bluepython
Goto Top

Verschlüsselung ausgehender Emails

Hallo zusammen,
ich stehe vor der Aufgabe, dass ich eine Möglichkeit schaffen muss, bei Bedarf ausgehende Emails zu verschlüsseln.
Wir haben ein Ubuntu Mailsserver mit "sendmail" und ein Exchange 2007 Server.
Alle Mails die bei uns ankommen, landen auf dem Ubuntu und werden dann weiter auf den Exchange weitergeleitet.

Ich würde das ganze am liebsten so lösen wollen, dass ich in Outlook ein Addin habe, wo ich dann auswählen kann, ob die Mail verschlüsselt werden soll oder nicht.
Die Verschlüsselung an sich soll dann auf dem Ubuntu geschehen.
Habe mal angefangen zu suchen, und bin auf Open PGP gestossen. Wäre das damit möglich? hat jemand ein anderen Vorschlag?

Gruß

Content-ID: 271795

Url: https://administrator.de/forum/verschluesselung-ausgehender-emails-271795.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

Deepsys
Deepsys 12.05.2015 um 12:00:52 Uhr
Goto Top
Hi,

wie einfach soll das Ganze sein?
Mit PGP geht das schon, das Problem ist der Schlüsselaustausch.
Wenn das immer die gleichen Empfänger sind, die auch PGP-Schlüssel erstellen können, dann wäre das eine Möglichkeit.
Aber gerade bei Behörden rennst du vor geschlossenen Türen, die Mitarbeiter können keine Schlüssel erzeugen.

Wir haben im E-Mail Gateway dafür eine Lösung:
Die E-Mail wird verschlüsselt in eine ZIP-Datei oder Exe-Datei (AES).
Der Absender der E-Mail bekommt das Kennwort, das muss er dem Empfänger dann zukommen lassen; logischerweise nicht per E-Mail.
Der Empfänger führt die Datei aus, gibt das Kennwort ein und bekommt seine E-Mail.

Alles andere ist an dem fehlende Schlüsselaustausch gescheitert.

VG,
Deepsys
emeriks
emeriks 12.05.2015 um 12:12:10 Uhr
Goto Top
Hi,
normalerweise verschlüsselt man eine Mail doch mit öffentlichen Schlüssel des Zertifikats des Empfängers, damit dieser die Mail dann mit dem privaten Schlüssel seines Zertifikats entschlüsseln kann? Ergo benötigt der Empfänger ein Zertifikat, dessen öffentlichen Schlüssel dem Absender bereitgestellt werden muss. Dann kann der Absender damit abhängig vom Empfänger die Mail verschlüsseln. So der Plan ...

E.
Deepsys
Deepsys 12.05.2015 um 12:40:06 Uhr
Goto Top
Zitat von @emeriks:
normalerweise verschlüsselt man eine Mail doch mit öffentlichen Schlüssel des Zertifikats des Empfängers,
damit dieser die Mail dann mit dem privaten Schlüssel seines Zertifikats entschlüsseln kann? Ergo benötigt der
Empfänger ein Zertifikat, dessen öffentlichen Schlüssel dem Absender bereitgestellt werden muss. Dann kann der
Absender damit abhängig vom Empfänger die Mail verschlüsseln. So der Plan ...
Ja, korrekt.
Und was machst du wenn der Empfänger kein Zertifikat hat und es nicht erstellen kann/darf?
emeriks
emeriks 12.05.2015 um 12:56:25 Uhr
Goto Top
Und was machst du wenn der Empfänger kein Zertifikat hat und es nicht erstellen kann/darf?
Wenns eine Behörde ist: Dann stelle ich ihr ein Armutszeugnis aus und veröffentliche das.

Denn ...
Der Absender der E-Mail bekommt das Kennwort, das muss er dem Empfänger dann zukommen lassen; logischerweise nicht per E-Mail.
... genau da ist der Hase begraben. Wie stellst Du sicher, dass sich alle daran halten?

E.
Deepsys
Deepsys 12.05.2015 um 13:28:45 Uhr
Goto Top
Zitat von @emeriks:

> Und was machst du wenn der Empfänger kein Zertifikat hat und es nicht erstellen kann/darf?
Wenns eine Behörde ist: Dann stelle ich ihr ein Armutszeugnis aus und veröffentliche das.
Oh, das wird eine lange Liste ....


Denn ...
> Der Absender der E-Mail bekommt das Kennwort, das muss er dem Empfänger dann zukommen lassen; logischerweise
nicht per E-Mail.

... genau da ist der Hase begraben. Wie stellst Du sicher, dass sich alle daran halten?
Gebe ich dir vollkommen recht, ist aber immer noch besser als es direkt zu lassen, da die Gegenseite es nicht öffnen könnte.

Ich möchte nicht weiter darauf rumreiten, ich persönlich finde das es keine praktikable Lösung für das Problem für E-Mails gibt.
Alles was ich kenne, setzt immer mehr einige an Wissen voraus.
Es müsste etwas einfaches geben, zumindest schon mal ein staatliches Zertifikat für alle Bundesbürger.
AndiEoh
AndiEoh 12.05.2015 um 13:52:29 Uhr
Goto Top
Hallo,

nimm einfach ein Gateway deiner Wahl, dort kannst du die Policy einstellen wie du willst und du bist nicht auf des Verständnis oder den Willen der Endanwender angewiesen. Als Open Source gibt es das z.B. hier

https://www.ciphermail.com/

oder kommerziell

http://www.allgeier-it.de/security-solutions/loesungen/julia-mailoffice
https://www.zertificon.com/

Sobald der Endanwender selbst entscheiden muß oder gar den Sicherheitsansatz verstehen wird es nicht funktionieren und du hast ja durch den Linux Server als Gateway schon die passende Struktur.

Gruß

Andi
bluepython
bluepython 12.05.2015 um 14:53:31 Uhr
Goto Top
ciphermail liest sich gut.
habe mir die vm runtger geladen und werde mir das genauer anschauen.
Dani
Dani 12.05.2015 um 19:25:23 Uhr
Goto Top
Guten Abend zusammen,
Und was machst du wenn der Empfänger kein Zertifikat hat und es nicht erstellen kann/darf?
Wir haben unter anderem dafür enQsig im Einsatz. Den Ansatz könnt ihr hier nachlesen.
Darauf gestoßen sind wir im Rahmen der Umsetzung für De-Mail. Wird inzwischen sehr gut angenommen und auch der Sinn dahinter wird manchen bewusst.


Gruß,
Dani
Deepsys
Deepsys 13.05.2015 um 08:52:49 Uhr
Goto Top
Moin,

Ja, aber das ist doch das gleiche Problem das alle anderen Lösungen (auch Ciphermail und Co) auch haben:
" Das Passwort kann dem Empfänger von enQsig automatisiert per SMS zugesandt oder auf anderem Wege übermittelt werden. "

Und der andere Weg kann auch eine E-Mail sein, und damit ist die Sicherheit wieder nur auf 2 E-Mails verteilt.
Selbst wenn das Kennwort dann nicht direkt als E-Mail zum Absender kommt, könnte er immer noch eine E-Mails mit dem Kennwort senden.
Es sei denn, der Absender bekommt das Kennwort nicht zu sehen, und muss eine Nummer für die SMS eingeben.
Nur weiß ich das dann schon einige wieder meckern," bäh, ich habe keine Nummer"

Es fehlt einfach eine einfache grundlegende Architektur, sozusagen die E-Mail 2.0.

VG
Deepsys
bluepython
bluepython 13.05.2015 um 10:55:47 Uhr
Goto Top
Ja das ist alles nicht das gelbe vom Ei.
Kann jemand etwas empfehlen, was direkt in den Exchange eingebunden werden kann?
keine-ahnung
keine-ahnung 13.05.2015 um 11:05:00 Uhr
Goto Top
Hi Dani,

ich fürchte zwar, dass das für mich nicht wirtschaftlich darstellbar ist, aber da unser geliebtes Fax als zuverlässige Technologie am Sterben ist suche ich nach einem adäquaten Ersatz.De-mail halte ich für ein totes Pferd, "elektronische Arztbriefe" sind bestenfalls im Embryonalstadium. enQsig klingt dafür nicht schlecht, aber ... kannst Du etwas über die Kosten sagen - notfalls per PM?

