メールは安全ですか？

アプリーレ12、2021

メールは安全ですか？

今日、通信システムとコンピュータシステムは、外部からの攻撃によってますます危険にさらされています。正確な予防措置を講じていると信じているために安全だと思っていても、そうではありません。 Facebook で 500 億のアカウントがハッキングされ、Gmail、無料、またはその他のサービスで数百万のアカウントがハッキングされました。私たちが少しでも知りたくない目的で私たちを利用するスパム送信者や犯罪者の手段になります。業務上および/または仕事上の理由で使用されるメールボックスについて話すと、事態は非常に複雑になります。これは、プライバシー保証者が、ビジネスをひっくり返すことさえできるかなり厳しい罰則を課し始めていることを考えると. 身を守る必要があり、自分を守るためには、災害が発生したときではなく、上流で何をすべきかを考える必要があります。

Gmailをご利用の方へ

多くの人が、使用するのに最も安全なメールサービスはどれかを尋ねます。私は彼らを失望させなければなりません、それは存在しません。あるいは、それは正しい質問ではありません。有料サービス、無料サービスがあり、安全を確保するために何をしなければならないか、またはいずれにせよ、当社に委託されたデータのセキュリティを顧客に保証する必要があることを認識しておく必要があります。フリーランサーでも最も使用されているプラットフォームの XNUMX つが GMAIL です。経理担当者から studiocommercialista@gmail.com というメールが届くのが普通です。また、GMAIL は世界で最も安全なメールサービスの XNUMX つだと広く信じられています。しかし、そうではありません。

ちなみに、無料の構成で使用される GMAIL は安全ではありません。100% 安全な電子メールはないからです。さらに、無料のサービスは正確に無料であり、制限があります。実際、制限があるに違いありません。通信を第三者に委託する前に、サービス供給契約をお読みください。契約を読むと、データ侵害が発生した場合に Google が負う責任はごくわずかであり、さらには責任がないことがわかります。彼らがあなたのメールボックスに侵入し、保存されているデータ、送信された電子メール、受信された電子メールを盗んだ場合、これらはあなたの問題であり、顧客のデータを保護するための十分な対策を講じていない場合、プライバシー保証人はあなたにそれを説明するよう求めます.課す罰金. これは多くの害を及ぼす可能性があります.

有料GMAILの使い方が大きく変わります。 Google自身がそう言っています。ただし、メールボックスあたり月額 4.68 ユーロから始まり、月額 15,60 ユーロに達し、偶然にも強調されている機能の XNUMX つに、「管理とセキュリティ制御」と書かれています。

月額 15,60 のバージョンでは、「Vault と高度なエンドポイント管理を含む、高度な管理とセキュリティコントロール」が主張されています。問題は構造のセキュリティだけではないため、メールボックスへのアクセスに使用するツールから始めて、ユーザーの行動に対して正しい制御とセキュリティ対策を採用する必要性について、ユーザーを「教育」する必要があるという事実を Google は強調しています。 . メール、Android、IOS、または Thunderbird や Outlook などのメールクライアント。

次に、サービスのコストがボックスごとに表されるという事実に基づいて推論すると、複数の人による明確な研究の場合、良好なコミュニケーション構造と外界との関係の全体的なコストは次のようになる可能性があることは容易に想像できます。かなりの負担。

これらはすべて、次のように言い換えることができます。セキュリティが必要ですか? 支払いも塩味もあり、正しく行動することを学びます。

Microsoft Exchange を使用しているすべてのユーザー向け

GMAILと基本的には何も変わりません。原則は同じで、価格も同じです。たとえば、月額 12.50 ドルには Office 365 も含まれています。

あなたを欺くプライバシーシールド。

プライバシーシールド、または EU と米国の間の「プライバシーシールド」は、欧州連合から個人データを受け取りたい米国に設立された企業向けの自己認証メカニズムです。特に、企業は、そこに含まれる原則を尊重し、利害関係者 (つまり、個人データが欧州連合から転送されたすべての対象者) に適切な保護ツールを提供することを約束します。米国商務省によるプライバシーシールドリスト」) および連邦取引委員会による制裁の可能性があります。欧州委員会は、システムが EU 内の個人から米国内に設立された企業に転送される個人データに対して適切なレベルの保護を提供することを考慮しており、したがって、シールドはデータの転送に関する法的保護の源を構成すると考えています。問題のデータ。

EU-US プライバシーシールドは、1 年 2016 月 XNUMX 日から有効になっています。

シールドは、ビジネス情報、健康または人事データを含む、EU から米国に転送されるすべてのカテゴリの個人データに適用されます。

残念ながら、協定は破られました。

欧州裁判所は、最初の決定 (標準契約条項に関する 2010/87 年) を調査し、これは、契約条項に基づいているため、国家を拘束して遵守することはできないが、実際には、、連邦法によって要求される保護のレベルが尊重され、これらの条項に違反した場合、またはそれらを尊重することが不可能な場合、これらの条項に基づいて個人データの転送が停止または禁止されることを保証する.

2016 番目の決定 (EU-US シールドによって提供される保護の妥当性に関する 1250/XNUMX) は、代わりに、国家安全保障、公共の利益、および米国の法律の遵守に関連するニーズの優位性を確立し、したがって、データがその第三国に転送される人の基本的権利。

裁判所によると、米国の国内法に起因する個人データ保護の制限は、EU 法で必要とされる要件と実質的に同等の要件に対応するような形で組み立てられていません。厳密な必要性。

それで？プライバシーシールドは私のメールとどのような関係がありますか?

簡単に言えば、Gmail や Microsoft Exchange などのシステムはプライバシーシールドによって保護されておらず、正しい DPA (データ保護) を顧客に適切に通知するために、監査およびプライバシーバイデザインの際に考慮に入れる必要があることを意味します。評価）。

要約しましょう： Gmail p Microsoft Exchange はい、有料の場合、料金はいくらですか? 使用するメールアカウントの数と、独自の企業ドメインを使用するかどうかによって異なります。いずれにせよ、プライバシーシールドの外では、プライバシー保証者による介入に直面した場合、かなりのペナルティが課せられる可能性があります。

わかりました！しかし、これは私たちの電子メールのセキュリティと何の関係があるのでしょうか? 落ち着いてクールに、ここに来ました！少し冷静！

個人データの所有権の原則

固定点を確立しましょう。それは、プライバシー保証者が原則を確立したということです。個人データはあなたのものではなく、それらのデータが参照する人々が所有しています。

したがって、この権利を規制する法律に基づいて、各個人は、欧州連合と欧州連合の両方の法律によって確立された規則と原則に従ってのみ、自分の個人データが第三者によって収集および処理されると主張することができます。個々の国家の。法律の目的は、利害関係者に自分のデータを処分する権限を与え、個人が自分の私生活に関するすべての情報を管理できるようにすると同時に、この情報を保護するためのツールを提供することです。

そして正確さのために：

誰もが彼に関する個人データを保護する権利を有します。
そのようなデータは、特定の目的のために、データ主体の同意または法律によって確立された別の正当な根拠に基づいて、公正に処理されなければなりません。すべての個人は、自分に関して収集されたデータにアクセスし、修正を求める権利を有します。
これらの規則の遵守は、独立機関の管理下にあります。

上記の内容に基づいて、IT および外部通信システムのセキュリティが非常にホットなトピックであり、ビジネスプロセスの管理にどのように慣れているかを考える必要があることが明らかになります。

より安全にするための正しい行動

最初に覚えておかなければならないことは、最初の解決策は私たちの行動だということです。採用すべき正しい行動は何ですか？いくつか挙げます。残念なことに、協力者や従業員と一緒に仕事をしていると、誰もが正しく平等な行動をとっているわけではなく、常に誰かが「フェンス」から逃げ出し、細心の注意を払う必要があります。しかし、通信に使用される個人データは、これらのデータが参照するそれぞれの人々の所有物であることを理解し始めると、責任ある思いやりのある行動を誘発し、多くの問題を回避することが容易になります。

電子メールの送信者を確認せずに添付ファイルを開かないでください。
添付ファイルの自動開封を使用しないでください。
受信メールの差出人を必ず確認する
メールのすべてのフィールドを正しく使用する
「件名」フィールドを正しく使用し、電子メールの件名を簡潔かつ正確に記述します。電子メールを受信した人にとっては、その電子メールが自分のために特別に書かれたものであるかどうかにすぐに気付くので便利です。特定の何かを見つける必要があるときに、毎週アーカイブする何千もの電子メールを検索するのに役立ちます。
「To:」フィールドには、メールごとに XNUMX つの受信者のみを使用してください。さらに受信者を挿入する必要がある場合は、"To:" フィールドにアドレスを入力し、"CCn:" (隠しカーボンコピー) フィールドに他のすべての受信者のアドレスを入力します。これにより、「未公開の受信者」宛てのメールを受信する受信者のプライバシーが保護され、受信者のメールボックスがどこでもスパムされていることがわかりません。
メールボックスをチャットとして使用してメッセージを無制限にリプレイすることは避けてください。
重い添付ファイルの送信は避け、圧縮された添付ファイルを送信する可能性があります。
メールの下部に、ロゴ、署名、ソーシャルメディアのアイコンなどの画像を埋め込まないでください。多くの人が画像の自動表示をブロックしており、得られる結果は混乱と混乱だけです.
不審なメールは開かないでください。
少なくとも XNUMX か月に XNUMX 回はメールボックスのパスワードを変更し、複雑な文字列を使用してください。大文字と小文字の特殊文字を覚えたくない場合は、"yesterday-my-dog-jack-played-with-frisbee" のように簡単に覚えられる文全体を使用することをお勧めします。それでも素晴らしい結果が得られます。単純なパスワードは、数回のブルートフォース操作で簡単にハッキングされ、そこから損害が発生します。
仕事用のメールをソーシャルプロファイルに使用しないでください。
可能であれば、常に二重認証を使用してください。
セキュリティとは関係ありませんが、大文字は使用しないでください。大文字は叫んだことを意味し、ひどく厄介で失礼です。
メールの毎日のバックアップを作成し、すべての通信をサーバーに残さないでください。これは、プライバシー保証人によって推奨されるだけでなく、強く罰せられる慣行です.

これらは些細な推奨事項のように見えますが、皮肉なことに、ハッカーやスパマーはユーザーの不注意に依存しています。私たちは知っています、彼らは本当に平凡であり、何千回もハックニーされていると聞いたり、言ったりしましたが、明らかにそれだけでは十分ではありません!

Gmail いいえ、Microsoft Exchange いいえ、どうすればいいですか?

私たちがノーとは言っていないが、あなたが実行するリスクを認識させただけであることを考えると、個人の行動が破滅を避けるために必要な最小限の結合を反映していると仮定して、あなたを安全に保つ実用的で興味深い解決策があります。すべての。さらに、GMAIL や Microsoft Exchange を使用できないとは言っていませんが、そのためには GDPR に準拠する必要があるとは言っていないので、試してみましょう。他の答えも出します。

Gmail と Microsoft Exchange の代替:

ProtonMail

エンドツーエンドの暗号化を使用する、スイスを拠点とする GDPR 準拠のプラットフォーム。非常に優れたサービス、非常に安全ですが、安くはありません。実を言うと、商業的に言えば、彼らは当然の成功を収めておらず、技術的に言えばサービスが申し分のないものであったとしても、少し「危機に瀕している」ままです.

ファストメール

Fast Mail は Gmail の有効な代替手段であり、非常に機能的で手頃な価格ですが、いずれにしてもアメリカのプラットフォームであるため、GDPR に関連するコンプライアンスを確認する必要があります.

