Gateway-Kette
Wenn Sie über die Implementierung eines Gateways zur Verschlüsselung und Signatur nachdenken, dann sollten Sie den Spamschutz und Virenschutz nicht vergessen. Denn die Trennung der Funktionen ist nicht sinnvoll. Da beide Komponenten ja im SMTP-Transport eingebunden werden, gibt es nur drei Optionen:
Reihenfolge | Bewertung |
---|---|
Internet->Spamschutz->SMIME->Mailserver |
In der Regel ist das erste System immer ein Spamschutz und Virenschutz. Nur so kann der Spamschutz frühzeitig unerwünschte Mails z.B. anhand von RBL-Listen oder für ungültige Adressen ablehnen. Allerdings kann der Spam- und Virenschutz dabei nicht in verschlüsselte Mails schauen. Bei dieser Anordnung sollten sie nach dem Signaturgateway noch einen Virenscanner platzieren und hoffen, dass zukünftig Spammer nicht allzu leicht an "Public Keys" kommen. Eine Herausforderung kann SMTP/TLS sein, wenn der Spamfilter dies nicht kann. Dann wäre eine üer TLS verschlüsselte Übertragung nicht möglich. |
Internet->SMIME->Spamschutz->Mailserver |
Wenn Sie auch verschlüsselte Mails auf Viren scannen wollen, dann müssen Sie vor dem Virenscanner entschlüsseln. Die meisten S/MIME-Gateways sind allerdings denkbar schlechte Spamfilter. Wer den Spamflter nachschaltet hat ein Problem damit, dass die meisten Gateways die Mails mit einer "Store and Forward"-Logik weiter reichen. Damit "sieht" der Spamschutz nur noch die private interne IP-Adresse als Absender und RBL-Filter oder Greylisting greifen nicht mehr. Noch schlimmer ist aber, dass Sie unerwünschte oder ungültige Mails nicht mehr ablehnen können. Das SMIME-Gateway hat sie ja schon empfangen. Diese Kombination ist daher völlig ungeeignet. |
Internet -> Kombigateway ->
Mailserver |
Die beste Lösung bieten Systeme, die alle vier/fünf Funktionen in einer Stelle konzentrieren und eingehende Mails während des Empfangs entschlüsseln und dann auf Spam/Viren prüfen können. Nebenbei kann das Ergebnis der Signaturprüfung ja mit in den Spamschutz einfließen. Wenn ein Absender schon "korrekt" mit einem vertrauenswürdigen Zertifikat signiert oder der absendende Mailserver per TLS sich identifiziert, kann dies Pluspunkte in der Spamwertung geben. Ein Virenschutz sollte aber dennoch ausgeführt werden. Insofern ist diese Lösung eigentlich die ideale Umsetzung einer SMTP-Gateway-Sicherheit. |
Spätestens jetzt sollten Sie bei der Auswahl von Lösungen wissen, worauf sie achten sollten. Nur die Kombination der Funktionen in einem System erlaubt die optimale Lösung.
Weitere Links
- Senden als
- SMTP und die Sicherheit
- NoSpamProxy Encryption - Verschlüsseln und Signieren
- Sichere Mails mit S/Mime und PGP
- Verschlüsseln und Signieren
- Vertrauenswürdigkeit von Mails
- SMTP und die Sicherheit
- CA installieren
- Clientzertifikat/SMIME
- OWA und SMIME - Verschlüsseln und Signieren mit Outlook Web Access
- NoSpamProxy Encryption - Verschlüsselungsgateway
http://www.netatwork.de/gateway-solutions/NoSpamProxy Encryption/uebersicht/ - http://www.communigate.com/WebGuide/PKI.html
-
RFC3183 - Domain Security Services using S/MIME
http://www.faqs.org/rfcs/rfc3183.html