S/MIME is een al lang bestaand methode voor het verzenden van versleutelde, ondertekende e-mails, gebaseerd op publieke internetstandaarden. We komen regelmatig vereisten voor S/MIME tegen, met name vanuit gereguleerde sectoren zoals banken, gezondheidszorg en financiën.
S/MIME is een lang bekende methode voor het verzenden van versleutelde, ondertekende e-mail, gebaseerd op openbare internetstandaarden. We komen regelmatig eisen voor S/MIME tegen, vooral vanuit gereguleerde industrieën zoals banken, gezondheidszorg en financiën. S/MIME is vaak vereist bij communicatie tussen bedrijven en overheidsinstanties, bijvoorbeeld.
Een andere beveiligde mailstandaard, PGP (vermakelijk genaamd als "Pretty Good Privacy"), wordt meer gebruikt voor beveiligde communicatie van persoon tot persoon. Het is nu minder populair omdat de consumentversies van populaire webgebaseerde e-mailclients zoals Gmail en Outlook/Hotmail geen versleutelde mail kunnen weergeven. Dat is een reden waarom veel communicatie van persoon tot persoon die privacy vereist, is verhuisd naar platforms zoals WhatsApp (en vele anderen) die native end-to-end versleuteling bieden.
Zowel PGP als S/MIME vereisen een mailclient die sleutels en certificaten kan gebruiken. Veel desktop- en mobiele clients, inclusief Apple Mail, Microsoft Outlook en Mozilla Thunderbird voldoen aan de eisen, evenals bedrijfsversies van sommige webclients zoals Microsoft Office 365. Het instellen van de sleutels kost moeite, maar veel organisaties vinden het nog steeds de moeite waard, ondanks recente kwetsbaarheidsmeldingen die remedies vereisen om het laden van externe inhoud te blokkeren.
S/MIME bestaat al sinds 1995 en heeft verschillende revisies ondergaan; de huidige versie wordt gedekt door RFC 5751. Het vereist de uitwisseling van openbare sleutels, een niet-triviale taak die vaak ondersteuning van een IT-team of een vergelijkbare bron vereist. Voor organisaties die e-mailinfrastructuur op locatie gebruiken, vereist de implementatie van S/MIME aanvullende overwegingen voor platforms zoals PowerMTA en Momentum, die we behandelen in onze handleiding over S/MIME voor veilige e-mail op locatie. Er zijn echter geautomatiseerde benaderingen om dit proces te stroomlijnen, zoals het verzamelen van openbare sleutels van ontvangers via e-mailsystemen die het beheer van sleutels voor app-gegenereerde e-mailstromen kunnen vereenvoudigen. Hier komen commerciële oplossingen van bedrijven zoals SparkPost-partners Virtru en Echoworkx in beeld, die beveiliging gemakkelijker maken voor zakelijke e-mail van persoon tot persoon (zie onze SparkPost/Echoworkx how-to voor meer informatie).
Dat gezegd hebbende, laten we wat dieper ingaan op de klassieke S/MIME en kijken wat we ermee kunnen doen.
Waarom zou ik me daar druk om maken?
De korte versie:
Encryptie geeft u berichtprivacy.
Ondertekening biedt u authenticatie (van de afzender), niet-repudiatie van de oorsprong, en controles van de integriteit van berichten.
S/MIME werkt anders dan DKIM en DMARC en kan naast hen bestaan.
Privacy
Als uw berichten niets persoonlijks, privés of juridisch belangrijks bevatten, hoeft u waarschijnlijk niet na te denken over S/MIME. Moderne e-mailsystemen zoals SparkPost gebruiken al “opportunistische TLS” om het berichttransport van de verzendserver naar de ontvangende server te beveiligen.
Het “opportunistische” gedeelte betekent echter dat als de verzendserver geen beveiligde verbinding kan onderhandelen, we de e-mail in platte tekst zullen verzenden. Dit is niet geschikt als u wilt dat het bericht de hele weg veilig is. U kunt een kijkje nemen bij welke mailboxproviders aangeven TLS-ondersteuning te bieden en welke het daadwerkelijk doen. Als de server van de ontvanger TLS ondersteunt, wordt uw bericht als volgt beveiligd:
TLS beveiligt de gesprekken tussen mailservers (die daarom Transport Layer Security wordt genoemd). MIME (inclusief S/MIME) betreft de inhoud van berichten en de behandeling ervan, en kan worden beschouwd als deel van de "Presentatielaag".
S/MIME beveiligt de inhoud van het bericht volledig (“end-to-end”) van de oorsprong van het bericht tot de mailclient van de ontvanger, waarbij de berichtinhoud wordt ingekapseld.
S/MIME versleutelt de berichtinhoud met de openbare sleutel van de ontvanger. De inhoud kan niet worden gedecodeerd zonder de privésleutel van de ontvanger — niet door een “persoon in het midden” zoals uw ISP, SparkPost of de mailserver van de ontvanger.
De privésleutel wordt nooit bekendgemaakt; deze blijft in het exclusieve bezit van de ontvanger. Het versleutelde bericht reist via het internet naar de ontvangende mailserver. Wanneer het in de inbox van de ontvanger terechtkomt, wordt het (doorgaans automatisch) met hun privésleutel ontsleuteld en leesbaar gemaakt.
Enkele S/MIME valkuilen om op te letten:
S/MIME encryptie heeft als neveneffect dat op server gebaseerde inkomende berichtenscanning op malware wordt voorkomen, omdat de berichtbelasting in versleutelde vorm en dus onherkenbaar is.
Merk op dat de berichtheaders (Van:, Aan:, Onderwerp: etc.) niet versleuteld zijn, dus de inhoud van de onderwerpregel moet met dat in gedachten worden gemaakt.
Ondertekening – authenticatie
S/MIME biedt de ontvanger ook de mogelijkheid om te controleren dat de identiteit van de afzender van het bericht is wie ze zeggen dat ze zijn.
De e-mail van de afzender heeft een bijgevoegd certificaat, dat, net als het certificaat op een beveiligde website, kan worden herleid naar een uitgevende instantie. Er is een volledige beschrijving van het ondertekeningsproces hier.
We zullen de aanpak hanteren van eerst de e-mail ondertekenen en vervolgens versleutelen, zodat het proces er zo uitziet.
Niet-repudiatie
Een ander nuttig voordeel van ondertekening voor de ontvanger is niet-repudiatie van de oorsprong. Overweeg een situatie waarin een e-mailbericht wordt gebruikt om een contract goed te keuren. De ontvanger krijgt het contract in een bericht van de afzender. Als de afzender later probeert te zeggen: “Nee, ik heb dat bericht nooit naar u gestuurd”, dan laat het ontvangen bericht zien dat het certificaat van de afzender feitelijk is gebruikt.
Berichtintegriteit
Het ondertekeningsproces creëert een vingerafdruk van het platte bronbericht (bekend als een berichtsamenvatting), versleutelt de samenvatting met de privésleutel van de afzender en voegt deze toe aan het afgeleverde bericht. De mailclient van de ontvanger kan zien of er met de inhoud van het bericht is geknoeid.
U zou misschien kunnen zeggen: “Ik dacht dat DKIM mij controles van de integriteit van berichten gaf!” Nou ja, DKIM biedt integriteitscontroles van de berichtinhoud en berichtheaders – anti-tampering garanties. Echter, DKIM-falen (of -afwezigheid) zal meestal niet ertoe leiden dat het binnenkomende bericht als volledig ongeldig wordt gemarkeerd, ...tenzij er een DMARC beleid van 'p=reject' in het spel is (meer over DMARC hier). DKIM is een van de vele factoren die door de ISP worden gebruikt voor betrouwbare toekenning van reputatie aan een domein en is natuurlijk een essentieel onderdeel van uw berichtgeving stack.
Uw mailclient toont u duidelijk als een S/MIME-bericht faalt bij handtekeningcontroles:
Samenvatting: end-to-end (S/MIME) vs server-to-server (DKIM, DMARC, TLS)
S/MIME is een presentatie-laagfunctie die kan werken tussen twee e-mail eindgebruikers (met geldige certificaten/sleutels) zonder enige actie door de e-mailbeheerder. S/MIME biedt encryptie en ondertekening en is persoonlijk voor elke gebruiker.
