Bezpečnosť
Emaily podpíšeme za Vás

Emaily podpíšeme za Vás

Od novembra 2018 sme spustili automatické podpisovanie e-mailov, ktoré posielate cez naše servery. Ako to funguje a prečo je to dobré pre lepšie doručenie elektronickej pošty?

Už dlhšie sme premýšľali, ako našim zákazníkom zabezpečiť lepšiu doručiteľnosť e-mailov a tak aj zvýšiť dôveryhodnosť e-mailovej komunikácie a to bez nutnosti Vášho zásahu.

Podpisovanie e-mailov slúži na zabezpečenie e-mailu pred zmenou obsahu záškodníkom po ceste od jedného poštového servera k druhému. Slúži nám na to protokol DKIM (DomainKeys Identified Mail), ktorý definuje procesy a funkčnosť elektronického podpisovania.

Ako to funguje

DKIM funguje na klasickom modeli elektronického podpisovania. Ten, kto chce niečo podpísať, musí mať svoj súkromný kľúč, ktorý má k dispozícii iba on a verejný kľúč, ktorý je k dispozícii všetkým na svete. Tieto dva kľúče tvoria neoddeliteľný pár. Pre účely DKIM, sa tvorcovia rozhodli umiestniť verejný kľúč podpisujúceho na DNS server domény podpisujúceho, preto je verejný kľúč ľahko načítateľný a distribuovateľný po celom svete.

Proces je veľmi jednoduchý:

  1. Náš server prijme poštu od odosielateľa, ktorý je overený pomocou prihlasovacieho mena a hesla (napríklad z Outlooku). Práve pre toto overenie je odosielateľova pošta pre náš server dôveryhodná.
  2. Server použije svoj súkromný kľúč a z textu, e-mailu odosieľateľa, predmetu a dátumu vytvorí jedinečný podpis, ktorý vloží do e-mailu.
  3. Prijímajúci server (napríklad GMAIL) zistí pri prijímaní, že je pošta podpísaná a nasleduje proces overenia podpisu.
  4. Prijímajúci server si načíta verejný kľúč z DNS záznamov domény, ktorá podpísala e-mail, čiže hostcreators.sk. Pokiaľ si verejný kľúč dokáže načítať a zároveň overí, že podpis v e-maile naozaj podpísal server hostcreators.sk svojim súkromným kľúčom, je tento e-mail dôveryhodný.
  5. Zároveň sa kontroluje, či nebol zmenený obsah e-mailu. Ak by priložený podpis nesedel s obsahom e-mailu, išlo by o útok na e-mail po ceste medzi servermi a teda by bol obsah zneužitý.

Ako to vyzerá v praxi?

Keďže e-mailové klienty ako sú Outlook alebo Thunderbird nijako nezobrazujú informáciu, či je e-mail podpísaný pomocou DKIM, zameriam sa iba na Gmail. Ten informáciu o podpísaní zobrazuje nasledovne:

Informácia o tom, ktorý server podpísal e-mail je v položke: "podpísané od", v našom prípade hostcreators.sk. Ako vidíte, položky "odoslané z" a "podpísané od" nemusia byť rovnaké.

Viac informácií o bezpečnosti e-mailu

Gmail poskytuje užívateľovi aj viac informácií o bezpečnosti e-mailu. Je potrebné si zobraziť tzv. "Pôvodnú správu". Postup je nasledovný:

  1. v pravom hornom rohu kliknite na tlačítko "Viac" s tromi bodkami pod sebou.
  2. následne vyberte ponuku "Zobraziť pôvodnú správu"

Postup je znázorený nižšie:

Pôvodná správa obsahuje v hornej časti obrazovky detailné informácie o e-mailovej správe. Okrem DKIM stave podpisu je zobrazené aj hodnotenie SPF a DMARC, ktoré tiež zvyšujú doručiteľnosť pošty:

Čo hovoria spamové filtre?

Spamové filtre hodnotia podpisovanie pošty pomocou DKIM pozitívne. Naše serveri používajú jeden z najpoužívanejších spamových filtrov, ktorý zlepšuje celkové skóre e-mailu ak je valídne podpísaný pomocou DKIM. V zdrojovom kóde e-mailu tak môžeme nájsť info o výsledku DKIM kontroly:

X-Spam-Status: No, score=-2.038 tagged_above=-100 required=6.2 tests=[AWL=0.562, BAYES_00=-1.9, DKIM_SIGNED=0.1, DKIM_VALID=-0.1, HTML_MESSAGE=0.001, RCVD_IN_DNSWL_LOW=-0.7, SPF_PASS=-0.001]

Spamový filter najskôr zistil, že je e-mail podpísaný: DKIM_SIGNED (kladná hodnota) a ak je valídny podpis odpočíta DKIM_VALID (záporná hodnota). Ak by nebol podpis valídny, dostal by e-mail DKIM_INVALID s kladnou hodnotou. V sumáre sa potom hodnotí počet bodov. Čím menej bodov, tým lepšie.

Očakávania do budúcnosti

Aj v tejto oblasti ešte môže webhostingová spoločnosť ísť ďalej. Ukázali sme si, ako Vám podpíšeme e-mail, pretože ste sa u nás pri odosielaní e-mailu autentifikovali pomocou mena a hesla. Ešte vyššia bezpečnosť by bola, keby ste mali vlastný podpisový certifikát a ten by sa použil iba pre Vašu konkrétnu doménu. Na tejto funkcionalite budeme pracovať v blízkej budúcnosti.

V súčasnosti je každé zabezpečenie elektronickej komunikácie veľmi dôležité a aj pomocou DKIM dokážeme zvýšiť dôveryhodnosť e-mailov, ktoré pošleme cez naše servery.