Безопасная электронная почта для размещенного сайта?
Мой друг уже несколько лет руководит небольшим некоммерческим агентством, которое помогает беженцам (жилье, продукты питания, медикаменты), перемещенным в результате войны.
В связи с текущими событиями она спросила меня, могут ли она и ее сотрудники защитить свои электронные письма?
Их веб-сайт является хост-сайтом на GoDaddy. Есть ли какая-либо услуга, которая может быть использована для улучшения их электронной почты путем добавления формы шифрования, которая может использоваться нетехническим персоналом?
Все методы, которые я могу придумать, будут выше их технических навыков. Я ищу услугу с компромиссом между безопасностью и удобством для пользователя.
2 ответа
Шифрование электронной почты?Электронная почта небезопасна.
Тем не менее, для вашего клиента лучше всего получать всю информацию на контролируемом сайте или портале. Подобно тому, как многие банки и кредитные компании отправляют вам электронные письма, они направляют вас на получение информации через свои веб-сайты. Пользователям потребуется создать учетную запись для получения информации, после чего вы сможете отслеживать, кто какую информацию получил по IP-адресам за раз.
Вам также нужно будет обезопасить свой сайт, хостинг с провайдерами общедоступного / общего хостинга будет первым изменением, за которым сразу же будет добавлено SSL.
Я ожидал бы других ответов, таких как шифрование TLS (безопасность транзитного уровня) или шифрование сообщений электронной почты PGP и S/MIME, но все это сложно.
Третьим вариантом будет использование стороннего почтового шлюза, который требует от пользователей доступа к электронной почте через портал, популярным из которых является ZIX. Вам по-прежнему нужно было бы защищать все коммуникации между вами и почтовым шлюзом ZIX (TLS1.2 является распространенным), но с этим связаны затраты, которые могут быть меньше, чем трудозатраты на создание чего-либо.
Подмена электронной почты? Если вы хотите обезопасить свои источники электронной почты, с Godaddy вам нужно будет использовать сторонний ESP (поставщик услуг электронной почты), такой как mandrillapp или sendgrid, а затем внедрить SPF/DKIM/DMARC для защиты своих источников электронной почты.
Как сказал Джейкоб, простой формы шифрования электронной почты на самом деле не существует. Тем не менее, вы определенно можете научить своих пользователей использовать S/MIME для шифрования их электронных писем. Я считаю, что S/MIME проще, чем GPG, и поддерживается гораздо большим количеством клиентов.
Чтобы настроить S/MIME, сначала вам нужно, чтобы ваши пользователи получили сертификаты S/MIME. Comodo предлагает бесплатные сертификаты S/MIME, которые довольно легко получить. Единственным недостатком является то, что вам нужны все ваши пользователи, чтобы получить сертификаты S/MIME. Если некоторые из них не получат сертификаты и не установят их, вы либо получите незашифрованные электронные письма (если они отправлены незашифрованными), либо неоткрытые электронные письма (если они получены в зашифрованном виде), ни один из которых не годится.
Установка сертификата S/MIME зависит от клиента, поэтому я рекомендую искать его для каждого клиента, который используют ваши пользователи. Это довольно просто для OS X Mail, но может быть немного сложнее на чем-то вроде iPhone. Вы ничего не можете сделать, чтобы обойти процесс установки, но это больше проблем для вас, чем для ваших пользователей. Ваши пользователи не должны получать доступ к корпоративной электронной почте на своих личных iPhone или устройствах, если они все равно чувствительны. Обратите внимание, что если установлены различные почтовые программы (OS X Mail и Outlook), сертификаты должны быть установлены для каждого клиента, которому вы хотите отправлять и получать зашифрованные электронные письма.
Теперь, когда сертификаты установлены на всех клиентских компьютерах, начинается самое интересное. Поскольку S/MIME опирается на технологию открытого / закрытого ключа (аналогичную GPG), существует некоторый обмен открытым ключом, который должен произойти. Когда отправитель (пользователь A) в первый раз хочет отправить зашифрованное сообщение, ему необходимо получить открытый ключ получателя (пользователь B). Теперь это по существу достигается тем, что пользователь B отправляет подписанное сообщение пользователю A. Ниже приведен пример обмена.
От: Пользователь A
Кому: Пользователь Б
Привет! Я хочу отправить вам этот документ в зашифрованном виде. Это первый раз, когда я отправил вам что-то зашифрованное, так что вы можете ответить подписанным сообщением? Я подписал это сообщение, поэтому ваши ответы также зашифрованы.
От: Пользователь Б
Кому: Пользователь А
Привет! Я подписал это сообщение, и теперь у вас должен быть мой открытый ключ.
От: Пользователь A
Кому: Пользователь Б
Большой! Вот документ, который был зашифрован моим личным ключом.
Теперь, когда ключи обменены, нет необходимости в этом обмене снова. Ключи хранятся в "связке ключей" компьютера и сохраняются. Рекомендуется сделать резервную копию цепочки для ключей, если это важно, но это не обязательно. Вам не нужно сначала обмениваться ключами для каждого пользователя. Вы всегда можете попросить их сделать это, когда им нужно отправить зашифрованный материал.
Это основы для отправки зашифрованных писем с помощью S/MIME. Это немного сложно, но не слишком. Сложнее всего просто установить сертификаты на каждом отдельном почтовом клиенте.
РЕДАКТИРОВАТЬ: Вы должны получить сертификаты SSL для вашего сайта, а не только вашу электронную почту. Вы можете использовать Let's Encrypt бесплатно, действительные сертификаты SSL, если у вас есть root-доступ к серверу. Существуют также реализации Let's Encrypt, для которых не требуется root-доступ, но я не могу лично за них поручиться. Некоторые провайдеры виртуального хостинга также поддерживают Let's Encrypt, поэтому спросите их об этом.