Verschlüsseln und Signieren auf dem Gateway

Auf dieser und den unterseiten ist noch nicht alle komplett fertig geschrieben. Ich wollte aber die Informationen nicht länger ihnen vorenthalten und bin über Feedback dankbar. Speziell wenn Sie selbst ein Gateway betreiben, was hier noch nicht aufgeführt wird, Probleme können, die ich noch nicht beschrieben habe oder einfach an Interoperabilitätstests interessiert sind.

Diese Seite beleuchtet die Funktion, Vorteile aber auch Probleme von Gateway-Lösungen bei der Verschlüsselung und Signierung von Mails. Auf der Seite SMTP und die Sicherheit habe ich die verschiedenen Möglichkeiten einer Absicherung des normalerweise ungesicherten Mailverkehrs per SMTP beschrieben. Auf enQsig - Verschlüsseln und Signieren finden Sie ein paar Bildschirme des Gateways Enqsig.

Verschlüsseln Signieren und Antispam/Antivirus

Wenn Sie über die Implementierung eines Gateways zur Verschlüsselung und Signatur nachdenken, dann sollten Sie den Spamschutz und Virenschutz nicht vergessen. Denn die Trennung der Funktionen ist nicht sinnvoll. Da beide Komponenten ja im SMTP-Transport eingebunden werden, gibt es nur drei Optionen:

Reihenfolge Bewertung

Internet->Spamschutz->SMIME->Mailserver

In der Regel ist das erste System immer ein Spamschutz und Virenschutz. Nur so kann der Spamschutz frühzeitig unerwünschte Mails z.B. anhand von RBL-Listen oder für ungültige Adressen ablehnen.

Allerdings kann der Spam- und Virenschutz dabei nicht in verschlüsselte Mails schauen. Bei dieser Anordnung sollten sie nach dem Signaturgateway noch einen Virenscanner platzieren und hoffen, dass zukünftig Spammer nicht allzu leicht an "Public Keys" kommen.

Allerdings unterstützen viele Antispamsystem noch kein TLS /SMTPS, so dass das vorgeschaltete Gateway diesen sicheren Transportweg unterbindet.

Internet->SMIME->Spamschutz->Mailserver

Wenn Sie auch verschlüsselte Mails auf Viren scannen wollen, dann müssen Sie vor dem Virenscanner entschlüsseln. Die meisten S/MIME-Gateways sind allerdings denkbar schlechte Spamfilter.

Wer den Spamflter nachschaltet hat ein Problem damit, dass die meisten Gateways die Mails mit einer "Store and Forward"-Logik weiter reichen. Damit "sieht" der Spamschutz nur noch die private interne IP-Adresse als Absender und RBL-Filter oder Greylisting greifen nicht mehr. Noch schlimmer ist aber, dass Sie unerwünschte oder ungültige Mails nicht mehr ablehnen können. Das SMIME-Gateway hat sie ja schon empfangen.

Diese Kombination ist daher völlig ungeeignet.

Internet -> Kombigateway -> Mailserver

Die beste Lösung bieten Systeme, die alle vier/fünf Funktionen in einer Stelle konzentrieren und eingehende Mails während des Empfangs entschlüsseln und dann auf Spam/Viren prüfen können.

Nebenbei kann das Ergebnis der Signaturprüfung ja mit in den Spamschutz einfließen. Wenn ein Absender schon "korrekt" mit einem vertrauenswürdigen Zertifikat signiert oder der absendende Mailserver per TLS sich identifiziert, kann dies Pluspunkte in der Spamwertung geben. Ein Virenschutz sollte aber dennoch ausgeführt werden.

Insofern ist diese Lösung eigentlich die ideale Umsetzung einer SMTP-Gatewaysicherheit.

Spätestens jetzt sollten Sie bei der Auswahl von Lösungen wissen, worauf sie achten sollten. Nur die Kombination der Funktionen in einem System erlaubt die optimale Lösung.

Anbieter von Gateway-Lösungen

Neben Net at Work mit enQsig (http://www.netatwork.de/gateway-solutions/enqsig/uebersicht/) gibt es natürlich noch andere Anbieter von Gateways, welche Mails Verschlüsseln und Signieren. Das Leistungsspektrum, die Implementierung und Integration ist sehr unterschiedlich, so dass ein Vergleich nicht immer einfach möglich ist. Leider scheinen solche Produkte auch öfter umbenannt oder aufgekauft werden.

Weitere Links