S/MIME adalah metode yang telah lama digunakan untuk mengirim email terenkripsi dan ditandatangani, berdasarkan standar Internet publik. Kami sering menemukan persyaratan untuk S/MIME, terutama dari industri yang diatur seperti perbankan, kesehatan, dan keuangan. S/MIME sering diperlukan saat berkomunikasi antara bisnis dan lembaga pemerintah, misalnya.

Standar email aman lainnya, PGP (dikenal lucu sebagai "Pretty Good Privacy"), lebih banyak digunakan untuk komunikasi aman antar orang. Ini kurang populer sekarang karena versi konsumen dari klien email berbasis web populer seperti Gmail dan Outlook/Hotmail tidak dapat menampilkan email terenkripsi. Itu salah satu alasan banyak komunikasi antar orang yang memerlukan privasi telah pindah ke platform seperti WhatsApp (dan banyak lainnya) yang menawarkan enkripsi ujung-ke-ujung secara native.

Baik PGP maupun S/MIME memerlukan klien email yang dapat menggunakan kunci dan sertifikat. Banyak klien desktop dan mobile, termasuk Apple Mail, Microsoft Outlook, dan Mozilla Thunderbird memenuhi persyaratan tersebut, begitu juga versi bisnis dari beberapa klien web seperti Microsoft Office 365. Menyiapkan kunci memerlukan kerja, tetapi banyak organisasi masih menganggapnya bernilai, meskipun terdapat pengungkapan kerentanan baru-baru ini yang memerlukan perbaikan untuk memblokir pemuatan konten jarak jauh.

S/MIME telah ada sejak 1995 dan telah melalui beberapa revisi; versi saat ini diatur oleh RFC 5751. Ini memerlukan pertukaran kunci publik, suatu tugas yang tidak sepele yang sering memerlukan dukungan dari tim IT atau sumber daya serupa. Di sinilah solusi komersial dari perusahaan seperti mitra SparkPost, Virtru dan Echoworkx masuk, membuat keamanan lebih mudah untuk pengiriman email bisnis antar pribadi (lihat Panduan SparkPost/Echoworkx untuk informasi lebih lanjut).

Dengan demikian, mari kita gali lebih dalam tentang S/MIME dan lihat apa yang bisa kita lakukan dengannya.

Mengapa saya harus peduli?

Versi singkat:

• Enkripsi memberikan privasi pesan kepada Anda.

• Pembeletteran memberikan autentikasi (pengirim), tidak dapat disangkal dari asal, dan pemeriksaan integritas pesan.

• S/MIME bekerja berbeda dari DKIM dan DMARC dan dapat coexist dengan mereka.

Privasi
Jika pesan Anda tidak mengandung hal-hal pribadi, rahasia, atau penting secara hukum, maka Anda mungkin tidak perlu memikirkan S/MIME. Sistem pengiriman email modern seperti SparkPost sudah menggunakan "TLS oportunistik" untuk mengamankan pengiriman pesan dari server pengirim ke server penerima.

Bagian "opportunistik" memang berarti jika server pengirim tidak dapat melakukan negosiasi koneksi aman, kami akan mengirim email dalam bentuk teks biasa. Ini tidak cocok jika Anda ingin memaksa pesan agar aman sepenuhnya. Anda dapat melihat mereka yang mengklaim dukungan TLS dan yang benar-benar melakukannya. Dengan asumsi server penerima mendukung TLS, pesan Anda diamankan seperti ini:

TLS mengamankan percakapan antara server email (itulah sebabnya disebut Keamanan Layer Transport). MIME (termasuk S/MIME) berkaitan dengan konten pesan dan perlakuannya, dan dapat dianggap sebagai bagian dari "Layer Presentasi".

S/MIME mengamankan konten pesan dari asal pesan ke klien email penerima, mengenkapsulasi tubuh pesan.

S/MIME mengenkripsi tubuh pesan dengan kunci publik penerima. Tubuh pesan tidak dapat didekode tanpa kunci pribadi penerima—tidak bisa oleh "orang di tengah" seperti ISP Anda, SparkPost, atau server email penerima.

Kunci pribadi tidak pernah diungkapkan; ia tetap dalam kepemilikan tunggal penerima. Pesan terenkripsi melakukan perjalanan melalui Internet ke server email penerima. Ketika sampai di kotak masuk penerima, biasanya akan secara otomatis didekripsi dengan kunci pribadi mereka dan menjadi dapat dibaca.

