Office 365 Message Encryption

Microsoft rührt die Werbetrommel für "Outlook Message Encryption" und verspricht, dass damit sogar eine verschlüsselte Kommunikation per Mail mit jedem Empfänger möglich sein soll. Nur ich als Absender muss mit Exchange Online arbeiten. Als Vertreter einer "echten" Ende zu Ende-Verschlüsselung (siehe auch Ende zu Ende Verschlüsselung), habe ich der Lösung auf dem Zahn gefühlt

Versprechen

Microsoft preist "Outlook Message Encryption" als neue Option für eine sichere Nachrichtenübertragung zwischen Office 365 Benutzern untereinander aber auch zu anderen externen Empfängern an. Ziel ist auch hier, dass keine Mail "unverschlüsselt" über das Internet übertragen wird und möglichst nicht in falsche Hände gelangt (Abhören). Microsoft hat sich dazu einige Dinge einfallen lassen, die ich beschreibe. Aus meiner Sicht ist es keine "sichere" Lösung und nicht mit TLS, Gateway-Verschlüsselung oder echter Ende zu Ende Verschlüsselung mit SMIME oder PGP zu vergleichen. Aber für viele Anwender ist es immer noch besser, als die Mail komplett ungeschützt zu übertragen.

Das Prinzip von Office 365 Message Encryption beruht auch darauf, dass der Empfänger sich gegenüber Office 365 ausweist, z.B. durch die Anmeldung mit einem kompatiblen Konten oder ein OneTime-Token benutzt wird. Die zu sichernde Mail wird also nicht ungeschützt oder gar verschlüsselt zum Empfänger übertragen sondern in Office 365 "festgehalten" und der Empfänger kann sie dort dann per HTTPS lesen. Ein Prinzip das nicht ganz neu ist und schon früher von kommerziellen Produkten angeboten wurde. Siehe auch NoSpamproxy Encryption - Verschlüsseln, Signieren, DE-Mail als Gateway

Office 365 Essentials: Office Message Encryption
https://www.youtube.com/watch?v=CQR0cG_iEU

Lizenz

Office 365 Message Encryption ist eine Zusatzfunktion, die nicht in allen Lizenzpaketen enthalten ist, Hier ein Zwischenstand von Juni 2018:


Quelle: Exchange Online Service Description https://technet.microsoft.com/en-us/library/exchange-online-service-description.aspx

Die "kleinen" Office 365 Pakete für Firmen mit weniger als 250 Arbeitsplätzen gehen leider leer aus. Aus meiner Sicht komplett unverständlich, da gerade diese Klienten eine möglichst einfache Möglichkeit brauchen. Sie müssten also schon ein E3 oder E5 Paket nutzen. Als Grund dürfte die Abhängigkeit von Azure Information Protection Plan1 sein.

Office 365 Message Encryption is offered as part of Office 365 E3 and E5, Microsoft E3 and E5, Office 365 A1, A3, and A5, and Office 365 G3 and G5. Customers do not need additional licenses to receive the new protection capabilities powered by Azure Information Protection. 
You can also add Azure Information Protection Plan 1 to the following plans to receive the new Office 365 Message Encryption capabilities: Exchange Online Plan 1, Exchange Online Plan 2, Office 365 F1, Office 365 Business Essentials, Office 365 Business Premium, or Office 365 Enterprise E1.
Each User benefiting from Office 365 Message Encryption needs to be licensed 
Quelle: Office 365 Message Encryption FAQ https://support.office.com/en-us/article/office-365-message-encryption-faq-0432dce9-d9b6-4e73-8a13-4a932eb0081e

Mal senden

Alles beginnt wie immer beim "Versand". Ich nutze daher einfach ein Exchange Online Postfach mit E3/E5-Lizenz per OWA und sende eine Mail. Sie wird einfach mit RMS geschützt.

Office 365 stellt die normalen Vorlagen zu Verfügung und zudem kann die Firma weitere Vorlagen definieren. Für eine Verschlüsselung reicht die Auswahl von "Verschlüsseln". Damit wird aus der Mail schon auf dem Client eine Mails, in der die eigentliche Mails als RPMSG-Datei (Rights Protected Message) angehängt ist.

Als Exchange Administrator können Sie diese Verschlüsselung aber auch über eine Transportregel nach bestimmten Kriterien auf dem Server vorgeben. So könnten Sie z.B. Mails an bestimmte Domänen, mit bestimmten Inhalten o.ä. immer verschlüsseln lassen

Eingehende Mail öffnen

Beim Empfänger sind nun drei Fälle zu unterscheiden:

  1. Postfach ist ebenfalls in Office 365
    In dem Fall kann der Anwender die Mail einfach öffnen, da er mit seiner Mailadresse schon authentifiziert ist und der Office 365 RMS-Service den Benutzer kennt und einen Decryption-Key aushändigt.
  2. Postfach ist bei Google, Yahoo oder Microsoft (outlook.com)
    In dem Fall müssen Sie sich mit ihrem Google/Yahoo/Microsoft-Konto anmelden, damit der AzureRMS-Service sie identifizieren kann und das Schlüsselmaterial ausliefert. Die Mail selbst enthält dazu einen Link und sie bekommen von Office 365 die Mail im Browser angezeigt
  3. Postfach auf anderem System oder Client nicht tauglich
    In dem Beispiel müssen Sie sich mit einem one-time Passcode ausweisen. Den Passcode können Sie anfordern, so dass er per Mail in ihr Postfach gesendet wird. Der Code ist gerade mal 15 Minuten sichtbar

Soweit ist die Nutzung für den Anwender relativ einfach und ohne Einweisungen durchschaubar. Eine Mail an mein Postfach, welches bei 1und1 gehostet wird und per IMAP von Outlook gelesen wird, bekommt folgende Mail:

Die "Weitere Informationen zu durch Office 365 geschützte Nachrichten verweisen auf:

Der Link hinter "Nachricht lesen" ist ziemlich lange und zum Teil sprechend:

https://outlook.office365.com/Encryption/retrieve.ashx?recipientemailaddress=frank%40carius.de&senderemailaddress=Frank.Carius%40Netatwork.de&senderorganization=<3587 Base64 zeichem mit dem DN der Org im AzureAD>&messageid=<MessageID der Mail>&cfmRecipient=SystemMailbox%GIUD%7d%40tenantname.onmicrosoft.com&consumerEncryption=false

Es sieht so aus, als ob die Mail im Postfach einer "Systemmailbox" gelagert wird, bis der Empfänger diese per Browser liest. Der Zugriff per Browser kommt auf eine Anmeldeseite:

Office 365 scheint zu erkennen, dass es sich bei meiner Adresse nicht um eine Google oder Yahoo-Adresse handelt und bietet mir eine Anmeldung mit einem Microsoft Konto an. Ein Microsoft-Konto, vormals Passport, kann ja durchaus auch echte Mailadressen aus anderen Domänen haben. Der Anwender hat während der Einrichtung per Mail bewiesen, dass er die Mailadresse kontrolliert.

Alternativ kann der Anwender sich auch einen One-Time-Passcode zusenden lassen. Der wird allerdings an die gleiche Mailadresse gesendet

Nachdem ich den Code auf der WebSeite eingegeben habe, rendert Office 365 die Mail und zeigt sie mir einfach an. Soweit ein ganz einfaches und nutzbares Verfahren. Ich kann sogar per Browser auf die Mail antworten, ohne dass ich ein Office 365 Konto habe.

Es ist quasi ein Webmailer für diese eine Mail. Die Kopie an mein Postfach ist natürlich wieder verschlüsselt und für 2 Monate per Browser einsehbar.

