Как отправить безопасное электронное письмо: 5 советов отправителям из государственных органов

Опубликовано: 2016-11-16

Безопасность обмена сообщениями и правительство

Недавно я имел удовольствие выступать на панели под названием: Как нам добиться Google of Government? Панель была частью конференции Reverb, в которой участвуют лидеры частного сектора и те, кто работает в правительстве, чтобы вдохновлять и стимулировать инновации в том, что, как мы обычно предполагаем, является агентствами, отстающими с точки зрения их использования и внедрения технологий.

Когда меня пригласили принять участие в этой дискуссии, я сел с Куртом Дайвером, нашим главой отдела доставляемости, чтобы поразмышлять о том, как Google of Government выглядит с точки зрения обмена сообщениями. Мы глубоко погрузились в наши почтовые ящики, чтобы найти примеры электронных писем, которые мы получили от государственных учреждений, чтобы увидеть, соответствуют ли они минимальному уровню безопасности.

Неудивительно, что электронные письма, которые мы рассмотрели, не соответствовали нашей лакмусовой бумажке для безопасного и надежного обмена сообщениями. (В качестве отказа от ответственности мы рассмотрели только пару примеров из Сан-Франциско, Окленда и Денвера.) Во всех случаях им не хватало DKIM (DomainKeys Identified Mail) на их отправляющих доменах, чтобы гарантировать содержание сообщения.

DKIM — это криптографическое решение, используемое отправляющими платформами по всему миру и интернет-провайдерами, чтобы гарантировать, что сообщения не будут подделаны в пути и что домены не будут подделаны. Расширение DKIM, DMARC, помогает создать политику, на которую принимающий домен (например, Gmail или Hotmail) может ссылаться, когда приходит сообщение, не прошедшее проверку DKIM. Что поставщик почтового ящика должен сделать с этим сообщением? Оставь это? Доставить? Карантин это? Или бросить его на пол, потому что он обманчив, предназначен для того, чтобы лишить кого-то их личности, или еще хуже?

Учитывая преобладание электронной почты в национальных новостях и то, что она часто является вектором громких утечек данных, тот факт, что местные и государственные органы власти не используют аутентификацию по электронной почте для повышения надежности своих цифровых коммуникаций, вызывает недоумение.

С другой стороны, когда мы посмотрели на USPS, мы обнаружили действующую политику DKIM, настроенную на отклонение мошеннических сообщений. В дополнение к использованию основных протоколов аутентификации электронной почты, таких как SPF, электронная почта USPS была отправлена ​​​​с использованием TLS (безопасность транспортного уровня), оппортунистического средства шифрования электронной почты в пути от отправителя к получателю, которое гарантирует, что никто не сможет прочитать содержимое, когда оно проходит через Интернет. .

Возможно, правительственные учреждения не знают, насколько уязвимыми могут быть передаваемые сообщения и с какой легкостью можно подделать домен. Понятно, что обмен сообщениями не лежит в основе должностных обязанностей местного, государственного или федерального правительства, но, возможно, он должен быть в их поле зрения, учитывая его полезность для автоматизации функций обслуживания клиентов, связанных с правительством, управляемым людьми.

Обмен сообщениями как путь к автоматизации

В прошлом году я провел целый день, прыгая от стола к столу в мэрии Сан-Франциско, пытаясь получить лицензию на ведение бизнеса. Весь процесс подачи заявки управлялся человеком и не имел ясности. Затем совсем недавно я получил счет за одну из бизнес-лицензий, который требовал, чтобы я загрузил заявление в формате PDF из Интернета, заполнил его и отправил обратно в мэрию. Это то, о чем мне нравится думать, как о наполовину преданной попытке оцифровать простой процесс.

Дело в том, что размещенные веб-формы с интеллектуальными триггерами могут легко принять отправку и мгновенно выдать подтверждение этой отправки с дополнительной информацией. После утверждения документов/запроса может быть отправлено еще одно сообщение. Многие из интенсивных телефонных и личных процессов, которые перемежают мэрию, можно было бы выполнять в электронном виде через электронную почту и мобильные приложения.

После того, как я отправил свое заявление обратно в мэрию, я получил подтверждение по электронной почте. Я действительно хочу отпраздновать полученное электронное письмо, но оно довольно сложное, учитывая тот факт, что в нем отсутствовали какие-либо основные отличительные черты современного заурядного маркетинга и транзакционных коммуникаций. Подобно брендам из списка Fortune 100, которые формируют ожидания потребителей, внутренняя работа (или нет) правительства формирует отношение граждан к взаимодействию с местными, государственными и федеральными агентствами.

5 советов по отправке для государственного сектора

Изучив электронную почту еще немного, я составил следующий краткий список, чтобы помочь всем, кто работает в городском или государственном учреждении и думает об электронной почте, лучше обслуживать людей в электронном виде.

  1. Используйте дружественное имя от: сообщение, которое я получил, пришло от «noreply@». Подумайте о тоне, который это задает. Одно дело не принимать ответы на определенный адрес, но если бы я остановился на noreply и не удосужился прочитать домен, я бы понятия не имел, кто был отправителем.
  2. Включите подпись: в электронном письме не было подписи — оно было коротким и информативным, но опять же, подумайте о тех сообщениях, которые мы привыкли видеть в дикой природе — у них есть нижние колонтитулы и заголовки.
  3. Включите идентифицирующую печать . Не было городской печати, которая помогла бы мне узнать, что это электронное письмо было отправлено мэрией Сан-Франциско или связанным с ней агентством.
  4. Остерегайтесь вложений : в моем электронном письме было вложение. Вложения электронной почты не обязательно являются хорошей практикой. В данном случае это был HTML-документ, который более безопасен, чем zip-файл, исполняемый файл или другой двоичный документ, но увеличивает вероятность того, что это сообщение попадет в папку со спамом. Лучшей практикой здесь является кодирование информации в теле письма или ссылка на портал с логином, где эта информация может быть доступна.
  5. Не бойтесь электронных писем, состоящих только из текста: электронные письма были закодированы как HTML-документы, но представляли собой не что иное, как текст. Если заглянуть «под капот», можно обнаружить огромное количество ненужного кода, который на самом деле ничего не делает. Относительно простые электронные письма, в одном из которых не было ссылок в теле, могли быть отправлены в виде текста, а не HTML. Если вы собираетесь кодировать HTML, используйте изображения и другие традиционные элементы, связанные с электронной почтой в формате HTML, потому что это то, что ожидает получатель и на что обращают внимание фильтры защиты от спама для измерения соотношения текста и изображения.

Куда идет правительство отсюда

Правительство завтрашнего дня должно брать пример со стартапов и предприятий сегодняшнего дня, которые являются новаторскими технологиями и новыми методами коммуникации в Интернете. По мере того, как наше общество становится все более и более сложным, человеческий масштаб не может идти в ногу с ростом населения и потребительскими ожиданиями, которые развиваются и становятся все более сложными и технологически подкованными.

Я не виню государственные учреждения за то, что они не знают, каковы минимальные требования или основные ожидания потребителей, когда речь идет об электронной почте или других формах цифровой связи. Но важно, чтобы какой бы обмен сообщениями ни выбрало государственное учреждение, будь то приложение, электронная почта или SMS, это нужно делать с осторожностью и в соответствии с передовыми отраслевыми практиками, чтобы защитить агентство вместе с вами и мной.

Чтобы узнать больше об аутентификации электронной почты и передовых методах, ознакомьтесь с нашим Руководством по доставке электронной почты за 2016 год .