أمن البريد الإلكتروني
المعلوماتية >>>> اتصالات وشبكات
ازداد الاعتماد على الاتصال عبر البريد الإلكتروني بوصفه طريقةً رئيسة للتواصل بين المنظمات والأفراد، وليصبح حالةً حساسة في مجال أمن المعلومات، فعلى الرغم من أهميّته؛ ولكنه أصبح طريقة ناشئة لتوجيه الجريمة في عالم الإنترنت، والتي سنعرض بعضها في هذا المقال (2).
من جانبٍ آخر، يُعدّ البريد الإلكتروني المتعدد الأطراف الخيارَ الأول المُعتمَد عند تسجيلِ عقود أو إلغائها أو منحِ تراخيص قانونية أو إعادةِ تمويل الديون وغيرها من الأمور المرتبطة بمنح الاتصالات الصلاحية القانونية؛ إذ يُمكّنك البريد الإلكتروني من الاحتفاظ بالمحتوى وتاريخ الإرسال والأصل والوجهة (3). ونتيجةً لذلك؛ نرى -وعلى نحو مستمر- الاهتمامَ بتطوير أدواتٍ وتقنيّات لتوفير اتصالات البريد الإلكتروني مع الحفاظ على الخصوصية والأمان (4).
كيف يعمل البريد الإلكتروني؟
يُستخدَم في الوقت الحاضر بروتوكولات POP3 (Post Office Protocol) و IMAP (Internet Mail Access Protocol) لتلقّي رسائل البريد الإلكتروني من الخوادم، إضافةً إلى استخدام بروتوكول (SMTP (Simple Mail Transfer Protocol بواسطة الخوادم لنقل رسائل البريد الإلكتروني فيما بينها.
يستخدم عملاء البريد الإلكتروني هذه البروتوكولات لإرسال رسائل بريد إلكتروني جديدة، وعلى الرغم من أنّ هذه البروتوكولات حسّنت طريقة تواصلنا؛ فهي لا تزال تواجه بعض المشكلات (1).
يُرسَل البريد الإلكتروني كنص عادي عبر الشبكات في جميع أنحاء العالم باستخدام بروتوكول نقل البريد البسيط (SMTP)؛ الذي وُسِّعَ لإلحاق تقارير/ رسائل الإبلاغ عن الأخطاء وإضافة مصادقة إضافية لتلبية الطلب المتزايد على خدمات البريد الإلكتروني المتقدم.
كذلك أُضيف بروتوكول (MTAs (Mail Transfer Agents في الخلفية، والذي ينقل الرسالة من مضيف إلى مضيف؛ مما يسمح بإرسال الرسالة عبر البريد في جميع أنحاء العالم (2).
يسمح بروتوكول SMTP لكل جهاز حاسوب تمرّ الرسالة عبره بتوجيهها بالطريقة الصحيحة إلى عنوان النهاية، وتكون العملية كالآتي:
1. ترسل Alice@yahoo.com بريدًا إلكترونيًّا إلى Bob@gmail.com.
2. تستقبل MTA البريد الإلكتروني الخاص بـ Alice على موقع yahoo.com وتضيفه إلى قوائم الانتظار (The waiting lists) لِتُسلَّم الرسائل الجاهزة كلها للإرسال فيما بعد.
3. يلتقي MTA yahoo.com بـ MTA gmail.com عبر المنفذ 24.
وبعد أن يُنجَز الاتصال، تُرسَل رسالة البريد إلى gmail.com، ثم يقبل موقع gmail.com الرسالةَ ويقرّ باستلامها، ومن ثمّ يُغلَق الاتصال.
4. توضع الرسالة في صندوق البريد الوارد لـ Bob بواسطة MTA gmail.com، وعند تسجيلات الدخول التالية سيعلم Bob عن وجود رسالة جديدة.
ولكن؛ ماذا يحدث لو كان Bob لا يملك حسابًا في gmail.com؟
في هذه الحالة، ترفض MTA على gmail.com الرسالة وتخبر MTA على yahoo.com بشأن الخطأ؛ إذ تنتج MTA على yahoo.com رسالةً وترسلها إلى Alice@yahoo.com لإعلامها بأنه لا يوجد Bob في gmail.com.
ماذا يحدث إذا لم يستجب gmail.com لمحاولات اتصال yahoo.com؟ (قد يكون الخادم (المضيف) متوقّفًا للصيانة أو الإصلاح).
تبلغ MTA في yahoo.com جهة Alice بأنّ محاولة التسليم الأولى قد سارت على نحو خاطئ، ومن ثمّ سينجز مدير الخادم مزيدًا من المحاولات خلال فاصل زمني محدد حتى الوصول إلى الموعد النهائي، ثم ستبلّغ Alice بأن الرسالة غير قابلة للتسليم (2).
فعليًّا قد بُذِلت جهودٌ كبيرة لتأمين البريد الإلكتروني (Securing Email)، وأُحرِزَ تقدمٌ مهم للحفاظ على خصوصية تبادل الرسائل عبر الإنترنت باستخدام مزيج معقد من تشفير المفتاح العام والمفتاح الخاص (Public-key and private key cryptography)، إضافةً إلى وجود حلول مختلفة للإعدادات المركزية، إذ تكون السلطات الموثوقة مسؤولةً عن اعتماد المفاتيح العامة.
وعلى الرغم من ذلك، فإنّ (PGP (Pretty Good Privacy هو الحل السائد عندما يتعلق الأمر بالإعدادات اللامركزية، وبسبب التعقيدات الأساسية المتجذّرة في سوء إدارة المفاتيح والعملية التي تسمح للمستخدمين في النهاية بمصادقة بعضهم البعض؛ فقد وجد اعتمادًا محدودًا، ومن ثم فإنّ الغالبية العظمى من الناس خارج البيئات المؤسسية لا يستخدمون حلول البريد الإلكتروني الآمنة على الإطلاق (1).
تتمركز خدمات البريد الإلكتروني في الخوادم، ولذلك يحتاج المستخدمون إلى الوثوق بمزوّدي خدمة البريد الإلكتروني (ESPs (Email Service Providers الذين يُديرون رسائلَ البريد الإلكتروني الخاصة بهم دون تشفير؛ أي لم تُؤسَّس بواسطة بروتوكولات البريد الإلكتروني، وقد يتسبب هذا في العديد من المشكلات؛ إذ يُرحِّلُ المستخدم 100٪ من رسائل البريد الإلكتروني على ESP التي اختارها، فإذا كانت الخوادم معطلة فلن يتمكن مستخدموها من استخدام حسابات البريد الإلكتروني الخاصة بهم على الإطلاق. إضافةً إلى ذلك، يجب أن يثق المستخدمون في كلٍّ من ESPs وخوادم أجهزة الاستقبال، بافتراض أنهم لا يقرؤون الرسائل التي يرسلها المستخدمون، ولكي يسترد POP3 رسائل البريد الإلكتروني عندما يتلقى العميل رسائل جديدة، تُحذَف من الخادم؛ أما باستخدام IMAP فتُخزَّن على الخوادم، لكن ESPs تضع قيودًا على عدد رسائل البريد التي يمكن تخزينها، ولا يوجد شيء يمنع ESPs من حذف رسائل البريد الإلكتروني في أي وقت (1).
بعض التهديدات في اتصالات البريد الإلكتروني: (2)
التنصت (Eavesdropping)
تنتقل رسائل البريد الإلكتروني عبر الإنترنت، ومع وجود عدد كبير من الأشخاص المتّصلين به فمن السهل جدًّا على شخصٍ ما التقاط أو تتبع الرسالة وقراءتها. وللتغلب على التنصت يمكن استخدام خدمات التشفير.
