Rafał Tomaszewski: Na początek w ramach wprowadzenia zapytam o działalność EmailLabs – czym się zajmujecie? Jaki jest obszar Waszej działalności?

Katarzyna Garbaciak: EmailLabs to Cloud SMTP i Email Restful API, czyli rozwiązanie, które bez względu na rynek czy providera pocztowego pomaga najbardziej świadomym firmom z branż takich jak e-commerce, fintech czy retail, skutecznie docierać z komunikatem do skrzynek odbiorczych klientów. Nie jesteśmy systemem, a infrastrukturą serwerową whitelistowaną przez polskich dostawców poczty. Dzięki znajomości wymagań ISPs i zdobywanemu  przez lata know-how pomagamy nadawcom budować najlepszą reputację wysyłkową.

Zapewniamy standaryzowane rozwiązania z zakresu konfiguracji serwerów SMTP, jak SPF, DKIM, DMARC czy S/MIME. Udostępniamy też bardzo detaliczne informacje z każdej wysyłki, czyli logi każdego pojedynczego e-maila z pełnym komunikatem zwracanym przez providerów pocztowych zarówno marketingowej, jak i transakcyjnej.

Z naszego SMTP i Email Restful API korzysta znaczna ilość rozwiązań klasy marketing automation w Polsce. Z kolei największe firmy typu e-commerce podłączają nasze rozwiązanie pod systemy nadające wysyłki systemowe, transakcyjne. Zabezpieczamy jednocześnie wysyłkę e-maili dla banków i fintechów. 

R.T.: Ostatnio opublikowaliście raport na temat bezpieczeństwa komunikacji e-mail. Jakie są główne wnioski z tego raportu?

K.G.: Wniosek jest jeden: większość domen, które zbadaliśmy, nadal nie zabezpiecza odpowiednio swoich wysyłek e-mailowych. Nie zabezpiecza, czyli nie wykorzystuje wszystkich dostępnych powszechnie opcji zapobiegających podszywaniu się pod nadawcę wiadomości. Jest to zaskakujące, tym bardziej że SPF, DKIM i DMARC wspierają lepszą dostarczalność e-maili, nie tylko na Gmail, ale i u każdego liczącego się providera poczty. 

W kontekście branży fintech wniosek jest taki, że wiele fintechów to firmy, które powstały stosunkowo niedawno, więc dopiero doskonalą swoje procesy, także w obszarze bezpieczeństwa. Z drugiej strony konkurując z tradycyjnymi instytucjami z sektora finansowego, muszą wdrożyć przynajmniej podstawowe rozwiązania – albo we własnym zakresie, albo korzystając z zewnętrznych usług i serwerów SMTP.

R.T.: Czy w czasie pandemii wzrosła liczba ataków w tym zakresie?

K.G.: Zdecydowanie. Covid sprawił, że coraz więcej biznesów przeniosło się do internetu. To z kolei przyciąga oszustów, którzy tworzą fałszywe strony czy wykorzystują złośliwe oprogramowanie.  Niestety, nic nie wskazuje na to, że wkrótce będzie lepiej – w miarę trwania pandemii należy spodziewać się wręcz wzrostu liczby ataków.

Warto również zauważyć, że cyberataki i oszustwa nie ograniczają się tylko do wiadomości e-mail. W związku nagłym upowszechnieniem się narzędzi do wideokonferencji, na początku pandemii wykryto znaczący wzrost rejestracji nazw domen ze słowem Zoom, które tworzone były jako strony phishingowe. W tym samym czasie powstało także wiele fałszywych sklepów internetowych wykorzystywanych w tym samym celu. 

R.T.: W raporcie EmailLabs zwracacie uwagę na to, że wiele biznesów online nie ma nawet podstawowych zabezpieczeń. Czy te rozwiązania są kosztowne aby je zaimplementować?

K.G.: Warto sprawdzić, jakie zabezpieczenia już posiadamy. Służą do tego różne narzędzia, lookupy. Jednym z nich jest Mailchecker.net, który powstał na bazie wieloletnich doświadczeń i przy udziale technologicznego know-how zespołu Vercom S.A., globalnego dostawcy rozwiązań CPaaS, jednego z liderów rynku w CEE. Aby przetestować wiadomość przed wysyłką produkcyjną, należy wysłać e-mail na adres wygenerowany przez Mailchecker.net i sprawdzić wynik.

Co do kosztów zabezpieczeń – są one stosunkowo niewielkie. Zaczynając od podstaw, trzeba posiadać tak skonfigurowany serwer SMTP, żeby mógł wysyłać e-maile. By ustawić zabezpieczenia SPF, DKIM, DMARC, wystarczy jedynie posiadać dostęp do protokołu DNS serwera, co następnie pozwoli nam dodać odpowiednie wpisy.

