» Home » Signieren und Verschlüsseln » Gateway » Vorteile

Signieren und Verschlüsseln auf dem Gateway - Vorteile

Für Firmen ist die Verschlüsselung und Signierung über ein Gateway aus mehreren Gründen die beste Möglichkeit. Hier ein paar Fakten

• Zentrale Steuerung
  Wenn jede Mail in und aus ihrem Unternehmen durch ein zentrales Gateway geht, können sie zentral sicherstellen, dass Mails abhängig von Empfängern und Sendern verschlüsselt und/oder signiert werden oder bei einem Fehler nicht das Unternehmen verlassen. Zudem können Sie die Zertifikate von eingehenden signierten Mail einfach einsammeln und damit ausgehende Antworten verschlüsseln, ohne dass der Anwender etwas dazu tun muss. Zuletzt können Sie zentral auch Mails stoppen, die z.B. nicht zentral zu entschlüsseln und damit zu überprüfen, scannen und archivieren sind. Sie können also auch verhindern, dass intern Personen z.B. mit einem eigenen privaten Zertifikat Informationen senden und empfangen.
• Gateway-Zertifikat
  Die Nutzung eines zentralen Zertifikats auf dem Gateway erlaubt ihnen eine generelle Signierung aller ausgehenden Mails und eröffnet ihren Kommunikationspartner die Möglichkeit, auf signierte Mails verschlüsselt zu antworten. Sie benötigen dazu aber keine weitere Änderung ihres internen Mailsystems und sogar mobile Clients, Zugriffe per OWA, Stellvertretet etc. sind auf Mails möglich, die verschlüsselt empfangen wurden. Zudem erspart ihnen solch eine Lösung die Ausstellung von individuellen Zertifikaten mit der ganzen Problematik um "Erneuerung", Rückruf, Key Recovery etc.
  Sofern Sie von bestimmten Absendern eine Signierung erwarten, können sie unsignierte Mails dieser Server als "Fälschung" ansehen (Spam, Phishing). Leider senden nicht mal große Firmen wie eBay, PayPal, Microsoft Security Newsletter, Versandhäuser, Antivirenhersteller, Banken etc. signierte Mails)
• Erweiterung des Spamschutz
  Der seinen "Public Key" öffentlich verteilt, was eine Voraussetzung dafür ist, dass die externen Absender die Mails an sie verschlüsseln können, muss auch eine Antwort darauf haben, dass solch ein Public Key von einem Spammer für die Verschlüsselung genutzt wird. Nur ein Gateway, welches die Mails beim Empfang entschlüsseln kann, kann auch solche Mails auf Viren und Spam analysieren und die Verbindung ablehnen. Die Entschlüsselung muss daher mit dem Spamschutz kombiniert werden
• Virenschutz
  Es wird sicher nicht mehr lange dauern bis Viren sich hinter einer Mailverschlüsselung verstecken. Zumindest wenn der Public Key der Empfänger von einem Virus einfach aus dem befallenen Mailsystem oder einem öffentlichen Schlüsselserver erfragt werden kann, sollten Sie wissen, dass bei einer Ende-zu-Ende Verschlüsselung nur dem Virenscanner auf dem Desktop des Anwender möglich ist, den Schädling zu stoppen. Daher ist es wichtig, dass diese Ende-zu-Ende Verschlüsselung sogar aktiv verhindert wird und eine Verschlüsselung nur erlaubt wird, wenn das Gateway den privaten Schlüssel dazu hat.
• Intern "unverschlüsselt"
  Die Verschlüsselung auf dem Gateway zum Internet sichert die unsichere Übertragung über das Internet ab. Im internen Mailverkehr bleiben die Mails "unverschlüsselt, so dass die leistungsfähigen Funktionen von Stellvertretern, Weiterleitungen, automatische Verarbeitung, Archivierung, Virenscan etc., weiter genutzt werden können.
  Die Übertragung von internen Mails über die eigenen LAN/WAN-Leitungen wird z.B. bei Exchange 2007 über die TLS-Verschlüsselung auf dem Transportweg sicher gestellt. Zudem können Sie mit Transportregeln oder den Rights Management Services weitere Filter und Schutzfunktionen umsetzen ohne ihre Firmenziele zu gefährden.

Das sind nur ein paar Aspekte, warum eine Verschlüsselung auf dem Gateway die einzig praktikable Lösung ist, Nachrichten auf dem Weg durch das Internet zu verschlüsseln und die Unveränderlichkeit durch Signaturen zu gewährleisten.

Spam und Antivirenschutz

Viele Prospekte und Lösungen übersehen, dass immer noch ein sehr großer Anteil an Mails im Internet durch Viren und Spammer versendet werden. Die meisten Firmen nutzen heute schon Filter von Dienstleistern (z.B. Eleven, Postini, AntiSpam Europe), spezielle Schutzprogramme (NoSpamProxy, Astaro etc.) oder einfache Filter der Produkte (z.B.: Intelligent Message Filter). Ein Spamfilter funktioniert aber nur effektiv, wenn er die Mails direkt annimmt und damit die IP-Adresse des Absenders bewerten kann und bei Spamverdacht die Mails ablehnen kann (Siehe auch Behandlung). Einige Gateways (z.B.: NoSpamProxy) prüfen sogar die eingehende Mail auf Viren und prüfen den Inhalt, ehe sie dem Versender ein "250 Accepted for delivery" antworten.

• Virenschutz für verschlüsselte Inhalte
  Werden nun aber immer mehr Mails verschlüsselt, dann sieht ein einfacher Spam/Virenfilter nur noch verschlüsselte Inhalte und kann erst einmal nicht mehr den Inhalt prüfen und bewerten.
• S/MIME ist nicht TLS
  Leider unterstützen viele Spam/Virenfilter nicht TLS als gesicherten SMTP-Transport. Daher ist man vielleicht versucht das Verschlüsselungsgateway davor zu stellen. Das ist aber eine wenig ratsame Konstellation, wenn dieses Gateway nicht rudimentäre Antispam-Funktionen mitbringt.
• Ablehnen, IP-Prüfung und mehr
  Wer nun aber ein Crypto-Gateway vor den Spamschutz stellt, kann zwar eingehende Mails entschlüsseln aber aufgrund des Relay-Charakters keine Mails mehr auf SMTP-Level ablehnen.
• Empfängerprüfung
  Einige Gateways unterstützen leider nicht einmal die Empfängerprüfung und sind damit denkbar schlecht Antispam-Systeme. In so einem Fall sollte auf jeden Fall ein weiteres Gateway davor stehen, welches ungültige Empfänger direkt ablehnt.
• Ausgehend Lernen
  Ein Crypto-Gateway zwischen Mailserver und Spamfilter nimmt dem Spamfilter die Möglichkeit, ausgehende Mails und die Kommunikationsbeziehungen zu lernen und in die Bewertung mit einzubeziehen.

Ein klarer Vorteil haben hier Gateways, die die Virus/Spam-Filterfunktion und die Verschlüsselungskomponenten samt TLS-tauglichem SMTP-Transport in einem Produkt kombinieren.

Keywords:

SMIME SMTP PGP TLS Gateway

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
  • Grundlagen
  • Vertrauen
  • Verschlüsseln und Signieren
  • Schlüssel
  • SMTP Sicherheit
  • SMime oder PGP
  • Rolle der CA
  • Zertifikatarten
  • Firmen CA
  • Clientzertifikat/SMIME
  • OpenSSL
  • Verbindungen
  • Gateway
    • Limitierungen
    • Vorteile
    • Signiert Empfangen
    • Signiert Senden
    • Signieren und Verschlüsseln
    • Probleme
  • enQsig - Verschlüsseln und Signieren
  • Schlüsseltausch
  • SMIME mit Outlook
  • SMIME mit OWA2003
  • SMIME mit OWA2007
  • SMIME mit OWA2010
  • Zertifizierte Mail
  • ePost
  • DE-Mail
  • Benutzerzertifikate im AD
  • Clientzertifikat Roaming
  • Rights Management Server
  • SSL-Grundlagen
  • Comodo EvalSSL
  • GoDaddy
  • StartSSL CA
  • IIS6 SSL einrichten
  • IIS7 SSL einrichten
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Unified Communication
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages