如何发送安全电子邮件:政府发件人的 5 个提示

已发表: 2016-11-16

消息安全和政府

我最近有幸在一个名为:我们如何实现政府的谷歌? 该小组是混响会议的一部分,该会议将私营部门领导人与政府工作人员配对,以激发和推动我们通常认为在技术使用和实施方面落后的机构的创新。

当我被邀请参加这个小组讨论时,我与我们的交付能力负责人 Kurt Diver 坐下来,从消息传递的角度思考政府的谷歌是什么样的。 我们深入收件箱,找出我们从政府机构收到的电子邮件示例,看看它们是否符合最低安全标准。

毫不奇怪,我们审查的电子邮件不符合我们对安全和可靠消息传递的试金石。 (作为免责声明,我们只查看了来自旧金山、奥克兰和丹佛的几个示例。)在所有情况下,他们的发送域都缺少 DKIM(域密钥识别邮件)以确保邮件的内容。

DKIM 是一种加密解决方案,世界各地的发送平台和 ISP 都使用它来帮助确保消息在传输过程中不被篡改,并且域不被欺骗。 DKIM 的扩展 DMARC 有助于创建接收域(如 Gmail 或 Hotmail)在收到未通过 DKIM 检查的邮件时可以参考的策略。 邮箱提供商应该如何处理此消息? 留着它? 送吗? 隔离吗? 或者因为它具有欺骗性,旨在欺骗某人的身份,或者更糟,所以把它丢在地板上?

鉴于电子邮件在国家新闻中的盛行,并且它通常是高调数据泄露的载体,地方和州政府没有利用电子邮件身份验证来提高其数字通信的可信度这一事实令人不安。

从好的方面来说,当我们查看 USPS 时,我们确实发现了一个有效的 DKIM 政策设置来拒绝欺诈性邮件。 除了利用 SPF 等基本电子邮件身份验证协议外,USPS 电子邮件还使用 TLS(传输层安全性)发送,这是一种机会主义手段,对从发送者到接收者的电子邮件进行加密,确保没有人可以在内容通过 Internet 时阅读.

可能是政府机构不知道传输中的消息有多么脆弱,以及域可以很容易地被欺骗。 可以理解,消息传递并不是地方、州或联邦政府工作描述的核心,但可以说它应该在他们的雷达上,因为它在自动化与以人为本的政府相关的客户服务功能方面的实用性。

消息传递作为自动化的途径

去年,我花了一天时间在旧金山市政厅的办公桌间奔波,试图获得营业执照。 整个申请过程是人为驱动的,缺乏清晰性。 最近,我收到一张营业执照的账单,要求我从网上下载 PDF 格式的申请,填写好,然后邮寄回市政厅。 这就是我喜欢把一个简单的过程数字化的半投入尝试。

事实是,带有智能触发器的托管 Web 表单可以轻松接受提交并立即发出带有附加信息的提交确认。 一旦文书工作/请求获得批准,就可以发送另一条消息。 市政厅的许多电话和面对面密集型流程都可以通过电子邮件和移动应用程序以电子方式完成。

在我将申请寄回市政厅后,我确实收到了一封电子邮件确认。 我真的很想庆祝我收到的电子邮件,但考虑到它缺乏当今普通营销和交易通信的任何基本识别特征,这相当困难。 就像塑造消费者期望的财富 100 强品牌一样,政府的内部运作(或非政府运作)塑造了公民与地方、州和联邦机构打交道的态度。

5 为公共部门发送提示

在进一步查看电子邮件后,我整理了以下简短列表,以帮助在城市或州机构工作并考虑电子邮件的任何人,以更好地以电子方式为人们服务。

  1. 使用友好的来自:我收到的消息来自“noreply@”。 想想这设定的基调。 不接受对某个地址的回复是一回事,但如果我停在 noreply 并且不费心阅读域,我将不知道发件人是谁。
  2. 包括签名:这封电子邮件没有签名——它很短且信息丰富,但再想想我们在野外看到的那种通信方式——它们有页脚和页眉。
  3. 包括识别印章:没有城市印章可以帮助我知道这封电子邮件来自旧金山市政厅或相关机构。
  4. 当心附件:我的电子邮件中有一个附件。 电子邮件附件不一定是一个好习惯。 在这种情况下,它是一个 HTML 文档,它比 zip 文件、可执行文件或其他二进制文档更温和,但它增加了此邮件最终进入垃圾邮件文件夹的可能性。 此处的最佳做法是对电子邮件正文中的信息进行编码,或链接回具有登录名的门户,在该门户中可以访问此信息。
  5. 不要害怕纯文本电子邮件:电子邮件被编码为 HTML 文档,但只是文本。 从“幕后”看,有大量不必要的代码实际上并没有完成任何事情。 相对简单的电子邮件,其中一封正文中没有链接,可以作为文本与 HTML 发送。 如果您要编写 HTML 代码,请利用与 HTML 电子邮件相关的图像和其他传统元素,因为这是收件人所期望的,也是反垃圾邮件过滤器用来衡量文本与图像比率的内容。

政府何去何从

明天的政府应该借鉴当今互联网上开创性技术和新通信方式的初创企业和企业。 随着我们的社会变得越来越复杂,人类规模无法跟上人口增长和消费者期望的发展步伐,这些期望正在演变并变得越来越复杂和精通技术。

我不怪政府机构不知道消费者在电子邮件或其他形式的数字通信方面的最低要求或基本期望是什么。 但是,重要的是,无论政府机构选择何种消息传递方式,无论是其应用程序驱动、电子邮件还是 SMS,都需要小心谨慎并根据行业最佳实践来保护该机构以及您和我。

有关电子邮件身份验证和最佳实践的更多信息,请查看我们的2016 年电子邮件传递指南