Zijn uw e-mails veilig?

Aprile 12, 2021
|In Voor internet, Beveiliging en privacy, Op de voorgrond
|By Andreas ArnoMichael Voigt

Zijn uw e-mails veilig?

Tegenwoordig worden communicatie- en computersystemen steeds meer bedreigd door aanvallen van buitenaf en zelfs als we denken dat we veilig zijn omdat we denken dat we nauwkeurige voorzorgsmaatregelen hebben genomen, zijn we dat niet. Inmiddels gaat het nieuws in een onophoudelijk tempo door, 500 miljoen accounts gehackt op Facebook, miljoenen accounts gehackt op gmail, gratis of andere diensten en we begrijpen niet dat ook wij, ondanks onszelf, onbewust, betrokken zijn en vaak een voertuig worden van spammers en criminelen die ons gebruiken voor doeleinden die we niet eens willen weten. Het wordt erg ingewikkeld als we het hebben over mailboxen die voor professionele en/of werkredenen worden gebruikt, aangezien de Privacy Garant is begonnen met het opleggen van vrij zware straffen die zelfs een bedrijf op de knieën kunnen brengen. We moeten onszelf beschermen en om onszelf te beschermen moeten we nadenken over wat stroomopwaarts moet gebeuren, niet wanneer de ramp zich heeft voorgedaan.

Voor degenen die Gmail gebruiken

Velen vragen me wat de veiligste e-mailservice is om te gebruiken. Ik moet ze teleurstellen, het bestaat niet. Of beter nog, het is niet de juiste vraag. Er zijn betaalde diensten, gratis diensten en u moet weten wat u moet doen om veilig te zijn of in ieder geval uw klanten de veiligheid van de aan ons toevertrouwde gegevens te garanderen. Een van de meest gebruikte platforms, zelfs door freelancers, is GMAIL. Het is gebruikelijk om een ​​e-mail te ontvangen van uw accountant genaamd studiocommercialista@gmail.com. En er wordt ook vrij algemeen aangenomen dat GMAIL een van de veiligste mailingservices ter wereld is. Maar dat is het niet, inderdaad.

Overigens is de GMAIL die in zijn gratis configuratie wordt gebruikt niet veilig omdat geen enkele e-mail 100% veilig is, maar meer nog, een gratis dienst is precies gratis en heeft beperkingen, inderdaad, hij moet beperkingen hebben. U dient de serviceleveringsovereenkomst te lezen voordat u uw communicatie aan derden toevertrouwt. Als we de contracten lezen, begrijpen we dat de verantwoordelijkheden die Google op zich neemt zeer gering zijn in het geval van datalekken of beter nog, geen verantwoordelijkheid. Als ze inbreken in uw mailbox en de opgeslagen gegevens stelen, verzonden e-mails, ontvangen e-mails, zijn dit uw problemen en als u onvoldoende maatregelen hebt genomen om de gegevens van uw klanten te beschermen, zal de Privacy Garant u vragen om hiervoor verantwoording af te leggen door boetes opleggen die veel kwaad kunnen doen.

Het gebruik van betaalde GMAIL verandert veel. Google zegt het zelf. Het begint echter met een kostprijs van 4.68 euro/maand per mailbox om 15,60/maand te bereiken en toevallig zegt een van de gemarkeerde functies: "Beheer en beveiligingscontroles".

De versie van 15,60/maand claimt: "Geavanceerde beheer- en beveiligingscontroles, inclusief Vault en geavanceerd eindpuntbeheer". Omdat het probleem niet alleen de beveiliging van de structuur is, benadrukt Google het feit dat het ook nodig is om de gebruiker te "leren" over de noodzaak om correcte controle- en beveiligingsmaatregelen te nemen voor zijn gedrag, uitgaande van de tools die hij gebruikt om toegang te krijgen tot zijn mailboxen .mail, Android, IOS of mailclient zoals Thunderbird of Outlook of wat dan ook.

Als we dan redeneren vanuit het feit dat de kost van de dienst per box wordt uitgedrukt, is het bij een gearticuleerde studie met meerdere personen goed voorstelbaar dat de totale kost voor een goede communicatiestructuur en relatie met de buitenwereld kan oplopen tot een behoorlijke last.

Dat vertaalt zich allemaal naar dit: wil je zekerheid? betaal en ook zout en leer je goed te gedragen.

Voor iedereen die Microsoft Exchange gebruikt

In principe verandert er niets ten opzichte van GMAIL. Het principe is hetzelfde, de prijzen zijn hetzelfde en bijvoorbeeld de maandelijkse kost van 12.50 dollar omvat ook Office 365

Het privacyschild dat je voor de gek houdt.

Het Privacy Shield, of het "privacyschild" tussen de EU en de VS, is een zelfcertificeringsmechanisme voor in de VS gevestigde bedrijven die persoonsgegevens van de Europese Unie willen ontvangen. In het bijzonder verbinden de bedrijven zich ertoe de daarin vervatte beginselen te respecteren en de betrokken partijen (dwz alle personen van wie persoonsgegevens vanuit de Europese Unie zijn overgedragen) passende beschermingsmiddelen te bieden, op straffe van schrapping van de lijst van gecertificeerde bedrijven (" Privacy Shield List") door het Amerikaanse Ministerie van Handel en mogelijke sancties door de Federal Trade Commission. De Europese Commissie is van mening dat het systeem een ​​passend beschermingsniveau biedt voor persoonsgegevens die door een persoon in de EU worden overgedragen aan een in de Verenigde Staten gevestigde onderneming en dat het Shield daarom een ​​bron van juridische waarborgen vormt met betrekking tot de overdracht van gegevens in kwestie.

Het EU-VS Privacy Shield is van kracht sinds 1 augustus 2016.

Het schild is van toepassing op alle categorieën persoonsgegevens die vanuit de EU naar de VS worden overgedragen, inclusief bedrijfsinformatie, gezondheids- of personeelsgegevens, op voorwaarde dat het Amerikaanse bedrijf dat dergelijke gegevens ontvangt, zelf heeft verklaard zich aan de regeling te houden.

Helaas is het pact verbroken.

Het Europese Hof onderzocht het eerste besluit (2010/87 over modelcontractbepalingen) en stelde vast dat dit, hoewel gebaseerd op contractuele bepalingen die als zodanig de staten niet kunnen binden om ze na te leven, doeltreffende mechanismen bevat die het in de praktijk mogelijk maken , om ervoor te zorgen dat het door het Unierecht vereiste beschermingsniveau wordt gerespecteerd en dat de doorgifte van persoonsgegevens op basis van deze clausules wordt opgeschort of verboden in geval van schending van deze clausules of de onmogelijkheid om ze te eerbiedigen.

Het tweede besluit (2016/1250 over de toereikendheid van de bescherming die wordt geboden door het EU-VS-schild) stelt in plaats daarvan het primaat vast van de behoeften met betrekking tot de nationale veiligheid, het algemeen belang en de naleving van de Amerikaanse wetgeving, waardoor het mogelijk wordt om in te grijpen in de grondrechten van personen van wie de gegevens naar dat derde land worden doorgegeven.

Volgens het Hof zijn de beperkingen van de bescherming van persoonsgegevens die voortvloeien uit de interne wetgeving van de Verenigde Staten niet zodanig geformuleerd dat zij voldoen aan vereisten die in wezen gelijkwaardig zijn aan die welke in het EU-recht worden vereist door het evenredigheidsbeginsel en strikte noodzaak.

Dus? Wat heeft het Privacy Shield met mijn e-mails te maken?

Vertaald komt het er in een notendop op neer dat systemen als Gmail en Microsoft Exchange niet beschermd zijn door het Privacy Shield en bij de Audit en Privacy By Design in acht moeten worden genomen om hun klanten op gepaste wijze te informeren met een correcte DPA (Data Protection Onderzoek).

Laten we samenvatten: Gmail p Microsoft Exchange ja, indien betaald, tegen welke prijs? Het hangt ervan af hoeveel mailaccounts u wilt gebruiken en of u uw eigen bedrijfsdomein wilt gebruiken. En in ieder geval buiten het Privacy Shield, dat ons in gevaar brengt bij een tussenkomst van de Privacy Garant, met boetes die aanzienlijk kunnen worden.

Nou, we snappen het! Maar wat heeft dit te maken met de veiligheid van onze e-mail? Kalm en koel, hier komen we! Een beetje kalm!

Principe van eigendom van persoonsgegevens

Laten we een vast punt stellen en dat is dat de Privacy Garant een principe heeft vastgelegd: Persoonsgegevens zijn niet van jou maar zijn eigendom van de mensen op wie die gegevens betrekking hebben.

Op basis van de wetgeving die dit recht regelt, kan elk individu daarom beweren dat zijn persoonlijke gegevens alleen door derden worden verzameld en verwerkt in overeenstemming met de regels en principes die zijn vastgelegd in de wetten ter zake, zowel van de Europese Unie als van van de afzonderlijke nationale staten. Het doel van de wetgeving is om de belanghebbende de bevoegdheid te geven om over zijn gegevens te beschikken, ervoor te zorgen dat het individu controle heeft over alle informatie over zijn privéleven en hem tegelijkertijd de middelen te bieden om deze informatie te beschermen.

En voor de duidelijkheid:

  • Een ieder heeft recht op bescherming van de hem betreffende persoonsgegevens.

  • Dergelijke gegevens moeten eerlijk worden verwerkt, voor specifieke doeleinden en op basis van de toestemming van de betrokkene of een andere legitieme grondslag die door de wet is vastgelegd. Ieder individu heeft het recht om toegang te krijgen tot de over hem verzamelde gegevens en om de rectificatie ervan te verkrijgen.

  • De naleving van deze regels is onderworpen aan de controle van een onafhankelijke instantie.

Op basis van wat hierboven is geschreven, wordt duidelijk hoe de beveiliging van iemands IT- en externe communicatiesystemen een zeer hot topic is dat ons allemaal verplicht om na te denken over hoe we gewend zijn om onze bedrijfsprocessen te beheren.

Het juiste gedrag om veiliger te zijn

Het eerste dat we moeten onthouden, is dat de eerste oplossing ons gedrag is. Wat zijn de juiste gedragingen om aan te nemen? Ik som er meerdere op. Helaas komt het bij het werken met medewerkers en werknemers voor dat niet iedereen zich correct en gelijk gedraagt, iemand ontsnapt altijd uit het "hek" en je moet heel voorzichtig zijn. Maar als u begint te begrijpen dat de persoonlijke gegevens die in communicatie worden gebruikt eigendom zijn van de respectievelijke personen op wie deze gegevens betrekking hebben, is het gemakkelijker om verantwoordelijk en attent gedrag op te wekken en veel problemen te voorkomen.

  1. Open geen bijlagen zonder de afzender van de e-mail te controleren.
  2. Gebruik geen automatisch openen van bijlagen.
  3. Controleer altijd de afzender van de ontvangen e-mail
  4. Gebruik alle velden van de e-mail correct
  5. Gebruik het veld "Onderwerp" correct en omschrijf kort en correct het onderwerp van de e-mail. Het is handig voor degenen die de e-mail ontvangen, omdat ze meteen merken of de e-mail speciaal voor hen is geschreven en het is handig voor het doorzoeken van de duizenden e-mails die we elke week archiveren wanneer we iets specifieks moeten vinden.
  6. Gebruik SLECHTS ÉÉN ontvanger per e-mail in het veld "Aan:". Als we meer ontvangers moeten invoeren, zetten we in dat geval ons adres in het veld "Aan:" en in het veld "CCn:" (Hidden Carbon Copy) de adressen van alle andere ontvangers. Dit beschermt de privacy van de ontvangers die de e-mail gericht aan "Undisclosed Recipient" zullen ontvangen en zullen niet overal spam in zijn mailbox vinden.
  7. Maak geen onbeperkte herhalingen van berichten door de mailbox als chat te gebruiken.
  8. Vermijd het verzenden van zware bijlagen en verzend eventueel gezipte bijlagen.
  9. Vul geen e-mails met afbeeldingen onderaan met logo's, handtekeningen, social media-iconen of iets anders. Velen hebben de automatische weergave van afbeeldingen geblokkeerd en het resultaat dat u krijgt is alleen maar verwarring en rommel.
  10. Open geen verdachte e-mails.
  11. Wijzig minimaal eens in de drie maanden je mailboxwachtwoord en gebruik complexe strings. Als u speciale tekens, hoofdletters en kleine letters, niet wilt onthouden, raden we u aan hele zinnen te gebruiken die u gemakkelijk kunt onthouden, zoals: "gisteren-mijn-hond-jack-speelde-met-frisbee". Je krijgt nog steeds een uitstekend resultaat. Simpelere wachtwoorden kunnen eenvoudig worden gehackt met een paar brute force-operaties en vanaf daar is de schade aangericht.
  12. Gebruik uw zakelijke e-mail NOOIT voor uw sociale profielen!
  13. Gebruik waar mogelijk altijd dubbele authenticatie.
  14. Het heeft niets met veiligheid te maken, maar GEBRUIK GEEN HOOFDLETTERS. De hoofdletter betekent SCHREEUW en is verdomd smerig en grof.
  15. Maak dagelijks een back-up van uw mail, laat niet alle communicatie op de server staan, het is een praktijk die niet alleen wordt afgeraden, maar ook sterk wordt bestraft door de Privacy Garant.

Dit lijken triviale aanbevelingen, maar ironisch genoeg vertrouwen hackers en spammers op onzorgvuldigheid van gebruikers. We weten het, ze zijn echt banaal en je hebt duizenden keren gehoord, gezegd, afgezaagd, maar blijkbaar is het niet genoeg!

Gmail nee, Microsoft Exchange nee, wat te doen?

Aangezien we geen nee hebben gezegd, maar u alleen bewust hebben gemaakt van de risico's die u loopt, zijn er echter praktische, interessante oplossingen die u veilig houden, ervan uitgaande en niet vanzelfsprekend dat het gedrag van individuen dan de minimale eenheid weerspiegelt die nodig is om te voorkomen dat ze kapot gaan alles. Aangezien we niet hebben gezegd dat u geen gebruik kunt maken van GMAIL of Microsoft Exchange, maar dat u hiervoor GDPR-compatibel moet zijn, laten we het proberen om ook andere antwoorden te geven.

Alternatieven voor Gmail en Microsoft Exchange:

ProtonMail

In Zwitserland gevestigd, GDPR-compatibel platform dat gebruikmaakt van end-to-end encryptie. Zeer goede service, uiterst veilig maar niet goedkoop. Om de waarheid te zeggen, commercieel gezien hebben ze niet het succes behaald dat ze verdienden en zijn ze een beetje "op het spel" gebleven, ook al is de service technologisch gezien onberispelijk.

Fast Mail

Fast Mail is een geldig alternatief voor Gmail, zeer functioneel en compleet met een betaalbare prijs, maar het is noodzakelijk om de naleving met betrekking tot de AVG te verifiëren, aangezien het in ieder geval een Amerikaans platform is.

QBOX-mail

Een zeer geldig alternatief, allemaal Italiaans en GDPR-compatibel. De enterprise-versie kost 3.60 euro per mailbox en 1 euro voor elke 25 GB extra ruimte. We kunnen het alleen maar van harte aanbevelen. Naar onze mening is het een van de meest interessante oplossingen.

Er zijn ook veel andere cloudmailserviceproviders, het is een wereld die kan worden verkend. Maar om geen overdadige informatie te geven, stoppen we hier.

Eigen SMTP-server of mailserver.

Hoeveel van jullie hebben een site en een domein en profiteren van de mailserver die is geïntegreerd in je eigen webserver waarop de site wordt gehost? Het is een van de meest voorkomende situaties.

SMTP-server van de provider

De SMTP-servers van gevestigde providers worden ook door andere providers als betrouwbaar erkend. Ook worden hun spamfilters als bijzonder effectief beschouwd vanwege de grote hoeveelheid gegevens die ze verwerken. Bij gratis aanbiedingen zijn er echter doorgaans strikte beperkingen wat betreft het aantal e-mails per dag, de grootte van de bijlagen en de opslagruimte van de mailbox.

De aanbiedingen worden gepresenteerd op verschillende pagina's:

Internet service providers: Internet service providers (ISP's) zoals IONOS bieden vaak een e-mailadres aan voor een internetverbinding waarmee toegang kan worden verkregen tot de SMTP-mailservers van het bedrijf.
E-mailprovider: de meest gebruikelijke manier voor individuen om e-mail naar vrienden en familie te sturen, is door de webmailtoepassing van een gratis e-mailprovider te gebruiken, zoals Gmail, Yahoo of Libero. De enige vereiste is een e-mailadres dat overeenkomt met het domein, waarmee de SMTP-server van de provider kan worden gebruikt voor persoonlijke correspondentie. Het enige dat u hoeft te doen, is uw mailbox configureren voor het juiste SMTP-serveradres. Hieronder vind je een overzicht van de meest populaire aanbieders en hun adressen.
Hosting dienstverleners: Veel hostingpakketten, zoals die van IONOS, bevatten standaard een SMTP-server, waarmee intern en extern bedrijfsmailverkeer kan worden afgehandeld.
Gespecialiseerde aanbieders: sommige bedrijven hebben zich gespecialiseerd in het huren van SMTP-servers, waaronder bijvoorbeeld Amazon SES en SparkPost, die de verhuur van de benodigde hardware mogelijk maken.

We raden deze oplossing ten zeerste af

Eigen SMTP-server

Met enige technische basiskennis kunt u uw eigen SMTP-server opzetten. Zo kan bijvoorbeeld een Raspberry Pi worden ingericht met de juiste software als hardwarebasis.

De voordelen liggen voor de hand: geen gebruiksbeperkingen van de provider, volledige controle over alle instellingen en onafhankelijk gegevensbeheer. Daarnaast is het hebben van een eigen server ideaal om vertrouwd te raken met de technische mechanica van het e-mailverkeer. Maar er zijn ook nadelen: vanwege het dynamische IP-adres dat kenmerkend is voor privé-internettoegangen, worden privé-SMTP-servers door grote e-mailproviders vaak als spam geclassificeerd. Een probleem dat alleen kan worden opgelost met enkele renovatiemaatregelen en/of meerkosten. Als u uw e-mails echter alleen naar een andere privé-client wilt sturen, is een eigen SMTP-server in ieder geval een goed alternatief. Het is daarom noodzakelijk om een ​​vast IP-adres te hebben.

Eh maar het zijn inderdaad geen rozen en bloemen. Een SMTP-server bij u thuis halen of de server gebruiken die gekoppeld is aan de hosting van uw website heeft gevolgen die zelfs ernstig kunnen zijn als u de problemen niet kunt beheersen.

Eigen SMTP-server of mailserver.

Hoeveel van jullie hebben een site en een domein en profiteren van de mailserver die is geïntegreerd in je eigen webserver waarop de site wordt gehost? Het is een van de meest voorkomende situaties.

Wanneer u uw eigen SMTP-server beheert voor het ontvangen en verzenden van correspondentie, moet u rekening houden met enkele aspecten die ook onaangenaam kunnen zijn:

De up-time van het systeem. Over het algemeen hebben de verschillende ISP-providers, vooral de "goedkope" providers zoals Aruba of Register, geen SLA en garanderen ze geen up-time. Het betekent dat het gedurende 365 dagen per jaar mogelijk is dat uw hosting en dus uw domein niet bereikbaar is, dat de verzonden e-mails niet uitgaan of dat de te ontvangen e-mails niet op hun bestemming aankomen. Als de DNS onbereikbaar is, is uw mailsysteem volledig afgesloten. Er zijn hostingproviders die schriftelijk, contractueel, een uptime garanderen die meer dan 99.99% van de tijd over een jaar bedraagt, maar de service begint te kosten. We bieden een SLA van 99.99% en in feite zijn de kosten van onze hosting niet vergelijkbaar met die van Aruba.

De redundantie. Een SMTP-server die aan uw hostingruimte is gekoppeld, bevindt zich meestal op een plaats, dat is een server-farm, als dat opgeblazen wordt, zoals recent gebeurde met OVH of met Aruba in het recente verleden, zowel de site als uw hele IT-structuur voor het verzenden en het ontvangen van e-mails kan naar ramengo gaan. Daardoor kunnen rekenen op een redundante structuur waarbij bij uitval of uitval van mijn computersysteem direct een parallelle structuur in werking kan treden. We zouden een apart hoofdstuk over redundantie kunnen openen en op de kleinste details ingaan, maar daar is dit niet de plaats. Laten we zeggen dat redundantie wordt gedefinieerd als een systeem dat in staat is om bepaalde functies te dupliceren en zo de continuïteit van diensten te garanderen in geval van een storing.

De voordelen van het gebruik van een eigen SMTP-server. Ik probeer ze op een rij te zetten:

  • Mogelijkheid om meerdere e-mailaccounts te beheren zonder hogere kosten
  • Mogelijkheid om autonoom uw eigen verzend-/ontvangstbeleid te beheren
  • Mogelijkheid om intern een bijgewerkt archief bij te houden van de eigen post en van het communicatieverkeer met de buitenwereld
  • Mogelijkheid om uw mailboxen autonoom en zonder externe tussenkomst te benoemen/hernoemen
  • Mogelijkheid om (afhankelijk van de gekozen provider) vast te stellen welke adressen en/of IP's op de zwarte of witte lijst moeten worden gezet.
  • Mogelijkheid om zelfstandig anti-spambeleid op te stellen
  • Mogelijkheid om onafhankelijk de markeringen vast te stellen, DKIM, SPF en DMARC, die velen vergeten en de belangrijkste oorzaak zijn van het op de zwarte lijst zetten van uw domein.

Nadelen van het gebruik van een eigen SMTP-server

De nadelen zijn legio, zeker als uw structuur niet is voorbereid en er onvoldoende besef is van de risico's die u loopt door een mailserver bij u thuis te halen. Technische, juridische en operationele kwesties kunnen dit pad ook ontmoedigen, veel hangt vooral af van het niveau van de technologische cultuur die aanwezig is in iemands structuur.

  • Onvermogen om uzelf schadeloos te stellen aangezien alle verantwoordelijkheden voor het beheren en archiveren van e-mailberichten op uw structuur wegen.
  • Blootstelling aan alle soorten aanvallen en de noodzaak om alle maatregelen te nemen om deze te beperken of te annuleren.
  • Mogelijkheid om momenten van "duisternis" te hebben waarin de server wordt vertraagd door andere bewerkingen of zelfs niet in staat is om zijn functies uit te voeren.
  • Noodzaak om een ​​meedogenloos antivirus- en antispamcontrolebeleid te implementeren (om de waarheid te zeggen, dit geldt tegenwoordig een beetje voor iedereen)
  • Behoefte aan een systematisch en efficiënt back-upbeleid (dit geldt inmiddels voor alles).

Het is ook waar dat veel "professionele" providers beschermde, gecertificeerde of in ieder geval bijna kwetsbaarheidsvrije SMTP-servers ter beschikking stellen en dat de gevaren daarom uitsluitend en uitsluitend voortkomen uit de onoplettendheid van de exploitant of uit zijn roekeloosheid en onverantwoordelijkheid, laten we zeggen dat het hosten van de geplaatst op dezelfde structuur waar de webserver wordt gehost, is misschien niet altijd een correct beleid, integendeel.

Conclusie

Ok, leuk maar tot slot? Wat te kiezen?

Er is geen eenduidig ​​antwoord, het hangt af van de omstandigheden en ook van de operatie. We raden aan om een ​​cloudmailserver te gebruiken wanneer de bedrijfsstructuur klein of microscopisch klein is en een SMTP-server wanneer de structuur minimaal een dozijn mailboxen vereist, zo niet 20. Meer vanwege de kosten dan iets anders, omdat het hebben van een SMTP-server gehost in een kluis , efficiënte structuur die de servers correct markeert en geldige en correcte beveiligingsprotocollen gebruikt, het heeft altijd een discreet voordeel boven alles.Het is waar dat potentiële problemen naar binnen worden gebracht die men graag buiten wil houden. Zelfs in termen van de AVG, als het enerzijds nodig zal zijn om een ​​correct privacybeleid aan te nemen, is het ook zo dat in het geval van een datalek de gevolgen veel ernstiger kunnen zijn bij het gebruik van beheerde cloudsystemen door derden. Daarom zouden een goede SMTP-server en gewiekstheid in mailbeheer 90% van de problemen voor kleine bedrijven of professionele activiteiten moeten oplossen. Een goede partner die zorgt voor een adequate hostingservice, een technieker ter plaatse die weet hoe hij een e-mailclient correct moet installeren, een goed back-upsysteem, een firewall en een altijd up-to-date antivirusprogramma, een router met een meedogenloze controle over poorten en ja kan bijna goed slapen. Dan kan er van alles gebeuren, let wel, maar in principe is dit wat we voorstellen.