Всё о о Microsoft Exchange Server и электронной почте.

Шифрование сообщений в Outlook и «mail.ru»

Несколько раз я встречал на форумах вопросы о том, как обмениваться шифрованной почтой с пользователями из других доменов. Оказывается, что все не просто, а очень просто.

Первый раз я подключил сертификат в Outlook давно, но тогда моей главной задачей было настроить сертификаты для подписи сообщений. Попробовал, получилось. Шифрование тоже само заработало. Но все это работало внутри сети и работало между пользователями домена. Сертификаты выдавались на основе центра сертификации установленного в домене. Шифрование меня тогда не интересовало.

Пару дней назад увидел пост, где пользователь спрашивал о том, как послать зашифрованное сообщение пользователю внешнего домена, например mail.ru.

Нужно знать несколько базовых понятий.

  • Сервер Exchange не принимает участия в шифровании сообщений, он только шифрует трафик.
  • Шифрование сообщений происходит на клиенте и только на клиенте. Клиентом может быть, как Outlook, так и OWA или Outlook Express.

Технология шифрования работает так:

  1. Мне нужно отправить зашифрованное сообщение Леше Бурлаченко. Свое сообщение я подписываю (не шифрую!) . Подписанное сообщение содержит мой публичный ключ.
  2. Леша из моего сообщения сохраняет мой публичный ключ в своей адресной книге в контакте Павел Нагаев. (Посмотрите, в контактах есть вкладка Certificates)
  3. Леша использует мой публичный ключ для шифрования письма мне.
  4. Я получаю письмо и расшифровываю с помощью моего приватного ключа.

Если у Леши не будет установлено в Outlook своего собственного сертификата, то Outlook не даст отправить ему зашифрованное мне письмо. Windows Mail позволяет это сделать. Получить сертификат можно у вашего внутреннего центра сертификации или получить персональный сертификат у любого центра сертификации бесплатно. Например:

Thawte Comodo SSL Dekart

Вот в принципе и все. Только нужно понимать, что ваш клиент должен уметь расшифровывать письма. Если подобное письмо попадет на mail.ru или gmail.com, то прочитать его будет нельзя из WEB интерфейса. А вот если оно будет принято с помощью Outlook Express по POP3, то его вполне можно расшифровать.
С удовольствием жду ваших комментариев.

Шифрование сообщений электронной почты

Пошаговое руководство по использованию открытых ключей в Outlook 2000

Похожие посты:

  • Shadow

    добрый день
    хороший пост. но как выдать сертификат пользователю внешнего домена @mail.ru из своего локального CA?

  • http://www.exchangerus.ru Pavel Nagaev

    не понимаю, зачем это нужно? Объясните на примере.

  • http://www.samarasoft.ru Oleg Krylov

    А зачем, простите? Для этого есть бесплатные публичные службы. А Вы создаете контакт в AD, и ассоциируете с ним сертификат, присланный в подписанном сообщении.

  • Gennady Efimov

    самое интересное зачем так сделали.. для чего необходима своя собственная пара ключей для того чтобы я смог зашифровать сообщение для кого-то.. если я их даже не использую для шифрования..

  • Сергей

    «самое интересное зачем так сделали.. для чего необходима своя собственная пара ключей для того чтобы я смог зашифровать сообщение для кого-то.. если я их даже не использую для шифрования..»

    Потому, что это сама суть ассиметричного шифрования. Почитайте в сети, полно материалов по этому поводу.
    Я для того чтобы шифровать почтовые клиенты , использую программу CyberSafe . Она помимо шифрования может работать как корневой Центр Сертификации, чем мне несказанно импонирует. Ну а далее по стандарту. Установка сгенеренных программой сертификатов в почтовые клиенты (а она может работать с любыми из них), ну и далее, соответственно, само шифрование.

  • Oleg

    Кстати да, что касается киберсейфа — единственная адекватная программа для шифрования почты, да и вообще шифрования.
    У них даже есть подробнейшие мануалы по созданию и установке сертификатов в почтовых клиентах. Ссылку не помню, но ее всегда можно погуглить.
    Похожими функциями обладает еще open pgp но они, во первых, платные, во вторых на инглише, в третьих, как там что и куда, я так и не разобрался. Да и глючная она жутко — не выдержал, снес. Сейчас cybersafe стоит

  • http://www.exchangerus.ru Pavel Nagaev

    прикольно cybersafe рекламируют себя по блогам. Раз уж написали, то пусть будет.