S/MIME: Was ist das, warum sollte ich mich darum kümmern und wie hängt es mit SparkPost zusammen?
Vogel
19.12.2018
1 min read
Wichtige Erkenntnisse
Premise: S/MIME (Secure/Multipurpose Internet Mail Extensions) ist ein langjähriger Standard für das Versenden von signierten und verschlüsselten E-Mails – kritisch für Branchen, die mit sensiblen Daten umgehen wie Finanzen, Gesundheitswesen und Regierung.
Ziel: Erklären, was S/MIME macht, warum es wichtig ist, wie es sich von DKIM/DMARC/TLS unterscheidet und wie es sich in SparkPost integriert.
Highlights:
Definition: S/MIME ermöglicht zwei Kernfunktionen:
Verschlüsselung → Schützt Nachrichteninhalte (Privatsphäre).
Signierung → Bestätigt Absenderidentität, verhindert Manipulationen und gewährleistet Nichtabstreitbarkeit.
Brancheneinsatz: Erforderlich oder bevorzugt von regulierten Sektoren, die Ende-zu-Ende Nachrichtenprivatsphäre und überprüfbare Identität benötigen.
Vergleich zu anderen E-Mail-Schutzmaßnahmen:
TLS: Sichert die Übertragung zwischen Servern (Transportschicht).
S/MIME: Sichert den Nachrichteninhalt selbst (Präsentationsschicht).
DKIM/DMARC: Authentifizieren Domains, nicht Einzelpersonen, und arbeiten auf Admin-/Server-Ebene.
Mechanik:
Nutzt öffentliche/private Schlüsselpaare und digitale Zertifikate, die pro E-Mail-Identität ausgestellt werden (z. B. alice@company.com).
Erfordert unterstützte E-Mail-Clients (Apple Mail, Outlook, Thunderbird, iOS Mail, etc.).
Einschränkungen:
Schlüssel und Zertifikate können komplex zu verwalten sein.
Verschlüsselte Nutzlasten können nicht auf Malware gescannt werden.
Header (Von, An, Betreff) bleiben sichtbar.
Integration mit SparkPost:
SparkPost-Nutzer können Nachrichten mit S/MIME signieren für zusätzliche Authentizität.
Für verschlüsseltes Senden müssen Empfänger zuerst ihren öffentlichen Schlüssel teilen (z. B. durch Senden einer signierten Nachricht).
Kommerzielle Partner wie Virtru und Echoworx vereinfachen dies für Unternehmens-Workflows.
Nächste Schritte:
Teil 2 der Serie demonstriert, wie man Nachrichten über SparkPost signiert und verschlüsselt.
Spätere Teile zeigen On-Premises-Setups mit PowerMTA und Momentum.
Q&A Highlights
Warum ist S/MIME wichtig, wenn ich bereits TLS oder DKIM verwende?
TLS schützt die Verbindung zwischen Servern, während S/MIME den Inhalt selbst schützt—sichernd, dass er privat und überprüfbar bleibt, selbst nach der Zustellung.
Wer braucht S/MIME am meisten?
Regulierte Industrien (Finanzen, Regierung, Gesundheitswesen) und jede Organisation, die vertrauliche, rechtlich bindende oder identitätsbezogene E-Mails versendet.
Welche Probleme löst S/MIME?
Es verhindert Abfangen und Spoofing, garantiert die Echtheit des Absenders und bietet den Nachweis, dass eine Nachricht nicht verändert wurde.
Unterstützt SparkPost nativ S/MIME?
SparkPost unterstützt das Senden von S/MIME-formatierten Nachrichten; Sie müssen nur Ihren Inhalt signieren/verschlüsseln, bevor Sie ihn über API oder SMTP einreichen.
Wie bekomme ich Zertifikate?
Zertifikate können von Anbietern wie Comodo (kostenlos für nicht-kommerzielle Nutzung) ausgestellt oder für interne Tests selbst signiert werden.
Was ist, wenn mein Empfänger verschlüsselte E-Mails nicht lesen kann?
Sie werden weiterhin den signierten Nachrichtenkopf sehen, aber um diese zu entschlüsseln, müssen sie einen kompatiblen Client installieren und ihren privaten Schlüssel importiert haben.
Wie wird der Schlüsselaustausch für von der App generierte E-Mails gehandhabt?
Empfänger können Ihrem Dienst eine signierte Nachricht per E-Mail senden; ihr öffentlicher Schlüssel kann dann automatisch über eingehende Relay-Webhooks extrahiert werden.
S/MIME ist eine seit langem etablierte Methode, verschlüsselte, signierte E-Mails zu senden, basierend auf öffentlichen Internetstandards. Wir stoßen regelmäßig auf Anforderungen für S/MIME, insbesondere aus regulierten Branchen wie dem Bankwesen, dem Gesundheitswesen und der Finanzindustrie. S/MIME wird oft benötigt, wenn es um die Kommunikation zwischen Unternehmen und Regierungsbehörden geht, zum Beispiel.
Ein weiterer sicherer Mailstandard, PGP (mit dem amüsanten Namen „Pretty Good Privacy“), wird mehr für sichere Kommunikation von Person zu Person genutzt. Es ist heute weniger beliebt, weil die Verbraucherversionen beliebter webbasierter E-Mail-Clients wie Gmail und Outlook/Hotmail keine verschlüsselten Mails anzeigen können. Das ist ein Grund, warum sich viele persönliche Kommunikationen, die Privatsphäre erfordern, auf Plattformen wie WhatsApp (und viele andere) verlagert haben, die eine native Ende-zu-Ende-Verschlüsselung bieten.
Sowohl PGP als auch S/MIME erfordern einen Mail-Client, der Schlüssel und Zertifikate verwenden kann. Viele Desktop- und mobile Clients, einschließlich Apple Mail, Microsoft Outlook und Mozilla Thunderbird, erfüllen diese Anforderungen, ebenso wie Unternehmensversionen einiger Webclients wie Microsoft Office 365. Das Einrichten der Schlüssel erfordert Arbeit, aber viele Organisationen halten es dennoch für lohnenswert, trotz jüngster Verwundbarkeitsenthüllungen, die Maßnahmen erfordern, um das Laden von Remote-Inhalten zu blockieren.
S/MIME gibt es seit 1995 und es hat mehrere Revisionen durchlaufen; die aktuelle Version wird von RFC 5751 abgedeckt. Es erfordert den Austausch von öffentlichen Schlüsseln, eine nicht triviale Aufgabe, die oft die Unterstützung eines IT-Teams oder ähnlicher Ressourcen erfordert. Für Organisationen, die E-Mail-Infrastrukturen vor Ort betreiben, erfordert die Implementierung von S/MIME zusätzliche Überlegungen für Plattformen wie PowerMTA und Momentum, die wir in unserem Leitfaden zu S/MIME für lokale sichere E-Mails behandeln. Es gibt jedoch automatisierte Ansätze, um diesen Prozess zu rationalisieren, wie zum Beispiel das Sammeln öffentlicher Schlüssel von Empfängern über E-Mail-basierte Systeme, die das Schlüsselmanagement für app-generierte E-Mail-Ströme vereinfachen können. Hier kommen kommerzielle Lösungen von Unternehmen wie SparkPost-Partnern Virtru und Echoworkx ins Spiel, die Sicherheit für persönliche Geschäfts-E-Mail-Kommunikation erleichtern (siehe unser SparkPost/Echoworkx-How-to für weitere Informationen).
Davon abgesehen, lassen Sie uns ein wenig tiefer in das alte S/MIME eintauchen und sehen, was wir damit machen können.
S/MIME ist eine seit langem etablierte Methode, verschlüsselte, signierte E-Mails zu senden, basierend auf öffentlichen Internetstandards. Wir stoßen regelmäßig auf Anforderungen für S/MIME, insbesondere aus regulierten Branchen wie dem Bankwesen, dem Gesundheitswesen und der Finanzindustrie. S/MIME wird oft benötigt, wenn es um die Kommunikation zwischen Unternehmen und Regierungsbehörden geht, zum Beispiel.
Ein weiterer sicherer Mailstandard, PGP (mit dem amüsanten Namen „Pretty Good Privacy“), wird mehr für sichere Kommunikation von Person zu Person genutzt. Es ist heute weniger beliebt, weil die Verbraucherversionen beliebter webbasierter E-Mail-Clients wie Gmail und Outlook/Hotmail keine verschlüsselten Mails anzeigen können. Das ist ein Grund, warum sich viele persönliche Kommunikationen, die Privatsphäre erfordern, auf Plattformen wie WhatsApp (und viele andere) verlagert haben, die eine native Ende-zu-Ende-Verschlüsselung bieten.
Sowohl PGP als auch S/MIME erfordern einen Mail-Client, der Schlüssel und Zertifikate verwenden kann. Viele Desktop- und mobile Clients, einschließlich Apple Mail, Microsoft Outlook und Mozilla Thunderbird, erfüllen diese Anforderungen, ebenso wie Unternehmensversionen einiger Webclients wie Microsoft Office 365. Das Einrichten der Schlüssel erfordert Arbeit, aber viele Organisationen halten es dennoch für lohnenswert, trotz jüngster Verwundbarkeitsenthüllungen, die Maßnahmen erfordern, um das Laden von Remote-Inhalten zu blockieren.
S/MIME gibt es seit 1995 und es hat mehrere Revisionen durchlaufen; die aktuelle Version wird von RFC 5751 abgedeckt. Es erfordert den Austausch von öffentlichen Schlüsseln, eine nicht triviale Aufgabe, die oft die Unterstützung eines IT-Teams oder ähnlicher Ressourcen erfordert. Für Organisationen, die E-Mail-Infrastrukturen vor Ort betreiben, erfordert die Implementierung von S/MIME zusätzliche Überlegungen für Plattformen wie PowerMTA und Momentum, die wir in unserem Leitfaden zu S/MIME für lokale sichere E-Mails behandeln. Es gibt jedoch automatisierte Ansätze, um diesen Prozess zu rationalisieren, wie zum Beispiel das Sammeln öffentlicher Schlüssel von Empfängern über E-Mail-basierte Systeme, die das Schlüsselmanagement für app-generierte E-Mail-Ströme vereinfachen können. Hier kommen kommerzielle Lösungen von Unternehmen wie SparkPost-Partnern Virtru und Echoworkx ins Spiel, die Sicherheit für persönliche Geschäfts-E-Mail-Kommunikation erleichtern (siehe unser SparkPost/Echoworkx-How-to für weitere Informationen).
Davon abgesehen, lassen Sie uns ein wenig tiefer in das alte S/MIME eintauchen und sehen, was wir damit machen können.
S/MIME ist eine seit langem etablierte Methode, verschlüsselte, signierte E-Mails zu senden, basierend auf öffentlichen Internetstandards. Wir stoßen regelmäßig auf Anforderungen für S/MIME, insbesondere aus regulierten Branchen wie dem Bankwesen, dem Gesundheitswesen und der Finanzindustrie. S/MIME wird oft benötigt, wenn es um die Kommunikation zwischen Unternehmen und Regierungsbehörden geht, zum Beispiel.
Ein weiterer sicherer Mailstandard, PGP (mit dem amüsanten Namen „Pretty Good Privacy“), wird mehr für sichere Kommunikation von Person zu Person genutzt. Es ist heute weniger beliebt, weil die Verbraucherversionen beliebter webbasierter E-Mail-Clients wie Gmail und Outlook/Hotmail keine verschlüsselten Mails anzeigen können. Das ist ein Grund, warum sich viele persönliche Kommunikationen, die Privatsphäre erfordern, auf Plattformen wie WhatsApp (und viele andere) verlagert haben, die eine native Ende-zu-Ende-Verschlüsselung bieten.
Sowohl PGP als auch S/MIME erfordern einen Mail-Client, der Schlüssel und Zertifikate verwenden kann. Viele Desktop- und mobile Clients, einschließlich Apple Mail, Microsoft Outlook und Mozilla Thunderbird, erfüllen diese Anforderungen, ebenso wie Unternehmensversionen einiger Webclients wie Microsoft Office 365. Das Einrichten der Schlüssel erfordert Arbeit, aber viele Organisationen halten es dennoch für lohnenswert, trotz jüngster Verwundbarkeitsenthüllungen, die Maßnahmen erfordern, um das Laden von Remote-Inhalten zu blockieren.
S/MIME gibt es seit 1995 und es hat mehrere Revisionen durchlaufen; die aktuelle Version wird von RFC 5751 abgedeckt. Es erfordert den Austausch von öffentlichen Schlüsseln, eine nicht triviale Aufgabe, die oft die Unterstützung eines IT-Teams oder ähnlicher Ressourcen erfordert. Für Organisationen, die E-Mail-Infrastrukturen vor Ort betreiben, erfordert die Implementierung von S/MIME zusätzliche Überlegungen für Plattformen wie PowerMTA und Momentum, die wir in unserem Leitfaden zu S/MIME für lokale sichere E-Mails behandeln. Es gibt jedoch automatisierte Ansätze, um diesen Prozess zu rationalisieren, wie zum Beispiel das Sammeln öffentlicher Schlüssel von Empfängern über E-Mail-basierte Systeme, die das Schlüsselmanagement für app-generierte E-Mail-Ströme vereinfachen können. Hier kommen kommerzielle Lösungen von Unternehmen wie SparkPost-Partnern Virtru und Echoworkx ins Spiel, die Sicherheit für persönliche Geschäfts-E-Mail-Kommunikation erleichtern (siehe unser SparkPost/Echoworkx-How-to für weitere Informationen).
Davon abgesehen, lassen Sie uns ein wenig tiefer in das alte S/MIME eintauchen und sehen, was wir damit machen können.
Warum sollte I mich kümmern?
Die Kurzfassung:
Verschlüsselung bietet Nachrichtenprivatsphäre.
Signierung bietet Authentifizierung (des Absenders), Nichtabstreitbarkeit der Herkunft und Integritätsprüfungen der Nachricht.
S/MIME funktioniert anders als DKIM und DMARC und kann mit ihnen koexistieren.
Privatsphäre
Wenn Ihre Nachrichten nichts Persönliches, Privates oder rechtlich Wichtiges enthalten, müssen Sie wahrscheinlich nicht über S/MIME nachdenken. Moderne E-Mail-Übermittlungssysteme wie SparkPost verwenden bereits "opportunistisches TLS", um den Nachrichtentransport vom sendenden Server zum empfangenden Server zu sichern.
Der "opportunistische" Teil bedeutet jedoch, dass, wenn der sendende Server keine sichere Verbindung aushandeln kann, wir die Mail im Klartext senden. Dies ist nicht geeignet, wenn Sie möchten, dass die Nachricht auf dem gesamten Weg sicher ist. Sie können einen Blick darauf werfen, welche Postfachanbieter TLS-Unterstützung behaupten und welche es tatsächlich tun. Angenommen, der Empfängerserver unterstützt TLS, so wird Ihre Nachricht wie folgt gesichert:
TLS sichert die Gespräche zwischen Mail-Servern (daher wird es Transport Layer Security genannt). MIME (einschließlich S/MIME) befasst sich mit dem Nachrichteninhalt und dessen Behandlung und kann als Teil der "Präsentationsebene" betrachtet werden.
S/MIME sichert den Inhalt der Nachricht auf dem gesamten Weg („Ende zu Ende“) vom Nachrichtenursprung bis zum Empfänger-Mail-Client, indem es den Nachrichtentext kapselt.
S/MIME verschlüsselt den Nachrichtentext mit dem öffentlichen Schlüssel des Empfängers. Der Text kann nur mit dem privaten Schlüssel des Empfängers entschlüsselt werden – nicht von irgendeiner "Person in der Mitte" wie Ihrem ISP, SparkPost oder dem Mail-Server des Empfängers.
Der private Schlüssel wird niemals offengelegt; er bleibt im alleinigen Besitz des Empfängers. Die verschlüsselte Nachricht reist über das Internet zum empfangenden Mail-Server. Sobald sie im Posteingang des Empfängers landet, wird sie (normalerweise automatisch) mit dem privaten Schlüssel entschlüsselt und lesbar.
Einige S/MIME-Tücken, derer Sie sich bewusst sein sollten:
S/MIME-Verschlüsselung hat den Nebeneffekt, dass serverbasierte eingehende Nachrichtenscans auf Malware verhindert werden, weil die Nachrichtenlast in verschlüsselter Form und daher nicht identifizierbar ist.
Beachten Sie, dass die Nachrichtenheader (Von:, An:, Betreff: usw.) nicht verschlüsselt sind, sodass der Betreffinhalt mit dieser Tatsache im Kopf erstellt werden muss.
Signierung – Authentifizierung
S/MIME verleiht dem Empfänger auch die Fähigkeit, zu überprüfen, dass die Identität des Nachrichtensenders dem entspricht, was sie behaupten.
Die E-Mail des Absenders hat ein angehängtes Zertifikat, das, ähnlich wie das Zertifikat auf einer sicheren Website, auf eine ausstellende Behörde zurückverfolgt werden kann. Für eine vollständige Beschreibung des Signiervorgangs siehe das S/MIME-Signaturprozess-PDF.
Wir werden den Ansatz verfolgen, die Mail zuerst zu signieren und dann zu verschlüsseln, sodass der Prozess so aussieht.
Nichtabstreitbarkeit
Ein weiterer nützlicher Vorteil der Signatur für den Empfänger ist die Nichtabstreitbarkeit der Herkunft. Stellen Sie sich eine Situation vor, in der eine E-Mail-Nachricht verwendet wird, um einen Vertrag zu genehmigen. Der Empfänger erhält den Vertrag in einer Nachricht vom Absender. Wenn der Absender später versucht zu sagen: „Nein, ich habe Ihnen diese Nachricht nie gesendet", zeigt die erhaltene Nachricht, dass das Zertifikat des Absenders tatsächlich verwendet wurde.
Nachrichtenintegrität
Der Signaturprozess erstellt einen Fingerabdruck der normalen Quellnachricht (bekannt als Nachrichten-Digest), verschlüsselt den Digest mit dem privaten Schlüssel des Absenders und fügt ihn der gelieferten Nachricht hinzu. Der E-Mail-Client des Empfängers kann erkennen, ob der Nachrichtentext manipuliert wurde.
