Die Einrichtung der Email Encryption auf der UTM ist sehr schnell erledigt. Ich beschränke mich in diesem Howto auf die Verwendung von S/MIME Zertifikaten. Ziel ist es, E-Mails von der UTM signieren, verschlüsseln, verifizieren und entschlüsseln zu lassen.
Vorwort
Beim Einsatz der Email Encryption muss das S/MIME Zertifikat nicht wie üblich von Euch am PC und am Mobiltelfon installiert werden. Außerdem kann bei Verwendung von Archivierungslösungen und Signatursoftware wie z.B. Mailstore oder Code2 auf den Import der Zertifikate verzichtet werden.
Wenn man es ganz genau nimmt, bricht man also die Ende-zu-Ende-Verschlüsselung auf. Die UTM nimmt die Entschlüsselung einer E-Mail vor, bevor sie zum Mailserver zugestellt wird. Genauso ist es mit ausgehenden E-Mails. Diese werden erst auf der UTM verschlüsselt und dann an den Empfänger übertragen.
Einrichtung
Voraussetzung für die Email Encryption ist, dass Euer interner Mailserver E-Mails über die UTM versendet. Wie das eingerichtet wird, findet Ihr in dieser Anleitung: Email Protection für Sophos UTM einrichten.
Zunächst aktiviert Ihr die Email Encryption über den Schieber unter Email Protection -> Email Encryption -> Allgemein.
Nach Eingabe der Zertifizierungsinstanzdaten wird eine CA erstellt. Da hiervon abgeleitete Zertifikate nicht öffentlich vertrauenswürdig sind, rate ich von der Nutzung ab. Ihr könnt Euch Zertifikate besser von einer öffentlichen CA besorgen.
Weiter geht es mit den Standardrichtlinien, die Ihr unter Email Protection -> Email Encryption -> Optionen einstellt.
Ich persönlich lasse eingehende E-Mails nicht von der UTM verifizieren. Das überlasse ich meinem Mailclient. Dann sehe ich anhand der Signatur einer E-Mail, mit wem ich verschlüsselt kommunizieren kann. Wer das nicht möchte, setzt einfach alle Haken.
Bei Automatisches Auslesen der S/MIME-Zertifikate aktivieren sollte der Haken rein, wie beschrieben.
Falls Ihr also Zertifikate von einer öffentlichen CA beantragt und erhalten habt, richtet Ihr die internen Benutzer ein, wie im Schaubild zu sehen.
Bei dem Kennwort handelt es sich um das Exportkennwort der Zertifikatsdatei im Format *.p12.
Nachdem Ihr den Benutzer gespeichert habt, wäre die Konfiguration der Email Encryption schon abgeschlossen.
Da ich persönlich kein PGP benutzen möchte, deaktiviere ich dies im Profil.
Solltet Ihr dann eine verschlüsselte E-Mail erhalten, wird sie von der UTM entschlüsselt und an Euren Mailserver weitergeleitet. Der Betreff der E-Mail wird mit (S/MIME: Encrypted) ergänzt, sodass der Nutzer informiert wird, dass der Absender verschlüsselt gesendet hat.
Falls Ihr feststellen solltet, dass Eure signierten E-Mails beim Empfänger nicht vertrauenswürdig eingestuft werden: Sophos UTM Firmware 9.508-10 S/MIME Problem, Lösung verfügbar.
Fazit
Man merkt sehr deutlich, dass die Email Encryption auf der UTM noch nicht ganz ausgereift ist. Für Unternehmen, die nur sehr wenige Postfächer mit S/MIME Zertifikaten ausstatten, ist die Konfiguration der internen Benutzer noch überschaubar und konfigurierbar.
Ich hoffe, dass Sophos die Email Encryption weiter ausbauen wird. Zumindest ist das in Planung. Solltet Ihr weitere Fragen haben, hinterlasst einen Kommentar!
Hi Thorsten,
kennst Du noch eine Zertifizierungsstelle, die kostenlose Zertifikate anbietet?
Moin! Bei InstantSSL von Sectigo gibt es noch kostenlose Trial-Zertifiakte für 1 Jahr: InstantSSL. Die werden das Angebot aber vermutlich in einem Jahr einstellen. Wann genau weiß ich nicht, deswegen solltest Du schnell sein.
Sectigo bietet keine kostenlosen Zertifikate mehr an. Alternativ den Tipp von Frankysweb https://www.frankysweb.de/tipp-kostenloses-s-mime-zertifikat-neu/
Nee, die Aussage stimmt so leider nicht. Das Angebot für kostenlose S/MIME-Zertifikate für 1 Jahr ist noch aktiv. Ich weiß das, weil ich bei unserem Reseller nachgefragt habe. Sectigo wird das aber lt. Aussage des Mitarbeiters vermutlich in einem Jahr nicht mehr anbieten.
Wie in dem Artikel von Frankysweb auch beschrieben ist, halte ich es für sehr fragwürdig, dass der Anbieter Acatlis den privaten Schlüssel eines Zertifikates auf seinen Servern speichert. Dann doch lieber 31$ für ein 3-Jahreszertifikat ausgeben…
Tja, jetzt ist bei instantssl auch Schluss mit Jahreszertifikaten. Was erzählt mir der Support denn da?!?!
Danke fürs howto.
Hi Thorsten,
Vielen Dank für das tolle HowTo. Leider nutzt die PKI-basierte Verschlüsselung ja nur was wenn der Empfänger auch mitspielt. Weißt du ob die Sophos UTM auch eine Funktion bietet die erkennt, ob der Empfänger über PKI verfügt und ggf. die Mail zumindest passwortverschlüsselt verschickt (z.B. als passwortgeschützte PDF)?
Hi Marcus,
vielen Dank für Deinen Kommentar. Ja, die eigene PKI ist ja leider nicht gegenüber anderen Organisationen vertrauenswürdig und nicht jede Organisation verwendet S/Mime. Ob es eine Funktion gibt, dass auf SPX ausgewichen wird, wenn kein Empfängerzertifikat vorliegt, weiß ich nicht. Tut mir leid. Stell die Fragen sonst einfach mal in der Community!