S/MIME: Wat is het, waarom zou het mij iets kunnen schelen, en hoe relateert het aan SparkPost?
Bird
19 dec 2018
1 min read
Belangrijkste punten
Premisse: S/MIME (Secure/Multipurpose Internet Mail Extensions) is een al lang bestaande standaard voor het verzenden van ondertekende en versleutelde e-mails—cruciaal voor sectoren die gevoelige gegevens verwerken zoals financiën, gezondheidszorg en overheid.
Doel: Uitleggen wat S/MIME doet, waarom het belangrijk is, hoe het verschilt van DKIM/DMARC/TLS, en hoe het integreert met SparkPost.
Hoogtepunten:
Definitie: S/MIME biedt twee kernmogelijkheden:
Encryptie → Beschermt berichtinhoud (privacy).
Ondertekening → Bevestigt de identiteit van de afzender, voorkomt knoeien en zorgt voor onweerlegbaarheid.
Industrieel gebruik: Vereist of geprefereerd door gereguleerde sectoren die end-to-end berichtprivacy en verifieerbare identiteit nodig hebben.
Vergelijking met andere e-mailbeschermingen:
TLS: Beveiligt de overdracht tussen servers (transportlaag).
S/MIME: Beveiligt de berichtinhoud zelf (presentatielaag).
DKIM/DMARC: Authenticeren domeinen, niet individuen, en werken op administratie-/serverniveau.
Mechanieken:
Maakt gebruik van publieke/private sleutelparen en digitale certificaten uitgegeven per e-mailidentiteit (bijv. alice@company.com).
Vereist ondersteunde mailcliënten (Apple Mail, Outlook, Thunderbird, iOS Mail, etc.).
Beperkingen:
Sleutels en certificaten kunnen complex zijn om te beheren.
Versleutelde ladingen kunnen niet gescand worden op malware.
Kopteksten (Van, Aan, Onderwerp) blijven zichtbaar.
Integratie met SparkPost:
SparkPost-gebruikers kunnen berichten ondertekenen met S/MIME voor extra authenticiteit.
Voor versleuteld verzenden moeten ontvangers eerst hun publieke sleutel delen (bijv. door het verzenden van een ondertekend bericht).
Commerciële partners zoals Virtru en Echoworx vereenvoudigen dit voor zakelijke workflows.
Volgende stappen:
Deel 2 van de serie laat zien hoe je berichten kunt ondertekenen en versleutelen met SparkPost.
Latere delen tonen on-premises setups met PowerMTA en Momentum.
Q&A Hoogtepunten
Waarom is S/MIME belangrijk als ik al TLS of DKIM gebruik?
TLS beschermt de verbinding tussen servers, terwijl S/MIME de inhoud zelf beschermt—waardoor deze privé en verifieerbaar blijft, zelfs na levering.
Wie heeft S/MIME het meest nodig?
Gereguleerde industrieën (financiën, overheid, gezondheidszorg) en elke organisatie die vertrouwelijke, wettelijk bindende of identiteitsgevoelige e-mail verzendt.
Welke problemen lost S/MIME op?
Het voorkomt onderschepping en spoofing, garandeert de authenticiteit van de afzender en biedt bewijs dat een bericht niet is gewijzigd.
Ondersteunt SparkPost van nature S/MIME?
SparkPost ondersteunt het verzenden van S/MIME-geformatteerde berichten; u hoeft alleen uw inhoud te ondertekenen/versleutelen voordat u deze verzendt via API of SMTP.
Hoe krijg ik certificaten?
Certificaten kunnen worden uitgegeven door aanbieders zoals Comodo (gratis voor niet-commercieel gebruik) of zelfondertekend voor intern testen.
Wat als mijn ontvanger de versleutelde e-mails niet kan lezen?
Ze zullen nog steeds de ondertekende berichtkop zien, maar om te ontsleutelen moeten ze een compatibele client installeren en hun privésleutel importeren.
Hoe wordt de sleuteluitwisseling afgehandeld voor app-gegenereerde e-mails?
Ontvangers kunnen uw service een ondertekend bericht sturen; hun publieke sleutel kan dan automatisch worden geëxtraheerd via inkomende relay-webhooks.
S/MIME is een lang bekende methode voor het verzenden van versleutelde, ondertekende e-mail, gebaseerd op openbare internetstandaarden. We komen regelmatig eisen voor S/MIME tegen, vooral vanuit gereguleerde industrieën zoals banken, gezondheidszorg en financiën. S/MIME is vaak vereist bij communicatie tussen bedrijven en overheidsinstanties, bijvoorbeeld.
Een andere beveiligde mailstandaard, PGP (vermakelijk genaamd als "Pretty Good Privacy"), wordt meer gebruikt voor beveiligde communicatie van persoon tot persoon. Het is nu minder populair omdat de consumentversies van populaire webgebaseerde e-mailclients zoals Gmail en Outlook/Hotmail geen versleutelde mail kunnen weergeven. Dat is een reden waarom veel communicatie van persoon tot persoon die privacy vereist, is verhuisd naar platforms zoals WhatsApp (en vele anderen) die native end-to-end versleuteling bieden.
Zowel PGP als S/MIME vereisen een mailclient die sleutels en certificaten kan gebruiken. Veel desktop- en mobiele clients, inclusief Apple Mail, Microsoft Outlook en Mozilla Thunderbird voldoen aan de eisen, evenals bedrijfsversies van sommige webclients zoals Microsoft Office 365. Het instellen van de sleutels kost moeite, maar veel organisaties vinden het nog steeds de moeite waard, ondanks recente kwetsbaarheidsmeldingen die remedies vereisen om het laden van externe inhoud te blokkeren.