Vielleicht sagen Sie: „Ich dachte, DKIM bietet mir Integritätsprüfungen der Nachricht!“ Nun ja, DKIM bietet Integritätsprüfungen des Nachrichtentextes und der Nachrichtenheader – Manipulationsschutz. DKIM-Ausfälle (oder deren Abwesenheit) führen jedoch normalerweise nicht dazu, dass die eingehende Nachricht als völlig ungültig markiert wird … es sei denn, eine DMARC-Richtlinie von p=reject ist im Spiel (siehe unseren Blogbeitrag DMARC: Wie Sie Ihren E-Mail-Ruf schützen). DKIM ist ein Faktor von vielen, die der ISP für die zuverlässige Zuordnung von Ansehen zu einer Domain verwendet und ist natürlich ein wesentlicher Teil Ihres Messaging-Stacks.
Ihr E-Mail-Client zeigt Ihnen deutlich an, wenn eine S/MIME-Nachricht die Signaturüberprüfung nicht besteht:
Zusammenfassung: Ende-zu-Ende (S/MIME) vs. Server-zu-Server (DKIM, DMARC, TLS)
S/MIME ist eine Präsentationsebene-Fähigkeit, die zwischen zwei E-Mail-Endbenutzern (mit gültigen Zertifikaten/Schlüsseln) ohne jegliche Handlung des E-Mail-Administrators funktionieren kann. S/MIME bietet Verschlüsselung und Signatur und ist persönlich für jeden Benutzer.
S/MIME ist an die vollständige Absenderadresse gebunden (lokaler Teil und Domänenteil), sodass z.B. alice@bigcorp.com und bob@bigcorp.com unterschiedliche Zertifikate haben müssten. Im Gegensatz dazu validiert DKIM, dass die E-Mail von der signierenden Domain kommt. DKIM ist ein eigenes Thema; dieser Artikel ist ein guter Ausgangspunkt.
DKIM und DMARC-Einrichtung wird von Ihrem E-Mail-Administrator durchgeführt (arbeitet am Mail-Server und an den DNS-Einträgen). Sobald sie eingerichtet sind, sind sie für Domänen aktiv, anstatt für einzelne Benutzer.
Die Kurzfassung:
Verschlüsselung bietet Nachrichtenprivatsphäre.
Signierung bietet Authentifizierung (des Absenders), Nichtabstreitbarkeit der Herkunft und Integritätsprüfungen der Nachricht.
S/MIME funktioniert anders als DKIM und DMARC und kann mit ihnen koexistieren.
Privatsphäre
Wenn Ihre Nachrichten nichts Persönliches, Privates oder rechtlich Wichtiges enthalten, müssen Sie wahrscheinlich nicht über S/MIME nachdenken. Moderne E-Mail-Übermittlungssysteme wie SparkPost verwenden bereits "opportunistisches TLS", um den Nachrichtentransport vom sendenden Server zum empfangenden Server zu sichern.
Der "opportunistische" Teil bedeutet jedoch, dass, wenn der sendende Server keine sichere Verbindung aushandeln kann, wir die Mail im Klartext senden. Dies ist nicht geeignet, wenn Sie möchten, dass die Nachricht auf dem gesamten Weg sicher ist. Sie können einen Blick darauf werfen, welche Postfachanbieter TLS-Unterstützung behaupten und welche es tatsächlich tun. Angenommen, der Empfängerserver unterstützt TLS, so wird Ihre Nachricht wie folgt gesichert:
TLS sichert die Gespräche zwischen Mail-Servern (daher wird es Transport Layer Security genannt). MIME (einschließlich S/MIME) befasst sich mit dem Nachrichteninhalt und dessen Behandlung und kann als Teil der "Präsentationsebene" betrachtet werden.
S/MIME sichert den Inhalt der Nachricht auf dem gesamten Weg („Ende zu Ende“) vom Nachrichtenursprung bis zum Empfänger-Mail-Client, indem es den Nachrichtentext kapselt.
S/MIME verschlüsselt den Nachrichtentext mit dem öffentlichen Schlüssel des Empfängers. Der Text kann nur mit dem privaten Schlüssel des Empfängers entschlüsselt werden – nicht von irgendeiner "Person in der Mitte" wie Ihrem ISP, SparkPost oder dem Mail-Server des Empfängers.
Der private Schlüssel wird niemals offengelegt; er bleibt im alleinigen Besitz des Empfängers. Die verschlüsselte Nachricht reist über das Internet zum empfangenden Mail-Server. Sobald sie im Posteingang des Empfängers landet, wird sie (normalerweise automatisch) mit dem privaten Schlüssel entschlüsselt und lesbar.
Einige S/MIME-Tücken, derer Sie sich bewusst sein sollten:
S/MIME-Verschlüsselung hat den Nebeneffekt, dass serverbasierte eingehende Nachrichtenscans auf Malware verhindert werden, weil die Nachrichtenlast in verschlüsselter Form und daher nicht identifizierbar ist.
Beachten Sie, dass die Nachrichtenheader (Von:, An:, Betreff: usw.) nicht verschlüsselt sind, sodass der Betreffinhalt mit dieser Tatsache im Kopf erstellt werden muss.
Signierung – Authentifizierung
S/MIME verleiht dem Empfänger auch die Fähigkeit, zu überprüfen, dass die Identität des Nachrichtensenders dem entspricht, was sie behaupten.
Die E-Mail des Absenders hat ein angehängtes Zertifikat, das, ähnlich wie das Zertifikat auf einer sicheren Website, auf eine ausstellende Behörde zurückverfolgt werden kann. Für eine vollständige Beschreibung des Signiervorgangs siehe das S/MIME-Signaturprozess-PDF.
Wir werden den Ansatz verfolgen, die Mail zuerst zu signieren und dann zu verschlüsseln, sodass der Prozess so aussieht.
Nichtabstreitbarkeit
Ein weiterer nützlicher Vorteil der Signatur für den Empfänger ist die Nichtabstreitbarkeit der Herkunft. Stellen Sie sich eine Situation vor, in der eine E-Mail-Nachricht verwendet wird, um einen Vertrag zu genehmigen. Der Empfänger erhält den Vertrag in einer Nachricht vom Absender. Wenn der Absender später versucht zu sagen: „Nein, ich habe Ihnen diese Nachricht nie gesendet", zeigt die erhaltene Nachricht, dass das Zertifikat des Absenders tatsächlich verwendet wurde.
Nachrichtenintegrität
Der Signaturprozess erstellt einen Fingerabdruck der normalen Quellnachricht (bekannt als Nachrichten-Digest), verschlüsselt den Digest mit dem privaten Schlüssel des Absenders und fügt ihn der gelieferten Nachricht hinzu. Der E-Mail-Client des Empfängers kann erkennen, ob der Nachrichtentext manipuliert wurde.
Vielleicht sagen Sie: „Ich dachte, DKIM bietet mir Integritätsprüfungen der Nachricht!“ Nun ja, DKIM bietet Integritätsprüfungen des Nachrichtentextes und der Nachrichtenheader – Manipulationsschutz. DKIM-Ausfälle (oder deren Abwesenheit) führen jedoch normalerweise nicht dazu, dass die eingehende Nachricht als völlig ungültig markiert wird … es sei denn, eine DMARC-Richtlinie von p=reject ist im Spiel (siehe unseren Blogbeitrag DMARC: Wie Sie Ihren E-Mail-Ruf schützen). DKIM ist ein Faktor von vielen, die der ISP für die zuverlässige Zuordnung von Ansehen zu einer Domain verwendet und ist natürlich ein wesentlicher Teil Ihres Messaging-Stacks.
Ihr E-Mail-Client zeigt Ihnen deutlich an, wenn eine S/MIME-Nachricht die Signaturüberprüfung nicht besteht:
Zusammenfassung: Ende-zu-Ende (S/MIME) vs. Server-zu-Server (DKIM, DMARC, TLS)
S/MIME ist eine Präsentationsebene-Fähigkeit, die zwischen zwei E-Mail-Endbenutzern (mit gültigen Zertifikaten/Schlüsseln) ohne jegliche Handlung des E-Mail-Administrators funktionieren kann. S/MIME bietet Verschlüsselung und Signatur und ist persönlich für jeden Benutzer.
S/MIME ist an die vollständige Absenderadresse gebunden (lokaler Teil und Domänenteil), sodass z.B. alice@bigcorp.com und bob@bigcorp.com unterschiedliche Zertifikate haben müssten. Im Gegensatz dazu validiert DKIM, dass die E-Mail von der signierenden Domain kommt. DKIM ist ein eigenes Thema; dieser Artikel ist ein guter Ausgangspunkt.
DKIM und DMARC-Einrichtung wird von Ihrem E-Mail-Administrator durchgeführt (arbeitet am Mail-Server und an den DNS-Einträgen). Sobald sie eingerichtet sind, sind sie für Domänen aktiv, anstatt für einzelne Benutzer.
Die Kurzfassung:
Verschlüsselung bietet Nachrichtenprivatsphäre.
Signierung bietet Authentifizierung (des Absenders), Nichtabstreitbarkeit der Herkunft und Integritätsprüfungen der Nachricht.
S/MIME funktioniert anders als DKIM und DMARC und kann mit ihnen koexistieren.
Privatsphäre
Wenn Ihre Nachrichten nichts Persönliches, Privates oder rechtlich Wichtiges enthalten, müssen Sie wahrscheinlich nicht über S/MIME nachdenken. Moderne E-Mail-Übermittlungssysteme wie SparkPost verwenden bereits "opportunistisches TLS", um den Nachrichtentransport vom sendenden Server zum empfangenden Server zu sichern.
Der "opportunistische" Teil bedeutet jedoch, dass, wenn der sendende Server keine sichere Verbindung aushandeln kann, wir die Mail im Klartext senden. Dies ist nicht geeignet, wenn Sie möchten, dass die Nachricht auf dem gesamten Weg sicher ist. Sie können einen Blick darauf werfen, welche Postfachanbieter TLS-Unterstützung behaupten und welche es tatsächlich tun. Angenommen, der Empfängerserver unterstützt TLS, so wird Ihre Nachricht wie folgt gesichert:
TLS sichert die Gespräche zwischen Mail-Servern (daher wird es Transport Layer Security genannt). MIME (einschließlich S/MIME) befasst sich mit dem Nachrichteninhalt und dessen Behandlung und kann als Teil der "Präsentationsebene" betrachtet werden.
S/MIME sichert den Inhalt der Nachricht auf dem gesamten Weg („Ende zu Ende“) vom Nachrichtenursprung bis zum Empfänger-Mail-Client, indem es den Nachrichtentext kapselt.
S/MIME verschlüsselt den Nachrichtentext mit dem öffentlichen Schlüssel des Empfängers. Der Text kann nur mit dem privaten Schlüssel des Empfängers entschlüsselt werden – nicht von irgendeiner "Person in der Mitte" wie Ihrem ISP, SparkPost oder dem Mail-Server des Empfängers.
Der private Schlüssel wird niemals offengelegt; er bleibt im alleinigen Besitz des Empfängers. Die verschlüsselte Nachricht reist über das Internet zum empfangenden Mail-Server. Sobald sie im Posteingang des Empfängers landet, wird sie (normalerweise automatisch) mit dem privaten Schlüssel entschlüsselt und lesbar.
Einige S/MIME-Tücken, derer Sie sich bewusst sein sollten:
S/MIME-Verschlüsselung hat den Nebeneffekt, dass serverbasierte eingehende Nachrichtenscans auf Malware verhindert werden, weil die Nachrichtenlast in verschlüsselter Form und daher nicht identifizierbar ist.
Beachten Sie, dass die Nachrichtenheader (Von:, An:, Betreff: usw.) nicht verschlüsselt sind, sodass der Betreffinhalt mit dieser Tatsache im Kopf erstellt werden muss.
Signierung – Authentifizierung
S/MIME verleiht dem Empfänger auch die Fähigkeit, zu überprüfen, dass die Identität des Nachrichtensenders dem entspricht, was sie behaupten.
Die E-Mail des Absenders hat ein angehängtes Zertifikat, das, ähnlich wie das Zertifikat auf einer sicheren Website, auf eine ausstellende Behörde zurückverfolgt werden kann. Für eine vollständige Beschreibung des Signiervorgangs siehe das S/MIME-Signaturprozess-PDF.
Wir werden den Ansatz verfolgen, die Mail zuerst zu signieren und dann zu verschlüsseln, sodass der Prozess so aussieht.
Nichtabstreitbarkeit
Ein weiterer nützlicher Vorteil der Signatur für den Empfänger ist die Nichtabstreitbarkeit der Herkunft. Stellen Sie sich eine Situation vor, in der eine E-Mail-Nachricht verwendet wird, um einen Vertrag zu genehmigen. Der Empfänger erhält den Vertrag in einer Nachricht vom Absender. Wenn der Absender später versucht zu sagen: „Nein, ich habe Ihnen diese Nachricht nie gesendet", zeigt die erhaltene Nachricht, dass das Zertifikat des Absenders tatsächlich verwendet wurde.
