stefankittel
Goto Top

Bedroht sMIME (und PGP) die Sicherheit?

Hallo,

durch die Verschlüsselung können Emails nicht und schädliche Inhalte und Anhänge geprüft werden solange diese nicht entschlüsselt wurden.

Fall1: Zertifikat in Outlook (oder jedes andere Email-Programm)
Weder im Antispam-Gateway/Software noch auf dem Mail-Server können die Mails überprüft werden.
Erst wenn in Outlook die Mail entschlüsselt wurde kann ein lokales AV-Programm den Inhalt prüfen.

Fall2: sMIME-Gateway
Tja, wo kommt denn das sMIME-Gateway hin? Vor oder Hinter das Antispam-/AV-Gateway?

Vor das AS/AV-Gateway? Dann kann das AS/AV-Gateway den Inhalt prüfen, aber Informationen wie IP-Adresse und SPF können nicht mehr geprüft werden.
Bzw. das sMIME-Gateway muss diese in die Header schreiben und das AS/AV-Gateway diese Spezial-Header auswerden.
Versucht das mal einem Hosted Exchange beizubringen...

Nach dem AS/AV-Gateway? Dann wurde dieses weiterhin den Inhalt nicht prüfen.

Also eigentlich müsste es AS/AV-Gateway -> sMIME-Gateway->AS/AV-Gateway->Exchange sein.
Aber mit welchen Lösungen kann man so etwas umsetzen?

Besonders im kleinem Umfeld mit 10-15 Mitarbeiter?

Viele Grüße

Stefan

Content-Key: 487147

Url: https://administrator.de/contentid/487147

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 21.08.2019 um 08:06:14 Uhr
Goto Top
Moin,

Ich sehe das Problem eher darin, daß Outlook html-mail verschickt statt reine textmails oder kombinierte Mails.

Solange text-only kommt, ist das AV kein Problem. Anhand des zertifikats vom Absender weiß man, ob das einer ist, dem man vertraut oder nicht und muß ggf nachfragen, bevor man die Attachments entschlüsselt. Von Leuten die man nicht kennt, soltle man auch keine Bonbons annehmen. Auch wenn die so hübsche Bildchen drauf haben.

Und das AV-Gateway sollte doch zumindest prüfen können, welcher Absender die Mails geschickte hat. und dementsprechend entsprechend einer white/black-list vorsortieren können.

Ich sehe da kein Problem bei sMIME oder PGP sonder eher bei den PEBCAKs

Meine Lösung wäre, die Mitarbeiter per Zuckerbrot und Cat9 zu erziehen.

lks
Mitglied: StefanKittel
StefanKittel 21.08.2019 um 08:46:54 Uhr
Goto Top
Hallo,

Ja und Nein.
Nehmen wir unseren Freund Emotet.

Der übernimmt einen PC.
Dann nimmt er eine Mail aus dem Posteingang, antwortet darauf mit "Anbei der Anhang den ich vergessen habe" und fügt eine docx mit Virus hinzu und aktiviert die Verschlüsselung (für die man natürlich kein Kennwort eingeben muss da es sonst zu nervig ist, das dürfte für 99% der Anwender gelten
).
Erst am Endpunkt sieht man überhaupt dass es einen Anhang gibt. Das AV-System versagt aus welchem Grund auch immer, Windows und Office sind nicht ganz so aktuell, beides Zero-Day-Exploids und Zack und Vorbei und Tot.

Und leider sind nunmal 98% aller Mails HTML.
Sieht ja auch schöner aus mit Logo, speziellen Fonts und schönen Farben face-smile

Stefan
Mitglied: it-fraggle
it-fraggle 21.08.2019 um 08:53:07 Uhr
Goto Top
Anhand des zertifikats vom Absender weiß man, ob das einer ist, dem man vertraut oder nicht und muß ggf nachfragen, bevor man die Attachments entschlüsselt.
Das nützt aber nichts, wenn das Gegenüber nicht weiß, dass es böse Sache verschickt bzw. in seinen Anhängen böse Sachen mit drin sind.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 21.08.2019 um 09:10:55 Uhr
Goto Top
Zitat von @it-fraggle:

Anhand des zertifikats vom Absender weiß man, ob das einer ist, dem man vertraut oder nicht und muß ggf nachfragen, bevor man die Attachments entschlüsselt.
Das nützt aber nichts, wenn das Gegenüber nicht weiß, dass es böse Sache verschickt bzw. in seinen Anhängen böse Sachen mit drin sind.

Deswegen muß man die Nutze rmit Cat9 erziehen.

lks
Mitglied: StefanKittel
StefanKittel 21.08.2019 um 09:21:56 Uhr
Goto Top
Jetzt mal ernst weiter...

Ich sehe das als großes Problem an.
Ich habe gestern schon ein bisschen telefoniert.

Die Antispam-GW-Anbieter sagen: Wir machen Antispam, was haben wir mit sMIME zu tun.
Und die sMIME-GW-Anbieter sagen: Wir machen nur sMIME, was haben wir mit Antispam zu tun.
Und sMIME in Outlook direkt ohen sMIME-GW führt zu Problemen wir Archivierung, Zugriff mit Handy/OWA, Sicherung der Zertifikate, etc

Also programmiere ich eine SMTP-Weiche basierend ob die Mail verschlüsselt ist.
Ein: Kunde -> AS-GW -> SMTP-Weiche -> sMIME-GW -> SMTP-AS-GW -> Weiche -> MailStore -> Exchange
Aus: Exchange -> MailStore -> sMIME-GW -> AS-GW -> Kunde
Das klingt sehr zuverlässig.... nicht

Stefan
Mitglied: VGem-e
VGem-e 21.08.2019 um 10:52:15 Uhr
Goto Top
Servus,

interessante Diskussion, die mir auch als Grundlage für die bei uns grad einzuführende Mailverschlüsselung dienen kann!

Evtl. wäre es ja (weiß schon, kein Rechtsforum!) trotz DSGVO zulässig, dass unsere Sicherheitslösung die Verschlüsselung "aufbricht" und so auf evtl. Schadcode untersucht?

Gruß
Mitglied: aqui
aqui 21.08.2019 um 12:49:50 Uhr
Goto Top
SMIME hat ja schon diverse Fehler und ist an sich ja schon die Sicherheitsbedrohung....
https://www.heise.de/select/ct/2018/12/1528508053834389
Mitglied: it-fraggle
it-fraggle 21.08.2019 um 16:36:35 Uhr
Goto Top
Was aber nicht heißt, dass man ab nun auf E-Mailverschlüsselung verzichten sollte. ^^
Mitglied: Dani
Dani 21.08.2019 um 16:43:48 Uhr
Goto Top
Moin,
Tja, wo kommt denn das sMIME-Gateway hin? Vor oder Hinter das Antispam-/AV-Gateway?
Dahinter ist eine schlechte Wahl, wenn das Antispam/Malware-Gateway als Proxy agiert. Denn dann würde auch eine unerwünschte E-Mails durch die Annahme durch das sMINE Gateway als zugestellt gelten. Das möchte eigentlich heute keiner mehr...

Die Antispam-GW-Anbieter sagen: Wir machen Antispam, was haben wir mit sMIME zu tun.
Und die sMIME-GW-Anbieter sagen: Wir machen nur sMIME, was haben wir mit Antispam zu tun.
Und sMIME in Outlook direkt ohen sMIME-GW führt zu Problemen wir Archivierung, Zugriff mit Handy/OWA, Sicherung der Zertifikate, etc
wahrscheinlich gibt es deshalb Hersteller, welches beides inzwischen in einem Produkt abbilden.


Gruß,
Dani
Mitglied: StefanKittel
StefanKittel 21.08.2019 um 21:22:07 Uhr
Goto Top
Zitat von @Dani:
wahrscheinlich gibt es deshalb Hersteller, welches beides inzwischen in einem Produkt abbilden.
Kennst Du welche? Alles was ich gefunden haben war nur AS-GW oder sMIME-GW.
Mitglied: Dani
Dani 26.08.2019 um 10:10:26 Uhr
Goto Top
Moin,
ich meine REDDOXX und NoSpamProxy.


Gruß,
Dani