Tulostusversio

1/2009

Yksityisyys: Suojaton sähköposti?

Teksti: Ari Husa

Sähköisen viestinnän tietosuojalakia valmisteltaessa on käyty vilkasta keskustelua sähköpostiviesteihin liittyvien tunnistamistietojen seuraamisesta ja viestinnän luottamuksellisuudesta. Ruotsissa puolustusvoimien signaalitiedusteluyksikkö (FRA) on saanut oikeuden seurata Ruotsin kautta kulkevaa tietoliikennettä, mikä on hermostuttanut myös suomalaisia - kulkeehan suurin osa Suomesta ulkomaille suuntautuvasta internet-liikenteestä juuri Ruotsin kautta.

Jotta voisi paremmin seurata asiasta käytyä keskustelua ja arvioida lainsäädännössä tapahtuvien muutosten vaikutuksia omaan sähköpostiviestintäänsä, on hyvä tietää sähköpostijärjestelmän toiminnasta. Mitä jälkiä viestien lähettämisestä jää? Näkeekö joku sivullinen viestin sisällön? Kuinka voi suojata sähköpostinsa ja voiko tarkkailulta jotenkin välttyä kokonaan?

Sähköpostiviestin matka lähettäjältä vastaanottajalle sisältää tavallisesti kolme "hyppyä" verkon yli, ja kopio viestistä varastoituu tilapäisesti tai pysyvämmin moneen paikkaan. Aina, kun tietokoneet käsittelevät tai siirtävät viestejä, siitä jää jonkinlainen jälki.

Ensimmäinen hyppy käyttäjältä palvelimelle

Tavallisesti sähköpostiviesti kirjoitetaan omalla työasemalla siihen tarkoitukseen tehdyllä ohjelmalla. Työaseman osuus viestin luottamuksellisuuden kannalta on tärkeä, sillä viestistä luodaan väliaikaisesti kopio työasemalle. Viesti voidaan poistaa siinä vaiheessa, kun kirjoittaja päättää lähettää viestin, mutta ohjelman asetuksissa voidaan myös määrätä se tallettamaan arkistokopiot kaikista lähetetyistä viesteistä.

Viestin ensimmäinen askel tietoverkossa on omalta työasemalta yrityksen tai internet-operaattorin sähköpostipalvelimelle. Sähköpostiohjelmat käyttävät viestin lähettämiseen oletusarvoisesti salaamatonta SMTP-protokollaa. Lähiverkon liikennettä tarkkailemalla viestin sisältö on tällöin mahdollista lukea. Laajakaistaliittymän suhteen tilanne on parempi, sitä eivät normaalitilanteessa sivulliset pääse helposti kuuntelemaan.

Käyttäjä voi kuitenkin suojata yhteyden postipalvelimelle ottamalla käyttöön SSL-suojatun SMTP-yhteyden, joka vaatii myös käyttäjätunnuksen ja salasanan postipalvelimelle. Suomalaisten sähköpostipalvelujen tarjoajien on tarjottava suojattua yhteyttä ensisijaisena vaihtoehtona. Sen ottaminen käyttöön vaatii kuitenkin sähköpostiohjelman asetusten muuttamista operaattorin ohjeiden mukaisesti.

Sähköpostipalvelinta voi usein käyttää myös selaimella. Webmail-yhteydet operaattorin palvelimeen toimivat yleensä aina suojatulla yhteydellä.

Toinen hyppy postipalvelinten välillä

Kun sähköpostipalvelin saa lähettäjän viestin välitettäväkseen SMTP-yhteyden tai WWW-käyttöliittymän kautta, siitä tallentuu rivi tunnistetietoja palvelimen lokitiedostoon. Viestistä tallennetaan yleensä sen vastaanottohetki, lähettäjän tietokoneen IP-osoite, lähettäjäksi ilmoitettu sähköpostiosoite, vastaanottajan sähköpostiosoite ja mahdollisesti muita tietoja, esimerkiksi viestin koko. Tallennettavien tietojen määrä vaihtelee, mutta viestin sisältöä ei talleteta lokiin.

Postipalvelin tallentaa vastaanottamansa viestin kiintolevylle jonoon odottamaan lähettämistä edelleen vastaanottajan palvelimelle. Tavallisesti viesti pyritään lähettämään saman tien.

Ensiksi palvelin tarkastelee vastaanottajan sähköpostiosoitteen verkkotunnusta (domain) ja kysyy nimipalvelimelta (DNS), mikä palvelin ottaa kyseiselle verkkotunnukselle osoitetut postit vastaan.

Palvelin muuttaa hiukan myös viestin sisältöä kirjoittamalla viestin teknisiin otsakkeisiin (headers) rivin, johon tallentuu viestin vastaanottohetki ja lähettäjän IP-osoite. Nämä Received:-rivit muodostavat periaatteessa katkeamattoman ketjun viestin kuljettamiseen osallistuneiden tietokoneiden osoitteista ja aikaleimoista. Palvelimet voivat kuitenkin muokata, poistaa tai lisätä näitä rivejä ja esimerkiksi roskapostiviesteissä ne ovat usein väärennettyjä. Sähköpostiohjelmat eivät näytä näitä rivejä käyttäjälle ilman eri komentoa.

