GnuPG-Domäne-zu-Domäne-E-Mail-Verschlüsselung

GnuPG-Domäne-zu-Domäne-E-Mail-Verschlüsselung

Ich betreibe einen Debian-Mailserver und möchte E-Mails von meiner Domain an die Domain eines Geschäftspartners verschlüsseln. Außerdem sollte die Verschlüsselung auf dem Mailserver selbst erfolgen und nicht auf einem Mailclient.

Ist das möglich? Ich habe bereits herausgefunden, wie man einen Schlüssel mit der E-Mail-Adresse „@domain.com“ erstellt, aber ich kann ihn nicht in unserem E-Mail-Client verwenden, da dieser weder GnuPG noch PGP unterstützt.

Antwort1

Mail Transfer Agents verschlüsseln

Das ist durchaus möglich, was Sie erreichen möchten, aber Sie müssen zusätzliche Software installieren, einen sogenannten „verschlüsselnden MTA“ (Mail Transfer Agent, auch Mailserver genannt).

Es stehen mehrere Produkte zur Verfügung,GEAM von G10code(von der Firma, die GnuPG entwickelt),Gateway-E-Mail-Verschlüsselung von Symantecund wahrscheinlich sogar noch mehr. Es gibt verschiedene Szenarien, bei denen ein einziger Schlüssel für alle Nachrichten definiert wird und für jeden Benutzer/jedes Postfach ein anderer Schlüssel auf dem Server gespeichert wird.

Übertragungsverschlüsselung

Aber das Szenario, das Sie beschreiben, istÜbertragungsverschlüsselung, da nur die Übertragung der Nachrichten geschützt werden soll, nicht die Verarbeitung oder Speicherung der Mails (die Server müssen die Verschlüsselungsaufgaben sowieso übernehmen, wenn die Client-Anwendungen dies nicht tun sollen). Sowohl OpenPGP als auch S/MIME sind die falschen Tools für die Übertragungsverschlüsselung, sie sind für die Verschlüsselung einzelner Nachrichten gedacht. Dies hat sowohl Vor- als auch Nachteile; im Falle eines Missbrauchs für Ihr Szenario bedeutet dies, dass einige Metadaten immer noch unverschlüsselt sind (Empfänger, Betreffzeilen, ...), und die Implementierung erfordert zusätzliche Software und ist komplizierter zu verwenden als Protokolle, die für diesen Zweck erstellt wurden.

Sie sollten sich wahrscheinlich mit der Verschlüsselung der Kommunikation zwischen den Servern befassen. Konfigurieren Sie beide ordnungsgemäß, um TLS zu unterstützen, und erwägen Sie, TLS-Verbindungen zum jeweils anderen Server zu erzwingen. Dadurch werdenalleDie Kommunikation zwischen diesen Servern, einschließlich Metadaten, wird von allen relevanten Mailserver-Implementierungen standardmäßig unterstützt und verschlüsselt, wenn möglich, auch die Kommunikation mit anderen Mailservern transparent.

Sie sollten die Verschlüsselung von Übertragungen ohnehin implementieren und sie ist, je nach lokaler Gesetzgebung, sogar vorgeschrieben, da Sie persönliche Informationen und Kommunikation verarbeiten (aber oft kümmert das niemanden und das vollständige Verbieten unverschlüsselter Kommunikation mit beliebigen Mailservern würde die Kommunikation mit einigen Peers verhindern).

Nachrichtenverschlüsselung

Es kann dennoch wichtig sein, Nachrichten auf den Clients zu verschlüsseln. Wenn OpenPGP nicht in Frage kommt (weil zusätzliche Software installiert werden muss, und es kann auch sein, dass OpenPGP für diesen Anwendungsfall einfach nicht das beste Tool ist), sollten Sie einen Blick auf S/MIME werfen, das von den meisten E-Mail-Clients nativ unterstützt wird.

verwandte Informationen