Beiträge

Outlook signieren

Einbindung eines S/MIME Zertifikats in Outlook

Was ist S/MIME?

S/MIME (Secure / Multipurpose Internet Mail Extensions) ist ein Standard zur E-Mail-Verschlüsselung, über den sichergestellt wird, dass die gesendete E-Mail tatsächlich von Ihnen stammt und nicht manipuliert wurde. Dies gewährleistet den Datenschutz der versendeten E-Mails und verhindert, dass Unbefugte an Ihre sensiblen Daten gelangen können. Um Ihre E-Mails zu verschlüsseln, benötigen Sie ein S/MIME-Zertifikat. Wie Sie dieses erfolgreich in Outlook einbinden können, zeigen wir Ihnen in unserem neuen Blogbeitrag.

Exportieren des Zertifikats via Firefox:

Nachdem Sie Ihr Zertifikat erfolgreich heruntergeladen und installiert haben, gehen Sie bitte wie folgt vor, um dieses aus dem Browser zu exportieren.

Firefox Einstellungen öffnen  Firefox Datenschutz Sicherheit

Wählen Sie „Einstellungen -> Datenschutz & Sicherheit -> Zertifikate anzeigen…“.

Firefox Zertifikat exportieren

Wählen Sie hier das S/MIME-Zertifikat aus und sichern Sie dieses in einen beliebigen Ordner auf Ihrem PC.

Bitte notieren Sie sich das beim Export vergebe Kennwort, dieses wird in einem späteren Schritt noch einmal benötigt.

Einbindung des Zertifikats in Outlook:

Wählen Sie in Outlook „Datei => Optionen => Trust Center => Einstellungen für das Trust Center…“:

Outlook Optionen Outlook Trust Center

Im Bereich „E-Mail-Sicherheit“ finden Sie im Abschnitt „Digitale IDs“ den Punkt „Importieren/Exportieren…“:

Outlook Import Export

Bitte wählen Sie hier das neue S/MIME-Zertifikat aus und geben das Passwort ein, welches Sie während des Exportvorgangs in Firefox vergeben haben:

Outlook SMIME

Nachdem das Zertifikat nun erfolgreich in Outlook importiert wurde, können Sie dieses im Bereich „Verschlüsselte E-Mail-Nachrichten“ unter dem Punkt „Einstellungen“ hinterlegen:

Outlook Einstellungen

Sollten Sie mehrere S/MIME-Zertifikate besitzen, können Sie an dieser Stelle festlegen, welches Zertifikat standardmäßig hinterlegt werden soll:

Outlook Zertifikate

Vergeben Sie einen passenden Namen, um das Zertifikat leichter zuordnen zu können, und wählen Sie dann als Signaturzertifikat das importierte Zertifikat aus:

Zertifikat Name

Damit ist Ihr S/MIME-Zertifikat erfolgreich in Outlook hinterlegt, und ausgehenden Nachrichten werden fortan verschlüsselt und digital signiert versendet.

Möchten Sie eine Nachricht von einer anderen Adresse versenden, für die Sie kein gültiges S/MIME-Zertifikat hinterlegt haben, können Sie die Signatur im Bereich „Optionen => Berechtigung => Signieren“ entfernen:

Outlook signieren

Beim Empfänger wird eine mit S/MIME signierte Mail mit einem Signaturzeichen– Symbol gekennzeichnet und mit dem Textbezug „Signiert von …“ versehen:

SMIME Kennzeichnung

Verschlüsselte E-Mail Kommunikation dank StartTLS

Sichere Verschlüsselung dank StartTLS

Der Wunsch nach einem verschlüsselten E-Mail Austausch ist nicht neu und erhält auf Grund der zurückliegenden Enthüllungen geheimdienstlicher Aktivitäten im IT-Bereich zusätzliche Dynamik.

Gleichzeitig verlangen Anwender und Unternehmen nach Lösungen, die keinen zusätzlichen Verwaltungsaufwand mit sich bringen und die Funktionalität der E-Mail Kommunikation in keiner Weise einschränken.

Hier bietet das StartTLS Verfahren einen sicheren und zugleich praxistauglichen Ansatz.

