Cifrado de correo electrónico

TL; DR: usa SMIME o PGP si estás paranoico de todo.

Más información:

Para responder a tu pregunta resumida: ¿Cómo proteges el correo electrónico? El correo electrónico prácticamente está sujeto a ataques por parte de falsificación de DNS , intercepción de WIFI y administradores de red no confiables, solo por nombrar algunos.

Para mitigar esto, debe considerar los diferentes aspectos que necesitan seguridad. Es probable que la mayoría de las empresas no tengan suficiente seguridad en al menos una de las siguientes áreas, por lo que cualquier cosa que envíe podría estar en texto claro y ser visible para alguien que no sea su destinatario.

En cada faceta de seguridad, enumeré los productos relevantes agrupados por la forma en que se implementan técnicamente. Hágase estas preguntas basándose en el contenido que está enviando por correo electrónico:

Verificación del remitente del mensaje

¿Necesita el destinatario una prueba de que fue usted quien envió el mensaje?

• SenderID / Registros SPF (verificación débil)
• Claves de dominio / DKIM (la fuerza depende de la implementación)
• DMARC (validación sólida de la pantalla del usuario ... híbrido de SenderID y DomainKeys)
• PGP o s / MIME (puede causar problemas de cumplimiento si se requiere registro en diario o auditoría de mensajes)
• Productos basados en portal (Voltage, Proofpoint, Zixmail)
• Microsoft RMS + Outlook

Transporte de mensajes

¿Debo evitar la lectura o modificación no autorizada del MTA del remitente del correo electrónico y de mi MTA?

• TLS forzado, con validación de certificado. Los certificados no validados están sujetos a ataques de MITM .
• TLS basado en Zix es una red TLS privada que no requiere configuración manual
• PGP o s / MIME (puede causar problemas de cumplimiento si se requiere registro en diario o auditoría de mensajes)
• Productos basados en portal (Voltage, Proofpoint, Zixmail)
• Microsoft RMS + Outlook

Leyendo el mensaje

¿Debo asegurarme de que solo el destinatario pueda leer el contenido del mensaje?

• PGP o s / MIME (puede causar problemas de cumplimiento si se requiere registro en diario o auditoría de mensajes)
• Productos basados en portal (Voltage, Proofpoint, Zixmail)
• servidor RMS de Microsoft

¿Debe ser seguro el punto final del cliente? (se aplica si no se utilizan más de 3 productos)

• El administrador de la red de destino está entregando correo electrónico usando un transporte seguro (MAPI cifrado, POP3 sobre TLS, etc.)
• El dispositivo de destino es seguro. Esto se aplica a las estaciones de trabajo y a los dispositivos mobile .
• Microsoft UAG agrega funciones a OWA donde se audita el punto final y se eliminará los archivos adjuntos remanentes en %temp% y restringen o deniegan el acceso a las funciones según lo exija la política
• Una alternativa a UAG es bloquear adjuntos para que no lleguen al cliente (como mencionó Henri por primera vez)

En primer lugar, me alegro de que no hayas sugerido diseñar el tuyo; De esa manera se encuentran años de inseguridad y apoyo a las pesadillas. PGP admite una PKI con certificados X509 [1], aunque pocas personas lo usan de esa manera. Otra opción es S / MIME, con certificados emitidos por una CA conocida [2]. De cualquier manera, obtiene la administración central de la jerarquía de confianza y puede omitir los dolores de cabeza asociados con WOT.

1: consulte enlace
  2: enlace

No sé si está buscando "lanzar su propia solución" o si su empresa está dispuesta a invertir en un producto comercial.

Si está interesado en un producto comercial, Voltage Security tiene "Voltage SecureMail" enlace que satisfaría las necesidades has descrito.