Kryptera mejl?

Tråden skapades och har fått 16 svar. Det senaste inlägget skrevs .
1
  • Medlem
  • 2019-08-23 08:45

Har fått en fråga från en bekant som funderar på att börja kryptera mejl i sitt företaget.
Mottagare/kunderna är privatpersoner av blandad åldrar, datorvana och blandade plattformar, macOS/Windows ipone/android. Linux går att utesluta.

Alltså det ska vara väldigt lätt att implementera och använda på clientsidan.
Skickat personen ett mejl till oss ska den inte behöva bry sig.

Bästa är ju att det blir automatisk kryptering på alla mejladresser till vår mejldomän.
Tror inte att de har egen mejlserver, så är det leverantören av mejltjänsterna som måste implantera det på serversidan, eller går det att installera krypteringen lokalt på datorer på kontoret.

  • Medlem
  • 2019-08-23 09:47

Det finns ju PGP för kryptering av mejl. Men det krävs ju att både avsändare och mottagare har krypteringsnyckeln på sin dator. Jag vet inte hur svårt det är att installera.
Automagisk kryptering till er mejldomän är ju bara att glömma eftersom mejlet då redan har färdats okrypterat till er domän.

  • Medlem
  • 2019-08-23 10:09
Ursprungligen av Dalle:

...
Automagisk kryptering till er mejldomän är ju bara att glömma eftersom mejlet då redan har färdats okrypterat till er domän.

Det är ok att man en gång installerar något på clientsidan som kopplar det till kontaktpersonen på företagets e-postadress. Sen fortsättningsvis ska mejling vara automatiskt krypterat.

  • Medlem
  • 2019-08-23 10:17
Ursprungligen av ne100:

Det är ok att man en gång installerar något på clientsidan som kopplar det till kontaktpersonen på företagets e-postadress. Sen fortsättningsvis ska mejling vara automatiskt krypterat.

Jag har själv aldrig använt PGP, men det finns säkert andra här som kan svara på denna fråga. Men som jag har fattat det så skapar man först en krypteringsnyckel som man sedan delar med sig av till alla tilltänkta mejlkontakter. Hur svårt det är för alla inblandade parter har jag inte en blekaste om, men Youtube brukar kunna vara informativt i sådana här situationer.

  • Medlem
  • Göteborg
  • 2019-08-23 10:41
Ursprungligen av ne100:

Mottagare/kunderna är privatpersoner av blandad åldrar, datorvana och blandade plattformar,

Jag har ingen erfarenhet av krypterade mail, men tror att det är en omöjlighet att få alla i en blandad kundbas med privatpersoner att installera ett krypteringsprogram.

Om krypterad kommunikation är viktigt (är kunderna mer klienter eller patienter?) är nog den mest kundvänliga lösningen att kommunikationen får ske via inloggning på en krypterad hemsida med meddelandehantering.

  • Medlem
  • 2019-08-23 11:15

Det påminner mer om ”patienter” altså människor i varierande åldrar och med väldigt olika användarerfarenheter.
Men det är ganska liten i stort fast kundgrupp.

Men göra som bankerna med säkert formulär på webbsida innanför inloggning är ute funktionsdugligt i detta fall.

Det jag kan tänka mig är.
Nedladdning plug-in till mejlprogrammet.
Utbyte av nycklar, med typ bank-ID

Sen bara mejla

  • Medlem
  • Göteborg
  • 2019-08-23 12:40

Vad personer utanför företaget gör är svårt att styra. För det behövs oftast en egen tjänst, app och sajt. Det blir också enklast att hantera. Alternativt är att använda befintliga fria lösningar ex. https://discordapp.com/.

Idag skickas inga mejl från stora mail-tjänster öppet. Nästan allt går via https.

De kan också endast tillåta kommunikation från godkända domäner. Ex: https://protonmail.com
Men det skapa stora problem för användarna.

Men visst, ta även en titt på GPGTools och VeraCrypt:
https://gpgtools.org/
https://www.veracrypt.fr/

  • Medlem
  • 2019-08-23 13:06
Ursprungligen av iSweden:

...
Idag skickas inga mejl från stora mail-tjänster öppet. Nästan allt går via https.
...

Vad innebär det rent praktiskt, hur lätt är det för utomstående som medvetet vill komma åt information från just denna mejldomän?

Ursprungligen av ne100:

Vad innebär det rent praktiskt, hur lätt är det för utomstående som medvetet vill komma åt information från just denna mejldomän?

https://sv.m.wikipedia.org/wiki/Hypertext_Tra...

Det går ju, men antar att det är svårt och att säkerheten varierar stort.

  • Medlem
  • 2019-08-23 14:52

Tack!

Citat:

https://sv.m.wikipedia.org/wiki/Hypertext_Tra....

Det går ju, men antar att det är svårt och att säkerheten varierar stort.

Så om klienten använder TLS/SSL och företaget lika så på mail-servern så bör det vara hyggligt säker.

  • Medlem
  • Göteborg
  • 2019-08-23 21:28
Ursprungligen av ne100:

Tack!

Så om klienten använder TLS/SSL och företaget lika så på mail-servern så bör det vara hyggligt säker.

Beror på vad du menar. Om trafiken skickas med TLS/SSL så kan ingen se informationen i klartext om de sitter på samma nätverk. Detta var ett stort problem förr.
Vissa amatörer använder forfarande okrypterade mail-servrar från sin leverantör (som säkerligen idag har krypterade servrar att tillgå om man läser på) och sitter på publika WiFi.

Men att höja ribban ett steg till blir ofta besvärligt för vanliga användare. Dvs. att meddelandet som når mottagare ser ut som oläsligt skräp tills att det dekrypteras av mottagaren. Något sådant har jag inte gjort sedan Eudora! Sedan vet man inte hur användarna hanterar informationen när den väl dekrypterats. Som sagt, bäst om företaget gör allt på egen server och att folk går in på den med typ BankID. Det finns högst troligen färdiga fria lösningar för detta på ex Github.

Går kanske att lösa med tillägg till Gmail. Svag lösning som blir beroende av gratis plugins.

I korthet borde så lokalt mejl-program på dator förbjudas för amatörer (och proffs). Ok, klient kopplad med IMAP kan tillåtas i vissa fall, men POP3 skapar bara problem.

Senast redigerat 2019-08-23 21:47
  • Medlem
  • 2019-08-24 09:06

Tack för hjälpen!

Ursprungligen av iSweden:

...
Men att höja ribban ett steg till blir ofta besvärligt för vanliga användare.
...

Kolla att företagets mejlleverantörs server skickar med TLS/SSL (allt annat känns ytterst omodernt).
Informera klienterna att kolla de också skickar med TLS/SSL. Har de inte egen kunskap får de vända sig till sin leverantör för support känns som det rimliga i detta fall.

Email-protokollet är i sig väldigt osäkert, utöver det så finns det större säkerhetshål i PGP när det gäller krypterade email. Jag skulle rekommendera att inte skicka känslig information i epost alls.

Om du vill kika på CVE'erna ang "efail" så är dom:
CVE-2017-17688
CVE-2017-17689

När det gäller TLS för email så är det sant att det hindrar så kallade Man in the Middle attacker. Den stora "faran" är om någon får tillgång till emailen direkt (exempelvis ett hackat epost konto eller att någon glömmer logga ut på bibblans dator). Om det då finns känslig information där så är det "kört".

Kanske går det att skicka med en fil som är skyddad med lösenord istället? Eller - göra som myndigheterna - och skicka med en länk som kräver inloggning i mailet?

  • Medlem
  • 2019-08-24 11:31

Det är mest ”man in the middle” som känns aktuellt i detta fall.

Kan vara värt att läsa igenom vad datainspektionen anser ang epost: https://www.datainspektionen.se/lagar--regler...

  • Medlem
  • Göteborg
  • 2019-08-24 12:54
Ursprungligen av ne100:

Tack för hjälpen!

Kolla att företagets mejlleverantörs server skickar med TLS/SSL (allt annat känns ytterst omodernt).
Informera klienterna att kolla de också skickar med TLS/SSL. Har de inte egen kunskap får de vända sig till sin leverantör för support känns som det rimliga i detta fall.

Fint. Kul om det hjälper.
Kolla även så att de ansluter till mejlservern med IMAP och inte gamla POP3.

  • Medlem
  • 2019-08-24 17:14
Ursprungligen av JohannesTegner:

Kan vara värt att läsa igenom vad datainspektionen anser ang epost: https://www.datainspektionen.se/lagar--regler...

Tydligt och väldigt bra info.

1
Bevaka tråden