Sisältöön

Huijausviestien esto - SecMeter

Ohita valikko
Ohita valikko

Huijausviestien esto

Yritysturvallisuus > Kyberturvallisuus
Ohita valikko
Huijausviestien esto



Sähköpostihuijaukset ovat yksi yleisimmistä kyberrikollisuuden muodoista. Ne voivat kohdistua yksittäisiin työntekijöihin, asiakaskuntaan tai jopa koko yrityksen maineeseen. Huijausviestit, kuten spoofing (lähettäjäosoitteen väärentäminen) ja phishing (tietojen kalastelu), voivat johtaa vakaviin seurauksiin, kuten:

  • luottamuksellisten tietojen vuotamiseen,
  • taloudellisiin menetyksiin,
  • yrityksen maineen pysyvään vahingoittumiseen.

Koska sähköpostin rakenne on lähtökohtaisesti avoin ja mahdollistaa viestin lähettämisen miltä tahansa osoitteelta, tarvitaan erityisiä todennusmenetelmiä ja käytäntöjä viestien väärentämisen estämiseksi.

Tehokkaimmat tekniset keinot tähän ovat SPF, DKIM ja DMARC -protokollat, jotka yhdessä mahdollistavat viestien alkuperän ja eheyden varmentamisen. Yrityksen tulee varmistaa, että kaikki kolme on otettu käyttöön ja konfiguroitu oikein, jotta huijausten riski voidaan minimoida ja viestinnän turvallisuus säilyttää.

Huijausviestien torjunta on jatkuva prosessi, joka vaatii teknisiä ratkaisuja, selkeitä toimintamalleja ja koko henkilöstön sitoutumista. Kun SPF-, DKIM- ja DMARC-tietueet ovat käytössä oikein ja vastuuhenkilöt nimetty, yritys voi merkittävästi vähentää huijausviestien riskiä sekä suojata omaa mainettaan ja asiakkaitaan.
DMARC, SPF ja DKIM sähköpostin huijausvastaiset toimenpiteet
Sähköpostiviestintä on yksi tärkeimmistä viestinnän muodoista sekä yksityishenkilöiden että organisaatioiden keskuudessa. Samalla se on kuitenkin myös yleinen kohde huijausyrityksille, kuten phishing- ja spoofing-hyökkäyksille, joissa viestit näyttävät tulevan luotetulta taholta, vaikka ne todellisuudessa ovat huijareiden lähettämiä.

Näiden riskien vähentämiseksi on kehitetty kolme keskeistä todennusmenetelmää, jotka ovat SPF, DKIM ja DMARC. Ne toimivat yhdessä muodostaen tehokkaan suojan sähköpostin väärentämistä vastaan.

SPF (Sender Policy Framework)
SPF:n tarkoituksena on varmistaa, että sähköpostin lähettävä palvelin on valtuutettu toimimaan kyseisen domainin nimissä. Tämä saavutetaan lisäämällä domainin DNS-tietueisiin lista hyväksytyistä IP-osoitteista ja palvelimista, jotka saavat lähettää sähköpostia kyseisestä osoitteesta.

Kun vastaanottava palvelin saa viestin, se tarkistaa lähettäjän domainin SPF-tietueen. Jos lähettävä palvelin ei ole listalla, viesti voidaan hylätä tai merkitä epäilyttäväksi. SPF suojaa erityisesti lähettäjäosoitteen väärentämiseltä, mutta ei yksin riitä estämään kaikkia huijauksia.

Domainin DNS-tietueeseen lisätään SPF-tietue, jossa määritellään sallitut sähköpostipalvelimet (IP-osoitteet tai domainit). Esimerkki SPF-tietueesta DNS:ssä:

v=spf1 include:_spf.google.com ~all

DKIM (DomainKeys Identified Mail)
DKIM lisää sähköpostiin digitaalisen allekirjoituksen, joka varmistaa, ettei viestin sisältöä ole muutettu matkalla lähettäjältä vastaanottajalle. Lähettävä palvelin allekirjoittaa viestin yksityisellä avaimella, ja vastaanottava palvelin tarkistaa allekirjoituksen julkisen avaimen avulla, joka on tallennettu lähettäjän DNS-tietueisiin.

Jos viestin sisältö on muuttunut matkan aikana, allekirjoitus ei täsmää, ja viesti voidaan merkitä epäluotettavaksi. DKIM suojaa viestien eheyttä ja lisää vastaanottajan luottamusta viestin alkuperään.

Miten DKIM toimii teknisesti

Avainten luonti
Lähettävän sähköpostipalvelimen ylläpitäjä luo julkisen ja yksityisen avaimen parin:

  • Yksityinen avain jää vain palvelimen käyttöön.
  • Julkinen avain julkaistaan lähettäjän domainin DNS-tietueessa (TXT-tietue).

Viestin allekirjoitus (lähetysvaiheessa)
Kun sähköposti lähetetään, palvelin ottaa viestin tietyt osat (yleensä otsikot ja rungon), laskee niistä kryptografisen tiivisteen (hash), ja allekirjoittaa sen yksityisellä avaimella.

  • Allekirjoitus lisätään viestin otsikkoon kenttään DKIM-Signature.
  • Allekirjoituksen tarkistus tehdään vastaanottajan päässä.
  • Vastaanottava palvelin hakee DNS:stä lähettäjän julkisen avaimen, purkaa allekirjoituksen ja vertaa sitä viestin tiivisteeseen.
  • Jos ne täsmäävät, viesti on ehjä ja allekirjoitus kelpaa.

DKIM ei tarvitse koodausta loppukäyttäjän tasolla. Useimmat sähköpostipalvelut (Google Workspace, Microsoft 365, cPanel) luovat ja hallitsevat DKIM-avaimia automaattisesti, kun DKIM otetaan käyttöön hallintapaneelista.

Jos yritys käyttää omaa sähköpostipalvelinta on asennettava DKIM-ohjelmisto (esim. OpenDKIM), konfiguroida asetukset ja lisätä oikeat DNS-tietueet. Tämä on teknisesti “koodausta” siinä mielessä, että joudutaan muokkaamaan asetustiedostoja ja joskus integroimaan kirjastokoodia, jos sähköpostia lähetetään ohjelmallisesti.

DMARC (Domain-based Message Authentication, Reporting, and Conformance)
DMARC toimii eräänlaisena koordinoijana SPF:n ja DKIM:n välillä. Sen avulla domainin omistaja voi määrittää, miten vastaanottavat palvelimet käsittelevät viestejä, jotka eivät läpäise SPF- ja/tai DKIM-tarkistuksia.

DMARC-tietue sisältää myös ohjeet raportointiin, jolloin domainin omistaja voi saada tietoa epäonnistuneista todennuksista ja mahdollisista väärinkäytöksistä. DMARC voi esimerkiksi määrätä, että epäonnistuneet viestit hylätään suoraan tai ohjataan roskapostikansioon.

DMARC-tietue lisätään domainin DNS:ään. Se kertoo vastaanottaville palvelimille:

  • Tarkistetaanko SPF ja DKIM.
  • Mitä tehdään, jos ne epäonnistuvat (esim. hylätään viesti, merkitään roskapostiksi tai hyväksytään silti).
  • Minne lähetetään raportit epäonnistuneista viesteistä.

Esimerkki DMARC-tietueesta DNS:ssä:

v=DMARC1; p=reject; rua=mailto:dmarc-raportit@esimerkki.fi; ruf=mailto:dmarc-forensics@secmeter.com; adkim=s; aspf=s

Menetelmät toimivat yhteistyössä
SPF, DKIM ja DMARC täydentävät toisiaan. SPF tarkistaa lähettäjän palvelimen, DKIM varmistaa viestin muuttumattomuuden ja DMARC yhdistää molemmat varmistaen, että sähköpostin vastaanottaja voi luottaa viestin alkuperään.

Kun nämä todennusmenetelmät on otettu käyttöön oikein, ne vähentävät merkittävästi huijaussähköpostien pääsyä perille ja suojaavat yrityksen mainetta.

Havainnollistava kaavio
Alla oleva kaavio esittää, kuinka SPF, DKIM ja DMARC toimivat yhdessä sähköpostin tarkistusprosessissa:



Yhteenveto rooleista:

  • SPF = tarkistaa mistä palvelimesta viesti lähetettiin.
  • DKIM = tarkistaa että viestiä ei ole muutettu.
  • DMARC = yhdistää SPF:n ja DKIM:n, ja kertoo mitä tehdään, jos ne eivät mene läpi.

Roolit ja vastuut yrityksessä
Huijausviestien torjunta ei ole pelkästään tekninen tehtävä, vaan koko yrityksen yhteinen vastuu. Johto luo strategisen pohjan ja varmistaa resurssit, tietoturvavastaava koordinoi kokonaisuuden, IT- ja DNS-tiimit toteuttavat tekniset ratkaisut, valvonta- ja incident-tiimit reagoivat poikkeamiin, ja viestintä sekä HR kouluttavat henkilöstöä. Kun vastuut on selkeästi jaettu ja yhteistyö toimii, yritys pystyy tehokkaasti estämään sähköpostihuijaukset ja suojaamaan sekä omaa että asiakkaidensa luottamusta.


Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön