Encryption Gateway

Introductie

Waarvoor gebruik je Zivver Encryption Gateway gebruikt en hoe stel je het in. Met Zivver Encryption Gateway kan je veilig berichten verzenden vanaf een mailserver of een applicaties die bericht verzendt via een SMTP-koppeling. Hiervoor is geen Zivver Client of integratie nodig in de applicatie zelf.

Vereisten

Om Zivver Encryption Gateway te implementeren, moet jouw organisatie aan de volgende eisen voldoen.

  • Uitgaande berichten moeten worden doorgestuurd vanaf de mailserver van jouw organisatie of rechtstreeks vanuit een applicaties naar Zivver’s SMTP Gateway.
  • Verbind jouw mailserver of applicatie met Zivver’s SMTP Gateway:
    • Hostnaam: smtp.zivver.com
    • Poort: 587
    • Beveiliging: TLS 1.2 met STARTTLS
    Authenticeer de verbinding met:
    • SMTP-inloggegevens.
    • SPF-implementatie voor uitgaande berichten.
  • Er moet een actief Zivver-account zijn voor het mailadres van de afzender (From:).
  • Voor het afzendend domein moeten de Zivver DNS-instellingen zijn geïmplementeerd. Dit betekent dat Zivver berichten mag verzenden namens dit domein.
  • Als er een Secure Email Gateway (SEG) wordt gebruikt, dan moet de SEG het uitgaande bericht doorsturen naar de Zivver SMTP Gateway. Zo zal Zivver Encryption Gateway de laatste “hop” zijn voordat het bericht veilig bij de ontvanger wordt afgeleverd.

Beperkingen

Zivver Encryption Gateway kent de volgende beperkingen:

  • De ontvanger van het bericht kan veilig reageren binnen het Zivver-gastportaal. Als de ontvanger op een andere manier reageert, dan kan de reactie als een normale reactie worden ontvangen.

  • Als de oorspronkelijke verzender reageert op een binnengekomen, veilige reactie, dan wordt er een nieuwe Zivver-conversatie begonnen.

Implementeer Zivver Encryption Gateway

Implementeer Zivver Encryption Gateway in de mailserver van jouw organisatie, Secure Email Gateway (SEG) of een applicatie. Uitgaande berichten worden daarbij aan de Zivver SMTP Gateway aangeboden, om veilig af te leveren bij de ontvanger(s).

Verbinden met Zivver’s SMTP Gateway.

Verbind jouw mailserver, Secure Email Gateway (SEG) of applicatie met Zivver’s SMTP Gateway:

  • Host name: smtp.zivver.com.
  • Poort: 587.
  • Beveiliging: TLS 1.2 met STARTTLS.
  • Authenticeer de verbinding met:
  • Gebruik SMTP-inloggegevens die zijn gegenereerd door een Zivver-beheerder in het Zivver-beheerdersportaal.
  • SPF is geïmplementeerd voor uitgaande berichten. De Zivver SMTP Gateway controleert of SPF slaagt en verifieert ook dat het domein in de From-header staat.

Bepaal welke uitgaande berichten veilig afgeleverd moeten worden

Bepaal welke uitgaande berichten moeten worden doorgestuurd naar Zivver’s SMTP Gateway en welke niet. Bijvoorbeeld, berichten naar bepaalde domeinen hoeven niet veilig afgeleverd te worden.

De mogelijkheid om uitgaande berichten te filteren, is afhankelijk van de mogelijkheden die de mailserver, SEG of applicatie biedt. Raadpleeg daarom de documentatie van de mailserver, SEG of applicatie voor meer informatie. Voor meer informatie over hoe u die verzonden berichten kunt filteren, raadpleegt u de documentatie van derden.

Hoe Zivver’s Mail Submission werkt

Ieder mail die wordt aangeboden bij Zivver Encryption Gateway, resulteert in een nieuwe veilige Zivver-conversatie. Als er meerdere ontvangers van het bericht zijn dan:

  • Worden zowel de ‘Aan’ ontvangers als de ‘CC’ ontvangers onderdeel van dezelfde veilige Zivver-conversatie. Binnen een Zivver-conversatie is er geen onderscheid tussen ‘Aan’ en ‘CC’ ontvangers.
  • Wordt er voor elke ‘BCC’ ontvanger een aparte veilige Zivver-conversatie gestart.

