Die Einrichtung der Email Encryption auf der UTM ist sehr schnell erledigt. Ich beschränke mich in diesem Howto auf die Verwendung von S/MIME Zertifikaten. Ziel ist es, E-Mails von der UTM signieren, verschlüsseln, verifizieren und entschlüsseln zu lassen.
Vorwort
Beim Einsatz der Email Encryption muss das S/MIME Zertifikat nicht wie üblich von Euch am PC und am Mobiltelfon installiert werden. Außerdem kann bei Verwendung von Archivierungslösungen und Signatursoftware wie z.B. Mailstore oder Code2 auf den Import der Zertifikate verzichtet werden.
Wenn man es ganz genau nimmt, bricht man also die Ende-zu-Ende-Verschlüsselung auf. Die UTM nimmt die Entschlüsselung einer E-Mail vor, bevor sie zum Mailserver zugestellt wird. Genauso ist es mit ausgehenden E-Mails. Diese werden erst auf der UTM verschlüsselt und dann an den Empfänger übertragen.
Einrichtung
Voraussetzung für die Email Encryption ist, dass Euer interner Mailserver E-Mails über die UTM versendet. Wie das eingerichtet wird, findet Ihr in dieser Anleitung: Email Protection für Sophos UTM einrichten.
Zunächst aktiviert Ihr die Email Encryption über den Schieber unter Email Protection -> Email Encryption -> Allgemein.
Nach Eingabe der Zertifizierungsinstanzdaten wird eine CA erstellt. Da hiervon abgeleitete Zertifikate nicht öffentlich vertrauenswürdig sind, rate ich von der Nutzung ab. Ihr könnt Euch Zertifikate besser von einer öffentlichen CA besorgen.
Weiter geht es mit den Standardrichtlinien, die Ihr unter Email Protection -> Email Encryption -> Optionen einstellt.
Ich persönlich lasse eingehende E-Mails nicht von der UTM verifizieren. Das überlasse ich meinem Mailclient. Dann sehe ich anhand der Signatur einer E-Mail, mit wem ich verschlüsselt kommunizieren kann. Wer das nicht möchte, setzt einfach alle Haken.
Bei Automatisches Auslesen der S/MIME-Zertifikate aktivieren sollte der Haken rein, wie beschrieben.
Falls Ihr also Zertifikate von einer öffentlichen CA beantragt und erhalten habt, richtet Ihr die internen Benutzer ein, wie im Schaubild zu sehen.
Bei dem Kennwort handelt es sich um das Exportkennwort der Zertifikatsdatei im Format *.p12.
Nachdem Ihr den Benutzer gespeichert habt, wäre die Konfiguration der Email Encryption schon abgeschlossen.
Da ich persönlich kein PGP benutzen möchte, deaktiviere ich dies im Profil.
Solltet Ihr dann eine verschlüsselte E-Mail erhalten, wird sie von der UTM entschlüsselt und an Euren Mailserver weitergeleitet. Der Betreff der E-Mail wird mit (S/MIME: Encrypted) ergänzt, sodass der Nutzer informiert wird, dass der Absender verschlüsselt gesendet hat.
Falls Ihr feststellen solltet, dass Eure signierten E-Mails beim Empfänger nicht vertrauenswürdig eingestuft werden: Sophos UTM Firmware 9.508-10 S/MIME Problem, Lösung verfügbar.
Fazit
Man merkt sehr deutlich, dass die Email Encryption auf der UTM noch nicht ganz ausgereift ist. Für Unternehmen, die nur sehr wenige Postfächer mit S/MIME Zertifikaten ausstatten, ist die Konfiguration der internen Benutzer noch überschaubar und konfigurierbar.
Ich hoffe, dass Sophos die Email Encryption weiter ausbauen wird. Zumindest ist das in Planung. Solltet Ihr weitere Fragen haben, hinterlasst einen Kommentar!