Diese Nachricht kann von Outlook weder verschlüsselt noch signiert werden

Inhaltsverzeichnis Show

Verschlüsselte Mails mit Outlook
Mail mit Outlook S/MIME versenden
SMIME und Gruppenrichtlinien
Weitere Links
Warum sollte ich meine E-Mails signieren?
Wie funktioniert denn die digitale Signatur? Kann die auch gefälscht werden?
Wie kann ich meine E-Mails digital signieren?
E-Mails verschlüsselt versenden

Mit Outlook können Sie wie mit anderen Mailclients ohne weitere Add-ons mit S/MIME starten. Es reicht ein auf ihre Mailadresse ausgestelltes Zertifikat mit dem passenden privaten Schlüssel und ein paar kleine Einstellungen.

Aber achten Sie auf eine aktuelle Version. Manchmal funktioniert die Verschlüsselung nicht

Das ist natürlich eine Steilvorlage für das Marketing von NoSpamProxy, da wir hier auf dem Gateway verschlüsseln und entschlüsseln.

Verschlüsselte Mails mit Outlook

Im Posteingang können Sie schon anhand des Icons erkennen, welche Mails verschlüsselt (blaues Schloss) oder nur signiert (rote Schleife) sind.

Wenn Sie die Mail sich dann anzeigen lassen, sehen Sie am rechten oberen Rand die Sinnbilder. Diese Mail ist also sowohl digital signiert als auch verschlüsselt. Wenn Sie auf die Schaltflächen klicken, dann zeigt ihnen Outlook auch das Zertifikat an:

Ist eine Signatur ungültig, dann warnt Sie Outlook gesondert und zeigt in der Mail einen deutlichen roten Balken an.

Normalerweise sollten Sie nun alarmiert sein, denn wenn jemand signiert sendet, sollte das auch passen. Dieser Warnung kommt daher meist wenn:

Selbstzertifikat
Wenn der Absender gerade noch am üben ist, dann nutzt er häufig ein selbst ausgestelltes Zertifikat. Ihr PC kennt dann die ausstellende CA nicht und stuft das an sich gültige Zertifikat aber als nicht vertrauenswürdig ein.
Datum verfallen
Auch Zertifikate verlieren ihre Gültigkeit. Gerade wenn Sie ältere Nachrichten noch einmal lesen, kann die Warnung auftreten
FäLSCHUNG
Oder jemand sendet ihnen wirklich eine Mail, fälscht die Absenderadresse und erhofft sich durch die angebliche Signierung doch als "vertrauenswürdig" durch zu kommen.

Mail mit Outlook S/MIME versenden

Wenn Sie eine Mail mit Outlook über S/MIME versenden wollen, dann sollten Sie zwei Dinge sich immer wieder in Erinnerung rufen:

Sie benötigen das Zertifikat des Empfängers zum Verschlüsseln
Der Empfänger muss sich dieses also erst besorgen und das Zertifikat mit dem darin enthaltenen Public Key senden. Das kann er am einfachsten damit machen, dass er eine signierte Mail zu ihnen schickt und dort das Zertifikat mit anhängt.
Ihr eigenes Zertifikat reicht nur zum Signieren
Wenn Sie kein Zertifikat der Gegenstelle haben, dann können Sie nicht verschlüsseln. Wenn Sie ein eigenes Zertifikat haben, dann können Sie die Mail digital signieren. Dies bedeutet aber, dass die Mail nicht verschlüsselt wird, aber jeder Empfänger (und Mitlauscher) prüfen kann, dass die Mail wirklich von ihnen kommt

Sie erfassen dann ganz normal eine Nachricht mit Outlook und können dann in den Optionen die Nachricht verschlüsseln und signieren:

Das ist auf Dauer natürlich zu umständlich. Daher können Sie über "Extras - Anpassen" die Symbole in der Leiste anpassen. Die Beiden Symbole für Verschlüsseln und signieren befinden sich im Bereich "Standard".

Dann kann die Verschlüsselung und Signierung mit einem Mausklick erfolgen.

