Tak především by lidé měli automaticky své e-maily šifrovat a podepisovat svým šifrovacím klíčem.
Jasně, že mi kdokoliv může odeslat e-mail z adresy spolupracovnik@mojefirma.cz s žádostí o zaplacení extra nutného výdaje. Ovšem jenom těžko mi ho pošle zašifrovaný jeho šifrovacím klíčem :).
Máte tak zajištěnou nejen bezpečnost, ale i pravost odesílatele a autenticitu.
Veškerý potřebný SW je dokonce dostupný zdarma - dokonce i pro firemní použití. Stačí jej jenom používat.
Když vám někdo pošle e-mail zašifrovaný jeho veřejným klíčem, o odesílateli nezjistíte nic (tedy kromě toho, že neumí šifrování používat), a ten e-mail si ani nepřečtete (pro dešifrování byste musel mít jeho soukromý klíč).
Pro ověření identity odesílatele neslouží šifrování, ale podepisování. Že je potřebný software zdarma, to je sice hezké, ale ještě k tomu potřebujete nějaký důvěryhodný certifikát, a ten už pár stovek stojí. Nebo si samozřejmě můžete certifikáty vyměňovat přímo, a na organizaci a správě vás to bude stát ještě daleko víc.
Přičemž to šifrování nemá na autentičnost té zprávy vůbec žádný vliv. Navíc byste musel mít veřejný klíč všech novinářů, kterým to posíláte. No a šifrovat tiskovou zprávu, která je určena ke zveřejnění a kterou si v ideálním případě přečtete ve všech novinách, je docela zbytečné.
Organizace a správa veřejných klíčů lidí, se kterými komunikuji, by byla hodně nákladná -- proto vznikl koncept certifikačních autorit nebo sítě důvěry, který umožňuje rozhodovat o důvěryhodnosti certifikátu i bez toho, že bych to řešil přímo s druhou stranou komunikace.
Nejjednodušší je šifrovat a podepisovat. Když je nějaká zpráva podepsána privátním šifrovacím klíčem ředitele firmy XYZ, což je možno si ověřit podle toho, že souhlasí s ověřením pomocí veřejného klíče, který je možno stáhnout přímo na serveru XYZ, tak už je to velmi důvěryhodné - rozhodně srovnatelně s normálním podpisem.
Dvě drobnosti:
1. Odesílatel není nikdo, správně je odesilatel, tzn. z krátkým i.
2. Trace info je také pouze textové pole, z něj nevykoukáte vůbec nic; můžete věřit nanejvýš tomu, že záznam od Vašeho (přijímajícího) serveru je autentický, zbytek může být podvržený jako cokoli jiného ve zprávě.
Vaše prohlášení je asi tak stejně důvěryhodné jako původní hoax.
Kromě toho jak už poznamenal předpisatel, tak hlavička Received: je taky jen textová a je možné obsah tohoto pole manipulovat. A to nejenom textovým editorem, ale také například manipulací s PTR záznamy příslušnými k IP adrese, ze které byl email odeslán.
... firmám jako Forpsi.com vyžadovat, že potvrzení souhlasu s podmínkami registraci domén .cz "musí být odesláno z adresy XY". Když jsem se ptal na důvod s tím, že změnit adresu odesilatele je otázka pár sekund, dozvěděl jsem se, že "pravidla hlavního registru NIC.CZ musí odsouhlasit držitel domény a proto se požaduje odsouhlasení z emailu, který majitel domény uvedl jako kontaktní. Pokud email přepíšete, nebyla by pravidla potvrzena". U společnosti, jejíž činnost se týká internetu, bych přeci jenom očekával fundovanější odpověď...