Come inviare un'e-mail sicura: 5 suggerimenti per i mittenti governativi

Pubblicato: 2016-11-16

Sicurezza e governo della messaggistica

Di recente ho avuto il piacere di parlare a un panel intitolato: How Do We Achieve the Google of Government? Il panel faceva parte della Reverb Conference, che unisce i leader del settore privato con coloro che lavorano nel governo per ispirare e guidare l'innovazione in quelle che normalmente presumiamo siano agenzie in ritardo in termini di utilizzo e implementazione della tecnologia.

Quando sono stato invitato a partecipare a questo panel, mi sono seduto con Kurt Diver, il nostro capo della Deliverability, per riflettere sull'aspetto di Google of Government dal punto di vista della messaggistica. Ci siamo tuffati nelle nostre caselle di posta per ripescare esempi di e-mail che avevamo ricevuto da agenzie governative per vedere se rispettavano una soglia minima di sicurezza.

Non sorprende che le e-mail che abbiamo esaminato non abbiano soddisfatto la nostra cartina di tornasole per la messaggistica sicura. (Come disclaimer, abbiamo esaminato solo un paio di esempi da San Francisco, Oakland e Denver.) In tutti i casi, non avevano DKIM (DomainKeys Identified Mail) sui loro domini di invio per garantire il contenuto del messaggio.

DKIM è una soluzione crittografica utilizzata dalle piattaforme di invio in tutto il mondo e dagli ISP per garantire che i messaggi non vengano manomessi durante il volo e che i domini non vengano falsificati. L'estensione di DKIM, DMARC, aiuta a creare un criterio a cui un dominio ricevente (come Gmail o Hotmail) può fare riferimento quando arriva un messaggio che non ha superato un controllo DKIM. Cosa dovrebbe fare il provider della casella di posta con questo messaggio? Tienilo? Consegnalo? Mettilo in quarantena? O lasciarlo cadere per terra perché è ingannevole, progettato per defraudare qualcuno della sua identità, o peggio?

Data la prevalenza dell'e-mail nelle notizie nazionali e che spesso è un vettore di violazioni di dati di alto profilo, il fatto che i governi locali e statali non stiano sfruttando l'autenticazione e-mail per aumentare l'affidabilità delle loro comunicazioni digitali è sconcertante.

Il lato positivo è che quando abbiamo esaminato l'USPS, abbiamo trovato una politica DKIM valida impostata per rifiutare i messaggi fraudolenti. Oltre a sfruttare i protocolli di autenticazione e-mail di base come SPF, l'e-mail USPS è stata inviata utilizzando TLS (Transport Layer Security), un mezzo opportunistico per crittografare le e-mail in volo dal mittente al destinatario che garantisce che nessuno possa leggere il contenuto mentre attraversa Internet .

È possibile che le agenzie governative non siano consapevoli di quanto possano essere vulnerabili i messaggi in transito e della facilità con cui un dominio può essere falsificato. Comprensibilmente, la messaggistica non è al centro della descrizione del lavoro del governo locale, statale o federale, ma probabilmente dovrebbe essere nel loro radar data la sua utilità nell'automazione delle funzioni del servizio clienti associate a un governo guidato dalle persone.

La messaggistica come percorso verso l'automazione

L'anno scorso ho passato una giornata a rimbalzare da una scrivania all'altra al municipio di San Francisco cercando di ottenere una licenza commerciale. L'intero processo di candidatura è stato guidato dall'uomo e mancava di chiarezza. Poi, più recentemente, ho ricevuto una fattura per una delle licenze commerciali che mi richiedeva di scaricare un'applicazione in formato PDF dal Web, compilarla e rispedirla al municipio. Questo è ciò che mi piace pensare come un tentativo a metà di digitalizzare un processo semplice.

Il fatto è che i moduli Web ospitati con trigger intelligenti possono facilmente accettare un invio ed emettere istantaneamente una conferma di tale invio con informazioni aggiuntive. Una volta che la pratica/richiesta è stata approvata, è possibile inviare un altro messaggio. Molti dei processi intensivi telefonici e di persona che punteggiano il municipio potrebbero essere eseguiti elettronicamente tramite e-mail e app mobili.

Dopo aver rispedito la mia domanda al municipio, ho ricevuto un'e-mail di conferma. Voglio davvero celebrare l'e-mail che ho ricevuto, ma è piuttosto difficile dato che mancava di alcune delle caratteristiche di identificazione di base del marketing comune di oggi e delle comunicazioni transazionali. Come i marchi Fortune 100 che modellano le aspettative dei consumatori, i meccanismi interni (o meno) del governo modellano gli atteggiamenti dei cittadini nei confronti delle agenzie locali, statali e federali.

5 Invia suggerimenti per il settore pubblico

Dopo aver esaminato un po' di più l'e-mail, ho messo insieme il seguente breve elenco per aiutare chiunque lavori in un'agenzia cittadina o statale e pensi all'e-mail, per servire meglio le persone elettronicamente.

  1. Usa un amichevole da: Il messaggio che ho ricevuto proveniva da "noreply@". Pensa al tono che questo dà. Una cosa è non accettare risposte a un certo indirizzo, ma se mi fermassi a noreply e non mi dessi la briga di leggere il dominio, non avrei idea di chi fosse il mittente.
  2. Includi una firma: l'e-mail mancava di una firma: era breve e informativa ma, di nuovo, pensa al tipo di comunicazioni che siamo abituati a vedere in natura: hanno piè di pagina e intestazioni.
  3. Includere un sigillo identificativo : non c'era alcun sigillo della città che mi aiutasse a sapere che questa email proveniva dal municipio di San Francisco o da un'agenzia associata.
  4. Attenzione agli allegati : nella mia e-mail c'era un allegato. Gli allegati e-mail non sono necessariamente una buona pratica. In questo caso, si trattava di un documento HTML più benigno di un file zip, eseguibile o altro documento binario, ma aumenta la probabilità che questo messaggio finisca nella cartella spam. La migliore pratica qui è codificare le informazioni nel corpo dell'e-mail o collegarsi a un portale con un login in cui è possibile accedere a queste informazioni.
  5. Non aver paura delle e-mail di solo testo: le e-mail erano codificate come documenti HTML, ma non erano altro che testo. Quando si guardava "sotto il cofano", c'era un'enorme quantità di codice non necessario che in realtà non stava ottenendo nulla. Le e-mail relativamente semplici, una delle quali non aveva collegamenti nel corpo, avrebbero potuto essere inviate come testo rispetto a HTML. Se hai intenzione di codificare HTML, sfrutta le immagini e altri elementi tradizionali associati all'e-mail HTML perché è ciò che il destinatario si aspetta e ciò che i filtri anti-spam guardano per misurare i rapporti tra testo e immagine.

Dove va il governo da qui

Il governo di domani dovrebbe togliere una pagina alle startup e alle imprese di oggi che sono tecnologie pionieristiche e nuovi metodi di comunicazione su Internet. Man mano che la nostra società diventa sempre più complessa, la scala umana non riesce a tenere il passo con la crescita della popolazione e le aspettative dei consumatori che si stanno evolvendo e stanno diventando sempre più complesse e tecnologicamente esperte.

Non biasimo le agenzie governative per non sapere quali sono i requisiti minimi o le aspettative di base dei consumatori quando si tratta di e-mail o altre forme di comunicazione digitale. Tuttavia, è importante che qualunque sia la messaggistica scelta da un'agenzia governativa, basata su app, e-mail o SMS, deve essere eseguita con cura e secondo le migliori pratiche del settore al fine di proteggere l'agenzia insieme a te e me.

Per ulteriori informazioni sull'autenticazione e-mail e sulle best practice, consulta la nostra Guida alla consegna delle e-mail 2016 .