S/MIME bestaat al sinds 1995 en heeft verschillende revisies ondergaan; de huidige versie wordt gedekt door RFC 5751. Het vereist de uitwisseling van openbare sleutels, een niet-triviale taak die vaak ondersteuning van een IT-team of een vergelijkbare bron vereist. Voor organisaties die e-mailinfrastructuur op locatie gebruiken, vereist de implementatie van S/MIME aanvullende overwegingen voor platforms zoals PowerMTA en Momentum, die we behandelen in onze handleiding over S/MIME voor veilige e-mail op locatie. Er zijn echter geautomatiseerde benaderingen om dit proces te stroomlijnen, zoals het verzamelen van openbare sleutels van ontvangers via e-mailsystemen die het beheer van sleutels voor app-gegenereerde e-mailstromen kunnen vereenvoudigen. Hier komen commerciële oplossingen van bedrijven zoals SparkPost-partners Virtru en Echoworkx in beeld, die beveiliging gemakkelijker maken voor zakelijke e-mail van persoon tot persoon (zie onze SparkPost/Echoworkx how-to voor meer informatie).
Dat gezegd hebbende, laten we wat dieper ingaan op de klassieke S/MIME en kijken wat we ermee kunnen doen.
S/MIME is een lang bekende methode voor het verzenden van versleutelde, ondertekende e-mail, gebaseerd op openbare internetstandaarden. We komen regelmatig eisen voor S/MIME tegen, vooral vanuit gereguleerde industrieën zoals banken, gezondheidszorg en financiën. S/MIME is vaak vereist bij communicatie tussen bedrijven en overheidsinstanties, bijvoorbeeld.
Een andere beveiligde mailstandaard, PGP (vermakelijk genaamd als "Pretty Good Privacy"), wordt meer gebruikt voor beveiligde communicatie van persoon tot persoon. Het is nu minder populair omdat de consumentversies van populaire webgebaseerde e-mailclients zoals Gmail en Outlook/Hotmail geen versleutelde mail kunnen weergeven. Dat is een reden waarom veel communicatie van persoon tot persoon die privacy vereist, is verhuisd naar platforms zoals WhatsApp (en vele anderen) die native end-to-end versleuteling bieden.
Zowel PGP als S/MIME vereisen een mailclient die sleutels en certificaten kan gebruiken. Veel desktop- en mobiele clients, inclusief Apple Mail, Microsoft Outlook en Mozilla Thunderbird voldoen aan de eisen, evenals bedrijfsversies van sommige webclients zoals Microsoft Office 365. Het instellen van de sleutels kost moeite, maar veel organisaties vinden het nog steeds de moeite waard, ondanks recente kwetsbaarheidsmeldingen die remedies vereisen om het laden van externe inhoud te blokkeren.
S/MIME bestaat al sinds 1995 en heeft verschillende revisies ondergaan; de huidige versie wordt gedekt door RFC 5751. Het vereist de uitwisseling van openbare sleutels, een niet-triviale taak die vaak ondersteuning van een IT-team of een vergelijkbare bron vereist. Voor organisaties die e-mailinfrastructuur op locatie gebruiken, vereist de implementatie van S/MIME aanvullende overwegingen voor platforms zoals PowerMTA en Momentum, die we behandelen in onze handleiding over S/MIME voor veilige e-mail op locatie. Er zijn echter geautomatiseerde benaderingen om dit proces te stroomlijnen, zoals het verzamelen van openbare sleutels van ontvangers via e-mailsystemen die het beheer van sleutels voor app-gegenereerde e-mailstromen kunnen vereenvoudigen. Hier komen commerciële oplossingen van bedrijven zoals SparkPost-partners Virtru en Echoworkx in beeld, die beveiliging gemakkelijker maken voor zakelijke e-mail van persoon tot persoon (zie onze SparkPost/Echoworkx how-to voor meer informatie).
Dat gezegd hebbende, laten we wat dieper ingaan op de klassieke S/MIME en kijken wat we ermee kunnen doen.
S/MIME is een lang bekende methode voor het verzenden van versleutelde, ondertekende e-mail, gebaseerd op openbare internetstandaarden. We komen regelmatig eisen voor S/MIME tegen, vooral vanuit gereguleerde industrieën zoals banken, gezondheidszorg en financiën. S/MIME is vaak vereist bij communicatie tussen bedrijven en overheidsinstanties, bijvoorbeeld.
Een andere beveiligde mailstandaard, PGP (vermakelijk genaamd als "Pretty Good Privacy"), wordt meer gebruikt voor beveiligde communicatie van persoon tot persoon. Het is nu minder populair omdat de consumentversies van populaire webgebaseerde e-mailclients zoals Gmail en Outlook/Hotmail geen versleutelde mail kunnen weergeven. Dat is een reden waarom veel communicatie van persoon tot persoon die privacy vereist, is verhuisd naar platforms zoals WhatsApp (en vele anderen) die native end-to-end versleuteling bieden.
Zowel PGP als S/MIME vereisen een mailclient die sleutels en certificaten kan gebruiken. Veel desktop- en mobiele clients, inclusief Apple Mail, Microsoft Outlook en Mozilla Thunderbird voldoen aan de eisen, evenals bedrijfsversies van sommige webclients zoals Microsoft Office 365. Het instellen van de sleutels kost moeite, maar veel organisaties vinden het nog steeds de moeite waard, ondanks recente kwetsbaarheidsmeldingen die remedies vereisen om het laden van externe inhoud te blokkeren.