Nachrichtenintegrität
Der Signaturprozess erstellt einen Fingerabdruck der normalen Quellnachricht (bekannt als Nachrichten-Digest), verschlüsselt den Digest mit dem privaten Schlüssel des Absenders und fügt ihn der gelieferten Nachricht hinzu. Der E-Mail-Client des Empfängers kann erkennen, ob der Nachrichtentext manipuliert wurde.
Vielleicht sagen Sie: „Ich dachte, DKIM bietet mir Integritätsprüfungen der Nachricht!“ Nun ja, DKIM bietet Integritätsprüfungen des Nachrichtentextes und der Nachrichtenheader – Manipulationsschutz. DKIM-Ausfälle (oder deren Abwesenheit) führen jedoch normalerweise nicht dazu, dass die eingehende Nachricht als völlig ungültig markiert wird … es sei denn, eine DMARC-Richtlinie von p=reject ist im Spiel (siehe unseren Blogbeitrag DMARC: Wie Sie Ihren E-Mail-Ruf schützen). DKIM ist ein Faktor von vielen, die der ISP für die zuverlässige Zuordnung von Ansehen zu einer Domain verwendet und ist natürlich ein wesentlicher Teil Ihres Messaging-Stacks.
Ihr E-Mail-Client zeigt Ihnen deutlich an, wenn eine S/MIME-Nachricht die Signaturüberprüfung nicht besteht:
Zusammenfassung: Ende-zu-Ende (S/MIME) vs. Server-zu-Server (DKIM, DMARC, TLS)
S/MIME ist eine Präsentationsebene-Fähigkeit, die zwischen zwei E-Mail-Endbenutzern (mit gültigen Zertifikaten/Schlüsseln) ohne jegliche Handlung des E-Mail-Administrators funktionieren kann. S/MIME bietet Verschlüsselung und Signatur und ist persönlich für jeden Benutzer.
S/MIME ist an die vollständige Absenderadresse gebunden (lokaler Teil und Domänenteil), sodass z.B. alice@bigcorp.com und bob@bigcorp.com unterschiedliche Zertifikate haben müssten. Im Gegensatz dazu validiert DKIM, dass die E-Mail von der signierenden Domain kommt. DKIM ist ein eigenes Thema; dieser Artikel ist ein guter Ausgangspunkt.
DKIM und DMARC-Einrichtung wird von Ihrem E-Mail-Administrator durchgeführt (arbeitet am Mail-Server und an den DNS-Einträgen). Sobald sie eingerichtet sind, sind sie für Domänen aktiv, anstatt für einzelne Benutzer.
Wie hängt das mit SparkPost zusammen?
Mail-Systeme für Nachrichten von Person zu Person, wie Microsoft Exchange Server, haben lange S/MIME unterstützt.
Wenn Sie SparkPost verwenden, um an bestimmte Empfänger mit Mail-Clients zu senden, die S/MIME lesen können, dann könnte es sinnvoll sein, Ihre Nachrichten mit S/MIME zu signieren. Die S/MIME-Signierung bietet zusätzliche Sicherheit, dass die Nachricht tatsächlich von Ihnen (oder Ihrem System) stammt und nicht manipuliert wurde, was in einigen Anwendungsfällen wertvoll sein kann. Alles, was Sie dafür benötigen, ist Ihr eigener Schlüssel und einige kostenlose Software, die wir in Teil 2 dieses Artikels demonstrieren werden.
Die Verwendung von S/MIME-Verschlüsselung ist eine separate Entscheidung. Sie benötigen den öffentlichen Schlüssel für jeden Ihrer Empfänger. Dies zu erhalten könnte so einfach sein, wie dass sie Ihnen (oder Ihrer App) eine signierte E-Mail senden. Wir werden ein praktisches Tool zum Senden von S/MIME-signierten und verschlüsselten E-Mails über SparkPost in einem nachfolgenden Beitrag erkunden.
Mail-Systeme für Nachrichten von Person zu Person, wie Microsoft Exchange Server, haben lange S/MIME unterstützt.
Wenn Sie SparkPost verwenden, um an bestimmte Empfänger mit Mail-Clients zu senden, die S/MIME lesen können, dann könnte es sinnvoll sein, Ihre Nachrichten mit S/MIME zu signieren. Die S/MIME-Signierung bietet zusätzliche Sicherheit, dass die Nachricht tatsächlich von Ihnen (oder Ihrem System) stammt und nicht manipuliert wurde, was in einigen Anwendungsfällen wertvoll sein kann. Alles, was Sie dafür benötigen, ist Ihr eigener Schlüssel und einige kostenlose Software, die wir in Teil 2 dieses Artikels demonstrieren werden.
Die Verwendung von S/MIME-Verschlüsselung ist eine separate Entscheidung. Sie benötigen den öffentlichen Schlüssel für jeden Ihrer Empfänger. Dies zu erhalten könnte so einfach sein, wie dass sie Ihnen (oder Ihrer App) eine signierte E-Mail senden. Wir werden ein praktisches Tool zum Senden von S/MIME-signierten und verschlüsselten E-Mails über SparkPost in einem nachfolgenden Beitrag erkunden.
Mail-Systeme für Nachrichten von Person zu Person, wie Microsoft Exchange Server, haben lange S/MIME unterstützt.
Wenn Sie SparkPost verwenden, um an bestimmte Empfänger mit Mail-Clients zu senden, die S/MIME lesen können, dann könnte es sinnvoll sein, Ihre Nachrichten mit S/MIME zu signieren. Die S/MIME-Signierung bietet zusätzliche Sicherheit, dass die Nachricht tatsächlich von Ihnen (oder Ihrem System) stammt und nicht manipuliert wurde, was in einigen Anwendungsfällen wertvoll sein kann. Alles, was Sie dafür benötigen, ist Ihr eigener Schlüssel und einige kostenlose Software, die wir in Teil 2 dieses Artikels demonstrieren werden.
Die Verwendung von S/MIME-Verschlüsselung ist eine separate Entscheidung. Sie benötigen den öffentlichen Schlüssel für jeden Ihrer Empfänger. Dies zu erhalten könnte so einfach sein, wie dass sie Ihnen (oder Ihrer App) eine signierte E-Mail senden. Wir werden ein praktisches Tool zum Senden von S/MIME-signierten und verschlüsselten E-Mails über SparkPost in einem nachfolgenden Beitrag erkunden.
Welche Clients unterstützen S/MIME?
Consumer Gmail
Der gewöhnliche Gmail-Webclient zeigt eingehende Mailsignaturen an (siehe unten), ist jedoch nicht dafür eingerichtet, Ihren privaten Schlüssel zu speichern, um verschlüsselte Nachrichten zu lesen. Selbst wenn das über Drittanbieter-Plugins möglich wäre, ist das Hochladen Ihres privaten Schlüssels aus Sicherheitsgründen keine gute Idee.
Ich konnte Yahoo! Mail überhaupt nicht dazu bringen, Signaturen in Nachrichten zu dekodieren.
Die Verbraucherversion von Microsoft Outlook/Hotmail-Konten warnt Sie vor dem Vorhandensein einer S/MIME-Signatur, gewährt Ihnen jedoch keinen vollständigen Zugriff, um das Zertifikat anzusehen oder zu überprüfen.
Hosted business mail
Für Organisationen mit gehostetem Mail unterstützen Microsoft Office 365 und G Suite Enterprise S/MIME.
Outlook mail clients
Client-basierte Microsoft Outlook (z. B. 2010 für Windows) funktioniert:
Ein Klick auf die Symbole gibt Ihnen weitere Informationen:
In Outlook 2010 / Windows wird der Zertifikatspeicher über Datei / Optionen / Trust Center / Trust Center-Einstellungen / E-Mail-Sicherheit / Import / Export aufgerufen.
Thunderbird – plattformübergreifend und kostenlos
Wenn Sie nach einem kostenlosen Client suchen, passt Mozilla Thunderbird gut. Es ist auf PC, Mac und Linux verfügbar und unterstützt S/MIME auf allen diesen Plattformen. So sieht eine Nachricht auf einem Mac aus. Das „versiegelte Umschlag“-Symbol zeigt an, dass die Nachricht signiert ist, und das Schloss zeigt an, dass sie verschlüsselt wurde.
Klicken auf den Umschlag/das Schloss zeigt Informationen über die Nachricht an:
Thunderbird hat seinen eigenen Schlüsselspeicher, auf jeder Plattform auf ähnliche Weise zugänglich:
Mac über Einstellungen / Erweitert / Zertifikate / Zertifikate verwalten
PC: Menü („Hamburger“-Symbol oben rechts), Erweitert / Zertifikate / Zertifikate verwalten
Linux: Menü („Hamburger“-Symbol oben rechts), Einstellungen / Erweitert / Zertifikate verwalten
Mac Mail
Mac Mail unterstützt ebenfalls S/MIME. Es verlässt sich auf Ihren Mac-Schlüsselbund, um Ihre Schlüssel zu speichern.
iOS Mail
Importieren Sie zunächst das Zertifikat Ihres E-Mail-Kontos auf diese Weise, dann können Sie S/MIME-signierte und -verschlüsselte E-Mails anzeigen. Sie sehen auf dem Anzeigebildschirm nicht wirklich anders aus.
Android
Einige Geräte und Apps unterstützen S/MIME; es gibt eine große Vielfalt. Samsung hat einen Leitfaden.
Consumer Gmail
Der gewöhnliche Gmail-Webclient zeigt eingehende Mailsignaturen an (siehe unten), ist jedoch nicht dafür eingerichtet, Ihren privaten Schlüssel zu speichern, um verschlüsselte Nachrichten zu lesen. Selbst wenn das über Drittanbieter-Plugins möglich wäre, ist das Hochladen Ihres privaten Schlüssels aus Sicherheitsgründen keine gute Idee.
Ich konnte Yahoo! Mail überhaupt nicht dazu bringen, Signaturen in Nachrichten zu dekodieren.
Die Verbraucherversion von Microsoft Outlook/Hotmail-Konten warnt Sie vor dem Vorhandensein einer S/MIME-Signatur, gewährt Ihnen jedoch keinen vollständigen Zugriff, um das Zertifikat anzusehen oder zu überprüfen.
Hosted business mail
Für Organisationen mit gehostetem Mail unterstützen Microsoft Office 365 und G Suite Enterprise S/MIME.
Outlook mail clients
Client-basierte Microsoft Outlook (z. B. 2010 für Windows) funktioniert:
Ein Klick auf die Symbole gibt Ihnen weitere Informationen:
In Outlook 2010 / Windows wird der Zertifikatspeicher über Datei / Optionen / Trust Center / Trust Center-Einstellungen / E-Mail-Sicherheit / Import / Export aufgerufen.
Thunderbird – plattformübergreifend und kostenlos
Wenn Sie nach einem kostenlosen Client suchen, passt Mozilla Thunderbird gut. Es ist auf PC, Mac und Linux verfügbar und unterstützt S/MIME auf allen diesen Plattformen. So sieht eine Nachricht auf einem Mac aus. Das „versiegelte Umschlag“-Symbol zeigt an, dass die Nachricht signiert ist, und das Schloss zeigt an, dass sie verschlüsselt wurde.
Klicken auf den Umschlag/das Schloss zeigt Informationen über die Nachricht an:
Thunderbird hat seinen eigenen Schlüsselspeicher, auf jeder Plattform auf ähnliche Weise zugänglich:
Mac über Einstellungen / Erweitert / Zertifikate / Zertifikate verwalten
PC: Menü („Hamburger“-Symbol oben rechts), Erweitert / Zertifikate / Zertifikate verwalten
Linux: Menü („Hamburger“-Symbol oben rechts), Einstellungen / Erweitert / Zertifikate verwalten
Mac Mail
Mac Mail unterstützt ebenfalls S/MIME. Es verlässt sich auf Ihren Mac-Schlüsselbund, um Ihre Schlüssel zu speichern.
iOS Mail
Importieren Sie zunächst das Zertifikat Ihres E-Mail-Kontos auf diese Weise, dann können Sie S/MIME-signierte und -verschlüsselte E-Mails anzeigen. Sie sehen auf dem Anzeigebildschirm nicht wirklich anders aus.
Android
Einige Geräte und Apps unterstützen S/MIME; es gibt eine große Vielfalt. Samsung hat einen Leitfaden.
Consumer Gmail
Der gewöhnliche Gmail-Webclient zeigt eingehende Mailsignaturen an (siehe unten), ist jedoch nicht dafür eingerichtet, Ihren privaten Schlüssel zu speichern, um verschlüsselte Nachrichten zu lesen. Selbst wenn das über Drittanbieter-Plugins möglich wäre, ist das Hochladen Ihres privaten Schlüssels aus Sicherheitsgründen keine gute Idee.
Ich konnte Yahoo! Mail überhaupt nicht dazu bringen, Signaturen in Nachrichten zu dekodieren.
Die Verbraucherversion von Microsoft Outlook/Hotmail-Konten warnt Sie vor dem Vorhandensein einer S/MIME-Signatur, gewährt Ihnen jedoch keinen vollständigen Zugriff, um das Zertifikat anzusehen oder zu überprüfen.
Hosted business mail
Für Organisationen mit gehostetem Mail unterstützen Microsoft Office 365 und G Suite Enterprise S/MIME.
Outlook mail clients
Client-basierte Microsoft Outlook (z. B. 2010 für Windows) funktioniert:
Ein Klick auf die Symbole gibt Ihnen weitere Informationen:
In Outlook 2010 / Windows wird der Zertifikatspeicher über Datei / Optionen / Trust Center / Trust Center-Einstellungen / E-Mail-Sicherheit / Import / Export aufgerufen.
Thunderbird – plattformübergreifend und kostenlos
Wenn Sie nach einem kostenlosen Client suchen, passt Mozilla Thunderbird gut. Es ist auf PC, Mac und Linux verfügbar und unterstützt S/MIME auf allen diesen Plattformen. So sieht eine Nachricht auf einem Mac aus. Das „versiegelte Umschlag“-Symbol zeigt an, dass die Nachricht signiert ist, und das Schloss zeigt an, dass sie verschlüsselt wurde.
Klicken auf den Umschlag/das Schloss zeigt Informationen über die Nachricht an:
Thunderbird hat seinen eigenen Schlüsselspeicher, auf jeder Plattform auf ähnliche Weise zugänglich:
Mac über Einstellungen / Erweitert / Zertifikate / Zertifikate verwalten
PC: Menü („Hamburger“-Symbol oben rechts), Erweitert / Zertifikate / Zertifikate verwalten
Linux: Menü („Hamburger“-Symbol oben rechts), Einstellungen / Erweitert / Zertifikate verwalten
Mac Mail
Mac Mail unterstützt ebenfalls S/MIME. Es verlässt sich auf Ihren Mac-Schlüsselbund, um Ihre Schlüssel zu speichern.
iOS Mail
Importieren Sie zunächst das Zertifikat Ihres E-Mail-Kontos auf diese Weise, dann können Sie S/MIME-signierte und -verschlüsselte E-Mails anzeigen. Sie sehen auf dem Anzeigebildschirm nicht wirklich anders aus.
Android
Einige Geräte und Apps unterstützen S/MIME; es gibt eine große Vielfalt. Samsung hat einen Leitfaden.
Endlich…
Das ist unser kurzer Überblick über die praktischen Anwendungen von S/MIME. Wenn Sie Ihre eigenen Mail-Zertifikate erhalten möchten, gibt es eine Liste von Anbietern hier. Ich habe festgestellt, dass Comodo gut funktioniert (kostenlos für nicht-kommerzielle Nutzung – öffnen Sie dies in Firefox, nicht in Chrome).
In Teil 2 werden wir untersuchen, wie S/MIME-Signierung und -Verschlüsselung auf Nachrichten angewendet werden kann, die Sie über SparkPost senden.
Weiterführende Literatur
Microsoft hat einen guten Einführungsartikel zu S/MIME in ihrer Dokumentation.
Weitere Informationen zur EFAIL-Schwachstelle und wie sie behoben wurde, finden Sie auf der offiziellen EFAIL-Website. Weitere leicht verständliche Erklärungen sind auf der EFAIL-Wikiseite und in CipherMail’s Blogpost EFAIL: Welche sind verwundbar, PGP, S/MIME oder Ihr Mail-Client? verfügbar.
Das ist unser kurzer Überblick über die praktischen Anwendungen von S/MIME. Wenn Sie Ihre eigenen Mail-Zertifikate erhalten möchten, gibt es eine Liste von Anbietern hier. Ich habe festgestellt, dass Comodo gut funktioniert (kostenlos für nicht-kommerzielle Nutzung – öffnen Sie dies in Firefox, nicht in Chrome).
In Teil 2 werden wir untersuchen, wie S/MIME-Signierung und -Verschlüsselung auf Nachrichten angewendet werden kann, die Sie über SparkPost senden.
Weiterführende Literatur
Microsoft hat einen guten Einführungsartikel zu S/MIME in ihrer Dokumentation.
Weitere Informationen zur EFAIL-Schwachstelle und wie sie behoben wurde, finden Sie auf der offiziellen EFAIL-Website. Weitere leicht verständliche Erklärungen sind auf der EFAIL-Wikiseite und in CipherMail’s Blogpost EFAIL: Welche sind verwundbar, PGP, S/MIME oder Ihr Mail-Client? verfügbar.
Das ist unser kurzer Überblick über die praktischen Anwendungen von S/MIME. Wenn Sie Ihre eigenen Mail-Zertifikate erhalten möchten, gibt es eine Liste von Anbietern hier. Ich habe festgestellt, dass Comodo gut funktioniert (kostenlos für nicht-kommerzielle Nutzung – öffnen Sie dies in Firefox, nicht in Chrome).
In Teil 2 werden wir untersuchen, wie S/MIME-Signierung und -Verschlüsselung auf Nachrichten angewendet werden kann, die Sie über SparkPost senden.
Weiterführende Literatur
Microsoft hat einen guten Einführungsartikel zu S/MIME in ihrer Dokumentation.
Weitere Informationen zur EFAIL-Schwachstelle und wie sie behoben wurde, finden Sie auf der offiziellen EFAIL-Website. Weitere leicht verständliche Erklärungen sind auf der EFAIL-Wikiseite und in CipherMail’s Blogpost EFAIL: Welche sind verwundbar, PGP, S/MIME oder Ihr Mail-Client? verfügbar.
