Nghiên cứu các giao thức gửi, nhận thư điện tử. Cơ chế đảm bảo an nình cho thư điện tử
Trang 1TR ƯỜNG ĐẠI HỌC S NG ĐẠI HỌC S I H C S ỌC S Ư PH M K THU T H NG YÊN ẠI HỌC S Ỹ THUẬT HƯNG YÊN ẬT HƯNG YÊN Ư
KHOA CÔNG NGH THÔNG TIN Ệ THÔNG TIN
MÔN H C: ỌC: AN TO N THÔNG TIN ÀN THÔNG TIN :
ĐỀ :
Nghiên c u các giao th c g i, nh n th i n t ứu các giao thức gửi, nhận thư điện tử ứu các giao thức gửi, nhận thư điện tử ửi, nhận thư điện tử ận thư điện tử ư điện tử điện tử ện tử ửi, nhận thư điện tử.
C ch ơ chế đảm bảo an nình cho thư điện tử ế đảm bảo an nình cho thư điện tử điện tử.ảm bảo an nình cho thư điện tử m b o an nình cho th i n t ảm bảo an nình cho thư điện tử ư điện tử điện tử ện tử ửi, nhận thư điện tử.
Giáo viên hư ng d n ớng dẫn ẫn : Nguy n Duy Tân ễn Duy Tân
Sinh viên th c hi n ực hiện ện : T ng Ho ng H ng ăng Hoàng Hưng àng Hưng ư điện tử.
L p ớng dẫn : TK6LC1
H ng Yên, tháng 12 n m 2009 ư điện tử ăng Hoàng Hưng
LỜI NÓI ĐẦU
Trang 2Email đóng một vai trò khá quan trọng trong trao đổi thông tin hàng ngày củachúng ta vì ưu điểm nhanh, rẻ và dễ sử dụng của nó Những thông điệp có thể gửi đinhanh chóng, qua Internet, đến những khách hàng, những đồng nghiệp, những nhàcung cấp và những đối tác Mà nhiều trong số những thông điệp này có thể chứa nhữngthông tin về phương diện thương mại hay những thông tin nhạy cảm Và đó chính làvấn đề.
Email rất dễ bị tổn thương bởi những Hacker Những thông điệp có thể bị đọchay bị giả mạo trước khi đến người nhận
Từ những vấn đề trên nhóm chúng em nhận đề tài về: Các giao thức gửi nhậnthư điện tử Cơ chế đảm bảo an ninh cho thư điện tử
Trong quá trình thực hiện đề tài còn nhiều sai xót Kính mong thầy giáo cùngcác bạn cho ý kiến đóng góp để đề tài của em được hoàn chỉnh hơn
Em xin chân thành cảm ơn!
NỘI DUNG TRÌNH BÀY
1 Giới thiệu tổng quát về dịch vụ E-Mail :
1.1.Thư điện tử là gì ?
1.2 Phần mềm thư điện tử (email software)
Trang 31.3 Đặc điểm của thư điện tử khi so sánh với bưu chính thông thường
1.4 Cấu trúc chung của một địa chỉ
1.5 Phương thức hoạt động của một hệ thống thư điện tử
1.6 Các giao thức
2 Các hình thức tấn công qua dịch vụ E-Mail :
2.1 Giả mạo E-mail từ nhà cung cấp dịch vụ
2.2 Gửi các E-mail chứa các mã hoặc các liên kết độc hại
2.3 Nguy hiểm từ các tệp tin đính kém
2.4 Tấn công vào E-Mail Software
3 Các giải pháp phòng chống và bảo mật cho dịch vụ E-mail :
3.1 Đối với người sử dụng :
3.1.1 Không nên chỉ sử dụng một tài khoản email
3.1.2 Không nên giữ các tài khoản bị spam quá lâu
3.1.3 Đóng trình duyệt sau khi đăng xuất
3.1.4 xóa cache trình duyệt, history và password
3.1.5.Không sử dụng các tài khoản email không an toàn để gửi và nhận các thông tin nhạy cảm
3.1.6 Nên sử dung điện thoại khi cần thiết
3.1.7.Nên sử dụng tùy chọn BCC
3.1.8 Kích nút "Reply All" một cách thích hợp
3.1.9 Không nên Spam như một kết quả của việc chuyển tiếp email
3.1.10 Tránh mắc khuyết điểm sao lưu dự phòng email
3.1.11 Truy cập di động: Không nên quá tự tin vào backup tồn tại
3.1.12 Không nên nghĩ rằng một email đã được xóa là mất vĩnh viễn
3.1.13 Không được làm ra vẻ bạn đã trúng sổ số… và các tiêu đề có mưu đồ bấtlương khác
3.1.4 Tìm cách nhận ra các tấn công giả mạo trong nội dung
3.1.15.Không gửi thông tin tài chính và cá nhân thông qua email
3.1.16 Nên đăng ký các bản tin mà bạn chưa bao giờ đăng ký
3.1.17 Không tin tưởng vào email của bạn bè
3.1.18 Lập một danh sách đen về Spam thay vì xoá Spam
3.1.19 Không nên vô hiệu hóa bộ lọc email spam
3.1.20 Tránh mắc khuyết điểm trong việc quét tất cả các đính kèm
3.1.21 không nên chia sẻ thông tin tài khoản của bạn với người khác
3.1.22 Tránh sử dụng các mật khẩu đơn giản và dễ đoán
3.1.23 Mắc khuyết điểm trong việc mã hóa email quan trọng
3.1.24 Thực hiên mã hóa kết nối không dây
3.1.25 Tránh khuyết điểm sử dụng chữ kí số
Trang 43.2 Đối với người Quản trị :
4 Một số nguyên tắc đảm bảo an toàn khi sử dụng email
5.Thực hành cấu hình bảo mật Email với chữ ký điện tử
5.1 Dùng chữ ký điện tử cho email
Trang 5Email là một phương tiện thông tin rất nhanh Một mẫu thông tin (thư từ) có thểđược gửi đi ở dạng mã hoá hay dạng thông thường và được chuyển qua các mạng máytính đặc biệt là mạng Internet Nó có thể chuyển mẫu thông tin từ một máy nguồn tớimột hay rất nhiều máy nhận trong cùng lúc.
Ngày nay, email chẳng những có thể truyền gửi được chữ, nó còn có thể truyềnđược các dạng thông tin khác như hình ảnh, âm thanh, phim, và đặc biệt các phần mềmthư điện tử kiểu mới còn có thể hiển thị các email dạng sống động tương thích với kiểutệp HTML
1.2 Phần mềm thư điện tử (email software)
Phần mềm thư điện tử : (email software) là loại phần mềm nhằm hỗ trợ chongười dùng việc chuyển và nhận các mẫu thông tin (thường là dạng chữ) Thông tin cóthể đưa vào phần mềm thư điện tử bằng cách thông dụng nhất là gõ chữ bàn phím haycách phương cách khác ít dùng hơn như là dùng máy quét hình (scanner), dùng máyghi hình số (digital camera) đặc biệt là các Web cam Phần mềm thư điện tử giúp đỡcho việc tiến hành soạn thảo, gửi, nhận, đọc, in, xoá hay lưu giữ các (điện) thư Có haitrường hợp phân biệt phần mềm thư điện tử là :
- Loại phần mềm thư điện tử được cài đặt trên từng máy tính của người dùng gọi
là email client, hay phần mềm thư điện tử (cho) máy khách Các thí dụ loại phần mềmnày bao gồm: Microsoft Outlook, Microsoft Outlook Express, Netscape Comunicator,hay Eudora Phần mềm thư điện tử này còn có tên là MUA (từ chữ mail user agent) tức
là Tác nhân sử dụng thư Một cách gọi tên thông dụng khác của email client là ứngdụng thư điện tử (email application) nếu không bị nhầm lẫn
- Ngược lại, loại phần mềm thư điện tử không cần phải cài đặt mà nó được cungứng bởi các máy chủ (web server) trên Internet gọi là WebMail, hay Phần mềm thưđiện tử qua Web Để dùng được các phần mềm loại này thường các máy tính nối vàophải có một máy truy cập tương thích với sự cung ứng của WebMail Thí dụ loại này làmail.Yahoo.com, hay hotmail.com
Nơi cung ứng phần mềm cũng như phương tiện chuyển thư điện tử gọi là nhàcung ứng dịch vụ thư điện tử (email sevice provider)
Máy tính làm việc cung ứng các dịch vụ thư điện tử là MTA (từ chữ mailtransfer agent) hay là đại lý chuyển thư Vì đây là máy chủ nên khi không bị nhầm lẫnvới các loại máy chủ khác thì người ta cũng gọi MTA là máy chủ hay rõ hơn là máychủ thư điện tử
Các dịch vu thư điện tử có thể được cung ứng miễn phí hay có lệ phí tuỳ theonhu cầu và mụch đích của ngưòi dùng Ngày nay, email thường được cung cấp kèm vớicác phương tiện Internet khi người tiêu dùng ký hợp đồng với các dịch vụ Internet mộtcách miễn phí
1.3 Đặc điểm của thư điện tử khi so sánh với bưu chính thông thường :
Trang 6Thay vì viết thư bằng giấy mực và bút thì người gửi chỉ cần gõ chữ từ bàn phímcủa máy tính và biết dùng một phần mềm thư điện tử (email program).
Lá thư được gửi trên hệ thống bưu chính là vật liệu không cần máy nhận hay máy gửi.Trong khi đó, nếu gửi thư điện tử, chỉ có các tín hiệu điện mã hoá nội dung bức thưđiện tử được truyền đi đến máy nhận Do đó, chỉ có nội dung hay cách trình bày lá thưđiện tử là được bảo toàn Trong khi đó, dùng đường bưu điện người ta có thể gửi đi cácvật liệu hàm chứa thêm nội dung hay ý nghĩa khác Điều này có thể rất quan trọng đốivới nhiều người
Vận tốc truyền thư điện tử chỉ vài giây đến vài phút và chi phí rất nhỏ khôngđáng kể so với gửi qua đường bưu điện
Dùng thư điện tử thì bất kỳ lúc nào cũng có thể mở phần mềm thư điện tử ra đọcnên tiện lợi hơn là việc phải bỏ thư ở các thùng thư Đồng thời, vì mỗi người dùng thưđều phải nhập mật khẩu vào máy nên thư điện tử sẽ khó bị người ở chung đọc lén sovới thư gửi bưu điện Nhưng ngược lại, các tay tin tặc xa lạ có thể xâm nhập vào hệthống thư điện tử của cá nhân nếu như các mật mã hay các hệ thống an toàn phần mềm
Các dạng chuyển tiếp (chain mail) trong đó người nhận lại chuyển đi nội dung lá thưcho một hay nghiều người khác thường cũng phổ biến trong cả hai hệ thống bưu chính
và thư điện tử Khả năng ảnh hưởng về thông tin của hai loại này là tương đương mặc
dù thư điện tử chuyển tiếp có nhiều xác suất gây nhiễm virus máy tính
Hộp thư là nơi cất giữ các thư từ với địa chỉ hẳn hoi Tương tự, trong hệ thốngthư điện tử, thì hộp thư này tương đương với phần dữ liệu chứa nội dung các emailcộng vói điạ chỉ của người chủ thư điện tử Điểm khác biệt ở đây là hộp thư điện tử sẽ
có nhiều chức năng hơn là việc xoá bỏ các thư cũ
Trang 7Mỗi người có thể có một hay nhiều địa chỉ email (và phải được đăng ký qua một
hệ thống nào đó) Mỗi hộp thư sẽ có một địa chỉ phân biệt không bao giờ trùng với địachỉ email khác
Như vậy có thể hoàn toàn không nhầm lẫn khi dùng danh từ hộp thư điện tử hayhòm thư điện tử (email account) để chỉ một phần mềm email đã được đăng kí dùng đểnhận và gửi email cho một cá nhân
1.4 Cấu trúc chung của một địa chỉ email :
Một địa chỉ email sẽ bao gồm ba phần chính có dạng: Tên_định_dạng_thêm tên_email@tên_miền
Phần tên_định_dạng_thêm: Đây là một dạng tên để cho người đọc có thể dễ
dàng nhận ra người gửi hay nơi gửi Tuy nhiên, trong các thư điện tử người ta có thểkhông cần cho tên định dạng và lá thư điện tử vẫn được gửi đi đúng nơi Thí dụ: Trongđịa chỉ gửi thư tới viết dưới dạng Nguyễn Thị A nguyenthia@yahoo.com hay viết dướidạng nguyenthia@yahoo.com thì phần mềm thư điện tử vẫn hoạt động chính xác vàgửi đi đến đúng địa chỉ
Phần tên_email: Đây là phần xác định hộp thư Thông thường, cho dễ nhớ,
phần này hay mang tên của người chủ ghép với một vài kí tự đặc biệt Phần tên nàythường do người đăng kí hộp thư điện tử đặt ra Phần này còn được gọi là phần tên địaphương
Phần tên_miền: Đây là tên miền của nơi cung cấp dịch vụ thư điện tử Ngay sau
phần tên_email bắt đầu bằng chữ "@" nối liền sau đó là tên miền
1.5 Phương thức hoạt động của một hệ thống thư điện tử :
Hoạt động của hệ thống email hiện nay có thể dược minh họa qua phân tích mộtthí dụ như sau :
Nguyễn dùng MUA của mình để soạn một lá thư có địa chỉ người nhận là Trần với địachỉ là Tran@b.org Nguyễn nhấn nút Send và phần mềm thư điện tử của Nguyễn ápdụng SMPT để gửi mẫu thông tin (lá thư) đến MTA, hay máy chủ thư điện tử, củaNguyễn Trong thí dụ thì máy chủ này là smtp.a.org được cung cấp từ dịch vụ Internetcủa Nguyễn
MTA này sẽ đọc địa chỉ chỗ nhận (tran@b.org) và dựa vào phần tên miền nó sẽ tìm hỏiđịa chỉ của tên miền này, nơi có máy chủ sẽ nhận email gửi đến, qua Hệ thống Tênmiền
Máy chủ DNS của b.org là ns.b.org sẽ trả lời về một bản ghi trao đổi thư từ, đây làbảng ghi chỉ ra cách thức làm thế nào định tuyến cho email này Trong thí dụ thìmx.b.org là máy chủ từ dịch vụ cung ứng Internet của Trần
smtp.a.org gửi mẫu thông tin tới mx.b.org dùng giao thức SMTP, điều này sẽ phânphối lá thư đến hộp thư của Trần
Trang 8Khi đọc Trần ra lệnh nhận thư trên máy (MUA) của Trần, điều này tạo ra việc lấy vềmẫu thông tin bằng cách áp dụng giao thức POP3.
Trong trường hợp Nguyễn không có MUA mà chỉ dùng Webmail chẳng hạn thì bước 1
sẽ không xảy ra tức là MTA của Nguyễn sẽ làm việc trực tiếp Tưong tự cho trườnghợp Trần không có MUA riêng
Trước đây, nếu một MTA không thể gửi tới đích thì nó có thể ít nhất ngừng lại ởchỗ gần với chỗ nhận Sự ngừng này sẽ tạo cơ hội để máy đích có thể nhận về các mẫuthông tin trong thời gian trễ hơn Nhiều MTA sẽ chấp nhận tất cả mẫu thông tin từngười gửi bất kì và tìm mọi cách để phân nó về đến máy đích Những MTA như vậygọi là những ngưng đọng thư mở (open mail relays) Điều này khá cần thiết vì sự chấtlượng liên lạc của hệ thống Internet lúc đó còn yếu
Ngày nay, do việc lợi dụng trên cơ chế hoạt động của hệ thống thư điện tử nhiềungười đã gửi ra các loại thư vô bổ Như là hậu quả, rất ít MTA ngày nay còn chấp nhậncác ngưng đọng thư mở Bởi vì các thư như vậy rất có thể là các loại thư nhũng lạm
1.6 Các giao thức :
- SMTP (từ chữ Simple Mail Transfer Protocol) hay là giao thức chuyển thư
đơn giản Đây là một giao thức lo về việc vận chuyển email giữa các máy chủ trênđường trung chuyển đến địa chỉ nhận cũng như là lo việc chuyển thư điện tử từ máykhách đến máy chủ Hầu hết các hệ thống thư điện tử gửi thư qua Internet đều dùnggiao thức này Các mẫu thông tin có thể được lấy ra bởi một email client Những emailclient này phải dùng giao thức POP hay giao thức IMAP
- IMAP (từ chữ Internet Message Access Protocol) hay là giao thức truy nhập
thông điệp (từ) Internet Giao thức này cho phép truy nhập và quản lý các mẫu thôngtin về từ các máy chủ Với giao thức này người dùng email có thể đọc, tạo ra, thay đổi,
Trang 9hay xoá các ngăn chứa, các mẫu tin đồng thời có thể tìm kiếm các nội dung trong hộpthư mà không cần phải tải các thư
Phiên bản mới nhất của IMAP là IMAP4 tương tự nhưng có nhiều chức năng hơn giaothức POP3 IMAP nguyên thuỷ được phát triển bởi đại học Standford năm 1986
- POP (từ chữ Post Office Protocol) hay là giao thức phòng thư Giao thức
này được dùng để truy tìm các email từ một MTA Hầu hết các MUA đều dùng đếngiao thức POP mặc dù một số MTA cũng có thể dùng giao thức mới hơn là IMAP.Hiện có hai phiên bản của POP Phiên bản đầu tiên là POP2 đã trở thành tiêu chuẩnvào thập niên 80, nó đòi hỏi phải có giao thức SMTP để gửi đi các mẫu thông tin.Phiên bản mới hơn POP3 có thể được dùng mà không cần tới SMTP
2 Các hình thức tấn công qua dịch vụ E-Mail :
2.1 Giả mạo E-mail từ nhà cung cấp dịch vụ :
Attacker ( người tấn công ) có thể giả mạo địa chỉ email của một nhà cung cấp dịch vụ
mà bạn đang sử dụng để khai thác thông tin từ bạn Để giả mạo một địa chỉ email nào
đó là một việc hết sức đơn giản, đặc biệt là có rất nhiều công cụ hỗ trợ làm việc này
Ví dụ : vào một ngày đẹp trời nào đó, bạn nhận được một email từ một ngân hàng màbạn đang sử dụng thông báo, bạn là người đã may mắn trúng giải thưởng 100 triệuđồng Vui lòng đăng nhập vào tài khoản bằng liên kết ở bên dưới hoặc gửi thông tin tàikhoản đến một email nào đó để làm thủ tục nhận giải thưởng Bạn làm theo và vài giờsau, bạn bị mất nhiều tiền trong tài khoản
2.2 Gửi các E-mail chứa các mã hoặc các liên kết độc hại :
Là các bức thư chứa các đoạn mã ( html hoặc javascript ) hoặc liên kết tớinhững website độc hại nhằm đánh cắp dữ liệu, thông tin, lây nhiễm virus Đôi khibạn có thể nhận được những bức thư với nội dung rất hay và hấp dẫn, trong bức thư đóyêu cầu bạn mở một liên kết để tiếp tục xem nội dung bạn đang đọc Bạn vô tư mở liênkết đó ra và máy bạn nhiễm virus Bạn có thể bị đánh cắp dữ liệu máy tính, dữ liệu cánhân hoặc bị phá hủy toàn bộ dữ liệu
2.3.Nguy hiểm từ các tệp tin đính kèm :
Lợi dụng sự hiếu kì và tò mò của nạn nhân Atacker có thể đính kèm lên bứcthư một tệp tin có chứa virus Khi nạn nhân ( victim ) mở file đính kèm đó ra thì máynạn nhân sẽ bị nhiễm virus ( có thể là trojan hourse, worm, virus )
2.4 Tấn công vào E-Mail Software :
