Güvenli E-posta Nasıl Gönderilir: Devlet Göndericileri için 5 İpucu

Mesajlaşma Güvenliği ve Yönetim

Geçenlerde “Hükümetin Google’ına Nasıl Ulaşırız? ” başlıklı bir panelde konuşma zevkini yaşadım. Panel, normalde ajansların teknoloji kullanımı ve uygulaması açısından geride kaldığını varsaydığımız alanlarda inovasyona ilham vermek ve onları teşvik etmek için özel sektör liderlerini hükümette çalışanlarla eşleştiren Reverb Konferansı'nın bir parçasıydı.

Bu panele katılmaya davet edildiğimde, Google of Government'ın mesajlaşma açısından nasıl göründüğünü düşünmek için Teslim Edilebilirlik başkanımız Kurt Diver ile oturdum. Asgari güvenlik sınırını karşılayıp karşılamadıklarını görmek için devlet kurumlarından aldığımız e-posta örneklerini bulmak için gelen kutularımızın derinliklerine daldık.

Şaşırtıcı olmayan bir şekilde, incelediğimiz e-postalar güvenli ve güvenli mesajlaşma için turnusol testimizi karşılamadı. (Bir sorumluluk reddi olarak, yalnızca San Francisco, Oakland ve Denver'dan birkaç örneğe baktık.) Her durumda, mesajın içeriğini sağlamak için gönderme alanlarında DKIM (DomainKeys Identified Mail) yoktu.

DKIM, mesajların uçuş sırasında kurcalanmamasını ve alan adlarının sızdırılmamasını sağlamak için dünya çapında platformlar ve ISP'ler göndererek kullanılan bir şifreleme çözümüdür. DKIM uzantısı DMARC, bir DKIM kontrolünden geçemeyen bir ileti geldiğinde alıcı etki alanının (Gmail veya Hotmail gibi) başvurabileceği bir politika oluşturmaya yardımcı olur. Posta kutusu sağlayıcısı bu mesajla ne yapmalıdır? Kalsın mı? Teslim mi? karantinaya al? Ya da aldatıcı olduğu, birinin kimliğini dolandırmak için tasarlanmış ya da daha kötüsü diye yere mi atıyorsunuz?

Ulusal haberlerde e-postanın yaygınlığı ve genellikle yüksek profilli veri ihlallerinde bir vektör olduğu düşünüldüğünde, yerel ve eyalet hükümetlerinin dijital iletişimlerinin güvenilirliğini artırmak için e-posta kimlik doğrulamasından yararlanmadığı gerçeği endişe verici.

İyi tarafından bakıldığında, USPS'ye baktığımızda, sahte mesajları reddetmek için ayarlanmış geçerli bir DKIM politikası bulduk. SPF gibi temel e-posta kimlik doğrulama protokollerinden yararlanmaya ek olarak, USPS e-postası TLS (Aktarım Katmanı Güvenliği) kullanılarak gönderilmiştir; bu, e-postayı göndericiden alıcıya geçiş sırasında şifrelemenin fırsatçı bir yolu olup, İnternet'te dolaşırken hiç kimsenin içeriği okuyamamasını sağlar. .

Devlet kurumları, aktarım sırasında iletilerin ne kadar savunmasız olabileceğinin ve bir alan adının sahteciliğinin ne kadar kolay olduğunun farkında olmayabilir. Anlaşılır bir şekilde mesajlaşma, yerel, eyalet veya federal hükümetin iş tanımının merkezinde yer almıyor, ancak insan odaklı bir hükümetle ilişkili müşteri hizmetleri işlevlerini otomatikleştirmedeki faydası göz önüne alındığında, muhtemelen onların radarında olması gerekiyor.

Otomasyon Yolu Olarak Mesajlaşma

Geçen yıl, San Francisco Belediye Binası'nda bir iş ruhsatı almaya çalışırken masadan masaya zıplayarak bir gün geçirdim. Tüm başvuru süreci insan odaklıydı ve netlikten yoksundu. Daha sonra, son zamanlarda, web'den PDF formatında bir uygulama indirmemi, doldurmamı ve Belediye Binası'na geri postalamamı gerektiren işletme ruhsatlarından biri için bir fatura aldım. Basit bir süreci dijitalleştirmeye yönelik yarı kararlı bir girişim olarak düşünmeyi sevdiğim şey bu.

