Sähköpostin turvallisuusprotokolliin liittyvät ongelmatekijät

Abstract

Sähköpostiviestin otsaketiedot sisältävät yksilöivää tietoa muun muassa viestin osallisista ja tapahtuneesta tiedonsiirrosta. Otsaketietoja on mahdollista väärentää eri syistä, joita voivat olla muun muassa roskapostitus tai petollinen toiminta. Otsaketietoja muokkaamalla on mahdollista väärentää sähköpostiviestin lähettäjä näyttäytymään vastaanottajalle väärältä. Sähköpostin lähettämiseen käytetään yleisesti standardiksi muodostunutta protokollaa Simple Mail Transfer Protocol (SMTP). SMTP ei itsessään sisällä mekanismia sähköpostiviestin lähettäjän varmentamiseen, vaan se mahdollistaa viestin otsaketietojen väärentämisen. Viestin lähettäjän varmentamista sekä ei-toivottujen viestien käsittelemistä varten on kehitetty muita protokollia, joista tunnetuimpia ovat Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) ja Domain-based Message Authentication, Reporting and Conformance (DMARC). Näiden protokollien tarkoituksena on parantaa sähköpostin turvallisuutta. Ratkaisuja pidetään yleisesti toimivina keinoina väärennetyn sähköpostin torjumiseen, mutta siitä huolimatta väärennetyt sähköpostiviestit aiheuttavat vuosittain maailmanlaajuisesti merkittäviä vahinkoja. Kirjallisuuskatsauksena toteutetussa tutkielmassa selvitettiin syitä siihen, miksi olemassa olevat turvallisuusprotokollat eivät ole poistaneet väärennettyjen sähköpostiviestien aiheuttamia ongelmia. Erilaisia ja perusteltuja syitä löytyi useita. Merkittävimmäksi syyksi nousi turvallisuusprotokollien alhainen käyttöaste. Lisäksi käyttöönotettujen protokollien asetusten määrittämisessä havaittiin puutteita. Vaikka protokollat koetaankin hyödyllisiksi, ei niiden koeta poistavan viestien väärentämisestä aiheutuvaa ongelmaa kokonaan. Tutkielmassa löydettiin myös protokollien varsinaiseen toimintaan liittyviä ongelmia ja puutteita. Sähköpostin turvallisuuden parantamiseksi on tehty toimia lainsäädännöllisin keinoin. Lisäksi suuret sähköpostipalveluntarjoajat ovat muuttaneet sähköpostikäytäntöjään ja ohjeistaneet tiukempiin turvallisuuskäytäntöihin. Tiedostettuja ongelmia pyritään korjaamaan uusien protokollien avulla. Niiden käyttöönottaminen ja levittäminen laajalle yleisölle on kuitenkin haastavaa ja hidasta.