zentrale Emailverschlüsselung

Hallo,

ich suche eine Möglichkeit, Emails zentral am Server zu ver-/entschlüsseln. Dazu sollen je nach Empfänger und Absender die Schlüssel ausgewählt werden.
Es soll aber nicht der Transport zum empfangenden Mailserver verschlüsselt werden sondern die Email selbst.

Die Verschlüsselung soll bewusst nicht von den Mitarbeitern direkt gemacht (bzw. "vergessen") werden können und ausserdem sollen die Mails am Mailserver auf Viren untersucht werden können. Der gesamte Transport im Unternehmen läuft unverschlüsselt.

Schön wärs wenns da was freies gäbe, am Besten auf Linux Basis, dass ich in postfix oder amavis einbinden kann. Trotzdem sollen aber nicht die Funktionen von Postfix (header-checks, ...) umgangen werden können durch einen vorgeschalteten Gatewayserver.

Hat jemand in diese Richtung mit gnu-anubis Erfahrungen gemacht? Oder muss ich auf kommerzielle Produkte zurückgreifen?
Systeme wie VPS vom BSI oder JULIA sind für meinen Zweck hier überdimensioniert.

Vielen Dank für jeden Tip

poortramp

Mit Anubis könnte es gehen, allerdings kann Anubis noch mehr als nur E-Mails verschlüsseln, man kann z.B. damit auch zentral Signaturen an die E-Mails anhängen usw.

Eine Alternative wäre gpgrelay:
http://sites.inka.de/tesla/gpgrelay.html

//Edit: Ich sehe gerade: gpgrelay scheint nur für Windows zu sein.
Dann bleibt wohl nur Anubis. Das hat eine Aktion gpg-encrypt mit eingebaut. Die Aktion erwartet aber das man ihm sagt für wenn das ganze verschlüsselt werden soll. Da müsste man den To: und den CC: Header zerpflücken, das sollte aber machbar sein.

Hallo nbkr,

vielen Dank für die schnelle Info.

Wie kann ich anubis in meine Infrastruktur einbinden? Ich würde gerne den postfix weiterhin die Mails erstmal annehmen bzw. auf Grund der eingetragenen restrictrions rejecten lassen und einen Ver-/Entschlüsselungsdienst danach einbinden.
Gibts da irgendein Howto für postfix mit anubis?

Danke

poortramp

Bei sowas muss man unterscheiden zwischen Empfang von E-Mail und Versand von E-Mail.

Der Empfang läuft so:

Postfix(smtp) -> Courier Maildrop / procmail -> lokaler Speicher -> Auslieferung der Mails an Empfänger per IMAP oder POP3 Server (z.B. Courier).


Der Versand läuft (mit Anubis) so:

Userclient (Evolution, Outlook) -> Anubis -> lokaler Mailserver (Postfix) -> ab ins Internet


Somit kannst Du Anubis vor Postfix benutzen und von Postfix die Mails scannen lassen bzw. beim Empfang spielt Anubis gar keine Rolle mehr.

Du solltest noch bedenken dass wenn die Benutzer die E-Mails automatisch verschlüsselt bekommen, dann sollte auch eine automatische Entschlüsselung erfolgen. Das geht aber nicht mit Anubis. Dafür aber mit procmail (oder Couriermaildrop) und einem (selbstzubauenden) Perlscript.

Das Perlscript nimmt die Mail entgegen, speichert sie in einer Datei, ruft GPG auf und liefert die entschlüsselte Mail zurück.