NoSpamproxy Encryption - Verschlüsseln, Signieren, DE-Mail als Gateway

Hinweis: NoSpamProxy Encryption ist eine Funktionserweiterung de Net at Work Mailgateways.,. (Siehe auch NoSpamProxy) kann. Die Firma Net at Work, deren Gesellschafter ich bin, ist Hersteller dieses Produkt.

E-Mail-Verschlüsselung ohne Zertifikate: Das PDF-Mail AddIn für Microsoft Outlook
http://www.youtube.com/watch?v=5li8UEGFKNk

Der Produktname ist ein Kunstwort aus "Encrypt" und "Sign" und beschreibt sehr gut, was dieses Gateway zu leisten im Stande ist

  • Signieren ausgehender Mails (S/Mime)
    Hierzu kann ein allgemeines Gateway-Zertifikat aber auch persönliche Zertifikate des Benutzers verwendet werden, so diese vorliegen
  • Verschlüsseln
    Von allen eingehenden signierten Mails werden die angehängten Zertifikate gespeichert, so dass ausgehende Mails an diese Firmen oder Empfänger verschlüsselt werden. Das ganze funktioniert nicht nur mit persönlichen Zertifikaten sondern auch mit Gateway-Zertifikaten.
  • Qualifizierte Signatur
    Über Regeln kann zudem ein Modul genutzt werden, um z.B. Anlagen von bestimmten Absendern (z.B. der Buchhaltung) auf dem Gateway mit einer qualifizierten Signatur zu versehen. Dies ist z.B. im B2B-Verkehr bei Rechnungen erforderlich, damit der Empfänger die Vorsteuer abziehen darf.

Diese Seite kann kein "HowTo" oder gar die Installationsanleitung ersetzen. Das soll sie auch gar nicht. Sie kann aber anhand ein paar ausgewählter Bilder zeigen, wie die Konfiguration eines Gateways aussehen kann, welches Mails verschlüsselt und signiert und optional auch noch vor Viren und Spam schützt.

Zwei Ebenen

Ehe sie nun gleich anhand ein paar Bildschimauszügen einen ersten Eindruck erhalten, wie enQsig arbeitet, möchte ich vorneweg schicken, dass die technischen Details und Besonderheiten einer Gateway-Lösung auf der Seite Verschlüsseln und Signieren auf dem Gateway und unterseiten erläutert werden. für die weitere Betrachtung sollten Sie aber zwei Ebenen sich merken.

  • Transportverschlüsselung (TLS)
    Mailserver können die Übertragung von Mails per SSL verschlüsseln. Dabei wird der Transportweg von Server zu Server verschlüsselt und die Server können sich über Zertifikate auch eindeutig identifizieren. So wie sie beim Homebanking per Webbrowser auch sicher sein wollen, dass ihr Daten verschlüsselt an das richtige Ziel übertragen werden, sichert TLS auf dem Transport die Verbindung ab. für enQsig sind diese Einstellungen auf dem Listener möglich, welcher die IP-Verbindungen annimmt und kann pro Domäne auch erzwungen werden. Dieser Schutz wirkt aber nur bis zum nächsten Server. Ob ein Relay die Mail dann unverschlüsselt weiter leitet oder dort jemand Einsicht nimmt, kann nicht verhindert werden.
  • Mailverschlüsselung (S/MIME)
    Auf einer höheren Ebene findet die Signierung und Verschlüsselung der Mails per SMIME statt. Unabhängig vom darunter liegenden Transport werden die Nachrichten selbst noch mal ein einen geschützten Container umgepackt, welcher per Signatur den Absender belegt und optional auch verschlüsselt. Eine verschlüsselte Mail kann nur vom Empfänger selbst wieder entschlüsselt werden. weder auf dem Transportweg (Angreifer, Provider, Virenscanner, Spamschutz, Journalarchiv etc) noch ein Stellvertreter kann ohne Besitz des erforderlichen privaten Schlüssels die Nachricht öffnen. enQsig nimmt erleichtert den Einsatz von SMIME in Firmen, da auf dem Arbeitsplatz keinerlei Vorkehrungen erforderlich sind und Compliance-Vorgaben als auch Virenschutz und Spamschutz weiter umgesetzt werden können.
    enQsig kann hier pro Benutzer oder Domäne steuern, ob ein Signierung und Verschlüsselung genutzt werden darf oder muss und welche Zertifikate dabei zum Einsatz kommen.

Zu den weiteren Details einer Gateway-Lösung verweise ich auf die Seite Verschlüsseln und Signieren auf dem Gateway und folgende.

Die Management Console

Im Gegensatz zu verschiedenen Wettbewerbern nutzt Windows die gewohnte MMC um die Konfiguration zu verwalten. Hier sehen Sie auf der linken Seite die verschiedenen EinstellMöglichkeiten. Exemplarisch sehen Sie im rechten Fenster die Zertifikatsverwaltung:

Zertifikatsübersicht

Hier sehen Sie pro Domäne, ob und wie viele Zertifikate vorliegen und ob sogar eines für die Domäne genutzt werden kann.

Das eigene Zertifikat

Betrachten wir und einfach den Eintrag der eigenen Domäne "netatwork.de" einmal genauer, dann sieht man hier, dass es sich um ein offizielles Zertifikat handelt, welches zur Signatur aller ausgehenden Mails genutzt werden kann.

In der unten stehenden Liste hingegen sind aktuell keine Zertifikate der Benutzer hinterlegt. Dies ist aber natürlich auch möglich. enQsig signiert dann ausgehende Mails mit dem individuellen Zertifikat des Anwenders und nutzt das Gateway-Zertifikat nur, wenn es kein Benutzerzertifikat gibt.

Benutzerzertifikat eines Kommunikationspartners

Umgekehrt kann enQsig natürlich auch von allein eingehenden signierten Mails die angehängten Zertifikate kopieren und in seiner Datenbank ablegen. Dies sieht dann bei einer anderen Domäne wie folgt aus:

Hier habe die den Eintrag der Domain "rz.uni-karlsruhe.de" als Beispiel geöffnet und im Hintergrund sieht man, dass ich von einem Kommunikationspartner schon eine signierte Mail erhalten habe. Die Details zeigen mir auch, dass die uni wohl eine eigene Zertifizierungsstelle betreibt, die sogar vertrauenswürdig ist. In den Details würden Sie sehen, dass sie eine untergeordnete CA des DFN Verbunds ist. Und sie sehen hier, dass enQsig dieses Zertifikat sogar zum verschlüsselten Versand heranziehen würde.

S/Mime pro Domain oder user steuern

Auch hier habe ich als Administrator die Hand drauf, an welche Domains ich eine Verschlüsselung erlaube, erzwinge oder verbiete. Das geht über die Regeln, die den Einstellungen einer Checkpoint oder ISA recht ähnlich sind. Abhängig von der Richtung, des einliefernden Mailservers der Absender Adresse und dem Empfänger kann ich Mails blocken, prüfen oder passieren lassen. Über hier ausgeblendete Filter kann ich einen Spamschutz und Virenschutz integrieren. für S/MIME sind aber die Aktionen wichtig. Hier ist die S/MIME-Aktion in der Regel 1 addiert. Denkbar sind auch hier weitere Aktionen wie Archivierung, Disclaimer etc.

Die S/MIME-Aktion erlaubt mit dann zu steuern, wie mit der Mail verfahren werden soll. Die Konfigurationsmaske ist absichtlich mit ausführlichen Beschreibungen versehen, da wir nicht davon ausgehen können, dass die Bedeutung der Einstellungen immer präsent sind. Selbst mir passiert es, dass ich beim Verschlüsseln und Signieren die Zertifikate verwechsle.

Diese Einstellung hier erzwingt eine ausgehende Verschlüsselung für alles Mails, für die diese Regel zutrifft. Findet enQsig also kein passendes Benutzer oder Gateway-Zertifikat für den Empfänger, dann wird die Mail als unzustellbar abgelehnt. Sie können so sehr einfach einen verschlüsselten Kanal für bestimmte Zieldomänen (z.B. Partner) einrichten. Die beiden unteren Einstellung ist aber auch für Firmen interessant, wenn Sie ihr Richtlinien durchsetzen will. Normalerweise ist es für eine Firma kaum zu verhindern, dass ein interner Anwender sich selbst ein S/MIME-Zertifikat einrichtet und dann intern Mails nach extern signiert. Ebenso kann ein Anwender eine signierte Mail eines externen Kommunikationspartners erhalten und dann mit dessen Public Key ausgehende Mails verschlüsseln. Dies kann mit enQsig zuverlässig unterbunden werden, d.h. ausgehende verschlüsselte Mails können ebenso sie signierte Mails geblockt werden. Sie stellen damit sicher dass intern garantiert nichts verschlüsselt ist und damit Virenscanner, Archivprodukte, Compliance-Filter auf dem Weg zum und vom Internet etc. ihr Arbeit auch erfüllen können.

Netzwerk-Listener für TLS

Neben der Verschlüsselung der Inhalte per S/MIME unterstützt enQsig natürlich auch die die Transportverschlüsselung mittels SMTP/TLS. Dabei wird die Übertragung zwischen den Mailservern gesichert. Allerdings sollten Sie dann schon sicher sein, dass der Gegenpart schon beim Empfänger steht und kein unsicheres SMTP-Relay (z.B. BackupMX beim Provider) ist, weil die Verschlüsselung immer nur von Server zu Server erfolgt.

Allerdings ist auch dies eine wichtige Funktion für die Anbindung von Partnern ohne erst VPNs oder S/MIME-Strukturen aufbauen zu müssen. Wenn sich ein Mailserver per TLS mit einem gültigen Zertifikat "ausweist, könnten Spamfilter dies positiv bewerten. Spammer agieren in der Regel anonym oder über BOT-Systeme und haben hier kein offizielles gültiges Zertifikat. Ich habe den Traum, dass alle Firmen, die seriös arbeiten sich auch ein TLS-Zertifikat für ihren Mailserver leisten können und damit Spammer leichter auszufiltern sind.

Ausgehende Mails

Was auf der Empfangsrichtung funktioniert, muss natürlich auch auf beim Versand funktionieren. Daher sollten Sie in enQsig auch für den Versand ein gültiges Zertifikat verwenden und damit dem Empfänger die Option geben, ihre Identität zu verifizieren.

Für die Verschlüsselung ist diese Zertifikat aber nicht erforderlich, da hier immer das Zertifikat des Ermpfängerservers (Vergleichbar zu einer HTTPS-Verbindung) ausreicht.

Das Gateway kann natürlich auch einen Smarthost nutzen. Allerdings ist es dann natürlich nicht mehr sinnvoll, pro Domäne die Verschlüsselung per TLS zu konfigurieren, da der Tunnel nur bis zum Smarthost aufgebaut wird. NSP stellt besser direkt per DNS zu. Wenn Sie "abweichende statische Leitwege nutzen wollen, dann hindert Sie niemand daran, einen DNS-Server auf dem System mit entsprechenden abweichenden Zonen zu verwalten.

Vertrauen pro Domain

Eine der großen Besonderheiten von NoSpamProxy ist der "Level of Trust", bei dem pro Domäne (und pro Kommunikationsbeziehung). Die aktuell gültigen Einstellungen sind in den Vertrauensstellungen zu sehen. Hier sehen Sie microsoft.com. Natürlich vertraut das System nicht jeder Mail, die vorgibt von Microsoft zu kommen. Es wird schon protokolliert, von welchem Mailserver solche Nachrichten kommen. Systeme mit anderen IP-Adressen bekommen natürlich erst mal keinen Bonus

Diese Logik wird auch mit enQsig unterstützt aber auf die nächste Stufe gehoben. Pro Domäne kann nun auch hier die erforderliche Verbindungssicherheit eingestellt werden. Wenn Sie also von einem Partner oder jemand anderem Mails nur dann annehmen wollen, wenn dieser verschlüsselt und vielleicht noch ein bestimmtes Zertifikat annimmt, dann werden Mails abgelenht, die diese Forderung nicht erfüllen.

Übrigens mach Exchange 2007 und Exchange 2010 das schon per Default so, wenn es per SMTP erreicht wird. Exchange 2007 und höher bieten immer STARTTLS an, d.h. als Versender kann ich immer die Mail verschlüsseln. Über diese Einstellung kann ich das aber sogar voraussetzen, selbst wenn das Zertifikat der Gegenseite noch kein offizielles Zertifikat ist.

Das Herz : Die Regeln

Bei allen KonfigurationsMöglichkeiten pro Domänen und Listenern sollten Sie das Herzstück von enQsig nicht vergessen. Über einfache übersichtliche Regeln wird gesteuert, wie mit Mails abhängig von der Richtung, den Absenderserver und Adressen und dem Empfänger verarbeitet wird.

Optional mögliche Filter (z.B.: von NoSpamProxy) erlauben einen parallelen Spam und Virenschutz. Dies ist gerade beim Einsatz eines Verschlüsselungsgateways wichtig, da ein Viren/Spamschutz vor einem solchen Gateway nicht in die verschlüsselten Inhalte schauen kann oder den Einsatz von TLS als Transportverschlüsselung verhindert. Ein entsprechender Schutz zwischen internem Mailserver und S/MIME-Gateway kann Spam nicht mehr sinnvoll ablehnen, da das Gateway die Mail bereits empfangen und verarbeitet hat, wenn es unter der gesammelten Spamflut nicht gleich versagt.

Ich sehe es recht häufig, dass Firmen die Funktion AntiSpam/Antivirus und Verschlüsseln/Signieren leider mit getrennten Systemen umsetzen und damit einen schlechten Kompromiss eingehen. Überlegen Sie genau, warum sie zwei Server verschiedener Hersteller kaskadiert einsetzten wollen, wenn ein System alle Funktionen mitbringt und sogar verschlüsselten Spam, der sicher mit der Verfügbarkeit von PublicKeys und TLS zunehmen wird, entschlüsseln und dann immer noch ablehnen kann. (Siehe auch Quarantäne)

Performance Counter und Eventlog

enQsig nutzt wie NoSpamProxy als echte Windows Server Applikation natürlich auch die Bordmittel zur Überwachung: Ein eigenes Eventlog für die Meldungen entlastet die Standard Eventlogs von Windows und erlaubt dennoch eine zentrale Überwachung mit Programmen wie  MOM2005, System Center Essentials und anderen vorhanden Lösungen.

Die Ablage von Betriebsdaten bezogen auf das System und herunter bis auf einzelne Verbindungen als Performancecounter erlaubt eine quantitative Überwachung und Auswertung des aktuellen Betriebszustandes und eine historische Erfassung mit Bordmitteln und Drittprodukten.

Weiterführende Informationen zur Überwachung finden sie auch auf

Weitere Links