Jak wysłać bezpieczny e-mail: 5 wskazówek dla nadawców rządowych

Opublikowany: 2016-11-16

Bezpieczeństwo wiadomości i rząd

Niedawno miałem przyjemność przemawiać na panelu zatytułowanym: Jak osiągnąć Google of Government? Panel był częścią konferencji Reverb, która łączy liderów sektora prywatnego z osobami pracującymi w rządzie, aby inspirować i napędzać innowacje w tym, co zwykle zakładamy, że agencje pozostają w tyle pod względem wykorzystania i wdrażania technologii.

Kiedy zostałem zaproszony do udziału w tym panelu, usiadłem z Kurtem Diverem, naszym szefem Deliverability, aby rozmyślać o tym, jak Google rządu wyglądał z punktu widzenia komunikacji. Sięgnęliśmy głęboko do naszych skrzynek odbiorczych, aby wyłowić przykłady wiadomości e-mail, które otrzymaliśmy od agencji rządowych, aby sprawdzić, czy spełniają one minimalny poziom bezpieczeństwa.

Nic dziwnego, że przejrzane przez nas e-maile nie spełniły naszego testu lakmusowego na bezpieczne przesyłanie wiadomości. (Jako zastrzeżenie, przyjrzeliśmy się tylko kilku przykładom z San Francisco, Oakland i Denver). We wszystkich przypadkach brakowało im DKIM (DomainKeys Identified Mail) w swoich domenach wysyłających, aby zapewnić treść wiadomości.

DKIM to rozwiązanie kryptograficzne używane przez platformy wysyłające na całym świecie i dostawców usług internetowych w celu zapewnienia, że ​​wiadomości nie są manipulowane w locie i że domeny nie są fałszowane. Rozszerzenie DKIM, DMARC, pomaga stworzyć zasady, do których domena odbierająca (taka jak Gmail lub Hotmail) może się odwoływać, gdy nadejdzie wiadomość, która nie przeszła testu DKIM. Co dostawca skrzynki pocztowej powinien zrobić z tą wiadomością? Zatrzymaj to? Dostarczyć go? Poddać go kwarantannie? Albo upuścić go na podłogę, ponieważ jest zwodniczy, ma na celu oszukanie kogoś z jego tożsamości lub gorzej?

Biorąc pod uwagę powszechność wiadomości e-mail w krajowych wiadomościach i fakt, że często są one wektorem głośnych naruszeń danych, fakt, że władze lokalne i stanowe nie wykorzystują uwierzytelniania poczty e-mail w celu zwiększenia wiarygodności swojej komunikacji cyfrowej, jest niepokojący.

Z drugiej strony, kiedy przyjrzeliśmy się USPS, znaleźliśmy prawidłową politykę DKIM ustawioną na odrzucanie fałszywych wiadomości. Oprócz wykorzystania podstawowych protokołów uwierzytelniania poczty e-mail, takich jak SPF, wiadomość e-mail USPS została wysłana przy użyciu protokołu TLS (Transport Layer Security), oportunistycznego sposobu szyfrowania wiadomości e-mail w locie od nadawcy do odbiorcy, który zapewnia, że ​​nikt nie może odczytać zawartości podczas przechodzenia przez Internet .

Może się zdarzyć, że agencje rządowe nie są świadome tego, jak wrażliwe mogą być przesyłane wiadomości i jak łatwo można sfałszować domenę. Zrozumiałe jest, że przesyłanie wiadomości nie jest sercem opisu zadań władz lokalnych, stanowych lub federalnych, ale prawdopodobnie powinno być na ich radarze, biorąc pod uwagę jego użyteczność w automatyzacji funkcji obsługi klienta związanych z rządem opartym na ludziach.

Przesyłanie wiadomości drogą do automatyzacji

W zeszłym roku spędziłem dzień skacząc od biurka do biurka w ratuszu w San Francisco, próbując uzyskać pozwolenie na prowadzenie działalności. Cały proces składania wniosków był kierowany przez człowieka i nie był jasny. Ostatnio otrzymałem rachunek za jedną z licencji biznesowych, który wymagał ode mnie pobrania aplikacji w formacie PDF z Internetu, wypełnienia jej i odesłania do Urzędu Miasta. To jest to, co lubię myśleć jako na wpół zaangażowana próba digitalizacji prostego procesu.

Faktem jest, że hostowane formularze internetowe z inteligentnymi wyzwalaczami mogą łatwo zaakceptować zgłoszenie i natychmiast wydać potwierdzenie tego zgłoszenia z dodatkowymi informacjami. Po zatwierdzeniu dokumentów/prośby można wysłać kolejną wiadomość. Wiele z intensywnych procesów telefonicznych i osobistych, które towarzyszą Ratuszowi, można przeprowadzić elektronicznie za pośrednictwem poczty e-mail i aplikacji mobilnych.

Po odesłaniu wniosku do Urzędu Miasta otrzymałem potwierdzenie e-mailem. Naprawdę chcę uczcić otrzymany e-mail, ale jest to dość trudne, biorąc pod uwagę fakt, że brakowało w nim żadnej z podstawowych cech identyfikujących dzisiejszy przeciętny marketing i komunikację transakcyjną. Podobnie jak marki z listy Fortune 100, które kształtują oczekiwania konsumentów, wewnętrzne działania (lub nie) rządu kształtują nastawienie obywateli do kontaktów z agencjami lokalnymi, stanowymi i federalnymi.

5 wskazówek dotyczących wysyłania dla sektora publicznego

Po dokładniejszym przyjrzeniu się wiadomościom e-mail stworzyłem poniższą krótką listę, aby pomóc każdemu, kto pracuje w agencji miejskiej lub stanowej i myśli o poczcie e-mail, w lepszej obsłudze ludzi drogą elektroniczną.

  1. Użyj przyjaznego nadawcy: Otrzymana przeze mnie wiadomość pochodzi od „noreply@”. Pomyśl o tonie, jaki to nadaje. Jedną rzeczą jest nieprzyjmowanie odpowiedzi na określony adres, ale gdybym zatrzymała się na noreply i nie zadała sobie trudu odczytania domeny, nie miałabym pojęcia, kto był nadawcą.
  2. Dołącz podpis: w wiadomości e-mail brakowało podpisu — była krótka i zawierała informacje, ale znowu pomyśl o rodzaju wiadomości, do których jesteśmy przyzwyczajeni na wolności — mają stopki i nagłówki.
  3. Dołącz pieczęć identyfikacyjną : nie było pieczęci miasta, która pomogłaby mi dowiedzieć się, że ten e-mail pochodzi z ratusza w San Francisco lub powiązanej agencji.
  4. Uwaga na załączniki : w moim e-mailu znajdował się załącznik. Załączniki do wiadomości e-mail niekoniecznie są dobrą praktyką. W tym przypadku był to dokument HTML, który jest bardziej łagodny niż plik ZIP, plik wykonywalny lub inny dokument binarny, ale zwiększa to prawdopodobieństwo, że wiadomość zostanie umieszczona w folderze spamu. Najlepszą praktyką jest tutaj zakodowanie informacji w treści wiadomości e-mail lub link z powrotem do portalu z loginem, w którym można uzyskać dostęp do tych informacji.
  5. Nie bój się e-maili zawierających tylko tekst: e -maile były zakodowane jako dokumenty HTML, ale były tylko tekstem. Patrząc „pod maskę”, znajdowała się ogromna ilość niepotrzebnego kodu, który tak naprawdę niczego nie osiągał. Stosunkowo proste e-maile, z których jeden nie zawierał linków w treści, mogły zostać wysłane jako tekst lub HTML. Jeśli zamierzasz kodować HTML, wykorzystaj obrazy i inne tradycyjne elementy związane z wiadomościami e-mail w formacie HTML, ponieważ tego oczekuje odbiorca i na co zwracają uwagę filtry antyspamowe, aby mierzyć proporcje tekstu do obrazu.

Dokąd rząd idzie stąd?

Rząd jutra powinien usunąć stronę z dzisiejszych startupów i firm, które są pionierami technologii i nowych metod komunikacji w Internecie. Ponieważ nasze społeczeństwo staje się coraz bardziej złożone, skala ludzka nie nadąża za wzrostem populacji i oczekiwaniami konsumentów, które ewoluują i stają się coraz bardziej złożone i zaawansowane technologicznie.

Nie winię agencji rządowych za to, że nie wiedzą, jakie są minimalne wymagania lub podstawowe oczekiwania konsumentów, jeśli chodzi o pocztę elektroniczną lub inne formy komunikacji cyfrowej. Jednak ważne jest, aby niezależnie od tego, jakie wiadomości wybierze agencja rządowa, niezależnie od tego, czy jest to aplikacja, e-mail, czy SMS, należy to robić ostrożnie i zgodnie z najlepszymi praktykami w branży, aby chronić agencję razem z Tobą i mną.

Aby uzyskać więcej informacji na temat uwierzytelniania poczty e-mail i najlepszych praktyk, zapoznaj się z naszym Przewodnikiem dostarczania poczty e-mail 2016 .