...
Avsenders mailserver bør være satt opp med følgende:
SPF (Sender Policy Framework): angir hvilke e-posttjenere som kan sende på vegne av avsender.
DKIM (DomainKeys Identified Mail): elektronisk signatur fra avsender som legges på utgående e-post, som kan verifiseres mot DNS.
Andre anbefalte metoder, som ikke alltid er praktisk mulige, er:
DMARC (Domain based Message Authentication, Reporting and Conformance): beskriver hvordan e-post som feiler på SPF og DKIM-sjekk behandles og gjør det mulig å fange opp f.eks. phishing-forsøk hvor avsender misbrukes.
Bruk av autentiseringsmekanismer mellom mail-servere (STARTTLS med sertifikat): gir autentisert og kryptert kommunikasjon mellom mail-servere, er også en mulighet.
Et annet tiltak kan være å sette opp overvåking av e-post som ikke blir levert hos avsender og som kommer tilbake med en feilkode eller lignende. Det gjør det mulig å varsle mottakeren og følge opp omfanget av leveringsproblemet.
...
HTML-formatert e-post må ha et design som identifiserer avsender, være språklig korrekte og skrevet med klart språk. Det gjør dem mer troverdige for mottakerne.
Forkortelser av lenken (av typen bitly eller lignende), eller at man legger en informativ tekst over visningen av lenken, gjør at e-posten oppfattes som mer mistenkelig. Det anbefales derfor å vise hele URL-en til signeringsoppdraget.
E-posten kan inneholde en generell lenke med informasjon av tjenesten, slik at det dokumenteres at oppgaven som skal utføres er legitimtlegitim.
Vedlegg bør ikke sendes på e-post, men lenkes opp slik at mottaker kan laste dem ned fra serveren ved behov.
...
På generelt grunnlag er ikke e-post med lenker en sikker løsning, fordi det kan bidra til å svekke den alminnelige årvåkenheten mot phishing-forsøk. Erfaringsmessig er det vellykkede phishing-forsøk som er den største kilden til vellykkede suksessfulle cyber-angrep mot myndigheter og bedrifter. Man bør derfor alltid vurdere om varsling kan skje på en annen måte enn ved bruk av e-post eller SMS.
Søknadssystemene sitter tettest på brukerne og kan best lage alternative løsninger, for eksempel gjennom administrering av portaler og brukerkontoer. DiBK er gjerne med på å diskutere hvordan vi kan tilgjengeliggjøre grunnlagsdata som gjør at søknadssystemene kan lage en portal for blant annet Signeringstjenesten for ansvarlige foretak.
Se også: Hvordan unngå direktelenke til erklæringen?