Verschlüsseln und Signieren auf dem Gateway - Vorteile

Für Firmen ist die Verschlüsselung und Signierung über ein Gateway aus mehreren Gründen die beste Möglichkeit. Hier ein paar Fakten

  • Zentrale Steuerung
    Wenn jede Mail in und aus ihrem unternehmen durch ein zentrales Gateway geht, können sie zentral sicherstellen, dass Mails abhängig von Empfängern und Sendern verschlüsselt und/oder signiert werden oder bei einem Fehler nicht das unternehmen verlassen. Zudem können Sie die Zertifikate von eingehenden signierten Mail einfach einsammeln und damit ausgehende Antworten verschlüsseln, ohne dass der Anwender etwas dazu tun muss. Zuletzt können Sie zentral auch Mails stoppen, die z.B. nicht zentral zu entschlüsseln und damit zu überprüfen, scannen und archivieren sind. Sie können also auch verhindern, dass intern Personen z.B. mit einem eigenen privaten Zertifikat Informationen senden und empfangen.
  • Gateway-Zertifikat
    Die Nutzung eines zentralen Zertifikats auf dem Gateway erlaubt ihnen eine generelle Signierung aller ausgehenden Mails und eröffnet ihren Kommunikationspartner die Möglichkeit, auf signierte Mails verschlüsselt zu antworten. Sie benötigen dazu aber keine weitere Änderung ihres internen Mailsystems und sogar mobile Clients, Zugriffe per OWA, Stellvertretet etc. sind auf Mails möglich, die verschlüsselt empfangen wurden. Zudem erspart ihnen solch eine Lösung die Ausstellung von individuellen Zertifikaten mit der ganzen Problematik um "Erneuerung", Rückruf, Key Recovery etc.
    Sofern Sie von bestimmten Absendern eine Signierung erwarten, können sie unsignierte Mails dieser Server als "Fälschung" ansehen (Spam, Phishing). Leider senden nicht mal große Firmen wie eBay, PayPal, Microsoft Security Newsletter, Versandhäuser, Antivirenhersteller, Banken etc. signierte Mails)
  • Erweiterung des Spamschutz
    Der seinen "Public Key" öffentlich verteilt, was eine Voraussetzung dafür ist, dass die externen Absender die Mails an sie verschlüsseln können, muss auch eine Antwort darauf haben, dass solch ein Public Key von einem Spammer für die Verschlüsselung genutzt wird. Nur ein Gateway, welches die Mails beim Empfang entschlüsseln kann, kann auch solche Mails auf Viren und Spam analysieren und die Verbindung ablehnen. Die Entschlüsselung muss daher mit dem Spamschutz kombiniert werden
  • Virenschutz
    Es wird sicher nicht mehr lange dauern bis Viren sich hinter einer Mailverschlüsselung verstecken. Zumindest wenn der Public Key der Empfänger von einem Virus einfach aus dem befallenen Mailsystem oder einem öffentlichen Schlüsselserver erfragt werden kann, sollten Sie wissen, dass bei einer Ende-zu-Ende Verschlüsselung nur dem Virenscanner auf dem Desktop des Anwender möglich ist, den Schädling zu stoppen. Daher ist es wichtig, dass diese Ende-zu-Ende Verschlüsselung sogar aktiv verhindert wird und eine Verschlüsselung nur erlaubt wird, wenn das Gateway den privaten Schlüssel dazu hat.
  • Intern "unverschlüsselt"
    Die Verschlüsselung auf dem Gateway zum Internet sichert die unsichere Übertragung über das Internet ab. Im internen Mailverkehr bleiben die Mails "unverschlüsselt, so dass die leistungsfähigen Funktionen von Stellvertretern, Weiterleitungen, automatische Verarbeitung, Archivierung, Virenscan etc., weiter genutzt werden können.
    Die Übertragung von internen Mails über die eigenen LAN/WAN-Leitungen wird z.B. bei Exchange 2007 über die TLS-Verschlüsselung auf dem Transportweg sicher gestellt. Zudem können Sie mit Transportregeln oder den Rights Management Services weitere Filter und Schutzfunktionen umsetzen ohne ihre Firmenziele zu gefährden.

Das sind nur ein paar Aspekte, warum eine Verschlüsselung auf dem Gateway die einzig praktikable Lösung ist, Nachrichten auf dem Weg durch das Internet zu verschlüsseln und die unveränderlichkeit durch Signaturen zu gewährleisten.

Spam und Antivirenschutz

Viele Prospekte und Lösungen übersehen, dass immer noch ein sehr großer Anteil an Mails im Internet durch Viren und Spammer versendet werden. Die meisten Firmen nutzen heute schon Filter von Dienstleistern (z.B. Eleven, Postini, AntiSpam Europe), spezielle Schutzprogramme (NoSpamProxy, Astaro etc.) oder einfache Filter der Produkte (z.B.: Intelligent Message Filter). Ein Spamfilter funktioniert aber nur effektiv, wenn er die Mails direkt annimmt und damit die IP-Adresse des Absenders bewerten kann und bei Spamverdacht die Mails ablehnen kann (Siehe auch Behandlung). Einige Gateways (z.B.: NoSpamProxy) prüfen sogar die eingehende Mail auf Viren und prüfen den Inhalt, ehe sie dem Versender ein "250 Accepted für delivery" antworten.

  • Virenschutz für verschlüsselte Inhalte
    Werden nun aber immer mehr Mails verschlüsselt, dann sieht ein einfacher Spam/Virenfilter nur noch verschlüsselte Inhalte und kann erst einmal nicht mehr den Inhalt prüfen und bewerten.
  • S/MIME ist nicht TLS
    Leider unterstützen viele Spam/Virenfilter nicht TLS als gesicherten SMTP-Transport. Daher ist man vielleicht versucht das Verschlüsselungsgateway davor zu stellen. Das ist aber eine wenig ratsame Konstellation, wenn dieses Gateway nicht rudimentäre Antispam-Funktionen mitbringt.
  • Ablehnen, IP-Prüfung und mehr
    Wer nun aber ein Crypto-Gateway vor den Spamschutz stellt, kann zwar eingehende Mails entschlüsseln aber aufgrund des Relay-Charakters keine Mails mehr auf SMTP-Level ablehnen.
  • Empfängerprüfung
    Einige Gateways unterstützen leider nicht einmal die Empfängerprüfung und sind damit denkbar schlecht Antispam-Systeme. In so einem Fall sollte auf jeden Fall ein weiteres Gateway davor stehen, welches ungültige Empfänger direkt ablehnt.
  • Ausgehend Lernen
    Ein Crypto-Gateway zwischen Mailserver und Spamfilter nimmt dem Spamfilter die Möglichkeit, ausgehende Mails und die Kommunikationsbeziehungen zu lernen und in die Bewertung mit einzubeziehen.

Ein klarer Vorteil haben hier Gateways, die die Virus/Spam-Filterfunktion und die Verschlüsselungskomponenten samt TLS-tauglichem SMTP-Transport in einem Produkt kombinieren.