보안 이메일을 보내는 방법: 정부 발신자를 위한 5가지 팁

메시징 보안 및 정부

저는 최근에 “ How Do We Achieve Google of Government? ”라는 제목의 패널에서 즐겁게 연설했습니다. 패널은 민간 부문 리더와 정부에서 일하는 사람들을 짝을 지어 기술 사용 및 구현 측면에서 뒤처지는 기관으로 일반적으로 가정하는 혁신을 고무하고 추진하는 Reverb Conference의 일부였습니다.

이 패널에 참여하라는 초대를 받았을 때 저는 전달성 책임자인 Kurt Diver와 함께 Google of Government가 메시징 관점에서 어떻게 보이는지 숙고했습니다. 우리는 받은 편지함을 자세히 살펴보고 정부 기관에서 받은 이메일의 예를 찾아 보안에 대한 최소 기준을 충족하는지 확인합니다.

당연히 우리가 검토한 이메일은 안전하고 안전한 메시징에 대한 리트머스 테스트를 충족하지 못했습니다. (면책 조항으로 샌프란시스코, 오클랜드 및 덴버의 몇 가지 예만 살펴보았습니다.) 모든 경우에 메시지 내용을 보장하기 위해 보내는 도메인에 DKIM(DomainKeys Identified Mail)이 없었습니다.

DKIM은 전송 중 메시지가 변조되지 않고 도메인이 스푸핑되지 않도록 하기 위해 전 세계에 플랫폼과 ISP를 보내는 데 사용되는 암호화 솔루션입니다. DKIM의 확장인 DMARC는 DKIM 확인에 실패한 메일이 도착할 때 수신 도메인(예: Gmail 또는 Hotmail)이 참조할 수 있는 정책을 만드는 데 도움이 됩니다. 사서함 공급자는 이 메시지를 어떻게 처리해야 합니까? 보관해라? 배달? 격리? 아니면 기만적이거나 누군가의 신원을 기만하기 위해 고안되었거나 더 나쁜 이유로 바닥에 떨어뜨립니까?

국가 뉴스에서 이메일이 널리 퍼지고 종종 세간의 이목을 끄는 데이터 침해의 벡터라는 점을 감안할 때, 지방 정부와 주 정부가 디지털 커뮤니케이션의 신뢰성을 높이기 위해 이메일 인증을 활용하지 않는다는 사실은 당혹스럽습니다.

밝은 면에서 USPS를 살펴보면 사기성 메시지를 거부하도록 설정된 유효한 DKIM 정책을 찾았습니다. SPF와 같은 기본 이메일 인증 프로토콜을 활용하는 것 외에도 USPS 이메일은 TLS(전송 계층 보안)를 사용하여 전송되었습니다. 이 전송 계층 보안은 인터넷을 통과할 때 아무도 내용을 읽을 수 없도록 하는 발신자에서 수신자로 이동하는 이메일을 암호화하는 기회주의적 수단입니다. .

정부 기관은 전송 중인 메시지가 얼마나 취약하고 도메인이 쉽게 스푸핑될 수 있는지 알지 못할 수 있습니다. 당연히 메시징은 지역, 주 또는 연방 정부의 직무 설명의 핵심이 아니지만 사람 중심 정부와 관련된 고객 서비스 기능을 자동화하는 데 유용하다는 점을 감안할 때 분명히 메시징은 레이더에 있어야 합니다.

자동화를 위한 경로로서의 메시징

작년에 저는 샌프란시스코 시청에서 사업자 면허를 취득하기 위해 책상을 이리저리 돌아다니며 하루를 보냈습니다. 전체 신청 프로세스는 사람이 주도했으며 명확성이 부족했습니다. 그런 다음 가장 최근에 웹에서 PDF 형식의 신청서를 다운로드하고 작성하여 시청에 다시 우편으로 보내야 하는 비즈니스 라이센스 중 하나에 대한 청구서를 받았습니다. 이것은 내가 간단한 프로세스를 디지털화하려는 반쯤 헌신적인 시도로 생각하고 싶은 것입니다.

