Como configuro um serviço de e-mail para fornecer (quase) conhecimento zero?

1
ISENÇÃO DE RESPONSABILIDADE - Eu estou pescando por idéias, então eu posso ver que algumas pessoas começarão a votar de baixo e sinalizar isso como inadequado para SF, mas, ei, se você sabe de um lugar melhor para fazer essa pergunta, existe uma caixa de comentários lá embaixo, não se esconda atrás de seus cliques.

Eu tenho este minúsculo servidor de produção que estou compartilhando com colegas e clientes próximos. Fui solicitado a fornecer um serviço de e-mail. Eu acho que nunca pensei sobre isso, mas fiquei horrorizado ao descobrir que os vários formatos de caixa de correio armazenam mensagens em texto claro, e perto de ninguém parece se importar muito. Então, imaginei que esses provedores sofisticados deviam estar fazendo algo nos bastidores. Eu não estou necessariamente pensando em ProtonMail, mas acho que o Google armazena mensagens com alguma forma de criptografia - e sim, eu percebo que esses serviços podem ter desenvolvido seu próprio software, mas ei. Então eu comecei a ler, e o mais próximo que eu cheguei foi uma configuração relativamente complexa do Exim4 envolvendo um GPG transport_filter com pares de chaves por usuário.

A verdade é que as mensagens que provavelmente circulam pelo servidor não serão muito confidenciais, e meus colegas e clientes são experientes o suficiente para usar o GPG, se necessário. Minha principal preocupação, ao contrário, é que essas mensagens estejam disponíveis em texto claro para qualquer pessoa - eu posso ver isso acontecendo assim que eu não ser o único gerenciando o servidor, o ocasional cat /var/mail/username (ou qualquer outro) irá acontecer. Pior de tudo, será feito o backup das mensagens em texto não criptografado - verdade, posso criptografar os backups.

Como eu disse, eu não quero fornecer um serviço como o protonmail, estou apenas procurando por algo que forneça alguma forma de cortina de fumaça contra administradores descuidados. Em particular, alguma forma de texto claro será necessária durante o trânsito, para coisas como antivírus e anti-spam. No entanto, se você tiver soluções convincentes e descomplicadas para algo mais seguro, estou aberto a todas as sugestões.

    
por Morpheu5 09.05.2016 / 14:22

2 respostas

3

I'm just looking for something that provides some form of smokescreen against careless admins.

Resposta curta: não, você não pode .

Se você estiver lidando com os administradores a primeira, a última e a única defesa será a criptografia end2end. Então, o GPG é a resposta.

Quem tem acesso root ao servidor (deve) tê-lo porque precisa dele e provavelmente sabe como os serviços são configurados (para mantê-los ou corrigi-los se algo der errado).

Então, se você configurar alguma obfuscação que tenha raiz provavelmente saberá como essa ofuscação foi feita e saberá como decodificar as mensagens, então:

  • Não adiciona nenhuma camada de segurança válida
  • Crie uma falsa sensação de segurança

A security system is only as secure as its secret. Beware of pseudo-secrets.

(Eric Raymond - The Cathedral and the Bazaar)

Em vez disso, você deve escolher sabiamente OMS tem credenciais de administrador:

  • Eles realmente precisam deles?
  • Um acesso sudo limitado adequado a alguns comandos específicos pode ser suficiente?

Outras soluções:

Criptografia GPG automática de todos os e-mails recebidos

PRO:

  • Mantenha caixas de correio IMAP protegidas por peepers
  • Os dados são seguros, mesmo que sejam roubados

CONS:

  • Precisa de um cliente configurado adequado para ler e-mails (sem acesso ao webmail)
  • O cliente deve concordar com isso, fornecer sua chave GPG pública e configurar seus clientes de e-mail (precisa de habilidades técnicas)
  • Remetente, destinatário, assunto e todos os cabeçalhos não são criptografados (os clientes devem estar cientes disso)
  • Precisa de algum servidor de trabalho e uma forma adequada de validar chaves públicas de clientes
  • A mensagem chega em texto não criptografado em seu servidor, para que possa ser interceptada antes da criptografia GPG

Criptografia de disco completo no servidor

PRO:

  • Pode manter os dados seguros se o servidor ou os discos forem roubados / apreendidos
  • Totalmente transparente, sem necessidade de configuração especial do servidor de email ou outros serviços

CONS:

  • Nenhuma proteção dos administradores ou se o servidor for invadido
  • É necessário inserir a senha em cada inicialização (através do SSH se apenas a partição de dados estiver criptografada ou em um KVM) e você deve confiar nesse canal.
  • Você terá um desempenho de i / o menor

Uso de criptografia end2end

PRO:

  • A maneira mais segura, mesmo que você não consiga acessar esses dados

CONS:

  • Os clientes devem fazê-lo e quem os clientes devem entrar em contato devem fazê-lo
  • Estar seguro deve ser feito em todos os e-mails de entrada / saída, sobre todos os e-mails de envio de serviço on-line não criptografados (mensagens de boas vindas, correios de mudança de senha, notificações etc.)
por 12.05.2016 / 15:33
3

É sempre uma surpresa saber que obviamente não é de conhecimento comum como o administrador do sistema (de um servidor de e-mail) e todos os seus amigos de nível C podem saber sobre você e sua comunicação acontecendo em sua empresa. O GPG, como mencionado acima, é obviamente uma opção - e você está certo: seus usuários podem ser os responsáveis por isso. Assim que o fizerem, você (o SysAd) não poderá mais ler seus e-mails ... a menos que você tenha a chave deles também. Dando os fatos que você descreveu, um bom número de usuários de e-mail não está usando.

A boa moda antiga provavelmente seria escrever um e-mail sugerindo isso ... mas isso pode ser uma abordagem além do propósito dessa plataforma. Uma solução muito atraente, no entanto (imho).

Dito isto, voltemos às opções técnicas:

Alguns anos atrás, em uma empresa que oferece esse tipo de proteção de privacidade gerenciada pelo usuário, usamos o PGP (que oferece uma Pretty Good Privacy ;-) que é certamente uma boa alternativa ao GPG (essas pessoas do GNU sempre querem mudar nossa opinião, não é?), mas ainda é por usuário.

Tenha em mente que a privacidade e o conhecimento têm um significado bem diferente. Pelo que você está escrevendo, acho que o que você quer é um nível adicional de privacidade para os outros ... como se fosse algum tipo de pensamento altruísta ou se preocupasse com informações confidenciais sentadas e com todo e qualquer administrador tendo acesso a elas. Eu acho que é bom você pensar assim e você provavelmente está exagerando para alguns usuários se você pensar assim. Eles podem até não querer que você mude o que todo mundo se acostumou (ou se acostumou a não saber). Então, se você quiser ir além do nível de ter cada indivíduo cuidando de suas informações confidenciais incluídas em e-mails e uma solução de criptografia individualizada não está disponível por qualquer motivo ... Eu acho que você tem que ir com a solução de servidor como discutido muito bem pelo @Tsumi ou você realmente vai para protonmail .

Ou - mais uma vez - você procura a solução humana mencionada acima - boa sorte para encontrar a melhor decisão para o seu caso de uso!

    
por 12.05.2016 / 20:31