Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej – zmiany w branży hostingowej

Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej została ogłoszona 25.08.2023 oraz zaczyna obowiązywać po 30 dniach od jej ogłoszenia tj. 25.09.2023.

W jakim celu powstała nowa ustawa?

Głównym celem ustawy jest zwalczanie nadużyć w komunikacji elektronicznej takich jak wyłudzanie danych, oszustwa, dystrybucja szkodliwego oprogramowania itp.
Pomimo, że edukacja użytkowników usług elektronicznych jest najważniejszym czynnikiem obrony przed zagrożeniami to równie ważna jest walka z oszustami próbującymi na różne sposoby podejść użytkownika aby wyłudzi jego dane lub doprowadzić do niekorzystnego zarządzania mieniem.
Ustawa ma na celu zapobieganie takim zjawiskom oraz ich zwalczanie u źródła.

Co dokładnie wprowadza nowa ustawa?

Na firmy hostingowe które świadczą usługi pocztowe dla co najmniej 500 000 użytkowników poczty lub dla podmiotu publicznego został wprowadzony obowiązek stosowania stosowania mechanizmu SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication Reporting and Conformance) oraz DKIM (DomainKeys Identified Mail).

Istotne jest również, że wszystkie podmioty publiczne są zobowiązane do korzystania z poczty elektronicznej wykorzystującej mechanizmy, o których mowa powyżej.

Dodatkowo gdy poczta świadczona jest dla podmiotu publicznego usługodawca zobowiązany jest oferować możliwość włączenia dwuskładnikowego uwierzytelnienia.

Czym są mechanizmy podawane w ustawie?

Aby zrozumieć jakie korzyści daje wprowadzenie mechanizmów spf, dkim oraz dmarc należy zrozumieć jak dokładnie działają:

SPF – ang. Sender Policy Framework jest zabezpieczeniem które chroni przed wysyłaniem poczty z nieautoryzowanego serwera. Podczas wysyłki wiadomości weryfikowany jest serwer wysyłający w strefie DNS domeny i jeśli okaże się, że nie jest on uprawniony do wysyłania poczty to skutkuje to odrzuceniem poczty. Zabezpieczenie to chroni nas przed wiadomościami od spamerów, którzy podszywają się pod cudze adresy e-mail.

DKIM – ang. DomainKeys Identified Mail jest rozwiązaniem które pozwala na powiązanie wiadomości e-mail z domeną. Podczas wysłania wiadomości jest ona szyfrowana kluczem prywatnym a nastepnie serwer odbiorcy na podstawie klucza publicznego jest w stanie zweryfikować czy wysyłka nastąpiła z poprawnej domeny.

DMARC – ang. Domain-based Message Authentication jest mechanizmem powiązanym z SPF oraz DKIM, definiuje on jak ma zachować się serwer pocztowy, który otrzyma wiadomość nieprzechodzącą weryfikacji za pomocą SPF i DKIM. Mechanizm ten pozwala ustalić reguły w przypadku gdy któryś z mechanizmów spf/dkim nie zostanie poprawnie zweryfikowany.

Uwierzytelnienie dwuskładnikowe (2FA) – ang. Two-factor authentication jest dodatkowym mechanizmem pozwalającym zwiększającym bezpieczeństwo konta pocztowego. Na początku użytkownik musi się uwierzytelnić w standardowy sposób, przykładowo za pomocą loginu i hasła, co stanowi pierwszy składnik 2FA. Drugim składnikiem jest dodatkowa metoda potwierdzenia tożsamości użytkownika, na przykład poprzez wygenerowany kod w aplikacji, który należy wpisać w wyznaczone miejsce podczas logowania.

Co zmienia wprowadzenie powyższych mechanizmów?

Poprawne wdrożenie mechanizmów SPF, DKIM oraz DMARC zabezpiecza użytkowników poczty przed odbieraniem wiadomości pocztowych od nieautoryzowanych użytkowników próbujących wysłać wiadomość z nieautoryzowanego serwera (SPF) lub z błędnym kluczem weryfikującym (DKIM) i podszyć się pod innego użytkownika w celu wyłudzenia danych, wysyłki spamu itp.

Wdrożenie 2FA poprawia bezpieczeństwo dostępu do skrzynki pocztowej np. wymagając każdorazowo do zalogowania specjalnego kodu generowanego przez aplikacje autoryzującą skonfigurowaną podczas włączania tego zabezpieczenia.

Smarthost – firma w pełni spełniająca warunki ustawy o zwalczaniu nadużyć w komunikacji elektronicznej

Smarthost jako jedna z nielicznych firm już teraz spełnia wymogi wprowadzone w ustawie o zwalczaniu nadużyć w komunikacji elektronicznej oferując mechanizmy SPF, DMARC oraz DKIM pomimo iż zasadnicze wdrożenie mechanizmu wymagane jest po upływie 3 miesięcy od ogłoszenia ustawy.

W ramach korzystania z poczty elektronicznej udostępniamy również możliwość wdrożenia uwierzytelnienia dwuskładnikowego (2FA) gdzie ustawodawca przewidział termin 6 miesięcy na jego udostępnienie. Instrukcja włączenia dwuskładnikowego uwierzytelnienia na skrzynce pocztowej znajduje się tutaj: Jak włączyć 2FA w panelu abonenta Smarthost.

Mechanizmy wymienione powyżej dostępne we wszystkich pakietach oferowanych w firmie Smarthost.

Weryfikacja poprawności działania mechanizmów

Zespół Cert Polska udostępnił sprawdzarkę Bezpieczna poczta (cert.pl) gdzie można zweryfikować czy twoja poczta (i twój usługodawca) spełniają wymogi ustawy o zwalczaniu nadużyć w komunikacji elektronicznej posiadając wdrożone mechanizmy SPF, DKIM oraz DMARC.

Po wysłaniu maila na specjalny adres wygenerowany przez sprawdzarkę Zespołu Cert Polska przy poprawnie skonfigurowanych mechanizmach powinien ukazać się komunikat widoczny ponizej:

Pełną wersję aktu prawnego można znaleźć w dzienniku ustaw:
Dziennik Ustaw 2023 r. poz. 1703

Tomasz

Dodaj komentarz