Levelezők vizsgálata
A német Szövetségi Információbiztonsági Hivatal (Bundesamt für Sicherheit in der Informationstechnik – BSI) átfogóan letesztelte a legfontosabb, széles körben használt e-mail-programokat, hogy felmérje, mennyire képesek biztonságosan kezelni elektronikus levelezést, védelmet nyújtani az adatok és hitelesítési információk megőrzésére, illetve mennyire hatékonyan akadályozzák meg a káros tartalmak, például phishing- vagy spam-levelek, elterjedését a felhasználók postaládáiban. A vizsgálatba olyan kliensprogramok kerültek be, amelyeket Németországban gyakran használnak, például az Apple Mail, Gmail-hez kapcsolódó kliensek, Proton Mail, Thunderbird és más ingyenesen elérhető megoldások.
A teszt célja az volt, hogy kiderüljön, ezek a kliensek milyen támogatást nyújtanak a biztonságos kapcsolathoz és adathozzáféréshez, létre tudnak-e hozni titkosított kapcsolatokat a szerverrel (TLS), támogatnak-e end-to-endtitkosítást olyan protokollokkal, mint az OpenPGP vagy S/MIME, képesek-e spam- és phishing-szűrésre, illetve biztonságosan tárolnak-e belépési adatokat. A vizsgálat többek között azt is megnézte, hogy az e-mail-kliensek mennyire védenek a rejtett követőkódokkal vagy tracking-pixelekkel szemben, amelyek gyakran adatgyűjtésre és azonosító információk kinyerésére szolgálnak.
A BSI megállapítása az volt, hogy az ellenőrzött szoftverek általánosságban elfogadható szinten képesek biztonságos e-mail-kezelést biztosítani. A programok túlnyomó többsége támogatja a szerverrel való titkosított kommunikációt, és alapvető spam- és phishing-védelmi funkciókat is tartalmaz. Ez azt jelenti, hogy a felhasználók — megfelelő konfiguráció esetén — lényegesen kisebb eséllyel eshetnek áldozatul olyan támadásoknak, amelyek e-mailen keresztül próbálnak személyes adatokat vagy jelszavakat kicsalni. A vizsgálat tehát azt tükrözi, hogy a jelenlegi, népszerű e-mail-kliensek nem rendelkeznek feltűnően súlyos hiányosságokkal a vizsgált biztonsági kritériumokban.
Ugyanakkor a BSI korábbi, szélesebb körű e-mail-biztonsági kezdeményezéseiből az is kiderül, hogy a teljes e-mail-ökoszisztéma még mindig komoly kihívásokkal néz szembe, a technikai szabványok, mint például az e-mail hitelesítési protokollok (SPF, DKIM, DMARC) és a szerver-oldali biztonsági intézkedések megvalósítása nem minden szolgáltatónál egységes vagy kiterjedt. Ennek következtében egyes területeken még mindig jelentős a phishing-kockázat vagy a hitelesített levelek hamisítása, amelyek elől a végfelhasználói kliens védelme önmagában nem mindig elégséges.
A BSI továbbra is ösztönzi a szolgáltatókat és az eszközfejlesztőket, hogy erősítsék a biztonsági beállításokat és automatizálják a védekezést, például könnyen használható titkosítást és biztonságos hitelesítést kínálva. Emellett eszközöket, például az általa fejlesztett E-Mail-Checker, is biztosít, amellyel a felhasználók ellenőrizhetik, hogy az e-mail-szolgáltatójuk megfelelően titkosítja-e és védi-e az üzeneteket.
