E-mail – bezpiecznie i funkcjonalnie
-
- 12.12.2018, godz. 12:04
Po co wydawać pieniądze na płatną skrzynkę e-mail, skoro jest doskonały Gmail? Przecież nawet jeśli nie odpowiada nam jego amerykański charakter, zawsze można poszukać bezpłatnej skrzynki na polskich portalach. Racja – bezpłatne konto pocztowe wystarczy, jeśli korzystamy z poczty w celach prywatnych. Biznes wymaga jednak profesjonalnych rozwiązań.
W poszukiwaniu najlepszego serwera dla swojej strony zapominamy niekiedy o ważnym aspekcie planu hostingowego: bezpiecznej i funkcjonalnej poczcie e-mail. Tymczasem hosting współdzielony to usługa, która pozwala zarówno zaznaczyć swoją obecność w globalnej sieci, jak i – w ramach jednego pakietu – udostępnia miejsce na stronę internetową oraz skrzynki poczty elektronicznej we własnej domenie.
Komercyjna poczta to brak reklam, możliwość założenia skrzynek pocztowych wszystkim pracownikom we własnej domenie internetowej oraz funkcje zarządzania z centralnego panelu administratora. Usługi poczty dostarczane są w ramach standardowych planów hostingowych. Google oferuje narzędzia komunikacyjne dla firm w pakiecie G Suite.
Oto przykładowe oferty. Nazwa.pl udostępnia w planach Active Cloud od 50 GB do 1 TB powierzchni serwera, z czego 50% można wykorzystać na stronę, a drugie 50% dowolnie na bazy danych i skrzynki poczty e-mail. Wielu dostawców hostingu umożliwia swobodny podział przestrzeni dyskowej serwera między poszczególne usługi hostingowe, w tym witryny internetowe, bazy danych, pocztę i FTP.
W nazwa.pl istnieje dedykowana oferta usług pocztowych Mail Cloud. Osoba prywatna może zamówić pojedyncze konto. Dla firm dostawca ten przygotował pakiety Biznes i Pro z dowolną liczbą skrzynek e-mail do limitu pojemności serwera
Problem w tym, że ilość dostępnego miejsca w pakietach hostingowych opartych na dyskach SSD wynosi z reguły od 40 do 100 GB, a to zdecydowanie za mało, aby udostępnić duże skrzynki wszystkim pracownikom. Tu ze swoim pomysłem wychodzi zenbox.pl. W cenie pakietów hostingowych dostawca udostępnia nielimitowaną liczbę skrzynek e-mail o pojemności 5 GB każda. Jeśli intensywnie korzystasz z poczty z dostępem przez IMAP, możesz rozszerzyć dostępną przestrzeń nawet do 1 TB i tym samym zyskać kontrolę nad rozmiarem pojedynczego konta. Do wyboru jest pięć paczek pocztowych w cenie od 12,20 zł miesięcznie: Mini poczta 50 GB, Duża poczta 100 GB, Wielka poczta 200 GB, Ogromna poczta 500 GB oraz Poczta 1 TB. Kto da więcej?
W zenbox.pl standardowa wielkość skrzynki e-mail to 5 GB. Bardziej wymagający użytkownicy mogą zamówić dodatkową przestrzeń na pocztę i podzielić ją między skrzynki wszystkich pracowników
W poszukiwaniu niestandardowych rozwiązań warto zajrzeć do chmury Azure. Exchange Online, dostępna również w ramach pakietów Office 365, to usługa poczty e-mail klasy korporacyjnej z dostępem przez IMAP i webowego klienta Outlook, możliwością współdzielenia kalendarzy w celu planowania spotkań, rezerwacji zasobów np. salek konferencyjnych oraz korzystania z globalnej listy adresowej.
Funkcjonalność poczty
Jeden hosting to wiele możliwości. Do typowego konta w hostingu możesz przypisać, albo inaczej – przypiąć, dowolną liczbę domen zewnętrznych i domen obsługiwanych przez tego samego dostawcę hostingu, aby do maksimum wykorzystać udostępnione zasoby serwera sieci web. Oznacza to, że na tym samym serwerze możesz uruchamiać kilka stron internetowych, ale także obsługiwać pocztę w wielu różnych domenach jednocześnie.
Standardem wśród dostawców hostingu stała się możliwość dodania kont e-mail o tej samej nazwie np. [email protected], [email protected] itd., z których każde przypisane jest do różnych domen i obsługiwanych jako samodzielne skrzynki pocztowe. W nazwa.pl funkcja ta nazywa się Niezależne konta pocztowe. Home.pl do opisania tego samego posługuje się zaś nazwą Multipoczta. Mechanizm ten okazuje się być szczególnie przydatny, gdy uruchamiamy wiele serwisów albo obsługujemy więcej niż jedną firmę na tym samym hostingu jednocześnie.
I odwrotnie – administrator może utworzyć skrzynkę e-mail i przypisać ją do wszystkich domen dodanych do serwera. W ten sposób pracownik posługujący się adresem biuro@ może na swoją pojedynczą skrzynkę dostawać całą korespondencję zaadresowaną do różnych domen. W przypadku obsługi wielu firm, marek, sklepów, blogów przez jedną osobę podejście to okazuje się nie do przecenienia.
Jest jeszcze inny sposób na zaadresowanie potrzeby posługiwania się wieloma adresami (nazwami) poczty elektronicznej. Alias to inna nazwa konta e-mail. To stosunkowo prosty mechanizm, dzięki któremu pracownik jan.kowalski@, jeśli oczywiście mu tak wygodnie, może posługiwać się nazwami janek@, prezes@ itd. W rezultacie cała poczta skierowana na dowolny z tych adresów trafi na jego główne konto e-mail skonfigurowane na komputerze albo w aplikacji mobilnej.
Funkcja catch-all służy do przechwytywania źle zaadresowanej poczty w domenie użytkownika, która następnie jest przekazywana na wcześniej ustaloną skrzynkę e-mail. Wszystko po to, aby nie stracić żadnej wiadomości, która została wysłana na nieistniejące konto albo nadawca popełnił literówkę w nazwie skrzynki np. biuuro@. Oczywiście wymaga to wyznaczenia osoby, która będzie obsługiwała konto typu catch-all i w momencie odnalezienia wartościowej korespondencji przekaże ją do właściwego adresata. Problem w tym, że na tego typu konta zbiorcze z czasem zaczyna wpadać sporo spamu, a odsianie od źle zaadresowanych e-maili staje się coraz trudniejsze.
Krzysztof Cebrat, prezes zarządu nazwa.pl
Poczta email to dziś podstawa każdego, nawet najmniejszego biznesu, a jej prawidłowe funkcjonowanie to kluczowy element w codziennym działaniu firmy. Dostępność, bezpieczeństwo i łatwość obsługi to parametry, które każda poczta firmowa powinna spełniać.
Dostępność
Bezpieczeństwo w kontekście dostępności do usług to kluczowa rzecz z punktu prowadzenia biznesu. Nazwa.pl posiada unikalne rozwiązanie zapewniające maksymalną ochronę przedsiębiorców. W ramach świadczonych usług firma zapewnia kompleksową ochronę, poczynając od zaawansowanej ochrony DDoS i rozproszonych serwerów DNS Anycast, kończąc na najnowszych rozwiązaniach z zakresu wirtualizacji zasobów. Wszystkie usługi pocztowe realizowane są w technologii chmury, uniezależniając ich dostępność i działanie od funkcjonowania fizycznych serwerów. Dzięki temu fizyczna awaria sprzętu lub prace konserwacyjne nie mają wpływu na ciągłość dostępu do usługi. Dodatkowo kopia zapasowa poczty w nazwa.pl wykonywana jest do niezależnego Data Center, zapewniając możliwość niezależnego odzyskania danych.
Bezpieczeństwo
Klienci korzystający z poczty w nazwa.pl na poziomie systemowym są chronieni poprzez zaawansowane programy antywirusowe i antyspamowe. Dzięki temu ich konta pocztowe są maksymalnie zabezpieczone przed SPAM-em oraz niebezpiecznym oprogramowaniem rozsyłanym przez przestępców przy pomocy poczty email. Jednak to nie jedyny poziom zabezpieczeń. Poczta email często wykorzystywana jest do przestępstw phishingowych i dlatego tak ważna jest ochrona komunikacji mailowej powiązana z domeną. Nazwa.pl jest liderem w technologiach zapewniających bezpieczeństwo usług internetowych, dostarczając je na rynek poprzez kompleksowe wykorzystanie najnowszych zabezpieczeń. Dzięki pakietowi Bezpieczna Domena każdy, kto korzysta z poczty, a którego domena jest w nazwa.pl, posiada pełen pakiet zabezpieczeń, poczynając od certyfikatu nazwaSSL DV, poprzez protokół DNSSEC chroniący przed phishingiem oraz protokół SPF zabezpieczający serwery SMTP przed przyjmowaniem poczty z niedozwolonych źródeł. Wszystko po to, aby użytkownik otrzymywał bezpieczne wiadomości email.
Łatwość obsługi
Proste zarządzanie systemem pocztowym to także element wpływający na jakość świadczonych usług pocztowych. Bezpieczeństwo korzystania z poczty przy pomocy klienta webowego musi iść w parze z wygodną obsługą całego systemu. Usługa poczty w nazwa.pl spełnia zarówno wymogi bezpieczeństwa, jak i mobilności, zapewniając klientom nazwa.pl dostęp do nowoczesnej i bezpiecznej usługi pocztowej
Bezpieczna poczta
Dawniej „otwarte” serwery poczty były powszechnie używane do rozsyłania spamu. Do czasu, aż dostawcy usług zaczęli wymuszać dodatkową autoryzację nadawcy przed wysłaniem wiadomości. Chodzi o to, aby tylko użytkownicy posiadający konto na danym serwerze, mogli wysyłać za jego pośrednictwem pocztę e-mail.
Mechanizm autoryzacji SMTP, nazywany również antyoszustem, wymusza na użytkowniku dokonania uwierzytelnienia przed wysłaniem wiadomości. W tym celu najczęściej używa się tych samych poświadczeń (nazwa i hasło) co w przypadku odbierania poczty w programie pocztowych albo logowania się do webmaila. W Outlooku odbywa się to w ustawieniach konta POP i IMAP, w sekcji Więcej ustawień | Serwer wychodzący. Na większości serwerów autoryzacja SMTP jest obowiązkowa. Pominięcie autoryzacji doprowadzi do sytuacji, w której próba wysłania wiadomości zakończy się komunikatem błędu z informacją o odrzuceniu jej przez serwer.
W momencie odbierania i wysyłania poczty w protokołach POP3, IMAP i SMTP program pocztowy przekazuje do serwera nazwę użytkownika oraz hasło do konta. Dzięki zastosowaniu mechanizmu SSL poświadczenia te przesyłane są w formie zaszyfrowanej, a więc chronione przed ujawnieniem w momencie przechwycenia przez atakującego lub programy szpiegujące. Co więcej, szyfrowanie SSL zabezpiecza również treść korespondencji przed odczytaniem przez osoby postronne.
Włączenie autoryzacji SMTP w programie Outlook wymaga wejścia w ustawienia zaawansowane
Korzystanie z szyfrowania SSL na serwerach dostawców hostingu wymaga jedynie właściwej konfiguracji konta w programie pocztowym takim jak Microsoft Outlook, Thunderbird czy The Bat!. W Outlooku robi się to w ustawieniach zaawansowanych poprzez zaznaczenie opcji Ten serwer wymaga zaszyfrowanego połączenia (SSL/TLS) dla sekcji POP3/IMAP oraz Użyj połączenia szyfrowanego następującego typu: SSL/TLS (wybrani dostawcy obsługują również metodę STARTTLS). Konieczne jest również ustawienie portów dla ww. usług w wersji szyfrowanej.
