Marta Kwiatkowska: BIMI to bardzo ważnym temat w kontekście tak ważnego dziś bezpieczeństwa sieci...

Marcin Kujawski, dyrektor IT w EmailLabs: BIMI jest bardzo istotnym tematem, ponieważ jest w stanie ograniczyć phishing, z którym spotykamy się teraz na co dzień. Obecnie phishing nie wygląda już tak, jak jeszcze kilka lat temu, kiedy przychodził do nas jakiś prosty mail i już na pierwszy rzut oka dało się go zidentyfikować jako niebezpiecznego. W tym momencie mamy z tym coraz większy problem – to są naprawdę bardzo profesjonalne przygotowane kampanie, które przypominają do złudzenia to, co wysyłają do nas marki, z których usług korzystamy na co dzień. Wraz z informatyzującym się światem jesteśmy narażeni na coraz większe niebezpieczeństwo utraty pieniędzy czy danych osobowych.

Właśnie! Obecnie phishing bywa tak dobrze zrobiony, że nawet my, specjaliści siedzący w tej branży, czasem możemy dać się złapać. Co dopiero osoby, które nie mają z tym żadnej styczności na co dzień…

Zgadza się. 

I właśnie w tym momencie “wjeżdża” BIMI na białym koniu, aby nas uratować. Czym jest standard BIMI i w jaki sposób chroni w sieci?

Standard BIMI to inaczej Brand Indicators for Message Identification. Rozszerza on standard SPF, DKIM i DMARC. Są to globalne standardy, których spełniania wszyscy duzi dostawcy poczty wymagają od “wysyłających”. Pozwalają one spiąć domenę wysyłającą bezpośrednio z mailem, który wysyłamy. 

Problem pojawił się, kiedy okazało się, że SPF-a i DKIM-a można oszukać. DMARC trochę uniemożliwiał ten proceder, choć z drugiej strony nie uchronił przed tym, co spotkało ostatnio jeden z dużych polskich banków. Atak pishingowy wykorzystał w tym przypadku literówkę w domenie. Kiedy mamy literówkę w domenie i skonfigurujemy sobie SPF-a, DKIM-a i DMARC-a, to okazuje się, że możemy podszyć się, mimo wszystko, pod markę. W tamtym przypadku mailing był świetnie przygotowany, kierował na stronę logowania do banku, która wyglądała praktycznie identycznie jak ta, którą znamy na co dzień. Trudno jest coś takiego wykryć. 

I tutaj, tak jak wspomniałaś, „wjeżdża” BIMI, które dodatkowo pomaga powiązać jeszcze identyfikację wizualną. W standardzie BIMI przy nadawcy pojawia się logo instytucji. Zwiększa to wiarygodność maila, choć to też można by w jakiś sposób pewnie oszukać. Dlatego, poza samym standardem BIMI, dostawcy wprowadzili nowy rodzaj certyfikatu. Jest to certyfikat VMC, czyli Verified Mark Certificate, który pozwala nałożyć certyfikację na logo i powiązać je jednocześnie z domeną. Wtedy jesteśmy niemalże pewni, że mail, którego dostajemy, przychodzi faktycznie od usługodawcy, ponieważ jest on powiązany z certyfikatem, który bardzo dokładnie weryfikuje to, kto jest nadawcą maila.

Tak sobie myślę, że ogromne znaczenie ma tutaj edukacja, świadomość. Nie każdy z odbiorców wie, że ten standard istnieje i że jest on potwierdzeniem wiarygodności mailingu…

Jak najbardziej! Musimy wyrobić w odbiorcach wiadomości świadomość, że jeżeli pojawia się w mailu – np. na Gmailu, który pierwszy wprowadził ten standard – logo, to możemy zaufać wówczas takiemu nadawcy i nie musimy się obawiać tego maila. Możemy np. pobrać z niego bez obawy fakturę. 

Z drugiej strony skorzystanie z tego standardu jest też na pewno w interesie nadawców. Na atakach pishingowych cierpi przecież reputacja. Warto mieć świadomość, że dbanie o tego typu zabezpieczenia podnosi wiarygodność. Widzimy to już w zakresie samego DMARC-a, który bardzo pomógł e-commercom, zwiększając nie tylko wiarygodność, ale i dostarczalność. 

Wspomniałeś o Gmailu. Czy każda skrzynka obsługuje BIMI, czy są jakieś wyjątki?

Na ten moment w pełni zaimplementowane BIMI mamy w Gmailu oraz w Yahoo. Fastmail, z tego co pamiętam, też już je wdrożył. Jeżeli chodzi o firmy, które są zainteresowane tym wdrożeniem, to jest to Wonderland – światowy, duży hosting – oraz u naszych południowych sąsiadów pracuje nad tym Seznam. Kiedy o standardzie BIMI zaczęło być głośno, zaczęliśmy również  rozmawiać o nim z jednym z polskich dostawców – nie chciałbym zdradzać nazwy, ale z pewnością za niedługo będzie to już widać.

Może wolisz obejrzeć tę rozmowę?

Właśnie – o BIMI zaczęto mówić całkiem niedawno…

Bo tak naprawdę ten standard obowiązuje od 2021 roku. Wcześniej pilotażowo uruchomiony był dla klientów Gmaila i G Suite (aktualnie Google Workspace – przyp. red.), a w tym momencie można już legalnie nabywać certyfikaty VMC i uruchamiać BIMI we własnych organizacjach. 

Jaka jest skala wdrożeń BIMI w Polsce? Jak wiele e-commerców zdecydowało się już na wdrożenie?

Grupa BIMI nie chwali się takimi informacjami. My jednak widzimy ogromne zainteresowanie ze strony naszych klientów. Zgłaszają się do nas także organizacje, które nie korzystają bezpośrednio z naszych usług, co potwierdza, że zainteresowanie tematem jest bardzo duże. Możemy to stwierdzić też po tym, że operator, o którym wcześniej wspominałem, zgłosił się do nas sam, żeby zapytać, jak do tego podejść. 

Załóżmy, że mam swój e-commerce. Po rozmowie z Tobą jestem już zdecydowana na standard BIMI. Dzwonię i mówię: „Marcin, wdrażamy”. Jakie dokumenty muszę mieć i jakie warunki spełniać, żebyście byli w stanie wdrożyć u mnie ten standard? 

Samo BIMI nie jest trudne do wdrożenia, dlatego, że opiera się wyłącznie o wpisy w DNS-ie. Oczywiście, musimy spełnić warunek posiadania SPF-a, DKIM-a oraz DMARC-a. DMARC powinien być ustawiony w polityce restrykcyjnej, czyli jeżeli coś nie będzie się zgadzało przy sprawdzaniu SPF-a lub DKIM-a, to wiadomość musi być odrzucana przez providera. My to zaznaczamy w DNS-ie. Dodatkowo musimy dodać wpis BIMI, który wskazuje lokalizację logo oraz opcjonalnego certyfikatu VMC. Opcjonalnego dlatego, że jak wynika z samych warunków technicznych, certyfikat nie musi być wymagany, a grupa BIMI zostawia decyzję o jego posiadaniu po stronie dostawcy. Wiemy już, że Gmail będzie wymagał tego certyfikatu, bo to jeszcze bardziej zwiększa wiarygodność. 

Sam proces certyfikacji jest trochę bardziej skomplikowany, niż np. standardowego certyfikatu SSL, a nawet Extended Validation, w przypadku którego urząd certyfikujący dzwoni do nas, żeby potwierdzić nasze dane. W przypadku VMC musimy wykazać, że jesteśmy właścicielem logo, czyli musimy mieć je zarejestrowane w urzędzie certyfikującym – polskim lub europejskim. Dodatkowo osoba, która stara się o certyfikację, musi być notarialnie potwierdzona przez wskazanego przez urząd certyfikujący notariusza, oczywiście działającego w obrębie jego miasta. Osoba ta musi potwierdzić swoją tożsamość i przynależność do organizacji, którą reprezentuje. Dodatkowo sprawdzana jest poprawność formatu pliku graficznego. Podpowiem, że musi być to format SVG, w odpowiedniej rozdzielczości. 

W zasadzie to jest już wszystko. Musimy jeszcze tylko potwierdzić, że jesteśmy właścicielem domeny, ale tutaj jest już standardowa procedura, jak przy certyfikacie SSL – za pośrednictwem linku potwierdzającego, który przychodzi na maila administracyjnego. 

Czyli proces ten wcale nie jest taki prosty… Choć może to dobrze, bo dzięki temu zabezpieczenie jest rzeczywiście wiarygodne. 

Zgadza się.

Może wolisz posłuchać tej rozmowy?

Właściwie można to zrobić na własną rękę, choć oczywiście będzie to bardziej skomplikowane. Powiedz mi, proszę, czemu jednak powinnam zadzwonić do Ciebie i przeprowadzić wdrożenie z EmailLabs? 

W grupie R22, do której należy Vercom, znajduje się usługa „Certyfikaty SSL.pl”. To oni jako pierwsi wprowadzili certyfikat VMC w Polsce. My przeszliśmy już cały ten proces. Jako że współpracujemy z Certyfikatami, pomagamy przejść całą tę procedurę, przygotować i sprawdzić wpisy SPF, DKIM, DMARC. 

Umożliwiamy również sprawdzenie maili w usłudze Mailchecker.net – dzięki niej, wysyłając maila na wskazany adres, możemy zobaczyć, jak będzie wyglądało nasze logo, które wskazaliśmy przy wpisie BIMI. Dodatkowo od razu informujemy, co trzeba poprawić. Oczywiście Mailchecker sprawdza również dużo innych rzeczy, ale zespół EmailLabs jest dumny zwłaszcza z tego, że dopięliśmy to BIMI jeszcze przed uruchomieniem certyfikatów. Cały zespół, łącznie z Biurem Obsługi Klienta, bardzo mocno pracował nad tym, by podzielić się zdobywaną przez lata naszej działalności wiedzą na temat tego, jak mailing powinien wyglądać, aby spełnić warunki pod BIMI. 

Szukając informacji o BIMI przed naszą rozmową, znajdowałam w większości artykuły na blogu EmailLabs. Poza Wami istnieje mało polskich źródeł. 

Staramy się, żeby „Labs” w nazwie EmailLabs nie było przypadkowe. Jednym z naszych celów zawsze była edukacja, szerzenie wiedzy wśród programistów, klientów, operatorów pocztowych. Chcemy mieć wpływ na to, co się dzieje na rynku. Pomagamy naszym klientom lepiej rozumieć nowinki technologiczne z rynku e-commerce i fintech, zwłaszcza, że coraz bardziej zaczyna im doskwierać phishing

Fintech jest na to szczególnie narażony, ponieważ wszystkie branże bezpośrednio związane z finansami mogą obawiać się phishingu. Na szczęście w fintechach bardzo mocno rozwinięty jest aspekt bezpieczeństwa, istnieją nawet osobne działy ds. bezpieczeństwa. Jak jednak widzimy na przykładzie ostatnich ataków, pewnych rzeczy nie da się uniknąć, więc bardzo ważna jest również ostrożność po stronie odbiorców maili. 

Czy dobrze rozumiem, że jeżeli wdrożę standard BIMI, to działa on na całą domenę firmową, a nie na konkretny mail?

Zgadza się. Działa on nie tylko na domenę, ale też na subdomenę. BIMI jest na tyle przemyślanym rozwiązaniem, podobnie jak DMARC i DKIM, że pozwala nawet podzielić to na poszczególne elementy, jakby poszczególne „podmarki” danej marki. Możemy zarejestrować kilka znaków towarowych na jeden certyfikat i wskazać, że z konkretnej subdomeny ta wizualizacja indywidualna będzie nieco inna. Podając przykład poznańskiego Allegro, możemy zgłosić jednocześnie markę Allegro i Allegro Lokalnie – w zależności od tego, z jakiej subdomeny pójdzie mailing, takie logo wyświetli się odbiorcy.

Czy działa to bezterminowo, czy po jakimś czasie BIMI wygasa? 

Certyfikat wydawany jest na 12 miesięcy. Pierwszy etap certyfikacji, kiedy wyrabiamy certyfikat za pierwszym razem, jest trochę bardziej skomplikowany i kosztowny. Następne etapy to po prostu coroczne odnawianie, które jest już tańsze. 

Na zakończenie, powiedz mi, jaki to ma wpływ na marketing? Wydaje mi się, że może to wpływać na otwieralność maili, bo odbiorca jest zidentyfikowany, natomiast, czy ma to jakiś wpływ na dostarczalność maili?

Zdecydowanie! Zaraz po przejściu pozytywnej certyfikacji w EmailLabs przeszliśmy do badań dostarczalności. Zauważyliśmy, że filtry antyspamowe dużo lepiej traktują takiego maila i dochodzi on znacznie częściej – w zasadzie za każdy razem – do skrzynki odbiorczej. Dodatkowo dochodzi nam aspekt wizualny – na pewno to wpłynie lepiej na open rating, dlatego, że mail będzie się bardzo wyróżniał.

Wracając do Gmaila, widzimy koło odbiorcy takie kółko, w którym mamy kolorowe tło – kiedy ja wysyłam maila, jest ono szare i widzę swoje inicjały. Jeśli wysyłam wiadomość z maila firmowego, czyli nadawcą jest EmailLabs, widzę literę „E”. Natomiast w tym przypadku zamiast liter pojawi się logo. Robi to naprawdę dużą różnicę, e-mail od razu rzuca się w oczy. Działa to tak, że jak widzimy logo marki, z której korzystamy, np. operatora komórkowego czy banku, przykuwa to naszą uwagę i od razu zastanawiamy się, czy jest to coś ważnego. 

Czyli rzeczywiście BIMI wpływa nie tylko na bezpieczeństwo, ale też na kwestie marketingowe. Bardzo Ci dziękuję za rozmowę!

Również dziękuję.