Como enviar um e-mail seguro: 5 dicas para remetentes do governo

Publicados: 2016-11-16

Segurança de mensagens e governo

Recentemente, tive o prazer de falar em um painel intitulado: Como Alcançamos o Google do Governo? O painel fez parte da Reverb Conference, que reúne líderes do setor privado com aqueles que trabalham no governo para inspirar e impulsionar a inovação no que normalmente assumimos serem agências atrasadas em termos de uso e implementação de tecnologia.

Quando fui convidado a participar deste painel, sentei-me com Kurt Diver, nosso chefe de entregabilidade, para refletir sobre como era o Google do governo do ponto de vista das mensagens. Mergulhamos profundamente em nossas caixas de entrada para pescar exemplos de e-mails que recebemos de agências governamentais para ver se eles atendiam a um padrão mínimo de segurança.

Não surpreendentemente, os e-mails que analisamos não atenderam ao nosso teste decisivo para mensagens seguras e protegidas. (Como isenção de responsabilidade, analisamos apenas alguns exemplos de São Francisco, Oakland e Denver.) Em todos os casos, eles não tinham DKIM (DomainKeys Identified Mail) em seus domínios de envio para garantir o conteúdo da mensagem.

DKIM é uma solução criptográfica usada por plataformas de envio em todo o mundo e ISPs para ajudar a garantir que as mensagens não sejam adulteradas em trânsito e que os domínios não sejam falsificados. A extensão do DKIM, DMARC, ajuda a criar uma política que um domínio de recebimento (como Gmail ou Hotmail) pode fazer referência quando chega uma mensagem que falhou em uma verificação DKIM. O que o provedor de caixa postal deve fazer com esta mensagem? Mantê-la? Entregue Isso? Quarentena isso? Ou deixá-lo cair no chão porque é enganoso, projetado para fraudar a identidade de alguém, ou pior?

Dada a prevalência de e-mail nas notícias nacionais, e que muitas vezes é um vetor de violações de dados de alto perfil, o fato de que os governos locais e estaduais não estão aproveitando a autenticação de e-mail para aumentar a confiabilidade de suas comunicações digitais é desconcertante.

Pelo lado positivo, quando analisamos o USPS, encontramos uma política DKIM válida definida para rejeitar mensagens fraudulentas. Além de aproveitar protocolos básicos de autenticação de e-mail, como SPF, o e-mail USPS foi enviado usando TLS (Transport Layer Security), um meio oportunista de criptografar e-mails em trânsito do remetente para o destinatário que garante que ninguém possa ler o conteúdo enquanto ele atravessa a Internet .

Pode ser que as agências governamentais não estejam cientes de quão vulneráveis ​​podem ser as mensagens em trânsito e da facilidade com que um domínio pode ser falsificado. Compreensivelmente, o envio de mensagens não está no centro da descrição do trabalho do governo local, estadual ou federal, mas sem dúvida deveria estar no radar deles, devido à sua utilidade na automatização das funções de atendimento ao cliente associadas a um governo orientado para as pessoas.

Mensagens como um caminho para a automação

No ano passado, passei um dia pulando de mesa em mesa na prefeitura de São Francisco tentando obter uma licença comercial. Todo o processo de inscrição foi conduzido por humanos e carecia de clareza. Então, mais recentemente, recebi uma fatura de uma das licenças comerciais que exigia que eu baixasse um aplicativo em formato PDF da web, preencha-o e envie-o de volta para a Prefeitura. Isso é o que eu gosto de pensar como uma tentativa meio comprometida de digitalizar um processo simples.

O fato é que formulários da web hospedados com gatilhos inteligentes podem aceitar facilmente um envio e emitir instantaneamente uma confirmação desse envio com informações adicionais. Assim que a documentação/solicitação for aprovada, outra mensagem poderá ser enviada. Muitos dos processos intensivos por telefone e pessoalmente que pontuam a Prefeitura poderiam ser feitos eletronicamente por meio de e-mail e aplicativos móveis.

Depois que enviei minha inscrição para a Prefeitura, recebi um e-mail de confirmação. Eu realmente quero comemorar o e-mail que recebi, mas é bastante difícil, devido ao fato de que ele não possui nenhum dos recursos básicos de identificação do marketing comum de hoje e das comunicações transacionais. Assim como as 100 marcas da Fortune que moldam as expectativas dos consumidores, o funcionamento interno (ou não) do governo molda as atitudes dos cidadãos em relação às agências locais, estaduais e federais.

5 Envio de Dicas para o Setor Público

Depois de analisar um pouco mais o e-mail, montei a seguinte lista para ajudar quem trabalha em uma agência municipal ou estadual e pensa em e-mail, para melhor atender as pessoas eletronicamente.

  1. Use um amigável de: A mensagem que recebi veio de “noreply@.” Pense no tom que isso define. Uma coisa é não aceitar respostas para um determinado endereço, mas se eu parasse no noreply e não me desse ao trabalho de ler o domínio, não teria ideia de quem era o remetente.
  2. Inclua uma assinatura: o e-mail não tinha assinatura – era curto e informativo, mas, novamente, pense no tipo de comunicação que estamos acostumados a ver na natureza – eles têm rodapés e cabeçalhos.
  3. Incluir um selo de identificação : não havia selo da cidade para me ajudar a saber que este e-mail veio da Prefeitura de São Francisco ou de uma agência associada.
  4. Cuidado com os anexos : havia um anexo no meu e-mail. Anexos de e-mail não são necessariamente uma boa prática. Nesse caso, era um documento HTML que é mais benigno do que um arquivo zip, executável ou outro documento binário, mas aumenta a probabilidade de que essa mensagem acabe na pasta de spam. A melhor prática aqui é codificar as informações no corpo do e-mail ou link para um portal com um login onde essas informações possam ser acessadas.
  5. Não tenha medo de e-mails somente de texto: os e-mails foram codificados como documentos HTML, mas não eram nada além de texto. Ao olhar “por baixo do capô”, havia uma tremenda quantidade de código desnecessário que realmente não estava realizando nada. Os emails relativamente simples, um dos quais sem links no corpo, poderiam ter sido enviados como texto versus HTML. Se você for codificar HTML, aproveite as imagens e outros elementos tradicionais associados ao e-mail HTML porque é isso que o destinatário espera e o que os filtros antispam analisam para medir as proporções de texto para imagem.

Para onde vai o governo daqui

O governo de amanhã deve tirar uma página das startups e negócios de hoje que são tecnologias pioneiras e novos métodos de comunicação na Internet. À medida que nossa sociedade se torna cada vez mais complexa, a escala humana não consegue acompanhar o crescimento populacional e as expectativas dos consumidores que estão evoluindo e se tornando cada vez mais complexas e tecnologicamente mais experientes.

Não culpo as agências governamentais por não saberem quais são os requisitos mínimos ou expectativas básicas dos consumidores quando se trata de e-mail ou outras formas de comunicação digital. Mas é importante que qualquer mensagem que uma agência governamental escolher, seja por aplicativo, e-mail ou SMS, ela precise ser feita com cuidado e de acordo com as melhores práticas do setor para proteger a agência junto com você e eu.

Para saber mais sobre autenticação de e-mail e práticas recomendadas, confira nosso Guia de entrega de e-mail de 2016 .