Kẻ tấn công có thể lợi dụng vào các lỗ hổng bảo mật hoặc sự dễ dãi trong cácthiết lập bảo mật để xâm nhập và khai thác các thông tin cá nhân của các e-mail cótrong Mail Server đó Ở phương thức tấn công này, nạn nhân hoàn toàn không thểphòng chống mà phải dựa vào sự cẩn thận của người quản trị Mail Server
Ngoài các yếu tốt trên, ý thức sử dụng E-mail của người dùng cũng chính là một vấn đềcần quan tâm khi nói đến bảo mật E-mail
Trang 103 Các giải pháp phòng chống và bảo mật cho dịch vụ E-mail :
3.1 Đối với người sử dụng :
3.1.1 Không nên chỉ sử dụng một tài khoản email
Những người mới dùng email thường nghĩ tài khoản email của họ cũng giốngnhư địa chỉ nhà Bạn chỉ có một địa chỉ nhà nên cũng chỉ cần có một địa chỉ email Tuynhiên một điều mà chúng tôi khuyên bạn đó là nên nghĩ về địa chỉ email giống nhưnhững gì làm với các chiếc chìa khóa, nếu sử dụng cùng một chìa khóa để mở cửatrước và cửa sau thì việc có thể mở được mọi thứ như vậy đôi khi gặp phải nhiều vấn
đề không an toàn và có hại
Một nguyên tắc chủ chốt đối với người dùng email là phải giữ tối thiểu khoảng
3 tài khoản Tài khoản làm việc sẽ được sử dụng dành riêng cho các vấn đề liên quanđến công việc Tài khoản thứ hai nên được sử dụng cho các vấn đề cá nhân và liên hệ;còn tài khoản thứ ba được dùng cho tất cả các hành vi mạo hiểm nói chung Điều đó cónghĩa là bạn luôn luôn đăng ký nhận thư tin và các cuộc tranh cãi chỉ thông qua tàikhoản email thứ ba Tương tự như vậy, nếu phải gửi thông tin lên tài khoản emailonline như blog cá nhân thì bạn chỉ nên sử dụng tài khoản email thứ ba
Các tài khoản thứ nhất và thứ hai có thể là tài khoản thu phí hoặc miễn phí,nhưng tài khoản thứ ba luôn luôn là tài khoản miễn phí (như các tài khoản được cungcấp bởi Gmail hayYahoo!) Bạn nên có kế hoạch thay đổi tài khoản này khoảng 6tháng một lần bởi vì tài khoản này rất dễ bị spam
3.1.2 Không nên giữ các tài khoản bị spam quá lâu
Một điều đơn giản trong thực tế là các tài khoản email sẽ chất đống spam theothời gian Điều này xảy ra nhất là đối với tài khoản bạn sử dụng để đăng nhập cho việcnhận thư tin đã gửi online (như đã được khuyên ở trên không nên sử dụng cho tàikhoản chính) Khi điều này xảy ra, cách tốt nhất là bỏ tài khoản email đó và bắt đầu tạomột tài khoản khác Mặc dù vậy nhiều người dùng email mới rất hay bị gắn bó với cáctài khoản email cũ và vì vậy phải làm việc thông qua hàng tá email mỗi ngày Để tránhvấn đề này, luôn chuẩn bị trong đầu ý tưởng rằng bạn sẽ thay đổi email này 6 thángmột lần
3.1.3 Đóng trình duyệt sau khi đăng xuất
Khi đang kiểm tra email trong thư viện hoặc quán cafe nào đó bạn không chỉcần thiết phải đăng xuất khỏi tài khoản email mà còn phải bảo đảm đóng hoàn toàn cảcửa sổ trình duyệt Một số dịch vụ email hiển thị tên người dùng (nhưng không hiển thịmật khẩu) thậm chí sau khi đã đăng xuất Trong khi dịch vụ thực hiện điều này giúpthuận tiện cho việc sử dụng thì nó vô tình đã thỏa hiệp bảo mật email
3.1.4 Xóa cache trình duyệt, history và password
Sau khi sử dụng ứng dụng công cộng, một việc quan trọng bạn phải nên nhớ
là xóa cache trình duyệt, history và password Hầu hết các trình duyệt đều tự động giữ
Trang 11kiểm tra đối với tất cả các website mà bạn đã vào, một số giữ bất kỳ mật khẩu haythông tin cá nhân nào đã nhập vào để giúp thực hiện nhanh đối với các biểu mẫu tương
tự lần sau
Nếu những thông tin này rơi vào tay kẻ xấu thì nó có thể trở thành công cụ để kẻ
đó lấy cắp được thông tin email và ngân hàng Vì rủi ro là quá cao, nên những ngườidùng internet mới cần phải có kiến thức làm thế nào để xóa sạch cache trình duyệt máytính, để họ có thể xóa thông tin cá nhân trước khi những kẻ tấn công dấu mặt có thể ăncắp được nó
Để thực hiện điều này, nếu bạn sử dụng trình duyệt Firefox của Mozilla, đơngiản chỉ cần nhấn Ctrl+Shift+Del Với người dùng trình duyệt Opera bạn vào Tools >Delete Private Data Với Internet Explorer bạn cần vào Tools > Internet Options sau đókích vào các nút 'Clear History', 'Delete Cookies' và 'Delete Files'
3.1.5.Không sử dụng các tài khoản email không an toàn để gửi và nhận các thông tin nhạy cảm.
