Email Encryption

TL; DR - Usa SMIME o PGP se sei paranoico di tutto.

Ulteriori informazioni:

Per rispondere alla tua domanda riassuntiva: come si protegge l'e-mail? In pratica, le email sono soggette ad attacchi da spoofing DNS , intercettazione WIFI e amministratori di rete non attendibili, solo per citarne alcuni.

Per mitigarlo è necessario considerare i diversi aspetti che necessitano di sicurezza. È probabile che la maggior parte delle aziende manchi di sicurezza in almeno una delle seguenti aree, quindi tutto ciò che invii potrebbe essere visualizzato in testo chiaro e visibile da una persona diversa dal destinatario previsto.

Sotto ogni aspetto della sicurezza ho elencato i prodotti rilevanti raggruppati in base a come sono implementati tecnicamente. Porsi queste domande in base al contenuto che stai inviando via email:

Verifica mittente del messaggio

Il destinatario ha bisogno di dimostrare che sei stato tu a inviare il messaggio?

• SenderID / SPF Records (verifica debole)
• Tasti di dominio / DKIM (la forza dipende dall'implementazione)
• DMARC (strong convalida del display da parte dell'utente ... ibrido di SenderID e DomainKeys)
• PGP o s / MIME (potrebbe causare problemi di conformità se è richiesto journaling o è richiesto un controllo dei messaggi)
• Prodotti basati su portale (Voltage, Proofpoint, Zixmail)
• Microsoft RMS server + Outlook

Trasporto messaggi

Devo impedire la lettura o la modifica non autorizzata di MTA e MTA del mittente dell'e-mail?

• TLS applicato, con convalida del certificato. I certificati non convalidati sono soggetti agli attacchi MITM .
• TLS basato su Zix è una rete TLS privata che non richiede la configurazione manuale
• PGP o s / MIME (potrebbe causare problemi di conformità se è richiesto journaling o è richiesto un controllo dei messaggi)
• Prodotti basati su portale (Voltage, Proofpoint, Zixmail)
• Microsoft RMS server + Outlook

Lettura del messaggio

Devo assicurarmi che solo il destinatario previsto sia in grado di leggere il contenuto del messaggio?

• PGP o s / MIME (potrebbe causare problemi di conformità se è richiesto journaling o è richiesto un controllo dei messaggi)
• Prodotti basati su portale (Voltage, Proofpoint, Zixmail)
• Microsoft RMS server

L'endpoint del client deve essere sicuro? (vale se sopra 3 prodotti non vengono utilizzati)

• L'amministratore di rete di destinazione consegna la posta utilizzando un trasporto sicuro (MAPI crittografato, POP3 su TLS, ecc.)
• Il dispositivo di destinazione è sicuro. Questo vale per le workstation e i dispositivi mobili .
• Microsoft UAG aggiunge funzionalità a OWA dove viene controllato l'endpoint e verrà eliminato allegati rimanenti in %temp% e limitano o negano l'accesso alle funzionalità secondo la politica
• Un'alternativa a UAG è block attachments dal raggiungere il cliente (come Henri ha menzionato prima)

Innanzitutto, contento che tu non abbia suggerito di progettare il tuo; in questo modo giacciono anni di insicurezza e supportano gli incubi. PGP supporta un PKI con i certificati X509 [1], anche se poche persone lo usano in questo modo. Un'altra opzione è S / MIME, con certificati emessi da una nota CA [2]. In entrambi i casi, si ottiene la gestione centralizzata della gerarchia della fiducia e si può saltare il mal di testa associato a WOT.

1: Vedi link
  2: link

Non so se stai cercando una soluzione "roll your own" o se la tua azienda è disposta a investire in un prodotto commerciale.

Se sei interessato a un prodotto commerciale, Voltage Security ha "Voltage SecureMail" link che soddisferà le esigenze hai descritto.