Danke und LG, Thomas
AndiEoh
AndiEoh 13.05.2015 um 14:35:46 Uhr
Goto Top
Zitat von @Deepsys:

Moin,

Ja, aber das ist doch das gleiche Problem das alle anderen Lösungen (auch Ciphermail und Co) auch haben:
" Das Passwort kann dem Empfänger von enQsig automatisiert per SMS zugesandt oder auf anderem Wege übermittelt
werden. "

Sobald man symetrische Verschlüsselung haben will muß der Anwender mitdenken, ansonsten ist es nur gefühlte Sicherheit...
Außerdem riecht alles bei dem man irgendwelche Passwörter und PINs durch die Gegend schicken soll für den unbedarften Anwender nach Phishing.

Und der andere Weg kann auch eine E-Mail sein, und damit ist die Sicherheit wieder nur auf 2 E-Mails verteilt.
Selbst wenn das Kennwort dann nicht direkt als E-Mail zum Absender kommt, könnte er immer noch eine E-Mails mit dem Kennwort
senden.
Es sei denn, der Absender bekommt das Kennwort nicht zu sehen, und muss eine Nummer für die SMS eingeben.
Nur weiß ich das dann schon einige wieder meckern," bäh, ich habe keine Nummer"

Es fehlt einfach eine einfache grundlegende Architektur, sozusagen die E-Mail 2.0.

Also wem Verschlüsselung per S/MIME auf dem Gateway zu kompliziert ist der hat keine Möglichkeit eine sichere systemübergreifende Lösung zu erhalten. "Idiotensicher" sind nur geschlossene System, bei denen du dann auf die Sicherheit des Anbieters angewiesen bist wie z.B. WhatsApp oder iMessage.
Unsere E-Mail Teilnehmer versenden schon seit Jahren verschlüsselte E-Mail und die meisten wissen es nicht einmal.

Gruß

Andi
Deepsys
Deepsys 13.05.2015 aktualisiert um 15:30:08 Uhr
Goto Top
Zitat von @AndiEoh:
Unsere E-Mail Teilnehmer versenden schon seit Jahren verschlüsselte E-Mail und die meisten wissen es nicht einmal.
Dann sagt doch mal bitte wie du eine verschlüsselte Nachricht an einen dir bisher unbekannten Empfänger schickst.
Z.b. max.von-musterman@web.de
emeriks
emeriks 13.05.2015 um 15:45:34 Uhr
Goto Top
Zitat von @AndiEoh:
Sobald man symetrische Verschlüsselung haben will muß der Anwender mitdenken, ansonsten ist es nur gefühlte Sicherheit...
bzw. die IT des Unternehmens/Behörde muss da für die Anwender handeln und die entsprechende Infrastruktur schaffen. Da möchte ich die Anwender doch nicht als "IT-dumm" abstempeln. Das ist halt eine sehr spezielle Sache.

Außerdem riecht alles bei dem man irgendwelche Passwörter und PINs durch die Gegend schicken soll für den unbedarften Anwender nach Phishing.
Das kann ich bestätigen. Außerdem bleiben verschlüsselte PDF- und ZIP-Dateien schon mal gerne in diversen Content Filtern hängen.

Unsere E-Mail Teilnehmer versenden schon seit Jahren verschlüsselte E-Mail und die meisten wissen es nicht einmal.
Würde mich auch mal interessieren, wie das gehen soll. Wir reden von Verschlüsselung und nicht von Signierung, oder?

E.
adminst
adminst 13.05.2015 um 16:31:49 Uhr
Goto Top
Hallo zusammen
Im Medizinbereich bei uns in der Schweiz verwenden wir den HIN Mailgateway. http://www.hin.ch/produkte/firmenkunden/mail-gateway/
Es ist natürlich konfigurierbar welcher Traffic durch den Gateway geht. Grundvoraussetzung
ist natürlich, dass die Gegenseite auch einen solchen hat.

