Poczta to wciąż najczęstszy kanał ataku na firmy. Podszywanie się pod prezesa, faktury z podmienionym numerem konta, przechwycona korespondencja. S/MIME nie rozwiązuje wszystkiego, ale zamyka dwie realne luki: pozwala potwierdzić, kto naprawdę wysłał wiadomość, i zaszyfrować jej treść tak, aby przeczytał ją tylko adresat.

Co daje S/MIME

S/MIME działa na dwa sposoby, które warto rozdzielić.

  • Podpis cyfrowy: potwierdza tożsamość nadawcy i to, że treść nie została zmieniona po drodze. Odbiorca widzi, że mail naprawdę pochodzi z Twojej domeny, a nie od kogoś, kto się pod nią podszywa.
  • Szyfrowanie: treść i załączniki są czytelne wyłącznie dla adresata. Nawet po przejęciu skrzynki lub podsłuchu w sieci wiadomość pozostaje bezużyteczna dla atakującego.

W praktyce najwięcej daje sam podpis. Odcina próby podszywania się pod zarząd, które są podstawą większości oszustw na przelew.

Skąd wziąć certyfikaty

Do S/MIME potrzebny jest certyfikat dla każdego użytkownika, wystawiony przez zaufany urząd certyfikacji.

  • Certyfikaty publiczne od komercyjnych dostawców, rozpoznawane wszędzie bez dodatkowej konfiguracji.
  • Certyfikaty z własnego urzędu certyfikacji, tańsze przy wielu użytkownikach, ale wymagające dystrybucji zaufania w organizacji.

Wybór zależy od tego, czy szyfrujesz głównie wewnątrz firmy, czy także z partnerami z zewnątrz.

Jak wdrożyć w Microsoft 365

W ekosystemie Microsoft 365 S/MIME wpina się w istniejące narzędzia, co upraszcza zarządzanie.

Kroki wdrożenia

  1. Wystaw lub kup certyfikaty dla użytkowników.
  2. Rozdystrybuuj certyfikaty i klucze na urządzenia, najlepiej automatycznie przez Microsoft Intune.
  3. Włącz obsługę S/MIME w Outlooku i aplikacji webowej.
  4. Ustal, kiedy podpis jest domyślny, a kiedy stosujemy pełne szyfrowanie.
  5. Zadbaj o bezpieczne przechowywanie kluczy prywatnych i kopię na wypadek utraty urządzenia.

Automatyczna dystrybucja przez Intune jest tu kluczowa. Ręczne wgrywanie certyfikatów na kilkadziesiąt komputerów kończy się chaosem i porzuceniem projektu.

Najczęstsze błędy

  • Utrata klucza prywatnego bez kopii: bez niego zaszyfrowane wcześniej maile stają się nie do odczytania. Zaplanuj odzyskiwanie kluczy, zanim wdrożysz szyfrowanie.
  • Szyfrowanie wszystkiego na siłę: część odbiorców nie obsługuje S/MIME. Zacznij od podpisu domyślnego, a szyfrowanie stosuj tam, gdzie ma sens.
  • Brak procedury dla nowych i odchodzących osób: certyfikaty trzeba wystawiać przy zatrudnieniu i unieważniać przy odejściu, jak każdy inny dostęp.

Czy S/MIME wystarczy

Nie, i nie taka jest jego rola. S/MIME to jedna warstwa. Działa najlepiej razem z poprawnym uwierzytelnianiem domeny, uwierzytelnianiem wieloskładnikowym i kontrolą wycieku danych. Dopiero razem tworzą sensowną ochronę poczty.

Jeśli chcesz wdrożyć S/MIME bez chaosu z certyfikatami, zrobimy to przy okazji wdrożenia Microsoft 365 albo jako osobny projekt, spięty z ochroną danych.