|
|
 |
 |
|
 Messaging Server - Arbeitsweise
| Messaging Server - Komponenten
|
Messaging Server - Zustellung und Mailclients |
| |
|
|
Grundsätzliche Funktionsweise |
Entrust Entelligence Messaging Server erlaubt unterschiedliche Modelle E-Mail Verschlüsselung und flexible Möglichkeiten der Zustellung um die Anforderungen von internen und externen Benutzern zu erfüllen. Auf der Messaging Server Appliance läuft eine E-Mail Verschlüsselungs und Entschlüsselungs Anwendung. Diese Anwendung verschlüsselt die E-Mailnachrichten serverseitig bevor sie zum Empfänger weitergesendet wird. Das unterscheided EMS von anderen E-Mailverschlüsselungslösungen, bei denen die Verschlüsselung komplett clientseitig abläuft.
In einem Ende-zu-Ende Verschlüsselungsszenario mit EMS sendet der Absender seine E-Mail wie gewohnt an den Empfänger, allerdings wird die Nachricht erstmal für den Messaging Server verschlüsselt. Dort wird sie umgeschlüsselt für den Empfänger nach dessen konfigurierten Methode. Der Absender muss keine Verschlüsselungsschlüssel mit dem Empfänger austauschen, bzw. dessen bevorzugte Methode kennen um ihm ein abgesichertes E-Mail zu senden. Content Scan und andere Compliance-Maßnahmen können am kurzzeitig unverschlüsselten Mail am Server durchgeführt werden.
Der EMS kann die abgesicherten Nachrichten auf verschiedenen Art und Weise den Empfängern zustellen, abhängig von den Fähigkeiten der Kommunikationsumgebung des Empfängers. Wenn der Empfänger sich in einer Organisation befindet, die ebenfalls einen Messaging Server betreibt, so kann die E-Mail für das Gateway des Empfängers verschlüsselt werden. Wenn der Empfänger ein X.509 Zertifikate für S/MIME oder ein OpenPGP Zertifikate besitzt, so kann das E-Mail mit diesem gesichert werden, wobei vorher natürlich einmal ein "Harvesting" stattgefunden haben muss. Wenn der Empfänger überhaupt keine Möglichkeit zum Empfang verschlüsselter Nachrichten besitzt, dann kann die abgesicherte Information über einen Web-Mail Zugriff zugestellt werden.
|
|
|
Web-basiertes abgesichertes E-Mail |
Der Entrust Entelligence Messaging Server bietet auch SSL-gesichertes web-basierte E-Mailzustellung an, so werden auch jene E-Mailempfänger erreicht und mit abgesichertem E-Mail versorgt, die keine S/MIME oder OpenPGP Möglichkeit haben oder nicht verwenden wollen. Dieses Lösungsmerkmal erlaubt es Empfängern, verschlüsselte E-Mails über den Web-browser zu erhalten und auch zu antworten. Man kann hierbei aus zwei Modellen der Zustellung wählen: WebMail Pull und WebMail Push.
Bei WebMail Pull erhalten die Empfänger eine Benachrichtigung, dass eine verschlüsselte E-Mail für sie bereitliegt, die Sie durch Anklicken der mitgesendeten URL aufrufen können. Bei WebMail Push wird der gesamte Inhalt des E-Mails in verschlüsselter Form an den Empfänger gesendet, dieser kann das E-Mail nur mit einem Code entschlüsseln, den er durch eine erfolgreiche Authentikation an EMS erhält.
|
Push & Pull: Technologien für sichere Zustellung |
Eine der Hauptvorteile von Entrust’s Perimeter E-Mail Lösung ist, dass zusätzlich zum Industriestandard S/MIME auch mit Partnern, die keine S/MIME oder OpenPGP Möglichkeit haben, gesichert kommuniziert werden kann. Entrust Entelligence Messaging Server verwendet dazu Push oder Pull Technologie. Unter verwendung eines Web-browsers und eines normalen E-Mail-accounts können externe Empfänger gesichert (und authentisiert!) mit interen Benutzern Informationen austauschen. Features und Nutzen einer Web-basierten Zustellund sind folgende :
• vereinfacht sichere kommunikation mit Partnern ohne herkömmliche Verschlüsselungsmöglichkeit
• keine Notwendigkeit weiterer Software beim Client (Empfänger) - normaler Browser und Mailbox genügt.
• Web-mail bietet umfangreiche E-Mail Functionalität: Lesen, Anworten, Zusammenstellen, Löschen, Senden und Empfangen von Attachments, Verwaltung von persönlichen Ordneren.
• ermöglicht eine volle self-service account Verwaltung (Registrierung, Anmeldung, Passwort-reset und Systemeinstellungen )
• bietet eine Web-basierte Administration mit Unterstützung zur eigenständigen Verwaltung durch den Benutzer.
|
Senden von verschlüsselten Nachrichten via EMS |
Wenn Entrust Entelligence Messaging Server für den Mailversand verwendet wird, gibt es mehrere Möglichkeiten wie eine sichere E-Mail gesendet wird. Der Server kann dahingehend konfiguriert werden, dass Nachrichten, basierend auf bestimmten Kriterien, automatisch verschlüsselt werden, oder individuell für jeden Benutzer. Folgende Optionen sind möglich:
• Automatiische (autonome) Verschlüsselung einer Nachricht, wenn sie z.b. von einem bestimmten Individuum oder Abteilung stammt, wenn sie zu einem bestimmten Partner oder bestimmte Domain geht. ein bestimmtes Wort im Betreff stehen hat, oder wenn es bestimmte andere identiifzierte Merkmale der Nachricht gibt, wie z.B. Attachments
• Click-to-Encrypt: on-demand Verschlüsselung von bestimmten Nachrichten basierend auf ein ‘click-to-encrypt’ Ansatz, indem E-Mails durch ein Entrust Entelligence Boundary Encryption Plug-in für Microsoft Outlook oder Notes gekennzeichnet werden.
EMS übernimmt dabei die Verwaltung der Zertifikate und Verschlüsselung ist von Nachrichten ist somit möglich, ohne dass auf andere Services wie Scanning verzichtet werden muss.
MS Outlook und andere Mail Clients mit dem Entrust Messaging Server
Entrust Entelligence Messaging Server arbeitet mit dem Entrust Entelligence Security Provider für Outlook zusammen um mit Microsoft Outlook eine Ende-zu-Ende Verschlüsselung über EMS zu ermöglichen. Unter Verwendung des E-Mail-Plug-Ins wird sendet der Absender eine verschlüsselte und signierte E-Mail an einen oder meherere Empfänger. Das E-Mail wird hierbei für den EMS verschlüsselt und an diesen gesendet. EMS fächert die Verteilerliste auf und bestimmt für jeden Empfänger Zustellmethode und Schlüssel und verschlüsselt für diesen Empfänger neu. Wenn noch keine sichere Methode für einen Empfänger bestimmt ist, wird diese in eine Warteschlange gereiht, bis eine sichere Verbindung etabliert ist (z.b. über 'harvesting'). Wenn man das Boundary Encryption Plug-in für Outlook verwendet, so kann man E-Mails zur Verschlüsselung durch kennzeichnen - hier findet aber keine Ende-zu-Ende Verschlüsselung statt.
Wenn man Lotus Notes anstatt Outlook verwendet so gibt es hiefür ebenso ein Boundary Encryption Plug-in (BEP) ähnlich dem für Outlook um für EMS die E-Mails zu kennzeichnen. Wenn sie eine RIM Blackberry Lösung einsetzen, dann gibt es ein EMS plug-in für den Blackberry welches von RIM entwickelt und vertrieben wird. Somit ist auch mit RIM eine Ende-zu-Ende Verschlüsselung möglich.
Performante E-Mail-Verschlüsselung
In vielen E-Mail-Verschlüsselungssystemen erfolgt die Verschlüsselung der Nachricht clientseitig. Der Prozess der Schlüsselsuche für jeden Empfänger kann für eine große Verteilerliste ein zeitaufweindiger werden. Bei Verwendung von EMS wird auf der Clientseite nur bei der Ende-zu-Ende Verschlüsselung, genau einmal verschlüsselt, den Rest erledigt EMS.
|
|
|
E-Mail Verschlüsselung für Offline User |
Offline Benutzer, die keinen Zugriff auf ein Directory haben, haben damit üblicherweise auch keinen Zugriff auf die öffentlichen Schlüssel eines Kommunikationspartners, Typischerweise muss ein solcher Benutzer die Zertifikate manuell anfordern und in seinem Adressbuch speichern. Bei Verwendung des EMS entfällt diese Aufgabe, den EMS übernimmt diese, das einzige Zertifikat das vorhanden sein muss, ist das des Messaging Servers.
|
Perimeter E-Mail-Sicherheit: Richtlinien gesteuert |
Wenn Sie Ihre E-Mail-Kommunikation mit Ihren Kunden und Partnern absichern wollen, so sind die "Boundary" Features interessant. Damit werden Nachrichten, die über die Unternehmensgrenzen ("Boundary") überschreiten im Rahmen der Perimetersicherheit weiter geschützt. Die Entscheidung über eine Verschlüsselung kann richtliniengesteuert erfolgen oder durch eine eigene Content Control Lösung wie z.b. Vericept Protect. So können Richtlinien bspw. festlegen dass Nachrichten mit bestimmen Schlüsselwörter, bestimmten Adressen oder für bestimmte Domänen verschlüsselt werden müssen. Fortgeschrittene Verschlüsselungsrichtlinien sind dann mit einer Content Control Lösung möglich, da EMS für die Zusammenarbeit mit ebensolcher designed wurde. Diese kann E-Mailinhalt und Attachments in größerer Tiefe analysieren und sensitive Dokumente, Corporate Intellectual Property, oder ander klassifizierte, geschützte Information identifizieren.
|
Nachrichten in der Warteschlange |
Mittels Warteschlangen kann EMS die Zustellung von E-Mails verzögern, bis der Empfänger ein Zertifikat oder eine andere sichere Zustellmethode spezifiziert hat. Die Messaging Server Administratoren können diese Funktion konfigurieren, überwachen und ev. auch Nachrichten daraus löschen.
EMS Administratoren sind auch in der Lage, E-Mail Nachrichten innerhalb eines Messaging Server Cluster nachzuverfolgen und um Probleme mit unzustellbarer E-Mail zu analysieren. Entrust Entelligence Messaging Server bietet umfangreiche Suchfunktionen, soch kann man nach E-Mailadressen von Sender und Empfänger, oder eine Zeitraum suchen, um nur die wichtigsten zu nennen. Über das Administration Interface, kann ersehen werden
• welche Knoten im Cluster erfolgreich oder nicht erfolgreich kontaktiert wurden
• die Richtung der Nachrichten (Eingang oder Ausgang)
• Sender, Empfänger und Status der Nachricht
• Datum, Zeit
• und der Knoten wo ein Ereignis stattfand
Die Administratoren können noch genauer in eine spezifische Nachricht analysieren um noch genauer Informationen zu erhalten und das Problem zu lokalisieren.
|
|
|
|
|
|
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
Impressum