[Postfixbuch-users] PGP und S/MIME am äußeren MX

[Jan P. Kessler]

Am 04.05.2011 10:29, schrieb Michael Nausch:
> Hat hier jemand Erfahrungen mit derartigen Lösungen, so z.B. mit dem
> Z1 SecureMail Gateway, oder kann jemand positives über andere Ansätze
> berichten? Oder kann gar AMaViS gar hierzu verwendet werden - wäre
> doch der ultimative Ort, für die Ent-/Verschlüsselung. Bei DKIM macht
> er sowas ansatzweise ja schon, oder? ;)

Ich versuche es zur Abwechselung mal mit einer konkreten Antwort:

Ja, wir setzen eine Z1 für verschiedene Unternehmen ein. Relevant zu
dieser Entscheidung war allerdings weniger, dass wir verschlüsselte
Nachrichten auch Scannen wollten, sondern folgende Punkte:

- Keine Zusatzsoftware auf den PCs der Anwender erforderlich (sind hier
einige zehntausend). S/Mime sprechen die meisten MUAs ja, aber
spätestens bei PGP werden idR PlugIns benötigt.

- Richtlinien zur Verschlüsselung können an zentraler Stelle festgelegt
werden (durch uns, die Admins). So geben wir zu bestimmten Partnern per
Policy vor, dass jede Nachricht automatisch vom System verschlüsselt
wird. Das schützt gegen das Vergessen durch den AW.

- Die AW müssen sich nicht mit Verschlüsselungsverfahren und
Keymanagement auskennen ("welches Teil soll ich jetzt wohin schicken?
wieso public und private? wieso braucht der was von MIR, damit ER
verschlüsseln kann?" usw usf).

- Sämtliche Schlüssel liegen an zentraler Stelle auf dem Gateway (durch
ein HSM gesichert). Das erlaubt nicht nur ein einfaches Backup - man
schläft auch besser, wenn ein Notebook abhanden kommt.

- Stellvertreterregelungen und die Bearbeitung von Gruppenbriefkästen
bleiben möglich ohne dass man zig Keys an alle möglichen AW verteilen muss.

- Eine Z1 (und auch die meisten Alternativprodukte) erlaubt ja nicht nur
PKI basierte Verfahren sondern kennt auch Alternativen für AW, die das
nicht können. Stellt unsere Z1 beispielsweise fest, dass zu einem
Partner kein Key vorliegt, die Policy aber Verschlüsselung vorgibt,
hinterlegt sie die NAchricht automatisch in einem Webmailer bei uns
(https natürlich). Über ein Initialisierungsverfahren erhält der Externe
ein Kennwort und kann die Nachricht lesen. Alternativ kann die Z1 nicht
nur das, sondern die Mail auch in ein (AES-)verschlüsseltes PDF packen,
dass der Externe mit seinem Kennwort lesen kann.

- Die internen Keys können automatisch von einem Trustcenter via
SOAP-API bezogen werden. Beispiel: Eine Mail kommt an unserer Z1 an und
die Policy sagt "Signiere". Der User hat aber noch kein S/Mime
Zertifikat. Das stellt das GW fest und baut automatisch eine
(verschlüsselte und bidirektional authentisierte) Verbindung zur TC
Trustcenter auf, schickt einen CSR dorthin und erhält daraufhin das vom
TC signierte Zertifikat. Erst dann wird die Mail signiert und von der Z1
verschickt. Das klappt nicht nur, wenn kein Key existiert, sondern uB
auch, wenn das S/Mime Cert abgelaufen ist.

- Zu guter letzt einer der meist-unterschätzten Vorteile: Das
Keymanagement der externen Schlüssel. Wenn Du zB mit a at b.de
kommunizieren möchtest, benötigst Du ja den PublicKey von ihm. Den
tauscht Ihr aus und es klappt. Jetzt möchte aber vll auch Dein Kollege
mit a at b.de mailen - er muss den Key also wieder austauschen. Das ganze
kannst Du ja nun mal auf mehrere tausend interne AW und externe Partner
hochrechnen. Bei der Z1 wird der Key des Externen automatisch im
Schlüsselspeicher hinterlegt und steht somit sofort allen internen AW
zur Verfügung.

Sprich: Es gibt eine Reihe von guten Argumenten für ein solches System.
Es stünde der Liste gut zu Gesicht, wenn Ihr mal ein wenig reflektiert,
bevor Ihr eine Idee mit ein paar lapidaren Sätzen verwerft. Nur so eine
Anregung...

An Produkten kenne ich folgende:

- Zertificon Z1 http://www.zertificon.com/ (kennste ja schon)
- Totemo Trustmail http://www.totemo.ch/ (nicht ganz günstig, aber mit
dem meiner Meinung nach besten Policy Editor)
- Julia Mailoffice (kenne ich kaum. Wird das noch gepflegt?)
- Ultimaco Mailgateway (inzwischen von Sophos gekauft)

Meine Favoriten sind die ersten beiden. Zertificon ist es bei uns
geworden, da die Mandantenfähigkeit hier sehr stark ausgeprägt ist.
Sämtliche Features werden unterhalb des jeweiligen Mandanten eingestellt
- so z.B. das Layout des Webmailers und der PDFs, die SChnittstelle zum
Trustcenter, sämtliche Texte, usw usf

Cheers, Jan