Sonderfall Verteilerliste

Der Empfänger einer Mail ist ja nicht immer eine Einzelperson. Es gibt da ja auch noch die Mailverteiler bzw. Mailinglisten, an die jemand eine Mail senden kann, die von dem List-Server dann an die eingeschriebenen Teilnehmer versendet wird. Da kann es zu folgender Situation kommen:

  • Ein Mitglied eines Mailverteilers sendet eine „geschützte Mail an den Verteiler
  • Die Mail wird mit der Zieladresse (der Verteiler) verschlüsselt
  • Der Verteiler sendet die Mail an alle Mitglieder
  • Alle Mitglieder sehen die RPMSG-Anlage
  • Der erste drückt auf „Einmal-Key anfordern“
  • Office 365 sendet einen einmal key…. An die Verteilerliste

Ob das so im Sinne des Erfinders ist? Der Einmal-Key, der 15 Minuten gültig ist, ermöglicht nun natürlich allen Teilnehmern die Mail auch zu lesen. Aber der Absender hat natürlich sein Ziel damit schon verfehlt. Wenn nun noch jemand nach Ablauf der 15 Minuten die Mail lesen will, fordert er wieder einen Schlüssel an, der natürlich an die Verteilerliste geht.

Einschätzung

Der Absender in Office 365 schützt die Mail per RMS und die geschützte Information wird an den Empfänger übertragen, der sie aber nur dann direkt lesen kann, wenn er selbst auch in Office 365 sein Postfach hast. Die Anwender auf Google/Yahoo/Outlook.com können sich die Mail per Browser betrachten und weisen sich dazu per Anmeldung mit ihrem eigenen Konto entsprechend aus. Alle anderen Anwender können sich ein Token zusenden lassen, mit dem Sie dann die Mail in den ersten 15 Minuten lesen können. Zwei Probleme sehe ich natürlich dabei.

  • Mitlesen/Ablauschen
    Wenn die verschlüsselte Mail und der Link zum Anzeige per Browser im Postfach unverschlüsselt landen und die Anforderung eines One-Time-Passcode auch einfach im gleichen Postfach landet, kann jeder Mitleser auch diese verschlüsselten Inhalte erreichen. Das kann von Vorteil sein, z.B. wenn Stellvertreter das Postfach mitlesen oder die Mails per Regel weiter verteilt wird. Es kann aber auch gerade unerwünscht sein, dass eine Mail an genau eine Person auch von anderen Personen gelesen werden kann. Der eigentliche Empfänger bemerkt das nur, wenn er sich über die von ihm nicht angeforderten Pass Code Messages wundert und der Angreifer diese Mails nicht gleich wieder löscht. Wasserdicht sicher ist das aus meiner Sicht nicht.
  • Status "nicht zugestellt"
    Die rechtliche Frage ist auch noch offen. Beim Empfänger kommt eine Mail (Extension rpmsg) an, die er nicht direkt lesen kann. Das geht nur mit Outlook und einem passenden Office 365 Konto. Alle anderen Empfänger müssen quasi per Browser auf Office 365 zugreifen um die Mail zu betrachten. Die Mail selbst wird von Office 365 nur 2 Monate vorgehalten. Danach kann der Empfänger die Mail nicht mehr lesen. Ich habe bislang auch keinen Weg gefunden, wie ich die Mail doch noch in mein Postfach bekomme. Empfänger mit Archiv/Compliance-Anforderungen werden damit wohl nicht zufrieden sein.
  • Antworten in gesendete Objekte
    Ich kann per Browser auch antworten Dabei wird mir die Mail selbst als Kopie nach dem gleichen Verfahren verschlüsselt gesendet. Das its i.O., da die Mail ja zu meinem System übertragen werden muss. Auf der anderen Seite habe ich die Mail natürlich nicht "unverschlüsselt" in meinem Ordner "Gesendete Objekte".

Als Lösung würde ich Office 365 Message Encryption daher noch nicht bezeichnen sondern eher als Notbehelf, wenn andere Wege nicht sinnvoll möglich sind. Der Zugriff auf an mich gesendete Mail über einen Browser beim Absender für eine eingeschränkte Zeit ohne Möglichkeit diese als EML-Datei o.ä. zumindest herunterladen zu können ist vielleicht für flüchtige Informationen tolerierbar. Ich schätze aber die Anwender von E-Mails so ein, dass Sie im Postfach empfangene Mails quasi "für immer" selbst vorhalten und auch Offline verfügbar sind. Das ist so nicht möglich.

Microsoft hätte aber als Hoheit über den Code von Office 365 und Outlook durchaus andere Möglichkeiten, eine wenngleich proprietäre Verschlüsselung bereitzustellen.

Weitere Links