Gerçek şu ki, akıllı tetikleyicilere sahip barındırılan web formları, bir gönderimi kolayca kabul edebilir ve ek bilgilerle birlikte bu gönderimin onayını anında verebilir. Evrak/talep onaylandıktan sonra başka bir mesaj gönderilebilir. Belediye Binası'nı noktalayan telefon ve yüz yüze yoğun süreçlerin çoğu, e-posta ve mobil uygulamalar aracılığıyla elektronik olarak yapılabilir.

Başvurumu Belediyeye geri postaladıktan sonra, bir e-posta onayı aldım. Aldığım e-postayı gerçekten kutlamak istiyorum, ancak günümüzün sıradan pazarlama ve işlemsel iletişimlerinin temel tanımlayıcı özelliklerinden hiçbirinden yoksun olduğu gerçeği göz önüne alındığında oldukça zor. Tüketici beklentilerini şekillendiren Fortune 100 markaları gibi, hükümetin iç işleyişi (ya da değil) vatandaşların yerel, eyalet ve federal kurumlarla iş yapma konusundaki tutumlarını şekillendiriyor.

Kamu Sektörü İçin 5 Gönderme İpuçları

E-postaya biraz daha baktıktan sonra, bir şehir veya devlet kurumunda çalışan ve e-posta hakkında düşünen herkese elektronik ortamda insanlara daha iyi hizmet verebilmek için aşağıdaki kısa listeyi hazırladım.

1. Dostça bir kaynak kullanın: Aldığım mesaj “noreply@” adresinden geldi. Bunun belirlediği tonu düşünün. Belirli bir adrese gelen yanıtları kabul etmemek bir şeydir, ancak noreply'de durup alan adını okumak için zahmet etmeseydim, gönderenin kim olduğu hakkında hiçbir fikrim olmazdı.
2. Bir imza ekleyin: E-postada imza yoktu—kısa ve bilgilendiriciydi ama yine de, vahşi doğada görmeye alıştığımız iletişim türlerini bir düşünün—altbilgileri ve üstbilgileri var.
3. Tanımlayıcı bir mühür ekleyin : Bu e-postanın San Francisco Belediye Binası'ndan veya ilgili bir kurumdan geldiğini bilmeme yardımcı olacak bir şehir mührü yoktu.
4. Eklere dikkat edin : E-postamda bir ek vardı. E-posta ekleri mutlaka iyi bir uygulama değildir. Bu durumda, bir zip dosyasından, yürütülebilir dosyadan veya diğer ikili belgelerden daha iyi huylu bir HTML belgesiydi, ancak bu iletinin spam klasörüne düşme olasılığını artırıyor. Buradaki en iyi uygulama, e-postanın gövdesindeki bilgileri kodlamak veya bu bilgilere erişilebileceği bir oturum açma ile bir portala geri bağlantı vermektir.
5. Salt metin içeren e-postalardan korkmayın: E-postalar HTML belgeleri olarak kodlandı, ancak metinden başka bir şey değildi. “Kaputun altına” bakıldığında, gerçekten hiçbir şey başaramayan muazzam miktarda gereksiz kod vardı. Bir tanesinin gövdesinde bağlantısı olmayan nispeten basit e-postalar, HTML'ye karşı metin olarak gönderilebilirdi. HTML'yi kodlayacaksanız, HTML e-postayla ilişkili resimlerden ve diğer geleneksel öğelerden yararlanın, çünkü alıcının beklediği ve metin-görüntü oranlarını ölçmek için istenmeyen posta önleme filtrelerinin baktığı şey budur.

Hükümet Buradan Nereye Gidiyor?

Yarının hükümeti, İnternet'te öncü teknolojiler ve yeni iletişim yöntemleri olan bugünün girişimlerinden ve işletmelerinden bir sayfa çıkarmalıdır. Toplumumuz giderek daha karmaşık hale geldikçe, insan ölçeği nüfus artışına ve gelişen ve giderek daha karmaşık ve teknolojik açıdan anlayışlı hale gelen tüketici beklentilerine ayak uyduramıyor.

E-posta veya diğer dijital iletişim biçimleri söz konusu olduğunda tüketicilerin minimum gereksinimlerinin veya temel beklentilerinin ne olduğunu bilmedikleri için devlet kurumlarını suçlamıyorum. Ancak, uygulama odaklı, e-posta veya SMS olsun, bir devlet kurumunun seçtiği mesajlaşma ne olursa olsun, ajansı sizinle birlikte korumak için dikkatle ve sektördeki en iyi uygulamalara göre yapılması önemlidir.

E-posta kimlik doğrulaması ve en iyi uygulamalar hakkında daha fazla bilgi için 2016 E-posta Teslim Edilebilirlik Kılavuzumuza bakın .