Verschlüsselung mit Ciphermail

Schlüsselverwalter

Mit einem Encryption Gateway kann der Administrator die automatische Ver- und Entschlüsselung von E-Mails steuern und das Schlüsselmaterial zentral verwalten. Das reduziert den Supportaufwand und schont die Nerven der Anwender – denn sie bekommen von der Verschlüsselung gar nichts mit. Ciphermail ist ein leistungsfähiges Encryption Gateway aus den Niederlanden. Wir stellen das System und dessen Inbetriebnahme vor.
Firmen stecken in einer Zwickmühle: Einerseits verschärfen die Gesetzgeber in Deutschland und Europa laufend die Anforderungen an die Datensicherheit und den ... (mehr)

Damit vertrauliche Informationen auch dann vertraulich bleiben, wenn sie per E-Mail versendet werden, empfiehlt sich der Einsatz einer Lösung zur E-Mail-Verschlüsselung. Mit (Open) PGP und S/MIME stehen dafür seit Jahren etablierte und sichere Standards zur Verfügung. Die Benutzer sind beim Einsatz dieser Technologien am Desktop jedoch häufig überfordert und mit der Unterstützung von Clients für mobile Geräte steht es ebenfalls nicht zum Besten. Es ist daher naheliegend, die Verschlüsselung über ein Encryption Gateway zu realisieren. Hier kommt Ciphermail - vormals unter dem Namen Djigzo bekannt – ins Spiel.

Große Auswahl an Encryption-Standards

Ciphermail unterstützt die folgenden Verschlüsselungsstandards:

- TLS

- S(ecure)/MIME

- OpenPGP

- PDF encrypted E-Mail

Während TLS der Sicherung des Transportwegs bei der Übertragung von Nachrichten zwischen Mailservern dient, bieten S/MIME und OpenPGP eine Verschlüsselung der E-Mail selbst. Für die Verschlüsselung und Signatur setzen beide Verfahren auf ein asymmetrisches Verschlüsselungsverfahren beziehungsweise eine Public-Key-Infrastruktur (PKI). Während S/MIME mit X.509 Zertifikaten arbeitet, nutzt OpenPGP ein eigenes (und zu älteren PGP-Versionen abwärtskompatibles) Schlüsselformat.

Beide Standards setzen voraus, dass auf Sender- und Empfängerseite jeweils ein Schlüsselpaar bestehend aus öffentlichem und privatem Schlüssel respektive Zertifikat vorliegt. Ist dies nicht gewährleistet, kann Ciphermails PDF-Verschlüsselung als "symmetrisches" Verschlüsselungsverfahren eine gute Alternative darstellen. Dabei werden Inhalt und Attachments von E-Mails in eine passwortgeschützte PDF-Datei verpackt, der Empfänger muss zum Öffnen und Lesen der Nachricht das zugehörige Passwort eingeben.

Optional kann Ciphermail mithilfe eines Zusatzmoduls auch einen Webmailer bereitstellen, bei dem der Empfänger zum Abrufen der Nachrichten lediglich einen Webbrowser benötigt. Ciphermail verfügt zudem über ein eingebautes Modul zur Data Leakage Prevention (DLP). Mit diesem lässt sich der ausgehende E-Mail-Verkehr auf Schlüsselbegriffe (Text) oder mit Hilfe von Regular Expressions untersuchen.

Blick in die Systemarchitektur

Das Ciphermail-Gateway basiert auf den Open-Source-Komponenten Postfix, OpenJDK, ANT und Tomcat und unterstützt mit PostgreSQL, MySQL/MariaDB und Oracle gleich drei relationale Datenbanksysteme. Es läuft auf Ubuntu, Debian, RedHat, CentOS und SUSE. Die DEB- und RPM-Packages wurden laut Hersteller unter Ubuntu 16.04, Debian 9, RedHat/CentOS 7 und dem SuSE Linux Enterprise Server 12 getestet. Die Installation kann entweder als virtuelle Appliance (auf Basis eines CentOS-Systems) oder mithilfe von Distributionspaketen auf einem bestehenden Linux-System erfolgen. Anwender anderer Distributionen bedienen sich dagegen der TAR- beziehungsweise Source-Pakete, die der Entwickler im Downloadbereich der Ciphermail-Webseite [1] bereitstellt.

Für die Installation in Cloudumgebungen wie Microsoft Azure oder Amazon Web Services existieren derzeit noch keine nativen Versionen. Soll Ciphermail in der Cloud laufen, können Sie stattdessen eine Linux-VM und die entsprechenden Distributions- beziehungsweise Installationspakete nutzen. Die Lizenzierung erfolgt dabei analog zur On-Premises-Installation.

Bild 1: Ciphermail unterstützt zahlreiche Methoden für die E-Mail-Verschlüsselung. Diese werden global definiert und können dann für jeden Benutzer individuell angepasst werden.
comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020