936029 The "Request für Permission to use a Key" dialog box appears whenever you try to send an e-mail message in Outlook 2007 after you configure Outlook 2007 to use a digital signature in Windows Vista

SMIME und Gruppenrichtlinien

In den ADM-Vorlagen für Office gibt es ebenfalls Möglichkeiten, das Verhalten bei Zertifikaten zentral zu steuern. Die Einstellungen hinterlassen sich in folgendem Key

HKEY_CURRENT_User\Software\Policies\Microsoft\Office\10.0\Outlook\Security

Weitere Links

Tags:

PGP S/MIME Sicherheit SSL Signatur Zertifikat

Im Prinzip ist die Signatur ein kleiner E-Mail-Anhang, der aus einer computerlesbaren Zeichenfolge besteht. Das Mail-Programm des Empfängers kann dadurch überprüfen, ob die E-Mail wirklich vom angegebenen Absender stammt und von niemandem verändert wurde. Das ist – gerade im geschäftlichen Umfeld – sehr wichtig.

Warum sollte ich meine E-Mails signieren?

Stellen Sie sich vor, Sie würden Ihre geschäftliche Korrespondenz ausschließlich auf Postkarten schreiben und offen verschicken. Die Postkarten können von jedem, der Zugriff darauf hat oder am Transport beteiligt ist, mitgelesen, verändert oder gänzlich gefälscht und in Ihrem Namen versendet werden. Bei E-Mails ist es ganz genauso! E-Mails werden offen durch das Internet transportiert und können mitgelesen werden. Das Fälschen von E-Mails, z.B. Angeben eines falschen Absenders, ist sehr einfach möglich, wenn man sich nicht dagegen schützt. Hier hilft die sogenannte digitale Signatur. Um sich gegen unerlaubtes Mitlesen zu schützen, hilft es die E-Mail zu verschlüsseln, dazu später mehr.

Wie funktioniert denn die digitale Signatur? Kann die auch gefälscht werden?

Die Signatur wird mit einer speziellen kryptographischen Funktion aus der zu sendenden E-Mail und Ihrem geheimen Schlüssel berechnet und an die E-Mail angehängt. Es wird also nicht nur die eigentliche Nachricht im Klartext verschickt, sondern auch ein digitaler Fingerabdruck – die Signatur – der Nachricht. Die Signatur kann nur von Ihnen stammen, da nur Sie den geheimen Schlüssel (Secret Key) besitzen. Das Mailprogramm des Empfängers entschlüsselt die Signatur und überprüft, ob die Signatur zur erhaltenen Nachricht und zum angegebenen Absender passt. Das geschieht alles blitzschnell im Hintergrund. Im Mailprogramm sieht der Empfänger dann, dass die Mail tatsächlich von Ihnen stammt und unterwegs nicht verändert wurde. Warum ist es dadurch sicher, dass die Mail wirklich von Ihnen stammt? Die Magie heißt hier Mathematik. Der bereits erwähnte private Schlüssel ist eine lange Zeichenfolge, die nur Ihnen bekannt ist. Durch eine komplexe mathematische Berechnung wird eine Signatur (praktisch ein Fingerabdruck) der Nachricht berechnet, und zwar so, dass der Empfänger sie mit seinem öffentlichen Schlüssel entschlüsseln kann. Diese spezielle mathematische Funktion ist so geartet, dass der Fingerabdruck der Nachricht nur mit Ihrem geheimen Schlüssel erstellt und nur mit dem öffentlichen Schlüssel des Empfängers entschlüsselt werden kann.

Wie kann ich meine E-Mails digital signieren?

Um E-Mails digital signieren zu können, brauchen Sie zunächst ein digitales Zertifikat. Im geschäftlichen Umfeld wird zumeist der Standard S/MIME verwendet. Diese Zertifikate werden u.a. bei MS Outlook und Apple Mail verwendet. Eine Alternative ist das PGP-Format, was sich z.B. mit Thunderbird verwenden lässt, aber nicht mit Outlook. Das digitale Zertifikat erhalten Sie von Ihrer Unternehmens-IT oder von einem externen Dienstleister (z.B. Comodo, Secorio, WISeKey, GlobalSign, etc.).

