امنیت ایمیل

همه ما حداقل یک ایمیل داریم و استفاده های مختلفی از آن می کنیم. شاید برخی تنها استفاده شان عضویت در گروه های ایمیلی باشد. یا اینکه تنها برای چت از آن استفاده می کنند. خب، ممکن است افراد عضو این دسته ها بگویند: اصلا امنیت ایمیل و توجه آن به چه درد من می خورد؟ قرار نیست اطلاعات خصوصی، مالی و یا کاری خاصی را روی آن داشته باشم و یا از طریق آن چنین اطلاعات حساسی را  ارسال کنم.

تا اینجا حرف این افراد شاید به نظر صحیح بیاید، اما تا به حال به موقعیت های اینچنینی فکر کرده اید: 

همه ما حداقل یک ایمیل داریم و استفاده های مختلفی از آن می کنیم. شاید برخی تنها استفاده شان عضویت در گروه های ایمیلی باشد. یا اینکه تنها برای چت از آن استفاده می کنند. خب، ممکن است افراد عضو این دسته ها بگویند: اصلا امنیت ایمیل و توجه آن به چه درد من می خورد؟ قرار نیست اطلاعات خصوصی، مالی و یا کاری خاصی را روی آن داشته باشم و یا از طریق آن چنین اطلاعات حساسی را  ارسال کنم.

تا اینجا حرف این افراد شاید به نظر صحیح بیاید، اما تا به حال به موقعیت های اینچنینی فکر کرده اید: 

۱- فردی به ایمیل تان نفوذ کند و بدون اطلاع شما به دوستانتان ایمیل های مختلفی ارسال کند و آنها را مورد اذیت و آزار قرار داده و اعتماد آنها نسبت به شما را از بین می برد.

۲- یکی از دوستان برای شوخی ایمیل شما را هک کرده و به تمامی مکاتبات و گفتگوهای شما با دیگران از طریق چت و ایمیل دست پیدا می کند. اصلا حس خوبی نیست! مخصوصا اگر برای تکمیل شوخی آنها را در اختیار دیگران هم قرار دهد.

۳- از برخی گروه های خاص ایمیل هایی دریافت می کنید که دیده شدن آن توسط برخی سازمان ها و افراد چندان به نفع شما نخواهد بود.

۴- بدون اینکه شما متوجه شوید، هکر گرامی ایمیل و کامپیوتر شما را هک کرده و از آن برای حملات برنامه ریزی شده به دیگر افراد و یا سایت ها استفاده می کند. وقتی شما متوجه می شوید چه بلایی سرتان آمده که ردیابی مراجع قانونی برای این خرابکاری ها به کامپیوتر شما ختم شده و برایتان دردسر ساز خواهد شد.

در این درس به طور خلاصه به برخی نکات ضروری و کلیدی امنیت ایمیل می پردازیم تا با رعایت همین حداقل ها، گام بزرگی در امنیت خود و اطرافیان مان برداریم.

۱- هیچ گاه به برنامه های ایمیل کلاینت (نرم افزارهای مدیریت ایمیل که بر روی کامپیوتر نصب می شوند) اجازه ندهید که بدون بررسی دقیق، ایمیل های HTML و XHTML را رندر کرده و محتوای شان را به نمایش بگذارد. برنامه هایی مانند تاندربرد و اوت لوک این امکان را دارند که به جای رندر کردن و اجرای کامل همه کدهای HTML موجود در ایمیل، تنها برخی کدهای ساده و معمولی را اجرا کنند.  البته بهتر است که برنامه مدیریت ایمیل را به گونه ای تنظیم کنید، که همه ایمیل ها را به صورت متن ساده یا plain text نشان دهد. 

زیرا با رندر کردن کامل کدهای HTML موجود در ایمیل، شما این خطر را به جان می خرید که به عنوان گیرنده اسپم، خود را به سرور فرستنده معرفی کنید. یا اینکه به راحتی کدهای مخربی بر روی کامپیوترتان اجرا شوند که شما را دست بسته در اختیار دزدان هویت و حملات فیشینگ قرار دهند. این امکان را فقط برای ایمیل هایی انجام بدهید که فرستنده را می شناسید. برای مثال شما این درس ها را از طریق درسنامه دریافت می کنید و برای مشاهده صحیح درس ها و تصاویر نیاز است که حالت HTML را روی آنها فعال کنید. اما شاید برای دیدن یک ایمیل از منبعی که مورد اعتمادتان نیست انجام چنین کاری عاقلانه نباشد.

۲- از سرویس ایمیلی استفاده کنید که مکاتبات شما را به صورت کدگذاری و رمز شده رد و بدل می کنند. خب دلیل این کار هم ساده است: شما دوست ندارید یک خرابکار که در حال کنترل داده های رد و بدل شده از طریق اینترنت شما است، بتواند به راحتی اطلاعات تایید هویت شما را دیده و به نام کاربری و رمزعبورتان دست یابد. در صورتی که این فرد به اطلاعات شما دست یابد می تواند از ایمیل تان برای ارسال پیام استفاده کرده، ایمیل های تان را دریافت کرده و حتی به گونه ای اطلاعات ورود به اکانت را تغییر دهد که ایمیل را کاملا از دست شما بگیرد. 

پس هنگامی که برای خرید سرور ایمیل اقدام می کنید، حتما با مدیر سرورتان هماهنگ کنید که ارسال اطلاعات ورود به صورت رمز شده باشد و از شیوه رمزگذاری مناسبی هم استفاده شود. البته سرویس های رایگان و عمومی ایمیل اغلب این گونه اند. در جیمیل تمامی اطلاعات بین شما و سرور به صورت رمزگذاری به شیوه SSL رد و بدل می شود. یعنی پیام های ارسالی و دریافتی هم به صورت رمز شده جابجا می شوند و در مسیر قابل خواندن نیستند. اما در یاهو مکاتبات شما رمزگذاری نمی شوند، ولی بخش دریافت اطلاعات ورود و تایید هویت شما کدگذاری شده و امن است.

۳- اگر ارتباطات کاری و مالی ویژه ای از طریق ایمیل انجام می دهید، حتما از امضای الکترونیکی استفاده کنید. با این کار، حتی اگر شخصی به ایمیل شما دست پیدا کند، تا امضای شما را نداشته باشد، نمی تواند به ارسال پیام های جعلی اقدام کند.  

در صورت استفاده از امضا دیجیتال، گیرنده ای که کلید عمومی یا Public key امضای دیجیتال شما را داشته باشد، هنگام دریافت ایمیل امضا شده با کلید خصوصی یا Private key، می تواند مطمئن باشد که این ایمیل توسط خود شما ارسال شده و جعلی نیست. البته حفاظت مناسب از کلید خصوصی هم امر مهم و حیاتی است. برای اطلاعات بیشتر در این مورد، دروس آینده را از دست ندهید!

۴- حتی اگر مساله بسیار مهم و حیاتی هم پیش بیاید، به هیچ وجه در هنگام استفاده از اینترنت عمومی و غیر امن، ایمیل هایی را که اجازه ورود معمولی به آنها را ندارید و یا ایمیل هایی که از سیستم رمزگذاری استفاده نمی کنند را باز نکنید.

اگر ایمیل شما رمزگذاری نباشد، هنگام استفاده از اینترنت های رایگان در مکان های عمومی و یا کافی نت ها، تمامی اطلاعات شما در اختیار خرابکاران و هکرها است.

۵- همیشه به خاطر داشته باشید که هیچ سرویس ایمیلی ۱۰۰ درصد ایمن نیست. می توانیم کارهای فراوانی برای نزدیک شدن به این عدد انجام دهیم. اما در عمل هیچ گاه به آن نخواهیم رسید. پس اگر اطلاعات بسیار مهمی و حیاتی دارید، پیشنهاد می کنم ایمیل را فراموش کرده و تا حد امکان، حضوری این اطلاعات را به فرد مورد نظر برسانید. هیچگاه از ایمیل برای ارسال مشخصات فردی، شماره های بانکی، رمز کارت های بانکی و یا نام کاربری و رمزعبور سایت ها استفاده نکنید. 

۶- هر چه بیشتر از ایمیل تان در وب استفاده کنید، احتمال شکار آن توسط اسپمر ها‌ (کسانی که هرزنامه ارسال می کنند) بیشتر می شود. حتی اگر مواظب مکاتبات و سایت های استفاده کننده از ایمیل تان باشید، باز هم ممکن است یک دوست بی خیال با ارسال یک ایمیل گروهی، شما را ناخواسته به اسپمرها بفروشد! 

حالا دردسرها آغاز می شود و سیل هرزنامه ها شما را غرق می کند. پس بهتر است همیشه با استفاده از فیلترها و موارد اینچنینی خودتان را آماده مقابله کنید. هر چند که نمی توانید جلوی ارسال این ایمیل ها را بگیرید، اما می توانید آنها را مستقیما راهی سطل آشغال و یا یک پوشه مشخص کنید تا دست و پا گیر و باعث دردسر نباشند (در چنین وضعیتی مرور مجدد درس لیبل و فیلتر اکیدا توصیه می گردد).

۷- فایل های پیوست را تنها زمانی دانلود کرده و باز کنید، که فرستنده را کاملا می شناسید و به وی اعتماد دارید. همچنین وقتی انتظار دریافت پیوستی از او را نداشته اید، قبل از باز کردن فایل اتچ شده با وسیله ای به جز ایمیل، با او هماهنگ کنید. زیرا ممکن است با یک سرقت هویت و ایمیل جعلی روبرو باشید. در عین حال فایل های اجرایی را تحت هیچ شرایطی دانلود و اجرا نکنید.