Powszechnie przyjęto, że w obsłudze połączeń SSL stosowane są dedykowane numery portów: 995 dla POP3, 993 dla IMAP oraz 465 lub 587 dla SMTP. Ten ostatni zależy od dostawcy serwera poczty. Zdecydowanie odradzamy dalsze korzystanie z dostępu do poczty przez nieszyfrowane protokoły POP3 (domyślnie port 110) oraz IMAP (143). Port 25 dla usługi SMTP, z uwagi na masowe rozsyłanie spamu, jest domyślnie blokowany przez większość dostawców internetu. Aby uniknąć problemów, nie powinno się go dłużej używać w programach pocztowych, nawet jeśli dostawca hostingu obsługuje wysyłanie wiadomości przez port 25.
Co warte odnotowania, korzystanie z bezpiecznej połączeń SSL nie wymaga zakupu certyfikatu SSL. Do obsługi połączeń między programami pocztowym użytkowników a serwerem wykorzystywany jest certyfikat dostawcy hostingu.
POP3 vs. IMAP
W firmach, w których e-mail stanowi podstawowe narzędzie komunikacji, dedykowany program pocztowy zainstalowany na komputerze lub w aplikacji mobilnej na smartfonie na dłuższą metę okazuje się być znacznie wygodniejszy niż dostęp do poczty przez przeglądarkę internetową. Nawet jeśli konfigurację skrzynki przeprowadzi lokalny informatyk, i tak warto wiedzieć, czym różni się dostęp do poczty przez POP3 od IMAP.
POP3 oraz IMAP to dwa protokoły sieciowe, które mają to samo przeznaczenie: zapewniają dostęp do skrzynek poczty e-mail, ale sposób ich działania jest istotnie różny.
POP3 (Post Office Protocol 3) umożliwia pobieranie nieprzeczytanych wiadomości wraz z załącznikami do programu pocztowego na komputerze użytkownika. Czytanie korespondencji i organizowanie jej w folderach nie wymaga już połączenia z internetem. W zależności od konfiguracji programu pobrane wiadomości mogą być usuwane z serwera od razu lub po upływie określonego czasu, z reguły ustalonego na 14 dni. Nic strasznego, przecież kopia e-maili pozostaje na komputerze. Alternatywnie istnieje możliwość pozostawienia wiadomości na serwerze i ponownego ich pobrania na innych urządzeniach, ale w takich scenariuszach zdecydowanie lepiej radzi sobie IMAP.
Protokół IMAP (Internet Message Access Protocol) zapewnia dostęp do zawartości poczty na serwerze pocztowym. W porównaniu z POP3, który pobiera korespondencję na lokalne urządzenie użytkownika, w przypadku IMAP praca z pocztą odbywa się na serwerze. Program pocztowy synchronizuje nagłówki wiadomości, podczas gdy ich treść i załączniki pobierane są w momencie otwarcia danego e-maila. Zawartość skrzynki programu pocztowego jest synchronizowana z kontem na serwerze, dzięki czemu użytkownik ma dostęp do całej swojej korespondencji na każdym z używanych urządzeń, którym może być komputer, smartfon lub tablet albo dowolny inny webmail.
Włączenie autoryzacji SMTP w programie Outlook wymaga wejścia w ustawienia zaawansowane
Synchronizacja dotyczy również poczty wysłanej (tego w POP3 nie uświadczymy), tworzonych folderów oraz kasowanych wiadomości. Usunięcie e-maila w programie pocztowym prowadzi do jej skasowania również na serwerze.
Co wybrać? Jeszcze nie tak dawno dostawcy hostingu zapewniali dostęp do poczty wyłącznie przez POP3. Dzisiaj trudno już znaleźć skrzynkę bez obsługi IMAP. Jeśli potrzebujesz mieć dostęp do e-maila na dowolnym urządzeniu IMAP wydaje się być jedynym słusznym rozwiązaniem. Tym bardziej że pojemność konta nie powinna nikogo ograniczać, a cała korespondencję lepiej trzymać na serwerze. Pod warunkiem że dostawca hostingu zapewnia mu niezły backup.
Systemy SPF i DKIM
Jeśli wysyłasz sporo automatycznych maili, np. w celach obsługi zamówień w sklepie internetowym, albo prowadzisz działania marketingowe, np. związane z wysyłką newsletterów sprawa reputacji domeny jest priorytetowa. Podstawowym działaniem w tym kierunku może być wdrożenie rekordów SPF i DKIM, które warte są używania na każdym serwerze poczty, również takim, który wykorzystywany jest wyłącznie do obsługi służbowej poczty. Oba mechanizmy mają szczególne znaczenie w zewnętrznych systemach e-mail marketingu. Dobrą praktyką jest wysyłka newsletterów, ankiet, ofert reklamowych i innej masowej korespondencji z domeny klientów. Wdrożenie mechanizmów SPF i DKIM pozwala lepiej zadbać o dostarczalność poczty, a więc o to, aby korespondencja dotarła do skrzynek odbiorcy bez oznaczenia jako spam.
SPF (Sender Policy Framework) to mechanizm szeroko wykorzystany w systemach antyspamowych do zabezpieczania serwerów pocztowych (SMTP) przed przyjmowaniem poczty z niedozwolonych źródeł. W momencie otrzymania wiadomości serwer odbiorcy sprawdza w systemie DNS, czy host nadawcy jest uprawniony do przekazywania korespondencji dla danej domeny.
DKIM (DomainKeys Identified Mail) został zaprojektowany w tym samym celu co SPF, czyli potwierdzenia, że nadawcą jest właściciel adresu e-mail w danej domenie, a nie osoba, która się pod niego podszywa. DKIM opiera się na mechanizmach kryptografii klucza publicznego. Serwer nadawcy dodaje do nagłówka wiadomości sygnaturę, która po rozkodowaniu przez serwer odbiorcy służy do potwierdzenia źródła pochodzenia korespondencji. DKIM wymaga dwóch kluczy: prywatnego oraz publicznego. Tajny klucz prywatny generowany jest na serwerze nadawcy i używany do tworzenia szyfrowanej sygnatury dołączanej do nagłówka wychodzących wiadomości. Klucz publiczny publikowany jest w formie rekordu TXT w systemie DNS w celu odszyfrowania nagłówka w momencie nadejścia wiadomości do serwera docelowego.
Innymi słowy: SPF porównuje adres serwera nadawcy z listą hostów wskazanych jako uprawnione do przesyłania wiadomości dla danej domeny. Z kolei DKIM dodaje sygnaturę wiadomości, potwierdzając dodatkowo integralność otrzymanej wiadomości, a więc fakt, że została ona dostarczona do adresata bez modyfikacji. Najlepsze efekty uzyskamy, stosując oba rekordy stosowane są jednocześnie, zapobiegając w ten sposób szeregu typu atakom związanych z podszywaniem (spoofing) się pod serwer nadawcy i próbom rozesłania poprawnie podpisanej techniką DKIM wiadomości. Oczywiście, DKIM nie zastępuje mechanizmów potwierdzania tożsamości nadawcy dla odbiorcy końcowego wiadomości. Tutaj nadal stosuje się techniki oparte na certyfikatach cyfrowych albo PGP.
Mechanizmy SPF oraz DKIM wprowadzają dodatkową warstwę ochrony poczty elektronicznej poprzez uwierzytelnienie źródła jej pochodzenia. Problem w tym, że żaden z nich nie definiuje wprost, co zrobić z wiadomością, która nie przeszła weryfikacji. Tu z pomocą przychodzi kolejny mechanizm DMARC, który pozwala administratorowi zdefiniować politykę, w jaki sposób druga strona (odbiorca) powinna odnieść się do wyników działania SPF i DKIM w przypadku niepoprawnej weryfikacji nadawcy albo awarii. Co więcej, DMARC umożliwia również śledzenie działania SPF i DKIM na serwerze, w tym wykrywania różnego rodzaju anomalii oraz wiadomości, które nie zostały podpisane albo zostały sfałszowane.
Ustawianie rekordów DNS
W zenbox.pl rekordy SPF, DKIM oraz DMARC generowane są standardowo przy dodawaniu domeny do panelu. Na serwerze tworzona jest unikalna para kluczy DKIM używanych do podpisywania oraz weryfikacji całej poczty wychodzącej klienta. Rekord DMARC wypełniany jest domyślnymi wartościami zgodnie z polityką ustaloną przez zenbox.pl. U innych dostawców wygląda to różnie, a mechanizmy DKIM i DMARC nie zawsze są przez nich obsługiwane.
Warte zapamiętania jest to, że konfiguracja rekordów SPF, DKIM i DMARC odbywa się na serwerach poczty i w systemie DNS. Użytkownicy nie muszą niczego zmieniać w swoich programach pocztowych, aby cieszyć się lepszą dostarczalnością wysyłanej poczty. Co więcej, brak tych rekordów nie oznacza wcale, że poczta nie będzie dostarczana do odbiorcy. Ich ustanowienie pozwala jednak lepiej zadbać o reputację serwera nadawcy (i jego domeny), dzięki czemu ryzyko, że wiadomość zostanie oznaczona jako spam lub potencjalny spam jest niższa.
A jak to wygląda w praktyce? Informacje SPF, DKIM i DMARC przechowywane są w systemie DNS i przyjmują postać rekordu typu TXT dla domeny. W celu zdefiniowania rekordu SPF możesz posłużyć się dokumentacją udostępnioną przez dostawcę hostingu i/lub usług e-mail marketingu. W sieci znajdziesz też wiele generatorów SPF, np. spfwizard.net i marcinmazurek.com.pl/generator-rekordow-spf-dns. Przykładowy wpis może przyjmować postać:
"v=spf1 mx include:_spf.freshmail.pl -all"
Powyższy wpis jest odpowiedni, jeśli zamierzasz wysyłać pocztę z serwerów dostawcy hostingu zdefiniowanych rekordem MX oraz rozsyłać mailingi z własnej domeny w usłudze Freshmail.pl (to przykład). Ostatni parametr pozwala zdefiniować politykę stosowania reguły SPF. Wartość -all (fail) przekazuje drugiej stronie informację, że wszystkie serwery niewymienione na liście SPF należy uznać za nieautoryzowane do przekazywania poczty w imieniu tej domeny, a poczta od nich powinna zostać odrzucona.
Zarządzanie pocztą w hostingu odbywa się z poziomu wygodnego panelu administratora. Na ilustracji dodawanie nowego konta w panelu zenbox.pl
Analogicznie do SPF rekordy DKIM i DMARC również definiowane są w systemie DNS w formie rekordu TXT. W przypadku DKIM konieczne jest sięgnięcie do dokumentacji dostawcy hostingu jak skonfigurować ten mechanizm na swoim serwerze poczty. Z kolei rekord DMARC przyjmuje szereg argumentów pozwalających określić polityki obchodzenia się z wysyłaną korespondencją, w tym procent wiadomości poddawanych filtrowaniu albo sposób dostarczania raportów na temat działania SPF i DKIM na serwerze.
Warto pamiętać, że nieprawidłowe wdrożenie DMARC może sparaliżować działanie poczty w firmie. Wdrożenie należy prowadzić stopniowo, śledząc poprawność podpisywania wiadomości DKIM na serwerze. Zaczynamy od włączenia trybu monitorowania (zasada none), następnie przechodząc do umieszczania nieprawidłowo zweryfikowanych wiadomości w kwarantannie, po definitywne odrzucanie korespondencji, która nie została prawidłowo podpisana przez DKIM.
