sunt aceste cadre și cum îi ajută pe proprietarii de site-uri web să continue în siguranță? Te poți baza cu adevărat pe ei pentru a te proteja? Hai să aruncăm o privire.
De ce frauda prin e-mail este o problemă atât de îngrijorătoare
Ne îndreptăm din ce în ce mai mult către plăți fără numerar, servicii bancare online și lucru la distanță care necesită comunicări digitale extinse și aprofundate (adesea pe subiecte sensibile). Cu cât avem mai multă încredere în e-mailuri, cu atât acestea devin mai atrăgătoare pentru hackeri – cu atât mai mult atunci când e-mailurile implică oameni care nu știu suficient despre tehnologie pentru a ști când sunt păcăliți.
Dacă cineva care știe cum să folosească e-mailul, dar nu are idee că falsificarea e-mailului este chiar posibilă, primește un e-mail fraudulos, nu va ști să aibă îndoieli. Și randamentul pentru fraudatori este chiar mai bogat în perspective decât ar fi putut să obțină vreodată prin escrocherii telefonice, deoarece își pot automatiza e-mailurile frauduloase și pot evita conversațiile telefonice extinse care pot expune găuri în poveștile lor de acoperire.
Pentru domeniile legitime, frauda prin e-mail este o mare îngrijorare, deoarece le face să arate rău. Chiar dacă oamenii vor afla în cele din urmă că nu ai fost responsabil, ei încă vor asocia marca ta cu frauda într-o oarecare măsură. Deci, dacă doriți ca domeniul dvs. să fie de încredere (și ca oamenii să fie protejați de încercările de a le exploata în numele dvs.), va trebui să vă securizați e-mailurile. Iată cum:
Vă prezentăm cele mai comune cadre de securitate pentru e-mail
Cele două cadre de e-mail utilizate cel mai frecvent sunt SPF (Sender Policy Framework) și DKIM (DomainKeys Identified Mail) și funcționează în mod similar, dar în moduri ușor diferite: SPF necesită un nume de gazdă sau o adresă IP acceptată, în timp ce DKIM necesită un cod criptat corect. mesaj de antet. Să ne uităm la o explicație mai detaliată:
Cum funcționează SPF
Când activați SPF pe domeniul site-ului dvs. web, stabiliți o listă de nume de gazdă și adrese IP care sunt considerate surse legitime de e-mail din acel domeniu, o listă care este adăugată la înregistrarea DNS a site-ului (înregistrarea care leagă URL-ul dvs. la adresa dvs. IP).
Fiecare sistem de e-mail care pare să primească un e-mail de la o adresă de pe acel domeniu va lua adresa IP folosită pentru a-l trimite și o va compara cu lista din înregistrarea DNS. Dacă este o potrivire, e-mailul va fi considerat legitim - dacă nu este o potrivire, atunci sistemul va ști că e-mailul este fraudulos (sau a greșit îngrozitor cumva).
Cum funcționează DKIM
Când activați DKIM, este nevoie de abordarea distinctă a utilizării criptării pentru verificare. Domeniul va avea o cheie privată care este păstrată secretă și folosită pentru a cripta un mesaj ascuns în antetul fiecărui e-mail, precum și o cheie publică de decriptare care este adăugată în înregistrarea DNS.
Fiecare sistem de e-mail care preia un e-mail pretins din acel domeniu va lua cheia publică din înregistrarea DNS și va încerca să decripteze mesajul ascuns. Dacă reușește, va ști că e-mailul este de la locul potrivit. Dacă eșuează, va ști că expeditorul a fost falsificat.
Ce implică DMARC
DMARC, care înseamnă „Domain-based Message Authentication, Reporting and Conformance”, este un sistem care cuprinde SPF și DKIM în timp ce completează unele opțiuni, stabilește politici și raportează după cum este necesar.
Când configurați DMARC, veți specifica în esență care dintre metodele menționate mai sus este utilizată pentru e-mailurile de pe domeniul dvs. (posibil ambele), precum și ce ar trebui făcut atunci când sunt detectate e-mailuri care nu îndeplinesc standardul ales. De asemenea, puteți configura o notificare care să declanșeze, astfel încât să știți despre încercările de a uzurpa identitatea adresei dvs. de e-mail (în același mod în care puteți primi notificări pentru modificările aduse unui site WordPress).
Cum să luați măsuri pentru a vă păstra e-mailul în siguranță
Dacă doriți ca e-mailurile dvs. să fie de încredere, iar destinatarii să se simtă în siguranță în accesarea lor, ar trebui să vă asigurați că faceți tot ce puteți pentru a vă proteja împotriva fraudei. Cel puțin, faceți următorii trei pași:
- Protejați-vă cu atenție lista de e-mail. Chiar dacă vă asigurați că fiecare e-mail care pretinde că este de pe domeniul dvs. va fi verificat, este totuși periculos pentru fraudatori să vă pună mâna pe lista de adrese, deoarece mulți oameni (de multe ori din generații mai în vârstă) nu vor verifica de fapt expeditorul foarte atent dacă conținutul seamănă în mod clar cu ceva pe care îl recunosc. Protejați-vă lista de e-mail, astfel încât oamenii să aibă mai puține motive pentru a vă viza publicul (ar trebui să faceți acest lucru după GDPR oricum).
- Configurați un cadru de securitate. Puteți utiliza SPF, DKIM sau DMARC - dar orice ați face, asigurați-vă că urmați cele mai bune practici pentru orice sistem pe care îl utilizați și confirmați că funcționează. Dacă utilizați software de automatizare a e-mailurilor pentru marketing, asigurați-vă că îl configurați ca sursă de încredere, astfel încât e-mailurile pe care le distribuie să nu fie respinse ca nelegitime la livrare.
- Avertizează-ți abonații să fie atenți. După ce ați făcut tot ce puteți din partea dvs. a ecuației, merită totuși să vă adresați publicului (mai ales dacă nu este foarte priceput la tehnologie) pentru a-l avertiza despre perspectiva fraudei. Spuneți-le ce tipuri de mesaje le veți trimite – și pe care nu le veți trimite niciodată – și invitați-i să vă contacteze direct dacă nu sunt siguri vreodată de un mesaj pe care se presupune că le-ați trimis.
Faceți toate acestea și veți putea continua cu un grad mult îmbunătățit de certitudine că e-mailurile dvs. vor fi în siguranță și publicul dvs. va fi la adăpost de amenințarea uriașă a fraudei prin e-mail.