Dodatkowo, żeby skonfigurować – zabezpieczający przed podszywaniem się pod nadawców – standardowy DKIM, należy wygenerować dla niego odpowiedni wpis (klucz prywatny oraz publiczny) uwierzytelniający a następnie dodać go do DNS wraz z nadanym selektorem. Warto w tym miejscu zwrócić uwagę na to, że wiele rozwiązań, takich jak np. EmailLabs, pomaga w przeprowadzeniu tej operacji.

Co istotne, jeżeli pojawi się konieczność rozbudowy systemu o kolejne serwery, trzeba aktualizować wpis SPF. Osobnym tematem jest S/MIME, który działa niczym kłódka dla wiadomości e-mail – tutaj możemy potrzebować wsparcia doświadczonego eksperta. 

R.T.: Providerzy pocztowi już w zasadzie powszechnie wymagają prawidłowej konfiguracji uwierzytelnień SPF i DKIM. Na ile zwiększają one bezpieczeństwo komunikacji e-mail?

K.G.: Wpisy SPF i DKIM to absolutna podstawa dla bezpieczeństwa i dostarczalności wiadomości. Bez nich możemy mieć spore problemy z dostarczalnością u wielu globalnych providerów, takich jak np. Gmail.

Ale nacisk na te uwierzytelnienia kładą także polscy czołowi gracze: Wirtualna Polska, chcąc zwiększyć bezpieczeństwo swojej poczty, wymaga, by każda domena From oraz Return Path posiadała rekord SPF dodany do ustawień DNS. Brak przypisanego zabezpieczenia może spowodować, że wiadomość trafi do folderu Spam.

R.T.: Czym skutkuje brak DMARCa jeśli chodzi o dostarczalność i bezpieczeństwo?

K.G.: Bez wątpienia najbardziej kompleksową ochronę zapewnia DMARC, który pozwala właścicielom domen publikować zasady instruujące providerów skrzynek pocztowych, jak postępować z nieuwierzytelnionymi wiadomościami wysyłanymi z ich domen. Właściciel domeny może wskazać providerowi, aby blokował wszystkie nieuwierzytelnione wiadomości wysyłane z jego domeny i przesyłał do niego kopię takiej wiadomości wraz z adresem nadawcy. 

Inicjatywa DMARC jest mocno wspierana przez globalnych graczy, ale obserwujemy, że coraz większy nacisk na DMARC kładą także lokalni dostawcy. Za dobry przykład może tu posłużyć dominujący u naszych południowych sąsiadów Seznam.cz. Niewykluczone, że wkrótce konfiguracja DMARC w polityce quarantine i reject będzie wymagana do skutecznego dostarczania wiadomości. 

Oczywiście zawsze istnieje ryzyko, że przestępca – licząc na naiwność odbiorców – wykupi domenę podobną do naszej, co umożliwi mu wykradanie danych. Jednocześnie zauważamy jednak, że świadomość odbiorców mocno wzrosła, przez co podobny proceder obecnie nie jest tak łatwo wykonać jak kiedyś.  

R.T.: Na koniec – co byście mogli polecić firmom, które chcą lepiej zabezpieczyć swoją komunikację e-mail? Od czego warto zacząć? Na czym się skupić?

K.G.: Niezmiennie, kluczowym elementem w kontrolowaniu zagrożenia jest ustawiczny rozwój i  korzystanie z darmowych narzędzi analitycznych. A tych jest naprawdę sporo – za dobry przykład może tutaj posłużyć wcześniej wspomniany Mailchecker.net.

Wnioski są proste. Sprawdzajmy jak wygląda poziom zabezpieczeń naszej domeny. Jeśli wykryjemy braki, niezwłocznie zwróćmy się do swojego administratora z prośbą o ich uzupełnienie. Te dobre praktyki pozwalają zachować wysoki poziom bezpieczeństwa. A jak wiadomo – w oczach partnerów i klientów to zawsze przekłada się na biznesową wiarygodność. W EmailLabs bardzo duży nacisk kładziemy na odpowiednią edukację w zakresie bezpieczeństwa komunikacji e-mail oraz na szerzenie dobrych praktyk na rynku. Cyklicznie wypuszczamy case studies, raporty czy webinary. Zapraszamy na nasz najbliższy webinar, który dotyczy bezpieczeństwa i dostarczalności.

R.T.: Dziękuję za rozmowę.

K.G.: Dziękuję.

Z Katarzyną Garbaciak rozmawiał Rafał Tomaszewski

Zobacz więcej: https://emaillabs.io/e-maile-transakcyjne-dlaczego-ich-dostarczalnosc-jest-tak-kluczowa-dla-branzy-e-commerce/