Назад | Перейти на главную страницу

Действительно ли шифрование сообщений Office365 безопасно?

Я ищу реализацию Шифрование сообщений Office365 для нашей организации. У меня такой вопрос: действительно ли это более безопасно, чем обычная (незашифрованная) электронная почта? для сообщений, отправленных пользователям за пределами организации?

В соответствии с эта страница, внешние пользователи могут получить одноразовый пароль для просмотра зашифрованных сообщений. Однако этот одноразовый код доступа также отправлено по электронной почте, поэтому, предполагая атаку MITM, не мог ли злоумышленник просто перехватить одноразовый пароль и расшифровать сообщение?

Дайте мне знать, если я чего-то упускаю или это просто еще одна маркетинговая реклама от РС ...

Ваше беспокойство действительно заслуживает внимания. Тем не мение...

Электронное письмо с одноразовым паролем конкретно не идентифицирует сообщение, с которым оно отправляется. Так что одно только сообщение OTP ничего вам не говорит. При этом, если у человека есть только одно зашифрованное сообщение в почтовом ящике плюс соответствующее электронное письмо с одноразовым паролем, злоумышленник может сложить 2 и 2 вместе.

Кроме того, код действителен только 15 минут. Таким образом, окно уязвимости весьма ограничено. Злоумышленник должен будет активно перехватывать вашу электронную почту и отвечать на нее, а не просто пассивно сбрасывать пакеты для последующего анализа.

Если вас по-прежнему не устраивает безопасность, вы можете отключить одноразовый пароль через PowerShell:

Set-OMEConfiguration -OTPEnabled $ False

Это потребует от получателя использования учетной записи Microsft, которая настраивается независимо, но более сложна в использовании.

Это, безусловно, более безопасно, чем отправка простого текстового сообщения. Как только сообщение покидает ваши серверы, вы не можете быть уверены, что передача защищена с помощью TLS на протяжении всего пути (если вы не настроили прямое доверие и не принудительно использовали TLS между двумя конечными точками). Вы должны предполагать, что ваше сообщение открыто после того, как оно будет отправлено.

С помощью службы шифрования - Microsoft позволяет зашифровать сообщение и отправить получателю. Получатель может прочитать сообщение, открыв его через веб-портал или мобильное приложение. У них есть возможность войти в систему с совпадающим идентификатором Microsoft ID (он должен совпадать с адресом получателя) или использовать одноразовый код доступа, который создается и отправляется на адрес получателя.

Поскольку вы не являетесь владельцем и не можете диктовать условия, на которых получатель получит и откроет сообщение, вы должны ДОВЕРЯТЬ, что это человек, которому вы его отправляете. Если учетная запись получателя скомпрометирована, он сможет открыть сообщение. Это включает человека в средних сценариях, где средства доступа к сообщению (ссылка на портал и зашифрованное сообщение), а также получение ключа.

Вы можете попробовать добавить дополнительные функции, такие как TLS (но вы не можете этого гарантировать) для транспорта. Вы также можете быть уверены, что правильно настроены записи SPF, DKIM и DMARC (но они по-прежнему зависят от получателя, который их соблюдает), чтобы помочь.

Если вы хотите сквозное шифрование, вам нужно полагаться на S / MIME или что-то вроде PGP. Но даже с этими инструментами вы никогда не можете быть на 100% уверены в том, у кого есть закрытый ключ или был ли скомпрометирован получатель.

TL; DR; Если вы не можете или не доверяете человеку, которому предоставляете доступ к данным, никакие технические средства контроля не могут дать вам то, что вы ищете. Пользователи навсегда останутся самой большой дырой в безопасности.