Mailkryptering

At stort set alt skriftlig kommunikation, som tidligere blev sendt med brev, i dag går via e-mail er ikke en stor nyhed. Men i de seneste år er fokus på sikkerheden blevet større. Og med god grund. Mange spørger sig selv, om det er sikkert at sende fortrolige oplysninger via e-mail. For det gør de fleste allerede. Svaret er, at det kan det sagtens være. Men er det ikke altid.

Udfordringen er, når mailen sendes over det åbne internet fra afsenderserver til modtagerserver. Det er som oftest dét, som er det ømme punkt, når man taler e-mail-sikkerhed. Hvis noget 'lytter med' på internetforbindelsen, kan en ukrypteret mail opsnappes og læses. Ligesom postbuddet kan læse et åbent postkort, før han afleverer det hos modtageren. Sikkerheden i forbindelsen mellem modtagerserveren og den endelige modtager af mailen dækker vi ikke udtømmende her, da det griber ind i sikkerheden på modtagerens interne netværk – og det er et helt andet emne.

Vi beskriver her, hvornår en e-mail er sikker, hvornår den ikke er, og hvad man selv kan gøre.

TLS 1.2
Bruger man Microsoft Office 365, er man godt på vej. Microsoft benytter som udgangspunkt krypteringen TLS i kommunikationen mellem afsenderserver og modtagerserver. Det er den del, Datatilsynet kalder transportlaget.

  • Fase 1: Mailen er sikret mellem afsenderens Outlook og afsenderserver med https
  • Fase 2 (det åbne internet): Mailen sendes mellem de to servere med TLS-kryptering
  • Fase 3: Når modtageren læser mailen med fx Outlook, er det som oftest sikret med https

TLS 1.2

Uden TLS 1.2
Udfordringen ved TLS-krypteringen er, at selvom den altid benyttes hvis muligt, kan det ikke garanteres. For hvad hvis modtagerens server ikke understøtter TLS? Så sendes e-mail i klar tekst, og er ikke krypteret.

  • Fase 1: Forbindelsen mellem afsenders Outlook og afsenderserver (Office 365) er krypteret med https
  • Fase 2: Hvis modtagerserveren ikke understøtter TLS, sendes der i klar tekst
  • Fase 3: Hvis modtageren fx benytter en gammeldags POP3-server, vil forbindelsen mellem server og modtagerens Outlook ofte heller ikke være krypteret

Uden TLS 1.2

Hvor ofte bruges TLS automatisk?
Vi har lavet en måling på tværs af vores kunder i en gennemsnitlig uge. Målingen viser, at ganske mange mails bliver krypteret med TLS unden brugeren selv skal gøre noget.

Udgående mail: Over 95%
Indgående mail: Over 80%

Hvordan bliver man helt sikker?
Udfordringen ved TLS er altså, at man ikke kan garantere, det bliver brugt, da man ikke kan være sikker på, at modtageren kan modtage mailen. Løsningen i Office 365 er Microsoft Information Rights Management (IRM). Med denne teknik kan man tvinge krypteringen igennem. Hvis der ikke kan krypteres, sendes mailen ikke. Man kan tilmed styre, om modtageren må videresende, besvare eller printe mailen. Hvis ikke modtageren understøtter Microsoft Information Rights Management, vil modtageren i stedet få tilsend et link til en sikker server, hvor man kan læse og eventuelt besvare mailen. På den måde forlader mailen aldrig afsenderserveren, medmindre man er sikker på, at den når krypteret frem.

  • Fase 1: Forbindelsen mellem afsenders Outlook og afsenderserveren er sikret med https
  • Fase 2: Ud over sikring med Microsoft Information Right Management sendes mailen kun, hvis begge parter understøtter kryptering mellem to servere
  • Fase 3: Modtageren læser mailen krypteret fra modtagerserveren

Dette scenarie er ofte understøttet af alle med enten Office 365, et andet moderne mailsystem eller egne Microsoft Exchange-servere. Det kræves, at modtageren benytter Outlook. Hvis mailen skal læses på telefonen, hvor de fleste benytter telefonens eget mailprogram, skal man hente den gratis Outlook App, der findes til både iOS, Android, Windows Phone m.fl.

Microsoft Rights Management

Hvis modtageren ikke understøtter Microsoft Information Rights Management
Til forskel fra TLS sendes mailen ikke i klar tekst, hvis modtageren ikke understøtter krypteringen. Der sendes i stedet en mail til modtageren med et link. Linket fører til en sikker server, hvorfra mailen kan læses. Modtageren skal logge ind med brugernavn og password fra enten Office 365, Microsoft LIVE ID eller Google ID, som passer til den mailadresse, mailen er sendt til. Således sikrer man sig, hvis linket bliver opsnappet.

  • Fase 1: Mailen krypteres mellem afsenders Outlook og afsenderserveren med https
  • Fase 2: Da modtageren ikke understøtter Microsoft Information Rights Management, sendes mailen ikke. Modtageren får besked om at logge på en sikker server og læse mailen derfra. Således sikrer man, at mailen ikke transporteres over det åbne internet i klar tekst

Ikke Microsoft Rights Management

Hvordan aktiverer jeg Microsoft Information Rights Management?
I første omgang skal jeres it-afdeling eller Vivant hjælpe med at aktivere det. Når det er på plads, aktiveres det på fanen 'Indstillinger'. Fra denne knap vælger man, om der 'kun' skal krypteres, eller man også ønsker at styre, om modtagere fx kan videresende eller printe mailen.

Outlook

Hvad så nu?
Selvom Microsofts løsning dækker langt de flestes behov – herunder de krav som Datatilsynet stiller til sikker mail – kan der være alternativer, som skal tages i betragtning. Microsoft Information Rights Management er ikke en decideret 'end-to-end-kryptering' som fx PGP, s/MIME og løsninger fra Nem ID. Men disse kan være vanskelige at bruge i praksis, da begge parter på forhånd skal håndtere krypteringsnøgler og i det hele taget være enige om, hvilken teknik der skal bruges. De fleste brugere løber sur i det. Dertil kan disse løsninger være svære at håndtere og supportere for it-afdelingerne. Microsoft TLS og Information Rights Management er det tætteste, man lige nu kommer på en standard, da langt de fleste virksomheder i dag bruger Microsofts e-mail-system eller systemer, som arbejder efter samme standard.

Microsoft Information Rights Management på Office 365 kræver licensen E3 eller E5. Business Premium eller Business Essentials dækker ikke.

Læs mere om Datatilsynets krav til sikker e-mail her ...

Er du IT administrator og/eller intereseret i det tekniske bag Information Rights Management, kan du se mere i denne video fra Microsoft Mechanics her ...