Man unterscheidet drei Zertifikat-Klassen:

Klasse 1: Das einfachste Zertifikat. Die Echtheit der E-Mail-Adresse wird zugesichert, mehr aber nicht.
Klasse 2: wie Klasse 1, aber inklusive Namen des Besitzers und Organisation.
Klasse 3: wie Klasse 2, allerdings muss sich der Antragsteller persönlich mit einem Lichtbildausweis ausweisen.

Je höher die Zertifikatklasse, desto größer ist das Vertrauen, aber desto aufwändiger ist auch die Beantragung. Importieren Sie das Zertifikat in Ihrem Mailprogramm oder im Zertifikatspeicher des Betriebssystems. Achten Sie beim Versenden von E-Mails künftig darauf, dass die Einstellung „Nachricht digital signieren“ aktiviert ist.

Wichtig bei der Beantragung des Zertifikats ist, dass die Schlüsselerstellung auf Ihrem Computer geschieht. Ein „geheimer“ Schlüssel, der von einem Dritten erstellt wird und Ihnen zugeschickt wird oder herunterladbar ist, ist nicht geheim und folglich auch nicht sicher.

Überzeugen Sie auch Kollegen und Geschäftspartner davon, sich mehr um ihre IT-Sicherheit zu kümmern. Mit allen Kontakten, die ebenfalls ein Zertifikat haben, können sie auf Wunsch Ihre E-Mails verschlüsselt austauschen, sodass niemand mehr unberechtigt mitlesen kann. Durch das Versenden signierter E-Mails „lernen“ die E-Mail-Programme Ihrer Kontakte auch Ihren öffentlichen Schlüssel. Das ist wichtig, damit man Ihnen verschlüsselte E-Mails senden kann.

Infografik: E-Mail-Verschlüsselung in 2 Minuten erklärt

Sie möchten wissen, wie Sie sicher mit der Hilfe von E-Mail-Verschlüsselung kommunizieren? PGP und S/MIME-basierte Verschlüsselung kurz und kompakt erklärt. Quelle: www.gbs.com/de/infografiken

E-Mails verschlüsselt versenden

Durch die digitale Signatur ist es möglich sicherzustellen, dass der Empfänger weiß, dass die Nachricht tatsächlich vom angegebenen Absender stammt und nicht gefälscht wurde.

Bei der Verschlüsselung sind die mathematischen Methoden die gleichen wie bei der Signatur und auch hier wird das gleiche Zertifikat (mit öffentlichem und privatem Schlüssel) verwendet, aber das Verfahren ist etwas anders: Die zu versendende Nachricht wird hier mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Das kann übrigens jeder tun, der den öffentlichen Schlüssel kennt (und der soll ja bekannt sein, damit man dem Empfänger verschlüsselte Nachrichten schicken kann). Aber der Clou dieser komplexen mathematischen Funktion ist, dass nur der Empfänger die Nachricht mit seinem geheimen Schlüssel wieder entschlüsseln kann. Für alle am Transport der E-Mail beteiligten Zwischenstationen ist die E-Mail nur eine wirre Folge von Zeichen, die keinen weiteren Sinn ergibt. Nur der Empfänger, der der einzige ist, der seinen geheimen Schlüssel besitzt, kann die Nachricht wieder entschlüsseln und lesen. Das macht das Mailprogramm beim Empfang ganz automatisch. Da der öffentliche und der private Schlüssel zusammengehören, kann der Absender die Mail passend für den Empfänger verschlüsseln. Denn wenn zur Verschlüsselung der öffentliche Schlüssel des Empfängers benutzt wird, kann nur der dazu passende geheime Schlüssel die Entschlüsselung schaffen. Es gibt also sinnbildlich zu jeder Tür genau zwei Schlüssel – einen öffentlichen, den jeder kennen darf, um die Tür abzuschließen und einen geheimen Schlüssel, mit dem die Tür wieder geöffnet werden kann.

Um zusätzlich sicherzustellen, dass die Mail vom angegebenen Absender stammt, kann die E-Mail zusätzlich noch mit der digitalen Signatur versehen werden. Denn dann ist sicher, dass die Mail weder unbefugt gelesen, noch verändert, noch von einem anderen Absender verschickt wurde und nur vom Empfänger gelesen werden kann.

Text: Matthias Bauer, Hasso-Plattner-Institut (HPI), Mittelstand-Digital Zentrum Berlin