E-Mail Verschlüsselung Lösungsansätze

[FrAntje]

Hallo zusammen,

ich wollte mal gerne wissen, ob sich jemand mit dem Thema E-Mail Verschlüsselung beschätigt hat und vielleicht seine Erfahrungen teilen möchte.
Ich habe bisher noch keine vernünftige Lösung, für die unterschiedlichen Szenarien gefunden, aber vielleicht übersehe ich ja auch etwas.

 

[blurrrr]

Nimm eine vernünftige Firewall, lass die Mails da durch gehen und automatisch durch die Firewall verschlüsseln, fertig Alternativ gibt es mit Sicherheit auch noch "nur" Mailgateways die entsprechendes anbieten. Sofern ein geschäftlicher Einsatz vorhanden ist, direkt mit an die revisionssichere Archivierungspflicht von Mails denken.

 

[FrAntje]

Und wie entschlüsselt der Empfänger dann die Mail wieder?

 

[blurrrr]

......... Vielleicht liest Du Dich erstmal in die Thematik ein: https://de.wikipedia.org/wiki/E-Mail-Verschl%C3%BCsselung, das sollte wohl ein wenig Klarheit verschaffen.

EDIT: Kleiner Link noch zum Thema PKI (das darf dabei ja auch nicht fehlen) https://de.wikipedia.org/wiki/Public-Key-Infrastruktur

 

[FrAntje]

ähm ja, okeee! Vielleicht setzt du einfach mal nicht voraus, dass dein Gegenüber keine Ahnung davon hat, sondern fragst genau, was gemeint ist?

Ich rede nicht von Transportverschlüsselung und diese ist nunmal nicht ohne ein gewissen Aufwand möglich. Zumindest müssen dann Sender und Empfänger die Systeme unterstüzten oder Server zum Einsatz kommen (selbst da ist es nicht möglich, wenn nicht beide Seiten mit machen).
Einfach eine verschlüsselte Mail an einen fremden Empfänger zu senden, geht nicht.

Und genau dafür suche ich Lösungen. Also eher etwas in Passwort basiert.

 

[blurrrr]

Bei solchen dämlichen Antworten habe ich dann auch schon direkt keine Lust mehr zu antworten, denn:

a) hast Du ganz offensichtlich "keine" Ahnung
b) solltest Du vielleicht erstmal "lesen", anstatt hier unwissend die Klappe aufzureissen

In den Links steht alles drin... inklusive Deinem "Passwort"-basiertem Wunsch. Andere Lösungen für die 0815-Clients (Outlook, Thunderbird, etc.) als die PDF-Verschlüsselung sind mir auch nicht bekannt. Einfach eine verschlüsselte Mail an einen Empfänger senden geht sehr wohl, dazu müsstest Du aber - schade schade - wohl erstmal "lesen"....

Ich klink mich jetzt hier mal aus, weil ich auf so einen Mist schlichtweg keine Lust habe, wünsche aber dennoch viel Erfolg mit der Thematik

EDIT: Ich frage nicht, was "genau" gemeint ist, da man die Frage auch durchaus hätte schon direkt verständlich und konrekt formulieren können.

 

[FrAntje]

Du sagst: ........ Vielleicht liest Du Dich erstmal in die Thematik ein
ich antworte....Vielleicht setzt du einfach mal nicht voraus, dass dein Gegenüber keine Ahnung davon hat, sondern fragst genau, was gemeint ist?

Was ist also daran dämlich? Ausser natürlich deine Ausdrucksweise / Kraftausdrücke?

Aber sei es drum, trotzdem danke für deinen Versuch!

 

[blurrrr]

Ich sag es mal ganz trocken: hier fragen zu 99% unwissende Leute nach Hilfe. Entsprechend agiere/formuliere ich hier auch. Das Verschlüsselungsthema hat nunmal eine gewisse Komplexität. Dir hier jetzt alles zu erklären würde eindeutig den Rahmen sprengen, daher die Links zum "einlesen". Weiss ja nicht, was Du hier erwartest, aber hier gibt es definitiv keine Beratung im Sinne eines geschäftlichen Consulting. Anstatt Dir das nun durchzulesen, kommst Du mir krumm (wo ich nur helfen wollte), da ist meine Laune schon mal direkt im Keller. Warum soll ich davon ausgehen, dass Du Ahnung hast? Hättest Du Ahnung, hättest Du direkt angegeben, dass es Dir "rein" um "Passwort"-verschlüsselte Mails geht und da hätte man auch direkt antworten können, dass das i.d.R. via "PDF" abläuft. Stattdessen stellst Du Dich hier hin und behauptest Du hättest Ahnung... ganz offensichtlich wohl eher nicht. Ich habe auch nicht umsonst die PKI-Thematik mit ins Boot geholt, da auch dort gewisse Automatismen zum tragen kommen hinsichtlich der "Entschlüsselung" von Mails, aber ich vermute einfach mal, dass Du das ja sowieso alles weisst und eben auch nicht unwissend bist, von daher spar ich mir jetzt auch alles weitere und wünsche - wie schon oben erwähnt - noch viel Erfolg bei der Thematik

 

[Frogman]

Naja, jedenfalls steht in dem Wikipedia-Artikel, den blurrrr zitiert hat, eine Menge an Informationen über Ende-zu-Ende-Verschlüsselung (u.a. auch S/MIME und PGP). Das hat übrigens - wo wir schon beim Stichwort 'Ahnung' waren - so nichts mit Transportverschlüsselung zu tun...

...
Ich rede nicht von Transportverschlüsselung und diese ist nunmal nicht ohne ein gewissen Aufwand möglich. ...

die betrifft nämlich lediglich die üblicherweise TLS-Strecke zwischen den beteiligten MTA (sprich also Mailservern). Obwohl die Bereitschaft zum Lesen von verlinkten Artikeln - das ist mir auch schon desöfteren aufgefallen - nicht gar so selten etwas zu wünschen übrig läßt, werfe ich trotzdem einmal diesen und diesen Link in die Runde für all diejenigen, die sich doch etwas informieren wollen.

 

[steje43]

Hallo,

meinst du Emailverschlüsslung mit PGP ?

Hier kann ich https://www.gpg4win.de/ empfehlen.

LEIDER, nutzt niemand in meinem Bekanntenkreis eine Emailverschlüsslung,

Gruß
Jens

 

[Frogman]

Mit der Veröffentlichung des Autocrypt-Standards vor einigen Monaten dürfte sich das vielleicht bald ändern.

 

[steje43]

Hoffentlich...! Leider noch kein Plugin für Outlook

 

[mexx81]

Hallo zusammen,

ich wollte mal gerne wissen, ob sich jemand mit dem Thema E-Mail Verschlüsselung beschätigt hat und vielleicht seine Erfahrungen teilen möchte.
Ich habe bisher noch keine vernünftige Lösung, für die unterschiedlichen Szenarien gefunden, aber vielleicht übersehe ich ja auch etwas.

Hallo FrAntja,

ich muss mich einigen Vorschreiben anschließen, denn Deine Frage, die aus zwei Zeilen besteht, greift in ein Themengebiet, welches ganze Bücher füllt. Dass Deine Frage nicht konkret ist, zeigt, dass Du Dich nicht wirklich vorher selber mit dem Thema beschäftigt hast. Bei dem Thema musst Du erst überlegen, ob Dir eine Transportverschlüsselung reicht oder nicht. Die ist relativ einfach umgesetzt. Entgegennehmende Mailserver Deines TLS-gerne_auch_zwang, müssen seit geraumer Zeit TLS machen. Mittlerweile schreiben deutsche Datenschutzbehörden sogar Unternehmen ohne TLS am MX an und fordern TLS. Also TLS läuft bestens.

Dann gibt es noch die Ende-zu-Ende-Verschlüsselung. Dabei werden die E-Mails am Client ver- und entschlüsselt. Dafür gibt es unterschiedliche Verfahren und Technologien. Leider auch viele Vor- und Nachteile.

Mein Tipp: Belese Dich erst in das Thema Transportverschlüsselung, denn das ist fast schon Pflicht bei jeden Mailsystem. Dann erklärst Du uns, was Du bereits geleistet hast und schilderst Deine Mailclient Situation. Davon hängt nämlich ab, welche Ende-zu-Ende-Verschlüsselung überhaupt möglich ist.

Bis dahin viel Spaß beim lernen, sobald es steht, kannst Du mir eine PN schreiben und ich schicke Dir meine E-Mail Adresse. Dann kann ich verifizieren ob Deine Transportverschlüsselung funktioniert. Alternativ kannst Du Diese Seite nutzen.

https://de.ssl-tools.net/mailservers

 

[FrAntje]

Hi steje,
danke für die Info.
Du hast zumindest das Kernproblem erkannt

Das mit dem PGP ist halt immer so eine Hürde, technisch im produktiven Einsatz nicht umsetzbar.
Deshalb kann eine Verschlüsselung nur einseitig über die passwortbasierte Verschlüsselung laufen.
Den besten Ansatz hat hier Nextcloud. Aber auch mit Synology NAS wäre es möglich, wenn es ein paar kleine Veränderungen gäbe.
Ich arbeite gerade schon an einen Änderungsvorschlag für Synology, der zwar wahrscheinlich nichts bringt, aber man weiß ja nie
Ich möchte ungern auf Lösungen wie https://crypted.co/ zurückgreifen.

@mexx81
ich mag es einfach nur nicht, wenn Leute als hobby Psychologen, versuchen anhand meiner Worte zu interpretieren, was ich weiß oder nicht.
Es ist ein sehr dünnes Eis.
Wo ich dir natürlich Recht geben muss, ist die formulierung meiner Frage bzw. dass ich ein recht komplexes Thema recht kurz angeschnitten habe.
Da hätte ich etwas ausführlicher umschreiben müssen.
Aber steje hat mich doch auch irgendwie verstanden oder

Ich habe also eigentlich (so glaube ich) alle Möglichkeiten der Verschlüsselung durch und diese auch an verschiedenen Standorten im Einsatz.
Angefangen von Umsetzung der S/MIME oder PGP Verschlüsselung bis hin über Security Gateways über Zertifon, Sophos Email Appliance oder ein ciphermail gateway.
Das Hauptproblem ist aber die Umetzung bei allen Teilnehmern.

Schreibe ich nun täglich an fremde Leute eine Mail, mit denen ich noch nie tu tun hatte, die natürlich keine Verschlüsselung einsetzen, dann muss ich nach Alternativen suchen.

 

[mexx81]

Du kannst das Thema von links nach rechts drehen und unterschiedlichste Anbieter von Lösungen finden. Bei einer Ende-zu-Ende-Verschlüsselung der Mails von Client-zu-Client, müssen beide Kommunikationspartner vorher ein Geheimnis austauschen und dieses, egal wie es geartet ist, ob Kennwort, Zertifikat, Passphrase, usw., dieses Geheimnis an jeden Client, Webclient, Mailanwendung, Handymailapp, usw., einpflegen. Ansonsten ist es erstens keine Ende-zu-Ende-Verschlüsselung und zweitens wäre das Prinzip nicht sicher, wenn man ohne den Besitz eines speziellen Geheimnises (Kennwort, Zertifikat, Passphrase, usw.) die verschlüsselte Mail entschlüsseln könnte.

Also solltest Du Dir zunächst überlegen, welchen Kommunikationspartnern Du das antun möchtest und ermitteln, welche Technologien diese nutzen. Erst dann kannst Du nach technischen Lösungen suchen. Was sehr gut funktioniert ist die PGP Passphrase vom MailPlus Webclient und der iPhone MailPlus App. Wenn der Kommunikationspartner ebenfalls einer der beiden Clients verwendet, funktioniert die PGP sehr gut. Landet die Mail aber im Outlook, einen anderen Mailclient oder ein anderen Webgui eines Mailanbieters, können diese mit der Verschlüsselung oft nichts anfangen und bieten nicht mal eine Entschlüsselung an.

Also, lass uns am Anfang beginnen und dann Lösungen suchen. Wir setzen voraus, dass TLS aktiv ist. Damit haben wir schon mal eine Transportverschlüsselung und sowohl der Abruf der Mails erfolgt über IMAPS als auch der Transport vom Client zum MTA erfolgt verschlüsselt. Damit sind alle Transportstrecken verschlüsselt.
Kommen wir zur Ende-zu-Ende-Verschlüsselung. Welche Clients sind im Einsatz? Ohne diese Antwort, musst Du wirklich nicht nach Lösungen suchen.

 

[FrAntje]

Danke für die Antwort! Unsere Antworten haben sich etwas übschnitten, siehe mein voherigen Post.

Es muss also eine Lösung her die Client unabhängig und unabhängig von der technik beim Empfänger läuft.
Somit gibt es nur die Passwort Verschlüsselung. Oder halt die Gateways, aber die sind teuer.
Denkbar ist z.B. auch ein Freigabelink über die DS, der dann per Mail verschickt wird. Wie schon erwähnt macht das derzeit nur Nextcloud fast perfekt.
Automatischer upload, sobald in einer Mail ein Anhang entdeckt wird, verschlüsselung auf dem Nextcloud Server, einfügen des Links in die Mail, automatischer Text für die Mail.
Leider kann man das Outlook Plugin jedoch nicht kaufen. Damit wären alle Probleme vorerst gelöst, bis Synology das DSM anpasst.
Bisher kann ich nur über Filestation (nicht vom Desktop aus über Drive oder ähnliches) einen Link per Mail Client weiter leiten.

Clients sind eigentlich zu 100% immer Outlook, aber natürlich nur auf der Seite des Senders.

 

[FrAntje]

Eine weitere Lösung, die im professionellen Umfeld häufig anzutreffen ist, ist https://www.teamdrive.com

 

[mexx81]

Dann ahne ich schon in welche Richtung das ganze gehen soll. Du arbeitest doch bestimmt an einen Systemen, mit dem größere Mailanhänge, die zu groß sind für klassischen Emailtransport, automatisch eingefangen werden und über eine sichere (verschlüsselte) Methode dem Empfänger per Mail mitgeteilt wird, dass da ein Anhang bereitliegt.

Wir haben das auch schon von links nach rechts gedreht und sind auf den Nenner gekommen, dass wir bei der Vielzahl der Empfängertechnologien und IT-Kompetenzen nicht verlangen und/oder erwarten können, dass die Empfänger sich unseren Vorgaben unterordnen müssen/sollen/können.

Bei jeder sich anbahnenden Geschäftsbeziehung wird daher ein Transportkennwort vertraglich vereinbart und persönlich übergeben. Dieses Kennwort dient dann für den Zugang zum Austauschportal oder zum Entschlüsseln von verschlüsselten Mailanhängen.

 

[mexx81]

Leider kann man das Outlook Plugin jedoch nicht kaufen.

Von Outlook PlugIns würde ich abstand nehmen. Manchmal werden diese für die neusten Outlookversionen nicht mehr angeboten. Manchmal verweigern die PlugIns nach einen Officepatch die Funktion, weil Microsoft die Schnittstellen geändert haben. Bestes Beispiel war ja Zarafa. Das Plugin lief eine zeit lang super, aber irgendwann wurde es für Outlook nicht mehr weiterentwickelt. und und und.

Wenn, dann muss eine Lösung her, die unabhängig vom Client funktioniert. Sonst etablierst Du eine gute und nützliche Lösung, die in Abhängigkeit von etwas steht, was sich ggf. in wenigen Jahren nicht mehr so realisieren läßt und bist dann wie eine Bank die noch XP einsetzt.

Angeblich kann MS Exchange in Kombination mit SharePoint das auch, aber das ist teuer und Hölle.

 

[FrAntje]

Ah das klingt interessant.
Also läuft das wie bei SEPPMAIL? Der Kunde bekommt also einen Zugang zu einem System, in dem dann die Kommunikation stattfindet?

Worüber läuft das denn bei euch?

Ich habe in den vergangenen Tagen, testweise mehere Ansätze umgesetzt und teste diese gerade.
1. Geschütze Cloud Bereiche, also nichts anderes als eine beliebige DSGVO konforme Cloud und das Anlegen von Ordner zum Austausch. Leider bieten nur die bösen Anbieter vernünftige Collaboration (Synology z.B. ist da noch etwas von entfernt)
2. Erstellung temporärer Mailadressen auf den eigenen Mailservern, die dann dem Kunden zur Verfügung gestellt werden. Hier habe ich verschiedene Systeme im Einsatz (IceWarp, Kopano, Zimbra etc.)
3. Synology Chat / Drive / Mail Ansatz. Dieser ist gar nicht mal so schlecht, wenn er auch etwas unprofessionell aussieht Aber er klappt erstaunlich gut.

Alle Systeme scheitern aber, sobald der User ins spiel kommt. Der klickt nämlich einfach auf seine Warenwirtschaft oder sein Kanzlei / Praxis Programm und sagt diese Akte oder dieses OPG per Mail verschicken.
Zack geht der Standard Mail Client (Ooutlook) auf und die Datei geht auf Reisen.

Daher der muss der Ansatz in den meisten Fällen über den lokalen Mail Client laufen.
Ich meine, das ist nicht schlimm. Es gibt ja Lösungen dafür. NextCloud, vielleicht irgendwann einmal Synology Drive.

Vielleicht ist meine Fragestellung also einfach nur, gibt es eine Alternative zu Nextcloud?
https://www.youtube.com/watch?v=jwhfeJlYBbM