Skip to main content
Yleinen

Kilpajuoksu roskapostin kanssa

Kirjoittanut 3.12.202024 lokakuun, 2022Ei kommentteja4 min lukuaika

SPF, DKIM, DMARC – ja kaikki roskantorjuntapatteristot näiden lisäksi etulinjassa. Ja silti edelleen schaibaa tulee ja menee bittipostilaatikkoon, vaikka kuinka huitoo vastaan. Eikö mikään riitä? No ei.

Ikuinen kilpajuoksu roskapostin ja sen torjunnan kanssa ei näytä loppuvan. Viime viikolla tutkintapöydälle osui kalasteluviesti, jonka lähettäjä oli nähnyt hieman enemmän vaivaa. Viestin lähettäjän domainina oli haittatoimijan oma domain, jonka nimipalvelusta löytyi lähettävä palvelin sallittuna SPF-tietueessa. Viesti oli digitaalisesti allekirjoitettu DKIM:llä ja DMARC-tietue löytyi myös lähettävältä domainilta. Näiden mekanismien osalta siis kaikki kunnossa. Ei muuta kuin takki narikkaan ja peremmälle, totesi postipalvelimen portsari.

Missä se koukku sitten oli? No lähettäjän nimessä, luonnollisesti.
Lähettäjän nimeksi oli väärennetty halutun lähettäjän nimi ja sähköpostiosoite.

Viestin otsikkotiedoissa From-kentässä on normaalisti jotain tällaista:

”Teppo Turvallinen” <teppo.turvallinen@turvallinen.fi>

…niin tässä tapauksessa se oli muodossa:

”Teppo Turvallinen – teppo.turvallinen@turvallinen.fi” <eu-smtp-gateway@email-secure-server.cc>

Äkkiseltään luettuna viesti näyttää tulleen ihan oikealta lähettäjältä ja lähettävänä osoitteena käytetään turvalliseen sähköpostipalveluun viittaavaa nimeä. Viimeinen tarkastuspiste, eli käyttäjän tarkkaavaisuus pelasti tässäkin tapauksessa vahingoilta.

Onko näistä suojaus- ja suodatustoiminnoista siis mitään hyötyä? Tottakai!

Jokainen ansa, loukku ja verkko vähentää omalta osaltaan läpi tulevan roskan määrää. Oleellista on se, että pyritään sisään tulevien roska- ja haittaviestien lisäksi torjumaan omissa nimissä lähtevää haitallista viestintää. Vertauskuvana voidaan käyttää tämän vuoden maskisuosituksia: mitä useampi näitä mekanismeja käyttää, sitä paremmin olemme turvassa.

Sähköpostin tietoturvamekanismien määrityksessä kannattaa olla tarkkana, jotta niillä on edellytykset toimia oikein – tai ainakin postin kulkua rikkomatta. Esimerkiksi anti-spoofing sääntöön täytyy syöttää myös merkittävien, organisaation ulkopuolisten lähettäjien osoitteet, jotta niitä ymmärretään tarkkailla. Eikä neljä metriä korkeaan muuriin kannata jättää sähköpostia sallivilla säännöillä hätäpäissään isoja aukkoja, kuten ”Salli kaikki meidän domainilla lähetetyt viestit”.

Edelleen on varsin tarpeellista opettaa käyttäjiä olemaan hereillä ja kyseenalaistamaan etenkin rahaan, mutta myös muuhun vähänkin poikkeavaan tekemiseen liittyvät ”toimeksiannot”. Organisaatiossa täytyy olla matala kynnys varmistaa tai kyseenalaistaa epäilyttäviä pyyntöjä puolin ja toisin, vaikka ne tulisivat ylimmältä johdolta.

Mitä voit tehdä näille roskaposteille, joita lentelee joka suuntaan? Tässä muutamat vinkit:

  1. Varmista, että organisaatiosi domaineille on määritetty SPF-tietue nimipalveluun.
    • Tämä parantaa huomattavasti lähettämiesi sähköpostien toimittamista perille.
    • SPF suojaa organisaatiosi nimissä tapahtuvalta roska-/kalasteluviestinnältä kertomalla mitkä palvelut tai palvelimet saavat lähettää postia teidän domainilla.
    • SPF kannattaa määrittää myös niille domaneille, joita ei käytetä sähköpostin lähettämiseen. Tämä suojaa niitäkin domaineita väärinkäytöltä.
    • Tämän asetuksen tilanteen voit tarkistaa esim. Digikuun tarkistuspalvelussa: https://digikuu.fi/sahkoposti-perille/
  2. Varmista, että sisään tulevan postin roskapostisuodatustoiminnot ovat kaikilta osin käytössä.
    • Joskus roskapostimekanismeja on käännetty pois päältä helpottamaan yksittäisten viestien perille pääsyä. Tämä aiheuttaa lähinnä haittaa kokonaistilanteen kannalta.
    • Jos nykyisen palveluntarjoajasi suojamekanismit ovat heikot, voit harkita erillistä suodatuspalvelua tai pohtia palveluntarjoajan vaihtoa.
  3. Varmista, ettei sisään tulevan postin osalta ole tehty liian laajoja sallivia sääntöjä.
    • Esimerkiksi omaa tai muidenkaan organisaatioiden domainia ei kannata lisätä luotetuiksi lähettäjiksi, vaan ennemmin sallia yksittäiset osoitteet, joista postin pitäisi aina saada tulla läpi ilman roskapostitarkastuksia.
  4. Ota käyttöön lähetettävien sähköpostien digitaalinen allekirjoitus (DKIM).
    • Vastaanottava palvelin pystyy tarkistamaan viestin aitouden.
    • Tämä voidaan aktivoida yleensä myös massapostituspalveluille, jolloin esim. asiakas- tai markkinointikirjeiden perillemeno paranee.
  5. Opasta käyttäjiä suhtautumaan epäilyttäviin sähköposteihin varauksella ja varmistamaan tarvittaessa niiden aitous suoraan väitetyltä lähettäjältä.
    • Pieni vaivannäkö voi joskus pelastaa suuremmalta katastrofilta.
    • Ilmapiirin pitää olla tältäkin osin avoin, jotta mahdolliset poikkeamat uskalletaan ja pystytään kommunikoimaan mahdollisimman helposti ja niihin pystytään myös reagoimaan tarvittaessa.

Edellä mainitut asiat eivät maksa mitään, mutta niillä on suuri merkitys sähköpostin kulkuun, käsittelyyn ja turvallisuuteen.

Perusominaisuuksien lisäksi on tarjolla erilaisia lisäpalveluita, jotka entisestään parantavat suodatuskykyä. Esimerkiksi Microsoft Defender for Office 365 (ent. Office 365 Advanced Threat Protection) tarjoaa lisäsuojausta haitallisia linkkejä, liitteitä ja kohdennettua kalastelua vastaan. Mutta perusasiat kuntoon ensin, tälläkin osa-alueella!

 

Pilvikuiskaaja Riku Mustila