Zakelijke e-mail en de 'verborgen gebreken'

Veel van de email technologie onttrekt zich aan het oog van de gewone gebruiker. Helaas is het niet te vermijden om u in deze materie te verdiepen voordat u geconfronteerd wordt met onaangename verrassingen. In dit artikel probeer ik de belangrijke aspecten van de email-technologie voor de zakelijke gebruiker uiteen te zetten.

Het probleem met de beveiliging van email is meervoudig:

1. Iedereen kan elk gewenst email-adres als afzender gebruiken. Er is vrijwel geen controle mogelijk. De betrouwbaarheid van een e-mail is dus niet aan het verzendadres af te lezen.
2. Email wordt gewoonlijk in onbeschermde vorm leesbaar over het netwerk en Internet getransporteerd. Het is voor netwerkbeheerders, Internetproviders en overheden een peulenschil om email te onderscheppen, te lezen, op te slaan en/of automatisch te analyseren.
3. SPAM: ongewenste email met reclame uitingen, pogingen tot oplichting, kwaadaardige programmacode en andere lekkernijen.

De gewone consument ervaart deze zaken vaak als hinderlijk, maar schikt zich in het lot en probeert ermee te leven. Een bedrijf kan zich een dergelijk houding meestal niet veroorloven. Per zakelijke email worden maar al te vaak vertrouwelijke teksten verzonden, die dan ook vertrouwelijk dienen te blijven. Een waterdichte bescherming bestaat echter niet, dat geldt overigens ook voor het versturen van berichten per traditionele post (bv: TNT).

Organisaties zijn wettelijk verplicht om hun correspondentie 7 jaar te bewaren. Dat geldt ook voor email. Het niet kunnen tonen van correspondentie kan door een rechter in uw nadeel uitgelegd worden. Met de gebruikelijke consumenten oplossingen voor email kan op geen enkele wijze aan deze wettelijke verplichting worden voldaan.

In dit artikel ga ik in op de zaken waar u op moet letten en welke afwegingen u dient te maken. Welke software en diensten kunt u gebruiken? Bij welke aanbieders kunt u terecht? Uiteraard biedt ook HeuvelTop oplossingen voor uw organisatie.

Een email-server is een programma, software, die email kan ontvangen en bewaren. Je kan het vergelijken met de postbussen op het postkantoor. Wanneer iemand jou een bericht stuurt wordt die als email in jouw postbus gelegd in de server waar jouw email-adres mee verbonden is. Je gebruikt een email-cliënt-programma om je berichten in jouw postbus te lezen. Voor zowel de email-server als voor de email-cliënt zijn heel veel verschillende software-programma's te verkrijgen. De meeste van die programma's werken zonder problemen samen omdat er afspraken zijn gemaakt over de wijze waarop die programma's met elkaar praten. Dat zijn de communicatie protocollen voor email: SMTP, POP3. IMAP, MAPI:

• SMTP: Het protocol waarmee email verzonden wordt en de feitelijke oorzaak van de onveiligheid van email. SMTP transporteert email in de vorm van leesbare tekstbestanden over Internet. Met SMTP wordt email ook tussen servers getransporteerd.
• POP3: Wordt gebruikt om mail op te halen van een server en naar een email-cliënt te kopiëren.
• IMAP: Wordt gebruikt om email op een server te lezen, terwijl de email op de server blijft staan. Dat de mail op de server blijft staan heeft het voordeel dat je met meerdere programma's, vanaf meerdere locaties, met meerdere verschillende apparaten (bv: PC en smart-phone) en eventueel ook met meerdere personen kunt lezen.

Naast de genoemde protocollen zijn er aanvullende voorzieningen zoals push-email wat helpt om bandbreedte en energie te besparen op smart-phones (o.a. i-Phone, Android). En er zijn voorzieningen om het verkeer tussen email-cliënt en -server te versleutelen. Het versleutelen kan zich beperken tot de inloggegevens (TLS, STARTTLS) of alle verkeer betreffen (SSL).

De meest bekende email-server is Exchange. Ondanks de hoge licentie-kosten is dit een populaire server omdat het als een alles in 1 pakket komt en eenvoudig op een Windows-server geïnstalleerd kan worden. Het beheer blijkt vooral de klein-zakelijk gebruiker vaak toch tegen te vallen.

Er zijn heel veel alternatieven voor Exchange: Zimbra, Zarafa, Iredmail om er een paar te noemen. Al deze servers bieden de bovengenoemde email protocollen en daarnaast allerlei aanvullende voorzieningen zoals agenda's en adresboeken. Al deze oplossingen hebben hun voor- en nadelen. Over het algemeen vragen de alternatieven oplossingen bij het opzetten iets meer technische kennis en ervaring. Maar uiteindelijk geldt dat ook voor het maken van echte oplossingen met Exchange. En dan is het fijn als je flink bespaart heb op de kosten door een (gratis) Open Source variant gekozen te hebben.

Het meest bekende email-cliënt is Outlook, maar ook hiervoor zijn er goede (gratis) alternatieven zoals Mozilla Thunderbird. Webmail is een vreemde eend in de bijt! Webmail is een website waarmee je kunt inloggen op je eigen email en dat je als email-cliënt kunt gebruiken. Om webmail te gebruiken hoef je geen software te installeren en de inlog-gegevens van je email-account niet op de PC waarmee je de email benadert op te slaan. Webmail is ideaal om je e-mail vanaf 'vreemde' locaties te gebruiken.

Internet Service Providers (ISP's) hebben 10-duizenden e-mail-postbussen per server. Dat is de enige manier waarop ze een dergelijke dienst tegen extreem lage kosten aan kunnen bieden. Om de grote hoeveelheden postbussen per server mogelijk te maken zonder zo'n server gigantisch over te belasten moet een ISP keuzen maken. De ISP kiest voor de beperkte functionaliteit van POP3 en een beperkte opslagruimte per postbus. IMAP vormt een zware belasting voor dit soort voorzieningen en wordt dus niet standaard aangeboden. Wel bieden ISP's webmail. Maar door het ontbreken van een IMAP toegang is die webmail moeilijk te combineren met een email-cliënt op je eigen PC of smart-phone.

Wat is er nodig om email te beschermen. Door de eenvoud van de SMTP-technologie zijn er meerdere niveaus van bescherming mogelijk:

1. De hoogste vorm van bescherming wordt geboden wanneer de inhoud van de e-mail versleuteld wordt. Voor de meest gangbare methode, PGP, moet de ontvanger van de e-mail vooraf een publieke sleutel beschikbaar stellen. Met zo'n sleutel kan alle voor de ontvanger bedoelde inhoud versleuteld worden. Het bericht kan dan alleen nog door de bedoelde ontvanger gelezen worden.
2. Een tweede niveau wordt geboden door het verkeer tussen email-cliënt en email-server te versleutelen met IMAP over SSL. Dat is veel eenvoudiger in te regelen dan PGP. Het e-mail verkeer binnen de eigen organisatie(s) is hiermee beschermt tegen nieuwsgierige oogjes. Helaas zal het verkeer tussen email-servers nog steeds met het onbeveiligde SMTP plaatsvinden. Maar met de juiste maatregelen kan verkeer tussen bepaalde organisaties ook via versleutelde kanalen plaatsvinden.
3. Geen bescherming: Wanneer een organisatie geen eigen email server heeft en gebruik maakt van email voorzieningen van een ISP. Alle verkeer gaat met SMTP en POP3 onbeschermd over Internet en kan eenvoudig door anderen (o.a. overheid) afgetapt worden.
4. Nog slechter dan geen bescherming: Een bijzondere categorie email vormt g-mail, hotmail en andere gratis email-diensten. Veel gebruikers zijn zich niet bewust dat deze 'gratis' diensten worden betaald middels de geautomatiseerde analyse van de inhoud van email. De analyses worden voornamelijk gebruikt om advertenties aan te bieden. Maar zeer waarschijnlijk ook voor het maken van analyses en het verzamelen van gegevens die voor andere doeleinden verkocht worden. O.a. g-mail biedt wel IMAP als extra lokkertje.

Het behoeft nauwelijks betoog dat niveau 2 voor organisaties als minimaal beschermingsniveau geldt. Niveau 1 is slechts in uitzonderlijke gevallen noodzakelijk.

Een mogelijke oplossing voor het afdoende beschermen van email is een eigen server. Een eigen email-server kan op meerdere manieren gerealiseerd worden:

1. Een eigen server opgesteld in het eigen pand. Alle email-verkeer binnen de eigen organisatie blijft binnen de muren van het pand.
2. Een eigen server op een externe locatie in een datacenter (hosting). Door het gebruik van IMAP over SSL blijft interne email ook binnen de eigen organisatie.
3. Een gehuurde virtuele server op een externe locatie (co-locatie). Als punt 2, maar dan goedkoper wegens het delen van de fysieke server door meerdere virtuele servers.
4. Het delen van een eigen server met een andere vertrouwde organisatie (bijvoorbeeld een leverancier). Hierin zijn vele 'opzetjes' mogelijk zoals branchegenoten die hierin samenwerken, ASP's die een dergelijke dienst aanbieden en o.a. HeuvelTop die deze dienst op de eigen mailservers biedt.

Het afwegen van de te kiezen software voor de email-server valt buiten het bestek van dit artikel.

HeuvelTop biedt oplossingen in alle genoemde categorieën:

1. Leveren, installeren en beheren van een Exchange-server (of Windows Small Business Server) of een Iredmail-server.
2. Hosting en co-locatie in de datacenters van Solcon.
3. De HeuvelTop email-server.

HeuvelTop biedt de mogelijkheid om uw email-domein op mail.heuveltop.nl af te handelen. Het voordeel is dat u een vast bedrag per maand betaald + een bedrag per postbus en niet hoeft te investeren in de aanschaf, configuratie en onderhoud van een eigen email-server.

De HeuvelTop email-server biedt de volgende voorzieningen:

• IMAP+SSL
• MAPI: push-email met z-push (Microsoft-Server-ActiveSync)
• Webmail: Roundcubemail die in combinatie met andere mailclients te gebruiken is.
• Sieve: mailfilters en out-of-office (in te stellen via webmail)
• Verschillende staffels voor mailbox quota (de omvang de email die u in uw mailbox kunt bewaren).

Graag doen wij u offerte voor een bij uw organisatie passende oplossing.

HeuvelTop heeft ook een oplossing ontwikkeld voor die klanten die al hun email-verkeer willen administreren en archiveren. Met deze oplossing is het mogelijk om te garanderen dat er geen email door medewerkers verwijdert wordt en daarna niet meer vindbaar is. Voor juridische en financiële toepassingen kan dit essentieel zijn voor de bewijsvoering in rechtszaken.

Frank van den Heuvel

Januari 2011