Um E-Mail-Verschlüsselung in Unternehmen mit Exchange Server 2013 oder Office 365 zu integrieren, ist häufig die Verwendung von S/MIME der gängigste Weg. Hier haben Anwender die Möglichkeit auf Basis von Zertifikaten eigene E-Mails manuell zu signieren und zu verschlüsseln.
Unternehmen, die auf Office 365 setzen, können zusätzlich noch E-Mails automatisiert über Transportregeln verschlüsseln lassen. Arbeiten Sie mit Office 365 können Sie genauso lokale Signierung und Verschlüsselung konfigurieren, wie beim Betrieb eigener Exchange-Server. Die entsprechenden Konfigurationen dazu werden auf den Clients vorgenommen.
Voraussetzungen für die E-Mail-Verschlüsselung
Basis der Verschlüsselung ist ein Zertifikat. Dieses können Anwender entweder über eine interne Zertifizierungsstelle auf Basis der Active Directory-Zertifikatdienste oder anderer Lösungen erhalten, aber auch über Zertifikate-Anbieter im Internet. Prominentes Beispiel dafür ist der kostenlose Dienst StartSSL. Um mit S/MIME E-Mails zu verschlüsseln, müssen Sie zunächst auf dem Server nichts ändern. Sie können sich am Beispiel von StartSSL ein eigenes Zertifikat ausstellen lassen und dieses direkt in Outlook einbinden
Zertifikate installieren und in Outlook einbinden
Haben Sie ein Zertifikat der Zertifizierungsstelle auf dem Computer installiert, müssen Sie zunächst im Trust Center von Outlook die E-Mail-Sicherheit konfigurieren. Gehen Sie dazu folgendermaßen vor:
1. Öffnen Sie Outlook.
2. Öffnen Sie die Registerkarte Datei
3. Klicken Sie auf Optionen.
4. Klicken Sie auf Trust Center.
5. Klicken Sie auf die Schaltfläche Einstellungen für das Trust Center.
6. Klicken Sie im neuen Fenster auf E-Mail-Sicherheit.
7. Klicken Sie auf Einstellungen im Bereich Standardeinstellung.
8. Geben Sie einen Namen für Ihre Sicherheitseinstellungen ein.
9. Die Standardeinstellungen können Sie in den meisten Fällen belassen wie Sie sind.
10. Klicken Sie bei Signaturzertifikat auf Auswählen.
11. Wählen Sie das Zertifikat aus, welches Sie für die Signierung von Nachrichten verwenden wollen. Dieses Zertifikat verwenden Sie für die digitale Signatur von E-Mails.
12. Bei Verschlüsselungszertifikat wählen Sie normalerweise das gleiche Zertifikat aus. Sie können E-Mails auf Basis des Zertifikates signieren, verschlüsseln, oder signieren und verschlüsseln.
13. Outlook zeigt das Zertifikat an, dass Sie installiert haben. Über den Link Zertifikateigenschaften anzeigen können Sie sich Details zum Zertifikat noch mal ausgeben lassen.
14. Bestätigen Sie die Einstellungen für die Signierung oder Verschlüsselung und schließen Sie die Konfiguration.
Verschlüsselungsoptionen auswählen
Erstellen Sie neue E-Mails, können Sie diese jetzt digital signieren und auch verschlüsseln. Als nächstes konfigurieren Sie im Trust Center die generellen Optionen für die Signierung oder Verschlüsselung von E-Mails. Sie haben hier die Möglichkeit genau festzulegen, wann Outlook E-Mails automatisch signieren oder verschlüsseln soll. Dazu stehen im Trust Center folgende Möglichkeiten zur Verfügung:
Inhalt und Anlagen für ausgehende Nachrichten verschlüsseln - Aktivieren Sie diese Option, verschlüsselt Outlook automatisch alle ausgehenden E-Mails und alle Anlagen, die Sie über Exchange/Office 365 senden. Da bei der Verschlüsselung auch der Empfänger über ein gültiges Zertifikat verfügen muss, sollten Sie die generelle Verschlüsselung nicht aktivieren. Sie können jederzeit bei E-Mails die Verschlüsselung manuell aktivieren.
Ausgehenden Nachrichten digitale Signatur hinzufügen - Diese Option sollten Sie aktivieren, wenn Sie mit Zertifikaten in Outlook arbeiten. Bei Aktivierung dieser Option versieht Outlook neue E-Mails mit der digitalen Signatur auf Basis des installierten Zertifikats. Das Zertifikat stellt sicher, dass Sie der Absender der E-Mail sind und die E-Mail zwischen dem Absender, also Ihnen, und dem Empfänger nicht verändert wurde. Die digitale Signatur hat nichts mit der Signatur von E-Mails zu tun, bei der Sie einen Text unter eine E-Mail integrieren lassen.
Signierte Nachrichten als Klartext senden - Diese Option ist dafür zuständig, dass Empfänger, deren E-Mail-Clients S/MIME-Signaturen nicht unterstützen, die Nachricht ohne Überprüfung der digitalen Signatur lesen können. Sie sollten auch diese Option aktivieren.
S/MIME-Bestätigung anfordern, wenn mit S/MIME signiert - Aktivieren Sie diese Option wird eine digital signierte S/MIME-Bestätigung vom Empfänger angefordert, wenn der Empfänger von Ihnen gesendete, S/MIME-signierte Nachrichten öffnen will. Diese Option können Sie deaktivieren, außer Sie wollen diese Sicherheit in jedem Fall nutzen.
E-Mails mit Outlook digital signieren
Haben Sie alle Einstellungen vorgenommen, signiert Outlook ausgehende E-Mails in Outlook über Exchange/Office 365 automatisch. Sie können die digitale Signatur aber auch manuell hinzufügen oder auch entfernen, wenn Sie die automatische Signierung aktiviert haben. Um E-Mails manuell digital zu signieren, gehen Sie folgendermaßen vor:
Um digital zu signieren, öffnen Sie im E-Mail-Fenster die Registerkarte Optionen. Im Menüband können Sie bei Berechtigung durch Aktivieren der Option Signieren die E-Mail signieren lassen, oder die Funktion ausschalten, wenn Sie die automatische Signierung konfiguriert haben. Outlook verwendet an dieser Stelle automatisch das Zertifikat, das Sie in den Optionen hinterlegt haben.
Versenden Sie die E-Mail, gibt es für Sie zunächst keine Unterschiede. Manchmal blendet Outlook ein Fenster ein, über das Sie die Verwendung des Zertifikatschlüssels gestatten müssen. Bestätigen Sie diese Sicherheitsmeldung. Erhalten Empfänger eine signierte E-Mail, sehen Sie bereits in Outlook oder dem E-Mail-Client, der S/MIME unterstützt, am Symbol, ob die E-Mail digital signiert ist. Am Symbol der E-Mail sehen Anwender dazu eine kleine Medaille. Über das Icon der Medaille am rechten oberen Rand, können Sie weitere Informationen zum Absender erhalten sowie das Zertifikat anzeigen.
In folgendem Video können Sie den Praxisbeitrag in bewegten Bilder nachvollziehen:
Zum Video: Nachrichten verschlüsseln und signieren
E-Mails mit Outlook verschlüsseln
Wollen Sie E-Mails zu bestimmten Empfänger verschlüsseln, also sicherstellen, dass nur der Empfänger die E-Mail lesen darf, benötigen Sie das Zertifikat dieses Empfängers. Mit diesem Zertifikat verschlüsseln Sie die E-Mail. Im Gegensatz zur Signierung benötigen Sie bei der Verschlüsselung also die Daten des Empfängers.
Das Zertifikat des Empfängers erhalten Sie automatisch, wenn Sie eine signierte E-Mail vom Empfänger erhalten haben, da hier das Zertifikat übertragen wurde. Zur Verschlüsselung von E-Mails müssen Absender und Empfänger über ein Zertifikat verfügen und auch das Zertifikat des jeweiligen Absenders oder Empfängers muss verfügbar sein.
Wollen Sie das Zertifikat eines Empfängers in den Kontakten speichern, müssen Sie zunächst eine signierte E-Mail mit dessen Signatur erhalten. Aus dieser Signatur können Sie das Zertifikat exportieren und im Kontakt importieren.
Der schnellste Weg dazu ist, wenn Sie in der E-Mail mit der digitalen Signatur mit der rechten Maustaste auf den Absender klicken und aus dem Kontextmenü die Option Zu Outlook-Kontakten hinzufügen auswählen. Rufen Sie danach den Kontakt auf und wechseln Sie die Ansicht zu Visitenkarte. Klicken Sie in der Visitenkarte bei Anzeigen auf Zertifikate. Stellen Sie sicher, dass das Zertifikat für den Kontakt hinterlegt ist.
Haben Sie für sich selbst ein Zertifikat vorliegen und für den Empfänger der verschlüsselten E-Mail ebenfalls ein Zertifikat, können Sie E-Mails verschlüsseln, wenn Sie auf der Registerkarte Optionen die Option Verschlüsseln aktivieren. Der Empfänger erkennt verschlüsselte E-Mails am Schlosssymbol der E-Mail.
Sie können bei E-Mails die Verschlüsselung und die digitale Signatur gleichzeitig aktivieren. Die beiden Funktionen haben nichts miteinander zu tun. Bei der Signierung verwenden Sie Ihr eigenes Zertifikat, bei der Verschlüsselung das Zertifikat des Empfängers.
S/MIME in Outlook Web App
Microsoft hat in Outlook Web App aka OWA die Möglichkeit integriert, E-Mails über S/MIME zu verschlüsseln oder zu signieren.
Foto: Thomas Joos
Die Option ist bei neuen E-Mails über die drei Punkte und der Auswahl von Nachrichtenoptionen anzeigen zu finden. Damit S/MIME genutzt werden kann, müssen Sie das S/MIME Steuerelement im Browser installieren.
In Office 365 rufen Sie dazu über das Zahnradsymbol oben rechts die Optionen auf und wechseln zu E-Mail/S-Mime. Hier können Sie über den Link Klicken Sie hier das Steuerelement installieren.
Sobald Sie das S/MIME ActiveX-Element installiert haben, können Sie über die Optionen und der Auswahl von E-Mail/S/MIME die Optionen zur Verschlüsselung und Signierung aktivieren. (mje)