Tags: E-Mail, Verschlüsselung, Zertifikate
Eigentlich sollte es gängige Praxis sein, geschäftskritische Nachrichten zu verschlüsseln, so dass vertrauliche Informationen vor der Neugier Unbefugter sicher sind. Das gilt umso mehr, als nun bekannt ist, wie sehr Geheimdienste die gesamte Internet-Kommunikation auch für den Zweck der Wirtschaftsspionage ausspähen. CommuniGate Pro bietet wie andere führende Messaging-Systeme die nötige Infrastruktur für das Signieren und Verschlüsseln von Nachrichten.
S/MIME (Secure / Multipurpose Internet Mail Extensions) ist der am weitesten verbreitete Standard für die Verschlüsselung und Signierung von E-Mails. Es wird von den meisten modernen Mail-Clients unterstützt und gehört auch zum Leistungsumfang von CommuniGate Pro.
Austausch der öffentlichen Schlüssel
Für die Verschlüsselung von E-Mails benötigt jeder Anwender ein für seine Absenderadresse ausgestelltes X.509 Zertifikat, welches von einer Certificate Authority (CA) beglaubigt wurde und den öffentlichen sowie privaten Schlüssel enthält. Möchte ein Absender Mails verschlüsseln, benötigt er zunächst den öffentlichen Schlüssel des Empfängers. Damit die Codierung und Decodierung funktionieren kann, müssen die Kommunikationspartner im Vorfeld ihre jeweiligen öffentlichen Schlüssel kennen.
Der Austausch der Keys zwischen Unternehmen geschieht am einfachsten über den Versand einer digital signierten Mail. Mit der Signatur gibt man dem Empfänger die Möglichkeit, die Echtheit des Absenders zu überprüfen. Technisch gesehen besteht die Signatur aus dem Absender-Zertifikat sowie dessen öffentlichen Schlüssel.
Public Key Infrastructure (PKI)
Jede Domain verfügt in CommuniGate Pro über eine Public Key Infrastructure. Die Groupware stellt dem Administrator alle Werkzeuge zur Verfügung, die er benötigt, um Domain-Zertifikate zu generieren, mit denen man Anwender-Zertifikate signieren kann. Über einen Request-Mechanismus lassen sich offizielle Zertifikate anfordern, alternativ kann man sich für seine Domains selbst welche ausstellen.
CommuniGate Pro ist zudem in der Lage, Certificate Authority Chains zu verwalten, um die Validität externer Zertifikate zu überprüfen. Gängige Root-Zertifikate werden mitgeliefert, weitere können vom Administrator in die PKI importiert werden.
Damit der CommuniGate Pro Server als Certificate Authority (CA) fungieren und seinen Usern gültige S/MIME Zertifikate ausstellen kann, müssen folgende Bedingungen erfüllt sein:
- Der PKI-Dienst muss aktiviert sein
- Zur jeweiligen Domain muss ein Zertifikat mit privatem Schlüssel hinterlegt sein
Für Test-Szenarien kennt CommuniGate Pro einen eigenen Modus für die PKI: Dabei können dann automatisch vom Server generierte Test-Zertifikate genutzt werden. Die PKI lässt sich entweder im Test- oder im Produktiv-Modus betreiben.
Mail-Verschlüsselung einrichten
Anwender von CommuniGate Pro können die Verschlüsselung für ihr Postfach selbst aktivieren. Sie benötigen dafür eine gültige Datei im PKCS#12 Format (die Dateiendung lautet typischerweise .p12 oder .pfx), die das X.509 Zertifikat enthält.
- In der Konfiguration des Kontos wählt man Mail => Sichere Email
- Im Menüpunkt Schlüssel und Zertifikat importieren vergibt man ein Passwort. Damit wird der private Schlüssel auf dem Server gesichert hinterlegt.
- Anschließend wählt man mit Durchsuchen die Zertifikatsdatei aus und gibt das Zertifikatspasswort ein.
- Mit Importieren wird das Zertifikat eingelesen und aktiviert
Nach Einrichtung des Zertifikats können ab sofort Mails samt Anhängen ent- und verschlüsselt werden.
Verschlüsseln und Signieren
Ist in der Zertifikat-Konfiguration die Option Sign all Messages aktiviert, so werden alle verfassten Mails automatisch signiert. Der Anwender kann dieses Verhalten beim Erstellen der Mail über das Signieren-Symbol steuern (siehe Markierung im Screenshot).
Soll eine Mail verschlüsselt verschickt werden, so muss der Öffentliche Schlüssel dafür im eigenen Mail-Konto hinterlegt sein. Das Verschlüsseln wird aktiviert durch einen Klick auf das entsprechende Symbol unterhalb der Betreffzeile. Beim ersten Verschlüsselungs- oder Entschlüsselungsvorgang in der aktuellen Sitzung erfragt der Mail-Client das Passwort für die Zertifikatsdatei.
Unverschlüsselte Nachrichten, die im Mail-Client liegen, lassen sich nachträglich mit einem Klick auf den Encrypt-Button verschlüsseln, so dass keine anderen Personen Zugriff auf die Klartexte der Mail erhalten.
Öffentliche Schlüssel empfängt CommuniGate Pro aus den Signaturen der Mail-Partner, sobald eine signierte Mail ankommt. Der Schlüssel wird automatisch in der Kontaktverwaltung zur jeweiligen Adresse hinterlegt und durch ein Schlüsselsymbol gekennzeichnet.
Zertifikat selbst ausstellen
Anwender können sich bei Bedarf ein Zertifikat selbst generieren. Dies setzt voraus, dass der Administrator zuvor ein Ausstellerzertifikat eingerichtet hat, welches der Generierung und Signierung der Anwender-Zertifikate dient.
Ein Zertifikat kann in der Mail-Konfiguration im Menüpunkt Sichere Email ausgestellt werden. Hierfür ist lediglich die Angabe eines Passworts für das neue Zertifikat notwendig.
Täglich Know-how für IT-Pros mit unserem Newsletter
Andrej Radonic beschäftigt sich als IT-Journalist und als Vorstand der interSales AG seit über 20 Jahren mit IT-Lösungen für mittelständische Unternehmen. Spezialgebiete sind Virtualisierung, Open Source und E-Commerce.
Verwandte Beiträge
- RDP-Dateien mit einem Zertifikat signieren
- Im Test: Sichere E-Mail und Collaboration mit Proton for Business
- E-Mails mit Office 365 Message Encryption (OME) verschlüsseln
- Active Directory-Zertifikatsdienste zu SHA-2 und KSP migrieren
- AD-Zertifikatsdienste (AD CS) von SHA-1 auf SHA-2 migrieren: Gründe und Hindernisse
Weitere Links