S/MIME bestaat al sinds 1995 en heeft verschillende revisies ondergaan; de huidige versie wordt gedekt door RFC 5751. Het vereist de uitwisseling van openbare sleutels, een niet-triviale taak die vaak ondersteuning van een IT-team of een vergelijkbare bron vereist. Voor organisaties die e-mailinfrastructuur op locatie gebruiken, vereist de implementatie van S/MIME aanvullende overwegingen voor platforms zoals PowerMTA en Momentum, die we behandelen in onze handleiding over S/MIME voor veilige e-mail op locatie. Er zijn echter geautomatiseerde benaderingen om dit proces te stroomlijnen, zoals het verzamelen van openbare sleutels van ontvangers via e-mailsystemen die het beheer van sleutels voor app-gegenereerde e-mailstromen kunnen vereenvoudigen. Hier komen commerciële oplossingen van bedrijven zoals SparkPost-partners Virtru en Echoworkx in beeld, die beveiliging gemakkelijker maken voor zakelijke e-mail van persoon tot persoon (zie onze SparkPost/Echoworkx how-to voor meer informatie).
Dat gezegd hebbende, laten we wat dieper ingaan op de klassieke S/MIME en kijken wat we ermee kunnen doen.
Waarom zou ik erom geven?
De korte versie:
Encryptie geeft u berichtprivacy.
Ondertekening geeft u authenticatie (van de afzender), niet-afwijzing van herkomst, en controles op berichtintegriteit.
S/MIME werkt anders dan DKIM en DMARC en kan ermee naast elkaar bestaan.
Privacy
Als uw berichten niets persoonlijks, privés of juridisch belangrijks bevatten, hoeft u waarschijnlijk niet aan S/MIME te denken. Moderne e-mailleveringssystemen zoals SparkPost gebruiken al "opportunistische TLS" om het berichttransport van de verzendserver naar de ontvangende server te beveiligen.
Het "opportunistische" deel betekent echter wel dat als de verzendserver geen veilige verbinding kan onderhandelen, we de mail in platte tekst zullen verzenden. Dit is niet geschikt als u wilt afdwingen dat het bericht de hele weg veilig is. U kunt een kijkje nemen bij welke mailboxproviders claimen TLS-ondersteuning en welke eigenlijk doen. Aannemende dat de server van de ontvanger TLS ondersteunt, wordt uw bericht als volgt beveiligd:
TLS beveiligt de gesprekken tussen mailservers (vandaar dat het Transport Layer Security wordt genoemd). MIME (inclusief S/MIME) is betrokken bij de berichtinhoud en de behandeling ervan en kan worden beschouwd als deel van de "Presentatielaag".
S/MIME beveiligt de inhoud van het bericht volledig (“end-to-end”) van de oorsprong van het bericht tot de mailclient van de ontvanger en encapsuleert de berichtinhoud.
S/MIME versleutelt de berichtinhoud met de openbare sleutel van de ontvanger. De inhoud kan niet worden gedecodeerd zonder de privésleutel van de ontvanger—niet door een “persoon in het midden”, zoals uw ISP, SparkPost, of de mailserver van de ontvanger.
De privésleutel wordt nooit onthuld; het wordt uitsluitend in bezit gehouden door de ontvanger. Het versleutelde bericht reist over het internet naar de ontvangende mailserver. Wanneer het in de inbox van de ontvanger terechtkomt, wordt het (meestal automatisch) met hun privésleutel ontsleuteld en leesbaar gemaakt.
Een paar S/MIME-dingetjes om bewust van te zijn:
S/MIME encryptie heeft als bijwerking dat het servergebaseerde inkomende berichtherkenning voor malware voorkomt, omdat de berichtinhoud in versleutelde vorm is en dus niet identificeerbaar.
Let op dat de berichtheaders (From:, To:, Subject: enz.) niet zijn versleuteld, dus de inhoud van de onderwerpregel moet met die informatie in gedachten worden gemaakt.
Ondertekening – authenticatie
S/MIME biedt de ontvanger ook de mogelijkheid om te controleren dat de identiteit van de berichtafzender is wie ze zeggen dat ze zijn.
De e-mail van de afzender heeft een certificaat bijgesloten, dat net zoals het certificaat op een beveiligde website, kan worden teruggevoerd naar een uitgevende autoriteit. Voor een volledige beschrijving van het ondertekeningsproces, zie de S/MIME ondertekeningsproces PDF.
We nemen de aanpak om eerst de mail te ondertekenen en deze daarna te versleutelen, dus het proces ziet er als volgt uit.
Niet-afwijzing
Een ander nuttig voordeel van ondertekening voor de ontvanger is niet-afwijzing van herkomst. Overweeg een situatie waarin een e-mailbericht wordt gebruikt om een contract goed te keuren. De ontvanger ontvangt het contract in een bericht van de afzender. Als de afzender later probeert te zeggen: "Nee, ik heb dat bericht nooit naar je verzonden", toont het ontvangen bericht aan dat het certificaat van de afzender daadwerkelijk is gebruikt.
Berichtintegriteit
Het ondertekeningsproces creëert een vingerafdruk van het niet-versleutelde bronbericht (bekend als een berichtsamenvatting), versleutelt deze samenvatting met de privésleutel van de afzender en voegt het bij het verzonden bericht. De mailclient van de ontvanger kan vaststellen of er met de berichtinhoud is geknoeid.
