Denne tråd er over 6 måneder gammel
Er du sikker på, at du har noget relevant at tilføje?
Søger ekspert inden for sikker mails / krypterede ...Af Junior Supporter aresONE | 18-02-2021 19:31 | 1563 visninger | 16 svar, hop til senesteSom overskriften nævner, søger jeg en med erfaring inden for sikker mail korrespondance (krypterede mails).
Jeg arbejder for et større firma, hvor vi ofte sender mails med kundedata til samarbejdspartnere. Dette er et helvede at have med at gøre, da det jo som bekendt skal sendes via sikre mails.
Vi har pt. 2 løsninger:
1. Der er etableret TLS forbindelse mellem vores domæne og modtagers domæne (men dette kræver at modtager har udfyldt en blanket, og at min IT-afdeling efterfølgende har registreret TLS-forbindelsen i systemet).
2. Vi sender mail, hvor vi inden da enten ringer og aftaler en kode med modtager, eller der bliver genereret en kode til deres mobilnummer. (Dette er bare skod, da 1. Modtager har svært ved at arkivere eller videresende mailen, 2. Tit får vi sendt kode til et nummer der ikke er mobil, hvorfor den slet ikke modtages 3. Vi har +200-300 forskellige samarbejdspartnere dagligt, så det er et helvede at ringe og aftale kode inden da (meget spild tid) ).
Findes der virkeligt ikke en smartere løsning? Jeg har læst lidt om tunnelmails, men kan ikke gøre mig klog på det.
Mit ønske er en løsning hvor vi blot sender mailen nogenlunde "som normalt", men at den i hvert fald for modtager modtages på normalvis (så kan de gøre hvad de vil med den, det er jeg i princippet ligeglad med).
--
i7 8700K & Noctua D15 Chromax Black, ASrock z370 extreme4; 2x8GB 3200 CL16; Palit 1080ti GameRock; Corsair Rm650x; Fractal Meshify C
Der findes en del udbydere af sikkermail løsninger.
IT Relation (SEPO), sikker@mail, DPG m.m.
De tilbyder nogenlunde det du efterspørger. (især mellem danske virksomheder / det offentlige - der primært bliver brugt tunnelmail og opslag mod NETS certifikat database)
--
Sidst redigeret 18-02-2021 19:37 #1: Men også uden at modtager skal gøre noget?
Jeg mener: Udfordringen ved TLS lige nu er, at jeg er nødt til at have fat i modtager først, bede dem udfylde blanket, og få min IT afdeling til at oprette det i systemet. FØRST der kan jeg sende mails "normalvis".
Jeg ønsker en løsning hvor jeg med det samme kan sende en sikker mail, til en ny modtager, uden først at skulle have gjort alt muligt bøvl inden. Og mailen skal modtages "normalt" af modtager, og uden kode!
--
i7 8700K & Noctua D15 Chromax Black, ASrock z370 extreme4; 2x8GB 3200 CL16; Palit 1080ti GameRock; Corsair Rm650x; Fractal Meshify C #2
Altså hvis modtageren er på tunnelmail eller har et NETs certifikat, så kan de modtage uden I skal gøre noget (typisk danske virksomheder - det offentlige).
Hvis modtageren ikke har det, er der typisk en fallback løsning som kan være f.eks. Microsofts AIP / OME. Eller evt. TLS negotiation som sidste løsning (løsningerne checker automatisk om der kan etableret TLS forbindelse).
--
Sidst redigeret 18-02-2021 19:44 #3
Jeg ved jo ikke hvad modtagerne er på/eller har? Og når du siger uden vi skal gøre noget, så mener du: uden vi skal gøre noget, hvis vi har en af de ovenstående løsninger du nævner?
