Od początku swojego istnienia e-mail stał się szybkim i łatwym środkiem komunikacji, który oprócz przesyłania samego tekstu nadaje się również do efektywnej wymiany małych plików, takich jak dokumenty tekstowe lub obrazy.
I mimo, że obecnie oferowane są różne usługi udostępniania plików w chmurze, poczta elektroniczna jest często pierwszym wyborem przy szybkim przesyłaniu plików tekstowych lub zdjęć do jednego lub więcej odbiorców. Jednak to, co wydaje się być przydatne w sferze prywatnej, może stanowić problem w marketingu e-mailowym, lub ogólnie w komunikacji z klientami za pośrednictwem poczty elektronicznej. Zwłaszcza jest to istotne w przypadku transakcji za pośrednictwem poczty elektronicznej, które często zawierają poufne dane i których klienci pilnie oczekują. Poniżej omawiamy związane z tym wyzwania i możliwe konsekwencje:
Załączniki jako punkt wejścia dla złośliwego oprogramowania
Załączniki są popularną i częstą bramą dla złośliwego oprogramowania. Jeśli cyberprzestępca jest zainteresowany wysyłaniem phishingu (wyłudzaniem informacji), będzie chciał celowo wywołać wrażenie, że jego wiadomości pochodzą z wiarygodnego źródła. W zależności od rodzaju phishingu, może być to organ nadzoru, dostawca usług finansowych lub firma ubezpieczeniowa. Dzięki temu wzrasta prawdopodobieństwo i niebezpieczeństwo, że załączone pliki zostaną otwarte.
Zazwyczaj załączniki te są manipulowane w taki sposób, że wykorzystują dziury w zabezpieczeniach aplikacji (np. przeglądarki PDF), klienta poczty elektronicznej (ang. email clients) lub systemu operacyjnego w celu zainfekowania komputera odbiorcy. Gdy tylko zainfekowany komputer znajdzie się pod kontrolą przestępcy, może niezauważenie stać się częścią „botnetu”, czyli sieci komputerów zainfekowanych złośliwym oprogramowaniem i wysyłać spam lub uczestniczyć w atakach DDoS (Distributed Denial of Service). W ten sposób hacker może mieć również dostęp do wszystkich danych z komputera odbiorcy poczty elektronicznej. Ze względu na te poważne zagrożenia, dostawcy usług poczty elektronicznej i filtry antyspamowe bardzo dokładnie sprawdzają załączniki, co w rezultacie może negatywnie wpływać na dostarczenie tych wiadomości e-mail. Klienci poczty elektronicznej (email clients) ostrzegają również przed lub częściowo uniemożliwiają nawet przesyłanie i ładowanie załączników. W efekcie odbiorcy nie otrzymują e-maili lub nie mogą przesłanych plików odczytać.
Brak szyfrowania oznacza niewystarczającą ochronę danych
Nie wszystkie serwery pocztowe w internecie obsługują STARTTLS jako szyfrowanie transportu. Ta procedura inicjowania szyfrowania komunikacji przy użyciu programu Transport Layer Security służy do wysyłania, przesyłania lub odbierania bezpiecznie zaszyfrowanych wiadomości e-mail. Bez STARTTLS treść wiadomości e-mail i odpowiednich załączników może być odczytana przez osoby trzecie.
Ale nawet w przypadku STARTTLS nadal istnieje niebezpieczeństwo ataku man-in-the-middle (MITM), który może przechwycić pocztę elektroniczną. Wyższy poziom bezpieczeństwa można osiągnąć dzięki dodatkowym protokołom takim jak np. DANE i DNSSEC. Nie są one jednak jeszcze ugruntowane na rynku. Ponadto istnieje ryzyko, że odbiorca może nieświadomie odebrać niezaszyfrowane wiadomości e-mail ze skrzynki pocztowej do niezabezpieczonej sieci. Wiadomości e-mail lub załączniki często zawierają poufne treści, takie jak informacje o płatnościach, ubezpieczeniach lub dane dotyczące stanu zdrowia, które nie powinny być odczytywane przez osoby nieupoważnione. Każdy nadawca e-maila powinien zatem zastanowić się, jakie informacje można wysłać pocztą elektroniczną i jakie szkody mogą wystąpić, jeśli informacje te wpadną w niepowołane ręce. To nadawca bowiem ponosi odpowiedzialność za wyciek danych osobowych do wiadomości publicznej. W tym przypadku zastosowanie mają przepisy art. 32 i nn. rozporządzenia RODO. Organy nadzorcze i osoba, której dane dotyczą, muszą zostać poinformowane o naruszeniu bezpieczeństwa danych, a władze mogą następnie nałożyć na nadawcę konkretne sankcje (zob. art. 58 RODO).
Zdaniem ekspertów z Certified Senders Alliance (CSA), które jest projektem internetowym stowarzyszenia eco e.V. oraz Niemieckiego Stowarzyszenia Marketingu Dialogu (DDV) , z tych właśnie powodów należy unikać w środowisku komercyjnym przesyłania załączników pocztą elektroniczną. Zalecaną alternatywą dla załączników e-mail jest „link głęboki” (and. deep link) do pobierania plików z firmowego portalu dla klientów danej firmy. Tam klient może przeglądać lub pobierać przypisane mu dokumenty za pośrednictwem połączenia zabezpieczonego przez TLS. Pozwala to również użytkownikowi na centralne zarządzanie dokumentami bez konieczności wyszukiwania poszczególnych załączników w przeciążonym kliencie poczty elektronicznej (email client). Regularne połączenie z portalem wpływa również na dodatkową lojalność klientów i otwiera możliwość zareklamowania także innych ofert.