Các công ty lớn thường đầu tư lượng tiền không lồ để bảo đảm mạng máy tínhcủa họ và hệ thống email được an toàn Bất chấp những cố gắng của họ,các nhân viênvẫn vô tình sử dụng tài khoản thông tin cá nhân để quản lý công việc công ty và gửi dữliệu nhạy cảm có thể làm tổn hại đến vấn đề bảo mật của công ty Để bảo đảm an toàn
Trang 12bạn không nên liều lĩnh truyền dữ liệu nhạy cảm thông qua máy tính cá nhân hoặc địachỉ email
3.1.6 Nên sử dung điện thoại khi cần thiết
Một trong những bài học quan trọng nhất về bảo mật email mà bạn có tốn nhiềubước bảo mật email thế nào đi chăng nữa thì nó cũng không bao giờ rõ ràng Điều nàychưa bao giờ đúng hơn khi sử dụng máy tính công cộng Vì vậy trừ khi cần phải viếtmột bản ghi gì đó hoặc đang truyền thông toàn cầu bạn nên xem xét đến việc thực hiệnmột cuộc gọi bằng điện thoại Một cuộc đàm thoại điện thoại có thể cần đến một vàiphút thì khi được so sánh với việc truy cập email thông qua máy tính công cộng mộtcuộc gọi sẽ bảo đảm độ an toàn hơn nhiều
Gửi email cho đúng người
3.1.7.Nên sử dụng tùy chọn BCC
Khi đặt các địa chỉ email cá nhân trong BCC: không phải trong CC: cửa sổ
không cho người nhận có thể nhìn thấy các địa chỉ của người nhận email khác
Người mới dùng email thường dựa quá nhiều vào TO: bởi vì nó là cách mặc
định trong việc gửi email Điều đó được thực hiện khi bạn chỉ cần viết đến một ngườihoặc một số thành viên gia đình Nhưng nếu bạn đang gửi email đến nhóm người khácnhau, hãy sử dụng BCC, vì CC sẽ làm giảm vấn đề bảo mật và những thông tin riêng tưquan trọng Nó có thể bị lợi dụng bởi các Spammer, chúng có thể lấy toàn bộ email cótrong danh sách gửi của bạn và ngay lập tức mọi người trong danh sách email của bạn
3.1.8 Kích nút "Reply All" một cách thích hợp
Đôi khi lỗi của bạn không nằm trong việc quyết định CC hay BCC mà chính làviệc chọn Reply All thay cho Reply Khi thực hiện Reply All, email của bạn sẽ đượcgửi đến mọi người có trong email gốc, và nếu không dự định tính đến chúng thì thôngtin có thể trở thành nguy hiểm cho vấn đề bảo mật và cá nhân người dùng
3.1.9 Không nên Spam như một kết quả của việc chuyển tiếp email
Trang 13Việc chuyển tiếp (forward) email có thể là một cách lý tưởng nhanh chóng gửiđến ai đó một subject mà không cần phải viết một email, nhưng nếu không cẩn thận,việc chuyển tiếp email có thể tạo ra một lỗ hổng bảo mật nghiêm trọng cho bản thânbạn và những người nhận email Khi một email chuyển tiếp, người nhận email đượcliệt ra một cách tự động trong nội dung của thư Cứ như vậy, một chuỗi chuyển tiếp sẽlàm cho ngày càng nhiều các địa chỉ người nhận được định vị trong danh sách Một spammer có thể nhanh chóng lấy được toàn bộ các địa chỉ email này và sau đóchúng sẽ gửi đến toàn bộ danh sách những hòm thư này spam email Chỉ tốn một vàigiây để xóa tất cả những ID người nhận trước đó trước khi gửi chuyển tiếp mẩu tintrong email, và nó có thể tránh được nhiều vấn đề rắc rối có thể gây ra cho tất cả cácbạn của bạn hoặc những người làm việc cùng nhau
Thực hiện backup và giữ các bản ghi
3.1.10 Tránh mắc khuyết điểm sao lưu dự phòng email
Các email không chỉ dùng cho việc “chat” lúc nhàn rỗi mà còn được sử dụng đểtạo liên lạc nối kết hợp lệ, các quyết định tài chính lớn và xây dựng cuộc hội thảochuyên nghiệp Khi giữ những bản copy làm ăn quan trọng và tài liệu cá nhân thì bạncần phải thực hiện vấn đề back up email để duy trì một bản ghi nếu email client củabạn bị hỏng hoặc mất dữ liệu (nó đã từng xảy ra với Gmail gần đây vào năm 2006) Hầu hết các nhà cung cấp email đều làm cho nó khá đơn giản trong việc back up bằngcách cho phép export các email đến một thư mục, sau đó tạo một bản copy của thư mục
và lưu nó vào một đĩa CD, DVD hoặc ổ USB,… Nếu quá trình export đó dường nhưquá phức tạp đối với bạn thì chỉ cần mua một phầm mềm back up tự động Dù muaphần mềm hay quyết định back up thủ công thì điều quan trọng là phải thực hiện vàtheo các lịch trình back up thông thường, bởi nó có một số vấn đề mà những người mớidùng hay bỏ qua Chu kỳ các lần backup cần thiết phụ thuộc vào hiệu suất email,nhưng dù thế nào đi chăng nữa thì bạn cũng nên thực hiện nó ít nhất là 3 tháng một lần
3.1.11 Truy cập di động: Không nên quá tự tin vào backup tồn tại
