• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

TLS-Thematiken

Hallo an alle,

wir haben die NoSpamProxy-Lösung angeschafft, um das Quarantäne-Problem mit unserer neuen Firewall zu lösen.

Dabei haben wir eine E-Mail-Security-Gateway-Lösung ersetzt, die jede Mail in irgendeiner Form verschlüsselt versendet hat - im schlimmsten Fall in einen passwortgeschützten HTML5-Container.

Uns wurde NSP dahingehend angepriesen, dass dies weiterhin möglich wäre. Nun haben wir einen Test gemacht.

1. Mail an Server mit Zertifikat
2. Mail an Server mit einem Zertifikat, was aber nicht mehr tauglich wäre im Sinne der Datenschutzkonferrenz
3. Mail an Server ohne Zertifikat

Bei der ersten Mail lief alles wie gewünscht, die Verbindung wurde verschlüsselt und die Mail wurde übertragen.
Bei der zweiten Mail passierte erstmal nichts, nach einigen Stunden ging die Mail unverschlüsselt raus.
Bei der letzten Mail ging sie direkt raus ohne Verschlüsselung.

Dies hatte ich bei unserem Dienstleister angefragt, dass die letzteren beiden Fälle nicht passieren dürfen. Scheinbar ist dies nicht korrekt eingerichtet, denn es wurde erklärt, dass die Mails in den letzten beiden genannten Fällen, in das Webportal verschoben werden sollten und der Empfänger eine Nachricht dazu erhält.

Was kann oder muss ich tun, damit das NSP die TOM für unseren E-Mail-Datenschutz wird?

Mit freundlichen Grüßen
Danny
 
Hallo Danny,
die Funktion, die Du suchst, nennen wir "Automatische Verschlüsselung". Diese muss im Regelwerk zunächst aktiviert werden, damit sie überhaupt funktioniert. Dann muss / kann noch eingestellt werden, ob diese Verschlüsselung erzwungen ist oder nicht (in diesem Fall kann der Absender das selbst entscheiden).
Die generelle Aktivierung sowie die Konfiguration erfolgt in den jeweiligen Regeln. Das wiederum bedeutet, dass es möglich ist, diese Form der Verschlüsselung für alle ausgehenden E-Mails generell zu aktivieren, aber der Absender kann sie mittels Outlook Add-In bzw. Betreffkennzeichnung erzwingen. Für bestimmte Absender und/oder Empfänger kann man sie dann in einer gesonderten Regel erzwingen und der interne Benutzer kann das auch nicht unterminieren.
WICHTIG: Automatische Verschlüsselung bedeutet, dass wir alle drei Verschlüsselungsformen ausprobieren und fangen dabei mit S/MIME an, versuchen dann PGP und machen erst danach ein Fallback auf die PDF-Verschlüsselung. In keinem Fall verlässt die E-Mail das Unternehmen bei aktivierter "Automatischer Verschlüsselung" unverschlüsselt. Wenn der Empfänger also bereits einen S/MIME Schlüssel hat und wir ihn schon kennen, machen wir S/MIME Verschlüsselung. Hat die Gegenseite nichts, machen wir PDF-Mail.
AUCH WICHTIG: Wenn wir vom Gegenüber bereits ein S/MIME Zertifikat oder einen PGP Schlüssel haben, muss der Absender die Verschlüsselung nicht aktiv anfordern. Sobald die S/MIME Aktion aktiviert ist, wird NSP die E-Mail dann so oder so verschlüsseln.
Hilft das weiter?
Gruß Stefan
 
Hallo Stefan,

das habe ich insofern verstanden. Das lässt sich aber nicht schon auf die TLS-Ebene herunter brechen? Ich kann ja per se die automatische Verschlüsselung aktivieren, S/MIME wird von einigen Empfängern unterstützt, aber nicht von allen. PGP ist mir in der Richtung nicht bekannt, dass dies überhaupt jemand in unserem Bereich verwendet. Daher wäre die automatische Verschlüsselung per PDF gegeben.

Aber, das kommt auf jeden Fall, wir weisen PDFs mit Verschlüsselung prinzipiell ab, das wird auch bei einem Teil der Empfänger passieren. Da wäre der Umweg über das Webportal und eine neutrale Benachrichtigung an dem Empänger vorteilhaft. Das Problem hatten wir auch bei den verschlüsselten HTML5-Containern, die auf der Gegenseite mitterweile immer mehr verworfen werden.

Ich kann bei den Sendekonnektoren STARTTLS erzwingen, würde das zum selben Ergebnis führen?

Grüße
Danny
 
Hallo Danny,
das geht auch locker auf TLS-Ebene. Dort kann man es entweder auf Konnektor-Ebene machen oder alternativ in den Eigenschaften der Partner-Domains. Darüber könnte man es etwas flexibler gestalten, wenn nötig.
Gruß Stefan
 
Hallo Stefan,

wir wollen, dass bei allem der Zwang da ist und damit auch gewährleistet ist, dass wir im Sinne des Datenschutzes keine offenen Postkarten versenden.

Das heißt für mich, ich müsste den ausgehenden Sendekonnektor auf Erzwinge STARTTLS stellen?

Grüße
Danny
 
Genauso ist es. :)
Sorry wenn sich mein Monk gerade meldet, aber damit verschickt ihr auch weiterhin Postkarten, nur dass es im ersten Zug durch einen geschlossenen Tunnel geht. Das ist ohne Frage besser als nix, aber es bleiben Postkarten.
Gruß Stefan
 
Zurück
Oben