Misschien zegt u, "Ik dacht dat DKIM me berichtintegriteitscontroles geeft!" Nou ja, DKIM biedt integriteitscontroles van de berichtinhoud en berichtkop – garanties tegen knoeien. DKIM-falen (of afwezigheid) zal meestal echter niet ervoor zorgen dat het inkomende bericht als volledig ongeldig wordt gemarkeerd …tenzij een DMARC beleid van p=reject van toepassing is (zie ons blogbericht DMARC: How to Protect Your Email Reputation). DKIM is één factor van vele die wordt gebruikt door de ISP voor de betrouwbare toekenning van reputatie aan een domein en is uiteraard een essentieel onderdeel van uw berichtstapel.
Uw mailclient zal u duidelijk tonen als een S/MIME-bericht niet slaagt voor handtekeningcontroles:
Samenvatting: end-to-end (S/MIME) versus server-to-server (DKIM, DMARC, TLS)
S/MIME is een presentatielaagfunctionaliteit die kan werken tussen twee e-mail eindgebruikers (met geldige certificaten/sleutels) zonder enige actie van de e-mailbeheerder. S/MIME biedt encryptie en ondertekening en is persoonlijk voor elke gebruiker.
S/MIME is gekoppeld aan het volledige verzendadres (lokaal deel en domeingedeelte), dus bijvoorbeeld alice@bigcorp.com en bob@bigcorp.com zouden verschillende certificaten moeten hebben. In tegenstelling tot validaat DKIM de e-mail afkomstig is uit het ondertekende domein. DKIM is een heel onderwerp op zich; dit artikel is een goed uitgangspunt.
DKIM en DMARC setup wordt gedaan door uw e-mailbeheerder (werkend aan de mailserver en DNS-records). Wanneer ingesteld, zijn ze actief voor domeinen, in plaats van individuele gebruikers.
De korte versie:
Encryptie geeft u berichtprivacy.
Ondertekening geeft u authenticatie (van de afzender), niet-afwijzing van herkomst, en controles op berichtintegriteit.
S/MIME werkt anders dan DKIM en DMARC en kan ermee naast elkaar bestaan.
Privacy
Als uw berichten niets persoonlijks, privés of juridisch belangrijks bevatten, hoeft u waarschijnlijk niet aan S/MIME te denken. Moderne e-mailleveringssystemen zoals SparkPost gebruiken al "opportunistische TLS" om het berichttransport van de verzendserver naar de ontvangende server te beveiligen.
Het "opportunistische" deel betekent echter wel dat als de verzendserver geen veilige verbinding kan onderhandelen, we de mail in platte tekst zullen verzenden. Dit is niet geschikt als u wilt afdwingen dat het bericht de hele weg veilig is. U kunt een kijkje nemen bij welke mailboxproviders claimen TLS-ondersteuning en welke eigenlijk doen. Aannemende dat de server van de ontvanger TLS ondersteunt, wordt uw bericht als volgt beveiligd:
TLS beveiligt de gesprekken tussen mailservers (vandaar dat het Transport Layer Security wordt genoemd). MIME (inclusief S/MIME) is betrokken bij de berichtinhoud en de behandeling ervan en kan worden beschouwd als deel van de "Presentatielaag".
S/MIME beveiligt de inhoud van het bericht volledig (“end-to-end”) van de oorsprong van het bericht tot de mailclient van de ontvanger en encapsuleert de berichtinhoud.
S/MIME versleutelt de berichtinhoud met de openbare sleutel van de ontvanger. De inhoud kan niet worden gedecodeerd zonder de privésleutel van de ontvanger—niet door een “persoon in het midden”, zoals uw ISP, SparkPost, of de mailserver van de ontvanger.
De privésleutel wordt nooit onthuld; het wordt uitsluitend in bezit gehouden door de ontvanger. Het versleutelde bericht reist over het internet naar de ontvangende mailserver. Wanneer het in de inbox van de ontvanger terechtkomt, wordt het (meestal automatisch) met hun privésleutel ontsleuteld en leesbaar gemaakt.
Een paar S/MIME-dingetjes om bewust van te zijn:
S/MIME encryptie heeft als bijwerking dat het servergebaseerde inkomende berichtherkenning voor malware voorkomt, omdat de berichtinhoud in versleutelde vorm is en dus niet identificeerbaar.
Let op dat de berichtheaders (From:, To:, Subject: enz.) niet zijn versleuteld, dus de inhoud van de onderwerpregel moet met die informatie in gedachten worden gemaakt.
Ondertekening – authenticatie
S/MIME biedt de ontvanger ook de mogelijkheid om te controleren dat de identiteit van de berichtafzender is wie ze zeggen dat ze zijn.
De e-mail van de afzender heeft een certificaat bijgesloten, dat net zoals het certificaat op een beveiligde website, kan worden teruggevoerd naar een uitgevende autoriteit. Voor een volledige beschrijving van het ondertekeningsproces, zie de S/MIME ondertekeningsproces PDF.
We nemen de aanpak om eerst de mail te ondertekenen en deze daarna te versleutelen, dus het proces ziet er als volgt uit.
Niet-afwijzing
Een ander nuttig voordeel van ondertekening voor de ontvanger is niet-afwijzing van herkomst. Overweeg een situatie waarin een e-mailbericht wordt gebruikt om een contract goed te keuren. De ontvanger ontvangt het contract in een bericht van de afzender. Als de afzender later probeert te zeggen: "Nee, ik heb dat bericht nooit naar je verzonden", toont het ontvangen bericht aan dat het certificaat van de afzender daadwerkelijk is gebruikt.
