Sähköpostin tietoturvakysymyksiä

Tässä on iso joukko kysymyksiä, jotka liittyvät sähköpostin turvallisuuteen.

  • Missä sähköpostia käytetään
    • Millaiselta laitteelta ja missä tiloissa sähköpostia käytetään?
    • Onko muita käyttäjiä?
    • Onko yhteys postilaatikolle turvallinen?
    • Entä kirjautuminen siihen?
    • Onko uudelleenohjaus?
  • Osoitteet
    • Mistä saa oikean osoitteen, ja onko se edelleen voimassa?
    • Miten postituslistaa voi ylläpitää ja säilyttää eheänä?
    • Miten oman osoitteen
      • saisi pysymään vakiona?
      • Miten siitä voi tiedottaa?
      • Kenelle tai mille palveluille osoite kannattaa kertoa?
      • Miten se säilyisi roskapostittajien ulottumattomissa?
      • Voisiko käyttää eri osoitteita eri tarkoituksiin?
  • Lähettäminen
    • Kenelle menee?
      • osoitteesta ei välttämättä tiedä (aliakset, listat)
      • keille Reply-toiminto lähettää, varsinkin jos alkuperäisenä lähettäjänä oli lista?
      • lähtevätkö automaattiset poissaoloilmoituksetkin listoille?
      • häiritseekö vastaanottajaa?
      • tuplaantuvatko joidenkuiden viestit, jos lähetetään usealle postituslistalle samalla kertaa?
    • Menikö perille? (Jos vastaaja ei kuittaa.)
    • Voiko kutsua takaisin?
    • Paljastavatko osoite, lähettäjän nimitiedot, palvelimen tai reitin tiedot lähettäjän?
    • Miten lähettäjän anonymisointi voitaisiin toteuttaa?
    • Näkyvätkö muiden vastaanottajien osoitteet yhdelle vastaanottajalle (BCC, CC)?
    • Kannattaako lähetetty viesti tallentaa itselle? (mahdollista uudelleenlähetystä varten)
  • Kuljetus, postilaatikko
    • Kuka muu näkee matkan varrella, tekeekö joku muutoksia?
    • Onko työnantajalla oikeus lukea viestejä?
    • Missä ja miten luotettava on palvelin?
    • Miten hyvin se pysyy pystyssä?
    • Voiko postilaatikkoon murtautua, hävittämään, muuttamaan, lukemaan tai lähettämään viestejä? (muuten kuin kirjautumalla)
    • Jääkö viesti kiinni suodattimiin, koon, osoitteen, salauksen, liitetiedostojen tai muun sisällön takia?
  • Vastaanottaminen
    • Keneltä viesti tulee?
    • Onko se minulle? Entä jos avasin eikä olekaan?
    • Kuinka tuore se on, milloin lähetetty? Onko ollut viivettä; miten aikavyöhyke on ilmaistu?
    • Onko kyseessä tekninen uudelleenlähetys, tai hyökkääjän tekemä?
    • Mistä osoitteesta se on tullut, voiko siihen vastata?
    • Tietääkö lähettäjä vastaanotosta?
    • Miten postituslistalta pääsee pois? Kannattaako roskapostiin vastata?
    • Miten roskaposti suodattuu, pitääkö itse tehdä jotain, voiko jotain oikeaa postia kadota?
  • Lukeminen
    • Onko viesti eheä, eli niinkö lähettäjä myös kirjoitti?
    • Mitä liitteissä on, ovatko ne myös lähettäjältä?
    • Jos liite on haitallinen, tuleeko asia havaituksi ajoissa? Jos ei tullut, mitä pitää tehdä?
    • Pystyykö viestin lukemaan -- koodaukset, html, kuvat, .... ? * Näyttääkö jo esikatselu jotain turhan aikaisin (käynnistääkö ehkä jopa viestin mukana tulleen ohjelman)? * Luetaanko viesti sellaisella ohjelmalla, joka samalla ottaa yhteyden verkkoon (ja ilmaisee osoitteen kelpoisuuden spämmerille tai lähettää kuittauksen asialliselle postittajalle)? * Kuka muu saa lukea ja missä tilanteissa? (vrt. Laki yksityisyyden suojasta työelämässä)
  • Kirjeenvaihto
    • Mitä asioita kannattaa toimittaa sähköpostilla?
    • Tarvitaanko konteksti? Vastausviestissä tai edelleenlähetetyssä voi olla automaattista merkkausta, esim. kulmasuluin. Onko se yksikäsitteistä, myös kaikille vastaanottajille?
    • Miten kielenkäytöllä voi edistää ymmärretyksi tulemista? (netiketti)
    • Millaiset nimiöt, yhteystiedot, motot yms. tarvitaan ja kenelle? Huomaako/muistaako lähettäjä aina, mitä automatiikka liittää mukaan viestiin?
    • Minkä verran kirjeenvaihtoa kannattaa arkistoida? (muutenkin kuin teknisistä syistä)
    • Miten arkisto suojataan? (työpostit -- henkilökohtaiset)
  • Turvamekanismit: salaus ja allekirjoitus. PGP, PEM, kahdenväliset tai ryhmän salausjärjestelyt
    • Jos salaus tapahtuu, missä se tehdään (eli missä viesti on salaamattomana)?
    • Onko itsellä tai vastaanottajalla käytössä tarpeellista avainta salauksen purkuun, allekirjoituksen todentamiseen
    • Vaikka avain onkin, onko siihen luottamusta?
    • Mistä kadonneen avaimen saa (oman purkuavaimen)?

Kaikkiin vastaaminen ei ole tärkeää tai edes järkevää kaikissa yhteyksissä, mutta jokainen kysymys voi tilanteesta riippuen erotella tietoturvallisen ja turvattoman vaihtoehdon.

-- JukkaKoskinen?

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Valmis
Tyyppi Ydin
Luokitus Verkko
Mitä Useita
Miltä Useita
Missä Useita
Kuka Tite-maallikko
Milloin Päivittäin
Miksi Hyvä tapa

This topic: Tietoturva > Sisällysluettelo? > SähköpostinTietoturvakysymyksiä
Topic revision: r2 - 22 Apr 2010 - 13:33:34 - MaijuLehtonen?
 
Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback