Notes verschlüsselte Mails

Lotus Notes hat eine Funktion, die Anwendern eine Verschlüsselung von Mails sehr einfach macht. Jeder Benutzer hat eine NotesID mit kryptografischen Informationen, die auch im Notes Adressbuch enthalten sind. Damit kann ein Anwender mit einem Mausklick die Mail mit dem PublicKey der internen Empfängers mit der proprietären Notes-Verschlüsselung schützen. Damit kann nur der Absender und die Empfänger die Mail löschen. Selbst ein Administrator ist eigentlich ausgesperrt, es sei denn er hat ein "Backup" der Notes.ID mit Zugriffsrechten. Es handelt sich dabei aber nicht um eine SMIME-Verschlüsselung.

Migration

Für eine Migration dieser Mails in ein anderes System stellt diese Verschlüsselung natürlich eine unüberwindbare Hürde dar. Der einzige Weg ist die Entschlüsselung der Information durch den Anwender. Damit sind aber mehrere Dinge verbunden.

  • Der Anwender muss aktiv werden
    Das kann aber auch NotesScript machen, welches im Client des Benutzers gestartet wird aber ohne den Anwender geht es nicht oder nur sehr umständlich. Damit lässt sich auch schlecht ein Zeitpunkt festlegen oder sie migrieren nicht zu einem Stichtag
  • Netzwerk und Serverlast
    Da dann aber jeder Client seine verschlüsselten Mails wieder entschlüsselt speichert, bedeutet diese je nach Umgebung eine höhere Belastung
  • Unverschlüsselt speichern
    Wenn die Information an der gleichen Stelle bleibt, dann könnten nun aber Stellvertreter auch diese nun ungeschützten Mails sehen und lesen. Auch geht natürlich die Signatur-Information verloren, d.h. ich kann nicht mehr erkennen, dass der Absender nicht gefälscht war.
    Wer hier erhöhte Schutzanforderungen hat, müsste eine temporäre Neuverschlüsselung überlegen, die später nach der Migration umgebaut werden kann oder die schützenswerte Informationen werden an einem anderen Ort abgelegt
  • Migration
    Durch die Migration werden die die unverschlüsselten Daten von Notes zum Zielsystem übertragen. Normalerweise sind die "bewegten Daten" durch HTTPS, TLS oder VPN verschlüsselt. Es ist aber nur eine Transportverschlüsselt und natürlich ist eine Risikoabschätzung ratsam.
  • Zielablage
    Am Ende landen die Daten im Ziel und sind dort auch erst einmal unverschlüsselt. Die Thematik der Stellvertretungen oder neugierigen Administratoren gibt es natürlich auch hier und wenn das Ziel wieder geschützt werden soll, z.B. durch PureView/IRM/Azure Information Protection, dann muss dies entsprechend zeitnah konfiguriert werden. Wobei wir da vielleicht noch Rücksicht darauf nehmen sollten, welche Mails früher verschlüsselt waren, damit auch nur diese Elemente den gewünschten Schutz erhalten. Vergessen wir dabei auch nicht, dass es bei Exchange sehr viele unterschiedliches Clients (Outlook, Browser, IOS, Android, etc.) zum Einsatz kommen und entsprechend zu testen sind.

Skript für Anwender

Heinz Kröwing hat schon 2005 ein einfaches Beispiel-Skript für Notes bereitgestellt, welches verschlüsselte Mails entschlüsselt ablegt. Leider habe ich in der Vergangenheit oft feststellen müssen, dass Webseiten oder Seiten verschwinden, weil diese nicht mehr "wichtig" sind. Auch die Anzahl der Notes-Anwender ist stark rückläufig und ich habe mich daher überlegt, das Skript hier als Kopie zu "sichern"

notes-verschluesselt1.txt
Bitte als TXT-Datei herunterladen und dann im Notes Client als Skript einbinden

Auf "Decrypt of Mail Items in a User’s Lotus Notes Mailbox via Agent" https://crammysblog.com/decrypt-of-mail-items-in-a-users-lotus-notes-mailbox-via-agent/ wird noch der Weg über einen Agenten beschrieben, der noch etwas kürzer ist:

  • Ansicht definieren
    Zuerst definiert sich der Benutzer eine Ansicht, mit der er alle verschlüsselte Element als Liste anzeigt
SELECT (Form = “Memo” | Form = “Reply”) & Encrypt = “1”
  • Agent anlegen
    Dann legt der Anwender einen Agenten mit folgenden Code an, den er einmal startet:
Sub Initialize
   Dim session As New notessession
   Dim database As notesdatabase
   Dim view As notesview
   Dim document As notesdocument
   Set database = session.currentdatabase
   Set view = database.getview(“Encrypted”)
   Set document = view.getfirstdocument
   While Not document Is Nothing
      Call document.removeitem(“$Seal”)
      Call document.removeitem(“$SealData”)
      Call document.removeitem(“Encrypt”)
      Call document.save(True, False)
      Set document = view.getnextdocument( document )
   Wend
End Sub

Das Skript entschlüsselt dann alle Dokumente aus der Ansicht und speichert sie unverschlüsselt ab.

Ein drittes Skript, welches wohl auch Besonderheiten mit Anlagen angeht, habe ich hier gefunden und mir erst mal gesichert

notes-verschluesselt2.txt

Allen Lösungen ist gemein, dass der Benutzer diese ausführen muss.

Es gibt auch in Notes die Möglichkeit, dass ich als Administrator das Mail-Template mit einem Agenten anpasse, der automatisch gestartet wird. Dennoch muss der Anwender dann zumindest einen Noes-Client starten, der solche Aktionen unterstützt. Wenn Anwender nur noch per Browser oder Mobilclient arbeiten, dann ist das nicht sichergestellt.

Die Skripte "kennzeichnen" die vormals verschlüsselten Mails allerdings nicht, so dass nach diese nach der Migration nicht mehr erkannt und geschützt werden können.

Weitere Links