Jaké jsou možnosti zabezpečení e-mailu? 3. díl

31. 10. 2022 | Jindřich Zechmeister

Ve třetí části seriálu se podíváme na zabezpečení e-mailu z pohledu uživatele. Co můžete pro bezpečnost komunikace udělat? Dozvíte se například, jak snadno zabezpečit poštu celé firmy automaticky bez mnoha hodin práce. A na závěr si představíme účinnou zbraň proti phishingu, která také dokáže pomoci k lepší čtenosti e-mailů.

Standard S/MIME pro zabezpečení pošty

S/MIME je označení pro "bezpečnou" (zabezpečenou) verzi protokolu MIME, který se používá jako běžný standard. S/MIME poskytuje záruku identity komunikujících (pomocí údajů osoby v certifikátu), tvoří digitální pečeť zprávy, která ji chrání proti změnám, a umožňuje plné end-to-end šifrování mezi komunikujícími stranami.

K využití S/MIME potřebujete osobní certifikát, který bude vystaven na e-mailovou adresu, kterou budete komunikovat. Pak můžete své zprávy i podepisovat a šifrovat. Podepsat můžete zprávu určenou jakémukoliv příjemci; ten díky digitálnímu podpisu pozná, zdali došla neporušena (bez editace) a zdali je přímo od vás. Pokud má adresát váš S/MIME certifikát z předchozí komunikace, tak mu můžete zprávu i zašifrovat, což ji ochrání i do budoucna při uložení na serveru. Nikdo jiný než vy a adresát si zprávu nepřečte.

Je zjevné, že pro (smysluplné) využití S/MIME potřebujete rozšířit zabezpečení plošně na celou firmu. Pro každého uživatele musíte zajistit jeden S/MIME certifikát a ten je potřeba nastavit na daném počítači, například v Outlooku. Při vyšším počtu uživatelů je to zdlouhavá práce a možná i hlavní důvod, proč se S/MIME nepoužívá ve všech firmách. My však známe řešení i pro tento problém.

KeyTalk (PKIaaS) plně automatizuje S/MIME

Pojďme udělat malou odbočku k nasazení S/MIME certifikátů ve firemním prostředí. Každý certifikát je potřeba zažádat, potvrdit a po vydání uživateli nastavit do systému (spárovat privátní klíč s vydaným certifikátem) a nastavit certifikát pro podpis do příslušných programů.

Toto je při vyšším počtu uživatelů prakticky nerealizovatelné, protože správce by musel "obejít" všechny počítače dvakrát a strávil by tímto mnoho hodin každý rok. Naštěstí je na trhu řešení, které umí tyto útrapy automatizovat a postarat se o (nejen) osobní certifikáty zcela automaticky. Jmenuje se KeyTalk.

KeyTalk je nizozemská společnost zaměřující se na komplexní PKI řešení. Jejich unikátní ManagedPKI server KeyTalk nabízí též jako cloudovou službu Keytalk Secure Email Service (SES) (označovanou jako PKIaaS). Díky ní si můžete zjednodušit nasazení S/MIME certifikátů na maximum.

Pokud budete mít zájem dozvědět se více, neváhejte nás ohledně KeyTalk kontaktovat. Rádi vám ho předvedeme v praxi.

Zabezpečení uživatele pomocí VMC/BIMI

V našem seriálu jsme představili technologie, které přispívají k bezpečnosti používání e-mailu a které musí podporovat poskytovatel pošty; pouze protokol S/MIME je výjimkou a zabezpečení má k dispozici přímo uživatel e-mailu. VMC je pak novinka, která se sice nastavuje na serveru, ale slouží primárně pro zabezpečení příjemce zprávy (adresáta).

VMC a BIMI jsou názvy technologií, které zvyšují bezpečnost e-mailové komunikace zejména pomocí vizuální interakce příjemcem e-mailu. Pokud máte vystaven VMC certifikát a správně nastavenou doménu (BIMI), tak se příjemci zobrazí (ve vybraných klientech a službách) logo vaší společnosti. Samotné použití BIMI na doméně nestačí; pro zobrazení loga firmy potřebujete ještě VMC certifikát, pro jehož vydání bude logo i vaše společnost ověřena. Díky tomu může čtenář e-mailu autentizaci pomocí loga věřit (bez VMC certifikátu a ověření by logo mohli použít i podvodníci).

VMC ukazuje příjemci e-mailu logo odesilatele
VMC ukazuje příjemci e-mailu logo odesílatele.

Identitu žadatele o VMC certifikát prověřuje DigiCert a právo na použití loga je doloženo aktivní ochrannou známkou na logo, takže logo vaší firmy nemůže nikdo zneužít. Z technického aspektu vyžaduje funkční VMC aktivní DMARC na doméně odesilatele s přísným nastavením "reject", čímž chrání uživatele před phishingem pomocí podvržených zpráv. Pokud by byla taková zpráva jménem vaší domény odeslána, tak ji příjemce odmítne a správci domény se tato zpráva objeví v souhrnném DMARC reportu, aby věděl, kdo se ji pokusil zneužít.

Pomůžeme vám VMC certifikát získat

SSLmarket vám pomůže získat a nastavit VMC certifikát pro vaši firmu. Připravili jsme pro vás souhrn informací, které byste měli před zakoupením VMC certifikátů vědět. Koupi certifikátu však můžete provést rovnou v objednávce SSLmarketu. V takovém případě se vám zaměstnanci SSLmarketu ozvou po přijetí objednávky, protože bude potřeba dohodnout detaily žádosti.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz