Ik ben een Zivver-beheerder
Zivver instellen en beheren
Encryption Gateway
Inleiding
Deze gids legt uit wanneer u de Zivver Encryption Gateway gebruikt en hoe u deze instelt.
De Zivver Encryption Gateway maakt gebruik van mailflowregels in Microsoft Exchange (Server en Online) of Google Workspace om de veilige bezorging van geselecteerde berichten te implementeren.
Het is ook mogelijk om een externe applicatie direct te verbinden met de Zivver SMTP Gateway om alle berichten die vanuit die applicatie worden verzonden, veilig te bezorgen.
Implementeer de Encryption Gateway binnen uw organisatie om berichten veilig te bezorgen wanneer:
- Een specifiek (woord in de) onderwerpregel wordt gebruikt.
- Wanneer uw organisatie medewerkers de mogelijkheid wil bieden om een veilig bericht te versturen, ongeacht het apparaat en/of de applicatie die ze gebruiken om het bericht op te stellen. Bijvoorbeeld een mailapp op een mobiel apparaat waarvoor momenteel geen Zivver-client beschikbaar is.
- Wanneer uw organisatie medewerkers de mogelijkheid wil bieden om een veilig bericht te versturen, ongeacht het apparaat en/of de applicatie die ze gebruiken om het bericht op te stellen. Bijvoorbeeld een mailapp op een mobiel apparaat waarvoor momenteel geen Zivver-client beschikbaar is.
- Een bericht en/of bijlage een bepaalde Sensitivity Label heeft (alleen Microsoft Exchange).
- Wanneer uw organisatie gebruikmaakt van de Sensitivity Labels van Microsoft, zodat medewerkers eenvoudig voldoen aan uw beleid voor informatiebescherming.
- Wanneer uw organisatie gebruikmaakt van de Sensitivity Labels van Microsoft, zodat medewerkers eenvoudig voldoen aan uw beleid voor informatiebescherming.
- Een specifiek e-mailadres als afzender wordt gebruikt (alleen Microsoft Exchange).
- Wanneer een specifieke applicatie automatisch berichten verzendt die veilig moeten worden afgeleverd en een vast e-mailadres als afzender (From:) wordt gebruikt.
- Wanneer een specifieke applicatie automatisch berichten verzendt die veilig moeten worden afgeleverd en een vast e-mailadres als afzender (From:) wordt gebruikt.
- Een specifieke applicatie wordt gebruikt om berichten te verzenden.
- Wanneer alle berichten vanuit een specifieke applicatie veilig moeten worden afgeleverd en rechtstreeks vanuit de applicatie worden verzonden.
Vereisten
Om de Encryption Gateway te implementeren, moet uw organisatie aan de volgende vereisten voldoen.
- Microsoft Exchange (Server of Online) wordt gebruikt wanneer berichten veilig moeten worden afgeleverd op basis van:
- Een specifiek (woord in de) onderwerpregel.
- Een specifiek e-mailadres als afzender.
- Een specifiek (woord in de) onderwerpregel.
- Microsoft Exchange Online (Office 365) wordt gebruikt wanneer berichten veilig moeten worden afgeleverd op basis van een toegepaste Sensitivity Label.
- Microsoft’s Sensitivity Labels zijn alleen beschikbaar in Office 365 met bepaalde Microsoft-licenties.
- Microsoft’s Sensitivity Labels zijn alleen beschikbaar in Office 365 met bepaalde Microsoft-licenties.
- U gebruikt geen Secure Email Gateway (SEG).
- Uitzonderingen hierop zijn:
- Als de SEG een verbinding kan configureren met:
- Hostnaam: smtp.zivver.com
- Poort: 25 of 587
- Beveiliging: TLS 1.2 met STARTTLS
- Hostnaam: smtp.zivver.com
- Deze verbinding wordt geauthenticeerd door middel van:
- SMTP-inloggegevens.
- SPF-implementatie voor uitgaande berichten.
- SMTP-inloggegevens.
- Uitzonderingen hierop zijn:
- Google Workspace wordt gebruikt wanneer berichten veilig moeten worden afgeleverd op basis van:
- Een specifiek (woord in de) onderwerpregel.
- Een specifiek (woord in de) onderwerpregel.
- Een andere e-mailserver.
- U moet een verbinding configureren met:
- Hostnaam: smtp.zivver.com
- Poort: 25 of 587
- Beveiliging: TLS 1.2 met STARTTLS
- Deze verbinding wordt geauthenticeerd door middel van:
- SMTP-inloggegevens.
- SPF-implementatie voor uitgaande berichten.
- U moet een verbinding configureren met:
- Er moet een actief Zivver-account bestaan voor het e-mailadres van de afzender (From:).
- De Zivver DNS-instellingen moeten zijn geïmplementeerd. Hierdoor kan Zivver berichten verzenden namens de domeinen die uw organisatie gebruikt voor e-mailverzending.
Beperkingen
Houd rekening met de volgende beperkingen bij het gebruik van de Encryption Gateway.
- Zivver’s Data Loss Protection (DLP) is niet van toepassing op berichten die worden verzonden via de Zivver Encryption Gateway. U kunt Zivver’s DLP alleen gebruiken wanneer u een bericht verstuurt via een Zivver-client (integratie) of de Zivver DLP Gateway.
- Wanneer een mailflowregel in Microsoft Exchange (of een vergelijkbare functionaliteit in een andere e-mailserver of Secure Email Gateway) niet correct is ingesteld of is gedeactiveerd, kan het verzonden bericht mogelijk niet worden afgeleverd of als een regulier e-mailbericht worden bezorgd.
- Alleen wanneer een ontvanger een notificatiebericht ontvangt en binnen het Zivver Gastportaal reageert, ontvangt de oorspronkelijke afzender deze reactie veilig via Zivver. Als de ontvanger reageert op een bericht dat via een alternatieve bezorgmethode door Zivver is afgeleverd, hangt het van de e-mailserver van de ontvanger af hoe die reactie wordt beveiligd.
- Een reactie van de oorspronkelijke afzender op een antwoord van de ontvanger resulteert in het aanmaken van een nieuw Zivver-gesprek.
Zivver Encryption Gateway implementeren
De Zivver Encryption Gateway wordt geïmplementeerd in de e-mailserver van uw organisatie, een Secure Email Gateway (SEG) of een andere applicatie die e-mails verzendt. Om gebruik te maken van de Zivver Encryption Gateway moet de uitgaande e-mail worden doorgestuurd naar de SMTP Gateway van Zivver.
Verbinden met de SMTP Gateway van Zivver
Verbind uw e-mailserver, Secure Email Gateway (SEG) of verzendende applicatie met de SMTP Gateway van Zivver door de volgende specificaties te gebruiken:
- Hostnaam: smtp.zivver.com.
- Poort: 587.
- Beveiliging: TLS 1.2 met STARTTLS.
- Authenticatie wordt uitgevoerd door:
- Het verstrekken van SMTP-inloggegevens die door een Zivver-beheerder zijn gegenereerd in het Zivver Admin Panel.
- Het implementeren van SPF voor uitgaande berichten. De Zivver SMTP Gateway controleert of SPF slaagt en verifieert ook of het domein in de From-header berichten kan verzenden.
- Het verstrekken van SMTP-inloggegevens die door een Zivver-beheerder zijn gegenereerd in het Zivver Admin Panel.
Pas aan welke uitgaande berichten worden ingediend
Uw organisatie kan beslissen welke uitgaande berichten naar de SMTP Gateway van Zivver worden doorgestuurd en welke niet. U kunt bijvoorbeeld berichten naar bepaalde domeinen uitsluiten.
Voor meer informatie over hoe u deze verzonden berichten kunt filteren, raadpleegt u de documentatie van de derde partij. Dit kan zijn:
- Uw e-mailserver.
- Uw secure email gateway (SEG).
- Uw verzendende applicatie.
Of raadpleeg de onderstaande hoofdstukken voor meer informatie over hoe u berichten in Exchange kunt filteren.
Encryption Gateway implementeren in Microsoft Exchange
Dit hoofdstuk beschrijft hoe u de Encryption Gateway in Microsoft Exchange implementeert.
Met de implementatie van de Encryption Gateway in Microsoft Exchange kunt u berichten veilig afleveren wanneer:
- Een specifiek (woord in de) onderwerpregel wordt gebruikt.
- Een bericht en/of bijlage een bepaalde Sensitivity Label heeft (alleen Exchange Online).
- Een specifiek e-mailadres als afzender wordt gebruikt.
Om de Encryption Gateway in Microsoft Exchange te implementeren, zijn de volgende wijzigingen noodzakelijk:
- Maak een geaccepteerd domein aan (alleen Exchange On-premise).
- Maak een Contact aan (alleen Exchange On-premise).
- Maak een Connector aan.
- Maak een Regel aan.
Maak een geaccepteerd domein aan (alleen Exchange On-premise)
Volg de instructies in Een geaccepteerd domein maken in Exchange On-premise om een geaccepteerd domein aan te maken in Exchange On-premise.
Maak een Contact aan (alleen Exchange On-premise)
Volg de instructies in Een contact maken in het geaccepteerde domein om een contact aan te maken in Exchange On-premise.
Maak een Connector aan
De Encryption Gateway gebruikt een Connector om verzonden berichten naar de Zivver SMTP Server te sturen.
Voordat u begint met het maken van een connector, stuur een e-mail naar enterprise@zivver.com om te verzoeken uw domein toe te voegen aan de Zivver domeinallowlist. Dit is nodig om een verbinding te kunnen maken van Microsoft Exchange Online naar de Zivver SMTP Server.
Met Microsoft Exchange kan een uitgaand bericht slechts door één Connector worden verwerkt. Zorg er dus voor dat u van tevoren weet welke Connectors zijn geconfigureerd in Microsoft Exchange Online. Het kan mogelijk niet mogelijk zijn om de Encryption Gateway te implementeren, als het vereist is dat een andere specifieke Connector ook de verzonden berichten verwerkt. Als dit het geval is of als u hulp nodig heeft, stuur dan uw use case naar enterprise@zivver.com.
Lees Een connector maken in Exchange Online voor de stappen om een Connector aan te maken in Microsoft Exchange Online.
Lees Een connector maken in Exchange On-premise voor de stappen om een Connector aan te maken in Microsoft Exchange On-premise.
Maak een Regel aan
Met een Mail Flow Regel kunt u verzonden berichten filteren op:
- Een specifiek (woord in de) onderwerpregel.
- Een bericht en/of bijlage heeft een bepaalde Sensitivity Label (alleen Exchange Online).
- Een specifiek e-mailadres wordt gebruikt als de afzender.
Zodra een bericht is gefilterd, moet het naar de Zivver SMTP Server worden gestuurd om veilig naar de ontvanger te worden afgeleverd. Niet-gefilterde berichten worden onveilig afgeleverd, als een regulier e-mailbericht.
De onderstaande pagina’s beschrijven hoe u:
- Een Encryption Gateway Regel in Exchange Online maken voor een triggerwoord.
- Een Encryption Gateway Regel in Exchange Online maken voor een Sensitivity Label.
- Een Encryption Gateway Regel in Exchange Online maken voor een specifieke afzender.
- Een Encryption Gateway Regel in Exchange On-premise maken voor een triggerwoord.
- Een Encryption Gateway Regel in Exchange On-premise maken voor een specifieke afzender.
Encryption Gateway implementeren in Google Workspace
Dit hoofdstuk beschrijft hoe u de Encryption Gateway in Google Workspace implementeert.
Met de implementatie van de Encryption Gateway in Google Workspace kunt u berichten veilig afleveren wanneer:
- Een specifiek (woord in de) onderwerpregel wordt gebruikt.
Om de Encryption Gateway in Google Workspace te implementeren, zijn de volgende wijzigingen noodzakelijk:
- Maak een connector aan.
- Maak een Regel aan.
Maak een connector aan
De Encryption Gateway gebruikt een connector om verzonden berichten naar de Zivver SMTP Server te sturen.
Voordat u begint met het maken van een connector, stuur een e-mail naar enterprise@zivver.com om te verzoeken uw domein toe te voegen aan de Zivver domeinallowlist. Dit is nodig om een verbinding te kunnen maken van Google Workspace naar de Zivver SMTP Server.
Lees Een connector maken in Google Workspace voor de stappen om een connector aan te maken in Google Workspace.
Maak een Regel aan
Met een Mail Flow Regel kunt u verzonden berichten filteren op:
- Een specifiek (woord in de) onderwerpregel.
Zodra een bericht is gefilterd, moet het naar de Zivver SMTP Server worden gestuurd om veilig naar de ontvanger te worden afgeleverd. Niet-gefilterde berichten worden onveilig afgeleverd, als een regulier e-mailbericht.
De onderstaande pagina beschrijft hoe u:
Test de configuratie
Nadat de connector en de regel in Google Workspace zijn geconfigureerd, kun je de onderstaande stappen volgen om te testen of de configuratie werkt.
- Maak een nieuw e-mailbericht aan.
- Voeg een ontvanger toe.
- Voeg het woord toe dat je hebt gekozen zodat de e-mail via Zivver wordt verzonden (bijvoorbeeld Encrypt of Secure email) in het onderwerp.
- Voeg wat tekst toe in de body van de e-mail.
- Verstuur de e-mail.
- Controleer of de e-mail als Zivver-bericht is ontvangen.
Standaardgedrag
Elke e-mail die naar de Zivver Encryption Gateway wordt gestuurd, zal een nieuw beveiligd Zivver-gesprek starten. E-mails met meerdere ontvangers worden als volgt behandeld:
- ‘Aan’-ontvangers en ‘CC’-ontvangers worden onderdeel van hetzelfde beveiligde Zivver-gesprek. Er is geen onderscheid tussen ‘Aan’- en ‘CC’-ontvangers.
- Voor elke ‘BCC’-ontvanger wordt een apart beveiligd Zivver-gesprek gestart.
Elke ontvanger wordt geverifieerd volgens de meest veilige methode die beschikbaar is voor Zivver, in de volgende volgorde van prioriteit:
| Volgorde van prioriteit | Verificatiewijze | Gebruikt wanneer: | Bezorgmethode |
|---|---|---|---|
| #1 | Zivver-account | Deze methode wordt automatisch toegepast als de ontvanger een eigen Zivver-account heeft, dat is beschermd met 2FA. | Zivver-bericht notificatie 1 |
| #2 | NTA 7516 | Deze methode wordt automatisch toegepast wanneer zowel de afzender als de ontvanger voldoen aan de eisen van de NTA 7516. | Directe bezorging per e-mail |
| #3 | Aangepaste toegangsrechten | Toegangsrechten worden gespecificeerd in de Zivver-toegangsrechtenheader. Zie hieronder voor meer informatie over hoe dit kan worden gebruikt. | Zivver-bericht notificatie |
| #4 | Transportbeveiligingslaag | Deze methode wordt toegepast als uw organisatie transportbeveiligingsnaleving toestaat als een verificatiemethode voor de ontvanger. | Directe bezorging per e-mail |