۸- از رمزعبورهای امن و قابل اعتماد برای ایمیل های تان استفاده کرده و آنها را به شکل مطمئنی نگهداری کنید. اولین سنگر شما در مقابل خرابکاران، رمزعبور شما است، آن را در اختیار هیچ کس (حتی نزدیکترین دوستان یا اعضای خانواده تان) نگذارید. 

برای انتخاب رمزعبور قوی و قابل اطمینان، بهتر است درس های دوره امنیت درسنامه را دوباره مطالعه کنید. 

۹- هرچه کامپیوتر امن تری داشته باشید، ایمیل شما هم بیشتر در امان است. همیشه از برنامه های آنتی ویروس، فایروال و ضد جاسوس افزار مناسب بر روی سیستم تان استفاده کرده و آنها  را به روز نگه دارید. مثلا اگر یک کی لاگر یا بدافزار اطلاعات ایمیل شما را بخواند و بخواهد آنها را برای کسی ارسال کند، فایروال سیستم جلوی ارتباط هر برنامه ناشناس و مشکوک به خارج از کامپیوتر را می گیرد.

۱۰- مراقب حملات فیشینگ باشید.

یکی از روش های متداول هکرها و خرابکاران برای دست یابی به اطلاعات، نام کاربری یا رمزعبور ایمیل شما، استفاده از ایمیل های جعلی است. این ایمیل ها به شکلی طراحی می شوند که شما تصور می کنید این ایمیل از طرف بانک، دانشگاه یا شرکت، یک دوست و یا حتی برخی سازمان های دولتی برای تان ارسال شده. آنگاه با این تصور اشتباه، به راحتی اعتماد کرده و اطلاعات تان را در اختیار آنها می گذارید.

یک نمونه ساده: احتمالا تا به حال با ایمیلی که ظاهرا از طرف مدیر سرویس دهنده پست الکترونیک شما است، برای تان ارسال شده، که از شما می خواهد برای به روز رسانی سیستم و افزایش امنیت سرور، نام کاربری و رمزعبورتان را وارد کنید. یا از بانک تان ایمیل دریافت می کنید که از شما می خواهد رمز حساب اینترنتی تان را با کلیک کردن روی یک لینک عوض کنید. اینها ایمیل های جعلی هستند که هدف شان دسترسی به اطلاعات محرمانه و حساب های مالی تان است.

۱۱- از BCC استفاده کنید. زیرا در این صورت وقتی ایمیلی را برای چند نفر می فرستید، آنها فقط آدرس ایمیل شما را می بینند و آدرس ایمیل هیچ کس برای دیگری قابل دیدن نیست. اهمیت این مساله زمانی است که گیرنده هم بخواهد آن ایمیل را برای افراد دیگری ارسال کند. اگر از BCC استفاده نکنید، ممکن است ایمیل های دوستان تان چندین دست چرخیده و به دست خرابکاران و یا سازمان هایی بیافتد که باعث مشکل شود. این لیست بلند ایمیل ها را احتمالا در پیام های گروهی زنجیره ای دیده اید.

۱۲- آدرس ایمیل تان را در سایت و وبلاگ به صورت کد شده قرار دهید، تا ربات های اسپمر نتوانند آن را کشف کنند. البته این رمزگذاری باید برای کاربران عادی قابل خواندن باشد. به طور مثال اگر آدرستان [email protected] است می توانید آن را به صورت help #at# darsnameh-dot-com یا فرم‌های مشابه دیگر بنویسید. این نوع کدگزاری برای ربات های اسپمر قابل شناسایی نیست (البته به شرطی که یک اسپمر باهوش آن را اسکن و بازنویسی نکند)‌. پس برای رمز کردن آدرس ایمیل، تا حد امکان از علائم نشانه‌گذاری استفاده کنید. همچنین می توانید برای این کار از برخی کدهای جاوا اسکریپت آماده استفاده کنید.

۱۳- اگر در سایت یا گروهی عضو نیستید، اما ایمیل‌های مختلفی از آن به دست تان می‌رسد، بهتر است روی گزینه unsubscribe به معنای قطع اشتراک کلیک نکنید. این کار فقط موجب افزایش تعداد ایمیل‌های دریافتی تان از آن سایت می شود. بله! آنها گاهی اوقات این لینک را به صورت جعلی در پایین ایمیل هایشان قرار می دهند. اگر روی آن کلیک کنید سرور ارسال کننده متوجه می شود که شما این ایمیل ها را باز می کنید. بنابراین برایتان ایمیل های تبلیغاتی بیشتری ارسال می کند!  برای خلاص شدن از دست آنها کافی است آدرس ایمیل آن سایت را به لیست سیاه ایمیل تان اضافه کرده یا به عنوان اسپم معرفی اش کنید، تا در باکس اسپم‌ها ذخیره شوند.

خب در این درس به موارد کلی که باید در رابطه با ایمیل رعایت کنید اشاره کردیم. اما هنوز یک گام دیگر باقی مانده. در درس بعد سراغ امنیت در جیمیل می رویم و کمی بیشتر در مورد امنیت در سرویس ایمیل گوگل صحبت می کنیم.