Toon posts:

Email beveiliging

Pagina: 1
Acties:
  • 280 views sinds 30-01-2008
  • Reageer

woensdag 5 september 2007 08:42

Acties:
  • ViNyL
  • Registratie: Augustus 2001
  • Niet online

ViNyL

Topicstarter
Voor een project binnen onze organisatie wordt er vanaf een webserver van een hostingbedrijf informatie per email naar de SMTP server binnen onze eigen organisatie gestuurd.

Nu is de vraag gekomen hoe veilig het is. Het gaat om informatie over clienten, dus moet je daar erg zorgvuldig mee omgaan.

De vraag is nu dus hoe we dit gaan beveiligen. Het gaat om een formulier wat door iemand ingevuld wordt op onze website. Dit formulier wordt vervolgens naar een email adres binnen onze organisatie verstuurd. Het formulier kan privacy gevoelige informatie bevatten over een client.

Is het werken met SSL bijvoorbeeld een oplossing, of het encrypten van het bericht?

Iemand hier tips/ideeen over?

[ Voor 6% gewijzigd door ViNyL op 05-09-2007 08:44 ]

woensdag 5 september 2007 09:05

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 16-03 09:25

Equator

Crew Council

#whisky #barista

Vanaf een formulier is het waarschijnlijk een POST action. Deze kan je beveiligen door het geheel over een SSL sessie te laten draaien.

Wanneer de server hier een e-mail van maakt en deze verstuurd, dan gaat het gewoon als plain text over de lijn.
Technisch gezien is het mogelijk om dit bericht te encrypten met een Certificaat, maar SMIME werkt dan wat lastig.
Het bericht wordt dan namelijk versleuteld met een key. Deze key wordt versleuteld met het publieke deel van het certificaat van de ontvanger. Daarna wordt deze versleutelde key bij het bericht geplaatst en wordt het geheel ondertekend met het private deel van het certificaat van de versturende partij.

Als je een form-2-web applicatie hebt die de mail van versleutelen dan is dat een mooie optie, maar dan zit e wel met het probleem dat de ontvanger een certificaat nodig heeft. En alleen de persoon die dat certificaat heeft kan de mail dan lezen.

er zijn ook alternatieve manieren van mail versleutelen, zoals met GNUPG, PGP etc. Deze werken in principe ook met een keypair, maar dan zonder certificaten meen ik. Maar daar kan iemand anders misschien meer over vertellen.

woensdag 5 september 2007 09:25

Acties:

Verwijderd

Tis niet onveiliger dan elke andere (non encrypted) mail die verstuurd wordt over een open netwerk.

Jullie draaien zelf een mailserver? Je zou dan een webserver kunnen draaien puur en alleen voor die form. Het blijft dan binnen je netwerk. (tis maar een vaag idee, beetje te omslachtig misschien)

woensdag 5 september 2007 09:27

Acties:
  • ViNyL
  • Registratie: Augustus 2001
  • Niet online

ViNyL

Topicstarter
Yep dat was ook al het idee wat ik zelf had. Denk ook dat het daar op gaat uitkomen om problemen te voorkomen...

woensdag 5 september 2007 09:28

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Zorg dat je form via SSL gesubmit wordt, ten eerste. Zorg vervolgens dat de lokale mail server op die machine (neem ik even aan) ook TLS praat met je andere mailservert. Dan komt 't wel plaintext aan, maar is 't iig in-transit encrypted.

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 5 september 2007 09:30

Acties:
  • burne
  • Registratie: Maart 2000
  • Niet online

burne

Mine! Waah!

Equator schreef op woensdag 05 september 2007 @ 09:05:
Wanneer de server hier een e-mail van maakt en deze verstuurd, dan gaat het gewoon als plain text over de lijn.
Zowel TLS als SSL zijn al jaren heel gewoon voor SMTP. Beiden zijn met self-signed certificaten te draaien, waardoor je 'alleen maar' gebruik maakt van encryptie, niet van authenticatie. Wellicht dat 128 of 256 bits encryptie goed genoeg is voor TS.

I don't like facts. They have a liberal bias.

woensdag 5 september 2007 11:42

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 16-03 09:25

Equator

Crew Council

#whisky #barista

burne schreef op woensdag 05 september 2007 @ 09:30:
[...]

Zowel TLS als SSL zijn al jaren heel gewoon voor SMTP. Beiden zijn met self-signed certificaten te draaien, waardoor je 'alleen maar' gebruik maakt van encryptie, niet van authenticatie. Wellicht dat 128 of 256 bits encryptie goed genoeg is voor TS.
Echt waar :) :+

Wat ik bedoel dat wanneer het als gewone email wordt verstuurd er totaal geen versleuteling bij komt kijken.
Vaak is een form-2-mail ding niet zo uitgebreidt dat hij ook met TLS of SSL kan versturen, maar gewoon gebruik maakt van de beschikbare relay host.
TLS/SSL is alleen maar tussen verzendende en ontvangende partij. Wanneer daar een mail server tussen zit wordt het erg lastig ;)

woensdag 5 september 2007 13:07

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Equator schreef op woensdag 05 september 2007 @ 11:42:
[...]

Echt waar :) :+

Wat ik bedoel dat wanneer het als gewone email wordt verstuurd er totaal geen versleuteling bij komt kijken.
Vaak is een form-2-mail ding niet zo uitgebreidt dat hij ook met TLS of SSL kan versturen, maar gewoon gebruik maakt van de beschikbare relay host.
TLS/SSL is alleen maar tussen verzendende en ontvangende partij. Wanneer daar een mail server tussen zit wordt het erg lastig ;)
Als de relayhost lokaal is, heb je daar al geen probleem meer mee. Vervolgens kun je die zo instellen dat 'ie absoluut geen mail verstuurt tenzij versleuteld en direct naar de ontv angende host.

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 5 september 2007 19:59

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 16-03 09:25

Equator

Crew Council

#whisky #barista

CyBeR schreef op woensdag 05 september 2007 @ 13:07:
[...]


Als de relayhost lokaal is, heb je daar al geen probleem meer mee. Vervolgens kun je die zo instellen dat 'ie absoluut geen mail verstuurt tenzij versleuteld en direct naar de ontv angende host.
True, maar hoevaak staat een website niet ergens anders gehost dan in het bedrijf zelf.

woensdag 5 september 2007 20:06

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Equator schreef op woensdag 05 september 2007 @ 19:59:
[...]

True, maar hoevaak staat een website niet ergens anders gehost dan in het bedrijf zelf.
Zolang 't je eigen server is, is dat ook niet zo boeiend. Als dat niet 't geval is moet je daar idd eerst voor zorgen.

Of dus idd de applicatie S/MIME of PGP encryptie laten doen. Da's overigens niet supermoeilijk te implementeren.

[ Voor 14% gewijzigd door CyBeR op 05-09-2007 20:06 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 6 september 2007 01:51

Acties:
  • burne
  • Registratie: Maart 2000
  • Niet online

burne

Mine! Waah!

Equator schreef op woensdag 05 september 2007 @ 11:42:
Echt waar :) :+
Echt waar. }:|
Wat ik bedoel dat wanneer het als gewone email wordt verstuurd er totaal geen versleuteling bij komt kijken.
Wat ik bedoel is dat als je je mailserver netjes opzet, de juiste poorten open zet of de juiste config in je mailserver zet, SMTP automatisch ge-encrypt tussen mailservers onderling verstuurt wordt. Kijkt:
code:
1
2
3
4
5
6
7

Connected to its.blacklisted.nl.
Escape character is '^]'.
220 its.blacklisted.nl ESMTP
HELO daar
250 its.blacklisted.nl Ok.
STARTTLS
220 Ok

Nou moet ik zelf een sessie-key gaan tiepen, en dat kan ik niet uit het blote hoofd, maar als ik wil kan ik gecrypt mail versturen. Alternatief kan met poort 465 (SMTP-over-SSL) om hetzelfde op een andere manier te bereiken.

In beide gevallen is het verkeer tussen beide servers niet af te luisteren voor iemand die onderweg het TCP-verkeer aftapt. Als beide mailservers onder mijn beheer vallen kan ik er dus van op aan dat mail niet af te luisteren valt door een netwerk-partij ergens onderweg. En dat is de vraag van TS. En kijkend in mijn logfiles stel ik vast dat ongeveer 5 procent van de niet-spammers die me mail sturen een vorm van TLS of SSL gebruiken voor hun mailserver. Ik (mijn gebruikers, eigenlijk) verstuur en ontvang bij elkaar zo'n 80.000 mailtjes per dag, dus dat is geen onzin-cijfer.

I don't like facts. They have a liberal bias.

donderdag 6 september 2007 01:56

Acties:
  • burne
  • Registratie: Maart 2000
  • Niet online

burne

Mine! Waah!

CyBeR schreef op woensdag 05 september 2007 @ 13:07:
Als de relayhost lokaal is, heb je daar al geen probleem meer mee.
Op localhost valt prima te sniffen. Als je niet de enige gebruiker van een doos bent wel iets om rekening mee te houden.

(strace/ktrace/par/truss en pipes en sockets zijn ook geen probleem meer..)

[ Voor 11% gewijzigd door burne op 06-09-2007 13:43 ]

I don't like facts. They have a liberal bias.

donderdag 6 september 2007 10:35

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

burne schreef op donderdag 06 september 2007 @ 01:56:
[...]

Op localhost valt prima te sniffen. Als je niet de enige gebruiker van een doos bent wel iets om rekening mee te houden.
Dat geldt voor tcp sockets over localhost ja. Niet voor de stdin/out pipes die meestal gebruikt worden op UNIX platforms.

En dat brengt me bij De Vraag: welk OS draait TS eigenlijk op z'n servert? :P

[ Voor 7% gewijzigd door CyBeR op 06-09-2007 10:36 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 17 september 2007 10:44

Acties:
  • ViNyL
  • Registratie: Augustus 2001
  • Niet online

ViNyL

Topicstarter
Het OS op de mail server is Windows Server 2003. De webserver waar de forms op ingevuld worden is van een externe partij, hier draait Linux op.

Het moet van de Linux server gemailt worden naar onze mail server (de Windows 2003 machine).
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq