[Postfixbuch-users] PGP und S/MIME am äußeren MX

Michael Nausch michael at nausch.org
Do Mai 5 17:01:07 CEST 2011 

HI!

Dank will ich Dir gleich mal zu Deinem ausführlichen und hilfreichen  
Beitrag entgegenbringen.

Quoting Igor Sverkos <igor.sverkos at googlemail.com>:

> Heutige SPAM-Lösungen zielen imho nur darauf ab, erstere ungewollte
> Nachrichten zu erkennen. Gegen letztere Mails können sie in der Regel
> kaum etwas tun

FULLACK!

> Ein ähnliches Problem sehe ich bei der Filterung von verschlüsselten
> Nachrichten. Bei einer individuellen Verschlüsselung ist dies
> schlichtweg nicht möglich.

Genau, um die geht es hier. Daher wird man im geschäftlichen Umfeld,  
wenn man eine verschlüsselte Kommunikation ein- und umsetzen will, nie  
eine Ende-zu-Ende-Verschlüsselung im Sinne von MUA zu MUA einsetzen  
können. Hier wird man nicht umhinkommen, das eine Ende am annehmende  
Mailgateway der Firma zu definieren. Nur so können Nachrichten, egal  
ob nun (un)verschlüsselt oder nicht, inhaltlich auf Viren, Anhänge  
oder sonstige Inhalte hin überprüft werden.

Erfahrungsgemäß ist dies aber i.d.R. alles theoretischer Natur, denn  
wer kann denn mit PGP und S/MIME-Zertifikaten und dem ganzen Zinober  
außen herum umgehen? Die wenigsten!

> Insofern stellt sich die Frage, was das Unternehmen, welches nun
> Verschlüsselung einführen möchte, denn eigentlich damit erreichen will.

In dem speziellen Fall um dem es mir geht, gibt es angeblich 1.000e  
Anfragen von guten Kunden, die nach "sicherer eMail" fragen. Wir haben  
mal geziel nachgefragt wieviele dieser Kundenanfragen es gibt und wir  
mussten leider feststellen, es sind erschreckend viele! Genaugenommen:  
Null, koaoanziga! Aber ich hab die Kacke am Hals, schließlich steht ja  
einer vor der Türe, der das für schlappe 7.800 ? pro Monat machen will.

> Geht es nur darum, dass eine Nachricht, die irgendwo abgefangen wird,
> unlesbar ist?

Nicht ganz, denn irgendwo ist etwas arg unscharf. Die gesicherte  
Übertragung von MTA zu MTA ist ja keine Kunst, machen die MXe ja unter  
einander eh schon. (Start/TLS ...)

> Um noch auf eine kommerzielle Lösung zu sprechen zu kommen:

So jetzt wird es schon/noch interessanter. ;)

> PGP Universal Gateway Email ist hier eine vollständige Lösung.

Also unter vollständig, stelle ich mir vor:

Das äußere Mailrelay ist in der Lage ankommende Nachrichten, zu  
entschlüsseln, egal ob PGP oder S/Mime zum Einsatz kommt! Die  
Zertifikate und keys sind dabei nicht personen- sondern  
stellenbezogen, also ohne Passphrase. Diese Nachrichten bekommen dann  
einen X-Haeder gesetzt oder zur Not wird die Nachricht im Subject  
getaggt, damit der Enduser an seinem MUA sieht, dass es sich um eine  
vertrauliche und gesicherte/verschlüsselte Nachricht handelt(e).

Die Richtung zum Endkunden/Partner sähe z.B. so aus. Der MUA ist in  
der Lage einen X-Haeder zu setzen, mit dem dem MTA, der die  
Nachrichten nach extern verschickt, und so ohne Probleme die Nachricht  
mit dem public-key bzw. Zertifikat zu verschlüsseln. Zur Not könnte  
man auch ein Schlüsselwort im Subject, wie z.B. "[secret]" verwenden.  
Der Empfänger kann dann wie gewohnt die verschlüsselten Nachrichten an  
seinem MUA mit seinem privat-key oder privat-certificate aufmachen.  
Also nix, verschlüsselte PDFs, Webmail oder WebCrypt in der Cloud.  
wuarg...

> Im Prinzip wird man Verschlüsselung in Unternehmen also nie individuell
> wollen.

Why not, würde/müsste doch in etwa so gehen, wie von mir beschrieben.  
Wird am Markt ja auch so ähnlich angeboten. Nur mach ich das hald  
nicht für 3.000 Accounts für 7.800 Euro pro Monat!

> P.s.: Denke bei der ganzen Sache auch an die Speicherung. Wenn eine
> verschlüsselte Nachricht anschließend entschlüsselt im Mailspeicher
> liegt, dann ist der Mailspeicher das schwächste Glied.

Ich bemühe hierzu mal einen einfachen Vergleich mit bder analogen Welt 1.0 ;)

Wenn ich meine geheimen Unterlagen im fest verschlossenem Umschlag,  
mit Unterschrift und Klarsichtklebestreifen darüber verschicke, dann  
kann der Empfänger recht einfach feststellen, dass der Umschlag  
unversehen ist und der Inhalt keinem Dritten in die Hände gefallen  
ist. Wie der Inhalt des Kuverts dann beim Empfänger weiterverarbeitet  
wird und dementsprechend behandelt wird, ist mir auch relativ egal und  
da vertraue ich auf die Integrität des Empfängers. Zurück zur  
elektronischen Variante. Ich schreibe eine Nachricht, verschlüssle  
dies mit dem public-key von rechnungsstelle at heinleion-support.de und  
schon ist sichergestellt, dass ausser mir und der Rechnungsstelle  
keiner die Nachricht lesen und verändern kann. Und wenn die Mail bei  
meinem Hoster (O.k: in dem Fall bin ich das selber) liegt, dann liegt  
sie dort auch verschlüsselt vor. Wo genau beim Empfänger die eMail  
entschlüsselt wird, also beim annehmenden MXer oder erst beim Client  
ist mir egal.

Solange ich als externer Partner/Kunde meine eigene Intfrastruktur und  
MUA weiterhin nutzen kann, ist mir quasi jedes Mittel recht. Was ich  
sicherlich nie machen werde, ist für die 36 Firmen mit denen ich  
regelmäßig Informationen austausche, jeweils einen Webmailer der  
Firmen nutzen. Das werde ich nie tun und das wird auch unschwehr einem  
Kunden oder Geschäftspartner zu vermitteln sein. Denkt man dann auch  
noch an die Archivierung von emails/Geschäfts- und Handelsbriefe, dann  
wird man mit der Webmailer und WebCrypt in der Cloud keinen Stich mehr  
machen können/dürfen.

> Ich Grüße,

a so viu, pfiade!
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digitale PGP-Unterschrift
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110505/4c91ff78/attachment.sig>

Mehr Informationen über die Mailingliste Postfixbuch-users