Zivver gebruikt de volgende prioritering om te bepalen hoe de ontvangers volgens de meest veilige methode geverifieerd kunnen worden:

Volgorde van prioriteit Verificatiemethode Wanneer toegepast? Wat krijgt de ontvanger?
#1 Zivver-account Deze methode wordt automatisch toegepast als de ontvanger een Zivver-account heeft, dat standaard is beveiligd met een 2FA. Zivver-notificatiebericht
#2 NTA 7516 Deze methode wordt automatisch toegepast wanneer zowel de verzender als de ontvanger voldoen aan de eisen van de NTA 7516. Direct leesbaar bericht
#3 Verificatiemethode specificeren In een Zivver-mailheader is een verificatiemethode (SMS of toegangscode) gespecificeerd. Zie verderop in deze handleiding over hoe je dit gebruikt. Zivver-notificatiebericht
#4 Transportbeveiligingslaag Deze methode wordt toegepast als jouw organisatie transportbeveiligingscompliance toestaat als verificatiemethode voor de ontvanger. Zie verderop in deze handleiding over hoe je dit gebruikt. Direct leesbaar bericht
#5 SMS-code Ofwel de verzender of iemand anders binnen jouw Zivver-organisatie heeft eerder sms-verificatie gebruikt voor deze specifieke ontvanger. Als de ontvanger dat bericht succesvol heeft geopend, dan kan dezelfde sms-verificatie automatisch worden toegepast op dit nieuwe bericht aan dezelfde ontvanger. Zivver-notificatiebericht
#6 Toegangscode verificatie Ofwel de verzender of iemand anders binnen jouw Zivver-organisatie heeft eerder een gedeelde toegangscode gebruikt voor deze specifieke ontvanger. Als de ontvanger dat bericht succesvol heeft geopend, dan kan dezelfde gedeelde toegangscode automatisch worden toegepast op dit nieuwe bericht aan dezelfde ontvanger. Zivver-notificatiebericht
#7 E-mailverificatie E-mailverificatie wordt gebruikt als er geen andere (veiligere) verificatiemethode beschikbaar is. Zivver-notificatiebericht

Opmerking Ontvangers met een Zivver-account ontvangen een Zivver-notificatiebericht. Als ze dit bericht bekijken in een e-mailclient met een geïnstalleerde Zivver-clientintegratie, dan wordt het ontsleutelde Zivver-bericht getoond (i.p.v. het Zivver-notificatiebericht). Als het domein van de ontvanger behoort tot een organisatie die Zivver gebruikt en die inkomende directe bezorging (IDD) heeft ingeschakeld, dan wordt het Zivver-bericht onversleuteld en direct leesbaar in de inbox van de ontvanger afgeleverd (i.p.v. het Zivver-notificatiebericht).

Verificatiemethode specificeren

Het is mogelijk om in een bericht (dat wordt aangeboden bij de Zivver SMTP Gateway) een verificatiemethode te specificeren. Deze verificatiemethode wordt dan automatisch toegepast voor die specifieke ontvanger.

Je specificeert de verificatiemethode voor een ontvanger middels een Zivver-mailheader:

zivver-access-right

Je kan twee type verificatiemethoden specificeren:

  • SMS-verificatie
  • Toegangscode

Om SMS-verificatie te specificeren, moet de Zivver-mailheader het e-mailadres van de ontvanger bevatten, gevolgd door ‘sms’, gevolgd door het telefoonnummer van de ontvanger. Om een toegangscode te specificeren, moet de Zivver-mailheader het e-mailadres van de ontvanger bevatten, gevolgd door ‘access-code’, gevolgd door de gewenste toegangscode. Voor iedere ontvanger specificeer je een nieuwe Zivver-mailheader. Het is daarmee mogelijk om per ontvanger een andere verificatiemhetode te specificeren. Hieronder staan verschillende voorbeelden:

zivver-access-right: ontvanger1@domein.com sms +31612345678

zivver-access-right: ontvanger2@domein.com sms +31687654321

zivver-access-right: ontvanger3@domein.com sharedAccessCode 135789

zivver-access-right: ontvanger4@domein.com sharedAccessCode 246789

Transportbeveiligingslaag

Het is mogelijk om in een bericht (dat wordt aangeboden bij de Zivver SMTP Gateway) een transportbeveiliginglaag te specificeren als verificatiemethode. Het voordeel van deze verificatiemethode is dat de ontvanger het Zivver-bericht direct leesbaar ontvangt, maar wel op een veilige manier. Daarvoor moet de ontvangende mailserver een gespecificeerd minimaal niveau van transportbeveiliging ondersteunen.

Als de ontvangende mailserver het gespecificeerde minimale niveau van transportbeveiliging niet behaalt, dan valt Zivver terug op het eerder beschreven standaardgedrag om de ontvanger te verifiëren.

Je specificeert transportbeveiliginglaag als verificatiemethode voor een ontvanger middels een Zivver-mailheader:

zivver-direct-delivery

Het minimale niveau van transportbeveiliging is onderverdeeld in twee e-mailheaderopties:

  • 'tls' is de minimale versie van Transport Layer Security (TLS)
  • 'auth' is het minimale niveau van authenticatie van de ontvangende mailserver

Zivver ondersteunt daarbij de volgende waarden:

Headeroptie Ondersteunde waarden Beschrijving
tls tls1.2 Dwingt Transport Layer Security versie 1.2 af.
auth certificate-validation Dit is een controle dat de ontvangende mailserver een geldig certificaat heeft van een certificeringsinstantie (CA) en niet een zelfondertekend certificaat.

Een voorbeeld van een ingestelde Zivver-mailheader voor transportbeveiliginglaag is: zivver-direct-delivery: tls tls1.2 auth certificate-validation

De gespecificeerde waarden zijn minimumwaarden. Indien een hogere versie van TLS en/of een hoger niveau van authenticatie van de ontvangende mailserver mogelijk is, dan past Zivver deze automatisch toe. Indien de header aanwezig is maar een of beide waarden ontbreken of zijn ongeldig, dan zal Zivver standaard terugvallen op:
  • tls=tls1.2
  • auth=certificate-validation
NTA 7516 (prioriteit #2) heeft voorrang boven het gespecificeerde minimumniveau van transportbeveiliging, omdat Zivver altijd het hoogst mogelijke niveau van transportbeveiliging toepast. Een Zivver-account (prioriteit #1) heeft ook voorrang boven het gespecificeerde minimumniveau van transportbeveiliging, omdat Zivver momenteel voorrang geeft aan de leveringsvoorkeur van de ontvanger (organisatie).
Het is nog steeds mogelijk om - naast transportbeveiliginglaag - ook een verificatemethode te specificeren in een Zivver-mailheader. Zivver past dan deze gespecificeerde verificatemethode toe, als de ontvangende mailserver niet voldoet aan de eisen voor de transportbeveiliginglaag.

Terugvallen op e-mailverificatie

Wanneer de ontvangende mailserver het gespecificeerde minimumniveau van transportbeveiliging op dat moment niet ondersteunt en er geen andere verificatiemethode mogelijk is, dan valt Zivver terug op e-mailverificatie. Maar alleen als de verificatiecode wel via het minimumniveau van transportbeveiliging op dat moment kan worden afgeleverd. Anders stuurt Zivver een melding (bounce) terug naar de afzender van het bericht, over dat het bericht niet kan worden afgeleverd.

Het is mogelijk om deze laatste controle aan te passen, waardoor de verificatiecode wel mag worden afgeleverd. Gebruik daarvoor deze Zivver-header:

zivver-minimum-recipient-verification: email-verification

Als de header is opgenomen maar de waarde ontbreekt of is ongeldig, dan voorkomt Zivver dat er wordt teruggevallen op e-mailverificatie.

Zivver-bijlagen

Wanneer een bericht veilig en onversleuteld wordt afgeleverd, dan worden bijlagen kleiner dan 10 MB toegevoegd aan het bericht als reguliere bijlagen. Bijlagen groter dan 10 MB worden toegevoegd aan het bericht als beveiligde downloadlink. Dit om te voorkomen dat de ontvangende mailserver het bericht weigert, omdat het te groot is.

Het downloaden van de bijlage via de beveiligde downloadlink vereist verificatie van de ontvanger. Ze moeten zijn ingelogd op hun Zivver-account of worden geverifieerd via e-mailverificatie.

In dit geval is e-mailverificatie altijd mogelijk: het bericht is rechtstreeks geleverd. Dat betekent dat het vereiste niveau van transportbeveiliging is gehaald.

Een beveiligde downloadlink blijft geldig. Wanneer een ontvanger een toegangscode aanvraagt via e-mail, controleert Zivver niet opnieuw of de mailserver van de ontvanger voldoet aan het vereiste minimumniveau van transportbeveiliging voor de levering van het oorspronkelijke bericht.

Verwijder Encryption Gateway

  1. Verwijder de gemaakte koppeling met Zivver Encryption Gateway in jouw Secure Email Gateway (SEG) of applicatie.
    De exacte stappen zullen verschillen per applicatie.
  2. Ga naar https://app.zivver.com/admin/smtp-credentials en schakel de SMTP-inloggegevens uit.