Amgryptio E-Bost

Nid yw e-bost yn ddiogel yn ddiofyn, yn ddamcaniaethol gall unrhyw un sydd â mynediad at e-bost wrth iddo deithio ar hyd y rhyngrwyd weld ei gynnwys. Mae cynnwys e-bost heb ei ddiogelu’n debyg i gerdyn post tra bydd ar ei ffordd drwy system ddanfon y post.

Mae’r diagram isod yn dangos taith syml e-bost heb ei amgryptio. Nid yw’n debygol y bydd rhywun â mynediad at y llwybr mae’r e-bost yn ei ddilyn ar hyd y rhyngrwyd yn gallu ei ddarllen, ond mae’n bosibl.

Gellir defnyddio amgryptio i leihau’r perygl y bydd yr e-bost yn cael ei weld ar ei daith rhwng systemau e-bost.

Argymhellir fod unrhyw e-bost sy’n cynnwys data personol yn cael ei amgryptio. Bydd gwneud hynny’n sicrhau na fydd haciwr, boed yn lwcus neu’n glyfar, yn gallu darllen cynnwys yr e-bost ar ei daith ar hyd y rhyngrwyd.

Mae sawl opsiwn gwahanol ar gyfer amgryptio e-bost, ac mae rhai’n haws i’w defnyddio na’i gilydd, er y dylai’r dewis o ddull amgryptio gael ei seilio’n bennaf ar sensitifrwydd yr e-bost.

Mae tair ffordd o amgryptio e-bost ar gael yn Hwb:

Mae amgryptio sy’n seiliedig ar TLS (yr un dull amgryptio sy’n cael ei ddefnyddio ar gyfer mynediad diogel i wefannau; yng nghyd-destun negeseuon e-bost cyfeirir ato’n aml fel STARTTLS) yn ddewisol ar gyfer gweinyddion e-bost sy’n cyfnewid negeseuon e-bost dros y rhyngrwyd.
Mae’r diagram isod yn dangos cwmpas effeithiolrwydd TLS wrth ei ddefnyddio i gyfathrebu rhwng gweinyddion e-bost.
Ar ôl i e-bost gael ei anfon i weinydd e-bost y derbynnydd, dylid nodi fod amgryptio negeseuon wedi hynny’n ddibynnol ar unrhyw daith ymlaen a hefyd ar ffurfwedd ap e-bost y derbynnydd.
Gall y rhan fwyaf o wasanaethau e-bost, fel Office 365 a Gmail, ddefnyddio TLS, ond nid yw pob gwasanaeth yn gallu ei ddefnyddio, felly ni ellir ei ffurfweddu fel gofyniad ar gyfer pob e-bost i ac oddi wrth Hwb, gan y byddai hynny’n atal rhai systemau e-bost rhag gallu anfon neu dderbyn negeseuon e-bost gan Hwb.
Fodd bynnag, gydag Office 365 mae modd gorfodi TLS mewn modd dethol; mae gwasanaeth e-bost Hwb wedi’i ffurfweddu i ganiatáu’r defnydd ymarferol ehangaf o TLS gorfodol.
Ffurfwedd Hwb
Mae Hwb wedi’i ffurfweddu i orfodi TLS ar gyfer pob e-bost sy’n cael eu hanfon a’u derbyn:
- Rhwng defnyddwyr Hwb
- Rhwng Hwb a Parthau Dibynadwy
Nid oes angen i ddefnyddwyr wneud dim, mae amgryptio’n cael ei roi ar waith yn dryloyw’n ôl rheolau sydd wedi’u rhag ddiffinio.
Mae’r ffurfwedd ar gyfer TLS gorfodol ar Hwb yn cynnwys:
- Gwirio cofnod DNS MX cyrchfan y parth
- Cadarnhau bod y gweinydd post yn gydnaws â STARTTLS
- Creu rheol llif post Exchange Online sy’n datgan bod TLS ar gyfer pob e-bost yn seiliedig ar:
  - Parth
    Mae hyn yn dweud wrth Office 365 pa negeseuon sy’n berthnasol i’r rheol.
    Enghraifft ffurfwedd: hwbcymru.net
  - Cyfeiriad gweinydd e-bost (o gofnod MX)
    Mae hyn yn helpu i atal newidiadau maleisus i DNS o ganlyniad i e-bost yn cael ei ailgyfeirio i systemau sy’n cael eu rheoli gan hacwyr. Enghraifft ffurfwedd: protection.outlook.com
  - Gofyniad am dystysgrif TLS a gyhoeddir gan CA
    Mae hyn yn helpu i sicrhau bod y gweinydd post yn cael ei ‘ddilysu’ mewn modd dibynadwy cyn bod yr e-bost yn cael ei anfon.
Mae’r ffurfwedd yn un na all fethu, sy’n golygu os bydd yr amgryptio’n methu am unrhyw reswm, ni fydd yr e-bost yn cael ei anfon.
Mae Message Encryption Office 365 (OME) yn wasanaeth Microsoft sy’n benodol i Office 365, ac sydd wedi’i drwyddedu i holl ddefnyddwyr Hwb.
Mae OME yn defnyddio cyfuniad o amgryptio a rheoli hawliau i alluogi diogelwch sy’n aros gyda’r e-bost ar ôl iddo gael ei anfon. Mae hyn yn rhoi sicrwydd ychwanegol mai dim ond pobl mae wedi ei rhannu â hwy fydd yn cael mynediad at yr wybodaeth.

Mae Message Encryption OME wedi ei ffurfweddu i weithio’n awtomatig os yw defnyddiwr yn cynnwys y geiriau allweddol ‘secure mail’ neu ‘post diogel’ yn llinell destun yr e-bost.
Dylid ystyried defnyddio S/MIME gyda gwybodaeth fwy sensitif, yn enwedig os nad yw rheolaethau eraill, fel MFA, yn ymarferol.
Mae S/MIME yn gweithio drwy ddefnyddio tystysgrifau; mae un yn gyhoeddus ac mae un yn breifat. Mae’r dystysgrif gyhoeddus yn cael ei rhannu â phobl eraill a gellir ei defnyddio i amgryptio negeseuon. Bydd angen tystysgrif gyhoeddus rhywun arnoch os ydych chi am anfon negeseuon wedi’u hamgryptio â S/MIME atynt.
Defnyddir y dystysgrif breifat i ddatgloi negeseuon e-bost; rhaid cadw’r dystysgrif hon yn gyfrinachol. Ar ôl ei osod bydd yn cael ei ddiogelu gan feddalwedd y cyfrifiadur. Bydd angen storio unrhyw gopïau wrth gefn o’r dystysgrif breifat yn ddiogel.
Y dystysgrif hon yw’r un sy’n sicrhau budd mwyaf S/MIME, byddai’n rhaid i haciwr gael mynediad at eich dyfais a’r dystysgrif breifat i allu gweld negeseuon e-bost wedi’u hamgryptio â S/MIME.
Os bydd haciwr yn dyfalu eich cyfrinair ac yn gallu mewngofnodi i Hwb, ond heb fynediad at eich dyfais, byddant yn gallu gweld eich e-bost, ond bydd unrhyw negeseuon sydd wedi’u hamgryptio â S/MIME yn parhau wedi’u hamgryptio ac ni all yr haciwr eu gweld.
Mae S/MIME yn opsiwn sydd ar gael i bob un o ddefnyddwyr Hwb. Bydd angen i ddefnyddiwr gael tystysgrif leol, y gellir ei ffurfweddu’n lleol ac ni fydd angen i dîm gweinyddol Hwb wneud dim newidiadau i Hwb.
Bydd e-bost wedi’i ddiogelu gyda S/MIME ar gael ar ddyfeisiadau sydd wedi’u ffurfweddu gyda’r tystysgrifau cyfatebol yn unig; os amharwyd ar flwch post o ddyfais arall, ni fydd modd cael mynediad at negeseuon e-bost S/MIME.
Nodiadau:
- Bydd angen eu tystysgrif eu hunain ar yr anfonwr a’r derbynnydd
- Rhaid i ddefnyddwyr â gosodiad S/MIME ddewis amgryptio e-bost mewn Outlook (fel arall byddant yn cael eu hanfon yn y ffordd arferol)

Mae’r tabl canlynol yn crynhoi sefyllfaoedd ac ystyriaethau defnydd posibl ar gyfer defnyddio pob un o’r dewisiadau sydd ar gael yn Hwb.

Amgryptio E-bost

Sefyllfa defnydd

Ystyriaethau

TLS Gorfodol

Rheolaeth Safonol

Argymhellir fel y lefel sylfaenol ar gyfer unrhyw e-bost sy’n cynnwys data personol

Dim angen i ddefnyddwyr wneud dim.

Wedi’i ffurfweddu gan Dîm Hwb, OND ni fydd yn gweithio oni bai bod sefydliadau partner yn ei gefnogi.

Message Encryption Office 365

Rheolaeth Uwch

Ar gyfer rhannu gwybodaeth sensitif gyda dosbarthiad cyfyngedig.

Mae’n addas ar gyfer negeseuon e-bost na ellir eu diogelu drwy ddefnyddio’r dewisiadau eraill, er enghraifft e-bost at rieni.

Mae gwahanol gyfyngiadau’n bosibl ar gyfer gwahanol lefelau o sensitifrwydd.

Gall helpu i leihau’r peryglon sy’n gysylltiedig â’r defnydd o ddyfeisiadau personol.

Bydd angen i dderbynwyr allanol heb gyfrif Microsoft alluogi HTML yn eu cleient e-bost.

S/MIME

Rheolaeth Uwch.

Yn addas ar gyfer yr wybodaeth fwyaf sensitif lle mae angen sicrwydd cadarn mai dim ond y derbynwyr a fwriadwyd fydd yn gallu gweld y cynnwys.

Bydd angen tystysgrif S/MIME ar yr anfonwyr a’r derbynnydd /derbynwyr.

Nid yw Hwb wedi’i ffurfweddu ar hyn o bryd i ddefnyddio S/MIME gydag Outlook ar y we. Gellir defnyddio hwn gydag Outlook bwrdd gwaith yn unig.

Nid yw’n addas iawn ar gyfer dosbarthu i grwpiau mawr.

Parthau Dibynadwy

Mae Hwb wedi’i ffurfweddu i orfodi TLS ar gyfer pob e-bost sy’n cael eu hanfon a’u derbyn i’r parthau dibynadwy yma.

SchoolsEdu @schoolsedu.org.uk
Swansea-edunet @swansea-edunet.gov.uk
Ysgol Plas Brondyffryn @ypbd.co.uk

Blaenau Gwent County Borough Council	@blaenau-gwent.gov.uk
Bridgend County Borough Council	@bridgend.gov.uk
Caerphilly County Borough Council	@caerphilly.gov.uk
Cardiff Council	@cardiff.gov.uk
Carmarthenshire County Council	@carmarthenshire.gov.uk or @sirgar.gov.uk
Ceredigion County Council	@ceredigion.gov.uk
Conwy County Borough Council	@Conwy.gov.uk
Denbighshire County Council	@Denbighshire.gov.uk
Flintshire County Council	@flintshire.gov.uk
Gwynedd Council	@gwynedd.gov.uk or @gwynedd.llyw.cymru
Isle of Anglesey County Council	@ynysmon.gov.uk
Merthyr Tydfil County Borough Council	@merthyr.gov.uk
Monmouthshire County Council	@monmouthshire.gov.uk
Neath Port Talbot County Borough Council	@neath-porttalbot.gov.uk or npt.gov.uk
Newport City Council	@newport.gov.uk
Pembrokeshire County Council	@pembrokeshire.gov.uk
Powys County Council	@powys.gov.uk
Rhondda Cynon Taf County Borough Council	@RCTCBC.gov.uk
Swansea County Borough Council	@swansea.gov.uk
Torfaen County Borough Council	@torfaen.gov.uk
Vale of Glamorgan Council	@valeofglamorgan.gov.uk
Wrexham County Borough Council	@Wrexham.gov.uk

alphaplus	@alphaplus.co.uk
BFC Networks	@bfcnetworks.com
BTL	@btl.com
CareersWales	@careerswales.com
Method4	@method4.co.uk
Microsoft	@microsoft.com
NHS Wales	@wales.nhs.uk
Salamandersoft	@salamandersoft.co.uk
SRS	@srswales.com.gov.uk
Welsh Government	@Gov.Wales
WJEC	@wjec.co.uk

SchoolsEdu	@schoolsedu.org.uk
Swansea-edunet	@swansea-edunet.gov.uk
Ysgol Plas Brondyffryn	@ypbd.co.uk

Amgryptio E-Bost

TLS Gofodol

Ffurfwedd Hwb

Message Encryption Office 365 - Rheolaeth Uwch

S/MIME - Rheolaeth Uwch

Parthau Dibynadwy

Awdurdod Lleol

Addysg

Trydydd Parti