Beveiliging instellen

De configuratiedialoog Beveiliging laat u bepaalde opties voor opgemaakte tekst (HTML) fijn afstemmen. Het biedt u ook functies voor versleutelen en ontsleutelen, sommige ingebouwde anti-phishing logica aanpassen en hoe verzoeken voor meldingen over ontvangen / gelezen worden behandeld. Merk op dat deze dialoog niets te maken heeft met beveiligingsinstellingen voor anti-virus. Zie het hoofdstuk KMail gebruiken: de anti-virus assistent als u beveiliging tegen anti-virus wilt.

Lezen

Beveiliging bij lezen

Het tabblad Beveiliging (lezen)

 

Op dit tabblad kunt u beveiligingsopties configureren die effect hebben op de manier waarop u berichten leest.

HTML over platte tekst prefereren

Standaard zal KMail HTML berichten in platte tekst tonen. Als u de voorkeur geeft aan automatisch tonen in HTML formattering en indeling, selecteer dan deze optie. We bevelen echter aan deze optie uit te laten, omdat beveiligingsproblemen met HTML te voorschijn kunnen komen.

U kunt toch gemakkelijk berichten in HTML formaat per e-mailbericht bekijken door te klikken op de omschakelbalk platte tekstbericht/HTML bericht aan de linker kant van het voorbeeldpaneel.

E-mailberichten toestaan externe referenties van internet te laden

Indien ingeschakeld kan KMail externe afbeeldingen, stijlbladen, etc. laden vanaf internet, wanneer u een HTML bericht bekijkt. We raden ten sterkste aan om deze optie uit te laten (hoewel het geen effect heeft als totdat u HTML inschakelt).

Door externe verwijzingen aan hun berichten toe te voegen, kunnen mensen die spam verzenden detecteren wanneer u naar hun bericht hebt gekeken, wat uw locatie is en heel wat andere informatie die gelogd wordt op webservers. Merk op dat deze optie geen effect heeft op Java™ of JavaScript, omdat deze in KMail helemaal niet worden ondersteund.

Informeert of het gelezen bericht een verdachte e-mail-scam is

Omdat e-mail populairder is geworden, hebben e-mailscams zich ook uitgebreid. E-mailscams kan e-mails omvatten die gemaakt lijken te zijn alsof ze van legitieme bedrijven komen, maar in werkelijkheid naar valse websites verwijzen die om uw persoonlijke informatie vragen. Dit kan leiden tot identiteitsdiefstal en erger. Standaard zal KMail berichten scannen op algemene scams en zal u informeren als het e-mailbericht verdacht is. Het is ten zeerste aangeraden om deze functie ingeschakeld te laten. Als u deze waarschuwingen uit wilt schakelen, deactiveer dan Informeert of het gelezen bericht een verdachte e-mail-scam is.

Als legitieme e-mails gevlagd worden, (bijv. van vertrouwde vrienden), dan kunt u hun e-mailadres toevoegen aan de Witte lijst: door te klikken op de knop Toevoegen... en het e-mailadres dat in de dialoog verschijnt invoeren. Merk op, dat op dit moment, alleen volledige e-mailadressen in deze lijst geplaatst kunnen worden.

URL controleren met Google-systeem voor phishing

Selecteer deze optie om af te dwingen dat KMail de database van Google voor verdachte phishing-websites raadpleegt wanneer URL's ingebed zijn in een bericht en u te waarschuwen wanneer een overeenkomst wordt gevonden.

E-mails scannen voor volgen van URL's

KMail zal standaard automatisch URL's ingebed in HTML-berichten controleren en u waarschuwen als er een verschijnt om te proberen u misleiden.

Versleutelde berichten proberen te ontcijferen bij het bekijken

Standaard zal KMail automatisch proberen versleutelde berichten te decoderen wanneer u ze bekijkt. Als u er de voorkeur aan geeft om dat handmatig te doen, deactiveer dan deze optie.

Sleutels en certificaten automatisch importeren

Als dit keuzevakje geselecteerd is, zal KMail automatisch bijlagen importeren die OpenPGP-sleutels bevatten. Hetzelfde geldt voor de S/MIME-sleutels.

Opmerking

Voor het verifiëren van S/MIME-ondertekeningen is het noodzakelijk dat de bijgevoegde certificaten worden geïmporteerd. Deze instelling heeft daar geen invloed op. Ook is deze instelling onafhankelijk van de instelling voor automatisch sleutel ophalen van GPG.

 

Bevestigingen voor ontvangst en gelezen

MDN's van beveiliging

Het tabblad Beveiliging (Bevestigingen voor ontvangst en gelezen)

 

Bevestigingen voor ontvangst en gelezen

MDN's zijn een generalisatie van wat algemeen genoemd wordt een leesbevestiging. De schrijver van een bericht verzoekt om een bevestiging van ontvangst en/of lezen te sturen en het e-mailprogramma van de ontvanger genereert een bericht waaruit de schrijver op kan maken wat er met dit bericht is gebeurd. Gebruikelijke typen zijn weergegeven (bijv., gelezen), verwijderd en verzonden (bijv., doorgestuurd).

Met de opties bij Verzendbeleid is in te stellen wat KMail moet doen wanneer een verzoek voor een MDN wordt ontvangen.

Negeren (aanbevolen)

Negeert elk verzoek om ontvangst- en leesbevestiging. Er zal nooit automatisch een MDN verzonden worden.

Vragen

Verstuurt MDNs na daarvoor toestemming te hebben gevraagd. Op deze manier kunt u zelf bepalen aan wie u een bevestiging verstuurt.

Weigeren

Met deze optie wordt altijd de melding geweigerd verstuurd. Dit is iets veiliger dan altijd een MDN verzenden; de verzender kan nog steeds zien dat het bericht ontvangen is, hij weet alleen niet of het bericht verwijderd of gelezen is.

Altijd verzenden

Verstuurt (indien gevraagd) altijd een ontvangst- en leesbevestiging. Het wordt u sterk afgeraden deze optie te gebruiken, in verband met ongewenste e-mail. Met deze optie komt de verzender namelijk precies te weten wat er met zijn bericht gebeurd is (gelezen, verwijderd, etc.).

Als u het niet zeker weet, kies dan Vragen, en probeer dat een tijdje uit. Als u deze vragen hinderlijk vindt, schakel dan over op Negeren.

 

Met de opties onder Originele bericht aanhalen kunt u bepalen hoeveel van een bericht wordt teruggestuurd met MDN's.

Niets

In de MDN wordt niets anders dan de message-id en de oorspronkelijke geadresseerde bijgevoegd. Dit geeft de verzender genoeg unieke informatie om het bericht terug te vinden waarin deze MDN is gegenereerd.

Volledig bericht

Het hele bericht wordt bijgevoegd. Dit is overbodig, omdat de berichtkoppen vaak alle benodigde informatie bevatten, maar het is natuurlijk gemakkelijker voor de ontvanger.

Alleen berichtkoppen

In de MDN worden alleen de berichtkoppen toegevoegd. Dit is meestal genoeg informatie voor mensen (het onderwerp) en computers (de message-id), om het bericht dat bij de MDN hoort, terug te vinden.

Als u het niet zeker weet, kunt u deze optie op de standaardinstelling (niets) laten staan.

Verstuur geen MDN's in antwoord op versleutelde berichten

Met deze optie wordt het verzenden van MDN's onderdrukt als het bericht (gedeeltelijk) versleuteld is. Dit verijdelt pogingen om via MDN's te controleren of u het bericht kunt decoderen.

In principe heeft u deze optie nooit nodig, omdat KMail een MDN verstuurt, of het bericht nu gedecodeerd kon worden of niet (het verzoek voor een terugmelding zit in het niet versleutelde deel van het bericht); maar het geeft een gebruiker die zich bewust is van de veiligheidsrisico's de keuze om ofwel deze te versturen (optie gedeactiveerd) of nooit (optie geactiveerd).

Als u het niet zeker weet, kunt u deze optie op de standaardinstelling (geactiveerd) laten staan.

 

Opstellen

Beveiliging Opstellen

Het tabblad Beveiliging (opstellen)

 

Op dit tabblad kunt u opties die betrekking hebben op de veiligheid bij het opstellen van berichten instellen.

Berichten automatisch ondertekenen

Als u dit keuzevakje selecteert, wordt de optie OptiesBericht ondertekenen standaard ingeschakeld.

U kunt dit echter nog steeds per bericht uitschakelen.

Bij het versleutelen van e-mail, altijd ook versleutelen naar het certificaat van mijn eigen identiteit

Als dit keuzevakje geselecteerd is, worden de berichten die u voor de ontvanger versleutelt ook voor uzelf versleuteld.

Waarschuwing

Als u dit keuzevakje geactiveerd laat, kan het mogelijk zijn dat u de versleutelde berichten niet meer kunt decoderen. U hebt dan geen leesbare variant van de door u verzonden berichten.

Verzonden berichten versleuteld oplaan [3]

Als dit keuzevakje geselecteerd is, worden berichten in uw verzonden-map opgeslagen zoals u ze verstuurd heeft (als u een bericht gecodeerd verzonden heeft, wordt het gecodeerd opgeslagen).

Als u deze optie niet selecteert, worden berichten altijd onversleuteld opgeslagen op uw computer, ook als u ze versleuteld hebt verzonden.

Altijd de sleutels voor goedkeuring tonen

Als dit keuzevakje geactiveerd is, zal er bij het verzenden van het bericht een venster verschijnen waarmee u kunt controleren of de juiste sleutel voor de juiste ontvanger wordt gebruikt. U kunt deze dan eventueel ook wijzigen. Wij adviseren om deze optie te activeren, omdat een en ander wat transparanter werkt.

Berichten automatisch versleutelen, indien mogelijk

Dit wordt ook wel opportunistic encryption (opportunistische versleuteling) genoemd. Als het keuzevakje geselecteerd zal KMail proberen de ontvangers te koppelen aan (OpenPGP- of S/MIME-) sleutels, zelfs wanneer u hier niet expliciet om vraagt. Indien een koppeling gevonden wordt voor alle ontvangers zal KMail vragen of het bericht versleuteld verzonden dient te worden.

Wij adviseren u deze instelling te activeren, omdat dit het versleutelen erg eenvoudig maakt.

Nooit versleutelen bij het opslaan van een concept

Als het keuzevakje geselecteerd is, zal KMail de berichten die u opslaat in de concepten-map niet proberen te ondertekenen of te versleutelen. Dit verhoogt het gebruiksgemak en is geen groot beveiligingsrisico als de concepten-map een lokale map is. Als u IMAP gebruikt, waarbij de map concepten op de server wordt bewaard, kunt u dit keuzevakje beter niet selecteren.

 

Diversen

Beveiliging Diversen

Het tabblad Beveiliging (diversen)

 

Op dit tabblad kunt u waarschuwingen met betrekking tot beveiliging in- en uitschakelen.

Waarschuwen voor het verzenden van niet-ondertekende berichten

Als dit keuzevakje geselecteerd is, wordt u gewaarschuwd als u een bericht wilt verzenden dat niet ondertekend is.

Waarschuwen wanneer niet-versleutelde berichten zullen worden verstuurd

Als dit keuzevakje geselecteerd is, wordt u gewaarschuwd als u een bericht wilt verzenden dat u niet versleuteld hebt.

Opmerking

In tegenstelling tot ondertekenen is het niet gebruikelijk om alle uitgaande berichten te versleutelen. Tenzij uw bedrijf een beleid heeft nooit onversleutelde berichten te verzenden, is het misschien verstandig om deze optie uitgeschakeld te laten, en de optie opportunistische versleuteling in te schakelen, zodat u gewaarschuwd wordt wanneer u een versleuteld bericht kunt verzenden, maar deze optie niet hebt ingeschakeld.

Waarschuwen wanneer een certificaat/sleutel binnenkort zal verlopen

Als het keuzevakje geselecteerd is, zal KMail waarschuwen wanneer een S/MIME-certificaat of OpenPGP-sleutel binnenkort zal verlopen.

De definitie van binnenkort kunt u eronder aangeven. Dit geldt ook voor de tijdelijke CA-certificaten en de hoofdcertificaten (ook wel root-certificaten genoemd).

GnuPG-instellingen ...

Klik op deze knop om een uitgebreide dialoog te openen die de interactie tussen KMail en GPG configureert, het Gnu Privacy Guard programma. GPG is te complex om hier te documenteren. Voor details wordt u verwezen naar Het GNU Privacy Handbook. Tenzij u een expert in encryptie bent, zou u waarschijnlijk de standaard instellingen hier moeten accepteren.

Alle "Niet meer vragen" waarschuwingen weer inschakelen

Naast de waarschuwingen hierboven zijn er nog veel waarschuwingen en informatieberichten, die een optie hebben om ze niet meer te laten zien. U kunt deze weer inschakelen door op deze knop te klikken. [4]

 

S/MIME-validatie

Beveiliging S/MIME validatie

Het tabblad Beveiliging (S/MIME validatie)

 

Dit tabblad bevat enkele items uit dynamische backend-configuratiedialoog van GpgSM In de handleiding van GpgSM vindt u een meer gedetecteerde beschrijving van de instellingen.

Certificaten valideren door gebruikmaking van CRL's

Als dit ingeschakeld is, worden S/MIME-certificaten gevalideerd door gebruikmaking van Certificate Revocation Lists (CRL's). Dit is de standaard configuratie-optie.

