Notes verschlüsselte Mails
Lotus Notes hat eine Funktion, die Anwendern eine Verschlüsselung von Mails sehr einfach macht. Jeder Benutzer hat eine NotesID mit kryptografischen Informationen, die auch im Notes Adressbuch enthalten sind. Damit kann ein Anwender mit einem Mausklick die Mail mit dem PublicKey der internen Empfängers mit der proprietären Notes-Verschlüsselung schützen. Damit kann nur der Absender und die Empfänger die Mail löschen. Selbst ein Administrator ist eigentlich ausgesperrt, es sei denn er hat ein "Backup" der Notes.ID mit Zugriffsrechten. Es handelt sich dabei aber nicht um eine SMIME-Verschlüsselung.
Migration
Für eine Migration dieser Mails in ein anderes System stellt diese Verschlüsselung natürlich eine unüberwindbare Hürde dar. Der einzige Weg ist die Entschlüsselung der Information durch den Anwender. Damit sind aber mehrere Dinge verbunden.
- Der Anwender muss aktiv werden
Das kann aber auch NotesScript machen, welches im Client des Benutzers gestartet wird aber ohne den Anwender geht es nicht oder nur sehr umständlich. Damit lässt sich auch schlecht ein Zeitpunkt festlegen oder sie migrieren nicht zu einem Stichtag - Netzwerk und Serverlast
Da dann aber jeder Client seine verschlüsselten Mails wieder entschlüsselt speichert, bedeutet diese je nach Umgebung eine höhere Belastung - Unverschlüsselt speichern
Wenn die Information an der gleichen Stelle bleibt, dann könnten nun aber Stellvertreter auch diese nun ungeschützten Mails sehen und lesen. Auch geht natürlich die Signatur-Information verloren, d.h. ich kann nicht mehr erkennen, dass der Absender nicht gefälscht war.
Wer hier erhöhte Schutzanforderungen hat, müsste eine temporäre Neuverschlüsselung überlegen, die später nach der Migration umgebaut werden kann oder die schützenswerte Informationen werden an einem anderen Ort abgelegt - Migration
Durch die Migration werden die die unverschlüsselten Daten von Notes zum Zielsystem übertragen. Normalerweise sind die "bewegten Daten" durch HTTPS, TLS oder VPN verschlüsselt. Es ist aber nur eine Transportverschlüsselt und natürlich ist eine Risikoabschätzung ratsam. - Zielablage
Am Ende landen die Daten im Ziel und sind dort auch erst einmal unverschlüsselt. Die Thematik der Stellvertretungen oder neugierigen Administratoren gibt es natürlich auch hier und wenn das Ziel wieder geschützt werden soll, z.B. durch PureView/IRM/Azure Information Protection, dann muss dies entsprechend zeitnah konfiguriert werden. Wobei wir da vielleicht noch Rücksicht darauf nehmen sollten, welche Mails früher verschlüsselt waren, damit auch nur diese Elemente den gewünschten Schutz erhalten. Vergessen wir dabei auch nicht, dass es bei Exchange sehr viele unterschiedliches Clients (Outlook, Browser, IOS, Android, etc.) zum Einsatz kommen und entsprechend zu testen sind.
Skript für Anwender
Heinz Kröwing hat schon 2005 ein einfaches Beispiel-Skript für Notes bereitgestellt, welches verschlüsselte Mails entschlüsselt ablegt. Leider habe ich in der Vergangenheit oft feststellen müssen, dass Webseiten oder Seiten verschwinden, weil diese nicht mehr "wichtig" sind. Auch die Anzahl der Notes-Anwender ist stark rückläufig und ich habe mich daher überlegt, das Skript hier als Kopie zu "sichern"
- Migration verschlüsselter Mails von
Lotus Notes nach Exchange
https://www.faq-o-matic.net/2005/04/23/migration-verschluesselter-mails-von-lotus-notes-nach-exchange/
notes-verschluesselt1.txt
Bitte als TXT-Datei herunterladen und dann im Notes Client als Skript einbinden
Auf "Decrypt of Mail Items in a User’s Lotus Notes Mailbox via Agent" https://crammysblog.com/decrypt-of-mail-items-in-a-users-lotus-notes-mailbox-via-agent/ wird noch der Weg über einen Agenten beschrieben, der noch etwas kürzer ist:
- Ansicht definieren
Zuerst definiert sich der Benutzer eine Ansicht, mit der er alle verschlüsselte Element als Liste anzeigt
SELECT (Form = “Memo” | Form = “Reply”) & Encrypt = “1”
- Agent anlegen
Dann legt der Anwender einen Agenten mit folgenden Code an, den er einmal startet:
Sub Initialize Dim session As New notessession Dim database As notesdatabase Dim view As notesview Dim document As notesdocument Set database = session.currentdatabase Set view = database.getview(“Encrypted”) Set document = view.getfirstdocument While Not document Is Nothing Call document.removeitem(“$Seal”) Call document.removeitem(“$SealData”) Call document.removeitem(“Encrypt”) Call document.save(True, False) Set document = view.getnextdocument( document ) Wend End Sub
Das Skript entschlüsselt dann alle Dokumente aus der Ansicht und speichert sie unverschlüsselt ab.
Ein drittes Skript, welches wohl auch Besonderheiten mit Anlagen angeht, habe ich hier gefunden und mir erst mal gesichert
- [Tipp] Mails inkl. Anhänge entschlüsseln
https://atnotes.de/index.php?board=5;action=display;threadid=15495
Allen Lösungen ist gemein, dass der Benutzer diese ausführen muss.
Es gibt auch in Notes die Möglichkeit, dass ich als Administrator das Mail-Template mit einem Agenten anpasse, der automatisch gestartet wird. Dennoch muss der Anwender dann zumindest einen Noes-Client starten, der solche Aktionen unterstützt. Wenn Anwender nur noch per Browser oder Mobilclient arbeiten, dann ist das nicht sichergestellt.
Die Skripte "kennzeichnen" die vormals verschlüsselten Mails allerdings nicht, so dass nach diese nach der Migration nicht mehr erkannt und geschützt werden können.
Weitere Links
- Migration verschlüsselter Mails von
Lotus Notes nach Exchange
https://www.faq-o-matic.net/2005/04/23/migration-verschluesselter-mails-von-lotus-notes-nach-exchange/ - Decrypt of
Mail Items in a User’s Lotus Notes Mailbox
via Agent
https://crammysblog.com/decrypt-of-mail-items-in-a-users-lotus-notes-mailbox-via-agent/ - Mails inkl.
Anhänge entschlüsseln
https://atnotes.de/index.php?board=5;action=display;threadid=15495 - How To Decrypt Lotus Notes Mail?
https://www.exeideas.com/2015/04/how-to-decrypt-lotus-notes-mail.html - Remove Encryption from Lotus Notes
Database & Decrypt NSF Emails
https://mailboxreader.wordpress.com/2020/09/11/remove-encryption-from-lotus-notes-database/ - Decrypt of Mail Items in a User’s Lotus
Notes Mailbox via Agent
https://crammysblog.com/decrypt-of-mail-items-in-a-users-lotus-notes-mailbox-via-agent/ - Email Encryption in Lotus Notes
https://www.exportnotes.com/articles/encryption-in-lotus-notes.html - Processing encrypted mail on an Android device
https://help.hcltechsw.com/traveler/11.0.0/android_processing_encrypted_mail.html - Options to migrate encrypted messages (4343755)
https://support.quest.com/de-de/migrator-for-notes-to-exchange/kb/4343755/options-to-migrate-encrypted-messages - Encrypting mail
https://help.hcltechsw.com/domino/11.0.0/conf_encryptingmail_t.html