Мой друг уже несколько лет руководит небольшим некоммерческим агентством, которое помогает беженцам (жилье, еда, медикаменты), перемещенным в результате войны.
В связи с текущими событиями она спросила меня, могут ли она и ее сотрудники защитить свою электронную почту?
Их веб-сайт размещен на GoDaddy. Есть ли какие-либо услуги, которые можно использовать для улучшения их электронной почты, добавив форму шифрования, которую может использовать нетехнический персонал?
Все методы, которые я могу придумать, были бы выше их технических навыков. Я ищу услугу, в которой есть компромисс между безопасностью и удобством для пользователя.
Шифрование электронной почты? Электронная почта небезопасна.
При этом для вашего клиента будет лучше, если вся информация будет получена на контролируемом сайте или портал. Подобно тому, как многие банки и кредитные компании отправляют вам электронные письма, они рекомендуют вам получать информацию через их веб-сайты. Пользователям потребуется создать учетную запись для получения информации, затем вы сможете отслеживать, кто и какую информацию получил через IP-адреса в время.
Вам также нужно будет защитить свой веб-сайт, хостинг с общедоступными / общими хостинг-провайдерами будет первым изменением, сразу за которым следует добавление SSL.
Я ожидал бы других ответов, таких как шифрование TLS (безопасность транспортного уровня) или шифрование сообщений электронной почты PGP и S / MIME, но все это сложно.
Третий вариант - использовать сторонний шлюз электронной почты, который требует от пользователей доступа к электронной почте через портал, наиболее популярным из которых является ZIX. Вам все равно потребуется обеспечить безопасность всей связи между вами и почтовым шлюзом ZIX (TLS1.2 является обычным явлением), но с этим связаны затраты, которые могут быть меньше, чем трудозатраты, необходимые для создания чего-либо.
Подмена электронной почты? Если вы хотите защитить свои источники электронной почты, с помощью godaddy вам нужно будет использовать сторонний ESP (поставщик услуг электронной почты), такой как mandrillapp или sendgrid, а затем реализовать SPF / DKIM / DMARC для Безопасный ваши источники электронной почты.
Как сказал Джейкоб, просто форма шифрования электронной почты на самом деле не существует. Однако вы определенно можете научить своих пользователей использовать S / MIME для шифрования своих электронных писем. Я считаю, что S / MIME проще, чем GPG, и поддерживается гораздо большим количеством клиентов.
Чтобы настроить S / MIME, вам сначала нужно, чтобы ваши пользователи получили сертификаты S / MIME. Comodo предлагает бесплатные сертификаты S / MIME которые довольно легко получить. Единственный недостаток в том, что вам нужно все ваши пользователи, чтобы получить сертификаты S / MIME. Если некоторые из них не получат сертификаты и не установят их, вы получите либо незашифрованные электронные письма (если они отправлены в незашифрованном виде), либо неоткрываемые электронные письма (если они получены в зашифрованном виде), ни то, ни другое не годится.
Установка сертификата S / MIME зависит от клиента, поэтому я рекомендую искать его для каждого клиента, который используют ваши пользователи. Это довольно просто для OS X Mail, но может быть немного сложнее на чем-то вроде iPhone. Вы мало что можете сделать, чтобы обойти процесс установки, но это больше проблема для вас, чем для ваших пользователей. Ваши пользователи не должны иметь доступ к корпоративной электронной почте на своих личных iPhone или устройствах, если электронные письма в любом случае являются конфиденциальными. Обратите внимание, что если установлены разные почтовые программы (OS X Mail и Outlook), сертификаты необходимо будет установить для каждого клиента, которому вы хотите отправлять и получать зашифрованные электронные письма.
Теперь, когда сертификаты установлены на всех клиентских машинах, начинается самое интересное. Поскольку S / MIME полагается на технологию открытого / закрытого ключа (такую же, как GPG), необходимо произвести обмен открытым ключом. Когда отправитель (Пользователь A) впервые хочет отправить зашифрованное сообщение, ему необходимо получить открытый ключ получателя (Пользователь B). Теперь это достигается тем, что пользователь B отправляет подписанное сообщение пользователю A. Пример обмена приведен ниже.
От: Пользователь А
Кому: Пользователь B
Привет! Я хочу отправить вам этот документ в зашифрованном виде. Я впервые отправил вам что-то зашифрованное, можете ли вы ответить подписанным сообщением? Я подписал это сообщение, поэтому ваши ответы также будут зашифрованы.
От: Пользователь Б
Кому: пользователю A
Привет! Я подписал это сообщение, и теперь у вас должен быть мой открытый ключ.
От: Пользователь А
Кому: Пользователь B
Большой! Вот документ, зашифрованный моим секретным ключом.
Теперь, когда ключи обменены, в этом обмене снова нет необходимости. Ключи хранятся в «связке ключей» компьютера и сохраняются. Если это важно, рекомендуется создать резервную копию связки ключей, но это не обязательно. Вам не нужно сначала обменивать ключи для каждого пользователя. Вы всегда можете попросить их сделать это, когда им нужно будет отправить зашифрованный материал.
Это основы отправки зашифрованных писем с помощью S / MIME. Это немного сложно, но не слишком. Самое сложное - это просто установить сертификаты на каждый отдельный почтовый клиент.
РЕДАКТИРОВАТЬ: Вы должны получить сертификаты SSL для своего веб-сайта, а не только для своей электронной почты. Ты можешь использовать Давайте зашифровать бесплатно, действующие сертификаты SSL, если у вас есть root-доступ к серверу. Существуют также реализации Let's Encrypt, не требующие root-доступа, но я лично не могу за них поручиться. Некоторые провайдеры виртуального хостинга также поддерживают Let's Encrypt, поэтому спросите их об этом.