Til det sidste du skriver. Men det er vel det vi gør i dag? Vi sender enten TLS, men dette kræver at vi har en aftale med modtager, eller vi sender med kode (enten via outlooks indbyggede encrypt, eller via "Deltagon")
--
i7 8700K & Noctua D15 Chromax Black, ASrock z370 extreme4; 2x8GB 3200 CL16; Palit 1080ti GameRock; Corsair Rm650x; Fractal Meshify C #4
Løsningen (typisk et add-in i Outlook, som taler med leverandøren af sikkermail løsningen) - denne løsning checker om modtageren er på tunnelmail - hvis den ikke er dette, så checker den
nets certifikatdatabase for at se om den kan bruge dette til
krypteringen.
Og ellers går det typisk videre til check om meddelsen kan sendes via TLS (som jo bare er krypteringen af forbindelsen og ikke selve mailen).
Hvis modtageren ikke kan modtage på nogle af de ovenstående måder, så vil løsningen ofte tilbyde en portal, hvor mailen så bliver sendt til og så får modtageren bare et link og en kode automatisk.
Men prøv at tag fat i et par af de nævnte leverandører, de vil helt sikkert gerne præsentere det for dig. :)
--
#0
TLS kryptering foregår automatisk, hvorfor skal I sætte det op manuelt, for hver enkelt kunde?
I kan kan evt. tillade, at jeres mail server kun gør brug af TLS.
Men så kan i ikke sende mails til servere der ikke tillader TLS.
Du skal først finde ud af, om transport layer kryptering er nok, eller om i har brug for end-to-end kryptering.
--
YEAH, har fundet på noget vildt sejt at skrive HER... damn, har bare glemt det ;P Hvis I får udstedet helt almindelige MOCES certifikater fra NemID, så er I klar til at sende kryptede mails. HUSK at almindelig TLS kryptering, er sytem til system kryptering. Dvs. at når mailen først er landet på mailserveren, så vil alle med en administrator rettighed kunne læse mailen. Kryptering med certifikat, kryptere mailen og kun personerne med nøglen kan låse den op.
--
Hey #0
her er info fra Datatilsynet om krypterings kravene for afsendelse ved mail.
https://www.datatilsynet.dk[...]
du kan nøjes med tls på transport laget. Du behøver ikke end to end kryptering på klienten.
jeg vil dog specielt hvis du sender til det offentlige anbefale en tunnelmail løsning som er nævnt i en anden post. Det gør livet nemmere for de benytter nemlig end to end via nets certs
--
#7 Det er så - strengt taget - ikke korrekt. Man kan modtage krypteret mail og nemid har faciliteret at man man finde deres brugers offentlige nøgler, så man kan sende mails til dem.
Jeg kan ikke med mit nemid-certifikat sende en krypteret mail til dig.
Skal jeg sende dig en krypteret mail med nemid-udstedt certifikat, skal jeg bruge - ikke mit nemid-certifikat, men dit. Jeg skal finde dit certifikat i nemids database og bruge den offentlige nøgle til at kryptere mailen.
Sådan cirka :)
--
#6 - Godt spørgsmål. Og det er jo lige præcist det der er frustrerende. Jeg har brug for hastighed i min arbejdsdag, og for mine medarbejdere. Men det er mega bøvlet at skulle have fat i modpart for at bede dem udfylde en blanket, før vi kan etablere TLS forbindelse?
Jeg skal lige siges, at jeg er meget grøn på dette område. Men har blot behov for at udfordre vores IT afdeling.
Det er selve transport-laget jeg ønsker at kryptere - ikke selve mailen. Jeg ønsker at den er nem at arbejde med, når den er hos modtager. De skal også have nemt ved at videredele den m.v. til relevante personer hos dem.
#9 - når du siger tunnelmail løsning. Så er det ikke TLS?
--
i7 8700K & Noctua D15 Chromax Black, ASrock z370 extreme4; 2x8GB 3200 CL16; Palit 1080ti GameRock; Corsair Rm650x; Fractal Meshify C Her er hvad der står om TLS på vores guide på firmaets intranet:
There are two ways how to configure the TLS communication between two domains, Enforced TLS and Opportunistic TLS. In Enforced TLS it is mandatory to have TLS certificate on both sender and receiver domains. Opportunistic TLS encrypts the traffic if possible but if one of the domains for instance cannot handle TLS the mail will still be sent in plain text.
TLS encrypts the transmission channel over which the email is sent over the Internet.
Features:
A secure email gateway to gateway communication
The user is ensured that encryption is enforced. Transparent to the user, emails are sent as normalNo client software is needed
Enforced TLS guarantees encrypted communication over the internet up to customer’s receiving/sending email server/s.
Start using TLS
Check if Enforced TLS is enabled with "Compayname" here. If you have problem opening the link, please try using Chrome.
Fill out the BE- Business Partner form. This form provides MessageLabs with the technical information required to enable a link between your domains and a Business Partner for the Boundary Encryption service.
Place the request via "OUR IT PORTAL", Use search word "TLS" and fill in the required information. Attach the form find under bullet no 1 to the order item.
--
i7 8700K & Noctua D15 Chromax Black, ASrock z370 extreme4; 2x8GB 3200 CL16; Palit 1080ti GameRock; Corsair Rm650x; Fractal Meshify C
--
Sidst redigeret 19-02-2021 10:46 #11 teknisk set er det ikke TLS transport kryptering, men mail signering med certifikat.
Tunnelmail signere mails med et private certifikat, og det åbnes så op hos modtageren med det public certifikat som kan slås op i den offentlige certifikat database.
I vores tilfælde bruger vi Vipre/Fusemail som sikkermail leverandør, og de har så modtaget et certifikat med vores private nøgle i, som de så kan signere og afkryptere e-mails med når vi modtager/sender til modtagere på tunnelmail listen. https://helpdesk.vipre.com[...]
TLS kryptering til afsendelse fra dine mailservere er en kryptering af selve transporten. og er som du kan se "nok" iforhold til gdpr mæssig afsendelse af e-mails. https://www.datatilsynet.dk[...]
tldr. for GDPR hensyn er transport kryptering nok, men snakker du med det offentlige, så ser de gerne du benytter tunnelmail/sikkermail løsning med signering af e-mail
--
Vi brugte på min tidligere arbejdsplads TITUS til at kryptere og klassificere mails. Det fungerede som en outlook add-on, hvor du valgte, hvilken klassifikationsgrad og kryptering mailen skulle have. Det er nok den mest tekniske beskrivelse jeg kan give.
Det fungerede egentlig fint nok, men det gjorde outlook en smule sløvt :)
--
Tak for svar alle.
#13 Jeg har lige præcist bare brug for at selve afsendelsen er krypteret. M.a.o. vil jeg blot sikre at vi overholder GDPR, men får sendt det bedst muligt afsted.
"TLS kryptering til afsendelse fra dine mailservere er en kryptering af selve transporten. og er som du kan se "nok" iforhold til gdpr mæssig afsendelse af e-mails. https://www.datatilsynet.dk[...] for GDPR hensyn er transport kryptering nok, men snakker du med det offentlige, så ser de gerne du benytter tunnelmail/sikkermail løsning med signering af e-mail"
Ja, men hele humlen er, at for at vi kan sende med TLS skal have lavet "enforced" TLS, hvor jeg skal have bekræftelse fra samarbejdspartner for at kunne registrere det i systemet...
Jeg synes godt nok det er lidt forvirrende det her :D
--
i7 8700K & Noctua D15 Chromax Black, ASrock z370 extreme4; 2x8GB 3200 CL16; Palit 1080ti GameRock; Corsair Rm650x; Fractal Meshify C
Grundet øget spam aktivitet fra gæstebrugere, er det desværre ikke længere muligt, at oprette svar som gæst.
Hvis du ønsker at deltage i debatten, skal du oprette en brugerprofil.
Opret bruger | Login
|
Du skal være logget ind for at tilmelde dig nyhedsbrev.
Hvilken udbyder har du til internet? 230 personer har stemt - Mit energiselskab (Ewii f.eks) 11%
|