Vážení partneři, vítejte na stránkách podpory GDPR pro obce a školy

Problematika emailové komunikace

Jak je to vlastně s těmi e-maily

Freemaily aneb e-mail zdarma 
Prakticky všechny freemaily, neboli služby poskytující e-mail zdarma, fungují tak, že vám poskytnou e-mailovou schránku na doméně patřící služba (jako například @gmail.com), emailovou schránku určité velikost, přístup přes webové rozhraní a přes POP3/IMAP. Platí různorodá omezení, stejně jako je možné si často pořídit řadu další služeb a funkci, někdy za příplatek, někdy jsou součástí zdarma poskytované nabídky. 
Pamatujte na to, že e-mailové účty se kradou, zejména pokud je hodně používáte a měli byste dbát na silná hesla a pokud je to možné, tak na dvoufaktorové ověření přihlašování. 

Spolehlivá zahraniční freemailová řešení

Gmail – www.gmail.com . je zdarma dostupné řešení e-mailu od Google (placení řešení je v Google Apps). Byť dříve nebo později narazíte na to, že v rámci všech těch ochran proti zneužití budete muset zadávat čísla mobilních telefonů a podstupovat další různorodá harakiri. 
Outlook.com – www.outlook.com – je to co dříve byl Hotmail a je to jedno z několika řešení, které nabízí Microsoft. Než se jedničkou mezi freemaily stal Gmail, tohle byla jednička až do roku 2012, kdy se na první příčku dostal právě Google.

Co v Česku? Tady moc spolehlivosti a zabezpečení nenajdete.

Seznam Email – email.seznam.cz – sice patří jedničce českého Internetu, ale stejně jako u vyhledávání, je i zde vidět, že nic pokročilého se nekoná. Pokud se rozhodnete jej využívat, tak zásadní pozor na absenci zabezpečení účtu a praktickou nemožnost účet jakkoliv získat zpět, pokud vám ho někdo hackne. Hodí se velmi dobře na jednorázové účty u kterých je vám jedno, zda přežijí či nikoliv. A taky jestli bude či nebude něco doručeno včas, protože tohle je jeden z častých problémů, moc rychle to prostě fungovat nebude. 
Centrum.cz mail – mail.centrum.cz – patříval druhému největšímu portálu v Česku, dnes je součástí vydavatelství Economia a stále jedním z nejpoužívanějších freemailů v Česku. Do Economie nakonec patří i email Volný.cz. 

Co znamená IMAP, POP3, SMTP, MAPI? A jak to souvisí s e-mailem?

POP3 (Post Office Protocol 3) je ta horší varianta toho, jak se můžete připojit k e-mailu. Slouží k stahování e-mailu z poštovních schránky umístěné na serveru. To že poštu stahuje znamená, že vytváří lokální kopii e-mailu a dost často může být nastavený tak, že stažený e-mail ze serveru maže. 
K POP3 je dobré vědět, že existuje v nezabezpečené podobě spojené s portem 110 a v zabezpečené (šifrované) podobě spojené s portem 995. Nezabezpečená podoba znamená nejenom to, že kdokoliv si „cestou“ může číst co si stahujete ze serveru, ale také může odchytit vaše přihlašovací údaje. Přihlášení ke schránce přes POP3 vyžaduje jméno a heslo (jméno může být váš e-mail). 
Připojení přes POP3 způsobuje řadu komplikací tam, kde onu poštovní schránku používáte i třeba přes webové rozhraní. Pokud zprávu změníte v počítači, tak na serveru se nezmění.

IMAP (správné řešení pro práci s obecnou poštou) 
IMAP (Internet Message Access Protocol) je tak lepší varianta přístupu k e-mailům uloženým na serveru. Počítá s tím, že poštu necháte na serveru a budete s ní také na serveru pracovat, byť i tady můžete mít uložené lokální kopie a vše snadno synchronizovat. Umí i řadu dalších vychytávek, včetně dost podstatné podpory složek. 
Nezabezpečený IMAP je spojen s portem 143 a zabezpečený (šifrovaný) s portem 993. Opět zde platí, že použití nešifrovaného spojení je zásadní bezpečnostní problém. I zde k přihlášení slouží kombinace jména (e-mailu) a hesla. 
IMAP má oproti POP3 řadu výhod, jednou z nich je i to, že odesílaná pošta se bude objevovat v odpovídající složce na serveru. U POP3 nic takového možné není, tam jde opravdu jenom o jednosměrný „stahovací“ protokol a odeslanou poštu tak budete mít k dispozici jen v tom zařízení, odkud jste ji posílali. IMAP zajistí i synchronizaci změn provedených lokálně. 
IMAP ale také může znamenat, že si schránku zaplníte. 
Řada free-mailů dělá s podporou IMAP problémy a různě to podmiňuje zaplacením (jednorázovým či trvalým). Freemailu co vám neumožní snadno připojit poštu přes IMAP se vyhněte obloukem. 

SMTP (nutné pro odesílání) 
SMTP (Simple Mail Transfer Protocol) je určen pro odeslání pošty a neobejdete se bez něj ať už používáte POP3 či IMAP. 
Nezabezpečené SMTP běhá přes port 25, šifrované zabezpečené přes port 465. V řadě případů je možné se k SMTP serveru připojit bez přihlašovacích údajů, ale čím dál tím více je nutné se přihlašovat – zpravidla pak máte stejného přihlašovací údaje jako pro POP3/IMAP, ale můžete mít také samostatné. 
S odesíláním přes SMTP bývá hodně problémů právě s ohledem na nutnost přihlašovat se a také proto, že SMTP servery běžně neumožňují zpracovat maily k odeslání z „cizích“ sítí. Největší peklo v tomhle ohledu nastává u freemailů, které vám neumožní používat jejich SMTP a chtějí, abyste použili ten v síti vašeho ISP či operátora – při mobilních telefonech připojujících se jak přes mobilní Internet tak přes WiFi to pak znamená zbytečné komplikace. 
TIP: Parametry (adresa, port, atd) a přihlašovací údaje k vaší poštovní schránce si někde uložte – parametry chránit nemusíte, přihlašovací údaje pochopitelně ano. Nějaký ten zaheslovaný soubor na to postačí, ale Správce hesel je také užitečný. Uložené se vám bude hodit až budete muset znovu nastavit připojení schránky a už dávno si nebudete pamatovat jak jste to udělali. 

MAPI, ActiveSync (tam kde je Microsoft Exchange) 
MAPI (Messaging API) můžete potkat také jako Exchange ActiveSync a patří k Microsoft Exchange a poště v těchto systémech. Vedle kompletní práce s poštou na serveru umí navíc i kontakty, kalendáře a další vychytávky. A jak název napovídá, vše je vázané na Microsoft Exchange, což je serverové řešení e-mailu. Pro ActiveSync/MAPI není potřeba SMTP, což je taky dost dobré vědět. Ale taky je dobré vědět, že připojení na Microsoft Exchange není příliš běžná možnost v poštovních programech – Microsoft si to velmi pečlivě hlídá, komu to umožní. 
U ActiveSync/MAPI žádné porty řešit nemusíte, tohle si řeší poštovní klient (ActiveSync Connector) sám, přihlašovací údaje jsou pak zpravidla jméno a heslo, případně u firemní pošty doména/jméno a heslo. Stejně jako kdekoliv jinde i tady by mělo být jistotou, že vše přenášené je šifrované. 
5. Pošta v mobilních telefonech 
V mobilních operačních systémech došlo k řadě snah o zjednodušení konfigurace pošty založených buď na tom, že o vás všechno váš mobil ví (Android, iOS), nebo že ví, jak správně nastavit často používané freemaily (či komerční e-mailové služby). 
Zpravidla tam pak postačí zadat váš e-mail (tedy ono něco(zavináč)domena.někde) a poštovní klient správně nastavit na potřebné parametry. Pokud ale nebude vědět jak, čeká vás opravdu zadávání či volba všech parametrů – tedy nejenom přihlašovací údajů, ale také hlavně adresy serveru (pro IMAP i pro SMTP) a odpovídajících portů. Stejným způsobem se pak nastavuje připojení desktopového e-mail klienta.

Využití obecního e-mailu 
Zaměstnanci organizace používají pracovní emaily pro komunikaci v rámci úřadu i pro komunikaci mimo úřad, nezřídka ovšem tato komunikace obsahuje osobní údaje (žádosti občanů, vyplněné formuláře, návrhy smluv, smlouvy, podání apod.). 
Emailové zprávy jsou většinou přenášeny otevřeným internetem bez šifrování či nějakého jiného zabezpečení proti odposlechnutí a přečtení přenášených zpráv. 
Emailové servery bývají často hostovány u třetích stran a k emailovým schránkám mají přístup administrátoři těchto systémů.

DOPORUČENÍ: 
Pro zabezpečení emailové komunikace je tedy nutné přijmout adekvátní technická a organizační opatření. 
Je doporučeno stanovit jasná organizační pravidla pro používání emailů a to:
Povolit užívání emailu pouze pro pracovní účely; 
Zakázat přístup k emailům z nechráněných zařízení.

Kde není používání emailové komunikace nezbytně nutné pro realizaci agendy, zakázat formou organizačního opatření používání emailů pro odesílání osobních údajů a tento zákaz vhodnou formou monitorovat. 
Pokud je to nutné pro výkon agendy, neodesílat emaily obsahující osobní údaje v nešifrované podobě. Osobní údaje je nutné umístit do zašifrované přílohy nebo zašifrovat celou zprávu a hesla zasílat jiným kanálem, než je email (např. sms, telefonicky apod.). Pro základní zabezpečení lze použít i běžně dostupný komprimovací program Zip, který má podporu na všech rozšířených platformách. 
V případě používání hostovaných emailových serverů doporučujeme také ošetřit smluvně otázku přístupu k datům s poskytovatelem služeb tak, aby byla zajištěna bezpečnost a důvěrnost poskytovaných emailových schránek. 
Technická opatření představují výhradní používání zabezpečených šifrovaných protokolů pro odesílání a stahování emailů. Dále je možné podpořit bezpečnost instalací specializovaných programů, které dokáží plnit funkci Data loss prevention (dále „DLP“) – ochrana proti úniku dat způsobeným lidskou chybou. Tyto DLP programy mohou být buď nainstalovány na koncové stanice uživatelů (tuto funkci dokáží plnit i některé antivirové programy) nebo jako síťová řešení, která zabezpečí komunikaci celého úřadu na úrovni perimetru vnější komunikace.
 
Využití a problematika freemailů 
Některé úřady dosud využívají pro emailové služby tzv. freemailové účty. Jedná se o hostované mailové servery, které bezplatně poskytují emailové schránky všem zájemcům (seznam, email.cz, gmail.com apod.). Přístup k těmto schránkám mají vždy i administrátoři systému, kteří nejsou zaměstnanci organizace a navíc ani nemusí mít sídlo v ČR nebo EU. Organizace pak nemůže mít plnou kontrolu nad administrací těchto mailových serverů a nemá pod kontrolou přístup k mailovým schránkám. Přístup k těmto schránkám je možný z jakéhokoliv zařízení připojeného do internetu, nelze ho omezit pouze na přístup ze zabezpečených prostředků, které má organizace pod kontrolou.

DOPORUČENÍ: 
Pro zabezpečení emailů na freemailových serverech je nutné přijmout obdobná technická a organizační opatření jako v předchozím případě. 
Je doporučeno stanovit jasná organizační pravidla pro používání takto nezabezpečených emailů:
Kde to není nezbytně nutné pro realizaci agendy, zakázat používání emailů pro odesílání osobních údajů. 
Pokud je to nutné pro výkon agendy, neodesílat emaily obsahující osobní údaje v nešifrované podobě. Osobní údaje je nutné umístit do zašifrované přílohy a hesla zasílat jiným kanálem, než je email (např. sms, telefonicky apod.). Pro šifrování lze použít i běžně dostupný komprimovací program Zip, který má podporu na všech rozšířených platformách.

Technická opatření představují výhradní používání zabezpečených šifrovaných protokolů pro odesílání a stahování emailů mezi poštovním klientem a serverem (SSL šifrované spojení). Dále je možné podpořit bezpečnost instalací specializovaných programů, které dokáží plnit funkci Data loss prevention – ochrany proti úniku dat způsobeným lidskou chybou. Tyto DLP programy je vhodné nainstalovat na koncové stanice uživatelů freemailů spolu s antivirovou ochranou.