如何發送安全電子郵件:政府發件人的 5 個提示

已發表: 2016-11-16

消息安全和政府

我最近有幸在一個名為:我們如何實現政府的谷歌? 該小組是混響會議的一部分,該會議將私營部門領導人與政府工作人員配對,以激發和推動我們通常認為在技術使用和實施方面落後的機構的創新。

當我被邀請參加這個小組討論時,我與我們的交付能力負責人 Kurt Diver 坐下來,從消息傳遞的角度思考政府的谷歌是什麼樣的。 我們深入收件箱,找出我們從政府機構收到的電子郵件示例,看看它們是否符合最低安全標準。

毫不奇怪,我們審查的電子郵件不符合我們對安全和可靠消息傳遞的試金石。 (作為免責聲明,我們只查看了來自舊金山、奧克蘭和丹佛的幾個示例。)在所有情況下,他們的發送域都缺少 DKIM(域密鑰識別郵件)以確保郵件的內容。

DKIM 是一種加密解決方案,世界各地的發送平台和 ISP 都使用它來幫助確保消息在傳輸過程中不被篡改,並且域不被欺騙。 DKIM 的擴展 DMARC 有助於創建接收域(如 Gmail 或 Hotmail)在收到未通過 DKIM 檢查的郵件時可以參考的策略。 郵箱提供商應該如何處理此消息? 留著它? 送嗎? 隔離嗎? 或者因為它具有欺騙性,旨在欺騙某人的身份,或者更糟,所以把它丟在地板上?

鑑於電子郵件在國家新聞中的盛行,並且它通常是高調數據洩露的載體,地方和州政府沒有利用電子郵件身份驗證來提高其數字通信的可信度這一事實令人不安。

從好的方面來說,當我們查看 USPS 時,我們確實發現了一個有效的 DKIM 政策設置來拒絕欺詐性郵件。 除了利用 SPF 等基本電子郵件身份驗證協議外,USPS 電子郵件還使用 TLS(傳輸層安全性)發送,這是一種機會主義手段,對從發送者到接收者的電子郵件進行加密,確保沒有人可以在內容通過 Internet 時閱讀.

可能是政府機構不知道傳輸中的消息有多麼脆弱,以及域可以很容易地被欺騙。 可以理解,消息傳遞並不是地方、州或聯邦政府工作描述的核心,但可以說它應該在他們的雷達上,因為它在自動化與以人為本的政府相關的客戶服務功能方面的實用性。

消息傳遞作為自動化的途徑

去年,我花了一天時間在舊金山市政廳的辦公桌間奔波,試圖獲得營業執照。 整個申請過程是人為驅動的,缺乏清晰性。 最近,我收到一張營業執照的賬單,要求我從網上下載 PDF 格式的申請,填寫好,然後郵寄回市政廳。 這就是我喜歡把一個簡單的過程數字化的半投入嘗試。

事實是,帶有智能觸發器的託管 Web 表單可以輕鬆接受提交並立即發出帶有附加信息的提交確認。 一旦文書工作/請求獲得批准,就可以發送另一條消息。 市政廳的許多電話和麵對面密集型流程都可以通過電子郵件和移動應用程序以電子方式完成。

在我將申請寄回市政廳後,我確實收到了一封電子郵件確認。 我真的很想慶祝我收到的電子郵件,但考慮到它缺乏當今普通營銷和交易通信的任何基本識別特徵,這相當困難。 就像塑造消費者期望的財富 100 強品牌一樣,政府的內部運作(或非政府運作)塑造了公民與地方、州和聯邦機構打交道的態度。

5 為公共部門發送提示

在進一步查看電子郵件後,我整理了以下簡短列表,以幫助在城市或州機構工作並考慮電子郵件的任何人,以更好地以電子方式為人們服務。

  1. 使用友好的來自:我收到的消息來自“noreply@”。 想想這設定的基調。 不接受對某個地址的回復是一回事,但如果我停在 noreply 並且不費心閱讀域,我將不知道發件人是誰。
  2. 包括簽名:這封電子郵件沒有簽名——它很短且信息豐富,但再想想我們在野外看到的那種通信方式——它們有頁腳和頁眉。
  3. 包括識別印章:沒有城市印章可以幫助我知道這封電子郵件來自舊金山市政廳或相關機構。
  4. 當心附件:我的電子郵件中有一個附件。 電子郵件附件不一定是一個好習慣。 在這種情況下,它是一個 HTML 文檔,它比 zip 文件、可執行文件或其他二進製文檔更溫和,但它增加了此郵件最終進入垃圾郵件文件夾的可能性。 此處的最佳做法是對電子郵件正文中的信息進行編碼,或鏈接回具有登錄名的門戶,在該門戶中可以訪問此信息。
  5. 不要害怕純文本電子郵件:電子郵件被編碼為 HTML 文檔,但只是文本。 從“幕後”看,有大量不必要的代碼實際上並沒有完成任何事情。 相對簡單的電子郵件,其中一封正文中沒有鏈接,可以作為文本與 HTML 發送。 如果您要編寫 HTML 代碼,請利用與 HTML 電子郵件相關的圖像和其他傳統元素,因為這是收件人所期望的,也是反垃圾郵件過濾器用來衡量文本與圖像比率的內容。

政府何去何從

明天的政府應該借鑒當今互聯網上開創性技術和新通信方式的初創企業和企業。 隨著我們的社會變得越來越複雜,人類規模無法跟上人口增長和消費者期望的發展步伐,這些期望正在演變並變得越來越複雜和精通技術。

我不怪政府機構不知道消費者在電子郵件或其他形式的數字通信方面的最低要求或基本期望是什麼。 但是,重要的是,無論政府機構選擇何種消息傳遞方式,無論是其應用程序驅動、電子郵件還是 SMS,都需要小心謹慎並根據行業最佳實踐來保護該機構以及您和我。

有關電子郵件身份驗證和最佳實踐的更多信息,請查看我們的2016 年電子郵件傳遞指南