» Home » Signieren und Verschlüsseln » Gateway

Signieren und Verschlüsseln auf dem Gateway

Auf dieser und den Unterseiten ist noch nicht alle komplett fertig geschrieben. Ich wollte aber die Informationen nicht länger ihnen vorenthalten und bin über Feedback dankbar. Speziell wenn Sie selbst ein Gateway betreiben, was hier noch nicht aufgeführt wird, Probleme kennen, die ich noch nicht beschrieben habe oder einfach an Interoperabilitätstests interessiert sind.

Diese Seite beleuchtet die Funktion, Vorteile aber auch Probleme von Gateway-Lösungen bei der Verschlüsselung und Signierung von Mails. Auf der Seite SMTP und die Sicherheit habe ich die verschiedenen Möglichkeiten einer Absicherung des normalerweise ungesicherten Mailverkehrs per SMTP beschrieben. Auf enQsig - Verschlüsseln und Signieren finden Sie ein paar Bildschirme des Gateways Enqsig.

• Alternativen
  Ein Gateway kostet erst einmal Geld für die Beschaffung, Installation und Betrieb. Lesen Sie hier eine Betrachtung der Alternativen
• Vorteile
  Und hier die Argumente, warum ein Gateway das beste ist, was ihrer Firma wiederfahren kann, wenn die das für ihre Umgebung passende Gateway haben
• Signiert Empfangen
  Ohne weitere Aktion kann ein Gateway die Signatur von eingehenden Mails prüfen und bei Fehlern warnen
• Signiert Senden
  Mit einem einzigen Zertifikat auf dem Gateway können alle ausgehenden Mails für alle Versender digital signiert werden
• Signieren und Verschlüsseln
  Mit der passenden Signatur der Gegenseite können Gateways elegant die Nachrichten ohne Zutun der Anwender verschlüsseln.
• Probleme
  Auch wenn PGP bzw. SMIME einen gewissen Standard darstellen, so knirscht es manchmal schon. Hier ein paar Beispiele.

Verschlüsseln Signieren und Antispam/Antivirus

Wenn Sie über die Implementierung eines Gateways zur Verschlüsselung und Signatur nachdenken, dann sollten Sie den Spamschutz und Virenschutz nicht vergessen. Denn die Trennung der Funktionen ist nicht sinnvoll. Da beide Komponenten ja im SMTP-Transport eingebunden werden, gibt es nur drei Optionen:

Reihenfolge	Bewertung
Internet->Spamschutz->SMIME->Mailserver	In der Regel ist das erste System immer ein Spamschutz und Virenschutz. Nur so kann der Spamschutz frühzeitig unerwünschte Mails z.B. anhand von RBL-Listen oder für ungültige Adressen ablehnen. Allerdings kann der Spam- und Virenschutz dabei nicht in verschlüsselte Mails schauen. Bei dieser Anordnung sollten sie nach dem Signaturgateway noch einen Virenscanner platzieren und hoffen, dass zukünftig Spammer nicht allzu leicht an "Public Keys" kommen. Allerdings unterstützen viele Antispamsystem noch kein TLS /SMTPS, so dass das vorgeschaltete Gateway diesen sicheren Transportweg unterbindet.
Internet->SMIME->Spamschutz->Mailserver	Wenn Sie auch verschlüsselte Mails auf Viren scannen wollen, dann müssen Sie vor dem Virenscanner entschlüsseln. Die meisten S/MIME-Gateways sind allerdings denkbar schlechte Spamfilter. Wer den Spamflter nachschaltet hat ein Problem damit, dass die meisten Gateways die Mails mit einer "Store and Forward"-Logik weiter reichen. Damit "sieht" der Spamschutz nur noch die private interne IP-Adresse als Absender und RBL-Filter oder Greylisting greifen nicht mehr. Noch schlimmer ist aber, dass Sie unerwünschte oder ungültige Mails nicht mehr ablehnen können. Das SMIME-Gateway hat sie ja schon empfangen. Diese Kombination ist daher völlig ungeeignet.
Internet -> Kombigateway -> Mailserver	Die beste Lösung bieten Systeme, die alle vier/fünf Funktionen in einer Stelle konzentrieren und eingehende Mails während des Empfangs entschlüsseln und dann auf Spam/Viren prüfen können. Nebenbei kann das Ergebnis der Signaturprüfung ja mit in den Spamschutz einfließen. Wenn ein Absender schon "korrekt" mit einem vertrauenswürdigen Zertifikat signiert oder der absendende Mailserver per TLS sich identifiziert, kann dies Pluspunkte in der Spamwertung geben. Ein Virenschutz sollte aber dennoch ausgeführt werden. Insofern ist diese Lösung eigentlich die ideale Umsetzung einer SMTP-Gatewaysicherheit.

Spätestens jetzt sollten Sie bei der Auswahl von Lösungen wissen, worauf sie achten sollten. Nur die Kombination der Funktionen in einem System erlaubt die optimale Lösung.

Anbieter von Gateway-Lösungen

Neben Net at Work mit http://www.enqsig.de/ gibt es natürlich noch andere Anbieter von Gateways, welche Mails signieren und verschlüsseln. Das Leistungsspektrum, die Implementierung und Integration ist sehr unterschiedlich, so dass ein Vergleich nicht immer einfach möglich ist. Leider scheinen solche Produkte auch öfter umbenannt oder aufgekauft werden.

• Net at Work enQsig
  http://www.enqsig.de
  Siehe auch enQsig - Verschlüsseln und Signieren
• PGP Universal Gateway EMail (Linux Appliance)
  http://www.pgp.com/products/universal_gateway_email/index.html
  http://www.pgp.com/de/products/universal/100/faqs.html
• CryptoEx
  Ursprünglich wohl von Glück&Kanja entwicklet und dann von PGP aufgekauft um dann Ende 2006 eingestellt zu werden
  http://www.cryptoex.com verweist mittlerweile auf http://www.pgp.com/about_pgp_corporation/cryptoex.html
• Clearswift SecretSweeper
  http://www.companycrypt.com/SECRETsweeper_Produkt_Clearswift_Encryption_SMIME-en_65/index.php
  Addon für Clearswitch MimeSweeper
• Zertificon Z1 Secure Mail
  http://www.zertificon.de/
  Früher unter dem Namen Bonelabs bekannt www.bonelabs.de
• Ultimaco Safeguard E-Mail Gateway
  http://www.ultimaco.de/
  http://www.sophos.de/products/enterprise/encryption/safeguard-mailgateway/
• BCC_MailProtect Gateway
  http://www.bcc.biz/HP/bcc_hp.nsf/id/EN_MP_Secure_Messaging
• CryptoFilter
  http://www.dataenter.co.at/products/cryptofilterf.htm
• Ironport
  http://www.ironport.de/emailencryption.html
  Scheint aber aktuell eher ein "nicht PGP und nicht SMIME"-Gateway zu sein, welches Mails anhält und den Empfänger zum Abholen zwingt.
• Julia Mailoffice
  http://www.iccsec.com/loesungen/julia-mailoffice/

Weitere Links

• Senden als
• SMTP und die Sicherheit
• enQsig - Verschlüsseln und Signieren
• Sichere Mails mit S/Mime und PGP
• Verschlüsseln und Signieren
• Vertrauenswürdigkeit von Mails
• SMTP und die Sicherheit
• CA installieren
• Clientzertifikat/SMIME
• OWA und SMIME - Verschlüsseln und Signieren mit Outlook Web Access
• enQsig - Verschlüsselungsgateway
  http://www.enqsig.de/
• http://www.communigate.com/WebGuide/PKI.html
• RFC3183 - Domain Security Services using S/MIME
  http://www.faqs.org/rfcs/rfc3183.html

Keywords:

SMIME SMTP PGP TLS Gateway

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
  • Grundlagen
  • Vertrauen
  • Verschlüsseln und Signieren
  • Schlüssel
  • SMTP Sicherheit
  • SMime oder PGP
  • SSL-Grundlagen
  • Rolle der CA
  • MaxRootCA
  • Windows 2012 und TLS
  • Zertifikatarten
  • Firmen CA
  • Clientzertifikat/SMIME
  • AutoEnrollment
  • SANZertifkate
  • Wildcard Zert
  • OpenSSL
  • Verbindungen
  • Gateway
    • Limitierungen
    • Vorteile
    • Signiert Empfangen
    • Signiert Senden
    • Signieren und Verschlüsseln
    • Probleme
  • enQsig - Verschlüsseln und Signieren
  • Schlüsseltausch
  • SMIME mit Outlook
  • SMIME mit OWA2003
  • SMIME mit OWA2007
  • SMIME mit OWA2010
  • Zertifizierte Mail
  • ePost
  • De-Mail
  • Benutzerzertifikate im AD
  • Clientzertifikat Roaming
  • Rights Management Server
  • CA-Auswahl
  • Comodo EvalSSL
  • GoDaddy
  • AlphaSSL
  • StartSSL CA
  • IIS6 SSL einrichten
  • IIS7 SSL einrichten
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Ex 2013
• Unified Communication
• Lync/UC
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Office 365
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages