Come posso impedire a qualcuno di modificare i contenuti di un'email che hanno ricevuto e quindi di inoltrarla ad altri? Alcuni dipendenti imbrogliano i manager modificando il contenuto delle e-mail e inoltrando loro l'e-mail modificata. Ho bisogno di un criterio che impedisca questa backdoor.
L'email è un canale di comunicazione non sicuro. Le intestazioni "a" e "da" possono essere impostate su qualsiasi cosa. Tutto ciò che può essere scritto nel corpo di un messaggio di posta elettronica. Ciò include la modifica del testo della citazione.
Il primo problema di manipolare intestazioni "a" e "da" può essere prevenuto in un ambiente chiuso come la posta interna della società. Il server di posta dell'azienda può verificare che l'intestazione "from" corrisponda all'account utilizzato per inviare l'email. E può verificare che l'intestazione "a" visibile corrisponda al vero destinatario.
Ma non esiste un modo facile e affidabile per impedire la manipolazione del testo citato.
Potresti utilizzare GPG / PGP o s / mime firme. Tuttavia, l'installazione di un'infrastruttura a chiave pubblica / privata non vale in genere i costi.
Non esiste una soluzione tecnica semplice. Utilizzare un approccio sociale o legale ("Cheating a manager" sembra abbastanza serio da giustificare un colloquio con il dipartimento delle risorse umane).
L'email non è sicura: gestiscila.
Email può essere reso sicuro per un valore adeguatamente definito di "sicuro", attraverso l'uso di firme ( S / MIME o OpenPGP ). Non è così facile come sembra (voglio dire, non sembra facile, ma in realtà è peggio). La pietra angolare del sistema è che le e-mail non firmate dovrebbero essere rifiutate automaticamente; gli utenti umani non dovrebbero mai vederli affatto, perché se li leggono, li crederanno sempre un po ', indipendentemente da quanto tu possa aver spiegato loro come sono semplici e insicure e semplici email. Pertanto, passare alle e-mail firmate è come un grande salto verso l'ignoto. In pratica, è essenzialmente un modo per rompere le e-mail (o per indurre gli utenti a passare a gmail ...).
Quello che puoi fare è educare e poi educare di nuovo :
smooth education : spiega ai tuoi utenti come l'email non affidabile è un mezzo. Mostra quanto è facile falsificare un'email (ad es. Con questa risposta ). Cerca di prevenire l'effetto "magico" che fa perdere la maggior parte degli esseri umani al buon senso non appena un computer è coinvolto (come diceva Clarke, i computer sono al di là dell '"orizzonte magico" della maggior parte delle persone - la soluzione è far capire loro come un computer funziona). Come bonus, questo rende gli utenti più resistenti al phishing.
La educazione meno semplice : lascia cadere tutta la forza della legge sui truffatori di prestigio. Sapere che il minimo gioco fasullo con la posta elettronica è un reato di tiro; i colpevoli saranno licenziati, incarcerati, fucilati e frustati (non necessariamente in questo ordine). L'idea è di rendere le email contraffatte non ne vale la pena. Funziona bene: questo è il modo in cui il mondo non informatico si occupa di firme autografe, e lo ha fatto per diversi secoli.
Questo è ciò che le firme crittografiche servono. I messaggi firmati GPG o PGP assicurano l'integrità dei messaggi.
Oltre alla risposta molto valida di avere gestori che firmano le comunicazioni, le fonti di riferimento sarebbero l'altro modo appropriato di gestire le cose. Se c'è un dibattito sul contenuto di un'e-mail, l'archivio dei messaggi inviati è il miglior riferimento per ciascuna parte. Se disponi di un sistema di archiviazione della posta elettronica, la copia del messaggio del server sarebbe la migliore.
A quel punto, siamo tornati all'elemento umano. Se falsi un'email e il server mostra che hai scritto qualcosa che non è stato realmente inviato, puoi dimenticarti di avere un lavoro.
Un ultimo commento sulla firma: un avvertimento con la firma è che ti imbatterai in problemi in cui il messaggio è firmato, poi modificato, quindi inviato. Se il ricevitore non verifica tutte le firme, allora nulla sarebbe "valido".
Archivialo: questo è l'archivio.
Le persone trattano le email come se fossero Vangelo ma è così facile da manipolare (come hai identificato).
Ci sono alcune soluzioni off-the-shelf, oppure puoi ottenere alcune consulenze per implementare un intero apparato solo per l'archiviazione - tipo SaaS.
Leggi altre domande sui tag email corporate-policy integrity people-management