Encryption Gateway

Introductie

Deze handleiding legt uit wanneer je de Zivver Encryption Gateway gebruikt en hoe je deze instelt.

Zivver Encryption Gateway maakt gebruik van Microsoft Exchange (Server en Online) of Google Workspace mailstroomregels om de beveiligde aflevering van geselecteerde berichten mogelijk te maken. Het is ook mogelijk om een externe applicatie direct te koppelen aan de Zivver SMTP Gateway om alle berichten die vanuit die applicatie worden verstuurd, veilig te bezorgen.

Gebruik Zivver Encryption Gateway binnen je organisatie om berichten veilig te bezorgen wanneer:

  1. Een specifiek (woord in het) onderwerp wordt gebruikt:

    • Bijvoorbeeld wanneer je organisatie wil dat medewerkers beveiligde berichten versturen, ongeacht het apparaat en/of de applicatie die ze gebruiken. Dit geldt bijvoorbeeld voor het gebruik van een mailapp op een mobiel apparaat waarvoor momenteel geen Zivver-client beschikbaar is.
  2. Een bericht en/of bijlage is voorzien van een bepaalde Sensitivity Label (alleen Microsoft Exchange):

    • Voor organisaties die Microsoft Sensitivity Labels gebruiken om medewerkers te helpen voldoen aan informatiebeveiligingsbeleid.
  3. Een specifiek e-mailadres wordt gebruikt als afzender (alleen Microsoft Exchange):

    • Wanneer een specifieke applicatie automatisch berichten verstuurt die veilig moeten worden afgeleverd en een vast e-mailadres gebruikt als afzender (From:).
  4. Een specifieke applicatie wordt gebruikt om berichten te versturen:

    • Wanneer alle berichten van een specifieke applicatie veilig moeten worden afgeleverd en rechtstreeks vanuit die applicatie worden verzonden.

Vereisten

Om Zivver Encryption Gateway te implementeren, moet jouw organisatie aan de volgende vereisten voldoen:

  • Microsoft Exchange (Server of Online) wordt gebruikt wanneer berichten veilig moeten worden afgeleverd in de volgende gevallen:
    • Er wordt een specifiek (woord in het) onderwerp gebruikt.
    • Er wordt een specifiek e-mailadres gebruikt als afzender.
  • Microsoft Exchange Online (Office 365) wordt gebruikt wanneer berichten veilig moeten worden afgeleverd op basis van een Sensitivity Label.
    • Microsoft Sensitivity Labels zijn alleen beschikbaar in Office 365 met specifieke Microsoft-licenties.
  • Je gebruikt geen Secure Email Gateway (SEG).
    • Uitzonderingen gelden als de SEG een verbinding ondersteunt met:
      • Hostnaam: smtp.zivver.com
      • Poort: 25 of 587
      • Beveiliging: TLS 1.2 met STARTTLS
    • De verbinding moet worden geverifieerd via:
      • SMTP-gegevens, of
      • SPF geconfigureerd voor uitgaande berichten.
  • Google Workspace wordt gebruikt wanneer berichten veilig moeten worden afgeleverd op basis van een specifiek (woord in het) onderwerp.
  • Er wordt een andere mailserver gebruikt.
    • Er moet een verbinding worden geconfigureerd met:
      • Hostnaam: smtp.zivver.com
      • Poort: 25 of 587
      • Beveiliging: TLS 1.2 met STARTTLS
    • De verbinding moet worden geverifieerd via:
      • SMTP-gegevens, of
      • SPF geconfigureerd voor uitgaande berichten.
  • Er moet een actief Zivver-account zijn voor het e-mailadres van de afzender (From:).
  • De Zivver DNS-instellingen moeten zijn geïmplementeerd. Dit zorgt ervoor dat Zivver berichten kan versturen namens het(e) domein(en) dat jouw organisatie gebruikt.

Beperkingen

Houd rekening met de volgende beperkingen bij het gebruik van Zivver Encryption Gateway:

  • Zivver’s Data Loss Protection (DLP) is niet van toepassing op berichten die via Zivver Encryption Gateway worden verzonden. Je kunt Zivver’s DLP alleen gebruiken bij het verzenden van een bericht met een Zivver-client (integratie) of Zivver DLP Gateway.
  • Als een mailstroomregel in Microsoft Exchange (of een vergelijkbare functionaliteit in een andere mailserver of Secure Email Gateway) verkeerd is geconfigureerd of uitgeschakeld, kan het bericht niet worden afgeleverd of als een gewone e-mail worden verzonden.
  • Alleen wanneer een ontvanger een notificatiebericht ontvangt en via het Zivver Guest Portal reageert, ontvangt de oorspronkelijke afzender het antwoord veilig via Zivver. Als de ontvanger antwoordt op een bericht dat via Zivver met een alternatieve leveringsmethode is afgeleverd, hangt het van de mailserver van de ontvanger af hoe dat antwoord beveiligd wordt.
  • Wanneer de oorspronkelijke afzender antwoordt op een reactie van de ontvanger, wordt een nieuwe Zivver-conversatie aangemaakt.

Zivver Encryption Gateway implementeren

Zivver Encryption Gateway wordt geïmplementeerd in de mailserver van je organisatie, Secure Email Gateway (SEG) of een andere applicatie die e-mail verzendt. Om Zivver Encryption Gateway te gebruiken, moet uitgaande e-mail worden aangeboden aan de SMTP Gateway van Zivver.

Verbinden met de SMTP Gateway van Zivver

Verbind je mailserver, Secure Email Gateway (SEG) of verzendapplicatie met de SMTP Gateway van Zivver volgens de volgende specificaties:

  • Hostnaam: smtp.zivver.com
  • Poort: 587
  • Beveiliging: TLS 1.2 met STARTTLS
  • Authenticatie gebeurt op één van de volgende manieren:
    • Door SMTP-gegevens te gebruiken die zijn aangemaakt door een Zivver-beheerder in het Zivver Admin Panel
    • Door SPF te implementeren voor uitgaande berichten. De Zivver SMTP Gateway controleert of SPF slaagt en verifieert ook dat het domein in de From-header gemachtigd is om berichten te versturen

Aanpassen welke uitgaande berichten worden verzonden

Je organisatie kan bepalen welke uitgaande berichten worden doorgestuurd naar de SMTP Gateway van Zivver en welke niet. Je kunt bijvoorbeeld berichten naar bepaalde domeinen uitsluiten. Voor meer informatie over het filteren van verzonden berichten, kun je de documentatie van derden raadplegen. Dit kan zijn:

  • Je mailserver
  • Je Secure Email Gateway (SEG)
  • Je verzendapplicatie

Of bekijk de onderstaande hoofdstukken voor meer informatie over het filteren van berichten in Exchange.

Implementatie van Encryption Gateway in Microsoft Exchange

Dit hoofdstuk beschrijft hoe je Encryption Gateway implementeert in Microsoft Exchange.

Met de implementatie van Encryption Gateway in Microsoft Exchange kun je berichten veilig afleveren wanneer:

  • Een specifiek (woord in het) onderwerp wordt gebruikt.
  • Een bericht en/of bijlage een bepaalde Sensitivity Label heeft (alleen Exchange Online).
  • Een specifiek e-mailadres wordt gebruikt als afzender.

Voor de implementatie van Encryption Gateway in Microsoft Exchange zijn de volgende aanpassingen nodig:

  • Een Accepted Domain aanmaken (alleen Exchange On-premise).
  • Een Contact aanmaken (alleen Exchange On-premise).
  • Een Connector aanmaken.
  • Een Regel aanmaken.

Een Accepted Domain aanmaken (alleen Exchange On-premise)

Volg de instructies in Een accepted domain aanmaken in Exchange on premise om een Accepted Domain aan te maken in Exchange On-premise.

Een Contact aanmaken (alleen Exchange On-premise)

Volg de instructies in Een contact aanmaken in accepted domain om een contact aan te maken in Exchange On-premise.

Een Connector aanmaken

Encryption Gateway gebruikt een Connector om verzonden berichten aan de Zivver SMTP-server te versturen.

Voordat je een connector aanmaakt, stuur je een e-mail naar enterprise@zivver.com om je domein toe te laten voegen aan de Zivver domein-allowlist. Dit is nodig om een verbinding te kunnen maken van Microsoft Exchange Online naar de Zivver SMTP-server.

Bij Microsoft Exchange kan een uitgaand bericht slechts door één Connector verwerkt worden. Weet daarom vooraf welke Connectors er in Microsoft Exchange Online zijn geconfigureerd. Het kan zijn dat het niet mogelijk is om Encryption Gateway te implementeren als vereist is dat een andere specifieke Connector ook de verzonden berichten verwerkt. In dat geval, of als je hulp nodig hebt, stuur je je use case naar enterprise@zivver.com.

Lees Een connector aanmaken in Exchange Online voor de stappen om een Connector aan te maken in Microsoft Exchange Online.

Lees Een connector aanmaken in Exchange On-premise voor de stappen om een Connector aan te maken in Microsoft Exchange On-premise.

Een Regel aanmaken

Met een Mail Flow Rule kun je verzonden berichten filteren op:

  • Een specifiek (woord in het) onderwerp.
  • Een bericht en/of bijlage met een bepaalde Sensitivity Label (Exchange Online alleen).
  • Een specifiek e-mailadres als afzender.

Als een bericht gefilterd wordt, moet het worden aangeboden aan de Zivver SMTP-server om het veilig aan de ontvanger te kunnen bezorgen. Niet-gefilterde berichten worden onbeveiligd afgeleverd, als een reguliere e-mail.

De onderstaande pagina’s beschrijven hoe je:

Encryption Gateway implementeren in Google Workspace

Dit hoofdstuk beschrijft hoe je Encryption Gateway implementeert in Google Workspace.

Met de implementatie van Encryption Gateway in Google Workspace kun je berichten veilig afleveren wanneer:

  • Een specifiek (woord in het) onderwerp wordt gebruikt.

Voor het implementeren van Encryption Gateway in Google Workspace zijn de volgende wijzigingen nodig:

  • Een connector aanmaken.
  • Een regel aanmaken.

Maak een connector aan

Encryption Gateway gebruikt een connector om verzonden berichten te versturen naar de Zivver SMTP Server.

Voordat je een connector aanmaakt, stuur je een e-mail naar enterprise@zivver.com om je domein toe te voegen aan de Zivver domein-allowlist. Dit is nodig om een verbinding te kunnen maken van Google Workspace naar de Zivver SMTP Server.

Lees Maak een connector aan in Google Workspace voor de stappen om een connector aan te maken in Google Workspace.

Maak een regel aan

Met een Mail Flow Rule kun je verzonden berichten filteren op:

  • Het gebruik van een specifiek (woord in het) onderwerp.

Zodra een bericht is gefilterd, moet het worden ingediend bij de Zivver SMTP Server om het veilig aan de ontvanger te kunnen leveren. Niet-gefilterde berichten worden onveilig afgeleverd, als een reguliere e-mail.

De onderstaande pagina beschrijft hoe je:

Test de configuratie

Nadat de connector en de regel zijn geconfigureerd in Google Workspace, kun je de onderstaande stappen volgen om te testen of de configuratie werkt.

  1. Maak een nieuwe e-mail op.
  2. Voeg een ontvanger toe.
  3. Vul het woord in dat je hebt gekozen zodat de mail via Zivver wordt verzonden (bijv. Encrypt of Secure email) in het onderwerp.
  4. Voeg wat tekst toe in de body van de e-mail.
  5. Verstuur de e-mail.
  6. Controleer of de e-mail als een Zivver-mail aankomt.

Standaardgedrag

Elke e-mail die wordt ingediend bij de Zivver Encryption Gateway start een nieuw beveiligd Zivver-gesprek. E-mails met meerdere ontvangers worden op de volgende manier behandeld:

  • ‘Aan’ ontvangers en ‘CC’ ontvangers worden onderdeel van hetzelfde beveiligde Zivver-gesprek. Er is geen onderscheid tussen ‘Aan’ en ‘CC’ ontvangers.
  • Voor elke ‘BCC’ ontvanger wordt een apart beveiligd Zivver-gesprek gestart.

Elke ontvanger wordt geverifieerd volgens de meest veilige methode die beschikbaar is voor Zivver, in deze volgorde van prioriteit:

Volgorde van prioriteitVerificatiemethodeGebruikt wanneer:Bezorgmethode
#1Zivver-accountDeze methode wordt automatisch toegepast als de ontvanger een eigen Zivver-account heeft, dat beveiligd is met 2FA.Zivver-berichtmelding 1
#2NTA 7516Deze methode wordt automatisch toegepast wanneer zowel de afzender als de ontvanger voldoen aan de eisen van de NTA 7516.Directe levering via e-mail
#3Aangepaste toegangsrechtenToegangsrechten zijn gespecificeerd in de Zivver access rights-header. Zie hieronder voor meer details over het gebruik hiervan.Zivver-berichtmelding
#4Transport security layerDeze methode wordt toegepast als jouw organisatie transport security compliance toestaat als verificatiemethode voor ontvangers.Directe levering via e-mail
#5Tijdelijke eenmalige toegangscode via smsDe afzender of iemand anders binnen jouw Zivver-organisatie heeft eerder een gedeelde sms-verificatie gebruikt voor deze specifieke ontvanger. Als de ontvanger dat bericht succesvol heeft geopend, kan dezelfde sms-verificatie automatisch worden toegepast op dit nieuwe bericht naar dezelfde ontvanger.Zivver-berichtmelding
#6Toegangscode-verificatieDe afzender of iemand anders binnen jouw Zivver-organisatie heeft eerder een gedeelde toegangscode gebruikt voor deze specifieke ontvanger. Als de ontvanger dat bericht succesvol heeft geopend, kan dezelfde toegangscode automatisch worden toegepast op dit nieuwe bericht naar dezelfde ontvanger.Zivver-berichtmelding
#7E-mailverificatieE-mailverificatie wordt gebruikt als geen andere (meer veilige) verificatiemethode beschikbaar is.Zivver-berichtmelding

1 Ontvangers met een Zivver-account ontvangen een Zivver-berichtmelding. Als zij deze melding openen in een e-mailclient met een geïnstalleerde Zivver client-integratie, zien zij de inhoud van het bericht direct binnen hun e-mailclient. Als het domein van de ontvanger behoort tot een organisatie die Zivver gebruikt en die inbound direct delivery (IDD) heeft ingeschakeld, wordt het bericht direct in de inbox van de ontvanger afgeleverd.

Specificeren van aangepaste toegangsrechten

Voor elke e-mail die wordt ingediend bij de Zivver SMTP Gateway kun je (optioneel) de verificatiemethode en details voor de ontvanger(s) opgeven. Indien aanwezig, wordt de opgegeven verificatiemethode gebruikt om de verificatiemethode van de ontvanger te bepalen, volgens de volgorde van prioriteit zoals beschreven in de vorige sectie. De verificatiemethode voor een ontvanger kan worden opgegeven met de volgende aangepaste e-mailheader:

zivver-access-right

Zivver ondersteunt het specificeren van twee verschillende verificatiemethoden voor ontvangers via deze header:

  • SMS-verificatie via een op tijd gebaseerde eenmalige toegangscode.
  • Toegangscode-verificatie.

Om SMS-verificatie te specificeren, moet de header het e-mailadres van de ontvanger bevatten, gevolgd door ‘sms’, gevolgd door het telefoonnummer van de ontvanger. Om toegangscode-verificatie te specificeren, moet de header het e-mailadres van de ontvanger bevatten, gevolgd door ‘sharedAccessCode’, gevolgd door de gewenste toegangscode. Zivver vereist een aparte header per ontvanger. Het is mogelijk om verschillende toegangsrechten per ontvanger op te geven. Hieronder een voorbeeld met meerdere ontvangers en verschillende toegangsrechten:

zivver-access-right: ontvanger1@domein.nl sms +31612345678
zivver-access-right: ontvanger2@domein.nl sms +31687654321
zivver-access-right: ontvanger3@domein.nl sharedAccessCode 135789
zivver-access-right: ontvanger4@domein.nl sharedAccessCode 246789

Voorkeur voor directe levering opgeven

Voor elke e-mail die wordt ingediend bij de Zivver SMTP Gateway is het mogelijk om een voorkeur op te geven voor directe levering van het bericht aan de ontvanger(s), mits de ontvangende mailserver voldoet aan een gespecificeerd minimaal niveau van transportbeveiliging. Hiermee kun je een voorkeur geven voor directe levering van specifieke berichten, ook als ‘transport security compliance’ geen ingeschakelde verificatiemethode is binnen jouw organisatie.

Als het opgegeven minimale niveau van transportbeveiliging niet beschikbaar is, valt Zivver terug op het standaardgedrag zoals hierboven beschreven.

Voorkeur voor directe levering kan worden aangegeven met de volgende aangepaste e-mailheader:
zivver-direct-delivery

Het minimale niveau van transportbeveiliging is opgesplitst in twee e-mailheader-opties:

  • ‘tls’ is de minimale versie van Transport Layer Security (TLS)
  • ‘auth’ is het minimale niveau van authenticatie van de ontvangende mailserver

Zivver ondersteunt momenteel de volgende waarden:

HeaderoptieOndersteunde waardenBeschrijving
tlstls1.2Dit dwingt Transport Layer Security versie 1.2 af.
authcertificate-validationDit controleert of de ontvangende mailserver een geldig certificaat heeft van een certificaatautoriteit (CA), en geen zelfondertekend certificaat

De headeroptie en de geselecteerde waarden worden gescheiden door spaties. Bijvoorbeeld, een volledige header ziet er als volgt uit: zivver-direct-delivery: tls tls1.2 auth certificate-validation

Opmerking

De opgegeven waarden zijn minimale waarden. Als een hogere TLS-versie en/of een hoger niveau van authenticatie van de ontvangende mailserver mogelijk is, zal Zivver die toepassen. Als de header aanwezig is maar één of beide waarden ontbreken of ongeldig zijn, valt Zivver terug op:

  • tls=tls1.2
  • auth=certificate-validation

Als deze header wordt gebruikt, wordt elke ontvanger nu geverifieerd volgens de volgende volgorde van prioriteit:

PrioriteitVerificatiemethodeLeveringsmethode
#1Zivver accountZivver berichtmelding1
#2NTA 7516Directe levering e-mail
#3Directe leveringDirecte levering e-mail
#4Aangepaste toegangsrechtenZivver berichtmelding
#5Transport security complianceDirecte levering e-mail
#6Tijdgebaseerde eenmalige code via smsTijdgebaseerde eenmalige code via sms
#7Toegangscode verificatieZivver berichtmelding
#8E-mail verificatieZivver berichtmelding

Zie de volledige tabel met uitleg over elke verificatiemethode in de sectie ‘default behavior’ hierboven.

Opmerking
NTA 7516 (prioriteit #2) krijgt nog steeds voorrang boven het opgegeven minimale niveau van transportbeveiliging omdat Zivver altijd het hoogst mogelijke niveau van transportbeveiliging toepast. Verificatie via Zivver account (prioriteit #1) krijgt ook voorrang omdat Zivver momenteel de leveringsvoorkeur van de ontvanger(s)organisatie voorrang geeft.
Opmerking
Het is nog steeds mogelijk om toegangsrechten voor ontvangers op te geven zoals beschreven in de vorige sectie. Die toegangsrechten worden gebruikt als Zivver terugvalt op een Zivver notificatiebericht.

Expliciet terugvallen op e-mailverificatie

Wanneer directe aflevering met het opgegeven minimale niveau van transportbeveiliging niet mogelijk is, valt Zivver terug op het standaardgedrag. Zie hierboven. Er is één uitzondering: standaard voorkomt Zivver dat wordt teruggevallen op e-mailverificatie als de toegangscode voor e-mailverificatie via een verbinding loopt die niet voldoet aan het minimale niveau van transportbeveiliging.

Je kunt deze standaard overschrijven door deze custom e-mailheader en waarde toe te voegen:
zivver-minimum-recipient-verification: verification-email

Alleen als deze header met de bovenstaande waarde is toegevoegd, staat Zivver toe om terug te vallen op e-mailverificatie. Als de header wel is toegevoegd maar de waarde ontbreekt of ongeldig is, voorkomt Zivver terugval op e-mailverificatie. Als terugval op e-mailverificatie niet is toegestaan en er geen andere verificatiemethode beschikbaar is, stuurt Zivver een mislukte afleveringsmelding terug naar de afzender.

Bijlageafhandeling voor direct afgeleverde berichten

Wanneer een e-mail direct aan de ontvanger(s) wordt afgeleverd, worden bijlagen kleiner dan 10MB toegevoegd als gewone bijlagen. Bijlagen groter dan 10MB worden toegevoegd als beveiligde downloadlinks om mislukte afleveringen te voorkomen.

Het downloaden van de bijlage via de beveiligde downloadlink vereist verificatie van de ontvanger. Zij moeten ofwel ingelogd zijn op hun Zivver-account, of worden geverifieerd via e-mailverificatie.

E-mailverificatie is in dit geval altijd mogelijk: het bericht is direct afgeleverd, wat betekent dat het vereiste niveau van transportbeveiliging is gehaald.

Opmerking
Een beveiligde downloadlink blijft geldig. Wanneer een ontvanger een toegangscode per e-mail aanvraagt, controleert Zivver niet opnieuw of de mailserver van de ontvanger voldoet aan het minimale niveau van transportbeveiliging dat vereist was voor de aflevering van het originele bericht.