QBOX メール

非常に有効な代替手段であり、すべてイタリア語および GDPR に準拠しています。エンタープライズバージョンは、メールボックスあたり 3.60 ユーロ、追加容量 1 GB ごとに 25 ユーロです。暖かくお勧めすることしかできません。私たちの意見では、これは最も興味深いソリューションの XNUMX つです。

他にも多くのクラウドメールサービスプロバイダーがあり、探索できる世界です。しかし、過剰な情報を提供しないために、ここで停止します。

所有している SMTP サーバーまたはメールサーバー。

サイトとドメインを持っていて、サイトがホストされている独自の Web サーバーに統合されたメールサーバーを利用している人は何人いますか? これは、最も頻繁に発生する状況の XNUMX つです。

プロバイダーの SMTP サーバー

確立されたプロバイダーの SMTP サーバーは、他のプロバイダーからも信頼できると認識されています。また、スパムフィルターは、大量のデータを処理するため、特に効果的であると考えられています。ただし、無料オファーの場合、通常、XNUMX 日あたりの電子メールの数、添付ファイルのサイズ、およびメールボックスの保存容量に関して厳しい制限があります。

オファーはいくつかのページに表示されます。

インターネットサービスプロバイダー: IONOS などのインターネットサービスプロバイダー (ISP) は、多くの場合、会社の SMTP メールサーバーにアクセスできるインターネット接続用の電子メールアドレスを提供します。
電子メールプロバイダー: 個人が友人や家族に電子メールを送信する最も一般的な方法は、Gmail、Yahoo、Libero などの無料の電子メールプロバイダーの Web メールアプリケーションを使用することです。唯一の要件は、プロバイダーの SMTP サーバーを個人的な通信に使用できるドメインに一致する電子メールアドレスです。メールボックスを正しい SMTP サーバーアドレスに設定するだけです。以下に、最も人気のあるプロバイダーとそのアドレスの概要を示します。
ホスティングサービスプロバイダー: IONOS などの多くのホスティングパッケージには、既定で SMTP サーバーが含まれており、社内外のメールトラフィックを処理するために使用できます。
専門プロバイダー: 一部の企業は、必要なハードウェアのレンタルを可能にする Amazon SES や SparkPost など、SMTP サーバーのレンタルを専門にしています。

この解決策に反対することを強くお勧めします

独自の SMTP サーバー

基本的な技術知識があれば、独自の SMTP サーバーをセットアップできます。たとえば、Raspberry Pi は、ハードウェアベースとして適切なソフトウェアを使用してセットアップできます。

利点は明らかです。プロバイダーによる使用制限がなく、すべての設定を完全に制御でき、独立したデータ管理が可能です。さらに、独自のサーバーを持つことは、電子メールトラフィックの技術的な仕組みを理解するのに理想的です。しかし、欠点もあります。プライベートインターネットアクセスに固有の動的 IP アドレスが原因で、プライベート SMTP サーバーは、多くの場合、大規模な電子メールプロバイダーによってスパムとして分類されます。いくつかの改修措置や追加費用でしか解決できない問題。ただし、電子メールを別のプライベートクライアントに送信するだけの場合は、いずれにしても独自の SMTP サーバーが適切な代替手段です。したがって、固定 IP が必要です。

ええと、確かにバラや花ではありません。 SMTP サーバーを自宅に持ち込んだり、Web サイトのホスティングにリンクされているサーバーを使用したりすると、問題を管理できなければ深刻な結果を招くことさえあります。

所有している SMTP サーバーまたはメールサーバー。

通信を受信および送信するために独自の SMTP サーバーを管理するときは、不快な側面も考慮に入れる必要があります。

システム稼働時間。一般に、さまざまな ISP プロバイダー、特に Aruba や Register などの「低コスト」プロバイダーには SLA がなく、稼働時間を保証していません。これは、365 年 99.99 日の間に、ホスティング、つまりドメインに到達できない、送信された電子メールが送信されない、または受信予定の電子メールが目的地に到着しない可能性があることを意味します。 DNS に到達できない場合、メールシステムは完全にシャットダウンされます。契約により、99.99 年間で XNUMX% を超えるアップタイムを書面で保証するホスティングプロバイダーは存在しますが、サービスのコストがかかり始めます。当社は XNUMX% の SLA を提供しており、実際、当社のホスティングのコストは Aruba のコストに匹敵しません。

