*Google bringt dazu nicht so viel ( 1), 2) ), doch ein Paper (2)) verweist auf Emailverschlüsselung! Das hatten wir doch schon 😉 !


Der Ansatz über Emailverschlüsselung

Im Blog Das 1×1 der E-Mail-Verschlüsselung haben wir die unterschiedlichen Arten von Email und dessen Verschlüsselung betrachtet. In diesem Blog geht es um den Schutz beim Austausch zwischen Domänen. Es kann der Austausch zu und von fremden Domänen sein, aber auch unter eigenen Maildomänen. Es werden die Lösungsansätze verschiedener Blogbeiträge zum Thema Email etwas spezifisch auf die Aufgabenstellung angewandt.


Ausgangslage

Wir möchten einen möglichst sicheren Austausch von Emails zwischen Domänen erreichen. Der Fokus ist hier auf bekannten Gegenstellen. Das Wort bekannt ist etwas weiter gefasst, da es auch eine Bekanntschaft über Dritte, wie der SEPPmail-Verbund, sein kann.


Problem

Wie kann ich «Gut und Böse» unterscheiden? Wenn es um bekannte Gegenstellen geht, habe ich gute Chancen, mich optimal zu schützen. Bei Unbekannten bleiben uns die aufgezählten Möglichkeiten von guten Reputationsdatenbanken, SPAM- und Phishingschutz (Cisco ESA) sowie intelligenten Algorithmen, welche die Beziehung von Empfänger und Sender analysieren (xorlab) und so Ausreisser erkennen und blocken können.


Lösungsansätze

Im Blog Das 1×1 der E-Mail-Verschlüsselung haben wir diese sicheren Schutzmechanismen angesprochen, welche auf Verschlüsselung basieren.

    • Sicherer Kanal – genannt TLS
    • Eine höhere Stufe mit S/MIME-Verschlüsselung
    • Unpersönliche Verschlüsselung – Domänenverschlüsselung
    • GINA-Lösung
    • PGP als nächster Schritt von GINA oder für den privaten Gebrauch

Der Grundstein ist eine Emailverschlüsselung oder die Verschlüsselung des Transportkanals.

Wenn man heute noch die Frage gestellt bekommt, wozu denn Mailverschlüsselung gut sei, so wundert es einen schon. Sobald ich mit «bekannten» Gegenstellen über eines der aufgezählten Verfahren verschlüsseln kann, ist ein erster starker Schutz gegeben. Es macht Sinn, da wo möglich TLS und S/MIME zu verwenden – egal, ob es nun persönliche Zertifikate sind oder unpersönliche Domänenzertifikate. Durch die über 10’000 bekannten Domänen von SEPPmailkunden (Stand 1.2.2022 gemäss SEPPmail WebUI: «There are 10’214 managed domain certificates from other SEPPmail customers in the database») hat man einen sicheren Mailaustausch mit all diesen Kunden über die Domänenverschlüsselung.

Durch die Verwendung von Clouddiensten kommt dem sicheren Transport mit TLS eine immer wichtigere Rolle zu. Es ist nicht immer möglich, alle Komponenten so ‘nahe’ zu haben, dass kein Weg von einem System zum anderen direkt über das Internet geht. Wenn die MX von einer Lösung wie von Cisco ESA oder CES geschützt werden, so hat man zusätzlich einen guten Grundschutz vor Malware und Phishing. Schalte ich noch xorlab dahinter, so habe ich auch noch einen Schutz vor Angriffen, welche einzelne gut präparierte Emails sind, wo ein musterbasierter Gateway seine Mühe hat. Leider geht die Richtung aber zu M365.


Sichere Einbindung in M365

Viele Mailboxen wandern ins M365 und dadurch sind immer mehr Domänen bei Microsoft gehostet.

Damit wir eine Verschlüsselungslösung haben, welche allgemein unterstützt wird, ist S/MIME (oder PGP) der richtige Ansatz und dies kann ein SEPPmail-Gateway ideal handhaben. Dazu gibt es schon diverse Posts und Blogs. Weiter möchte ich auch meine unterschiedlichen Domänen untereinander schützen. Dazu kann ich bei Mails nach innen nach der SEPPmail eine xorlab-Instanz einrichten, welche für ausgehenden Verkehr als Ziel für den ganzen M365-Verkehr angegeben wird. Also auch intern zu interner Domäne. Damit lernt xorlab, wer mit wem Mailverkehr hat und wer eben nicht. Damit habe ich auch einen Schutz für die unterschiedlichen internen Domänen eines Kunden. xorlab weiss, was intern ist und was extern, und leitet dann die Mails zur SEPPmail für ausgehende Domänen und wieder zurück zu O365 für die internen. Ich könnte sogar auch wieder alles zur SEPPmail schicken und signieren, damit der Enduser sieht, wenn etwas manipuliert wurde. Eine zusätzliche Verschlüsselung wäre dann etwas zu viel Ping-Pong zwischen M365 – SEPPmail und xorlab.

Ausgehender Mailverkehr mit SEPPmailsternintegration und xorlab
Abb. 1: Ausgehender Mailverkehr mit SEPPmail-Stern-Integration und xorlab.
Ausgehender Inter-Domain-Mailverkehr über xorlab und SEPPmail bei Bedarf (3, 4) von Domain 1 zu Domain 2 im M365 des Kunden
Abb. 2: Ausgehender Inter-Domain-Mailverkehr über xorlab und SEPPmail bei Bedarf (3, 4) von Domain 1 zu Domain 2 im M365 des Kunden.
Eingehender Mailfluss
Abb. 3: Eingehender Mailfluss. Es wird immer über die Sternanbindung entschlüsselt.

Zusammenfassung

Wenn wir schon gezwungen wurden in M365 zu gehen, sollten wir uns zusätzliche Hüllen von Schutz zulegen. Wir sehen, dass wir mit unterschiedlichen Ansätzen den Schutz zwischen Domänen erhöhen können. Der erste Schritt ist sicher die Emailverschlüsselung, der zweite die Künstliche Intelligenz von xorlab, um die Feinheiten im Mailfluss zu lernen und Unstimmigkeiten zu bemerken und darauf zu reagieren…