Sådan sikrer du din e-mail mod overvågning

Med stigende overvågning af internettrafik og e-mail i lande som Sverige og USA, er der god grund til at sende e-mails af sted med SSL-kryptering. Men mange tænker ikke over det, siger dansk DNS-ekspert.

I Sverige har efterretningsvæsenet i halvandet år lyttet med på al internettrafik, der passerer Sveriges grænser - og dermed også meget dansk internettrafik. Og i USA diskuterer politikerne i disse dage en ny lovgivning, der ved hjælp af mere overvågning skal stoppe brud på ophavsretten.

Læs også: Hvad er SOPA? Kom med bag om kontroversiel antipiratlov

Alligevel er der mange danskere, som gør det meget let for andre at læse med i deres e-mails ved ikke at sende dem i en ’tunnel’ krypteret med SSL. Det fortæller Peter Larsen, direktør for Larsen Data, som i mange år har drevet GratisDNS.dk.

»Det er ikke default at bruge SSL-certifikater mellem mailserverne, så det skal du bede din mail-leverandør om. Vi begyndte selv på det, da den svenske lov om overvågning trådte i kraft, og en svensk kunde bad om kryptering,« siger Peter Larsen til Version2.

Men selvom det er nemt for mail-leverandørerne at slå til, er det ikke alle der bruger det, ligesom kunderne typisk heller ikke er opmærksomme på det, fortæller han.

Hos mail-leverandøren skal der bare sættes et hak i feltet med kryptering, før trafikken mellem de forskellige mailservere bliver beskyttet mod nysgerrige øjne. Men skal en e-mail holdes privat, skal den selvfølgelig beskyttes hele vejen fra afsender til modtager.

»Man skal også selv huske at kryptere forbindelsen mellem hjemmecomputeren og mailserveren, ellers hjælper det ikke ret meget, og så skal e-mails også hentes af modtageren med kryptering. Hvis ikke alt det er overholdt, kan andre lytte med undervejs,« siger Peter Larsen.

Bruger man en webmail-udbyder som Gmail, vil kontakten til disse servere normalt ske med kryptering som standard, eller også kan den slås til. Forbindelsen skal køre via https-protokollen under hele sessionen, ikke bare ved login.

En anden mulighed er at kryptere indholdet i e-mailen, men det koncept, som kræver en digital signatur, har aldrig vundet stor udbredelse i Danmark.

Læs også: EU-Domstolen forbyder krav om filtrering af internettrafik

I Danmark har mailudbyderne siden 2002 været forpligtet til at registrere alle e-mails med IP-adresser på afsender og modtager, mens indholdet ikke bliver gemt. Det skete med vedtagelsen af logningsbekendtgørelsen, der også indførte en registrering af hver 500. pakke internettrafik. Loven er under ny forhandling i disse dage, men justitsministeren kan ikke samle et flertal for at forlænge den nuværende ordning.

Læs også: Politikere i opgør med meningsløs overvågning af danskerne

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Eriksen

"En anden mulighed er at kryptere indholdet i e-mailen, men det koncept, som kræver en digital signatur, har aldrig vundet stor udbredelse i Danmark"

Kunne det være fordi, at den digitale signatur vi engang alle havde, er blevet skrottet og erstattet at noget der ikke er en digital signatur?

  • 3
  • 1
Henrik Kramshøj Blogger

Det er nu meget let, på postfix.

Du finder den komplette dokumentation på:
http://www.postfix.org/TLS_README.html

og med komplette mener jeg ALT der er at vide om det, inklusiv forklaringer, activity logging og setup til brug for client side SMTP.

Dvs efter at have lavet certifikater, som altid er lidt irriterende, så finder man guldkorn som:

Enabling TLS in the Postfix SMTP server
By default, TLS is disabled in the Postfix SMTP server, so no difference to plain Postfix is visible. Explicitly switch it on with "smtpd_tls_security_level = may".
Example:
/etc/postfix/main.cf:
smtpd_tls_security_level = may

Hvis det ikke er tæt på at "sætte et hak" så ved jeg ikke hvad er.

SMTP TLS som "opportunistic smtp tls", dvs kryptering hvor det er muligt, DET letter arbejdet meget.

Jeg vil dog selv foretrække noget mere PGP på email, og det virker også. Eksmempelvis med Enigmail plugin til thunderbird eller GPGMail til Mail.app på Mac OS X.

  • 0
  • 0
Ole Jørgensen

Som du selv skriver er certifikatgenerering ikke helt triviel (i hvert fald ikke bare at sætte hak), og jeg synes også, at det kræver overvejelser, og konfiguration af hvordan din MTA skal reagere, når den virker som afsender eller modtager, om der skal krypteres og/eller autentificeres - om forbindelsen skal fejle hvis kravet ikke kan opfyldes, eller der bare skal foretrækkes forbindelser, der opfylder kravet; med hvilken cipher-styrke, om hvem et præsenteret certifikat skal være udstedt til etc ... Masser af ting at konfigurere. Og gøres det ikke rigtigt, er det ikke sikkert at kunderne bliver glade.

Nogen HAR sikert lavet en gui til det. Jeg har bare ikke set nogen.

Og ja, få fingeren ud og brug pgp/gnupg!

  • 0
  • 0
Jonas Larsen

Sikke noget vrøvl... Med midnre man har tænkt sig at nægte at udveksle mails ukrypteret (hvilket alle andre end private brugere nok ikke rigtigt kan slippe afsted med) løser det nærmest ingenting at slå kryptering til på smtp? Med mindre alle de 1000vis af mailservere din server kommer i kontakt med løbende ALLE understøtter kryptering, har du ingen garanti for noget som helst...

Så hvad er det lige jeg misforstår? Hvis du vil sikre dine emails skal du kryptere emails'ne, hvordan er det lige det sikre noget som helst at ens mailserver understøtter kryptering, når man alligevel ikke kan kræve det?

  • 0
  • 0
Henrik Kramshøj Blogger

Lad mig sige det med det samme, GUI sucks ;-)
En SSH hvor man kan rette de simple linier i config som angivet, det virker selv over en tynd forbindelse fra Lagos.

Mht. certifikater så bruger jeg idag oftere og oftere vores F5 load balancer til at lave certifikater, men mange programmer inkluderer små scripts der idag gør det til en leg at lave certifikater. Det irriterende idag er at skulle lægge filerne de rigtige steder, og aligevel er det typisk nemmere end import/eksport i GUI programmer :-)

  • 0
  • 0
Maciej Szeliga

99.9% af alle sendte mails indeholder...


Voldsomt overvurderet. Personlige oplysninger, oplysninger om hvor man befinder sig på et givet tidspunkt, oplysninger om ting man køber og sælger, oplysninger om hvad man laver på sit arbejde.
Ja, det er skæg og blå briller... men i IT tidsladeren har man computere til at indsamle og bearbejde disse data så der kommer brugbare informationer ud af næsten ingenting. Desuden er "hvor er jeg hvornår" oplysninger brugt af indbrudstyve til at finde ud af hvornår indbrud kan begås, og oplysninger om hvad jeg har købt bruges til at finde ud af hvor det er værd at bryde ind.
Sandheden er at 97% af alle mennesker på Internettet ikke har fantasi nok til at forestille sig hvordan de oplysninger de dumper alle steder på nettet kan (mis)bruges.

  • 1
  • 0
Log ind eller Opret konto for at kommentere