冗長性。ホスティングスペースにリンクされた SMTP サーバーは通常、サーバーファームである場所に配置されます。これは、最近 OVH や最近の Aruba で起こったように、サーバーファームであり、サイトと送信のための IT 構造全体の両方です。メールの受信はらーめーごに行くことができます。そのため、コンピュータシステムの故障やシャットダウンが発生した場合に、並列構造がすぐに動作する冗長構造に頼ることができます。冗長性について別の章を開いて詳細を説明することもできますが、ここではそれを行う場所ではありません。冗長性とは、特定の機能を複製できるため、障害が発生した場合でもサービスの継続性を保証できるシステムとして定義されているとしましょう。

独自の SMTP サーバーを使用する利点。私はそれらをリストしようとします：

コストを増やさずに複数の電子メールアカウントを管理する機能
独自の送受信ポリシーを自律的に管理する可能性
自分のメールと外界との通信トラフィックの更新されたアーカイブを内部で維持する可能性
外部からの介入なしに、自律的にメールボックスに名前を付ける/名前を変更する可能性
(選択したプロバイダーに応じて) ブラックリストまたはホワイトリストに登録するアドレスおよび/または IP を確立する可能性。
スパム対策ポリシーを独自に確立する機能
多くの人が忘れており、ドメインをブラックリストに登録する主な原因であるマーキング、DKIM、SPF、およびDMARCを個別に確立する機能.

独自の SMTP サーバーを使用するデメリット

特に、構造が準備されておらず、メールサーバーを自宅に持ち込むことによるリスクを十分に認識していない場合、欠点は無数にあります. 技術的、法的、および運用上の問題も、この道を妨げる可能性があります。これは、何よりも、組織内に存在する技術文化のレベルに大きく依存します。

電子メールメッセージの管理とアーカイブに関するすべての責任が組織に重くのしかかっているため、自分自身を補償することができません。
あらゆる種類の攻撃にさらされ、それらを制限またはキャンセルするためにあらゆる手段を講じる必要があります。
サーバーが他の操作によって速度が低下したり、その機能を実行できなくなったりする「暗闇」の瞬間を持つ可能性。
猛烈なウイルス対策およびスパム対策の制御ポリシーを実装する必要がある (実を言うと、これは今日のすべての人に少し当てはまります)
体系的で効率的なバックアップポリシーが必要です (これは、今日のあらゆるものに当てはまります)。

多くの「プロの」プロバイダーが、保護された、認定された、またはいずれにせよほとんど脆弱性のない SMTP サーバーを利用できるようにしているのも事実です。逆に、ウェブサーバーがホストされているのと同じ構造に配置することは、常に正しいポリシーであるとは限りません。

結論

わかりました、いいですが、結論としては？何を選ぶ？

単一の答えはありません。状況や操作によって異なります。企業構造が小規模または微視的である場合はクラウドメールサーバーを使用することをお勧めします。構造上、20 ではない場合でも少なくとも 90 個のメールボックスが必要な場合は SMTP サーバーを使用することをお勧めします。 , サーバーを正しくマークし、有効で正しいセキュリティプロトコルを使用する効率的な構造, それは常にすべてに対して個別の利点があります. 潜在的な問題が外部に留まりたいという内部に持ち込まれることは事実です. GDPR に関しても、一方では正しいプライバシーポリシーを採用する必要がある場合、データ侵害が発生した場合、管理されたクラウドシステムを使用すると、結果がはるかに深刻になる可能性があることも事実です。第三者による。したがって、優れた SMTP サーバーとメール管理の巧妙さがあれば、中小企業や専門的な活動の問題の XNUMX% を解決できるはずです。適切なホスティングサービスを提供する優れたパートナー、電子メールクライアントを正しくインストールする方法を知っているオンサイト技術者、優れたバックアップシステム、ファイアウォールと常に最新のアンチウイルス、ポートを強力に制御するルーター、およびはい、ほとんど安らかに眠ることができます。その後、何が起こるかわかりませんが、原則として、これが私たちが提案するものです.