Beberapa hal penting yang perlu diperhatikan tentang S/MIME:

Enkripsi S/MIME memiliki efek samping yang mencegah pemindaian pesan masuk berbasis server untuk malware karena payload pesan dalam bentuk terenkripsi dan karenanya tidak dapat diidentifikasi.

Perhatikan bahwa header pesan (Dari:, Kepada:, Subjek:, dll) tidak terenkripsi, jadi konten baris subjek perlu dibuat dengan mempertimbangkan hal ini.

Pembeletran – autentikasi
S/MIME juga memberikan penerima kemampuan untuk memeriksa apakah identitas pengirim pesan adalah yang mereka katakan.

Email pengirim dilengkapi dengan sertifikat yang, mirip dengan sertifikat di situs web aman, dapat dilacak kembali ke otoritas penerbit. Ada deskripsi lengkap tentang proses penandatanganan di sini.

Kami akan mengambil pendekatan untuk menandatangani email terlebih dahulu, lalu mengenkripsinya, sehingga prosesnya tampak seperti ini.

Tidak dapat disangkal
Manfaat berguna lain dari penandatanganan bagi penerima adalah tidak dapat disangkal dari asal. Pertimbangkan situasi di mana pesan email digunakan untuk menyetujui kontrak. Penerima mendapatkan kontrak dalam pesan dari pengirim. Jika pengirim mencoba mengatakan, "Tidak, saya tidak pernah mengirim pesan itu kepada Anda", maka pesan yang diterima menunjukkan bahwa sertifikat pengirim sebenarnya digunakan.

Integritas pesan
Proses penandatanganan membuat sidik jari dari pesan sumber biasa (dikenal sebagai digest pesan), mengenkripsi digest menggunakan kunci pribadi pengirim, dan menyertakannya dalam pesan yang dikirim. Klien email penerima dapat mengetahui jika tubuh pesan telah dimanipulasi.

Mungkin Anda akan berkata, "Saya pikir DKIM memberikan pemeriksaan integritas pesan!" Memang, DKIM memberikan pemeriksaan integritas tubuh pesan dan header pesan – jaminan anti-manipulasi. Namun, kegagalan DKIM (atau ketiadaan) biasanya tidak akan menyebabkan pesan masuk ditandai sebagai tidak valid sepenuhnya,... kecuali jika ada kebijakan DMARC yang memerintahkan `p=reject` (lebih lanjut tentang DMARC di sini). DKIM adalah satu faktor dari banyak yang digunakan oleh ISP untuk penugasan reputasi yang dapat diandalkan pada sebuah domain dan, tentu saja, merupakan bagian penting dari stack pengiriman pesan Anda.

Klien email Anda akan menunjukkan dengan jelas jika pesan S/MIME gagal dalam pemeriksaan tanda tangan:

Ringkasan: ujung-ke-ujung (S/MIME) vs server-ke-server (DKIM, DMARC, TLS)
S/MIME adalah kemampuan layer presentasi yang dapat berfungsi antara dua pengguna email (dengan sertifikat/kunci yang valid) tanpa tindakan dari administrator email. S/MIME menyediakan enkripsi dan tanda tangan dan bersifat pribadi bagi setiap pengguna.

S/MIME terikat pada alamat pengiriman lengkap (bagian lokal dan bagian domain), jadi, misalnya, alice@bigcorp.com dan bob@bigcorp.com perlu memiliki sertifikat yang berbeda. Sebaliknya, DKIM memvalidasi bahwa email berasal dari domain penandatangan. DKIM adalah subjek tersendiri; artikel ini adalah tempat yang baik untuk memulai.

Penyetelan DKIM dan DMARC dilakukan oleh administrator email Anda (bekerja pada server email dan catatan DNS). Setelah disetel, mereka aktif untuk domain, bukan pengguna individual.

Bagaimana ini terkait dengan SparkPost?

Sistem email untuk pengiriman pesan antar individu, seperti Microsoft Exchange Server, telah lama mendukung S/MIME.

Jika Anda menggunakan SparkPost untuk mengirim kepada penerima tertentu dengan klien email yang dapat membaca S/MIME, maka bisa jadi masuk akal untuk menandatangani pesan Anda dengan S/MIME. Penandatanganan S/MIME menambah jaminan lebih lanjut bahwa pesan benar-benar datang dari Anda (atau sistem Anda), dan belum dimanipulasi, yang mungkin bernilai di beberapa kasus. Yang Anda butuhkan hanyalah kunci Anda sendiri dan beberapa perangkat lunak gratis yang akan kami demonstrasikan di bagian kedua artikel ini.

Menggunakan enkripsi S/MIME adalah pilihan terpisah yang perlu dibuat. Anda akan membutuhkan kunci publik untuk setiap penerima Anda. Memperoleh ini bisa semudah meminta mereka mengirim kepada Anda (atau aplikasi Anda) email yang ditandatangani. Kami akan menjelajahi alat praktis untuk mengirim email yang ditandatangani dan terenkripsi S/MIME melalui SparkPost dalam pos berikutnya.

Klien mana yang mendukung S/MIME?

Gmail Konsumen
Klien web Gmail biasa menampilkan tanda tangan email yang masuk (lihat di bawah), tetapi tidak disiapkan untuk menyimpan kunci pribadi Anda untuk membaca pesan terenkripsi. Bahkan jika itu mungkin melalui plugin pihak ketiga, mengunggah kunci pribadi Anda bukanlah ide yang baik dari sudut pandang keamanan.

Saya tidak bisa mendapatkan Yahoo! Mail untuk mendekode tanda tangan dalam pesan sama sekali.

Versi konsumen dari akun Microsoft Outlook/Hotmail memberi tahu Anda tentang adanya tanda tangan S/MIME, tetapi tidak memberikan akses penuh untuk melihat atau memeriksa sertifikat.

Email bisnis yang dihosting
Untuk organisasi dengan email terkelola, Microsoft Office 365 dan G Suite Enterprise memiliki dukungan S/MIME.

Klien email Outlook
Microsoft Outlook berbasis klien (misalnya 2010 untuk Windows) berfungsi:

Mengklik ikon memberikan lebih banyak informasi:

Di Outlook 2010 / Windows, penyimpanan sertifikat diakses melalui File / Opsi / Pusat Kepercayaan / Pengaturan Pusat Kepercayaan / Keamanan Email / Impor / Ekspor.

Thunderbird – lintas platform dan gratis
Jika Anda mencari klien gratis, Mozilla Thunderbird memenuhi syarat. Ini tersedia di PC, Mac, dan Linux, dan mendukung S/MIME di semua platform ini. Berikut cara pesan terlihat di Mac. Ikon "amplop tersegel" menunjukkan bahwa pesan di tanda-tangani, dan gembok menunjukkan bahwa pesan telah dienkripsi.

Mengklik pada amplop/gembok menampilkan informasi tentang pesan:

Thunderbird memiliki penyimpanan kuncinya sendiri, yang diakses dengan cara serupa di setiap platform:
Mac melalui Preferensi / Lanjutan / Sertifikat / Kelola Sertifikat
PC: menu (“hamburger” di kanan atas), Lanjutan / Sertifikat / Kelola Sertifikat
Linux: menu (“hamburger” di kanan atas), Preferensi / Lanjutan / Kelola Sertifikat

Mac Mail
Mac Mail juga mendukung S/MIME. Ini bergantung pada kunci Mac Anda untuk menyimpan kunci Anda.

Email iOS
Pertama, impor sertifikat akun email Anda seperti ini, lalu Anda bisa melihat email yang ditandatangani dan terenkripsi S/MIME. Mereka tidak terlihat berbeda pada layar tampilan.

Android
Beberapa perangkat dan aplikasi mendukung S/MIME; ada banyak variasi di luar sana. Samsung memiliki panduan.

Akhirnya...

Itulah gambaran umum cepat tentang penggunaan praktis S/MIME. Jika Anda ingin mendapatkan sertifikat email Anda sendiri, ada daftar penyedia di sini. Saya menemukan Comodo bekerja dengan baik (gratis untuk penggunaan non-komersial – buka ini di Firefox, bukan Chrome).

Di bagian 2, kita akan mengeksplorasi bagaimana menerapkan penandatanganan dan enkripsi S/MIME pada pesan yang Anda kirim melalui SparkPost.

Bacaan lebih lanjut
Microsoft memiliki artikel pengantar yang bagus tentang S/MIME di sini.

Untuk informasi lebih lanjut tentang kerentanan EFAIL dan bagaimana cara mengatasinya, ini adalah situs definitif. Penjelasan yang mudah diikuti lainnya adalah di sini dan di sini.