Gruss
adminst
AndiEoh
AndiEoh 13.05.2015 um 17:20:59 Uhr
Goto Top
Zitat von @Deepsys:

> Zitat von @AndiEoh:
> Unsere E-Mail Teilnehmer versenden schon seit Jahren verschlüsselte E-Mail und die meisten wissen es nicht einmal.
Dann sagt doch mal bitte wie du eine verschlüsselte Nachricht an einen dir bisher unbekannten Empfänger schickst.
Z.b. max.von-musterman@web.de

Ich ruf den Max an und sag er soll eine signierte E-Mail schicken face-wink

Wenn der Empfänger nicht mitspielt bzw. kein echtes Interesse an verschlüsselter Kommunikation hat stehst du immer im Regen...

Gruß

Andi
AndiEoh
AndiEoh 13.05.2015 um 17:26:53 Uhr
Goto Top
Zitat von @emeriks:


> Unsere E-Mail Teilnehmer versenden schon seit Jahren verschlüsselte E-Mail und die meisten wissen es nicht einmal.
Würde mich auch mal interessieren, wie das gehen soll. Wir reden von Verschlüsselung und nicht von Signierung, oder?


Von beidem, allerdings nach PKI Level 1 face-wink
Soll heißen es ist keine Qualifizierte Signatur gemäß Signaturgesetz sondern lediglich ein "verteilen" von allgemein anerkannten (E-Mail) Zertifikaten, damit uns die Gegenstelle auch verschlüsselte E-Mail schicken kann.
Sobald uns eine Gegenstelle ein E-Mail mit gültiger Signatur geschickt hat können dadurch alle unsere Teilnehmer dieser Gegenstelle verschlüsselte E-Mail schicken.

Gruß

Andi
emeriks
emeriks 13.05.2015 um 17:40:34 Uhr
Goto Top
Sobald uns eine Gegenstelle ein E-Mail mit gültiger Signatur geschickt hat können dadurch alle unsere Teilnehmer dieser
Gegenstelle verschlüsselte E-Mail schicken.
Ja, ok. Das sollte man dann aber auch gleich erwähnen. Sonst denkt noch einer, da kann jemand zaubern ... face-wink

E.
tobix24
tobix24 14.10.2015 um 21:54:42 Uhr
Goto Top
Zitat von @bluepython:

Hallo zusammen,
ich stehe vor der Aufgabe, dass ich eine Möglichkeit schaffen muss, bei Bedarf ausgehende Emails zu verschlüsseln.
Wir haben ein Ubuntu Mailsserver mit "sendmail" und ein Exchange 2007 Server.
Alle Mails die bei uns ankommen, landen auf dem Ubuntu und werden dann weiter auf den Exchange weitergeleitet.

Ich würde das ganze am liebsten so lösen wollen, dass ich in Outlook ein Addin habe, wo ich dann auswählen kann, ob die Mail verschlüsselt werden soll oder nicht.
Die Verschlüsselung an sich soll dann auf dem Ubuntu geschehen.
Habe mal angefangen zu suchen, und bin auf Open PGP gestossen. Wäre das damit möglich? hat jemand ein anderen Vorschlag?

Gruß

Ich finde es spannend, dass hier munter Vorschläge diskutiert werden, ohne dass jemand weiß, wie Dein Anwendungszenario aussieht.

Man kann nicht einfach alle ausgehenden Mails verschlüsseln, denn schließlich muss der Empänger irgendwie mitspielen.
Bei OpenPGP hat man immer das Problem des Schlüsselaustausches, aber wenn Du mit einer überschaubaren Gruppe an Mailempfängern regelmäßig Mails austauscht, ist (Open)PGP immer noch die einfachste Lösung.
Wenn Du aber kreuz und quer an Lieschen Müller oder Max Mustermann schicken willst, wird es schon sehr mühsam.
Entweder musst Du irgendwelche Passwörter auf alternativen Kanälen übermitteln (mühsam+unsicher+fehleranfällig) oder die Empänger müssen sich auf irgendwelche kruden Webgateways registrieren, die dann auf unkomfortable Weise den Mailinhalt rausrücken (oder die Empfänger halten die Mails gleich für Spam und ignorieren sie enfach).