Im Gegensatz zu einer End-zu-End Verschlüsselung, wie sie das PGP-Verfahren oder S/MIME bieten, wird beim Start-TLS Verfahren nur die Server-zu-Server Kommunikation verschlüsselt. Daher sind an den E-Mail bzw. Groupware-Clients keine Konfigurationsänderungen oder Software-Installationen erforderlich.

Wie funktioniert StartTLS?

StartTLS wird von den meisten E-Mail Servern unterstützt und muss lediglich aktiviert werden. Weiterhin ist ein Verschlüsselungs-Zertifikat erforderlich, wie es auch für den verschlüsselten Zugriff auf Webseiten (https://) genutzt wird. Das Zertifikat sollte von einer vertrauenswürdigen und verbreiteten Certification Authority (CA) stammen, damit es von allen Gegenstellen akzeptiert wird. Umgekehrt sollte der SMTP-Server auch nur Verbindungen mit Zertifikaten von vertrauenswürdigen öffentlichen CAs akzeptieren.

Bei einem selbst signierten Zertifikat besteht grundsätzlich das Risiko eines Man-in-the-Middle Angriffs. Mit einem gewissen technischen Aufwand könnte eine Instanz im Netz eines der beteiligten Internet-Provider vortäuschen, der Server des Nachrichtenempfängers zu sein und die Kommunikation entschlüsseln. Diese Gefahr ist bei einer vertrauenswürdigen CA – also einem gekauften Zertifikat – äußerst gering.

Damit die Nachrichtenübertragung auch tatsächlich verschlüsselt erfolgt, müssen die Mailserver des Senders und des Empfängers StartTLS unterstützen. Tut einer dies nicht oder gelingt der Aufbau einer sicheren Verbindung aus einem anderen Grund nicht, werden die Nachrichten über eine unverschlüsselte SMTP-Verbindung übertragen.

Für den Benutzer ist im Vorfeld nicht erkennbar, ob der Versand verschlüsselt erfolgt. Dies kann erst in der empfangenen Nachricht anhand des Mail-Headers festgestellt werden.

Mandatory TLS

Da die Verschlüsselung über StartTLS nur funktioniert, wenn beide Partner mitspielen, gehen größere Organisationen, die Wert auf Datensicherheit legen, mittlerweile dazu über, verschlüsselten E-Mail Verkehr von und zu Ihren Geschäftspartnern zu erzwingen.

Man spricht hier auch vom Mandatory TLS Verfahren. Die SMTP-Gateways des Mailsystems werden so konfiguriert, dass die SMTP-Kommunikation an bestimmte Ziel-Domains ausschließlich TLS-verschlüsselt erfolgt. Gelingt es nicht, einen verschlüsselten Kanal aufzubauen, werden die betreffenden Nachrichten nicht versandt, sondern bleiben für eine gewisse Zeit in der Ausgang-Warteschlange stehen. Die Partnerunternehmen werden meist im Rahmen eines standardisierten Prozesses eingebunden und müssen Ihre Systeme entsprechend konfigurieren.

Hat das Unternehmen einen Serviceprovider mit dem Betrieb des Groupware-Systems beauftragt oder nutzt einen Dienst aus der Cloud, wie z. B. Hosted Exchange, so kümmert sich der Outsourcing Partner um alle notwendigen Schritte.

Das Thema Transport Layer Security (TLS) im Zusammenhang mit der E-Mail Kommunikation wurde in der Vergangenheit von Unternehmen aus dem Automotive-Bereich stark vorangetrieben. Wer als Geschäftspartner die geforderten Standards nicht umsetzen kann, verliert gegenüber großen Auftraggebern schnell an Attraktivität.

Unterschiede zu einer End-zu-End Verschlüsselung

Im Gegensatz zu einer End-zu-End Verschlüsselung bleiben die E-Mail Nachrichten beim TLS-Verfahren unverschlüsselt in den Postfächern der Anwender liegen. Ein Angreifer, der sich Zugang zu den Mailservern verschafft, auf denen die Postfächer untergebracht sind, kann daher alle Inhalte lesen.

Beim PGP oder S/MIME Verfahren können die Nachrichteninhalte nur gelesen werden, wenn die genutzten Clients mit einer entsprechenden Software, bzw. einem persönlichen Zertifikat ausgestattet sind.

Dies ist mit einem hohen Verwaltungsaufwand und Kosten verbunden. Auch nach einem Austausch der Clients müssen die alten Zertifikate (S/MIME) oder Schlüsselpaare (PGP) wieder eingebunden werden, um ältere verschlüsselte Nachrichten lesen zu können.
Da man nicht (mehr) davon ausgehen kann, dass Daten, die über das Internet zwischen zwei Systemen im Inland übertragen werden, nur die Systeme der Netz-Provider durchlaufen und vor unberechtigtem Zugriff geschützt sind, sollten E-Mails mit vertraulichem Inhalt oder personenbezogenen Daten heute nicht mehr unverschlüsselt versandt werden. Das TLS-Verfahren bietet hierfür eine sichere und zuverlässige Basis.

Als Anbieter von Microsoft Exchange aus der Cloud unterstützt cojama seit mehr als sechs Jahren auf seiner Infrastruktur das StartTLS Verfahren.

 

 

E-Mails bei Hosted Exchange mit S/MIME verschlüsseln und signieren

E-Mails bei Hosted Exchange mit S/MIME-Zertifikat sicher verschlüsseln und signieren

Das sichere Übermitteln von Daten wird in der heutigen Zeit immer wichtiger. Natürlich sollte auch besonders bei der E-Mail-Kommunikation wie z.B. mit Microsoft Hosted Exchange die Verschlüsselung und sichere Übermittlung der Inhalte garantiert sein. Hierfür gibt es verschiedene Methoden. Eine davon ist die Einbindung eines sogenannten S/MIME-Zertifikats in den Outlook Client. S/Mime ist ein Standard zur Verschlüsselung und Signatur von MIME-gekapselten E-Mails. Mit dem Erwerb eines S/MIME-Zertifikats können Benutzer E-Mails digital signieren und verschlüsseln. Dies gewährleistet den Datenschutz von sensiblen Daten, weist die Herkunft nach und vermeidet Manipulation. Dieses Verfahren können Sie folglich auch mit Microsoft Hosted Exchange von cojama nutzen.
Nach der Installation des S/MIME-Zertifikats können im Outlook Client E-Mails signiert und verschlüsselt werden.

Wie signiere ich eine E-Mail?
1. Zum Testen der Signatur öffnen Sie eine neue E-Mail.
2. Klicken Sie auf die Reiterkarte “Optionen”.
3. Im Outlook-Ribbon sehen Sie nun zwei Icons zur E-Mail-Sicherheit.
4. Ein Icon lässt Sie die Signierung einer E-Mail durchführen, das andere dient zu Verschlüsselung.

 

E-Mails bei Hosted Exchange mit S/MIME verschlüsseln und signieren

E-Mails bei Hosted Exchange mit S/MIME verschlüsseln und signieren

Über Ihre digitale Signatur kann der Empfänger die Echtheit der Nachricht prüfen. Durch das Signieren erhält der Nachrichtenempfänger zudem Ihren Public Key, mit dem er zukünftige Nachrichten an Sie verschlüsseln kann.

Wie verschlüssele ich eine E-Mail?
Um Nachrichten zu verschlüsseln benötigen Sie den Public Key des Nachrichtenempfängers. Es gibt mehrere Wege, den Public Key des Nachrichtenempfängers zu erhalten:
1.    Er schickt Ihnen eine signierte E-Mail:
Sie können nun den Public Key des Empfängers in Ihrer Kontaktliste abspeichern. Dazu fügen Sie den Nachrichtenempfänger einfach zu Ihren Outlook Kontakten hinzu.
2.    Sie suchen nach dem Public Key in einem öffentlichen Verzeichnis
3.    Sie haben den Public Key auf einem Datenträger (z.B. durch persönliche Übergabe oder per Post) erhalten. Fügen Sie nun den Public Key zum Empfänger in Ihren Kontakten hinzu. Wählen Sie dafür unter „Kontakt-Details“ den Reiter „Zertifikate“ um den Public Key zu importieren.

 

Das Icon „Verschlüsseln“ lässt Sie die Verschlüsselung der E-Mail durchführen. Geben Sie dafür den Public Key des Nachrichtenempfängers ein oder wählen Sie ihn aus Ihren bereits bestehenden Kontakten.