Шифрование электронной почты с помощью CipherMail

 СЕРГЕЙ ЯРЕМЧУК, автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС, grinder@samag.ru

Шифрование электронной почты
с помощью CipherMail

Электронная почта по-прежнему остается основным средством обмена информацией, но, доверяя ей большие секреты, нередко забывают об элементарных приемах защиты. И в первую очередь о необходимости шифрования трафика, позволяющего избежать перехвата сообщений

Почтовые протоколы разрабатывались в то время, когда о защите информации еще мало кто думал, проблемы безопасной аутентификации пользователя и передачи данных реализованы чуть позже в виде дополнений к протоколам и всяческих надстроек. По умолчанию все почтовые серверы передают аутентификационные данные и текст в открытом виде, то есть практически любой их может перехватить и прочитать. Использование вместо пароля хеша ситуацию не меняет, так как мощности современных компьютеров позволяют быстро вычислить пароль на основе хеша, кроме того, можно по запросу просто отправлять сам хеш (pass-the-hash). Поэтому нужно защищаться. Вариантов несколько. Самый простой – использовать стандартные механизмы, позволяющие шифровать SMTP, POP3 и IMAP-трафик. Такая функция сегодня поддерживается всеми почтовыми серверами – Postfix, Sendmail, Dovecot, Courier, Cyrus и другими. Альтернативный или дополнительный шаг – шифрование писем на стороне клиента с помощью PGP/GPG или S/MIME. Такая возможность заложена в большинстве современных почтовых клиентах непосредственно или с помощью плагинов. В этом случае получаем дополнительную защиту, и, даже если письмо попадет не тому адресату (случайно, например), посторонний прочесть его не сможет. Хотя такой способ и не так прозрачен для пользователя и требует определенного обучения и дисциплины. Ведь теперь необходимо еще и генерировать, выбирать и отзывать ключи, шифровать сообщения, проверять электронную подпись. В итоге даже в относительно небольшой организации предстоит произвести немалую работу, как техническую, так и организационную.

Еще один способ защитить информацию от перехвата – использование VPN. Но это потребует внесения изменений в текущую конфигурацию сети или почтовых программ. Если перестройки невозможны или нежелательны, на помощь приходят специальные шлюзы, автоматически шифрующие исходящий почтовый трафик.

Возможности CipherMail

Среди Open Source-проектов популярен CipherMail Email Encryption Gateway [1] (до июня 2014-го – Djigzo Email Encryption Gateway), обеспечивающий шифрование с помощью S/MIME, OpenPGP, защиту PDF и управление с помощью веб-интерфейса. По сути, представляет собой SMTP-сервер, перехватывающий все соединения, поэтому может быть легко «встроен» в любую почтовую систему. Дополнительный модуль DLP (Data Leak Prevention) позволяет предотвратить выход за пределы организации конфиденциальной информации: номера кредитных карт, банковских счетов, больших списков адресов электронной почты и многого другого. Параметры для поиска можно задавать с использованием регулярных выражений, поддерживается также сканирование вложений (pdf, doc, xls, zip...). Шлюз можно установить на большинстве UNIX-систем, поддерживающих Java 6/7 и Postfix. В качестве второй стороны выступает аналогичный сервер или любая программа, поддерживающая S/MIME или OpenPGP (Outlook, Thunderbird и другие). Проектом предлагаются клиентские приложения для BlackBerry и Android, используемые для отправки и получения шифрованных сообщений через CipherMail и проверки S/MIME-подписи.

Вложения в виде PDF-файлов автоматически закрываются паролем. Причем предусмотрено несколько вариантов использования пароля: статический или случайно генерируемый. Во втором случае пароль получателю передается любым другим способом. Есть функция автоматической отправки SMS, сообщения электронной почты или OTP. Поддерживается совместная работа с практически любыми центрами сертификации (EJBCA, Microsoft CA) или внешними вроде Verisign или Comodo. Процессом шифрования управляют политики, настраиваемые для доменов и отдельных учетных записей. Также CipherMail может автоматически добавлять к сообщениям электронную подпись, позволяющую получателю удостовериться, что письмо отправлено именно этим корреспондентом. Поддерживается и технология DKIM (DomainKeys Identified Mail).

Статью целиком читайте в журнале «Системный администратор», №11 за 2014 г. на страницах 30-31.

PDF-версию данного номера можно приобрести в нашем магазине.

Комментарии могут оставлять только зарегистрированные пользователи