Sådan sikrer du din e-mail mod overvågning

10. januar 2012 kl. 10:448
Sådan sikrer du din e-mail mod overvågning
Illustration: iStock.
Med stigende overvågning af internettrafik og e-mail i lande som Sverige og USA, er der god grund til at sende e-mails af sted med SSL-kryptering. Men mange tænker ikke over det, siger dansk DNS-ekspert.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

I Sverige har efterretningsvæsenet i halvandet år lyttet med på al internettrafik, der passerer Sveriges grænser - og dermed også meget dansk internettrafik. Og i USA diskuterer politikerne i disse dage en ny lovgivning, der ved hjælp af mere overvågning skal stoppe brud på ophavsretten.

Alligevel er der mange danskere, som gør det meget let for andre at læse med i deres e-mails ved ikke at sende dem i en ’tunnel’ krypteret med SSL. Det fortæller Peter Larsen, direktør for Larsen Data, som i mange år har drevet GratisDNS.dk.

»Det er ikke default at bruge SSL-certifikater mellem mailserverne, så det skal du bede din mail-leverandør om. Vi begyndte selv på det, da den svenske lov om overvågning trådte i kraft, og en svensk kunde bad om kryptering,« siger Peter Larsen til Version2.

Men selvom det er nemt for mail-leverandørerne at slå til, er det ikke alle der bruger det, ligesom kunderne typisk heller ikke er opmærksomme på det, fortæller han.

Artiklen fortsætter efter annoncen

Hos mail-leverandøren skal der bare sættes et hak i feltet med kryptering, før trafikken mellem de forskellige mailservere bliver beskyttet mod nysgerrige øjne. Men skal en e-mail holdes privat, skal den selvfølgelig beskyttes hele vejen fra afsender til modtager.

»Man skal også selv huske at kryptere forbindelsen mellem hjemmecomputeren og mailserveren, ellers hjælper det ikke ret meget, og så skal e-mails også hentes af modtageren med kryptering. Hvis ikke alt det er overholdt, kan andre lytte med undervejs,« siger Peter Larsen.

Bruger man en webmail-udbyder som Gmail, vil kontakten til disse servere normalt ske med kryptering som standard, eller også kan den slås til. Forbindelsen skal køre via https-protokollen under hele sessionen, ikke bare ved login.

En anden mulighed er at kryptere indholdet i e-mailen, men det koncept, som kræver en digital signatur, har aldrig vundet stor udbredelse i Danmark.

I Danmark har mailudbyderne siden 2002 været forpligtet til at registrere alle e-mails med IP-adresser på afsender og modtager, mens indholdet ikke bliver gemt. Det skete med vedtagelsen af logningsbekendtgørelsen, der også indførte en registrering af hver 500. pakke internettrafik. Loven er under ny forhandling i disse dage, men justitsministeren kan ikke samle et flertal for at forlænge den nuværende ordning.

Fokus
Emner
8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
Lotte Manuelsen
15. januar 2013 kl. 15:08

99.9% af alle sendte mails indeholder sgu da ikke en skid som andre kan bruge til noget som helst så kryptering kan de fleste springe op og falde ned på

  • more_vert
    • insert_linkKopier link
8
Maciej Szeliga
15. januar 2013 kl. 16:15

99.9% af alle sendte mails indeholder...

Voldsomt overvurderet. Personlige oplysninger, oplysninger om hvor man befinder sig på et givet tidspunkt, oplysninger om ting man køber og sælger, oplysninger om hvad man laver på sit arbejde. Ja, det er skæg og blå briller... men i IT tidsladeren har man computere til at indsamle og bearbejde disse data så der kommer brugbare informationer ud af næsten ingenting. Desuden er "hvor er jeg hvornår" oplysninger brugt af indbrudstyve til at finde ud af hvornår indbrud kan begås, og oplysninger om hvad jeg har købt bruges til at finde ud af hvor det er værd at bryde ind. Sandheden er at 97% af alle mennesker på Internettet ikke har fantasi nok til at forestille sig hvordan de oplysninger de dumper alle steder på nettet kan (mis)bruges.

  • more_vert
    • insert_linkKopier link
5
Jonas Larsen
10. januar 2012 kl. 23:25

Sikke noget vrøvl... Med midnre man har tænkt sig at nægte at udveksle mails ukrypteret (hvilket alle andre end private brugere nok ikke rigtigt kan slippe afsted med) løser det nærmest ingenting at slå kryptering til på smtp? Med mindre alle de 1000vis af mailservere din server kommer i kontakt med løbende ALLE understøtter kryptering, har du ingen garanti for noget som helst...

Så hvad er det lige jeg misforstår? Hvis du vil sikre dine emails skal du kryptere emails'ne, hvordan er det lige det sikre noget som helst at ens mailserver understøtter kryptering, når man alligevel ikke kan kræve det?

  • more_vert
    • insert_linkKopier link
4
Ole Jørgensen
10. januar 2012 kl. 20:52

Som du selv skriver er certifikatgenerering ikke helt triviel (i hvert fald ikke bare at sætte hak), og jeg synes også, at det kræver overvejelser, og konfiguration af hvordan din MTA skal reagere, når den virker som afsender eller modtager, om der skal krypteres og/eller autentificeres - om forbindelsen skal fejle hvis kravet ikke kan opfyldes, eller der bare skal foretrækkes forbindelser, der opfylder kravet; med hvilken cipher-styrke, om hvem et præsenteret certifikat skal være udstedt til etc ... Masser af ting at konfigurere. Og gøres det ikke rigtigt, er det ikke sikkert at kunderne bliver glade.

Nogen HAR sikert lavet en gui til det. Jeg har bare ikke set nogen.

Og ja, få fingeren ud og brug pgp/gnupg!

  • more_vert
    • insert_linkKopier link
6
Henrik Kramselund
11. januar 2012 kl. 08:57

Lad mig sige det med det samme, GUI sucks ;-) En SSH hvor man kan rette de simple linier i config som angivet, det virker selv over en tynd forbindelse fra Lagos.

Mht. certifikater så bruger jeg idag oftere og oftere vores F5 load balancer til at lave certifikater, men mange programmer inkluderer små scripts der idag gør det til en leg at lave certifikater. Det irriterende idag er at skulle lægge filerne de rigtige steder, og aligevel er det typisk nemmere end import/eksport i GUI programmer :-)

  • more_vert
    • insert_linkKopier link
2
Peter Eriksen
10. januar 2012 kl. 13:55

"En anden mulighed er at kryptere indholdet i e-mailen, men det koncept, som kræver en digital signatur, har aldrig vundet stor udbredelse i Danmark"

Kunne det være fordi, at den digitale signatur vi engang alle havde, er blevet skrottet og erstattet at noget der ikke er en digital signatur?

  • more_vert
    • insert_linkKopier link
1
Ole Jørgensen
10. januar 2012 kl. 11:19

Det er vist lidt oversimplificeret, at der bare skal sættes et "hak" i feltet med kryptering, hos mailleverandøren ... Det er i hvert fald hverken tilfældet med sendmail, postfix, exim, eller qmail, som er de MTA'er jeg kender til..

  • more_vert
    • insert_linkKopier link
3
Henrik Kramselund
10. januar 2012 kl. 17:21

Det er nu meget let, på postfix.

Du finder den komplette dokumentation på:http://www.postfix.org/TLS_README.html

og med komplette mener jeg ALT der er at vide om det, inklusiv forklaringer, activity logging og setup til brug for client side SMTP.

Dvs efter at have lavet certifikater, som altid er lidt irriterende, så finder man guldkorn som:

Enabling TLS in the Postfix SMTP server
By default, TLS is disabled in the Postfix SMTP server, so no difference to plain Postfix is visible. Explicitly switch it on with "smtpd_tls_security_level = may".
Example:
/etc/postfix/main.cf:
smtpd_tls_security_level = may

Hvis det ikke er tæt på at "sætte et hak" så ved jeg ikke hvad er.

SMTP TLS som "opportunistic smtp tls", dvs kryptering hvor det er muligt, DET letter arbejdet meget.

Jeg vil dog selv foretrække noget mere PGP på email, og det virker også. Eksmempelvis med Enigmail plugin til thunderbird eller GPGMail til Mail.app på Mac OS X.

  • more_vert
    • insert_linkKopier link