 |
Потенциальные проблемы с электронной почтой
|
|
|
|
Случайные ошибки. Можно легко допустить ошибку при работе с электронной почтой. Письмо может быть послано случайно. Простое нажатие клавиши или щелчок мышкой могут послать письмо по неправильному адресу. Почтовые сообщения могут храниться годами, поэтому плохое выражение может аукнуться через много времени. Архивы писем могут возрасти до такой степени, что система будет аварийно завершаться. Неправильно настроенная программа чтения групп новостей может привести к посылке сообщения не в те группы. Ошибки в списках рассылки могут привести к долгому блужданию писем между почтовыми серверами, причем число писем может увеличиться до такой степени, что почтовые серверы аварийно завершатся.
Если почтовая система организации присоединена к Интернету, последствия ошибок могут привести к тяжелым последствиям. Вот некоторые из способов предотвратить ошибки:
· учить пользователей что делать, если они совершили ошибку, и как правильно работать с электронной почтой
· конфигурировать программы электронной почты так, чтобы стандартные действия пользователя, использующие установки по умолчанию, были бы самыми безопасными
· использовать программы, которые строго реализуют протоколы и соглашения Интернета. Каждый раз, когда онлайновый сервис шлюзует письмо из частной почтовой системы в интернетовскую электронную почту, слышатся вопли протеста из-за появления большого числа сообщений с ошибками, возникшими в результате неправильных настроек почтовых серверов этого сервиса.
Персональное использование. Так как письма обычно используются для обеспечения деятельности организации, как и телефон и факс, использование его в личных целях должно быть ограничено или запрещено (это зависит от организации).
|
|
|
Хотя проще всего определить, что электронная почта используется только для решения задач организации, все понимают, что эту политику тяжело претворить в жизнь. Мудрее будет установить четкие границы использования e-mail в личных целях.
Если вы используете служебный телефон для того, чтобы позвонить в химчистку, то маловероятно, что ваш звонок будет восприниматься как официальный запрос компании. Но посылка электронного письма с электронным почтовым адресом, содержащим адрес организации, будет похожа на посылку бумажного письма на фирменном бланке компании. Если отправитель использует свой логин в компании для посылки электронной почты в группу новостей, может показаться, что компания одобряет мнение, высказываемое им в письме.
Маркетинг. В прошлом, когда Интернет был исследовательской сетью, ее коммерческое использование было запрещено. Кроме того, слишком мало компаний и людей имели доступ к интернетовской почте, поэтому было нецелесообразно использовать ее для коммерческих целей. Сейчас Интернет расширился и разрешается использовать его в коммерческих целях, поэтому компании стали поддерживать списки рассылки для обмена информацией со своими клиентами. Как правило, клиенты должны послать запрос для того, чтобы попасть в список рассылки. Когда большие онлайновые сервисы стали шлюзовать письма в Интернет, неожиданно обнаружилось, что таким образом можно передать информацию гораздо большей аудитории. Так родился маркетинг в Интернете с помощью посылки отдельных почтовых сообщений.
Люди написали программы для автоматизации поддержания списков рассылки и образовали компании для сбора и продажи списков электронных почтовых адресов организациям, занимающимся маркетингом. Конгресс США принял билль, согласно которому прямой маркетинг с помощью электронной почты должен осуществляться в соответствии с теми же правилами, которыми ограничивается использование массовой посылки писем, чтобы лица, занимающиеся таким маркетингом, вели списки адресов, владельцы которых не желают получать рекламу в электронных письмах.
|
|
|
Угрозы, связанные с электронной почтой
Основные протоколы передачи почты (SMTP, POP3,IMAP4) обычно не осуществляют надежной аутентификации, что позволяет легко создать письма с фальшивыми адресами. Ни один из этих протоколов не использует криптографию, которая могла бы гарантировать конфиденциальность электронных писем. Хотя существуют расширения этих протоколов, решение использовать их должно быть явно принято как составная часть политики администрации почтового сервера. Некоторые такие расширения используют уже имеющиеся средства аутентификации, а другие позволяют клиенту и серверу согласовать тип аутентификации, который будет использоваться в данном соединении.
Фальшивые адреса отправителя. Адресу отправителя в электронной почте Интернета нельзя доверять, так как или отправитель может указать фальшивый обратный адрес, или заголовок может быть модифицирован в ходе передачи письма, или отправитель может сам соединиться с SMTP-портом на машине, от имени которой он хочет отправить письмо, и ввести текст письма.
Перехват письма. Заголовки и содержимое электронных писем передаются в чистом виде. В результате содержимое сообщения может быть прочитано или изменено в процессе передачи его по Интернету. Заголовок может быть модифицирован, чтобы скрыть или изменить отправителя или для того чтобы перенаправить сообщение.
Почтовые бомбы. Почтовая бомба - это атака с помощью электронной почты. Атакуемая система переполняется письмами до тех пор, пока она не выйдет из строя. Как это может случиться, зависит от типа почтового сервера и от того, как он сконфигурирован.
Угрожающие письма. Так как любой человек в мире может послать вам письмо, может оказаться трудным заставить его прекратить посылать их вам. Люди могут узнать ваш адрес из списка адресов организации, списка лиц, подписавшихся на список рассылки, или писем в Usenet. Если вы указали ваш почтовый адрес какому-нибудь веб-сайту, то он может продать ваш адрес "почтовым мусорщикам". Некоторые веб-браузеры сами указывают ваш почтовый адрес, когда вы посещаете веб-сайт, поэтому вы можете даже не понять, что именно вы его дали. Много почтовых систем имеют возможности фильтрации почты, то есть поиска указанных слов или словосочетаний в заголовке письма или его теле и последующего помещения писем в определенный почтовый ящик или удаления. Но большинство пользователей не знает, как использовать механизм фильтрации. Кроме того, фильтрация у клиента происходит после того, как письмо уже получено или загружено, поэтому таким образом тяжело удалить большие объемы писем.
|
|
|
Для безопасной атаки можно использовать анонимный ремэйлер. Когда кто-то хочет послать оскорбительное или угрожающее письмо и при этом скрыть свою личность, он может воспользоваться анонимным ремэйлером. Если человек хочет послать электронное письмо, не раскрывая свой домашний адрес тем, кто может угрожать ему, он может тоже использовать анонимный ремэйлер. Если он начнет вдруг получать нежелательные письма по своему текущему адресу, он может отказаться от него и взять новый.
Одним часто используемым средством защиты, применяемым некоторыми пользователями Usenet, является конфигурирование своих клиентов для чтения новостей таким образом, что в поле Reply-To (обратный адрес) письма, посылаемого ими в группу новостей, помещается фальшивый адрес, а реальный адрес помещается в сигнатуре или в теле сообщения. Таким образом, программы сбора почтовых адресов, собирающие адреса из поля Reply-To, окажутся бесполезными.
В конгрессе США было подано несколько биллей об ограничениях на работу таких программ-мусорщиков. В одних предлагалось создать списки стоп-слов и помещать слово "реклама" в строку темы письма, в другом предлагалось считать их просто незаконными.
|
|
|
