Roskapostitus on yksi Internetin laajamittaisimmista lieveilmiöistä. Internet tarjoaa roskapostittajalle hyvät ja nopeat mahdollisuudet tavoittaa laaja yleisö. Tämän vuoksi lähes jokainen sähköpostin käyttäjä on saanut postilaatikkoonsa roskapostiksi luokiteltavia sähköposteja.
Suoramarkkinointia koskevien säännösten vastaisesti lähetetyt palveluiden tai tuotteiden markkinointiin liittyvät sähköpostiviestit muodostavat ns. perinteisen roskapostityypin. Nämä viestit on lähetetty joko ilman vastaanottajan suostumusta tai hänen kiellostaan huolimatta. Roskapostit voivat olla myös muuta ei toivottua viestintää, kuten virheilmoituksia. Yleensä tällaisissa viestiessä sähköpostikäyttäjän osoite tai organisaation domain-nimi on väärennetty roskapostin lähettäjätietoihin ja virheilmoitukset saapuvat väärien lähettäjätietojen perusteella väärennöksen uhriksi joutuneelle sähköpostin käyttäjälle tai organisaatiolle.
Monet sähköpostimadot väärentävät lähettämänsä sähköpostin lähettäjätiedot. Osa näistä madoista sisältää roskapostin edelleen lähetykseen tarkoitetun välitysohjelmiston (proxy). On tärkeää huomioida, että kotikäyttäjien tietojärjestelmät ovat muodostumassa yhdeksi halutuimmaksi roskapostin lähetyskanavaksi.
Roskapostittaja käyttää usein ns. agentti-ohjelmia apunaan saalistaessaan sähköpostiosoitteita Internetistä. Agentti-ohjelmat käyvät läpi tuhansia Internet-sivustoja päivittäin etsien henkilöiden ja organisaatioiden sähköpostiosoitteita. Näistä osoitteista muodostuu listoja, joita voidaan kaupata edelleen toisille roskapostittajille. Tällaiselle roskapostituslistalle joutuminen tietää laajamittaisen roskapostitulvan uhriksi joutumista. Näiltä listoilta pois pääseminen on useimmiten hyvin hankalaa.
Haavoittuvuudelle alttiit järjestelmät:
Kaikki tietojärjestelmät, joissa ylläpidetään sähköpostipalvelimia
Kaikki tietojärjestelmät, joissa käytetään sähköpostiohjelmistoja
Estä järjestelmääsi joutumasta roskapostin välityskanavaksi seuraavasti:
Jos ylläpidät sähköpostipalvelinta, määrittele asetukset oikein, jotta sähköpostipalvelimesta ei muodostu roskapostin lähetyskanavaa. Älä liitä Internetiin Open SMTP Relay-palvelimia.
Jos ylläpidät www-palvelinta, määrittele www-palvelinohjelmasi asetukset niin, ettei roskapostitus sen kautta ole mahdollista (vrt. formmail-skripti)
Huolehdi tietojärjestelmän turvallisuudesta käyttämällä turvallisia ohjelmistoversioita, palomuuria sekä riittävän vahvoja salasanoja
Käytä automaattisesti päivittyvää sekä jatkuvasti päällä olevaa virustorjuntaohjelmistoa. Virustarkasta liitetiedostot aina ennen avaamista.
Rajoita roskapostista aiheutuvia ongelmia seuraavasti:
Harkitse kenelle luovutat virallisen sähköpostiosoitteesi
Älä vastaa roskapostiviestiin, sillä silloin roskapostittaja huomaa osoitteesi olevan toiminnassa
Harkitse roskapostituksen suodattamista Internet-yhdyskäytävä (gateway)- tasolla käyttämällä tähän tarkoitukseen soveltuvia ohjelmistoja
Älä laita oikeassa muodossa olevia sähköpostiosoitteita www-sivuille, etteivät agenttiohjelmistot pysty hyödyntämään niitä. Käytä www-sivuilla vain muokattuja sähköpostiosoitteita ohjeella varustettuna:
etunimi.sukunimi@domain-nimenne.fi.NOSPAM.invalid (käyttöohje: poista osoitteestani sanat .NOSPAM sekä .invalid) tai mainitse www-sivuilla organisaation sähköpostiosoitteiden olevan muotoa: etunimi.sukunimi@domain-nimenne.fi (ilman suoraa linkkiä, joka mahdollistaa "klikkauksella" sähköpostin lähettämisen)
Käytä sähköpostiliikenteessä digitaalisen allekirjoituksen mahdollistavaa ohjelmistoa. Näin sähköpostin vastaanottaja voi todentaa viestin lähettäjätiedot oikeaksi
Joutuessanne laittoman suoramarkkinoinnin kohteeksi ja mikäli roskapostittaja on suomalainen taho, ottakaa yhteyttä tietosuojavaltuutettuun. Lisätietoja tietosuojavaltuutetusta saa osoitteesta: http://www.tietosuoja.fi/
Jos joudutte muuntyyppisen, massiivisen roskapostituksen uhriksi, pyrkikää saamaan esimerkiksi nimissänne lähetetty sähköpostiviesti kokonaisuudessaan itsellenne otsikkotietoineen (headers), joista käy ilmi sähköpostin tarkat lähettäjätiedot. Ottakaa yhteyttä palveluntarjoajaanne tai CERT-FI-ryhmään.
Lähde: Viestintävirasto/CERT-FI