Truy cập email di động như thông qua Blackberry dường như là một cuộc cáchmạng đối với email; bạn không phải buộc mình vào chiếc máy tính cá nhân mà có thểkiểm tra email bất kỳ chỗ nào Hầu hết những người mới sử dụng Blackberry đều chorằng một bản copy email họ kiểm tra và xóa khỏi Blackberry thì chúng vẫn được lưutrữ ở nhà hoặc trên máy tính văn phòng
Mặc dù vậy bạn cần phải nhớ rằng, một số máy chủ email và phần mềm máykhách cho download email đến thiết bị Blackberry và sau đó xóa chúng từ máy chủ.Như vậy, với một số thiết bị truy cập email di động nếu xóa nó từ thiết bị thì vô hìnhchung bạn đã xóa nó luôn trong hộp thư rồi
Cần phải có những hiểu biết về thiết lập mặc định đối với email client và phải bảo đảmrằng nếu không muốn bản copy các email được giữ lại thì bạn có phải điều chỉnh thiết
Trang 14lập của email client Và cần phải bảo đảm điều này trước khi quyết định xóa emailquan trọng đó
3.1.12 Không nên nghĩ rằng một email đã được xóa là mất vĩnh viễn
Có thể bạn thường nghĩ rằng khi đã xóa một email có trong hộp thư nhận củabạn và người gửi cũng xóa nó từ hộp thư gửi là email này mất vĩnh viễn Không hoàntoàn như vậy, một thực tế là, nội dung thư mà bạn đã xóa thường vẫn tồn tại trong cácthư mục backup trên một máy chủ điều khiển xa trong nhiều năm và nó hoàn toàn cóthể lấy lại được nội dung đó nhờ các chuyên gia có kỹ năng
Chính vì vậy cần phải nghĩ rằng những gì viết trong email là các tài liệu vĩnh cửu Điều
đó cũng nhắc nhở bạn nên cẩn thận với những gì viết trong email, bời vì nội dung đóhoàn toàn có thể được đưa trở lại sau nhiều năm bạn nghĩ nó đã mất vĩnh viễn
Tránh email không trung thực
3.1.13 Không được làm ra vẻ bạn đã trúng sổ số… và các tiêu đề có mưu
đồ bất lương khác
Các spammer thưởng sử dụng một loạt tiêu đề khá thông minh gây cho bạn sự chú
ý để mở email với tất cả các thứ tồi tệ nhất mà chúng dành cho bạn Những người mớidùng email thường mắc phải lỗi mở các email này Hãy để tôi nói cho bạn một cáchnhanh chóng:
Bạn không hề trúng Irish Lotto, Yahoo Lottery, hoặc bất cứ cái gì
Những chi tiết tài khoản ngân hàng của bạn không cần thiết phải được xác nhậnlại ngay lập tức
…
3.1.14 Tìm cách nhận ra các tấn công giả mạo trong nội dung
Không nên mở một email giả mạo là cách tốt nhất để bảo vệ máy tính của bạn,thậm chí những người dùng email có nhiều kinh nghiệm nhất cũng sẽ rất dễ gặp “tainạn” khi mở email giả mạo Về vấn đề này, chìa khóa chính cho việc hạn chế nhữnghỏng hóc là nhận ra email giả mạo là gì
Việc giả mạo (Phishing) là một loại lừa gạt online, người gửi email cố gắng lừa bạn đểlấy được những thông tin cá nhân và thông tin ngân hàng Điển hình, người gửi thườngtiến hành đánh cắp logo của ngân hàng, yêu cầu bạn kích chuột vào liên kết trong email
để xác nhận mật khẩu và thông tin ngân hàng nhưng nó cũng có thể chỉ hỏi bạn trả lờithông tin cá nhân
Dù dưới bất kỳ hình thức nào thì mục tiêu của việc giả mạo cũng đều là để lừa bạnnhập thông tin cá nhân vào những biểu mẫu dường như là an toàn và bảo đảm, nhưngtrong thực tế lại là một trang giả mạo được thiết lập bởi một kẻ tấn công giả mạo Nếubạn cung cấp cho kẻ tấn công giả mạo này những thông tin cá nhân thì kẻ lừa đảo này
có thể sử dụng thông tin cá nhân để đánh cắp nhận dạng và tài sản ngân hàng của bạn
Các dấu hiệu giả mạo gồm:
Trang 15 Một logo bị ăn trộm hoặc làm giả mạo
Email thường gửi đến bạn với nội dung là “Kính gửi khách hàng” hoặc “Kínhgửi người dùng” chứ không xưng hô bằng tên thật của bạn
Email cảnh báo cho bạn rằng tài khoản của bạn sẽ bị cắt nếu không xác nhận lạithông tin ngay lập tức
Một email đe dọa hành động pháp lý
Email đến từ một tài khoản giống nhau nhưng khác người mà công ty thưởng sửdụng
Email tuyên bố những mối đe dọa về bảo mật cần được phải thực hiện ngay lậptức
Nếu nghi ngờ email là một email giả mạo, thì cách phòng chống tốt nhất là khôngnên mở các email này Tuy nhiên nếu đã mở nó thì bạn không nên đáp trả và kích vàobất cứ đường liên kết nào trong đó Còn nếu muốn thẩm định thông báo thì bạn nênnhập bằng tay vào URL có trong email thay vì kích chuột trực tiếp trong email
3.1.15.Không gửi thông tin tài chính và cá nhân thông qua email
Các ngân hàng và kho lưu trữ online cung cấp hầu như không có ngoại lệ, mộtphần được bảo đảm trên website của họ nơi mà bạn có thể nhập vào thông tin cá nhân
và tài chính Chúng thực hiện điều này một cách cẩn thận bởi email dù có được bảo vệnhư thế nào đi chăng nữa thì cũng vẫn dễ bị hack hơn so với các trang có độ bảo mậtcao
Chính vì vậy mà bạn nên tránh gửi thông tin đến ngân hàng thông qua email và xemxét bất kỳ kho lưu trữ online nào mà yêu cầu bạn gửi đến họ thông tin cá nhân thôngqua email nghi ngờ
Nguyên tắc này cũng được dùng cho việc tránh truyền tải những thông tin tàichính trong email đến các doanh nghiệp online Ví dụ, nếu bạn cần cung cấp thông tinthẻ tín dụng đến con của bạn đang học tại một trường đại học nào đó thì cách tốt nhất
là bạn nên thực hiện điều đó qua điện thoại hơn là qua email
3.1.16 Nên đăng ký các bản tin mà bạn chưa bao giờ đăng ký
Một kỹ thuật chung được sử dụng bởi các spammer là gửi hàng nghìn bản tingiả mạo từ nhiều tổ chức với một liên kết “Chưa đăng ký” ở phía dưới mỗi bản tin.Người dùng email sau đó nhập vào danh sách “Chưa đăng ký” sẽ bị spam Vì vậy nếukhông nhớ một cách cụ thể đã đăng kí cho các bản tin ở đâu đó thì cách tốt nhất đểtránh hiện tượng bị spam này là bỏ qua email này
Tránh malware
3.1.17 Không tin tưởng vào email của bạn bè
Hầu hết những người mới dùng Internet thường cẩn thận khi bắt gặp email từngười gửi mà họ không nhận ra là ai Tuy nhiên khi một người bạn gửi email thì tất cảnhững cẩn thận đó sẽ bị vứt ra ngoài cửa sổ bởi bạn thừa nhận rằng nó là an toàn vì
Trang 16người gửi sẽ không có ý định làm hại bạn Sự thật ở đây là, một email từ ID của ngườibạn có thể gồm virus và malwre như những người lạ Lý do là hầu hết các malwaređược luân chuyển từ người này qua người khác, những người không hề cố ý gửi chúng
vì những kẻ tân công lúc này đang sử dụng máy tính chính nạn nhân như một zombie Chính vì vậy bạn phải quan tâm đến vấn đề nâng cấp các phần mêm chống virus vàquét email, sử dụng nó đề quét tất cả các email đến
3.1.18 Lập một danh sách đen về Spam thay vì xoá Spam
Danh sách đen là danh sách được tạo bởi một người dùng có tài khoản email đãdán nhãn spammer Khi lập danh sách đen một người gửi email có nghĩa là bạn đã bảovới email client ngăn chặn email từ người gửi này và thừa nhận rằng đó là spam Tuy nhiên, những người mới dùng internet lại khá nhút nhát khi sử dụng tính năngdanh sách đen này mà thay vì đó họ xóa các email spam Vì vậy mà số lượng spam vẫntăng lên một cách nhanh chóng Để tránh việc này, bạn phải sử dụng nút “blacklist”thay vì nút xóa khi đối diện với spam, một vài tháng sau bạn sẽ thấy được hiệu quả củacông việc này
3.1.19 Không nên vô hiệu hóa bộ lọc email spam
Những người mới dùng email không thực sự có nhiều email spam trong tàikhoản của họ, chính vì vậy khó có thể thấy được hiệu suất của bộ lọc spam có thể cungcấp Vì không bộ lọc spam nào là hoàn hảo nên còn xót một số email spam, việc tìmkiếm email bị khóa một cách không đúng sẽ làm cho những người mới dùng vô hiệuhóa luôn bộ lọc email spam
Mặc dù vậy, khi một tài khoản email trở nên cũ nó thường thiên về nhặt nhạnhnhiều spam và không có bộ lọc spam sẽ làm cho tài khoản email nhanh chóng trở nêncồng kềnh Vì vậy thay vì vô hiệu hóa bộ lọc của chúng, những ngưới mới dùng nàynên đầu tư một chút thời gian để nghiên cứu sử dụng việc kích hoạt bộ lọc spam này
3.1.20 Tránh mắc khuyết điểm trong việc quét tất cả các đính kèm
Có đến 9/10 virus tiêm nhiễm vào máy tính của bạn thông qua việc đính kèmemail Bất chấp tỉ lệ này, một số người vẫn không thực hiện việc quét tất cả các đínhkèm đến Có thể nó là kinh nghiệm của chúng tôi nhưng thường khi chúng ta nhìn thấyemail có đính kèm từ một ai đó đã biết thì thường cho rằng đính kèm đó là an toàn Tuynhiên sự thừa nhận đó là hoàn toàn sai, hầu hết các virus email gửi từ những máy tínhcủa những người quen của bạn, máy tính đó đã bị tiêm nhiễm và kẻ tấn công sử dụngmáy tính tiêm nhiễm này để tiếp tục tấn công những người khác có trong danh sách củamáy này
Trong thực tế là một số lượng email client miễn phí cung cấp một thiết kế gắn liền bộquét đính kèm email Ví dụ, nếu bạn sử dụng Gmail hoặc Yahoo! cho các email, mỗiemail và đính kèm gửi hoặc nhận đều tự động được quét Vì vậy nếu không muốn đầu
tư thêm các phần mềm quét nhóm thứ ba và nhà cung cấp email không cung cấp bộ