我正在为客户寻找电子邮件加密解决方案。他们目前正在使用 Exchange 2007,但如果有必要,他们愿意使用托管解决方案。他们正在寻找一种解决方案,使他们能够根据某些规则加密消息(即,消息包含某些敏感信息)。他们更喜欢自动解决方案,以减少敏感数据以未加密形式发送的可能性。他们无法控制收件人端的客户端,因此可能是 outlook、yahoo、gmail 等。我见过一些解决方案,它们会向收件人发送通知,然后允许收件人访问网站查看/下载消息/附件。有人用过这种解决方案吗?设备还是托管解决方案?
答案1
我目前正在为客户实施解决方案。我们正在使用 Ironport 设备。电子邮件由 Ironport DLP 模块检查,如果符合条件,则加密。Ironport 提供多种解决方案。您可以安装和管理自己的设备,在其数据中心使用托管设备,或者让 Ironport 管理您所在位置的设备。
电子邮件收件人会以 HTML 附件的形式收到邮件,其中包含加密的电子邮件和一些 JavaScript,这些 JavaScript 与 Ironport 交互以检索密钥并解密邮件。无需特殊客户端或预共享证书或密钥。
有多种类似的产品。我们研究了 ZixCorp、Axway(Secure Messenger)、Google/Postini、Microsoft 和 McAfee 的解决方案。许多托管解决方案还要求您使用其垃圾邮件/防病毒过滤服务。
答案2
首先我想说:电子邮件加密方案很糟糕,所有方案都很糟糕。
S/MIME 是唯一一种得到广泛支持的加密/解密电子邮件的方法。它要求收件人和发件人都拥有证书(密钥对,私钥和公钥)。发件人必须拥有收件人的公钥。通常的做法是先通过电子邮件发送密钥,或者将其放在网站上;但是,没有标准的方法来做到这一点。发件人使用收件人的公钥加密电子邮件,并使用自己的私钥进行身份验证。收件人必须拥有自己的私钥和发件人的公钥(为简单起见,通常将其附加到电子邮件中)才能解密和验证电子邮件。
如果您无需阅读至少 3 遍就能理解这一点,那么恭喜您,您应该获得一个小奖励(而且您很可能是一名 IT 人员,而不是每天都要尝试这样做的可怜用户)。
在 Outlook 中设置要求加密的规则并不难。但实际上满足上述要求以便 Outlook 可以加密电子邮件却很难。
另一种解决方案(我们使用的解决方案)是设置一个门户网站;受 SSL 或类似保护。将文档或信息放在网站上,然后通过电子邮件将 URL 发送给收件人。如果您之前没有设置密码,请让他们打电话给您获取密码,或者为了获得额外积分,可以使用 OpenID 等第三方身份验证。
答案3
我曾在一家政府支持的安全电子邮件合资企业的客户端工作,该公司的要求与您描述的类似,但实施方式不同。正如 Chris S 所解释的那样,将加密的责任放在最终用户手中很少能奏效。
正如 Chris S 再次建议的那样,他们最初想要建立一个安全的基于 Web 的消息传递系统,但最终用户和利益相关者不想改变流程,或者无法改变流程,因为他们有需要 SMTP/电子邮件作为传输方式的第三方应用程序。
他们最终的做法是设置一个安全的中央邮件传输代理 (MTA),所有参与方都将其用作 TLS 加密智能主机来路由邮件。然后,这个中央 MTA 解析每封邮件的标题,如果目标地址与“要加密”白名单匹配,则通过 TLS 将其转发到目标 MTA;如果不匹配,则邮件将通过 MX 记录路由,正常情况下不加密。有了适当的防火墙规则,就不可能轻易“错误”地发送纯文本消息,因此虽然不是端到端加密,但邮件在受信任的 MTA 之间传输时是加密的,不需要最终用户做任何事情来实现这一点。
该系统(仍然)运行良好,但显然需要每个参与组织的邮件管理员之间进行大量协调。
如果您的情况无法进行这种协调,我同意 Chris S 的观点:我会使用 SSL 证书(SharePoint Services 3.0 可以轻松用于此)并可能使用双因素身份验证来设置一个安全的消息传递系统,具体取决于您的要求。
答案4
您可以尝试 Djigzo 开源电子邮件加密网关 (www.djigzo.com)。它是一个支持 S/MIME 和 PDF 加密的 SMTP 网关,包含一个 DLP 模块,可以根据电子邮件的内容隔离或强制加密您的电子邮件。您可以立即运行适用于 VMware 和 Hyper-V 的虚拟设备,并且安装包适用于 Debian/Ubuntu 和 RedHat/CentOS。