В первых трех статьях цикла речь шла о шифровании, BitLocker, TLS, шифровании сообщений Office 365 и управлении правами на доступ к данным (IRM). В заключительной части мы обратим внимание на последний режим шифрования, S/MIME, а затем вспомним все методы шифрования в Exchange Online и рассмотрим примеры применения каждого из них.

?

S/MIME обеспечивает шифрование «от клиента к клиенту». Это единственное решение на клиентской стороне, доступное в Exchange Online, позволяющее клиентам Outlook или OWA шифровать сообщения от момента создания до доставки. Из этого не следует, что сообщения электронной почты обычно покидают компьютер в виде простого текста. В зависимости от используемого клиента и способа подключения к Exchange механизмы шифрования на этапе транспортировки, такие как TLS, защищают сообщения на пути в Exchange. Однако эта защита не работает, когда сообщения достигают Exchange, и используется другой метод защиты, например BitLocker, — для данных, хранящихся в базе данных.

Exchange получает доступ к почтовым сообщениям, когда они защищены всеми прочими типами шифрования, рассматриваемыми в этой серии статей. Сервер нуждается в таких возможностях для выполнения следующих функций: защита от вирусов, поиск методом обнаружения, предотвращение утечки информации (DLP), правила транспорта и т.д. Недостаток возможностей Exchange в дешифрации и обработке почтового трафика заключается в том, что администратор Exchange с широкими правами может прочитать ваши сообщения. В случае с Exchange Online компания Microsoft приложила немалые усилия, чтобы исключить несанкционированный доступ к информации пользователей. Исчерпывающие сведения об этих мерах опубликованы на сайте центра управления безопасностью Office 365 (products.office.com/en-us/business/office-365-trust-center-cloud-computing-security). Несмотря на это клиенты спрашивают меня: «Но что если кто-нибудь из членов группы Office 365 не побоится угрозы увольнения и взломает сервер Exchange, чтобы прочитать письма? Можно ли как-то защитить мою электронную почту?» Как раз S/MIME и есть технология, которая позволяет шифровать электронную почту, так что даже администратор Office 365 не сможет прочитать ваших сообщений.

Но это еще не все! S/MIME не только обеспечивает шифрование «от клиента к клиенту», но и защищает почтовые сообщения с помощью цифровой подписи. Цифровая подпись — способ доказать, что электронное сообщение отправлено именно тем лицом, которое указано в качестве отправителя, и не было изменено после подписывания. С технической точки зрения цифровые подписи обеспечивают проверку подлинности (удостоверяют отправителя), неподдельность (не позволяют отправителю отказаться от сообщения) и целостность данных (получатель уверен, что содержимое сообщения не было изменено после того, как было подписано). Важно отметить, что цифровая подпись не обеспечивает конфиденциальности, то есть человек, перехвативший передаваемое письмо, сможет прочитать его.

Однако цифровые подписи и шифрование сообщений могут дополнять друг друга. Сообщение электронной почты может быть одновременно подписанным и зашифрованным. Можно даже «завернуть» одно почтовое сообщение в три «оболочки». Этот процесс охватывает подписывание сообщения, затем его шифрование и наконец повторное подписывание сообщения. Если сообщение подписано и зашифровано с использованием OWA, то такое сообщение автоматически упаковывается в три «оболочки». Сейчас Outlook не позволяет упаковать сообщение в три «оболочки», но может читать сообщения с тремя «оболочками».

Как развернуть S/MIME для Exchange Online?

Далее в статье я расскажу об этапах настройки S/MIME для моей учетной записи Exchange Online. Учтите, что мой почтовый ящик — исключительно «облачный». У меня нет гибридной конфигурации Exchange и не настроены службы AD FS и DirSync.

В первую очередь вам необходим сертификат. Существует множество поставщиков, которые продадут вам сертификат, но я обратился на сайт https://www.startssl.com/, чтобы получить его бесплатно.

После того, как сертификат установлен на рабочей станции, у нас все готово для того, чтобы начать настройку S/MIME для учетной записи Exchange Online. Первый шаг — создать sst-файл.

1. Откройте certmgr.msc.

2. Разверните узел Trusted Root Certification Authorities, Certificates («Доверенные корневые центры сертификации», «Сертификаты») и найдите сертификат, который будет использоваться для S/MIME.

3. Выберите сертификат и экспортируйте его. Для используемых мною сертификатов необходимо переместить промежуточный сертификат из контейнера промежуточного центра сертификации в контейнер корневого центра сертификации (на экране 1 выделены оба).

 

Экспорт сертификата
Экран 1. Экспорт сертификата

4. В мастере экспорта выберите хранилище сериализованных сертификатов Microsoft (.SST), см. экран 2.

 

Хранилище сертификатов
Экран 2. Хранилище сертификатов

5. Нажмите кнопку Next («Далее»), затем сохраните sst-файл.

6. Подключите удаленную оболочку PowerShell к клиенту Exchange Online и выполните следующие команды

$sst = Get-Content. sst -Encoding Byte
Set-SmimeConfig -SMIMECertificateIssuingCA $sst

7. Перейдите к Outlook, в меню File («Файл») в Outlook 2013 щелкните Options («Параметры»).

8. В меню Options выберите Trust Center, Trust Center Settings..., Email Security («Центр управления безопасностью», «Параметры центра управления безопасностью...», «Защита электронных писем»).

9. В верхнем центральном разделе шифрованной электронной почты выберите Settings («Параметры»)

10. Введите имя для этой группы параметров (см. экран 3).

 

Настройка параметров защиты почты
Экран 3. Настройка параметров защиты почты

11. Выберите сертификат подписи и оставьте остальным параметрам значения по умолчанию.

12. Нажмите кнопку OK, чтобы закрыть диалоговое окно, и выберите Publish to GAL («Опубликовать в глобальном списке адресов») в разделе Digital IDs («Цифровые удостоверения»). Типичная проблема в Outlook заключается в том, что при наличии многих настроенных учетных записей MAPI кнопка Publish to GAL не отображается. Мне пришлось удалить все, кроме одной, учетные записи MAPI, с которыми я работал, чтобы увидеть эту кнопку.

13. Предоставьте Outlook опубликовать ваш сертификат. После завершения можно убедиться, что эта операция выполнена успешно, запустив следующую команду в оболочке PowerShell Exchange Online

Get-Mailbox | FT *user*

После публикации сертификата в списке GAL можно отправлять подписанные сообщения S/MIME другим пользователям. На экране 4 показано подписанное сообщение, переданное в тестовую учетную запись на моем клиенте.

 

Подписанное сообщение
Экран 4. Подписанное сообщение

Важно отметить, что для отправки шифрованных сообщений S/MIME между организациями, в том числе между различными клиентами Office 365, отправителю необходимо иметь контактный объект для получателя, в который входит доверенный сертификат получателя. Напомню, что шифрование с открытым ключом производится одним ключом (открытый ключ), а дешифрование отдельным ключом (закрытый ключ). Чтобы отправить вам зашифрованное сообщение S/MIME, другим пользователям необходимо иметь доступ к вашему открытому ключу. Вы сможете прочитать это сообщение, если располагаете собственным связанным закрытым ключом.

На экране 5 показано сообщение, отправленное из тестовой учетной записи в мою учетную запись с использованием шифрования S/MIME. Обратите внимание на значок замка, показывающий, что сообщение зашифровано. Для этой тестовой учетной записи не задан сертификат, поэтому я не могу отправить зашифрованное сообщение (хотя могу отправлять подписанные сообщения, как показано выше).

 

Зашифрованное сообщение
Экран 5. Зашифрованное сообщение

Для настройки сертификатов S/MIME в гибридной организации Exchange потребуется локальный центр сертификации.

Теперь мы еще раз вспомним типы шифрования, доступные в Exchange Online, и рассмотрим оптимальные ситуации для их использования.

BitLocker

BitLocker — технология шифрования, предназначенная для защиты данных в хранилищах. В Exchange Online все хранилища данных защищены BitLocker без необходимости вмешательства со стороны администраторов отдельного клиента. BitLocker добавлен в этот список просто для полноты картины.

Transport Layer Security

Transport Layer Security (TLS) — технология шифрования, предназначенная для защиты каналов связи между двумя организациями. TLS лучше всего использовать, когда организации необходимо гарантировать, что безопасность передачи сообщений электронной почты, отправленных в другую организацию, обеспечена. Вы можете настроить TLS на соединителях отправки и получения, используемых для обработки трафика для определенных партнеров или других организаций.

В локальной версии Exchange можно настроить TLS таким образом, чтобы пользователи получали уведомление, когда исходящее сообщение направляется через зашифрованное соединение TLS. Эта функция называется Domain Secure («Защита на уровне домена»). В Exchange Online она отсутствует.

Шифрование сообщений Office 365

Шифрование сообщений Office 365 (OME) – вероятно, первое, что вспоминает обычный пользователь, когда задумывается о зашифрованной электронной почте. OME шифрует и сохраняет сообщения, отправленные получателю вне Office 365. Получателю сообщения направляется уведомление о необходимости войти в OME для доступа к зашифрованному сообщению.

Существует много методов запуска OME для конкретного сообщения. Я обнаружил, что лучший способ активировать OME для конкретного сообщения — через правило транспорта. Правила транспорта позволяют администраторам клиента определить набор условий для применения защиты OME к сообщениям. Правила транспорта могут активировать OME на основе ключевого слова в строке темы или в результате пересылки сообщений конкретному пользователю или домену. В предыдущей статье серии было показано, как настроить правило транспорта для активации OME, когда строка темы начинается со слова Secure.

Управление правами на доступ к данным

На самом деле управление правами на доступ к данным (IRM) не предназначалось для использования в качестве технологии шифрования. Цель IRM – дать пользователям возможность контролировать работу получателей с содержимым сообщений на основе технологий шифрования.

С помощью IRM пользователь применяет к сообщению заранее подготовленный шаблон. Он содержит сведения о правах доступа к содержимому, предоставляемых получателям. В Exchange Online предусмотрено три стандартных шаблона для IRM. Если эти три шаблона не полностью соответствуют нуждам вашей компании, можно создать собственные шаблоны в соответствии с конкретными условиями.

IRM лучше всего использовать внутри компании. Главному управляющему может потребоваться разослать по всем подразделениям сообщение со сведениями о предстоящем контракте, которые не должны быть известны посторонним лицам, пока сделка не будет завершена. С помощью IRM можно запретить получателям пересылать сообщение. IRM не предотвратит всех действий злоумышленников, но обеспечивает инфраструктуру, которая облегчит сотрудникам соблюдение правил, принятых в компании.

Только стандартный шаблон IRM Do Not Forward («Не пересылать») можно использовать вне компании, но и он применяется только для отправки сообщений другим клиентам Office 365. Чтобы использовать IRM с сообщениями, отправляемыми компаниям вне Office 365, необходимо выполнить трудоемкую настройку инфраструктуры открытых ключей (PKI) в локальной службе Active Directory.

S/MIME

Secure/Multipurpose Internet Mail Extensions (S/MIME) — технология шифрования на стороне клиента. Достоинство и вместе с тем недостаток S/MIME в том, что шифрование происходит на стороне клиента. Это означает, что сообщения защищены от несанкционированного доступа со стороны администраторов внутри клиента, но в то же время правила транспорта и защита от вирусов не могут применяться к зашифрованным сообщениям S/MIME.

В силу особенностей шифрования с открытым ключом (описанных в первой статье серии), S/MIME работает «в обратном порядке»: назначая свой сертификат S/MIME, вы позволяете другим отправлять вам зашифрованные сообщения. Технология S/MIME может быть полезна как пользователям вне вашей организации, так и пользователям других платформ обмена сообщениями для пересылки шифрованных почтовых сообщений. Но этот процесс далеко не так прост, как использование службы OME.

Связь между клиентами и серверами

Независимо от используемого типа шифрования все связи между клиентом Outlook и сервером Exchange внутри Exchange Online шифруются. Связь может проходить через протоколы MAPI/HTTP, RPC over HTTP и т.д. Чтобы взглянуть на соединения, установленные между Outlook и Exchange Online, нужно нажать и удерживать клавишу Control и щелкнуть правой кнопкой мыши значок Outlook на панели задач. Из меню выберите Outlook Connection Status («Состояние подключения Outlook») — откроется окно, в котором показаны все соединения между клиентом Outlook и Exchange.

Когда ваши сообщения начнут поступать на серверы Exchange, можно быть уверенным, что они безопасно проведены через весь транспортный стек.

Подведение итогов

Итак, мы с вами довольно глубоко проникли в механизмы шифрования Exchange Online. Существует четыре различных способа (даже пять, если считать BitLocker) шифрования сообщений в Exchange Online, и каждый из них обеспечивает различные меры защиты для разных ситуаций. Надеюсь, прочитав мои статьи, вы узнаете что-то новое о защите сообщений в Exchange Online. По крайней мере, я сам очень многое открыл для себя в процессе работы над статьями.