사실 지능형 트리거가 있는 호스팅 웹 양식은 제출을 쉽게 수락하고 추가 정보가 포함된 제출 확인을 즉시 발행할 수 있습니다. 서류/요청이 승인되면 다른 메시지가 전송될 수 있습니다. 시청을 강조하는 많은 전화 및 대면 집중 프로세스는 이메일과 모바일 앱을 통해 전자적으로 수행할 수 있습니다.

신청서를 시청에 회신한 후 확인 이메일을 받았습니다. 받은 이메일을 축하하고 싶지만 오늘날의 평범한 마케팅 및 거래 커뮤니케이션의 기본적인 식별 기능이 부족하다는 사실을 감안하면 다소 어렵습니다. 소비자 기대를 형성하는 Fortune 100대 브랜드와 마찬가지로 정부의 내부 작동(또는 그렇지 않은)은 지역, 주 및 연방 기관을 상대하는 시민의 태도를 형성합니다.

5 공공 부문을 위한 팁 보내기

이메일을 조금 더 살펴본 후, 저는 도시나 주정부 기관에서 일하고 이메일에 대해 생각하는 모든 사람을 돕기 위해 다음과 같은 짧은 목록을 작성하여 사람들에게 전자적으로 더 나은 서비스를 제공합니다.

1. 친근한 발신인 사용: 내가 받은 메시지는 "noreply@"에서 왔습니다. 이것이 설정하는 톤에 대해 생각해 보십시오. 특정 주소에 대한 답장을 받지 않는 것도 한 가지인데, 답장을 하지 않고 도메인을 읽지 않았다면 보낸 사람이 누군지 알 수 없었을 것입니다.
2. 서명 포함: 이메일에 서명이 없었습니다. 짧고 정보를 제공했지만 다시 한 번 우리가 야생에서 보는 데 익숙한 종류의 커뮤니케이션에 대해 생각해 보십시오. 이메일에는 바닥글과 머리글이 있습니다.
3. 식별 인감 포함 : 이 이메일이 샌프란시스코 시청 또는 관련 기관에서 온 것임을 알려주는 도시 인감이 없습니다.
4. 첨부파일 주의 : 제 이메일에 첨부파일이 있었습니다. 이메일 첨부 파일이 반드시 좋은 방법은 아닙니다. 이 경우 zip 파일, 실행 파일 또는 기타 바이너리 문서보다 더 무해한 HTML 문서였지만 이 메시지가 스팸 폴더에 들어갈 가능성이 높아졌습니다. 여기에서 가장 좋은 방법은 이메일 본문에 정보를 인코딩하거나 이 정보에 액세스할 수 있는 로그인을 통해 포털로 다시 링크하는 것입니다.
5. 텍스트 전용 이메일을 두려워하지 마십시오 . 이메일은 HTML 문서로 인코딩되었지만 텍스트에 불과했습니다. "내부"를 살펴보면 실제로 아무 것도 수행하지 못하는 엄청난 양의 불필요한 코드가 있었습니다. 본문에 링크가 없는 비교적 단순한 이메일은 HTML 대신 텍스트로 보낼 수 있었습니다. HTML을 코딩하려는 경우 HTML 이메일과 관련된 이미지 및 기타 기존 요소를 활용합니다. HTML 이메일은 수신자가 기대하는 것이며 스팸 방지 필터에서 텍스트 대 이미지 비율을 측정하기 때문입니다.

정부는 여기서 어디로

미래의 정부는 인터넷에서 기술과 새로운 통신 방식을 개척하는 오늘날의 스타트업과 기업에서 한 페이지를 떼어야 합니다. 우리 사회가 점점 더 복잡해짐에 따라 인간 규모는 인구 증가와 진화하고 점점 더 복잡해지고 기술적으로 능숙해지는 소비자 기대를 따라잡을 수 없습니다.

나는 정부 기관이 이메일이나 다른 형태의 디지털 커뮤니케이션과 관련하여 소비자의 최소 요구 사항이나 기본 기대치가 무엇인지 알지 못한다고 비난하지 않습니다. 그러나 앱 기반, 이메일 또는 SMS 여부에 관계없이 정부 기관에서 메시지를 선택하는 모든 메시지는 귀하와 나와 함께 기관을 보호하기 위해 신중하고 업계 모범 사례에 따라 수행해야 합니다.

이메일 인증 및 모범 사례에 대한 자세한 내용은 2016년 이메일 전달 가능성 가이드 를 확인하십시오 .