سرقة الهوية (Identity Theft)
إذا لم تُعتمَد بروتوكولات الأمان الصحيحة، فقد يلتقط المهاجم أو يسرق اسم المستخدم وكلمة المرور الخاصَّين بالضحية ويستخدمهما لقراءة رسائله. فضلًا عن ذلك، يمكن إرسال رسائل بريد إلكتروني من حساب الضحية حتى من دون علمه. وللتغلب على سرقة الهوية يمكن استخدام تحسين مهارات المستخدم.
الرسائل الكاذبة (False Messages)
يمكن اختلاق اسم المرسل بسهولة، فمن السهل جدًّا إرسال رسالة يبدو أنها قد أرسلها شخصٌ آخر غير محمي. وللتغلب على الرسائل الكاذبة يمكن استخدام تطوير مهارات المستخدم من أجل تمكينه من تمييز الرسالة الخاطئة.
النِّسخ الاحتياطية غير المحمية (Unprotected Backups)
يمكن حجز الرسائل عمومًا في نص عادي على خادم SMTP ويمكن إنشاء نسخ احتياطية، كذلك يمكن أن تكون الرسائل مقيمة على الخوادم (خوادم النسخ الاحتياطي) عدةَ سنوات حتى لو حذفتَ الرسالة. ولذلك؛ يمكن لأي شخصٍ يصلُ إلى هذه الخوادم قراءةَ رسائلك أو الوصول إليها.
وللتغلب على النِّسخ الاحتياطية غير المحمية يجب على العملاء التعامل مع خادم موثوق به للغاية.
التنصُّل (Repudiation)
من المعروف أنّه يمكن أن تكون رسائل البريد الإلكتروني مزيّفة، ولذلك يمكن التغلب على التنصل بأن يستخدمَ المرسلُ التوقيع الرقمي.
انتحال البريد الإلكتروني (Email spoofing)
للتغلب على انتحال البريد الإلكتروني يمكن تطبيق طبقة النقل الآمنة Transport Layer
Security وطبقة مآخذ التوصيل الآمنة (Secure Sockets Layer (TLS / SSL لفرض المصادقة.
البريد الإلكتروني العشوائي (Email Spamming)
للتغلب على البريد الإلكتروني العشوائي يمكن استخدام تصفية البريد الإلكتروني اعتمادًا على محتوى البريد الإلكتروني.
الاحتيال عبر البريد الإلكتروني (Email Frauds)
الاحتيال عبر البريد الإلكتروني هو غشٌّ عالمي يُجرَى لتحقيق بعض الفوائد الشخصية أو المكاسب المالية. وللتغلب على عمليات الاحتيال عبر البريد الإلكتروني؛ يمكن زيادة مهارات المستخدم من أجل تمكينه من التمييز بين عمليات الاحتيال عبر البريد الإلكتروني باستخدام مرشّح البريد الإلكتروني.
استخدام رسائل البريد الإلكتروني لتوزيع البرامج الضارة (Using Emails to spread malicious software)
يمكن للمهاجم استخدامَ رسائل البريد الإلكتروني لتوزيع الديدان والفيروسات والبرامج الضارة الأخرى، وذلك بإرفاقها مع رسائل البريد الإلكتروني، وعندما تفتحها فإنها ستهاجم متصفحك أو جهاز الحاسوب الخاص بك.
ويمكن استخدام خدمات التصفية -مثل مكافحة الفيروسات ومكافحة البريد العشوائي- للتغلب عليها.
التصيُّد الاحتيالي (Phishing)
يمكن أن يُعرَف كهجوم لسرقة معلوماتك السرية مثل بيانات الاعتماد المصرفية وكلمات المرور ورقم التعريف الشخصي لجهاز الصراف الآلي؛ إذ إنها تتوافق مع رسائل البريد الإلكتروني التي تأتي إلى حسابك والتي تبدو كأنها صادرة من جهة مُصدَّق عليها مثل مؤسستك المالية المودعة.
تجذبك رسائل البريد الإلكتروني هذه لفتح ارتباط تشعبي موجود في بريدك الإلكتروني أو الرد على الرسالة أو النقر فوق "إرفاق ملف" وتوجِّهُكَ هذه النقرة إلى موقع الويب الخاص بالمهاجم، ليبدو في الواقع أنه موقعٌ موثوق به لمؤسسة مالية للإيداع والتي تطلب منك مَلْءَ العديد من المعلومات السرية مثل كلمات المرور، ومن ثم سرقة كلمة المرور الخاصة بك واستخدامها لاحقًا لأي قصد خبيث.
يمكن أن تقلل عوامل تصفية البريد العشوائي المحدد عددَ رسائل البريد الإلكتروني المُخادعة التي تصل إلى صناديق البريد الوارد الخاصة بالمُرسَل إليهم، وإزالة هجمات التصيد الاحتيالي وتحليلها؛ إذ تعتمد هذه الأساليب على التعلم الآلي (machine learning).
البريد الإلكتروني المعتمد المتعدد الأطراف
يحافظ البريد الإلكتروني المعتمد المتعدد الأطراف على سرية البريد المتبادل بين المُرسِل والمستلمين حتى في حالة استخدام blockchain، وذلك استنادًا إلى عقود Ethereum الذكية. ونظرًا إلى أن وظائف العقد الذكي تُنفَّذ فقط على blockchain في حالة حدوث تعارض، تُقلَّل التكاليف إلى الحد الأدنى مقارنةً بالحلول التي تنفذ الوظائف على blockchain في الحالات جميعها (حلول on-chain) (3).
وفي نظرة عامة إلى بروتوكول البريد الإلكتروني المعتمد المتعدد الأطراف الخاص لتوفير العدالة والسرية بين المرسل والمستلمين دون مشاركة (TTP (trusted third party؛ يمكن دمج الحل في البنية التحتية الحالية للبريد الإلكتروني، ولا يلزم مشاركة blockchain إلا عند ظهور مشكلات في أثناء تبادل الرسائل، ويتطلب تطبيق هذا الحل مشاركة كلٍّ مما يأتي (3):
يتكون بروتوكول البريد الإلكتروني المعتمد المتعدد الأطراف من ثلاثة بروتوكولات فرعية: التبادل، والإنهاء، والإلغاء. ويأتي تسلسل خطوات البروتوكول الفرعي الأربع للتبادل كالآتي:
في الخطوة الأولى: يرسل المرسل الرسالة إلى المستلمين، وتكون مشفّرةً بمفتاح يعرفه هو فقط، إلى جانب دليل على عدم التنصل من الأصل يثبتُ أنّه أرسل هذه الرسالة.
في الخطوة الثانية: يجب على المستلمين الذين يرغبون في استلام الرسالة إرسالُ الدليلِ الأول على عدم التنصل من الاستلام إلى المرسل.
في الخطوة الثالثة: يجب على المرسل تقديمُ مفتاح فك التشفير إلى جانب الدليل الثاني على عدم إنكار المنشأ للمستلمين الذين أكملوا الخطوة الثانية؛ إذ يُشفَّر مفتاح فك التشفير بالمفتاح العام المحدد لكل من المستلمين الذين يجب أن يتلقوا الرسالة، ومن ثم يمكن فقط للمستلم المقابل الوصول إلى الرسالة.
في الخطوة الأخيرة، يجب على هؤلاء المستلمين إرسال الدليل الثاني على عدم التنصل من الاستلام إلى المرسل (3).
في الختام، نرى أنّ البريد الإلكتروني هو الأداة الأساسية للأعمال والاتصالات والتي تُستخدَم يومًا بعد يوم، ولذلك؛ حاولنا في هذا المقال توضيحَ آلية العمل في البريد الإلكتروني وبعضَ التهديدات وكيفية التغلب عليها، مع الإضاءة على البريد المعتمد المتعدد الأطراف واستخدامه تقنية blockchain.
المصادر: