Mailkryptering

At stort set alt skriftlig kommunikation, som tidligere blev sendt med brev, i dag går via e-mail er ikke en stor nyhed. Men i de seneste år er fokus på sikkerheden blevet større. Og med god grund. Mange er i tvivl, om det er sikkert at sende fortrolige oplysninger via e-mail. Svaret er, at det kan det sagtens være. Men er det ikke altid.

Udfordringen opstår, når mailen sendes over det åbne internet fra afsenderserver til modtagerserver. Det er som oftest dét, som er det ømmeste punkt, når man taler e-mail-sikkerhed. Hvis noget ‘lytter med’ på internetforbindelsen, kan en u-krypteret mail opsnappes og læses. Ligesom postbuddet kan læse et åbent postkort, før det afleveres hos modtageren.

TLS 1.2
Bruger man Microsoft Office 365, er man godt på vej. Microsoft benytter som udgangspunkt krypteringen TLS 1.2 i kommunikationen mellem afsenderserver og modtagerserver. Det er den del, fx Datatilsynet kalder transportlaget i deres vejledning til sikker mail.

• Fase 1: Mailen er sikret mellem afsenderens Outlook og afsenderserver med https
• Fase 2 (det åbne internet): Mailen sendes mellem de to servere med TLS-kryptering
• Fase 3: Når modtageren læser mailen med fx Outlook, er det som oftest sikret med https

Uden TLS 1.2
Udfordringen ved de fleste mailserveres opsætning af TLS-krypteringen er, at selvom den altid benyttes hvis muligt, kan det ikke garanteres. For hvad hvis modtagerens server ikke understøtter TLS? Så sendes e-mail i klar tekst, og er ikke krypteret.

• Fase 1: Forbindelsen mellem afsenders Outlook og afsenderserver (Office 365) er krypteret med https
• Fase 2: Hvis modtagerserveren ikke understøtter TLS 1.2, sendes der i klar tekst
• Fase 3: Hvis modtageren fx benytter en gammeldags POP3-server, vil forbindelsen mellem server og modtagerens Outlook ofte heller ikke være krypteret

Hvor ofte bruges TLS automatisk?
Vi har lavet en måling på tværs af vores kunder i en gennemsnitlig uge. Målingen viser, at ganske mange mails bliver krypteret med TLS uden brugeren selv skal gøre noget.

Udgående mail: Over 95%
Indgående mail: Over 80%

Ønsker man at sikre sig, at TLS altid bruges i mailtransporten til bestemte domæner, kan dette sættes op. Det kunne fx være til virksomheden bank og revisor eller andre samarbejdspartner hvor man ønsker sikkerhed i mailtransporten.

Man kan ganske enkelt også vælge kun at sende og modtage med TLS. Alle andre mails blive afvist. Det kaldes MTLS eller FTLS (Mandatory TLS / Forced TLS). Mange af vores kunder har valgt denne løsning. Så er man altid sikker.

Hvordan kan man sikre sin mail yderligere?
Som supplement til en opsætning af tvungen TLS, kan løsningen i Office 365 være Azure Information Protection, AIP (tidligere kaldt Microsoft Information Rights Management, IRM). Med denne teknik kan man tvinge en endnu mere avanceret sikring igennem. Fx kan man styre, om modtageren må videresende, besvare eller printe mailen. Hvis ikke modtageren understøtter AIP, vil modtageren i stedet få tilsend et link til en sikker server, hvor man kan læse og eventuelt besvare mailen. På den måde forlader mailen aldrig afsenderserveren, medmindre man er sikker på, at den når sikkert frem frem med de regler om beskyttelse man som afsender har angivet.

• Fase 1: Forbindelsen mellem afsenders Outlook og afsenderserveren er sikret med https
• Fase 2: Ud over sikring med AIP sendes mailen kun, hvis begge parter understøtter kryptering mellem to servere
• Fase 3: Modtageren læser mailen krypteret fra modtagerserveren

Dette scenarie er ofte understøttet af alle med enten Office 365, et andet moderne mailsystem eller egne Microsoft Exchange-servere. Det kræves, at modtageren benytter Outlook. Hvis mailen skal læses på telefonen, hvor de fleste benytter telefonens eget mail program, skal man hente den gratis Outlook App, der findes til både iOS, Android, Windows Phone m.fl.

Hvis modtageren ikke understøtter AIP
Hvis modtageren ikke understøtter AIP, sendes i stedet en mail til modtageren med et link. Linket fører til en sikker server, hvorfra mailen kan læses. Modtageren skal logge ind med brugernavn og password fra enten Office 365, Microsoft LIVE ID eller Google ID, som passer til den mailadresse, mailen er sendt til. Således sikrer man sig, hvis linket bliver opsnappet.

• Fase 1: Mailen krypteres mellem afsenders Outlook og afsenderserveren med https
• Fase 2: Da modtageren ikke understøtter AIP, sendes mailen ikke. Modtageren får besked om at logge på en sikker server og læse mailen derfra. Således sikrer man, at mailen ikke transporteres over det åbne internet i klar tekst

Hvordan aktiverer jeg AIP?
I første omgang skal jeres it-afdeling eller Vivant hjælpe med at aktivere AIP og måske justere det til jeres behov. Når det er på plads, aktiveres det på fanen ‘Options’ og knappen “Encrypt”. Fra denne knap vælger man, om der ‘kun’ skal krypteres, eller man også ønsker at styre, om modtagere fx kan videresende eller printe mailen.

Hvad så nu?
Selvom Microsofts løsning dækker langt de flestes behov – herunder de krav som Datatilsynet stiller til sikker mail – kan der være alternativer, som skal tages i betragtning. Men disse kan være vanskelige at bruge i praksis, da begge parter på forhånd skal håndtere krypteringsnøgler og i det hele taget være enige om, hvilken teknik der skal bruges. De fleste brugere løber sur i det. Dertil kan disse løsninger være svære at håndtere og supportere for it-afdelingerne. Microsoft TLS og AIP er det tætteste, man lige nu kommer på en standard, da langt de fleste virksomheder i dag bruger Microsofts e-mail-system eller systemer, som arbejder efter samme standard.

Microsoft Information AIP kræver bestemte Office 365 licenser. Tag en dialog med os for at komme godt i gang.