Vermehrt werden wir nach einer einfachen Lösung für die Mailverschlüsselung gefragt, wo weder Software noch Hardware gebraucht wird. Im Blog-Post über die bessere E-Mail-Verschlüsselung in der Cloud habe ich die Möglichkeiten von Mailverschlüsselung aufgezeigt. Ihre Firma hat eventuell gerade eben M365 eingeführt und möchte schnell wenige User mit Verschlüsselung einbinden? Mit diesem Blogbeitrag möchte ich euch aufzeigen, wie das mit der zweiten guten Option (SEPPmail.cloud) zu einem Erfolg geführt werden kann.
Vorteil der Cloud
Die Vorteile der Cloud sind bereits in diesem Blogeintrag E-Mail-Verschlüsselung in der Cloud ausführlich beschrieben. Wenn man schon M365 hat, ist es auch sinnvoll, die SEPPmail-Appliances in Azure zu installieren.
Welche Varianten gibt es?
Die Lösung in Azure ist ja bereits altbekannt und wurde schon in einem anderen Blogeintrag behandelt. Wir möchten uns nun auf die neue Möglichkeit mit SaaS (SEPPmail.cloud) konzentrieren. Neben der klassischen Sternintegration kann die SEPPmail SaaS auch als erster MTA genommen werden. Wir empfehlen doch lieber die Sternintegration, bei welcher ein bestehender MTA wie z.B. Exchange Online (ExO / M365) verwendet wird. Es gibt noch weitere Varianten, die in anderen Blogbeiträgen beschrieben sind. Jetzt möchte ich euch aber lieber die Vor- und Nachteile dieser Variante näher bringen.
Vorteile SEPPmail SaaS
-
- Der Aufwand für das Setup ist sehr gering.
- Es wird pro User bezahlt und man muss sich nicht mehr um den Platz etc. kümmern.
- Bei der Combo SEPPmail SaaS und M365 ist die Konfiguration äusserst einfach und gut dokumentiert.
- Die Skalierung ist ideal, da User hinzugefügt oder weggenommen werden können ohne auf die Hardware oder die Cloud-VMs schauen zu müssen. Das Minimum sind 50 User.
Nachteile SEPPmail.cloud SaaS
Es sei nicht verschwiegen, dass es auch Nachteile gibt. Doch würde ich eher von Einschränkungen als von Nachteilen sprechen.
-
- Die privaten Keys der Zertifikate sind in der Cloud – sie sind bei der SEPPmail-Lösung aber gut geschützt.
- Aktuell sind nur SwissSign DV (Domain-validierte) Zertifikate verfügbar, welche über die Domäne der Maildomäne des Kunden validiert werden. Dies ist auch ein Vorteil, weil es sehr einfach im Setup und günstig im Unterhalt ist.
- Die Wege der TLS-Tunnel mit dem unverschlüsselten Inhalt vom Gateway zu den beteiligten MTAs können ‘lange’ sein und durch ‘Feindgebiet’ – sprich das böse Internet – gehen.
- Aktuell keine LDAP- oder Directory-Anbindung (muss über Listen und von Hand auf User Attributes gesteuert werden).
Checkliste
Allgemein
-
- Sind wir bereit für die Cloud?
- Habe ich den richtigen Partner für die Unterstützung des Vorhabens?
- Betreffen mich die Einschränkungen von oben?
- Wenn ja, bin ich mir dem bewusst und ist das in Ordnung?
- Wenn nein, gut so.
Zertifikate
-
- Möchte ich verschlüsseln und signieren?
- Brauche ich gar nur Mailsignierung?
- Habe oder brauche ich HIN?
Architektur
-
- Welcher Migrationspfad ist notwendig, um einen unterbruchsfreien Übergang zu erhalten?
- Können wir unsere User im ExchangeOnline (ExO) über Gruppen steuern oder werden alle User mit Zertifikaten ausgerüstet?
- Brauche ich keine (komplexe) Abfragen per CustomCommands?
Use Cases und Lizenzen
SEPPmail.cloud bietet die folgenden Dienste an, die jeweils einzeln oder in Kombination verwendet werden können:
-
- cloud sign+enc
- cloud sign-only ; (Alternativ auch SEPPmail.cloud HIN gateway)
- cloud MS365-Integration um die Verschlüsselung/Signatur in den Mailfluss von M365 direkt zu integrieren. Die MX-Records zeigen weiterhin zu Microsoft.
- cloud filter inbound für den Spam-/Viren-/Phishing-Filter und zur Integration mit einem beliebigen Mailsystem (auch MS365). Die MX-Records zeigen zu SEPPmail.cloud.
- cloud filter outbound für den Outbound-Verkehr entweder für on-premises Mailsysteme oder in Verbindung mit Verschlüsselung/Signatur.
Für die Beschaffung der entsprechenden Lizenzen können wir gerne unterstützen.
Zusammenfassung
Verschlüsselung in der Cloud muss nicht schwierig sein und mit dem richtigen Partner wird es einen erfolgreichen Abschluss geben. Das Ziel sollte aber die Sternanbindung sein, welche (nicht nur) mit M365 sehr gut funktioniert. Durch die neue SaaS-Möglichkeit von SEPPmail.cloud wird das Aufschalten, wenn man die Limits kennt und diese nicht stören, sehr schnell ausgeführt.
Lenti
Lenti ist Senior Security Engineer und langjähriger AVANTEC-Mitarbeiter. Er interessiert sich für Firewalls, Zscaler, BlueCoat, SEPPmail, Cisco IronPort, Sandboxing und das Zusammenspiel aller Komponenten in komplexen Umgebungen.