Ohje 3/2003 Roskapostituksen aiheuttamat ongelmat

Roskapostituksesta on muodostunut yksi internetin laajamittaisimmista lieveilmiöistä. Internet tarjoaa roskapostittajalle hyvät ja nopeat mahdollisuudet tavoittaa laaja yleisö. Tämän vuoksi lähes jokainen sähköpostin käyttäjä on saanut postilaatikkoonsa roskapostiksi luokiteltavia sähköposteja.

Suoramarkkinointia koskevien säännösten vastaisesti lähetetyt palveluiden tai tuotteiden markkinointiin liittyvät sähköpostiviestit muodostavat ns. perinteisen roskapostityypin. Nämä viestit on lähetetty joko ilman vastaanottajan suostumusta tai hänen kiellostaan huolimatta. Roskapostit voivat olla myös muuta ei toivottua viestintää, kuten virheilmoituksia. Yleensä tällaisissa viestiessä sähköpostikäyttäjän osoite tai organisaation domain-nimi on väärennetty roskapostin lähettäjätietoihin ja virheilmoitukset saapuvat väärien lähettäjätietojen perusteella väärennöksen uhriksi joutuneelle sähköpostin käyttäjälle tai organisaatiolle.

Monet sähköpostimadot väärentävät lähettämänsä sähköpostin lähettäjätiedot. Osa näistä madoista sisältää roskapostin edelleen lähetykseen tarkoitetun välitysohjelmiston (proxy). On tärkeää huomioida, että kotikäyttäjien tietojärjestelmät ovat muodostumassa yhdeksi halutuimmaksi roskapostin lähetyskanavaksi.

Roskapostittaja käyttää usein ns. agentti-ohjelmia apunaan saalistaessaan sähköpostiosoitteita internetistä. Agentti-ohjelmat käyvät läpi tuhansia internet-sivustoja päivittäin etsien henkilöiden ja organisaatioiden sähköpostiosoitteita. Näistä osoitteista muodostuu listoja, joita voidaan kaupata edelleen toisille roskapostittajille. Tällaiselle roskapostituslistalle joutuminen tietää laajamittaisen roskapostitulvan uhriksi joutumista. Näiltä listoilta pois pääseminen on useimmiten hyvin hankalaa.

Haavoittuvuudelle alttiita järjestelmiä ovat

  • kaikki tietojärjestelmät, joissa ylläpidetään sähköpostipalvelimia
  • kaikki tietojärjestelmät, joissa käytetään sähköpostiohjelmistoja.

Ratkaisu- ja rajoitusmenetelmät

Estä järjestelmääsi joutumasta roskapostin välityskanavaksi seuraavasti:

  • Jos ylläpidät sähköpostipalvelinta, määrittele asetukset oikein, jotta sähköpostipalvelimesta ei muodostu roskapostin lähetyskanavaa. Älä liitä Internetiin Open SMTP Relay-palvelimia.
  • Jos ylläpidät www-palvelinta, määrittele www-palvelinohjelmasi asetukset niin, ettei roskapostitus sen kautta ole mahdollista (vrt. formmail-skripti).
  • Huolehdi tietojärjestelmän turvallisuudesta käyttämällä turvallisia ohjelmistoversioita, palomuuria sekä riittävän vahvoja salasanoja.
  • Käytä automaattisesti päivittyvää sekä jatkuvasti päällä olevaa virustorjuntaohjelmistoa. Virustarkasta liitetiedostot aina ennen avaamista.

Rajoita roskapostista aiheutuvia ongelmia seuraavasti:

  • Harkitse kenelle luovutat virallisen sähköpostiosoitteesi.
  • Älä vastaa roskapostiviestiin, sillä silloin roskapostittaja huomaa osoitteesi olevan toiminnassa.
  • Harkitse roskapostituksen suodattamista internet-yhdyskäytävä-tasolla (gateway) käyttämällä tähän tarkoitukseen soveltuvia ohjelmistoja.
  • Älä laita oikeassa muodossa olevia sähköpostiosoitteita www-sivuille, etteivät agenttiohjelmistot pysty hyödyntämään niitä. Käytä www-sivuilla vain muokattuja sähköpostiosoitteita ohjeella varustettuna esimerkiksi seuraavalla tavalla:

etunimi.sukunimi@domain-nimenne.fi.NOSPAM.invalid
(käyttöohje: poista osoitteestani sanat .NOSPAM sekä .invalid)

TAI

mainitse www-sivuilla organisaation sähköpostiosoitteiden olevan muotoa etunimi.sukunimi@domain-nimenne.fi (ilman suoraa linkkiä, joka mahdollistaa "klikkauksella" sähköpostin lähettämisen)

  • Käytä sähköpostiliikenteessä digitaalisen allekirjoituksen mahdollistavaa ohjelmistoa. Näin sähköpostin vastaanottaja voi todentaa viestin lähettäjätiedot oikeaksi.
  • Joutuessanne laittoman suoramarkkinoinnin kohteeksi ja mikäli roskapostittaja on suomalainen taho, ottakaa yhteyttä tietosuojavaltuutettuun. Lisätietoja tietosuojavaltuutetusta saa osoitteesta tietosuoja.fi
  • Jos joudutte muuntyyppisen, massiivisen roskapostituksen uhriksi, pyrkikää saamaan esimerkiksi nimissänne lähetetty sähköpostiviesti kokonaisuudessaan itsellenne otsikkotietoineen (headers), joista käy ilmi sähköpostin tarkat lähettäjätiedot. Ottakaa yhteyttä palveluntarjoajaanne tai Viestintäviraston CERT-FI:hin.

Asiasanat: Internet, Tietoturva, CERT-FI, Tietosuoja, Ohjeet


Muuta aiheeseen liittyvää:

CERT-FI:n varoitus 53/2003
http://www.spamcop.net/
http://www.tietosuoja.fi


LinkedIn Print