S/MIME is verbonden aan het volledige verzendadres (lokaal deel en domeindeel), dus bijvoorbeeld alice@bigcorp.com en bob@bigcorp.com zouden verschillende certificaten moeten hebben. In tegenstelling hiermee, valideert DKIM dat de e-mail afkomstig is van het ondertekeningsdomein. DKIM is een heel onderwerp op zich; dit artikel is een goed startpunt.
De opstelling van DKIM en DMARC wordt gedaan door uw e-mailbeheerder (werkt aan de mailserver en DNS-records). Zodra ze zijn opgezet, zijn ze actief voor domeinen, in plaats van individuele gebruikers.
Hoe verhoudt dit zich tot SparkPost?
Welke clients ondersteunen S/MIME?
Consumer Gmail
De gewone Gmail-webclient toont inkomende e-mailhandtekeningen (zie hieronder), maar is niet ingesteld om uw privésleutel te bewaren om versleutelde berichten te lezen. Zelfs als dat mogelijk zou zijn via plug-ins van derden, is het uploaden van uw privésleutel vanuit een beveiligingsstandpunt geen goed idee.
Ik kon Yahoo! Mail helemaal niet zover krijgen om handtekeningen in berichten te decoderen.
De consumentenversie van Microsoft Outlook/Hotmail-accounts waarschuwt u voor de aanwezigheid van een S/MIME-handtekening, maar geeft u geen volledige toegang om het certificaat te bekijken of te controleren.
Hosted zakelijke e-mail
Voor organisaties met gehoste e-mail hebben Microsoft Office 365 en G Suite Enterprise S/MIME-ondersteuning.
Outlook e-mailclients
Client-gebaseerde Microsoft Outlook (bijv. 2010 voor Windows) werkt:
Door op de pictogrammen te klikken krijgt u meer informatie:
In Outlook 2010 / Windows wordt de certificaatopslag benaderd via Bestand / Opties / Vertrouwenscentrum / Instellingen van het vertrouwenscentrum / E-mailbeveiliging / Importeren / Exporteren.
Thunderbird – platformoverschrijdend en gratis
Als u op zoek bent naar een gratis client, voldoet Mozilla Thunderbird aan de eisen. Het is beschikbaar op pc, Mac en Linux, en ondersteunt S/MIME op al deze systemen. Zo ziet een bericht eruit op Mac. Het pictogram van de "verzegelde envelop" geeft aan dat het bericht is ondertekend, en het hangslot geeft aan dat het versleuteld was.
Door op de envelop/hangslot te klikken wordt er informatie over het bericht weergegeven:
Thunderbird heeft zijn eigen sleutellager, dat op elke platform op een vergelijkbare manier kan worden benaderd:
Mac via Voorkeuren / Geavanceerd / Certificaten / Certificaten beheren
PC: menu (“hamburger” rechtsboven), Geavanceerd / Certificaten / Certificaten beheren
Linux: menu (“hamburger” rechtsboven), Voorkeuren / Geavanceerd / Certificaten beheren
Mac Mail
Mac Mail ondersteunt ook S/MIME. Het vertrouwt op uw Mac-sleutelhanger om uw sleutels te bewaren.
iOS Mail
Importeer eerst het certificaat van uw e-mailaccount zoals dit, dan kunt u S/MIME-ondertekende en versleutelde e-mails bekijken. Ze zien er echt niet anders uit op het bekijkscherm.
Android
Enkele apparaten en apps ondersteunen S/MIME; er is een grote variëteit beschikbaar. Samsung heeft een handleiding.
Eindelijk…
Dat is ons snelle overzicht van de praktische toepassingen van S/MIME. Als je je eigen mailcertificaten wilt krijgen, is er een lijst van aanbieders hier. Ik vond Comodo werkt goed (gratis voor niet-commercieel gebruik - open dit in Firefox, niet Chrome).
In deel 2 zullen we onderzoeken hoe je S/MIME ondertekening en encryptie kunt toepassen op berichten die je via SparkPost levert.
Verder lezen
Microsoft heeft een goed inleidend artikel over S/MIME hier.
Voor meer informatie over de EFAIL-kwetsbaarheid en hoe dit is aangepakt, deze site is de definitieve bron. Andere gemakkelijk te volgen uitleggen zijn hier en hier.