Berichtintegriteit
Het ondertekeningsproces creëert een vingerafdruk van het niet-versleutelde bronbericht (bekend als een berichtsamenvatting), versleutelt deze samenvatting met de privésleutel van de afzender en voegt het bij het verzonden bericht. De mailclient van de ontvanger kan vaststellen of er met de berichtinhoud is geknoeid.
Misschien zegt u, "Ik dacht dat DKIM me berichtintegriteitscontroles geeft!" Nou ja, DKIM biedt integriteitscontroles van de berichtinhoud en berichtkop – garanties tegen knoeien. DKIM-falen (of afwezigheid) zal meestal echter niet ervoor zorgen dat het inkomende bericht als volledig ongeldig wordt gemarkeerd …tenzij een DMARC beleid van p=reject van toepassing is (zie ons blogbericht DMARC: How to Protect Your Email Reputation). DKIM is één factor van vele die wordt gebruikt door de ISP voor de betrouwbare toekenning van reputatie aan een domein en is uiteraard een essentieel onderdeel van uw berichtstapel.
Uw mailclient zal u duidelijk tonen als een S/MIME-bericht niet slaagt voor handtekeningcontroles:
Samenvatting: end-to-end (S/MIME) versus server-to-server (DKIM, DMARC, TLS)
S/MIME is een presentatielaagfunctionaliteit die kan werken tussen twee e-mail eindgebruikers (met geldige certificaten/sleutels) zonder enige actie van de e-mailbeheerder. S/MIME biedt encryptie en ondertekening en is persoonlijk voor elke gebruiker.
S/MIME is gekoppeld aan het volledige verzendadres (lokaal deel en domeingedeelte), dus bijvoorbeeld alice@bigcorp.com en bob@bigcorp.com zouden verschillende certificaten moeten hebben. In tegenstelling tot validaat DKIM de e-mail afkomstig is uit het ondertekende domein. DKIM is een heel onderwerp op zich; dit artikel is een goed uitgangspunt.
DKIM en DMARC setup wordt gedaan door uw e-mailbeheerder (werkend aan de mailserver en DNS-records). Wanneer ingesteld, zijn ze actief voor domeinen, in plaats van individuele gebruikers.
De korte versie:
Encryptie geeft u berichtprivacy.
Ondertekening geeft u authenticatie (van de afzender), niet-afwijzing van herkomst, en controles op berichtintegriteit.
S/MIME werkt anders dan DKIM en DMARC en kan ermee naast elkaar bestaan.
Privacy
Als uw berichten niets persoonlijks, privés of juridisch belangrijks bevatten, hoeft u waarschijnlijk niet aan S/MIME te denken. Moderne e-mailleveringssystemen zoals SparkPost gebruiken al "opportunistische TLS" om het berichttransport van de verzendserver naar de ontvangende server te beveiligen.
Het "opportunistische" deel betekent echter wel dat als de verzendserver geen veilige verbinding kan onderhandelen, we de mail in platte tekst zullen verzenden. Dit is niet geschikt als u wilt afdwingen dat het bericht de hele weg veilig is. U kunt een kijkje nemen bij welke mailboxproviders claimen TLS-ondersteuning en welke eigenlijk doen. Aannemende dat de server van de ontvanger TLS ondersteunt, wordt uw bericht als volgt beveiligd:
TLS beveiligt de gesprekken tussen mailservers (vandaar dat het Transport Layer Security wordt genoemd). MIME (inclusief S/MIME) is betrokken bij de berichtinhoud en de behandeling ervan en kan worden beschouwd als deel van de "Presentatielaag".
S/MIME beveiligt de inhoud van het bericht volledig (“end-to-end”) van de oorsprong van het bericht tot de mailclient van de ontvanger en encapsuleert de berichtinhoud.
S/MIME versleutelt de berichtinhoud met de openbare sleutel van de ontvanger. De inhoud kan niet worden gedecodeerd zonder de privésleutel van de ontvanger—niet door een “persoon in het midden”, zoals uw ISP, SparkPost, of de mailserver van de ontvanger.
De privésleutel wordt nooit onthuld; het wordt uitsluitend in bezit gehouden door de ontvanger. Het versleutelde bericht reist over het internet naar de ontvangende mailserver. Wanneer het in de inbox van de ontvanger terechtkomt, wordt het (meestal automatisch) met hun privésleutel ontsleuteld en leesbaar gemaakt.
Een paar S/MIME-dingetjes om bewust van te zijn:
S/MIME encryptie heeft als bijwerking dat het servergebaseerde inkomende berichtherkenning voor malware voorkomt, omdat de berichtinhoud in versleutelde vorm is en dus niet identificeerbaar.
Let op dat de berichtheaders (From:, To:, Subject: enz.) niet zijn versleuteld, dus de inhoud van de onderwerpregel moet met die informatie in gedachten worden gemaakt.
Ondertekening – authenticatie
S/MIME biedt de ontvanger ook de mogelijkheid om te controleren dat de identiteit van de berichtafzender is wie ze zeggen dat ze zijn.
De e-mail van de afzender heeft een certificaat bijgesloten, dat net zoals het certificaat op een beveiligde website, kan worden teruggevoerd naar een uitgevende autoriteit. Voor een volledige beschrijving van het ondertekeningsproces, zie de S/MIME ondertekeningsproces PDF.
We nemen de aanpak om eerst de mail te ondertekenen en deze daarna te versleutelen, dus het proces ziet er als volgt uit.
Niet-afwijzing
Een ander nuttig voordeel van ondertekening voor de ontvanger is niet-afwijzing van herkomst. Overweeg een situatie waarin een e-mailbericht wordt gebruikt om een contract goed te keuren. De ontvanger ontvangt het contract in een bericht van de afzender. Als de afzender later probeert te zeggen: "Nee, ik heb dat bericht nooit naar je verzonden", toont het ontvangen bericht aan dat het certificaat van de afzender daadwerkelijk is gebruikt.
Berichtintegriteit
Het ondertekeningsproces creëert een vingerafdruk van het niet-versleutelde bronbericht (bekend als een berichtsamenvatting), versleutelt deze samenvatting met de privésleutel van de afzender en voegt het bij het verzonden bericht. De mailclient van de ontvanger kan vaststellen of er met de berichtinhoud is geknoeid.
Misschien zegt u, "Ik dacht dat DKIM me berichtintegriteitscontroles geeft!" Nou ja, DKIM biedt integriteitscontroles van de berichtinhoud en berichtkop – garanties tegen knoeien. DKIM-falen (of afwezigheid) zal meestal echter niet ervoor zorgen dat het inkomende bericht als volledig ongeldig wordt gemarkeerd …tenzij een DMARC beleid van p=reject van toepassing is (zie ons blogbericht DMARC: How to Protect Your Email Reputation). DKIM is één factor van vele die wordt gebruikt door de ISP voor de betrouwbare toekenning van reputatie aan een domein en is uiteraard een essentieel onderdeel van uw berichtstapel.
Uw mailclient zal u duidelijk tonen als een S/MIME-bericht niet slaagt voor handtekeningcontroles:
Samenvatting: end-to-end (S/MIME) versus server-to-server (DKIM, DMARC, TLS)
S/MIME is een presentatielaagfunctionaliteit die kan werken tussen twee e-mail eindgebruikers (met geldige certificaten/sleutels) zonder enige actie van de e-mailbeheerder. S/MIME biedt encryptie en ondertekening en is persoonlijk voor elke gebruiker.
S/MIME is gekoppeld aan het volledige verzendadres (lokaal deel en domeingedeelte), dus bijvoorbeeld alice@bigcorp.com en bob@bigcorp.com zouden verschillende certificaten moeten hebben. In tegenstelling tot validaat DKIM de e-mail afkomstig is uit het ondertekende domein. DKIM is een heel onderwerp op zich; dit artikel is een goed uitgangspunt.
DKIM en DMARC setup wordt gedaan door uw e-mailbeheerder (werkend aan de mailserver en DNS-records). Wanneer ingesteld, zijn ze actief voor domeinen, in plaats van individuele gebruikers.
Hoe verhoudt dit zich tot SparkPost?
Mailsystemen voor persoon-tot-persoon messaging, zoals Microsoft Exchange Server, hebben al lang S/MIME ondersteund.
Als je SparkPost gebruikt om naar specifieke ontvangers te verzenden met mail-clients die S/MIME kunnen lezen, dan kan het zinvol zijn om je berichten te S/MIME ondertekenen. S/MIME ondertekening biedt extra zekerheid dat het bericht daadwerkelijk van jou (of jouw systeem) komt en niet is vervalst, wat waardevol kan zijn in sommige gebruikssituaties. Je hebt alleen je eigen sleutel en wat gratis software nodig, die we in deel 2 van dit artikel laten zien.
Het gebruik van S/MIME-versleuteling is een aparte keuze om te maken. Je hebt de openbare sleutel van elk van je ontvangers nodig. Dit verkrijgen kan net zo eenvoudig zijn als hen een ondertekende e-mail te laten sturen naar jou (of je app). We zullen een praktisch hulpmiddel verkennen voor het verzenden van S/MIME ondertekende en versleutelde mail via SparkPost in een vervolgbericht.
Mailsystemen voor persoon-tot-persoon messaging, zoals Microsoft Exchange Server, hebben al lang S/MIME ondersteund.
Als je SparkPost gebruikt om naar specifieke ontvangers te verzenden met mail-clients die S/MIME kunnen lezen, dan kan het zinvol zijn om je berichten te S/MIME ondertekenen. S/MIME ondertekening biedt extra zekerheid dat het bericht daadwerkelijk van jou (of jouw systeem) komt en niet is vervalst, wat waardevol kan zijn in sommige gebruikssituaties. Je hebt alleen je eigen sleutel en wat gratis software nodig, die we in deel 2 van dit artikel laten zien.
Het gebruik van S/MIME-versleuteling is een aparte keuze om te maken. Je hebt de openbare sleutel van elk van je ontvangers nodig. Dit verkrijgen kan net zo eenvoudig zijn als hen een ondertekende e-mail te laten sturen naar jou (of je app). We zullen een praktisch hulpmiddel verkennen voor het verzenden van S/MIME ondertekende en versleutelde mail via SparkPost in een vervolgbericht.
Mailsystemen voor persoon-tot-persoon messaging, zoals Microsoft Exchange Server, hebben al lang S/MIME ondersteund.
Als je SparkPost gebruikt om naar specifieke ontvangers te verzenden met mail-clients die S/MIME kunnen lezen, dan kan het zinvol zijn om je berichten te S/MIME ondertekenen. S/MIME ondertekening biedt extra zekerheid dat het bericht daadwerkelijk van jou (of jouw systeem) komt en niet is vervalst, wat waardevol kan zijn in sommige gebruikssituaties. Je hebt alleen je eigen sleutel en wat gratis software nodig, die we in deel 2 van dit artikel laten zien.
Het gebruik van S/MIME-versleuteling is een aparte keuze om te maken. Je hebt de openbare sleutel van elk van je ontvangers nodig. Dit verkrijgen kan net zo eenvoudig zijn als hen een ondertekende e-mail te laten sturen naar jou (of je app). We zullen een praktisch hulpmiddel verkennen voor het verzenden van S/MIME ondertekende en versleutelde mail via SparkPost in een vervolgbericht.
Welke clients ondersteunen S/MIME?
Consumer Gmail
De gewone Gmail webclient toont inkomende e-mailhandtekeningen (zie hieronder), maar is niet ingericht om jouw private key te bewaren voor het lezen van versleutelde berichten. Zelfs als dat mogelijk zou zijn via plugins van derden, is het geen goed idee om jouw private key te uploaden vanuit een beveiligingsperspectief.
Ik kon Yahoo! Mail helemaal niet gebruiken om handtekeningen in berichten te decoderen.
De consumentenversie van Microsoft Outlook/Hotmail accounts waarschuwt je voor de aanwezigheid van een S/MIME-handtekening, maar geeft je niet volledige toegang om het certificaat te bekijken of te controleren.
Hosted business mail
Voor organisaties met gehoste mail hebben Microsoft Office 365 en G Suite Enterprise S/MIME-ondersteuning.
Outlook mail clients
Client-gebaseerde Microsoft Outlook (bijv. 2010 voor Windows) werkt:
Door op de iconen te klikken krijg je meer informatie:
In Outlook 2010 / Windows wordt de certificaatstoren benaderd via Bestand / Opties / Vertrouwenscentrum / Instellingen vertrouwen centrum / Emailbeveiliging / Importeren / Exporteren.
Thunderbird – cross-platform en gratis
Als je op zoek bent naar een gratis client, Mozilla Thunderbird past de rekening. Het is beschikbaar op PC, Mac, en Linux, en ondersteunt S/MIME op al deze systemen. Hier is hoe een bericht eruitziet op Mac. Het icoon “verzegelde envelop” geeft aan dat de boodschap is ondertekend, en het hangslot geeft aan dat het versleuteld was.
Door op de envelop/hangslot te klikken, worden details over de boodschap weergegeven:
Thunderbird heeft zijn eigen sleutelopslag, die op elk platform op vergelijkbare manieren benaderd wordt:
Mac via Voorkeuren / Geavanceerd / Certificaten / Certificaten beheren
PC: menu (“hamburger” rechtsboven), Geavanceerd / Certificaten / Certificaten beheren
Linux: menu (“hamburger” rechtsboven), Voorkeuren / Geavanceerd / Certificaten beheren
Mac Mail
Mac Mail ondersteunt ook S/MIME. Het maakt gebruik van je Mac-sleutelhanger om je sleutels te bewaren.
iOS Mail
Allereerst, importeer het certificaat van je e-mailaccount op deze manier, dan kun je S/MIME ondertekende en versleutelde e-mails bekijken. Ze zien er eigenlijk niet veel anders uit op het kijkscherm.
Android
Sommige apparaten en apps ondersteunen S/MIME; er is veel variatie daarbuiten. Samsung heeft een handleiding.
Consumer Gmail
De gewone Gmail webclient toont inkomende e-mailhandtekeningen (zie hieronder), maar is niet ingericht om jouw private key te bewaren voor het lezen van versleutelde berichten. Zelfs als dat mogelijk zou zijn via plugins van derden, is het geen goed idee om jouw private key te uploaden vanuit een beveiligingsperspectief.
Ik kon Yahoo! Mail helemaal niet gebruiken om handtekeningen in berichten te decoderen.
De consumentenversie van Microsoft Outlook/Hotmail accounts waarschuwt je voor de aanwezigheid van een S/MIME-handtekening, maar geeft je niet volledige toegang om het certificaat te bekijken of te controleren.
Hosted business mail
Voor organisaties met gehoste mail hebben Microsoft Office 365 en G Suite Enterprise S/MIME-ondersteuning.
Outlook mail clients
Client-gebaseerde Microsoft Outlook (bijv. 2010 voor Windows) werkt:
Door op de iconen te klikken krijg je meer informatie:
In Outlook 2010 / Windows wordt de certificaatstoren benaderd via Bestand / Opties / Vertrouwenscentrum / Instellingen vertrouwen centrum / Emailbeveiliging / Importeren / Exporteren.
Thunderbird – cross-platform en gratis
Als je op zoek bent naar een gratis client, Mozilla Thunderbird past de rekening. Het is beschikbaar op PC, Mac, en Linux, en ondersteunt S/MIME op al deze systemen. Hier is hoe een bericht eruitziet op Mac. Het icoon “verzegelde envelop” geeft aan dat de boodschap is ondertekend, en het hangslot geeft aan dat het versleuteld was.
Door op de envelop/hangslot te klikken, worden details over de boodschap weergegeven:
Thunderbird heeft zijn eigen sleutelopslag, die op elk platform op vergelijkbare manieren benaderd wordt:
Mac via Voorkeuren / Geavanceerd / Certificaten / Certificaten beheren
PC: menu (“hamburger” rechtsboven), Geavanceerd / Certificaten / Certificaten beheren
Linux: menu (“hamburger” rechtsboven), Voorkeuren / Geavanceerd / Certificaten beheren
Mac Mail
Mac Mail ondersteunt ook S/MIME. Het maakt gebruik van je Mac-sleutelhanger om je sleutels te bewaren.
iOS Mail
Allereerst, importeer het certificaat van je e-mailaccount op deze manier, dan kun je S/MIME ondertekende en versleutelde e-mails bekijken. Ze zien er eigenlijk niet veel anders uit op het kijkscherm.
