Versleutelde mail van deur tot deur?

Onder andere met het oog op de AVG (wie kent hem niet?), wordt het versleutelen van de communicatie van en naar een server steeds belangrijker.

De bekendste manier is het versleutelen van de verbinding tussen een webbrowser en een website, oftewel HTTP over SSL. Het welbekende ‘groene slotje’ in de adresbalk van je browser. Dit is iets waar de meeste mensen wel van op de hoogte zijn en het is een algemeen ingeburgerde vorm van veiligheid.

Wat echter ook steeds meer aandacht krijgt, is het beveiligen van de verbinding tussen je e-mailprogramma en de e-mailserver. Hier kan het al snel wat complexer worden. Er worden bij het ontvangen en versturen van e-mail meerdere protocollen gebruikt en ieder van die heeft zijn eigen beveiligde versie.

Daarnaast kun je beveiligde mail op meerdere manier implementeren op een server. Deze manieren worden hieronder verder uitgelegd.

Een certificaat voor allemaal

Vanuit een technisch oogpunt is de gemakkelijkste optie om op de mailservices slechts één certificaat aan te bieden. Dan kan iedereen beveiligd e-mailen zolang ze een server/hostnaam gebruiken die in dat ene certificaat staat. Dit is de situatie die wij hebben gekozen voor ons shared hosting platform. Hierdoor kan iedereen met of zonder een certificaat voor de website beveiligd e-mailen, zo lang er maar gekozen wordt voor srvxxx.flexwebhosting.nl als inkomende en uitgaande mailserver.

Mail_SNI

Een tweede manier van het aanbieden van beveiligde e-mail is het gebruik van mail_SNI. Wellicht ken je de term SNI uit het aanbieden van certificaten op webservers. SNI is een techniek die het mogelijk maakt om op 1 IP-adres meerdere certificaten aan te bieden op basis van de naam die gebruikt wordt om de server te bereiken. Zonder SNI heb je 1 IP-adres nodig per certificaat en dat zou wel heel erg snel in de financiële papieren gaan lopen.

Met mail_SNI wordt er door de server gekeken welke domeinen correcte certificaten hebben en deze worden aan een lijstje toegevoegd. Wanneer er dan een e-mail verbinding naar de mailserver wordt gelegd, kijkt de server of de naam die is gebruikt om te verbinden, bekend is in het SNI-lijstje. Wanneer dat het geval is, biedt de server het certificaat met die naam aan en is het e-mailprogramma tevreden. Komt de domeinnaam niet in het lijstje voor? Dan biedt de server het standaard server-certificaat aan en zal het e-mailprogramma een melding geven over een ‘commonName mismatch’, oftewel een naam die niet klopt.

De derde optie

Je kan bovenstaande opties natuurlijk ook samen gebruiken. Dan kan iedereen met zijn eigen certificaat via een eigen domeinnaam een beveiligde verbinding aanbieden, terwijl je alle anderen laat verbinden met het algemene certificaat en dus een servernaam moeten gebruiken die je zelf aandraagt. Voor de eigen domeinnamen is dan wel een wildcard-certificaat nodig óf een certificaat specifiek uitgegeven op mail.domeinnaam.nl.

E-mail en versleuteling

Er zijn meerdere soorten versleuteling als het om e-mail gaat. Tot nu toe hebben we het alleen gehad over het beveiligen van de verbinding van het mailprogramma naar de server toe. Maar dat is niet alles. Want hoe controleer je de verbinding aan de andere kant? Als jij je mail beveiligd verstuurt, hoe zit het dan met de ontvanger?

Er zijn een paar technieken voor end-to-end encryptie van berichten. Deze hebben echter niets met de server te maken en alles met instellingen in het e-mailprogramma. De twee meest voorkomende methodes zijn PGP en S/MIME.

PGP/GnuPG

PGP en de open-source variant GnuPG is een software pakket dat bestanden op een erg sterke manier kan versleutelen. Dat gaat zo. Zodra je PGP activeert binnen je e-mailprogramma, maak je een privé en een publieke sleutel aan. De privé sleutel wordt gebruikt om berichten die naar je toe worden gestuurd te ontcijferen. Je eigen publieke sleutel moet je echter zelf delen met je ontvangers en die moeten de sleutel vaak handmatig vertrouwen. Daarna kan deze gebruikt worden om berichten te versleutelen op een manier dat alleen de correcte privé sleutel dit kan ontcijferen.

S/MIME

S/MIME lijkt in een aantal opzichten op pgp/GnuPG. Beide werken met een publieke en private sleutel. Echter, waar je bij PGP/GnuPG de basis van vertrouwen bij jezelf legt, ligt deze bij S/MIME bij een certificatie autoriteit. Deze geven S/MIME certificaten uit na een controle dat je daar ook daadwerkelijk recht op hebt (net zoals bij gewone SSL-certificaten) en de echtheid van de certificaten is dan ook te controleren via deze instantie. Je kan de publieke sleutel handmatig doorgeven maar je kan er ook voor kiezen om alle bericht te ondertekenen met je publieke sleutel zodat iedereen je versleutelde berichten kan sturen.

Nadelen bij end-to-end encryptie

Naast het feit dat je deze end-to-end encryptie zelf in je e-mailprogramma dient in te stellen, ben je ook afhankelijk van de ontvangende partij.

Wanneer zij jou geen publieke sleutel geven, niet dezelfde methode gebruiken of zelfs geen end-to-end encryptie ondersteunen, kan je versleutelen wat je wilt maar heb je er geen voordeel van. Je kunt er dan simpelweg geen gebruik van maken. Daarnaast, mocht je om een of andere reden je eigen privé sleutel kwijtraken dan kun je versleutelde mails die naar jou gestuurd zijn niet meer inzien.

S/MIME wordt dan ook vaak gebruikt binnen grote organisaties, waar een centrale IT-afdeling bepaalt hoe iedereen de mailservers gebruikt.

Conclusie

Het versleuteld ontvangen en versturen van e-mail hoeft tegenwoordig geen lastig probleem meer te zijn. De stand van de techniek is dusdanig verbeterd de afgelopen jaren dat het ook geen hoge kosten meer met zich meebrengt.

Ook gebruik maken van Mail_SNI op een VPS of dedicated server? Voor managed servers is een installatie hiervan kosteloos. Voor unmanaged systemen bedragen de kosten €37,50 ex btw. Neem contact op met onze technische dienst voor de mogelijkheden.