Postipalvelimet keskustelevat keskenään internetin yli käyttämällä SMTP-protokollaa. Viestin lähettäjä ei voi vaikuttaa siihen, onko yhteys salattu vai salaamaton. Yleensä postipalvelimet eivät käytä salausta keskinäisessä viestinnässään, jolloin niiden välistä yhteyttä tarkkailemalla voisi nähdä myös viestin sisällön.

Kun viesti on toimitettu eteenpäin, palvelin poistaa viestin tilapäiskopion jonosta ja kirjoittaa onnistuneesta välittämisestä merkinnän lokitiedostoon.

Viestin vastaanottava postipalvelin kirjaa lokiin tiedon palvelinten välisestä yhteydestä ja välitettävän viestin tunnistetiedot. Lisäksi palvelin kirjoittaa vastaanotettuun viestiin oman Received:-rivinsä ja siirtää viestin vastaanottajan osoitteelle kuuluvaan postilaatikkoon. Suurissa sähköpostijärjestelmissä postilaatikko voi sijaita myös eri palvelimella.

Jos viestin välittäminen ei onnistu, lähettäjälle palautetaan virheilmoitus, jossa kerrotaan epäonnistumisen syy. Ilmoituksesta toimitetaan kopio myös postipalvelimen ylläpitäjälle. Joissakin järjestelmissä virheilmoitus voi sisältää myös alkuperäisen viestin kokonaisuudessaan, jolloin palvelimen ylläpitäjä voi nähdä sen sisällön.

Kolmas hyppy viestejä luettaessa

Viestin vastaanottaja ottaa sähköpostiohjelmallaan yhteyden postilaatikkopalvelimeen tarkistaakseen, onko siellä uusia viestejä.

Viestien lukemiseen käytetään joko POP3- tai IMAP4-protokollaa. Jälkimmäinen on monipuolisempi ja sen vuoksi yleistymässä. Operaattorit tarjoavat viestien lukemiseen myös protokollien SSL-suojattuja versioita. Suojauksen ottaminen käyttöön vaatii jälleen sähköpostiohjelman oletusasetusten muuttamista.

Jos suojattua yhteyttä ei käytetä, postipalvelimelle kirjautumiseen käytettävä käyttäjätunnus, salasana ja itse sähköpostiviestit siirtyvät lähiverkossa salaamattomina. Myös selaimella käytettävissä webmail-palveluissa kannattaa varmistaa, että suojattu yhteys on käytössä.

Kirjautumisesta sähköpostipalvelimelle ja viestien lukemisesta tai poistamisesta tallentuu palvelimelle lokirivejä, joista selviävät kirjautuvan koneen IP-osoite ja käytetty käyttäjätunnus.

Viestin sisällön voi suojata, osoitteita ei

On hyvä pitää mielessä, että sähköpostin välitysketjussa on sellaisia tapahtumia ja yhteyksiä, joihin viestin lähettäjä ei voi vaikuttaa.

Sähköpostiviesti on tavallaan kuin postikortti: postikonttorit siirtelevät korttia konttorista toiseen, kirjaavat välitystapahtumia päiväkirjoihinsa, lyövät viestiin leimoja matkan varrella, ja kortin sisältökin voi joskus olla uteliaan sivullisen luettavissa. Jos kortille kirjoitettavat terveiset sisältävät salaisuuksia, on sen sisältö jotenkin suojattava. Sähköpostiviestinnässä tämä tarkoittaa viestin salakirjoittamista.

Sähköpostiosoitteita ei voi salata, sillä järjestelmän täytyy tietää, mihin viesti toimitetaan. Viestin välittämiseen liittyvien tunnistamistietojen tallentamiseen postipalvelimille käyttäjä ei voi vaikuttaa.

Sähköpostin salaamistavasta täytyy yleensä erikseen sopia vastaanottajan kanssa, sillä mikään salaamisjärjestelmä ei ole sillä tavoin yleistynyt, että sen voisi ilman muuta olettaa olevan käytössä myös vastaanottajan tietokoneessa.

Kaksi yleisintä varsinaisesti sähköpostin salaamiseen käytettyä menetelmää ovat S/MIME ja PGP (Pretty Good Privacy). Jos kummankaan käyttäminen ei ole mahdollista, viestin sisällön voi salata käyttämällä joissakin tiedostojen pakkaamiseen käytettävissä ohjelmissa olevaa salaamisominaisuutta. Pakatun ja salasanalla suojatun tiedoston voi lähettää sähköpostiviestin liitetiedostona ja välittää käytetyn salasanan vastaanottajalle jollakin muulla tavoin, vaikkapa puhelimitse.

Peruskäyttäjän kannalta on tärkeää huolehtia oman työaseman turvallisuudesta, sillä työaseman luvaton käyttäjä voi lukea myös sen kiintolevylle talletetut viestit. Kun lisäksi käyttää suojattua yhteyttä viestien lähettämistä ja lukemista varten, on epätodennäköistä, että joku pääsisi lukemaan viestit. Yrityssalaisuuksia liikuteltaessa on viestien sisältö kuitenkin syytä aina suojata.

Viestintävirasto on julkaissut kuluttajille tarkoitetun tietopaketin sähköisten viestintäpalvelujen turvallisesta käytöstä >>

-----

[KIRJOITTAJA]

Tietoturva-asiantuntija Ari Husa työskentelee Viestintäviraston CERT-FI-yksikössä.

Lue myös

Yksityisyys: WLAN kertoo, missä liikut »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.