Bereik

Grow

Manage

Automate

Bereik

Grow

Manage

Automate

S/MIME: Wat is het, waarom zou het mij iets kunnen schelen, en hoe relateert het aan SparkPost?

Bird

19 dec 2018

E-mail

1 min read

S/MIME: Wat is het, waarom zou het mij iets kunnen schelen, en hoe relateert het aan SparkPost?

Bird

19 dec 2018

E-mail

1 min read

S/MIME: Wat is het, waarom zou het mij iets kunnen schelen, en hoe relateert het aan SparkPost?

S/MIME is een al lang bestaand methode voor het verzenden van versleutelde, ondertekende e-mails, gebaseerd op publieke internetstandaarden. We komen regelmatig vereisten voor S/MIME tegen, met name vanuit gereguleerde sectoren zoals banken, gezondheidszorg en financiën.

S/MIME is een lang bekende methode voor het verzenden van versleutelde, ondertekende e-mail, gebaseerd op openbare internetstandaarden. We komen regelmatig eisen voor S/MIME tegen, vooral vanuit gereguleerde industrieën zoals banken, gezondheidszorg en financiën. S/MIME is vaak vereist bij communicatie tussen bedrijven en overheidsinstanties, bijvoorbeeld.

Een andere beveiligde mailstandaard, PGP (vermakelijk genaamd als "Pretty Good Privacy"), wordt meer gebruikt voor beveiligde communicatie van persoon tot persoon. Het is nu minder populair omdat de consumentversies van populaire webgebaseerde e-mailclients zoals Gmail en Outlook/Hotmail geen versleutelde mail kunnen weergeven. Dat is een reden waarom veel communicatie van persoon tot persoon die privacy vereist, is verhuisd naar platforms zoals WhatsApp (en vele anderen) die native end-to-end versleuteling bieden.

Zowel PGP als S/MIME vereisen een mailclient die sleutels en certificaten kan gebruiken. Veel desktop- en mobiele clients, inclusief Apple Mail, Microsoft Outlook en Mozilla Thunderbird voldoen aan de eisen, evenals bedrijfsversies van sommige webclients zoals Microsoft Office 365. Het instellen van de sleutels kost moeite, maar veel organisaties vinden het nog steeds de moeite waard, ondanks recente kwetsbaarheidsmeldingen die remedies vereisen om het laden van externe inhoud te blokkeren.

S/MIME bestaat al sinds 1995 en heeft verschillende revisies ondergaan; de huidige versie wordt gedekt door RFC 5751. Het vereist de uitwisseling van openbare sleutels, een niet-triviale taak die vaak ondersteuning van een IT-team of een vergelijkbare bron vereist. Voor organisaties die e-mailinfrastructuur op locatie gebruiken, vereist de implementatie van S/MIME aanvullende overwegingen voor platforms zoals PowerMTA en Momentum, die we behandelen in onze handleiding over S/MIME voor veilige e-mail op locatie. Er zijn echter geautomatiseerde benaderingen om dit proces te stroomlijnen, zoals het verzamelen van openbare sleutels van ontvangers via e-mailsystemen die het beheer van sleutels voor app-gegenereerde e-mailstromen kunnen vereenvoudigen. Hier komen commerciële oplossingen van bedrijven zoals SparkPost-partners Virtru en Echoworkx in beeld, die beveiliging gemakkelijker maken voor zakelijke e-mail van persoon tot persoon (zie onze SparkPost/Echoworkx how-to voor meer informatie).

Dat gezegd hebbende, laten we wat dieper ingaan op de klassieke S/MIME en kijken wat we ermee kunnen doen.

Waarom zou ik me daar druk om maken?

De korte versie:

  • Encryptie geeft u berichtprivacy.

  • Ondertekening biedt u authenticatie (van de afzender), niet-repudiatie van de oorsprong, en controles van de integriteit van berichten.

  • S/MIME werkt anders dan DKIM en DMARC en kan naast hen bestaan.

Privacy
Als uw berichten niets persoonlijks, privés of juridisch belangrijks bevatten, hoeft u waarschijnlijk niet na te denken over S/MIME. Moderne e-mailsystemen zoals SparkPost gebruiken al “opportunistische TLS” om het berichttransport van de verzendserver naar de ontvangende server te beveiligen.

Het “opportunistische” gedeelte betekent echter dat als de verzendserver geen beveiligde verbinding kan onderhandelen, we de e-mail in platte tekst zullen verzenden. Dit is niet geschikt als u wilt dat het bericht de hele weg veilig is. U kunt een kijkje nemen bij welke mailboxproviders aangeven TLS-ondersteuning te bieden en welke het daadwerkelijk doen. Als de server van de ontvanger TLS ondersteunt, wordt uw bericht als volgt beveiligd:

Email encryption process highlighting TLS between a gear-labeled "Message Source" on the left, an flame icon representing encryption in the middle, and a envelope-labeled "Recipient" on the right.

TLS beveiligt de gesprekken tussen mailservers (die daarom Transport Layer Security wordt genoemd). MIME (inclusief S/MIME) betreft de inhoud van berichten en de behandeling ervan, en kan worden beschouwd als deel van de "Presentatielaag".

S/MIME beveiligt de inhoud van het bericht volledig (“end-to-end”) van de oorsprong van het bericht tot de mailclient van de ontvanger, waarbij de berichtinhoud wordt ingekapseld.

A diagram illustrating email security with S/MIME encryption, showing a message source icon leading to an email symbol, both connected by TLS, with a locked envelope symbol representing the recipient, highlighting secure message delivery.

S/MIME versleutelt de berichtinhoud met de openbare sleutel van de ontvanger. De inhoud kan niet worden gedecodeerd zonder de privésleutel van de ontvanger — niet door een “persoon in het midden” zoals uw ISP, SparkPost of de mailserver van de ontvanger.

De privésleutel wordt nooit bekendgemaakt; deze blijft in het exclusieve bezit van de ontvanger. Het versleutelde bericht reist via het internet naar de ontvangende mailserver. Wanneer het in de inbox van de ontvanger terechtkomt, wordt het (doorgaans automatisch) met hun privésleutel ontsleuteld en leesbaar gemaakt.

Enkele S/MIME valkuilen om op te letten:

S/MIME encryptie heeft als neveneffect dat op server gebaseerde inkomende berichtenscanning op malware wordt voorkomen, omdat de berichtbelasting in versleutelde vorm en dus onherkenbaar is.

Merk op dat de berichtheaders (Van:, Aan:, Onderwerp: etc.) niet versleuteld zijn, dus de inhoud van de onderwerpregel moet met dat in gedachten worden gemaakt.

Ondertekening – authenticatie
S/MIME biedt de ontvanger ook de mogelijkheid om te controleren dat de identiteit van de afzender van het bericht is wie ze zeggen dat ze zijn.

De e-mail van de afzender heeft een bijgevoegd certificaat, dat, net als het certificaat op een beveiligde website, kan worden herleid naar een uitgevende instantie. Er is een volledige beschrijving van het ondertekeningsproces hier.

We zullen de aanpak hanteren van eerst de e-mail ondertekenen en vervolgens versleutelen, zodat het proces er zo uitziet.

Diagram illustrating S/MIME signing and encryption in email communication, featuring icons for message source, email transfer via TLS, and recipient, with visual representations of encryption and security processes.


Niet-repudiatie
Een ander nuttig voordeel van ondertekening voor de ontvanger is niet-repudiatie van de oorsprong. Overweeg een situatie waarin een e-mailbericht wordt gebruikt om een contract goed te keuren. De ontvanger krijgt het contract in een bericht van de afzender. Als de afzender later probeert te zeggen: “Nee, ik heb dat bericht nooit naar u gestuurd”, dan laat het ontvangen bericht zien dat het certificaat van de afzender feitelijk is gebruikt.

Berichtintegriteit
Het ondertekeningsproces creëert een vingerafdruk van het platte bronbericht (bekend als een berichtsamenvatting), versleutelt de samenvatting met de privésleutel van de afzender en voegt deze toe aan het afgeleverde bericht. De mailclient van de ontvanger kan zien of er met de inhoud van het bericht is geknoeid.

U zou misschien kunnen zeggen: “Ik dacht dat DKIM mij controles van de integriteit van berichten gaf!” Nou ja, DKIM biedt integriteitscontroles van de berichtinhoud en berichtheaders – anti-tampering garanties. Echter, DKIM-falen (of -afwezigheid) zal meestal niet ertoe leiden dat het binnenkomende bericht als volledig ongeldig wordt gemarkeerd, ...tenzij er een DMARC beleid van 'p=reject' in het spel is (meer over DMARC hier). DKIM is een van de vele factoren die door de ISP worden gebruikt voor betrouwbare toekenning van reputatie aan een domein en is natuurlijk een essentieel onderdeel van uw berichtgeving stack.

Uw mailclient toont u duidelijk als een S/MIME-bericht faalt bij handtekeningcontroles:

Email application window displaying a warning pop-up about a digital signature being invalid, highlighting issues with message encryption and the need to verify the sender's identity, next to a list of emails and a highlighted delete option.

Samenvatting: end-to-end (S/MIME) vs server-to-server (DKIM, DMARC, TLS)
S/MIME is een presentatie-laagfunctie die kan werken tussen twee e-mail eindgebruikers (met geldige certificaten/sleutels) zonder enige actie door de e-mailbeheerder. S/MIME biedt encryptie en ondertekening en is persoonlijk voor elke gebruiker.

S/MIME is verbonden aan het volledige verzendadres (lokaal deel en domeindeel), dus bijvoorbeeld alice@bigcorp.com en bob@bigcorp.com zouden verschillende certificaten moeten hebben. In tegenstelling hiermee, valideert DKIM dat de e-mail afkomstig is van het ondertekeningsdomein. DKIM is een heel onderwerp op zich; dit artikel is een goed startpunt.

De opstelling van DKIM en DMARC wordt gedaan door uw e-mailbeheerder (werkt aan de mailserver en DNS-records). Zodra ze zijn opgezet, zijn ze actief voor domeinen, in plaats van individuele gebruikers.

Hoe verhoudt dit zich tot SparkPost?

Emailsystemen voor communicatie van persoon tot persoon, zoals Microsoft Exchange Server, hebben lang S/MIME ondersteund.

Als je SparkPost gebruikt om te versturen naar specifieke ontvangers met mail-clients die S/MIME kunnen lezen, dan kan het zinvol zijn om je berichten met S/MIME te ondertekenen. S/MIME-ondertekening biedt extra zekerheid dat het bericht daadwerkelijk van jou (of je systeem) afkomstig is en niet is gemanipuleerd, wat waardevol kan zijn in sommige gebruikssituaties. Alles wat je daarvoor nodig hebt, is je eigen sleutel en wat gratis software die we in deel 2 van dit artikel zullen demonstreren.

Het gebruik van S/MIME-encryptie is een afzonderlijke keuze om te maken. Je hebt de publieke sleutel van je ontvangers nodig. Dit verkrijgen kan net zo eenvoudig zijn als hen jou (of je app) een ondertekende e-mail laten sturen. We zullen een praktisch hulpmiddel verkennen voor het versturen van S/MIME ondertekende en versleutelde e-mails via SparkPost in een opvolgend artikel.

Emailsystemen voor communicatie van persoon tot persoon, zoals Microsoft Exchange Server, hebben lang S/MIME ondersteund.

Als je SparkPost gebruikt om te versturen naar specifieke ontvangers met mail-clients die S/MIME kunnen lezen, dan kan het zinvol zijn om je berichten met S/MIME te ondertekenen. S/MIME-ondertekening biedt extra zekerheid dat het bericht daadwerkelijk van jou (of je systeem) afkomstig is en niet is gemanipuleerd, wat waardevol kan zijn in sommige gebruikssituaties. Alles wat je daarvoor nodig hebt, is je eigen sleutel en wat gratis software die we in deel 2 van dit artikel zullen demonstreren.

Het gebruik van S/MIME-encryptie is een afzonderlijke keuze om te maken. Je hebt de publieke sleutel van je ontvangers nodig. Dit verkrijgen kan net zo eenvoudig zijn als hen jou (of je app) een ondertekende e-mail laten sturen. We zullen een praktisch hulpmiddel verkennen voor het versturen van S/MIME ondertekende en versleutelde e-mails via SparkPost in een opvolgend artikel.

Emailsystemen voor communicatie van persoon tot persoon, zoals Microsoft Exchange Server, hebben lang S/MIME ondersteund.

Als je SparkPost gebruikt om te versturen naar specifieke ontvangers met mail-clients die S/MIME kunnen lezen, dan kan het zinvol zijn om je berichten met S/MIME te ondertekenen. S/MIME-ondertekening biedt extra zekerheid dat het bericht daadwerkelijk van jou (of je systeem) afkomstig is en niet is gemanipuleerd, wat waardevol kan zijn in sommige gebruikssituaties. Alles wat je daarvoor nodig hebt, is je eigen sleutel en wat gratis software die we in deel 2 van dit artikel zullen demonstreren.

Het gebruik van S/MIME-encryptie is een afzonderlijke keuze om te maken. Je hebt de publieke sleutel van je ontvangers nodig. Dit verkrijgen kan net zo eenvoudig zijn als hen jou (of je app) een ondertekende e-mail laten sturen. We zullen een praktisch hulpmiddel verkennen voor het versturen van S/MIME ondertekende en versleutelde e-mails via SparkPost in een opvolgend artikel.

Welke clients ondersteunen S/MIME?

Consumer Gmail
De gewone Gmail-webclient toont inkomende e-mailhandtekeningen (zie hieronder), maar is niet ingesteld om uw privésleutel te bewaren om versleutelde berichten te lezen. Zelfs als dat mogelijk zou zijn via plug-ins van derden, is het uploaden van uw privésleutel vanuit een beveiligingsstandpunt geen goed idee.

Message titled "Test message with signature" from Steve Tuck, featuring a verified email address, date and time, and standard encryption details.

Ik kon Yahoo! Mail helemaal niet zover krijgen om handtekeningen in berichten te decoderen.

De consumentenversie van Microsoft Outlook/Hotmail-accounts waarschuwt u voor de aanwezigheid van een S/MIME-handtekening, maar geeft u geen volledige toegang om het certificaat te bekijken of te controleren.

Message titled "Testing attachments etc," with the body text mentioning that S/MIME isn't supported and an attached PDF file.


Hosted zakelijke e-mail
Voor organisaties met gehoste e-mail hebben Microsoft Office 365 en G Suite Enterprise S/MIME-ondersteuning.


Outlook e-mailclients
Client-gebaseerde Microsoft Outlook (bijv. 2010 voor Windows) werkt:

Message with the subject "Here is our declaration" featuring plain text and an orange arrow marking the message as important.


Door op de pictogrammen te klikken krijgt u meer informatie:

Dialog box displaying a valid digital signature, with details about the signer and certificate information, and options for error warnings in digitally signed emails.Message Security Properties window for an email, detailing encryption and digital signature layers, with options to check trust certification, featuring buttons and encryption status displays.


In Outlook 2010 / Windows wordt de certificaatopslag benaderd via Bestand / Opties / Vertrouwenscentrum / Instellingen van het vertrouwenscentrum / E-mailbeveiliging / Importeren / Exporteren.

Microsoft Outlook with an open email about testing attachments, alongside a pop-up window showing security settings for importing certificates, illustrating steps for setting up digital signature encryption.


Thunderbird – platformoverschrijdend en gratis
Als u op zoek bent naar een gratis client, voldoet Mozilla Thunderbird aan de eisen. Het is beschikbaar op pc, Mac en Linux, en ondersteunt S/MIME op al deze systemen. Zo ziet een bericht eruit op Mac. Het pictogram van de "verzegelde envelop" geeft aan dat het bericht is ondertekend, en het hangslot geeft aan dat het versleuteld was.

Email client with a message open, showing an image of a happy golden retriever puppy, with visible email options and browser tabs at the top.


Door op de envelop/hangslot te klikken wordt er informatie over het bericht weergegeven:

Message notification with text indicating the message is signed with a valid digital signature and encrypted before sending, verified by COMODO RSA Client Authentication and Secure Email CA.

Thunderbird heeft zijn eigen sleutellager, dat op elke platform op een vergelijkbare manier kan worden benaderd:
Mac via Voorkeuren / Geavanceerd / Certificaten / Certificaten beheren
PC: menu (“hamburger” rechtsboven), Geavanceerd / Certificaten / Certificaten beheren
Linux: menu (“hamburger” rechtsboven), Voorkeuren / Geavanceerd / Certificaten beheren


Mac Mail
Mac Mail ondersteunt ook S/MIME. Het vertrouwt op uw Mac-sleutelhanger om uw sleutels te bewaren.

An email featuring the security status of the message, indicating that it is digitally signed and encrypted.


iOS Mail
Importeer eerst het certificaat van uw e-mailaccount zoals dit, dan kunt u S/MIME-ondertekende en versleutelde e-mails bekijken. Ze zien er echt niet anders uit op het bekijkscherm.

"Install Profile" page for an "Identity Certificate," indicating the profile is not signed, with options to view more details or proceed with installation at the top right.iPhone interface prompting the user to enter a password for the "Identity Certificate" in the Mail app.A happy golden retriever with an open mouth and tongue out is shown in the image as part of an email attachment test.

Android
Enkele apparaten en apps ondersteunen S/MIME; er is een grote variëteit beschikbaar. Samsung heeft een handleiding.

Eindelijk…

Dat is ons snelle overzicht van de praktische toepassingen van S/MIME. Als je je eigen mailcertificaten wilt krijgen, is er een lijst van aanbieders hier. Ik vond Comodo werkt goed (gratis voor niet-commercieel gebruik - open dit in Firefox, niet Chrome).

In deel 2 zullen we onderzoeken hoe je S/MIME ondertekening en encryptie kunt toepassen op berichten die je via SparkPost levert.

Verder lezen
Microsoft heeft een goed inleidend artikel over S/MIME hier.

Voor meer informatie over de EFAIL-kwetsbaarheid en hoe dit is aangepakt, deze site is de definitieve bron. Andere gemakkelijk te volgen uitleggen zijn hier en hier.

Laten we je in contact brengen met een Bird-expert.
Bekijk de volledige kracht van de Bird in 30 minuten.

Door te verzenden, ga je ermee akkoord dat Bird contact met je mag opnemen over onze producten en diensten.

U kunt zich op elk moment afmelden. Zie Bird's Privacyverklaring voor details over gegevensverwerking.

Nieuwsbrief

Blijf op de hoogte met Bird via wekelijkse updates in je inbox.

Laten we je in contact brengen met een Bird-expert.
Bekijk de volledige kracht van de Bird in 30 minuten.

Door te verzenden, ga je ermee akkoord dat Bird contact met je mag opnemen over onze producten en diensten.

U kunt zich op elk moment afmelden. Zie Bird's Privacyverklaring voor details over gegevensverwerking.

Nieuwsbrief

Blijf op de hoogte met Bird via wekelijkse updates in je inbox.

Laten we je in contact brengen met een Bird-expert.
Bekijk de volledige kracht van de Bird in 30 minuten.

Door te verzenden, ga je ermee akkoord dat Bird contact met je mag opnemen over onze producten en diensten.

U kunt zich op elk moment afmelden. Zie Bird's Privacyverklaring voor details over gegevensverwerking.

R

Bereik

G

Grow

M

Manage

A

Automate

Nieuwsbrief

Blijf op de hoogte met Bird via wekelijkse updates in je inbox.