Sådan får du sikker mail i Outlook

Microsoft Outlook er en af de mest populære e-mailklienter i verden. Men er det et godt valg, hvis man vil have en sikker mail? Bloggen her handler om, hvorvidt brugen af Outlook danner rammerne for en sikker mail. I denne forbindelse vil jeg se nærmere på hvad mail er, og hvad man skal være opmærksom på for at etablere en sikker mail.

Hvis man vil vide, hvordan man får en sikker mail, når man anvender Outlook, bør man først forstå, hvad en mail er. Teknisk set er en mail en digital fil, som sendes gennem internettet gennem servere. Når en mail sendes, starter den fra afsenderens e-mailklient til den når modtagerens mailserver. Modtagerens bruger herefter en e-mailklient – som eksempelvis Outlook – til at tilgå beskeden. Når mailen er modtaget, opbevares mailen på modtagerens server – eller downloades til en enhed, hvis der er tale om en mobile eller tablet. Modtageren ser nu mailen i sin indbakke. For afsenderen opbevares mailen tilsvarende på afsenderens mail-server, og afsenderen vil se mailen i sin udbakke i sin e-mailklient. Efter mailen er blevet sendt ligger den samme mail altså spredt ud på både modtager og afsenders mailserver.

Når man snakker om email-sikkerhed, skal man skelne mellem to faser af en mails levetid. Grunden til at man skal være opmærksom på disse to faser skyldes, at en mail skal beskyttes på én måde, når mailen er i den ene fase, mens den skal beskyttes på en anden måde, når den er i den anden fase. Den første fase er den tid hvor en mail sendes eller modtages. Dette fase kaldes “in transit”. Den anden fase er, når mailen er sendt eller modtaget og opbevares på en mailserver. Dette fase kaldes “in rest”.

En sikker mail betyder, at den mail man sender eller modtager (in transit) og opbevarer (in rest) er beskyttet mod uautoriseret adgang. Dette indebærer, at det kun er den tilsigtede modtager, der kan læse indholdet af e-mailen, og at data eller indhold ikke kan ændres undervejs. Når mailen er modtaget eller afsendt, indebærer en sikker mail også, at mailen opbevares på en måde, så den er beskyttet mod uvedkommende. Dette gælder både for modtager og afsender.

For at en mail skal være sikker, skal mailen krypteres. Det skal den være både når den er in transit og in rest.

Når en mail er i transit skal kryptering implementeres både af afsenderen og modtageren. Dette gøres ved hjælp af end-to-end-kryptering (E2EE) for at sikre, at kun afsender og modtageren får adgang til indholdet af mailen. Den mest almindelige teknologi til beskyttelse af mails in transit er TLS, som står for Transport Layer Security samt S/MIME, som står for Secure/Multipurpose Internet Mail Extensions. Når mailen er landet i modtagerens indbakken (samt i afsenderes afsendt post), og den opbevares in rest på en mailserver, sikrer E2EE, at mailens indhold forbliver krypteret.

At få en sikker mail, når man bruger Outlook er problematisk. Det er der fire årsager til:

1. Tilstrækkelig sikkerhed er dyrt: Standardudgaven af Outlook, Microsoft 365 Business Standard, krypterer mails in transit med TLS og S/MIME, men ikke med E2EE. Denne type kryptering kræver, at man har en Office 365 E3-licens. E3-licensen er dog en bekostelig affære, hvilket gør den irrelevant for små eller mellemstore virksomheder. Hertil skal det siges, at udvidede licenser fra Microsoft IT-ekspertise for at implementere. Dette betyder, at standardudgaven af Outlook ikke krypterer e-mails in rest, altså når de er gemt på mailserveren.

2. Afhængig af medarbejderne: Uanset sikkerhedsforanstaltninger i Outlook, beskytter Outlook ikke mod en dårlig mail-praksis, som når en medarbejder klikker på et link i en phishing-mail, bruger svage adgangskoder, undlader at opdatere software etc.

3. Afhængig af mailserveren: Outlook lagrer mails – i form af data – på mailservere. At mails indhold ikke bliver brudt, afhænger derfor af at mailserveren er beskyttet.

4. Afhængig af andre: Selvom man bruger Outlook, er man afhængig af at brugeren, som man modtager en mail fra eller sender en mail til, også har en sikker mail.

Outlook understøtter en sikker håndtering af mails. Men for at have en sikker mail, skal man have minimum en E3-licens til Outlook, og så er man stadig afhængig af éns medarbejdere, éns mailserver og éns kontaktperson. Det er således ikke simpelt at have en sikker mail, når man anvender Outlook – eller andre e-mailklienter for den sags skyld.

Hos Safe Onlines har vi udviklet ShareSimple til Outlook. ShareSimple er en upload-portal, der helt fjerner indholdet fra mails – inklusivt følsomt materiale. ShareSimple benytter TLS 1.2-kryptering under overførsel og RSA-kryptering, når mailen efterfølgende opbevares. På denne måde skal man hverken bekymre sig om datasikkerheden når det drejer sig om éns medarbejdere, éns mailserver eller dem man mailer med.