Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Bedroht sMIME (und PGP) die Sicherheit?

Mitglied: StefanKittel

StefanKittel (Level 4) - Jetzt verbinden

21.08.2019 um 07:51 Uhr, 912 Aufrufe, 11 Kommentare

Hallo,

durch die Verschlüsselung können Emails nicht und schädliche Inhalte und Anhänge geprüft werden solange diese nicht entschlüsselt wurden.

Fall1: Zertifikat in Outlook (oder jedes andere Email-Programm)
Weder im Antispam-Gateway/Software noch auf dem Mail-Server können die Mails überprüft werden.
Erst wenn in Outlook die Mail entschlüsselt wurde kann ein lokales AV-Programm den Inhalt prüfen.

Fall2: sMIME-Gateway
Tja, wo kommt denn das sMIME-Gateway hin? Vor oder Hinter das Antispam-/AV-Gateway?

Vor das AS/AV-Gateway? Dann kann das AS/AV-Gateway den Inhalt prüfen, aber Informationen wie IP-Adresse und SPF können nicht mehr geprüft werden.
Bzw. das sMIME-Gateway muss diese in die Header schreiben und das AS/AV-Gateway diese Spezial-Header auswerden.
Versucht das mal einem Hosted Exchange beizubringen...

Nach dem AS/AV-Gateway? Dann wurde dieses weiterhin den Inhalt nicht prüfen.

Also eigentlich müsste es AS/AV-Gateway -> sMIME-Gateway->AS/AV-Gateway->Exchange sein.
Aber mit welchen Lösungen kann man so etwas umsetzen?

Besonders im kleinem Umfeld mit 10-15 Mitarbeiter?

Viele Grüße

Stefan
Mitglied: Lochkartenstanzer
21.08.2019 um 08:06 Uhr
Moin,

Ich sehe das Problem eher darin, daß Outlook html-mail verschickt statt reine textmails oder kombinierte Mails.

Solange text-only kommt, ist das AV kein Problem. Anhand des zertifikats vom Absender weiß man, ob das einer ist, dem man vertraut oder nicht und muß ggf nachfragen, bevor man die Attachments entschlüsselt. Von Leuten die man nicht kennt, soltle man auch keine Bonbons annehmen. Auch wenn die so hübsche Bildchen drauf haben.

Und das AV-Gateway sollte doch zumindest prüfen können, welcher Absender die Mails geschickte hat. und dementsprechend entsprechend einer white/black-list vorsortieren können.

Ich sehe da kein Problem bei sMIME oder PGP sonder eher bei den PEBCAKs

Meine Lösung wäre, die Mitarbeiter per Zuckerbrot und Cat9 zu erziehen.

lks
Bitte warten ..
Mitglied: StefanKittel
21.08.2019 um 08:46 Uhr
Hallo,

Ja und Nein.
Nehmen wir unseren Freund Emotet.

Der übernimmt einen PC.
Dann nimmt er eine Mail aus dem Posteingang, antwortet darauf mit "Anbei der Anhang den ich vergessen habe" und fügt eine docx mit Virus hinzu und aktiviert die Verschlüsselung (für die man natürlich kein Kennwort eingeben muss da es sonst zu nervig ist, das dürfte für 99% der Anwender gelten
).
Erst am Endpunkt sieht man überhaupt dass es einen Anhang gibt. Das AV-System versagt aus welchem Grund auch immer, Windows und Office sind nicht ganz so aktuell, beides Zero-Day-Exploids und Zack und Vorbei und Tot.

Und leider sind nunmal 98% aller Mails HTML.
Sieht ja auch schöner aus mit Logo, speziellen Fonts und schönen Farben

Stefan
Bitte warten ..
Mitglied: it-fraggle
21.08.2019 um 08:53 Uhr
Anhand des zertifikats vom Absender weiß man, ob das einer ist, dem man vertraut oder nicht und muß ggf nachfragen, bevor man die Attachments entschlüsselt.
Das nützt aber nichts, wenn das Gegenüber nicht weiß, dass es böse Sache verschickt bzw. in seinen Anhängen böse Sachen mit drin sind.
Bitte warten ..
Mitglied: Lochkartenstanzer
21.08.2019 um 09:10 Uhr
Zitat von it-fraggle:

Anhand des zertifikats vom Absender weiß man, ob das einer ist, dem man vertraut oder nicht und muß ggf nachfragen, bevor man die Attachments entschlüsselt.
Das nützt aber nichts, wenn das Gegenüber nicht weiß, dass es böse Sache verschickt bzw. in seinen Anhängen böse Sachen mit drin sind.

Deswegen muß man die Nutze rmit Cat9 erziehen.

lks
Bitte warten ..
Mitglied: StefanKittel
21.08.2019 um 09:21 Uhr
Jetzt mal ernst weiter...

Ich sehe das als großes Problem an.
Ich habe gestern schon ein bisschen telefoniert.

Die Antispam-GW-Anbieter sagen: Wir machen Antispam, was haben wir mit sMIME zu tun.
Und die sMIME-GW-Anbieter sagen: Wir machen nur sMIME, was haben wir mit Antispam zu tun.
Und sMIME in Outlook direkt ohen sMIME-GW führt zu Problemen wir Archivierung, Zugriff mit Handy/OWA, Sicherung der Zertifikate, etc

Also programmiere ich eine SMTP-Weiche basierend ob die Mail verschlüsselt ist.
Ein: Kunde -> AS-GW -> SMTP-Weiche -> sMIME-GW -> SMTP-AS-GW -> Weiche -> MailStore -> Exchange
Aus: Exchange -> MailStore -> sMIME-GW -> AS-GW -> Kunde
Das klingt sehr zuverlässig.... nicht

Stefan
Bitte warten ..
Mitglied: VGem-e
21.08.2019 um 10:52 Uhr
Servus,

interessante Diskussion, die mir auch als Grundlage für die bei uns grad einzuführende Mailverschlüsselung dienen kann!

Evtl. wäre es ja (weiß schon, kein Rechtsforum!) trotz DSGVO zulässig, dass unsere Sicherheitslösung die Verschlüsselung "aufbricht" und so auf evtl. Schadcode untersucht?

Gruß
Bitte warten ..
Mitglied: aqui
21.08.2019 um 12:49 Uhr
SMIME hat ja schon diverse Fehler und ist an sich ja schon die Sicherheitsbedrohung....
https://www.heise.de/select/ct/2018/12/1528508053834389
Bitte warten ..
Mitglied: it-fraggle
21.08.2019 um 16:36 Uhr
Was aber nicht heißt, dass man ab nun auf E-Mailverschlüsselung verzichten sollte. ^^
Bitte warten ..
Mitglied: Dani
21.08.2019 um 16:43 Uhr
Moin,
Tja, wo kommt denn das sMIME-Gateway hin? Vor oder Hinter das Antispam-/AV-Gateway?
Dahinter ist eine schlechte Wahl, wenn das Antispam/Malware-Gateway als Proxy agiert. Denn dann würde auch eine unerwünschte E-Mails durch die Annahme durch das sMINE Gateway als zugestellt gelten. Das möchte eigentlich heute keiner mehr...

Die Antispam-GW-Anbieter sagen: Wir machen Antispam, was haben wir mit sMIME zu tun.
Und die sMIME-GW-Anbieter sagen: Wir machen nur sMIME, was haben wir mit Antispam zu tun.
Und sMIME in Outlook direkt ohen sMIME-GW führt zu Problemen wir Archivierung, Zugriff mit Handy/OWA, Sicherung der Zertifikate, etc
wahrscheinlich gibt es deshalb Hersteller, welches beides inzwischen in einem Produkt abbilden.


Gruß,
Dani
Bitte warten ..
Mitglied: StefanKittel
21.08.2019 um 21:22 Uhr
Zitat von Dani:
wahrscheinlich gibt es deshalb Hersteller, welches beides inzwischen in einem Produkt abbilden.
Kennst Du welche? Alles was ich gefunden haben war nur AS-GW oder sMIME-GW.
Bitte warten ..
Mitglied: Dani
26.08.2019 um 10:10 Uhr
Moin,
ich meine REDDOXX und NoSpamProxy.


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Exchange2010 PGP Gateway
gelöst Frage von StephanB84Exchange Server1 Kommentar

Guten Tag zusammen. Ich habe leider nicht viel Erfahrung mit PGP, das vorab. Ich beschreibe am besten mal das ...

E-Mail
Email PGP Verschlüsselung
Frage von Gregor81E-Mail3 Kommentare

Guten Tag, kurz für Infrastruktur: MS Exchange 2016 80% Office 2010 20% Office 2016 Ich überlege eine PGP Verschlüsselung ...

Verschlüsselung & Zertifikate

Symantec PGP Desktop - Emails unverschlüsselt speichern

gelöst Frage von SirTobi27Verschlüsselung & Zertifikate3 Kommentare

Hallo zusammen, ich kämpfe zur Zeit mit "PGP Desktop" von Symantec (Version 10.2.0 Build 1672 ). Ich empfange verschlüsselte Mails, ...

Sicherheitsgrundlagen

Sicherheit Netzwerksegmentierung

Frage von Morpheus112Sicherheitsgrundlagen11 Kommentare

Hallo Leute, ich habe mal eine kurze Frage, wie sicher ist Netzwerksegmentierung wirklich? Ich meine wenn man annimmt, man ...

Neue Wissensbeiträge
Viren und Trojaner
Emotet: IT-Totalschaden beim Kammergericht Berlin
Information von StefanKittel vor 6 StundenViren und Trojaner2 Kommentare

Interne Daten wurden geklaut und "ein kompletter Neuaufbau der IT-Infrastruktur wird angeraten", heißt es im forensischen Bericht zum ...

Viren und Trojaner
Avast verkauft anscheinend browserdaten
Tipp von magicteddy vor 10 StundenViren und Trojaner14 Kommentare

Moin, da es immer wieder Anfragen zu Virenscannern gibt denke ich das der Artikel von Heise Avast verkauft Bowserdaten ...

Router & Routing

Statische Route dauerhaft einrichten unter Ubuntu 18.04 LTS

Erfahrungsbericht von the-buccaneer vor 2 TagenRouter & Routing2 Kommentare

"Kann ja nicht so schwer sein, unter Ubuntu 18.04 LTS ne statische Route einzurichten", denkt der Windows-Admin und gelegentliche ...

Microsoft

Effect on customer websites and Microsoft services and products in Chrome version 80 or later

Information von Dani vor 3 TagenMicrosoft

Guten Abend zusammen, The Stable release of the Google Chrome web browser (build 80, scheduled for release on February ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Installation USG
Frage von jo23487LAN, WAN, Wireless38 Kommentare

Hallo zusammen, nach den beiden anderen Fragen habe ich mir den Cloud Key und auch ein USG gekauft - ...

Ausbildung
In den Beruf IT-Systemadministrator gerutscht
Frage von TorwolfAusbildung24 Kommentare

Hallo zusammen, kurz zu meiner Person, ich bin 25 Jahre alt, habe die Fachhochschulreife und eine abgeschlossene Ausbildung als ...

Outlook & Mail
Mehrere Domänen User, selber PC, großer IMAP Account, Vorgehen?
Frage von heifumaOutlook & Mail21 Kommentare

Moin, Szenario: - Windows Server 2019 AD - Ein und derselbe PC im Netzwerk soll im Laufe der Arbeitswoche ...

Windows Server
DFS Zurgriff über Domain Steuerung
Frage von opc123Windows Server19 Kommentare

Hallo, wenn ich Freigegebene Ordner über \\"Domaine.de"\Datei aufrufen möchte innerhalb des DFS Pfades, habe ich oft kurzer Zeit kein ...