Android
Sommige apparaten en apps ondersteunen S/MIME; er is veel variatie daarbuiten. Samsung heeft een handleiding.
Consumer Gmail
De gewone Gmail webclient toont inkomende e-mailhandtekeningen (zie hieronder), maar is niet ingericht om jouw private key te bewaren voor het lezen van versleutelde berichten. Zelfs als dat mogelijk zou zijn via plugins van derden, is het geen goed idee om jouw private key te uploaden vanuit een beveiligingsperspectief.
Ik kon Yahoo! Mail helemaal niet gebruiken om handtekeningen in berichten te decoderen.
De consumentenversie van Microsoft Outlook/Hotmail accounts waarschuwt je voor de aanwezigheid van een S/MIME-handtekening, maar geeft je niet volledige toegang om het certificaat te bekijken of te controleren.
Hosted business mail
Voor organisaties met gehoste mail hebben Microsoft Office 365 en G Suite Enterprise S/MIME-ondersteuning.
Outlook mail clients
Client-gebaseerde Microsoft Outlook (bijv. 2010 voor Windows) werkt:
Door op de iconen te klikken krijg je meer informatie:
In Outlook 2010 / Windows wordt de certificaatstoren benaderd via Bestand / Opties / Vertrouwenscentrum / Instellingen vertrouwen centrum / Emailbeveiliging / Importeren / Exporteren.
Thunderbird – cross-platform en gratis
Als je op zoek bent naar een gratis client, Mozilla Thunderbird past de rekening. Het is beschikbaar op PC, Mac, en Linux, en ondersteunt S/MIME op al deze systemen. Hier is hoe een bericht eruitziet op Mac. Het icoon “verzegelde envelop” geeft aan dat de boodschap is ondertekend, en het hangslot geeft aan dat het versleuteld was.
Door op de envelop/hangslot te klikken, worden details over de boodschap weergegeven:
Thunderbird heeft zijn eigen sleutelopslag, die op elk platform op vergelijkbare manieren benaderd wordt:
Mac via Voorkeuren / Geavanceerd / Certificaten / Certificaten beheren
PC: menu (“hamburger” rechtsboven), Geavanceerd / Certificaten / Certificaten beheren
Linux: menu (“hamburger” rechtsboven), Voorkeuren / Geavanceerd / Certificaten beheren
Mac Mail
Mac Mail ondersteunt ook S/MIME. Het maakt gebruik van je Mac-sleutelhanger om je sleutels te bewaren.
iOS Mail
Allereerst, importeer het certificaat van je e-mailaccount op deze manier, dan kun je S/MIME ondertekende en versleutelde e-mails bekijken. Ze zien er eigenlijk niet veel anders uit op het kijkscherm.
Android
Sommige apparaten en apps ondersteunen S/MIME; er is veel variatie daarbuiten. Samsung heeft een handleiding.
Eindelijk…
Dat is ons snelle overzicht van de praktische toepassingen van S/MIME. Als je je eigen mailcertificaten wilt verkrijgen, is er een lijst van aanbieders hier. Ik vond dat Comodo goed werkt (gratis voor niet-commercieel gebruik – open dit in Firefox, niet in Chrome).
In deel 2 gaan we onderzoeken hoe je S/MIME ondertekening en versleuteling kunt toepassen op berichten die je via SparkPost verstuurt.
Verder lezen
Microsoft heeft een goed introductieartikel over S/MIME in hun documentatie.
Voor meer informatie over de EFAIL-kwetsbaarheid en hoe deze is aangepakt, zie de officiële EFAIL-website. Andere gemakkelijk te volgen uitleg is beschikbaar op de EFAIL-wikipagina en in CipherMail’s blogpost EFAIL: Welke is kwetsbaar, PGP, S/MIME of jouw mailclient?.
Dat is ons snelle overzicht van de praktische toepassingen van S/MIME. Als je je eigen mailcertificaten wilt verkrijgen, is er een lijst van aanbieders hier. Ik vond dat Comodo goed werkt (gratis voor niet-commercieel gebruik – open dit in Firefox, niet in Chrome).
In deel 2 gaan we onderzoeken hoe je S/MIME ondertekening en versleuteling kunt toepassen op berichten die je via SparkPost verstuurt.
Verder lezen
Microsoft heeft een goed introductieartikel over S/MIME in hun documentatie.
Voor meer informatie over de EFAIL-kwetsbaarheid en hoe deze is aangepakt, zie de officiële EFAIL-website. Andere gemakkelijk te volgen uitleg is beschikbaar op de EFAIL-wikipagina en in CipherMail’s blogpost EFAIL: Welke is kwetsbaar, PGP, S/MIME of jouw mailclient?.
Dat is ons snelle overzicht van de praktische toepassingen van S/MIME. Als je je eigen mailcertificaten wilt verkrijgen, is er een lijst van aanbieders hier. Ik vond dat Comodo goed werkt (gratis voor niet-commercieel gebruik – open dit in Firefox, niet in Chrome).
In deel 2 gaan we onderzoeken hoe je S/MIME ondertekening en versleuteling kunt toepassen op berichten die je via SparkPost verstuurt.
Verder lezen
Microsoft heeft een goed introductieartikel over S/MIME in hun documentatie.
Voor meer informatie over de EFAIL-kwetsbaarheid en hoe deze is aangepakt, zie de officiële EFAIL-website. Andere gemakkelijk te volgen uitleg is beschikbaar op de EFAIL-wikipagina en in CipherMail’s blogpost EFAIL: Welke is kwetsbaar, PGP, S/MIME of jouw mailclient?.
