11
Bedroht sMIME (und PGP) die Sicherheit?
Hallo,
durch die Verschlüsselung können Emails nicht und schädliche Inhalte und Anhänge geprüft werden solange diese nicht entschlüsselt wurden.
Fall1: Zertifikat in Outlook (oder jedes andere Email-Programm)
Weder im Antispam-Gateway/Software noch auf dem Mail-Server können die Mails überprüft werden.
Erst wenn in Outlook die Mail entschlüsselt wurde kann ein lokales AV-Programm den Inhalt prüfen.
Fall2: sMIME-Gateway
Tja, wo kommt denn das sMIME-Gateway hin? Vor oder Hinter das Antispam-/AV-Gateway?
Vor das AS/AV-Gateway? Dann kann das AS/AV-Gateway den Inhalt prüfen, aber Informationen wie IP-Adresse und SPF können nicht mehr geprüft werden.
Bzw. das sMIME-Gateway muss diese in die Header schreiben und das AS/AV-Gateway diese Spezial-Header auswerden.
Versucht das mal einem Hosted Exchange beizubringen...
Nach dem AS/AV-Gateway? Dann wurde dieses weiterhin den Inhalt nicht prüfen.
Also eigentlich müsste es AS/AV-Gateway -> sMIME-Gateway->AS/AV-Gateway->Exchange sein.
Aber mit welchen Lösungen kann man so etwas umsetzen?
Besonders im kleinem Umfeld mit 10-15 Mitarbeiter?
Viele Grüße
Stefan
durch die Verschlüsselung können Emails nicht und schädliche Inhalte und Anhänge geprüft werden solange diese nicht entschlüsselt wurden.
Fall1: Zertifikat in Outlook (oder jedes andere Email-Programm)
Weder im Antispam-Gateway/Software noch auf dem Mail-Server können die Mails überprüft werden.
Erst wenn in Outlook die Mail entschlüsselt wurde kann ein lokales AV-Programm den Inhalt prüfen.
Fall2: sMIME-Gateway
Tja, wo kommt denn das sMIME-Gateway hin? Vor oder Hinter das Antispam-/AV-Gateway?
Vor das AS/AV-Gateway? Dann kann das AS/AV-Gateway den Inhalt prüfen, aber Informationen wie IP-Adresse und SPF können nicht mehr geprüft werden.
Bzw. das sMIME-Gateway muss diese in die Header schreiben und das AS/AV-Gateway diese Spezial-Header auswerden.
Versucht das mal einem Hosted Exchange beizubringen...
Nach dem AS/AV-Gateway? Dann wurde dieses weiterhin den Inhalt nicht prüfen.
Also eigentlich müsste es AS/AV-Gateway -> sMIME-Gateway->AS/AV-Gateway->Exchange sein.
Aber mit welchen Lösungen kann man so etwas umsetzen?
Besonders im kleinem Umfeld mit 10-15 Mitarbeiter?
Viele Grüße
Stefan
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 487147
Url: https://administrator.de/forum/bedroht-smime-und-pgp-die-sicherheit-487147.html
Ausgedruckt am: 11.04.2025 um 18:04 Uhr
11 Kommentare
Neuester Kommentar
Moin,
Ich sehe das Problem eher darin, daß Outlook html-mail verschickt statt reine textmails oder kombinierte Mails.
Solange text-only kommt, ist das AV kein Problem. Anhand des zertifikats vom Absender weiß man, ob das einer ist, dem man vertraut oder nicht und muß ggf nachfragen, bevor man die Attachments entschlüsselt. Von Leuten die man nicht kennt, soltle man auch keine Bonbons annehmen. Auch wenn die so hübsche Bildchen drauf haben.
Und das AV-Gateway sollte doch zumindest prüfen können, welcher Absender die Mails geschickte hat. und dementsprechend entsprechend einer white/black-list vorsortieren können.
Ich sehe da kein Problem bei sMIME oder PGP sonder eher bei den PEBCAKs
Meine Lösung wäre, die Mitarbeiter per Zuckerbrot und Cat9 zu erziehen.
lks
Ich sehe das Problem eher darin, daß Outlook html-mail verschickt statt reine textmails oder kombinierte Mails.
Solange text-only kommt, ist das AV kein Problem. Anhand des zertifikats vom Absender weiß man, ob das einer ist, dem man vertraut oder nicht und muß ggf nachfragen, bevor man die Attachments entschlüsselt. Von Leuten die man nicht kennt, soltle man auch keine Bonbons annehmen. Auch wenn die so hübsche Bildchen drauf haben.
Und das AV-Gateway sollte doch zumindest prüfen können, welcher Absender die Mails geschickte hat. und dementsprechend entsprechend einer white/black-list vorsortieren können.
Ich sehe da kein Problem bei sMIME oder PGP sonder eher bei den PEBCAKs
Meine Lösung wäre, die Mitarbeiter per Zuckerbrot und Cat9 zu erziehen.
lks
Hallo,
Ja und Nein.
Nehmen wir unseren Freund Emotet.
Der übernimmt einen PC.
Dann nimmt er eine Mail aus dem Posteingang, antwortet darauf mit "Anbei der Anhang den ich vergessen habe" und fügt eine docx mit Virus hinzu und aktiviert die Verschlüsselung (für die man natürlich kein Kennwort eingeben muss da es sonst zu nervig ist, das dürfte für 99% der Anwender gelten
).
Erst am Endpunkt sieht man überhaupt dass es einen Anhang gibt. Das AV-System versagt aus welchem Grund auch immer, Windows und Office sind nicht ganz so aktuell, beides Zero-Day-Exploids und Zack und Vorbei und Tot.
Und leider sind nunmal 98% aller Mails HTML.
Sieht ja auch schöner aus mit Logo, speziellen Fonts und schönen Farben
Stefan
Ja und Nein.
Nehmen wir unseren Freund Emotet.
Der übernimmt einen PC.
Dann nimmt er eine Mail aus dem Posteingang, antwortet darauf mit "Anbei der Anhang den ich vergessen habe" und fügt eine docx mit Virus hinzu und aktiviert die Verschlüsselung (für die man natürlich kein Kennwort eingeben muss da es sonst zu nervig ist, das dürfte für 99% der Anwender gelten
).
Erst am Endpunkt sieht man überhaupt dass es einen Anhang gibt. Das AV-System versagt aus welchem Grund auch immer, Windows und Office sind nicht ganz so aktuell, beides Zero-Day-Exploids und Zack und Vorbei und Tot.
Und leider sind nunmal 98% aller Mails HTML.
Sieht ja auch schöner aus mit Logo, speziellen Fonts und schönen Farben
Stefan
Anhand des zertifikats vom Absender weiß man, ob das einer ist, dem man vertraut oder nicht und muß ggf nachfragen, bevor man die Attachments entschlüsselt.
Das nützt aber nichts, wenn das Gegenüber nicht weiß, dass es böse Sache verschickt bzw. in seinen Anhängen böse Sachen mit drin sind.Zitat von @it-fraggle:
Anhand des zertifikats vom Absender weiß man, ob das einer ist, dem man vertraut oder nicht und muß ggf nachfragen, bevor man die Attachments entschlüsselt.
Das nützt aber nichts, wenn das Gegenüber nicht weiß, dass es böse Sache verschickt bzw. in seinen Anhängen böse Sachen mit drin sind.Deswegen muß man die Nutze rmit Cat9 erziehen.
lks
Jetzt mal ernst weiter...
Ich sehe das als großes Problem an.
Ich habe gestern schon ein bisschen telefoniert.
Die Antispam-GW-Anbieter sagen: Wir machen Antispam, was haben wir mit sMIME zu tun.
Und die sMIME-GW-Anbieter sagen: Wir machen nur sMIME, was haben wir mit Antispam zu tun.
Und sMIME in Outlook direkt ohen sMIME-GW führt zu Problemen wir Archivierung, Zugriff mit Handy/OWA, Sicherung der Zertifikate, etc
Also programmiere ich eine SMTP-Weiche basierend ob die Mail verschlüsselt ist.
Ein: Kunde -> AS-GW -> SMTP-Weiche -> sMIME-GW -> SMTP-AS-GW -> Weiche -> MailStore -> Exchange
Aus: Exchange -> MailStore -> sMIME-GW -> AS-GW -> Kunde
Das klingt sehr zuverlässig.... nicht
Stefan
Ich sehe das als großes Problem an.
Ich habe gestern schon ein bisschen telefoniert.
Die Antispam-GW-Anbieter sagen: Wir machen Antispam, was haben wir mit sMIME zu tun.
Und die sMIME-GW-Anbieter sagen: Wir machen nur sMIME, was haben wir mit Antispam zu tun.
Und sMIME in Outlook direkt ohen sMIME-GW führt zu Problemen wir Archivierung, Zugriff mit Handy/OWA, Sicherung der Zertifikate, etc
Also programmiere ich eine SMTP-Weiche basierend ob die Mail verschlüsselt ist.
Ein: Kunde -> AS-GW -> SMTP-Weiche -> sMIME-GW -> SMTP-AS-GW -> Weiche -> MailStore -> Exchange
Aus: Exchange -> MailStore -> sMIME-GW -> AS-GW -> Kunde
Das klingt sehr zuverlässig.... nicht
Stefan
Servus,
interessante Diskussion, die mir auch als Grundlage für die bei uns grad einzuführende Mailverschlüsselung dienen kann!
Evtl. wäre es ja (weiß schon, kein Rechtsforum!) trotz DSGVO zulässig, dass unsere Sicherheitslösung die Verschlüsselung "aufbricht" und so auf evtl. Schadcode untersucht?
Gruß
interessante Diskussion, die mir auch als Grundlage für die bei uns grad einzuführende Mailverschlüsselung dienen kann!
Evtl. wäre es ja (weiß schon, kein Rechtsforum!) trotz DSGVO zulässig, dass unsere Sicherheitslösung die Verschlüsselung "aufbricht" und so auf evtl. Schadcode untersucht?
Gruß
SMIME hat ja schon diverse Fehler und ist an sich ja schon die Sicherheitsbedrohung....
https://www.heise.de/select/ct/2018/12/1528508053834389
https://www.heise.de/select/ct/2018/12/1528508053834389
Was aber nicht heißt, dass man ab nun auf E-Mailverschlüsselung verzichten sollte. ^^
Moin,
Gruß,
Dani
Tja, wo kommt denn das sMIME-Gateway hin? Vor oder Hinter das Antispam-/AV-Gateway?
Dahinter ist eine schlechte Wahl, wenn das Antispam/Malware-Gateway als Proxy agiert. Denn dann würde auch eine unerwünschte E-Mails durch die Annahme durch das sMINE Gateway als zugestellt gelten. Das möchte eigentlich heute keiner mehr...Die Antispam-GW-Anbieter sagen: Wir machen Antispam, was haben wir mit sMIME zu tun.
Und die sMIME-GW-Anbieter sagen: Wir machen nur sMIME, was haben wir mit Antispam zu tun.
Und sMIME in Outlook direkt ohen sMIME-GW führt zu Problemen wir Archivierung, Zugriff mit Handy/OWA, Sicherung der Zertifikate, etc
wahrscheinlich gibt es deshalb Hersteller, welches beides inzwischen in einem Produkt abbilden.Und die sMIME-GW-Anbieter sagen: Wir machen nur sMIME, was haben wir mit Antispam zu tun.
Und sMIME in Outlook direkt ohen sMIME-GW führt zu Problemen wir Archivierung, Zugriff mit Handy/OWA, Sicherung der Zertifikate, etc
Gruß,
Dani
Zitat von @Dani:
wahrscheinlich gibt es deshalb Hersteller, welches beides inzwischen in einem Produkt abbilden.
Kennst Du welche? Alles was ich gefunden haben war nur AS-GW oder sMIME-GW.wahrscheinlich gibt es deshalb Hersteller, welches beides inzwischen in einem Produkt abbilden.
Moin,
ich meine REDDOXX und NoSpamProxy.
Gruß,
Dani
ich meine REDDOXX und NoSpamProxy.
Gruß,
Dani