Certificaten online valideren (OCSP)

Als deze optie ingeschakeld is, worden S/MIME-certificaten gevalideerd met gebruikmaking van het Online Certificates Status Protocol (OCSP).

URL van OCSP-responder

Vul het adres in van de server die gebruikt wordt voor het online valideren van certificaten. Deze URL begint normaal met https://.

Handtekening OCSP-dienst

Kies de S/MIME-sleutel die u wilt gebruiken, of wijzig deze.

Service-URL van certificaten negeren

Schakel deze optie in om online valideren met gebruikmaking van OCSP over te slaan. Deze optie vereist dirmngr >= 0.9.0.

Certificaatbeleid niet controleren

Standaard gebruikt GnuPG het bestand ~/.gnupg/policies.txt om te controleren of een certificaatbeleid toegestaan is. Als deze optie is ingeschakeld, wordt niet op beleid gecontroleerd.

Nooit een CRL raadplegen

Als deze optie ingeschakeld is, worden Certificate Revocation Lists nooit gebruikt om S/MIME-certificaten te valideren.

Ontbrekende uitgevers certificaten ophalen

Schakel deze optie in als u de ontbrekende uitgeverscertificaten wilt laten ophalen als dat nodig is. Dit is op zowel CRL's als op OCSP van toepassing.

Geen HTTP-verzoeken maken

Schakelt het gebruik van HTTP voor S/MIME geheel uit.

HTTP CRL-distributiepunt van certificaten negeren

Bij het zoeken naar de locatie van een CRL bevat het te-testen certificaat normaal gesproken zogenaamde CRL Distribution Point (DP) items, die URL's; zijn waarin beschreven staat hoe de URL benaderd moet worden. Het eerste gevonden DP-item wordt gebruikt. Met deze optie worden alle items die het HTTP-schema gebruiken genegeerd bij het zoeken naar een geschikte DP.

HTTP-proxy van systeem gebruiken

Als deze optie ingeschakeld is, wordt de rechts weergegeven waarde van de HTTP-proxy (die uit de omgevingsvariabele http_proxy komt) gebruikt voor elk HTTP-verzoek.

Deze proxy voor HTTP-verzoeken gebruiken

Vul hier de locatie in van uw HTTP-proxy, die voor alle HTTP-verzoeken voor S/MIME gebruikt zal worden. De syntaxis is "host:port", bijvoorbeeld mijnproxy.nergens.com:3128.

Geen LDAP-verzoeken doen

Schakelt het gebruik van LDAP voor S/MIME geheel uit.

LDAP CRL-distributiepunt van certificaat negeren

Bij het zoeken naar de locatie van een CRL bevat het te-testen certificaat normaal gesproken zogenaamde CRL Distribution Point (DP) items, die URL's zijn waarin beschreven staat hoe de URL benaderd moet worden. Het eerste gevonden DP-item wordt gebruikt. Met deze optie worden alle items die het LDAP-schema gebruiken genegeerd bij het zoeken naar een geschikte DP.

Primaire host voor LDAP-verzoeken

Als u hier een LDAP-server invoert zullen alle LDAP-verzoeken eerst naar die server verstuurd worden. Preciezer gezegd, overschrijft deze instelling alle host- en poort-delen in een LDAP URL en wordt deze ook gebruikt als host en poort uit de URL zijn weggelaten. Andere LDAP-servers worden alleen gebruikt als de verbinding met de proxy niet tot stand kon komen. De syntaxis is HOST of HOST:POORT. Als PORT is weggelaten, wordt poort 389 (standaard LDAP-poort) gebruikt.

 



[3] Deze optie zorgt ervoor dat zodra het bericht de eindbestemming heeft bereikt, de versleuteling uit het bericht verwijderd wordt. De berichten worden dus niet versleuteld opgeslagen. Deze modus wordt ook wel transport-only-versleuteling (alleen tijdens transport) genoemd, wat enigszins misleidend is.

KMail ondersteunt deze modus wel, maar volgens ons zou deze modus geregeld moeten worden door de server (MTA) in plaats van door de mailclient (MUA). In toekomstige versies van KMail zou het kunnen zijn dat deze ondersteuning verdwijnt.

[4] Alle waarschuwingen en informatieberichten zullen weer ingeschakeld zijn. U kunt de waarschuwingen die u niet meer wilt zien vervolgens weer uitschakelen door de optie in het bericht te selecteren wanneer ze weer verschijnen.