Es gibt nicht die beste/einfachste Lösung; Sicherheit ist immer mit Aufwand verbunden.
Wenn Du uns mehr über Euren Anwendungszweck schreibst, dann bekommst Du vielleicht auch die passenderen Lösungsvorschläge.

Tobix
AndiEoh
AndiEoh 15.10.2015 um 09:14:12 Uhr
Goto Top
Zitat von @tobix24:

Zitat von @bluepython:

Hallo zusammen,
ich stehe vor der Aufgabe, dass ich eine Möglichkeit schaffen muss, bei Bedarf ausgehende Emails zu verschlüsseln.
Wir haben ein Ubuntu Mailsserver mit "sendmail" und ein Exchange 2007 Server.
Alle Mails die bei uns ankommen, landen auf dem Ubuntu und werden dann weiter auf den Exchange weitergeleitet.

Ich würde das ganze am liebsten so lösen wollen, dass ich in Outlook ein Addin habe, wo ich dann auswählen kann, ob die Mail verschlüsselt werden soll oder nicht.
Die Verschlüsselung an sich soll dann auf dem Ubuntu geschehen.
Habe mal angefangen zu suchen, und bin auf Open PGP gestossen. Wäre das damit möglich? hat jemand ein anderen Vorschlag?

Gruß

Ich finde es spannend, dass hier munter Vorschläge diskutiert werden, ohne dass jemand weiß, wie Dein Anwendungszenario aussieht.

Man kann nicht einfach alle ausgehenden Mails verschlüsseln, denn schließlich muss der Empänger irgendwie mitspielen.

Das ist das Grundprinzip bei asymetrischer Kryptografie...

Bei OpenPGP hat man immer das Problem des Schlüsselaustausches, aber wenn Du mit einer überschaubaren Gruppe an Mailempfängern regelmäßig Mails austauscht, ist (Open)PGP immer noch die einfachste Lösung.
Wenn Du aber kreuz und quer an Lieschen Müller oder Max Mustermann schicken willst, wird es schon sehr mühsam.
Entweder musst Du irgendwelche Passwörter auf alternativen Kanälen übermitteln (mühsam+unsicher+fehleranfällig) oder die Empänger müssen sich auf irgendwelche kruden Webgateways registrieren, die dann auf unkomfortable Weise den Mailinhalt rausrücken (oder die Empfänger halten die Mails gleich für Spam und ignorieren sie enfach).


Das ist so nicht richtig. Wie du schon bemerkt hast muss der Empfänger etwas tun um verschlüsselte E-Mail zu erhalten. Das kann er bei SMIME und PGP einfach dadurch tun das er an alle E-Mails die er/sie verschickt sein Zertifikat dran pappt. Damit kann dann jeder der schon einmal eine solche E-Mail erhalten hat verschlüsselt antworten. Wenn man das im Firmen Umfeld auf einem Gateway umsetzt kann sogar jeder verschlüsselt an Empfänger schreiben die mindestens einmal irgend jemanden in der Firma eine E-Mail mit Zertifikat geschickt haben. Damit ist es sehr wohl schmerzfrei und unauffällig möglich. Puristen werde einwenden das damit keine echten Ende-zu-Ende Verschlüsselung erreicht wird, das ist aber in den meisten Fällen im Firmen Umfeld gar nicht notwendig oder erwünscht.

Es gibt nicht die beste/einfachste Lösung; Sicherheit ist immer mit Aufwand verbunden.

Richtig, die Frage ist nur wie man den Aufwand an der richtigen Stelle plaziert. Wenn das beim Endanwender ist der nicht wirklich versteht was da passiert wird Verschlüsselung niemals stattfinden.

Wenn Du uns mehr über Euren Anwendungszweck schreibst, dann bekommst Du vielleicht auch die passenderen Lösungsvorschläge.

Ist schon 5 Monate her, ich weiß nicht ob der OP überhaupt noch an dem Thema dran ist face-wink

Gruß

Andi