Product

Lösungen

Ressourcen

Company

Product

Lösungen

Ressourcen

Company

S/MIME: Was ist das, warum sollte ich mich darum kümmern und wie hängt es mit SparkPost zusammen?

Vogel

19.12.2018

E-Mail

1 min read

S/MIME: Was ist das, warum sollte ich mich darum kümmern und wie hängt es mit SparkPost zusammen?

Vogel

19.12.2018

E-Mail

1 min read

S/MIME: Was ist das, warum sollte ich mich darum kümmern und wie hängt es mit SparkPost zusammen?

S/MIME ist eine lang etablierte Methode zum Versenden von verschlüsselten, signierten E-Mails, die auf öffentlichen Internetstandards basiert. Wir stoßen regelmäßig auf Anforderungen an S/MIME, insbesondere aus regulierten Branchen wie Banking, Gesundheit und Finanzen.

S/MIME ist eine seit langem etablierte Methode, verschlüsselte, signierte E-Mails zu senden, basierend auf öffentlichen Internetstandards. Wir stoßen regelmäßig auf Anforderungen für S/MIME, insbesondere aus regulierten Branchen wie dem Bankwesen, dem Gesundheitswesen und der Finanzindustrie. S/MIME wird oft benötigt, wenn es um die Kommunikation zwischen Unternehmen und Regierungsbehörden geht, zum Beispiel.

Ein weiterer sicherer Mailstandard, PGP (mit dem amüsanten Namen „Pretty Good Privacy“), wird mehr für sichere Kommunikation von Person zu Person genutzt. Es ist heute weniger beliebt, weil die Verbraucherversionen beliebter webbasierter E-Mail-Clients wie Gmail und Outlook/Hotmail keine verschlüsselten Mails anzeigen können. Das ist ein Grund, warum sich viele persönliche Kommunikationen, die Privatsphäre erfordern, auf Plattformen wie WhatsApp (und viele andere) verlagert haben, die eine native Ende-zu-Ende-Verschlüsselung bieten.

Sowohl PGP als auch S/MIME erfordern einen Mail-Client, der Schlüssel und Zertifikate verwenden kann. Viele Desktop- und mobile Clients, einschließlich Apple Mail, Microsoft Outlook und Mozilla Thunderbird, erfüllen diese Anforderungen, ebenso wie Unternehmensversionen einiger Webclients wie Microsoft Office 365. Das Einrichten der Schlüssel erfordert Arbeit, aber viele Organisationen halten es dennoch für lohnenswert, trotz jüngster Verwundbarkeitsenthüllungen, die Maßnahmen erfordern, um das Laden von Remote-Inhalten zu blockieren.

S/MIME gibt es seit 1995 und es hat mehrere Revisionen durchlaufen; die aktuelle Version wird von RFC 5751 abgedeckt. Es erfordert den Austausch von öffentlichen Schlüsseln, eine nicht triviale Aufgabe, die oft die Unterstützung eines IT-Teams oder ähnlicher Ressourcen erfordert. Für Organisationen, die E-Mail-Infrastrukturen vor Ort betreiben, erfordert die Implementierung von S/MIME zusätzliche Überlegungen für Plattformen wie PowerMTA und Momentum, die wir in unserem Leitfaden zu S/MIME für lokale sichere E-Mails behandeln. Es gibt jedoch automatisierte Ansätze, um diesen Prozess zu rationalisieren, wie zum Beispiel das Sammeln öffentlicher Schlüssel von Empfängern über E-Mail-basierte Systeme, die das Schlüsselmanagement für app-generierte E-Mail-Ströme vereinfachen können. Hier kommen kommerzielle Lösungen von Unternehmen wie SparkPost-Partnern Virtru und Echoworkx ins Spiel, die Sicherheit für persönliche Geschäfts-E-Mail-Kommunikation erleichtern (siehe unser SparkPost/Echoworkx-How-to für weitere Informationen).

Davon abgesehen, lassen Sie uns ein wenig tiefer in das alte S/MIME eintauchen und sehen, was wir damit machen können.

Warum sollte ich mich darum kümmern?

Die Kurzversion:

  • Verschlüsselung bietet Ihnen Nachrichtenprivatsphäre.

  • Signieren bietet Ihnen Authentifizierung (des Absenders), Nicht-Zurückweisung des Ursprungs und Überprüfungen der Nachrichtenintegrität.

  • S/MIME funktioniert anders als DKIM und DMARC und kann mit ihnen koexistieren.

Privatsphäre
Wenn Ihre Nachrichten nichts Persönliches, Privates oder rechtlich Wichtiges enthalten, müssen Sie wahrscheinlich nicht über S/MIME nachdenken. Moderne E-Mail-Zustellsysteme wie SparkPost verwenden bereits „opportunistisches TLS“, um den Nachrichtentransport vom sendenden Server zum Empfängerserver zu sichern.

Der „opportunistische“ Teil bedeutet jedoch, dass wir die Mail im Klartext senden, wenn der sendende Server keine sichere Verbindung aushandeln kann. Dies ist nicht geeignet, wenn Sie die Nachricht auf dem gesamten Weg absichern möchten. Sie können einen Blick darauf werfen, bei welchen Postfachanbietern behauptet wird, dass sie TLS-Unterstützung bieten und welche tatsächlich tun. Vorausgesetzt, der Server des Empfängers unterstützt TLS, wird Ihre Nachricht so gesichert:

Email encryption process highlighting TLS between a gear-labeled "Message Source" on the left, an flame icon representing encryption in the middle, and a envelope-labeled "Recipient" on the right.

TLS sichert die Gespräche zwischen Mail-Servern (weshalb es als Transport Layer Security bezeichnet wird). MIME (einschließlich S/MIME) befasst sich mit dem Nachrichteninhalt und seiner Behandlung und kann als Teil der „Presentation Layer“ angesehen werden.

S/MIME sichert den Nachrichteninhalt vom Ursprung der Nachricht bis zum Empfänger-Mail-Client („Ende-zu-Ende“) und kapselt den Nachrichtentext ein.

A diagram illustrating email security with S/MIME encryption, showing a message source icon leading to an email symbol, both connected by TLS, with a locked envelope symbol representing the recipient, highlighting secure message delivery.

S/MIME verschlüsselt den Nachrichtentext mit dem öffentlichen Schlüssel des Empfängers. Der Text kann ohne den privaten Schlüssel des Empfängers nicht entschlüsselt werden – nicht einmal von einem „Man-in-the-Middle“ wie Ihrem ISP, SparkPost oder dem Mail-Server des Empfängers.

Der private Schlüssel wird nie offengelegt; er bleibt ausschließlich im Besitz des Empfängers. Die verschlüsselte Nachricht wird über das Internet an den empfangenden Mail-Server gesendet. Wenn sie im Posteingang des Empfängers landet, wird sie (normalerweise automatisch) mit deren privatem Schlüssel entschlüsselt und lesbar.

Ein paar S/MIME-Fallen, die man beachten sollte:

S/MIME-Verschlüsselung hat den Nebeneffekt, dass das serverseitige Scannen eingehender Nachrichten auf Malware verhindert wird, da der Nachrichtennutzlast in verschlüsselter Form und daher nicht identifizierbar ist.

Beachten Sie, dass die Nachrichtenheader (Von:, An:, Betreff: usw.) nicht verschlüsselt sind, daher muss der Betreff-Inhalt unter Berücksichtigung dessen erstellt werden.

Signieren – Authentifizierung
S/MIME bietet dem Empfänger auch die Möglichkeit zu überprüfen, dass die Identität des Absenders der Nachricht tatsächlich dem entspricht, was angegeben wird.

Die E-Mail des Absenders hat ein angehängtes Zertifikat, das, ähnlich wie das Zertifikat auf einer sicheren Website, zu einer ausstellenden Behörde zurückverfolgt werden kann. Für eine vollständige Beschreibung des Signierprozesses siehe das S/MIME-Signierprozess-PDF.

Wir werden den Ansatz verfolgen, die E-Mail zuerst zu signieren und dann zu verschlüsseln, damit der Prozess so aussieht.

Diagram illustrating S/MIME signing and encryption in email communication, featuring icons for message source, email transfer via TLS, and recipient, with visual representations of encryption and security processes.


Nicht-Zurückweisung
Ein weiterer nützlicher Vorteil des Signierens für den Empfänger ist die Nicht-Zurückweisung des Ursprungs. Betrachten Sie eine Situation, in der eine E-Mail-Nachricht verwendet wird, um einen Vertrag zu genehmigen. Der Empfänger erhält den Vertrag in einer Nachricht vom Absender. Wenn der Absender später versucht zu sagen: „Nein, ich habe diese Nachricht nie an Sie geschickt“, dann zeigt die empfangene Nachricht, dass das Zertifikat des Absenders tatsächlich verwendet wurde.

Nachrichtenintegrität
Der Signierprozess erstellt einen Fingerabdruck des klaren Nachrichtentextes (bekannt als Nachrichten-Digest), verschlüsselt den Digest mit dem privaten Schlüssel des Absenders und fügt ihn der gelieferten Nachricht hinzu. Der Mail-Client des Empfängers kann erkennen, ob der Nachrichtentext manipuliert wurde.

Vielleicht sagen Sie: „Ich dachte, DKIM bietet mir Nachrichtenintegritätsprüfungen!“ Nun ja, DKIM bietet Integritätsprüfungen für den Nachrichtentext und die Nachrichtenheader – Manipulationsschutz. DKIM-Fehler (oder das Fehlen davon) führen jedoch normalerweise nicht dazu, dass die eingehende Nachricht als komplett ungültig markiert wird … es sei denn, eine DMARC-Richtlinie von p=reject ist im Spiel (siehe unseren Blogbeitrag DMARC: So schützen Sie Ihren E-Mail-Ruf). DKIM ist ein Faktor von vielen, die vom ISP für die zuverlässige Zuordnung des Rufs zu einer Domäne verwendet werden, und ist natürlich ein wesentlicher Bestandteil Ihres Messaging-Stacks.

Ihr Mail-Client wird Ihnen deutlich anzeigen, wenn eine S/MIME-Nachricht die Signaturüberprüfungen nicht besteht:

Email application window displaying a warning pop-up about a digital signature being invalid, highlighting issues with message encryption and the need to verify the sender's identity, next to a list of emails and a highlighted delete option.

Zusammenfassung: Ende-zu-Ende (S/MIME) vs. Server-zu-Server (DKIM, DMARC, TLS)
S/MIME ist eine Präsentationsschicht-Funktion, die zwischen zwei E-Mail-Endbenutzern (mit gültigen Zertifikaten/Schlüsseln) ohne Mitwirkung des E-Mail-Administrators arbeiten kann. S/MIME bietet Verschlüsselung und Signatur und ist persönlich für jeden Benutzer.

S/MIME ist an die vollständige Absenderadresse gebunden (lokaler Teil und Domänenteil), sodass beispielsweise alice@bigcorp.com und bob@bigcorp.com unterschiedliche Zertifikate benötigen würden. Im Gegensatz dazu validiert DKIM, dass die E-Mail von der signierenden Domäne stammt. DKIM ist ein ganz eigenes Thema; dieser Artikel ist ein guter Ausgangspunkt.

Die Einrichtung von DKIM und DMARC wird von Ihrem E-Mail-Administrator vorgenommen (an den Mail-Server- und DNS-Einstellungen). Sobald sie eingerichtet sind, sind sie für Domänen aktiv und nicht für einzelne Benutzer.

Wie hängt das mit SparkPost zusammen?

Mail-Systeme für die Nachrichtenübermittlung von Person zu Person, wie Microsoft Exchange Server, haben lange S/MIME unterstützt.

Wenn Sie SparkPost verwenden, um an bestimmte Empfänger mit Mail-Clients zu senden, die S/MIME lesen können, dann könnte es sinnvoll sein, Ihre Nachrichten mit S/MIME zu signieren. S/MIME-Signierung bietet zusätzliche Sicherheit, dass die Nachricht tatsächlich von Ihnen (oder Ihrem System) kommt und nicht manipuliert wurde, was in einigen Anwendungsfällen wertvoll sein kann. Alles, was Sie dafür benötigen, ist Ihr eigener Schlüssel und einige kostenlose Software, die wir im zweiten Teil dieses Artikels demonstrieren werden.

Die Verwendung von S/MIME-Verschlüsselung ist eine separate Entscheidung, die Sie treffen müssen. Sie benötigen den öffentlichen Schlüssel für jeden Ihrer Empfänger. Dies zu erhalten kann so einfach sein, wie wenn diese Ihnen (oder Ihrer App) eine signierte E-Mail senden. Wir werden in einem Folgeartikel ein praktisches Tool zur Übermittlung von S/MIME-signierten und -verschlüsselten E-Mails durch SparkPost vorstellen.

Mail-Systeme für die Nachrichtenübermittlung von Person zu Person, wie Microsoft Exchange Server, haben lange S/MIME unterstützt.

Wenn Sie SparkPost verwenden, um an bestimmte Empfänger mit Mail-Clients zu senden, die S/MIME lesen können, dann könnte es sinnvoll sein, Ihre Nachrichten mit S/MIME zu signieren. S/MIME-Signierung bietet zusätzliche Sicherheit, dass die Nachricht tatsächlich von Ihnen (oder Ihrem System) kommt und nicht manipuliert wurde, was in einigen Anwendungsfällen wertvoll sein kann. Alles, was Sie dafür benötigen, ist Ihr eigener Schlüssel und einige kostenlose Software, die wir im zweiten Teil dieses Artikels demonstrieren werden.

Die Verwendung von S/MIME-Verschlüsselung ist eine separate Entscheidung, die Sie treffen müssen. Sie benötigen den öffentlichen Schlüssel für jeden Ihrer Empfänger. Dies zu erhalten kann so einfach sein, wie wenn diese Ihnen (oder Ihrer App) eine signierte E-Mail senden. Wir werden in einem Folgeartikel ein praktisches Tool zur Übermittlung von S/MIME-signierten und -verschlüsselten E-Mails durch SparkPost vorstellen.

Mail-Systeme für die Nachrichtenübermittlung von Person zu Person, wie Microsoft Exchange Server, haben lange S/MIME unterstützt.

Wenn Sie SparkPost verwenden, um an bestimmte Empfänger mit Mail-Clients zu senden, die S/MIME lesen können, dann könnte es sinnvoll sein, Ihre Nachrichten mit S/MIME zu signieren. S/MIME-Signierung bietet zusätzliche Sicherheit, dass die Nachricht tatsächlich von Ihnen (oder Ihrem System) kommt und nicht manipuliert wurde, was in einigen Anwendungsfällen wertvoll sein kann. Alles, was Sie dafür benötigen, ist Ihr eigener Schlüssel und einige kostenlose Software, die wir im zweiten Teil dieses Artikels demonstrieren werden.

Die Verwendung von S/MIME-Verschlüsselung ist eine separate Entscheidung, die Sie treffen müssen. Sie benötigen den öffentlichen Schlüssel für jeden Ihrer Empfänger. Dies zu erhalten kann so einfach sein, wie wenn diese Ihnen (oder Ihrer App) eine signierte E-Mail senden. Wir werden in einem Folgeartikel ein praktisches Tool zur Übermittlung von S/MIME-signierten und -verschlüsselten E-Mails durch SparkPost vorstellen.

Welche Clients unterstützen S/MIME?

Consumer Gmail
Der gewöhnliche Gmail-Webclient zeigt eingehende Mailsignaturen (siehe unten) an, ist jedoch nicht eingerichtet, um Ihren privaten Schlüssel zu speichern, um verschlüsselte Nachrichten zu lesen. Selbst wenn dies über Plugins von Drittanbietern möglich wäre, wäre das Hochladen Ihres privaten Schlüssels aus Sicherheitsgründen keine gute Idee.

Message titled "Test message with signature" from Steve Tuck, featuring a verified email address, date and time, and standard encryption details.

Ich konnte Yahoo! Mail überhaupt nicht dazu bringen, Signaturen in Nachrichten zu dekodieren.

Die Consumer-Version von Microsoft Outlook/Hotmail-Konten benachrichtigt Sie über das Vorhandensein einer S/MIME-Signatur, gibt Ihnen jedoch nicht vollen Zugriff, um das Zertifikat anzuzeigen oder zu überprüfen.

Message titled "Testing attachments etc," with the body text mentioning that S/MIME isn't supported and an attached PDF file.


Hosted business mail
Für Organisationen mit gehosteten E-Mails unterstützen Microsoft Office 365 und G Suite Enterprise S/MIME.


Outlook mail clients
Client-basierte Microsoft Outlook (z.B. 2010 für Windows) funktioniert:

Message with the subject "Here is our declaration" featuring plain text and an orange arrow marking the message as important.


Ein Klick auf die Symbole gibt Ihnen mehr Informationen:

Dialog box displaying a valid digital signature, with details about the signer and certificate information, and options for error warnings in digitally signed emails.Message Security Properties window for an email, detailing encryption and digital signature layers, with options to check trust certification, featuring buttons and encryption status displays.


In Outlook 2010 / Windows wird der Zertifikatspeicher über Datei / Optionen / Sicherheitscenter / Einstellungen für das Sicherheitscenter / E-Mail-Sicherheit / Import / Export aufgerufen.

Microsoft Outlook with an open email about testing attachments, alongside a pop-up window showing security settings for importing certificates, illustrating steps for setting up digital signature encryption.


Thunderbird – plattformübergreifend und kostenlos
Wenn Sie einen kostenlosen Client suchen, passt Mozilla Thunderbird ideal. Es ist auf PC, Mac und Linux verfügbar und unterstützt S/MIME auf all diesen Plattformen. So sieht eine Nachricht auf einem Mac aus. Das Symbol „versiegelter Umschlag“ zeigt an, dass die Nachricht signiert ist, und das Vorhängeschloss zeigt an, dass sie verschlüsselt wurde.

Email client with a message open, showing an image of a happy golden retriever puppy, with visible email options and browser tabs at the top.


Ein Klick auf den Umschlag/das Vorhängeschloss zeigt Informationen über die Nachricht an:

Message notification with text indicating the message is signed with a valid digital signature and encrypted before sending, verified by COMODO RSA Client Authentication and Secure Email CA.

Thunderbird hat einen eigenen Schlüsselspeicher, der auf jeder Plattform auf ähnliche Weise aufgerufen wird:
Mac über Einstellungen / Erweitert / Zertifikate / Zertifikate verwalten
PC: Menü („Hamburger“ oben rechts), Erweitert / Zertifikate / Zertifikate verwalten
Linux: Menü („Hamburger“ oben rechts), Einstellungen / Erweitert / Zertifikate verwalten


Mac Mail
Mac Mail unterstützt ebenfalls S/MIME. Es verlässt sich auf Ihren Mac-Schlüsselbund, um Ihre Schlüssel zu speichern.

An email featuring the security status of the message, indicating that it is digitally signed and encrypted.


iOS Mail
Importieren Sie zunächst das Zertifikat Ihres E-Mail-Kontos wie folgt, dann können Sie S/MIME-signierte und -verschlüsselte E-Mails anzeigen. Sie sehen im Anzeigebildschirm nicht wirklich anders aus.

"Install Profile" page for an "Identity Certificate," indicating the profile is not signed, with options to view more details or proceed with installation at the top right.iPhone interface prompting the user to enter a password for the "Identity Certificate" in the Mail app.A happy golden retriever with an open mouth and tongue out is shown in the image as part of an email attachment test.

Android
Einige Geräte und Apps unterstützen S/MIME; es gibt eine große Vielfalt. Samsung hat eine Anleitung.

Endlich…

Das ist unser schneller Überblick über die praktischen Anwendungen von S/MIME. Wenn Sie Ihre eigenen Mail-Zertifikate erhalten möchten, gibt es hier eine Liste von Anbietern. Ich habe festgestellt, dass Comodo gut funktioniert (kostenlos für nicht-kommerzielle Nutzung – bitte in Firefox öffnen, nicht in Chrome).

In Teil 2 werden wir untersuchen, wie Sie S/MIME-Signatur und -Verschlüsselung auf Nachrichten anwenden, die Sie über SparkPost senden.

Weiterführende Literatur
Microsoft hat einen guten Einführungsartikel zu S/MIME in ihrer Dokumentation.

Für weitere Informationen zur EFAIL-Schwachstelle und wie sie adressiert wurde, besuchen Sie die offizielle EFAIL-Website. Weitere einfach zu folgende Erklärungen finden Sie auf der EFAIL-Wiki-Seite und in CipherMail’s Blogpost EFAIL: Which is vulnerable, PGP, S/MIME or your mail client?.

A person is standing at a desk while typing on a laptop.

Die vollständige AI-native Plattform, die mit Ihrem Business skaliert.

Product

Lösungen

Ressourcen

Company

Datenschutzeinstellungen

Demnächst verfügbar

Über

Preise

Partner

Careers

Legal

Terms

Datenschutzeinstellungen

Sozial

Newsletter

Bleiben Sie mit Bird auf dem Laufenden durch wöchentliche Updates in Ihrem Posteingang.

Anmelden

A person is standing at a desk while typing on a laptop.

Die vollständige AI-native Plattform, die mit Ihrem Business skaliert.

Product

Lösungen

Ressourcen

Company

Datenschutzeinstellungen

Sozial

Newsletter

Bleiben Sie mit Bird auf dem Laufenden durch wöchentliche Updates in Ihrem Posteingang.

Anmelden