E-postkryptering forklart: TLS, S/MIME og PGP
TLS krypterer e-post i transitt, mens S/MIME og PGP tilbyr ende-til-ende-kryptering. Her er forskjellene forklart enkelt.
E-post er ikke et sikkert medium som standard. En e-post kan passere gjennom flere servere på veien fra avsender til mottaker, og uten kryptering kan innholdet i prinsippet leses underveis. For norske bedrifter som behandler konfidensiell informasjon – enten det er kundedata, juridiske dokumenter eller finansiell informasjon – er kryptering av e-post et viktig tiltak.
Det finnes imidlertid ikke én enkelt løsning: TLS, S/MIME og PGP løser ulike deler av problemet. Denne artikkelen forklarer hva hvert alternativ faktisk beskytter, og hjelper deg å velge riktig for din situasjon.
TLS – kryptering i transitt
Transport Layer Security (TLS) er den vanligste formen for e-postkryptering, og den skjer automatisk hvis begge e-postserverne støtter det. TLS krypterer forbindelsen mellom serverne mens e-posten er «i bevegelse» – på veien fra din server til mottakerens server.
STARTTLS er den vanligste mekanismen: serverne avtaler kryptert forbindelse ved oppkobling. Dersom begge parter støtter det, sendes e-posten kryptert. Støtter én av partene det ikke, sendes e-posten i klartekst.
Hva TLS beskytter – og ikke
- Beskytter mot: avlytting av trafikken mellom servere (man-in-the-middle på nettverksnivå)
- Beskytter ikke mot: tilgang til e-post mens den ligger lagret på serveren, tilgang for e-postleverandørens administratorer, kompromitterte kontoer
TLS er grunnleggende og bør være aktivert på alle e-postservere tilknyttet .no-domener. Sjekk at domenet ditt har korrekt e-postkonfigurasjon – les mer i vår guide om e-postsikkerhet for bedrifter .
S/MIME – ende-til-ende med sertifikater
S/MIME (Secure/Multipurpose Internet Mail Extensions) tilbyr ende-til-ende-kryptering. Det betyr at e-posten krypteres på avsenders enhet og kun kan dekrypteres av mottakeren – ingen server underveis, ikke engang e-postleverandøren, kan lese innholdet.
S/MIME bruker digitale sertifikater utstedt av en sertifikatmyndighet (CA). Avsender krypterer med mottakerens offentlige nøkkel; mottaker dekrypterer med sin private nøkkel. I tillegg kan S/MIME brukes til å signere e-post digitalt, slik at mottakeren kan verifisere at e-posten faktisk kommer fra deg.
Fordeler og ulemper med S/MIME
| Egenskap | S/MIME |
|---|---|
| Ende-til-ende-kryptering | Ja |
| Støttet i Outlook, Apple Mail | Ja, innebygd |
| Krever sertifikat fra CA | Ja – kan ha kostnad |
| Begge parter trenger sertifikat | Ja |
| Fungerer på tvers av organisasjoner | Ja, men krever utveksling av sertifikater |
S/MIME er godt egnet for bedrifter som kommuniserer jevnlig med faste partnere og ønsker et standardisert oppsett integrert i eksisterende e-postklienter.
PGP – ende-til-ende med web of trust
PGP (Pretty Good Privacy) – og den åpne standarden OpenPGP – er en annen tilnærming til ende-til-ende-kryptering. I stedet for sertifikater fra en sentral myndighet, bruker PGP et desentralisert tillitsnett («web of trust») der brukere signerer hverandres nøkler.
PGP er populært i tekniske miljøer, blant journalister og aktivister som trenger sterk konfidensialitet. Verktøy som GPG (GNU Privacy Guard) er gratis tilgjengelig for alle plattformer.
Fordeler og ulemper med PGP
| Egenskap | PGP/OpenPGP |
|---|---|
| Ende-til-ende-kryptering | Ja |
| Gratis å bruke | Ja |
| Ingen sentral myndighet | Ja – mer fleksibelt |
| Integrasjon i vanlige e-postklienter | Krever plugin (f.eks. Thunderbird/Enigmail) |
| Brukervennlighet | Lavere – krever teknisk forståelse |
For de fleste norske bedrifter er PGP mer komplekst å rulle ut enn S/MIME, men det er et godt valg der man trenger sterk kryptering uten avhengighet av kommersielle sertifikatmyndigheter.
Hva bør norske bedrifter velge?
Det finnes ikke ett riktig svar – det avhenger av bruksscenario:
- Bruker dere Microsoft 365 eller Google Workspace? TLS er sannsynligvis allerede aktivert. S/MIME kan aktiveres med riktige sertifikater.
- Kommuniserer dere med faste partnere og trenger dokumenterbar konfidensialitet? S/MIME er den mest praktiske løsningen.
- Trenger dere sterk, desentralisert kryptering uten tredjepartssertifikater? PGP er et alternativ, men krever mer opplæring.
- Sender dere e-post til allmennheten via .no-domenet? Sørg for at TLS er konfigurert, og vurder digital signering med S/MIME for e-post fra kritiske adresser.
Uansett valg: kryptering av e-post er ikke en erstatning for god autentisering og tilgangsstyring. Et kompromittert e-postpassord gir tilgang til all e-post uansett krypteringsmetode.
Kryptering og SPF/DKIM/DMARC
E-postkryptering og e-postautentisering er to ulike ting. SPF, DKIM og DMARC beskytter mot forfalsket avsender og e-postsvindel, men krypterer ikke innholdet. Begge sett med tiltak bør være på plass. Les vår detaljerte guide om SPF, DKIM og DMARC for å sikre at domenet ditt er riktig konfigurert.
Oppsummering
TLS beskytter e-posten mens den er i transitt mellom servere. S/MIME og PGP tilbyr ende-til-ende-kryptering der kun avsender og mottaker kan lese innholdet. For norske bedrifter anbefales det å ha TLS aktivert som minimum, og vurdere S/MIME eller PGP der konfidensialiteten er kritisk. Se alle sikkerhetstips hos Vymo for å bygge et helhetlig sikkerhetsbilde for .no-domenet ditt.
Klar til å sikre domenet ditt?
Sjekk om navnet er ledig – live mot registeret, på .no, .com og flere.