V současné době v projektu Turris zvyšujeme úroveň zabezpečení e-mailové komunikace. Používáte-li odesílání notifikací ze zařízení prostřednictvím naší infrastruktury, týká se vás to také. Posílí to vaše bezpečí, ale zároveň to může „rozbít“ přesměrování zpráv na jinou adresu.
Bezpečnější e-mailová komunikace
E-mail je velmi starý způsob internetové komunikace. Protože se ale stále velmi intenzivně používá (a ještě určitě dlouho používat bude), prošel poměrně rozsáhlým vývojem, a to především v oblasti bezpečnosti. Je to nutné, protože bývá zneužíván ke mnoha různým nekalým činnostem, jako je například spam, phishing nebo špehování komunikace. Ve sdružení CZ.NIC jsme vždy velmi dbali na bezpečnost – nejinak je tomu i v projektu Turris. Proto se snažíme v maximální míře využívat dostupné možnosti, abychom bezpečnost posilovali.
E-mail v rámci Turrisu
Kromě osobní e-mailové komunikace, kde používáme stejné řešení jako zbývající část sdružení CZ.NIC, máme v Turrisu jednu specifickou věc. Každý provozovatel našich zařízení (tedy aktuálně Turris 1.x, Omnia, MOX a Shield) si může nechat posílat notifikace o významných událostech, jako je například proběhlá aktualizace nebo nutnost zařízení restartovat. A k jejich odeslání lze využívat naši e-mailovou infrastrukturu (nebo si nastavit vlastní, ale to už jde mimo naši působnost).
Je samozřejmě naším velkým zájmem, aby taková e-mailová komunikace byla bezpečná a důvěryhodná. Tedy aby se za nás nemohl snadno někdo vydávat, například naším jménem posílat odkazy na podvodné přihlašovací formuláře nebo i třeba „jen“ reklamu na přípravek proti padání vlasů.
Proto jsme již při zprovozňování odesílací e-mailové infrastruktury nasadili celou škálu bezpečnostních technologií. Základem je samozřejmě ověřování oprávněnosti odesílat zprávy a šifrovaná komunikace mezi zařízením a příslušným serverem (využívající bezpečnou verzi protokolu TLS a bezpečný algoritmus). To ale zdaleka nestačí.
Stručně o technologiích
Na ochranu proti neoprávněnému odesílání e-mailů „cizím jménem“ (myšleno na úrovni domény) a další neoprávněné manipulaci vznikla celá řada technologií. Aktuálně nejpoužívanějšími jsou SPF, DKIM a DMARC. Podívejme se na ně blíže.
- SPF (Sender Policy Framework) – Pomocí speciálních DNS záznamů lze určit, které servery jsou v rámci dané domény odesílatele oprávněny odesílat e-mailové zprávy. Přijímající server si může ověřit, zda zprávu přebírá od serveru, který je v záznamech uveden.
- DKIM (DomainKeys Identified Mail) – Odesílající server podepisuje soukromým klíčem tělo zprávy a některé hlavičky. Veřejný klíč je zveřejněn v DNS. Přijímající server si může pomocí veřejného klíče ověřit podpis (a tedy jak původ zprávy, tak její neporušenost).
- DMARC (Domain-based Message Authentication, Reporting and Conformance) – Využívá obě předchozí technologie a umožňuje definovat politiku nakládání se zprávami. Lze definovat e-mailové adresy, kam přijímající servery posílají reporty o zpracování zpráv.
Pro využití těchto technologií je nezbytné nasazení DNSSEC (na ochranu proti podvržením záznamů v rámci DNS komunikace), což je u nás samozřejmostí.
Přichází-li na e-mailový server zpráva, kde jsou u domény odesílatele nasazeny zmíněné technologie, server provede potřebné kontroly a zprávu buď přijme, vrátí nebo zahodí. Co přesně udělá, záleží jak na samotné zprávě (zda je odeslána legitimním způsobem), tak na definované politice a na nastavení přijímajícího serveru.
Když legitimní zprávy neprojdou
V ideálním světě by to bylo tak, že legitimní zpráva vždy projde a nelegitimní je vždy vrácena nebo zahozena. Ale v ideálním světě bohužel nežijeme a tak se setkáváme s různými případy, kdy buď projde nelegitimní zpráva (to třeba v případě, že je přijímající server příliš benevolentní), nebo neprojde zpráva legitimní (což je horší).
Ten druhý případ nastává nejčastěji při přesměrování zpráv. Máte nějakou e-mailovou adresu, kterou už nepoužíváte, ale nechcete přijít o zprávy, které tam chodí – proto si nastavíte přesměrování. To se ale bohužel nesnáší se SPF. Na cílový server totiž zpráva zhusta přichází ze serveru, který není uveden mezi oprávněnými (zpáteční adresa zůstává původní, proto se ověřuje původní doména).
Další problémy mohou generovat e-mailové konference (mailing listy). Ty sice původní adresu odesílatele nahrazují tou svou, ale zároveň také upravují hlavičky (kromě té změny zpáteční adresy např. něco přidají do předmětu zprávy) a případně i tělo. Pokud ve zprávě zůstane původní hlavička s podpisem DKIM, stane se zpráva nedůvěryhodnou a tedy nemusí být doručena.
Co s tím?
Tím nejjednodušším řešením je nepoužívat přesměrování – nikde, nejen pro notifikace ze zařízení Turris. Postupem času se kvůli používání SPF a DMARC stalo velmi problematické. Prostě si místo dosavadní adresy nastavte přímo tu skutečnou, cílovou. Nechcete-li ji nikde uvádět, použijte přeposílací nástroj, který je s technologiemi SPF, DKIM a DMARC kompatibilní – třeba vhodnou e-mailovou konferenci.
V případě e-mailových konferencí je potřeba, aby příslušný software při příjmu všechno zkontroloval, ale následně už fungoval „sám za sebe“, tedy například použil vlastní podpis DKIM a neponechal v hlavičkách ten původní.
Vyšší bezpečnost má smysl
Přestože může vyšší úroveň bezpečnosti přinášet určité nepohodlí a třeba nutnost změnit dosavadní nastavení, jednoznačně má smysl. Snad každý se setkal s nějakou formou zneužití e-mailu a nebylo to setkání příjemné. Mějme tedy pokud možno co nejvíce zážitků příjemných a co nejméně těch nepříjemných – i díky bezpečnostním technologiím.