| #5 | Tijdgebonden eenmalige toegangscode via sms | Ofwel de afzender of iemand anders binnen uw Zivver-organisatie kan een gedeelde SMS-verificatie hebben gebruikt voor deze specifieke ontvanger. Als de ontvanger succesvol dat bericht heeft geopend, kan dezelfde SMS-verificatie automatisch worden toegepast op dit nieuwe bericht naar dezelfde ontvanger. | Zivver-bericht notificatie |
| #6 | Toegangscodeverificatie | Ofwel de afzender of iemand anders binnen uw Zivver-organisatie kan een gedeelde toegangscode hebben gebruikt voor deze specifieke ontvanger. Als de ontvanger succesvol dat bericht heeft geopend, kan dezelfde toegangscode automatisch worden toegepast op dit nieuwe bericht naar dezelfde ontvanger. | Zivver-bericht notificatie |
| #7 | E-mailverificatie | E-mailverificatie wordt gebruikt als geen andere (veiligere) verificatiemethode beschikbaar is. | Zivver-bericht notificatie |
1 Ontvangers met een Zivver-account ontvangen een Zivver-bericht notificatie. Als ze deze notificatie openen in een e-mailclient met een Zivver-clientintegratie, zien ze de inhoud van het bericht direct binnen hun e-mailclient. Als het domein van de ontvanger behoort tot een organisatie die Zivver gebruikt en die inkomende directe bezorging (IDD) heeft ingeschakeld, wordt het bericht direct naar de inbox van de ontvanger bezorgd.
Specifieke toegangsrechten opgeven
Voor elke e-mail die naar de Zivver SMTP Gateway wordt verzonden, kunt u (optioneel) de verificatiemethode en de details voor de ontvanger(s) specificeren. Als aanwezig, wordt de opgegeven verificatiemethode gebruikt om de ontvangerverificatiemethode te bepalen in lijn met de prioriteitsvolgorde die in de vorige sectie is beschreven.
De verificatiemethode voor een ontvanger kan worden gespecificeerd met de volgende aangepaste e-mailheader:
zivver-access-right
Zivver ondersteunt het specificeren van twee verschillende ontvangerverificatiemethoden met deze header:
- SMS-verificatie via een tijdgebonden eenmalige toegangscode.
- Toegangscodeverificatie.
Om SMS-verificatie op te geven, moet de header het e-mailadres van de ontvanger bevatten, gevolgd door ‘sms’, gevolgd door het telefoonnummer van de ontvanger. Om toegangscodeverificatie op te geven, moet de header het e-mailadres van de ontvanger bevatten, gevolgd door ‘access-code’, gevolgd door de gewenste toegangscode.
Zivver vereist een aparte header per ontvanger. Het is mogelijk om verschillende toegangsrechten per ontvanger op te geven.
Hieronder volgt een voorbeeld met meerdere ontvangers en verschillende toegangsrechten:
zivver-access-right: recipient1@domain.com sms +31612345678
zivver-access-right: recipient2@domain.com sms +31687654321
zivver-access-right: recipient3@domain.com sharedAccessCode 135789
zivver-access-right: recipient4@domain.com sharedAccessCode 246789
Voorkeur voor directe levering opgeven
Voor elke e-mail die naar Zivver’s SMTP Gateway wordt verzonden, is het mogelijk om een voorkeur aan te geven voor directe levering van het bericht naar de ontvanger(s), als de ontvangende mailserver voldoet aan een bepaald minimumniveau van transportbeveiliging. Dit biedt de mogelijkheid om specifieke berichten prioriteit te geven voor directe levering, zelfs als ‘transportbeveiligingsnaleving’ geen ingeschakelde verificatiemethode is voor uw organisatie.
Als het opgegeven minimumniveau van transportbeveiliging niet beschikbaar is, valt Zivver terug op het standaardgedrag dat hierboven is beschreven.
Voorkeur voor directe levering van het bericht kan worden opgegeven met de volgende aangepaste e-mailheader:
zivver-direct-delivery
Het minimumniveau van transportbeveiliging is onderverdeeld in twee e-mailheaderopties:
- ‘tls’ is de minimale versie van Transport Layer Security (TLS)
- ‘auth’ is het minimale niveau van authenticatie van de ontvangende mailserver
Zivver ondersteunt momenteel de volgende waarden:
| Headeroptie | Ondersteunde waarden | Beschrijving |
|---|---|---|
| tls | tls1.2 | Dit dwingt Transport Layer Security versie 1.2 af. |
| auth | certificate-validation | Dit is een controle of de ontvangende mailserver een geldig certificaat heeft van een certificaatautoriteit (CA), en geen zelfondertekend certificaat. |
De headeroptie en de geselecteerde waarden moeten gescheiden zijn door spaties. Een complete header zou er als volgt uitzien: zivver-direct-delivery: tls tls1.2 auth certificate-validation
- tls=tls1.2
- auth=certificate-validation
Als deze header wordt gebruikt, wordt elke ontvanger nu geverifieerd volgens de volgende prioriteitsvolgorde:
| Prioriteitsvolgorde | Verificatiemethode | Leveringsmethode |
|---|---|---|
| #1 | Zivver-account | Zivver berichtmelding1 |
| #2 | NTA 7516 | Directe levering e-mail |
| #3 | Directe levering | Directe levering e-mail |
| #4 | Aangepaste toegangsrechten | Zivver berichtmelding |
| #5 | Transportbeveiligingsnaleving | Directe levering e-mail |
| #6 | Tijdgebonden eenmalige toegangscode via sms | Tijdgebonden eenmalige toegangscode via sms |
| #7 | Toegangscodeverificatie | Zivver berichtmelding |
| #8 | E-mailverificatie | Zivver berichtmelding |
Zie de volledige tabel met uitleg over elke verificatiemethode in de sectie ‘standaardgedrag’ hierboven.
Expliciet terugvallen naar e-mailverificatie
Wanneer directe levering met het opgegeven minimumniveau van transportbeveiliging niet mogelijk is, valt Zivver terug op het standaardgedrag. Zie hierboven. Er is echter één uitzondering: standaard voorkomt Zivver dat er teruggevallen wordt naar e-mailverificatie als de toegangscode voor e-mailverificatie via een verbinding gaat die niet het minimumniveau van transportbeveiliging heeft.
U kunt dit standaardgedrag overschrijven. Voeg de volgende aangepaste e-mailheader en waarde toe:
zivver-minimum-recipient-verification: verification-email
Alleen wanneer deze header wordt opgenomen met de bovenstaande waarde, staat Zivver het terugvallen naar e-mailverificatie toe. Als de header wordt opgenomen maar de waarde ontbreekt of ongeldig is, voorkomt Zivver het terugvallen naar e-mailverificatie. Als het terugvallen naar e-mailverificatie niet is toegestaan en er geen andere verificatiemethode beschikbaar is, retourneert Zivver een mislukt afleverstatus aan de afzender in een melding.
Behandeling van bijlagen voor direct geleverde berichten
Wanneer een e-mail direct aan de ontvanger(s) wordt geleverd, worden bijlagen kleiner dan 10 MB als reguliere bijlagen aan het bericht toegevoegd. Bijlagen groter dan 10 MB worden als veilige downloadlinks toegevoegd aan het bericht. Dit voorkomt mislukte leveringen.
Het downloaden van de bijlage via de veilige downloadlink vereist verificatie van de ontvanger. Ze moeten ofwel zijn ingelogd op hun Zivver-account of worden geverifieerd via e-mailverificatie.
E-mailverificatie is in dit geval altijd mogelijk: het bericht is direct geleverd. Dit betekent dat het vereiste niveau van transportbeveiliging is bereikt.
Verwijder Encryption Gateway
- Verwijder de gemaakte koppeling met Zivver Encryption Gateway in jouw Secure Email Gateway (SEG) of applicatie.
De exacte stappen zullen verschillen per applicatie. - Ga naar https://app.zivver.com/admin/smtp-credentials en schakel de SMTP-inloggegevens uit.