Adres mailowy podany przez nadawcę maila jest równie mało wiarygodny, jak ten napisany na kopercie zwykłego listu; weryfikację nadawcy e-maila może zapewnić tylko podpis elektroniczny - przypomina ekspert zajmujący się bezpieczeństwem w sieci.



"Bez podpisu elektronicznego nie jest możliwe sprawdzenie tożsamości nadawcy. Można jedynie sprawdzić, skąd mail został nadany" - powiedział PAP Przemysław Jaroszewski z CERT Polska. Zaznaczył, że adres nadawcy, który odbiorca widzi w polu "Od" w procesie weryfikacji nadawcy właściwie nie ma żadnego znaczenia. Jest równie mało wiarygodny jak adres nadawcy napisany na kopercie tradycyjnego listu. "A tam można wpisać cokolwiek" - zaznaczył ekspert.

Jak wyjaśnił Jaroszewski, dopiero kiedy zajrzy się do nagłówka maila, można zobaczyć elektroniczny "stempel pocztowy". Tak jak w poczcie tradycyjnej widać, czy stempel pocztowy jest z tego samego miasta co adres nadawcy, tak i w nagłówku poczty elektronicznej można sprawdzić, czy list wysłano z serwera, który ma prawo wysyłać takie wiadomości. "Będąc właścicielami domeny cert.pl, wiemy dokładnie, kto ma prawo wysyłać z niej list. Mamy 2-3 serwery, które powinny wysyłać taką pocztę. Żaden inny serwer na świecie nie powinien takiej poczty wysyłać" - tłumaczył Jaroszewski.

Istnieją już mechanizmy - takie jak SPF (Sender Policy Framework) czy DomainKeys - które pozwalają na automatyczną weryfikację serwera przysyłającego wiadomość. Systemy tego typu są w Polsce popularne. Administratorzy poczty stosują je m.in. do obrony przed spamem.

"Mechanizmy działają pod warunkiem, że korzystają z nich obie strony - nadawca - informując, kto ma prawo wysyłać listy z jego domeny - i odbiorca - sprawdzając, czy łączący się z nim serwer jest do tego uprawniony" - zaznaczył ekspert.

Jak dodał Jaroszewski, za pomocą zabezpieczeń typu SPF nie można jednak zweryfikować, czy elektroniczny list wysłała akurat ta osoba, za którą podaje się nadawca. Mail bowiem dotrze do odbiorcy, jeśli za daną osobę podszywa się np. współpracownik, który korzysta z tej samej domeny i tego samego serwera.

CERT Polska na swojej stronie zwraca uwagę, że wśród innych możliwości oszukania zmylenia odbiorców maila jest też np. kradzież danych dostępowych do konta nadawcy. Eksperci wymieniają, że tu wykorzystywane mogą być np. sztuczki socjotechniczne czy złośliwe oprogramowanie. Oszuści mogą również próbować włamać się na serwer pocztowy. Jeśli to się powiedzie, uzyskać mogą nawet dostęp do wszystkich założonych na nim kont pocztowych.

"Mechanizm, który umożliwia z całkiem dobrym skutkiem weryfikowanie, czy nadawca listu elektronicznego jest tym, za kogo się podaje, znany jest od dawna - to podpis elektroniczny. Wśród specjalistów korzystanie z niego jest na porządku dziennym. Niestety, poza ich gronem nie uległ on upowszechnieniu" - zaznaczono na stronie CERT Polska.

CERT (Computer Emergency Response Team) Polska, działający w strukturach Naukowej i Akademickiej Sieci Komputerowej, jest zespołem powołanym do reagowania na zdarzenia naruszające bezpieczeństwo w internecie. 

PAP - Nauka w Polsce

lt/ pz/ bk/bsz