Naar de inhoud
Avanet
Sophos Central Email Encryption - Ervaringsrapport

Sophos Central Email Encryption - Ervaringsrapport

25. FEBRUARI 2019

Om jullie altijd op de hoogte te houden van Sophos Central, heb ik me onlangs aangemeld voor het EAP (Early Access Program) voor E-mailversleuteling en heb ik de nieuwe functies nader bekeken en natuurlijk getest.

In dit artikel deel ik mijn tot nu toe opgedane ervaringen en wil ik jullie laten zien wat jullie van deze nieuwe functie kunnen verwachten.

Vereisten

Om deel te nemen aan het EAP voor E-mailversleuteling en deze functie ook na deze testfase te kunnen gebruiken, is een Sophos Central Email Gateway Advanced-licentie vereist.

E-mailversleuteling instellen

Wie zich heeft aangemeld voor het EAP voor E-mailversleuteling, vindt nu in de instellingen van Central Email Gateway het item Versleutelingsinstellingen. Zodra deze functie is geactiveerd, kunnen er nog een paar regels voor de berichtversleuteling worden gedefinieerd.

E-mailgateway-versleutelingsinstellingen
  • Hele bericht of alleen bijlagen: Standaard wordt het complete bericht als PDF versleuteld. Het is echter ook mogelijk om alleen bijlagen te versleutelen en het bericht als platte tekst te versturen.
  • Berichten met een onderwerpregel-tag verzenden: Met deze optie definieer je een willekeurige tekenreeks die dan telkens aan het begin van een onderwerp moet staan, zodat een bericht automatisch wordt versleuteld. Als je onderwerpregel-tag bijvoorbeeld “Secure:” heet, wordt elke e-mail die in het onderwerp met deze tag begint, versleuteld. Er wordt echter geen onderscheid gemaakt tussen hoofdletters en kleine letters.
  • Adressen en domeinen: Om niet elke keer met de onderwerpregel-tag te hoeven werken om een e-mail te laten versleutelen, is er een comfortabelere variant. Je kunt een lijst met adressen en domeinen aanmaken waarnaar alleen versleutelde berichten worden gestuurd.

E-mailversleuteling in de praktijk

Om versleuteling überhaupt te laten werken, mag je niet vergeten om in de domeinconfiguratie het inkomende en uitgaande verkeer door Sophos Email te laten scannen. Als uitgaande e-mails niet via Sophos Email worden geleid, kan er natuurlijk geen versleuteling plaatsvinden.

Als uitgaande gateway heb ik in mijn tests Microsoft Office 365 gebruikt.

E-mailversleuteling domeininstellingen

E-mails verzenden

Als alles correct is geconfigureerd, is het verzenden van versleutelde e-mails echt kinderspel! Deze oplossing van Sophos vereist geen speciale e-mailclient of speciale software die eerst nog geïnstalleerd moet worden. De manier waarop jullie tot nu toe e-mails verstuurden, verandert eigenlijk niets. Alleen bij de oplossing met de onderwerpregel-tag moeten jullie eraan denken om het onderwerp dienovereenkomstig te benoemen, zodat het bericht dan niet per ongeluk onversleuteld wordt verstuurd. Zelfs op mobiele besturingssystemen, zoals iOS of Android, werkte dit in mijn tests uitstekend.

Voor alle Office 365-gebruikers onder jullie biedt Sophos ook een Outlook-plug-in aan. Daardoor krijgen jullie in de menubalk een knop om met één klik het bericht vóór het verzenden nog te versleutelen. Werkte in mijn tests overigens zowel in de nieuwste Outlook op Windows en Mac, als in de browserversie.

E-mailversleuteling Office 365 Outlook-plug-in

Om de oplossing met de onderwerpregel grotendeels te omzeilen en het comfort nog verder te vergroten, kunt u het beste meteen bij het begin in de instellingen van E-mailversleuteling een lijst met domeinen en adressen aanmaken waarnaar altijd versleuteld wordt verzonden.

Zoals u misschien al in de hierboven beschreven instellingsmogelijkheden hebt gelezen, verpakt Sophos Email uw bericht in een met AES-256 versleutelde PDF-container. Ook bijlagen, zoals PDF’s, afbeeldingen, Word- en Excel-documenten, enz. kunt u met uw bericht meesturen.

E-mails ontvangen

De ontvanger krijgt eerst een e-mail van Sophos, die hem informeert dat er een versleuteld bericht op hem wacht. De ontvanger moet dan via een link eerst een wachtwoord definiëren, waarmee hij in de toekomst alle berichten van Sophos E-mailversleuteling kan ontcijferen. Vervolgens wordt het bericht aan hem geleverd, wat er op dit moment zo uitziet:

E-mailversleuteling melding

Omdat ik in de instellingen heb gedefinieerd dat zowel mijn e-mailbericht als alle bijlagen versleuteld moeten worden, zit mijn tekst nu verborgen in het bijgevoegde message.pdf, dat alleen met het juiste wachtwoord kan worden geopend.

Zelfs als Sophos aanraadt Adobe Acrobat te gebruiken, kon ik het message.pdf zelfs in de webversie van Outlook openen.

In mijn tests werden afbeeldingen, tekstbestanden en Open Office-documenten verpakt in een aparte PDF met de aanduiding attachments.pdf. Deze kon ik vervolgens met Acrobat bekijken en exporteren. Dit zou in theorie moeten werken in elke PDF-viewer die het weergeven van bijlagen in PDF-documenten ondersteunt.

E-mailversleuteling PDF-bijlagen

Bij sommige bestandstypes merkte ik dat deze alleen versleuteld waren en nog steeds afzonderlijk als bijlage werden vermeld. Alleen de oudere Microsoft-formaten, zoals .doc of .xls, werden samen met de afbeeldingen en tekstbestanden in de afzonderlijke attachments.pdf geplaatst.

E-mails beantwoorden

Om een versleuteld bericht te beantwoorden, klikt de ontvanger eenvoudigweg in het message.pdf op een link.

E-mailversleuteling - Antwoordlink in PDF

In de browser opent zich dan een invoermasker, dat voldoende functies biedt om een fatsoenlijke e-mail op te stellen. Ook bijlagen kunnen worden geüpload.

E-mailversleuteling - Antwoordinvoermasker

Wachtwoord vergeten?

Mocht het wachtwoord voor het ontsleutelen van een bericht ooit vergeten worden, wat mij tijdens mijn tests zelf zelfs is overkomen 😅, dan stuurt Sophos bij elk bericht een link mee om het wachtwoord opnieuw in te stellen.

Wat me positief verraste aan dit proces, is het feit dat het niet per se nodig is om meteen een nieuw wachtwoord toe te wijzen. De pagina voor wachtwoordherstel dient ook om het eerdere wachtwoord in te zien en opnieuw te gebruiken. In een lijst wordt weergegeven welk wachtwoord in welke periode eerder werd gebruikt. Dit is dan erg handig als je een eerder bericht opnieuw wilt bekijken, dat echter met een eerder wachtwoord was versleuteld.

E-mailversleuteling - PDF-wachtwoord vergeten

Conclusie

Het onderwerp e-mailversleuteling is al vele jaren steeds weer aanwezig. Hoewel iedereen graag een veilige e-mailoplossing zou willen gebruiken, strandt het uiteindelijk altijd bij het binnendringen in de comfortzone. Het verzenden van e-mails moet eenvoudig zijn en omdat de meeste mensen dit al vele jaren doen, mag het in geen geval ingewikkelder worden.

Met Sophos Central E-mailversleuteling heeft Sophos naar mijn mening een zeer goede oplossing gevonden om versleutelde e-mails super eenvoudig te verzenden, zonder iets aan de gebruikelijke procedure te veranderen. Dit proces werkt met elke e-mailclient en op elk besturingssysteem, zonder eerst iets te hoeven installeren. De configuratie wordt volledig onafhankelijk via Sophos Central uitgevoerd.

Waar ik nu echter nog niet in jubel, is de manier waarop de ontvanger dit versleutelde bericht krijgt. Afgezien van de op dit moment nog zeer agressieve Sophos-branding, vraag ik me af of we er in de toekomst aan kunnen wennen om elke keer een versleutelde PDF te openen om een e-mail te lezen? Zal dit een oplossing zijn die qua comfort massaal wordt aanvaard? Op dit punt ben ik er echt nog niet zo zeker van.

Wat ik echter echt goed geslaagd vind aan Sophos Central E-mailversleuteling, is de verwerking van de bijlagen. Wie vaak Word-documenten of PDF’s met gevoelige inhoud verstuurt, krijgt met E-mailversleuteling een geautomatiseerde oplossing die zorgt voor de versleuteling van dergelijke bijlagen. Ik zie hierbij ook geen grote overtreding van de comfortzone van de ontvanger, aangezien het ontsleutelen van dergelijke documenten met eenvoudige standaardmiddelen kan worden gedaan. Zoals beschreven in mijn testrapport, kon ik een versleutelde PDF zelfs in Outlook Webmail ontsleutelen en openen.

Hoewel we hier nog in het EAP zitten, maakt Central E-mailversleuteling nu al een zeer complete indruk op mij. In mijn tests werkte technisch gezien in ieder geval alles perfect. Alleen met betrekking tot de branding hoop ik dat Sophos ons in de toekomst iets meer speelruimte zal laten. Tot nu toe heb ik bijvoorbeeld geen mogelijkheid gevonden om een eigen bedrijfslogo in de e-mails te gebruiken. Laten we ons laten verrassen wat er hier voor de toekomst nog gepland is.

David

David

David is verantwoordelijk voor content, structuur en digitale implementatie bij Avanet. Zijn focus ligt op het helder, precies en zoekvriendelijk uitwerken van complexe technische onderwerpen.