TigerTeam - suomalainen tietoturvablogi

Sähköpostiosoitteen nykyinen muoto on määritelty jo vuonna 1982 dokumentissa RFC 822. Sen mukaan sähköpostiosoitteessa voi käyttää plus-merkkiä (+).

Useat postinvälitysohjelmat tulkitsevat plus-merkin sähköpostiosoitteessa siten, että plus-merkin ja @-merkin välinen osuus jätetään kokonaan huomiotta. Myös tuo osa välittyy kuitenkin vastaanottajan sähköpostipalvelimelle eteenpäin.

Jos käyttämäsi palveluntarjoajan postinvälitysohjelma toimii yllä esitetyn mukaisesti, voit yksilöidä sähköpostiosoitteesi, kun annat sen vaikkapa rekisteröityessäsi palveluun. Itselläni on käytössä mm. seuraavanlaisia osoitteita:

• pekka.viitasalo+amazon@example.com
• pekka.viitasalo+verkkokauppa@example.com
• pekka.viitasalo+bridge@example.com
• pekka.viitasalo+taloyhtio@example.com

Näihin osoitteisiin lähetetty sähköposti päätyy samaan postilaatikkoon, joka on pekka.viitasalo@example.com, mutta niissä näkyy viestin To-kentässä (Vastaanottaja) koko plus-merkillä varustettu osoite.

Auttaa myös vuodon jäljittämisessä

Sähköpostiosoitteen yksilöinnin perusteella voidaan lajitella sähköposteja nopeasti. Yksilöidystä sähköpostiosoitteesta voi myös päätellä mahdollisessa tietovuototilanteessa mistä palvelusta sähköpostiosoite on vuodettu.

Helppo tapa testata tukeeko palveluntarjoajasi sähköpostiohjelmisto plus-merkkiä on kokeilu. Lähetä omasta sähköpostiohjelmastasi itsellesi sähköpostia omaan yksilöityyn osoitteeseesi (joka on muotoa oma.nimi+testi@example.com) Jos viesti tulee perille, voit jatkossa käyttää plus-merkkiä sähköpostiosoitteesi yksilöintiin.

Yksilöidyn sähköpostiosoitteen käyttö onnistuu kunnolla toteutetuissa palveluissa. Valitettavasti kuitenkin useat sähköpostiosoitteen tarkastusohjelmat ovat väärin toteutettuja, eivätkä hyväksy plus-merkkiä.