S/MIME: Was ist das, warum sollte ich mich darum kümmern und wie hängt es mit SparkPost zusammen?
Vogel
19.12.2018
1 min read
Wichtige Erkenntnisse
Premise: S/MIME (Secure/Multipurpose Internet Mail Extensions) ist ein langjähriger Standard für das Versenden von signierten und verschlüsselten E-Mails – kritisch für Branchen, die mit sensiblen Daten umgehen wie Finanzen, Gesundheitswesen und Regierung.
Ziel: Erklären, was S/MIME macht, warum es wichtig ist, wie es sich von DKIM/DMARC/TLS unterscheidet und wie es sich in SparkPost integriert.
Highlights:
Definition: S/MIME ermöglicht zwei Kernfunktionen:
Verschlüsselung → Schützt Nachrichteninhalte (Privatsphäre).
Signierung → Bestätigt Absenderidentität, verhindert Manipulationen und gewährleistet Nichtabstreitbarkeit.
Brancheneinsatz: Erforderlich oder bevorzugt von regulierten Sektoren, die Ende-zu-Ende Nachrichtenprivatsphäre und überprüfbare Identität benötigen.
Vergleich zu anderen E-Mail-Schutzmaßnahmen:
TLS: Sichert die Übertragung zwischen Servern (Transportschicht).
S/MIME: Sichert den Nachrichteninhalt selbst (Präsentationsschicht).
DKIM/DMARC: Authentifizieren Domains, nicht Einzelpersonen, und arbeiten auf Admin-/Server-Ebene.
Mechanik:
Nutzt öffentliche/private Schlüsselpaare und digitale Zertifikate, die pro E-Mail-Identität ausgestellt werden (z. B. alice@company.com).
Erfordert unterstützte E-Mail-Clients (Apple Mail, Outlook, Thunderbird, iOS Mail, etc.).
Einschränkungen:
Schlüssel und Zertifikate können komplex zu verwalten sein.
Verschlüsselte Nutzlasten können nicht auf Malware gescannt werden.
Header (Von, An, Betreff) bleiben sichtbar.
Integration mit SparkPost:
SparkPost-Nutzer können Nachrichten mit S/MIME signieren für zusätzliche Authentizität.
Für verschlüsseltes Senden müssen Empfänger zuerst ihren öffentlichen Schlüssel teilen (z. B. durch Senden einer signierten Nachricht).
Kommerzielle Partner wie Virtru und Echoworx vereinfachen dies für Unternehmens-Workflows.
Nächste Schritte:
Teil 2 der Serie demonstriert, wie man Nachrichten über SparkPost signiert und verschlüsselt.
Spätere Teile zeigen On-Premises-Setups mit PowerMTA und Momentum.
Q&A Highlights
Warum ist S/MIME wichtig, wenn ich bereits TLS oder DKIM verwende?
TLS schützt die Verbindung zwischen Servern, während S/MIME den Inhalt selbst schützt—sichernd, dass er privat und überprüfbar bleibt, selbst nach der Zustellung.
Wer braucht S/MIME am meisten?
Regulierte Industrien (Finanzen, Regierung, Gesundheitswesen) und jede Organisation, die vertrauliche, rechtlich bindende oder identitätsbezogene E-Mails versendet.
Welche Probleme löst S/MIME?
Es verhindert Abfangen und Spoofing, garantiert die Echtheit des Absenders und bietet den Nachweis, dass eine Nachricht nicht verändert wurde.
Unterstützt SparkPost nativ S/MIME?
SparkPost unterstützt das Senden von S/MIME-formatierten Nachrichten; Sie müssen nur Ihren Inhalt signieren/verschlüsseln, bevor Sie ihn über API oder SMTP einreichen.
Wie bekomme ich Zertifikate?
Zertifikate können von Anbietern wie Comodo (kostenlos für nicht-kommerzielle Nutzung) ausgestellt oder für interne Tests selbst signiert werden.
Was ist, wenn mein Empfänger verschlüsselte E-Mails nicht lesen kann?
Sie werden weiterhin den signierten Nachrichtenkopf sehen, aber um diese zu entschlüsseln, müssen sie einen kompatiblen Client installieren und ihren privaten Schlüssel importiert haben.
Wie wird der Schlüsselaustausch für von der App generierte E-Mails gehandhabt?
Empfänger können Ihrem Dienst eine signierte Nachricht per E-Mail senden; ihr öffentlicher Schlüssel kann dann automatisch über eingehende Relay-Webhooks extrahiert werden.
S/MIME ist eine lang etablierte Methode zum Versenden von verschlüsselten, signierten E-Mails, die auf öffentlichen Internetstandards basiert. Wir stoßen regelmäßig auf Anforderungen an S/MIME, insbesondere aus regulierten Branchen wie Banking, Gesundheit und Finanzen.
S/MIME ist eine seit langem etablierte Methode, verschlüsselte, signierte E-Mails zu senden, basierend auf öffentlichen Internetstandards. Wir stoßen regelmäßig auf Anforderungen für S/MIME, insbesondere aus regulierten Branchen wie dem Bankwesen, dem Gesundheitswesen und der Finanzindustrie. S/MIME wird oft benötigt, wenn es um die Kommunikation zwischen Unternehmen und Regierungsbehörden geht, zum Beispiel.
Ein weiterer sicherer Mailstandard, PGP (mit dem amüsanten Namen „Pretty Good Privacy“), wird mehr für sichere Kommunikation von Person zu Person genutzt. Es ist heute weniger beliebt, weil die Verbraucherversionen beliebter webbasierter E-Mail-Clients wie Gmail und Outlook/Hotmail keine verschlüsselten Mails anzeigen können. Das ist ein Grund, warum sich viele persönliche Kommunikationen, die Privatsphäre erfordern, auf Plattformen wie WhatsApp (und viele andere) verlagert haben, die eine native Ende-zu-Ende-Verschlüsselung bieten.
Sowohl PGP als auch S/MIME erfordern einen Mail-Client, der Schlüssel und Zertifikate verwenden kann. Viele Desktop- und mobile Clients, einschließlich Apple Mail, Microsoft Outlook und Mozilla Thunderbird, erfüllen diese Anforderungen, ebenso wie Unternehmensversionen einiger Webclients wie Microsoft Office 365. Das Einrichten der Schlüssel erfordert Arbeit, aber viele Organisationen halten es dennoch für lohnenswert, trotz jüngster Verwundbarkeitsenthüllungen, die Maßnahmen erfordern, um das Laden von Remote-Inhalten zu blockieren.
S/MIME gibt es seit 1995 und es hat mehrere Revisionen durchlaufen; die aktuelle Version wird von RFC 5751 abgedeckt. Es erfordert den Austausch von öffentlichen Schlüsseln, eine nicht triviale Aufgabe, die oft die Unterstützung eines IT-Teams oder ähnlicher Ressourcen erfordert. Für Organisationen, die E-Mail-Infrastrukturen vor Ort betreiben, erfordert die Implementierung von S/MIME zusätzliche Überlegungen für Plattformen wie PowerMTA und Momentum, die wir in unserem Leitfaden zu S/MIME für lokale sichere E-Mails behandeln. Es gibt jedoch automatisierte Ansätze, um diesen Prozess zu rationalisieren, wie zum Beispiel das Sammeln öffentlicher Schlüssel von Empfängern über E-Mail-basierte Systeme, die das Schlüsselmanagement für app-generierte E-Mail-Ströme vereinfachen können. Hier kommen kommerzielle Lösungen von Unternehmen wie SparkPost-Partnern Virtru und Echoworkx ins Spiel, die Sicherheit für persönliche Geschäfts-E-Mail-Kommunikation erleichtern (siehe unser SparkPost/Echoworkx-How-to für weitere Informationen).
Davon abgesehen, lassen Sie uns ein wenig tiefer in das alte S/MIME eintauchen und sehen, was wir damit machen können.
S/MIME ist eine seit langem etablierte Methode, verschlüsselte, signierte E-Mails zu senden, basierend auf öffentlichen Internetstandards. Wir stoßen regelmäßig auf Anforderungen für S/MIME, insbesondere aus regulierten Branchen wie dem Bankwesen, dem Gesundheitswesen und der Finanzindustrie. S/MIME wird oft benötigt, wenn es um die Kommunikation zwischen Unternehmen und Regierungsbehörden geht, zum Beispiel.
Ein weiterer sicherer Mailstandard, PGP (mit dem amüsanten Namen „Pretty Good Privacy“), wird mehr für sichere Kommunikation von Person zu Person genutzt. Es ist heute weniger beliebt, weil die Verbraucherversionen beliebter webbasierter E-Mail-Clients wie Gmail und Outlook/Hotmail keine verschlüsselten Mails anzeigen können. Das ist ein Grund, warum sich viele persönliche Kommunikationen, die Privatsphäre erfordern, auf Plattformen wie WhatsApp (und viele andere) verlagert haben, die eine native Ende-zu-Ende-Verschlüsselung bieten.
Sowohl PGP als auch S/MIME erfordern einen Mail-Client, der Schlüssel und Zertifikate verwenden kann. Viele Desktop- und mobile Clients, einschließlich Apple Mail, Microsoft Outlook und Mozilla Thunderbird, erfüllen diese Anforderungen, ebenso wie Unternehmensversionen einiger Webclients wie Microsoft Office 365. Das Einrichten der Schlüssel erfordert Arbeit, aber viele Organisationen halten es dennoch für lohnenswert, trotz jüngster Verwundbarkeitsenthüllungen, die Maßnahmen erfordern, um das Laden von Remote-Inhalten zu blockieren.
S/MIME gibt es seit 1995 und es hat mehrere Revisionen durchlaufen; die aktuelle Version wird von RFC 5751 abgedeckt. Es erfordert den Austausch von öffentlichen Schlüsseln, eine nicht triviale Aufgabe, die oft die Unterstützung eines IT-Teams oder ähnlicher Ressourcen erfordert. Für Organisationen, die E-Mail-Infrastrukturen vor Ort betreiben, erfordert die Implementierung von S/MIME zusätzliche Überlegungen für Plattformen wie PowerMTA und Momentum, die wir in unserem Leitfaden zu S/MIME für lokale sichere E-Mails behandeln. Es gibt jedoch automatisierte Ansätze, um diesen Prozess zu rationalisieren, wie zum Beispiel das Sammeln öffentlicher Schlüssel von Empfängern über E-Mail-basierte Systeme, die das Schlüsselmanagement für app-generierte E-Mail-Ströme vereinfachen können. Hier kommen kommerzielle Lösungen von Unternehmen wie SparkPost-Partnern Virtru und Echoworkx ins Spiel, die Sicherheit für persönliche Geschäfts-E-Mail-Kommunikation erleichtern (siehe unser SparkPost/Echoworkx-How-to für weitere Informationen).
Davon abgesehen, lassen Sie uns ein wenig tiefer in das alte S/MIME eintauchen und sehen, was wir damit machen können.
S/MIME ist eine seit langem etablierte Methode, verschlüsselte, signierte E-Mails zu senden, basierend auf öffentlichen Internetstandards. Wir stoßen regelmäßig auf Anforderungen für S/MIME, insbesondere aus regulierten Branchen wie dem Bankwesen, dem Gesundheitswesen und der Finanzindustrie. S/MIME wird oft benötigt, wenn es um die Kommunikation zwischen Unternehmen und Regierungsbehörden geht, zum Beispiel.
Ein weiterer sicherer Mailstandard, PGP (mit dem amüsanten Namen „Pretty Good Privacy“), wird mehr für sichere Kommunikation von Person zu Person genutzt. Es ist heute weniger beliebt, weil die Verbraucherversionen beliebter webbasierter E-Mail-Clients wie Gmail und Outlook/Hotmail keine verschlüsselten Mails anzeigen können. Das ist ein Grund, warum sich viele persönliche Kommunikationen, die Privatsphäre erfordern, auf Plattformen wie WhatsApp (und viele andere) verlagert haben, die eine native Ende-zu-Ende-Verschlüsselung bieten.
Sowohl PGP als auch S/MIME erfordern einen Mail-Client, der Schlüssel und Zertifikate verwenden kann. Viele Desktop- und mobile Clients, einschließlich Apple Mail, Microsoft Outlook und Mozilla Thunderbird, erfüllen diese Anforderungen, ebenso wie Unternehmensversionen einiger Webclients wie Microsoft Office 365. Das Einrichten der Schlüssel erfordert Arbeit, aber viele Organisationen halten es dennoch für lohnenswert, trotz jüngster Verwundbarkeitsenthüllungen, die Maßnahmen erfordern, um das Laden von Remote-Inhalten zu blockieren.
S/MIME gibt es seit 1995 und es hat mehrere Revisionen durchlaufen; die aktuelle Version wird von RFC 5751 abgedeckt. Es erfordert den Austausch von öffentlichen Schlüsseln, eine nicht triviale Aufgabe, die oft die Unterstützung eines IT-Teams oder ähnlicher Ressourcen erfordert. Für Organisationen, die E-Mail-Infrastrukturen vor Ort betreiben, erfordert die Implementierung von S/MIME zusätzliche Überlegungen für Plattformen wie PowerMTA und Momentum, die wir in unserem Leitfaden zu S/MIME für lokale sichere E-Mails behandeln. Es gibt jedoch automatisierte Ansätze, um diesen Prozess zu rationalisieren, wie zum Beispiel das Sammeln öffentlicher Schlüssel von Empfängern über E-Mail-basierte Systeme, die das Schlüsselmanagement für app-generierte E-Mail-Ströme vereinfachen können. Hier kommen kommerzielle Lösungen von Unternehmen wie SparkPost-Partnern Virtru und Echoworkx ins Spiel, die Sicherheit für persönliche Geschäfts-E-Mail-Kommunikation erleichtern (siehe unser SparkPost/Echoworkx-How-to für weitere Informationen).
Davon abgesehen, lassen Sie uns ein wenig tiefer in das alte S/MIME eintauchen und sehen, was wir damit machen können.
Warum sollte ich mich darum kümmern?
Die Kurzversion:
Verschlüsselung bietet Ihnen Nachrichtenprivatsphäre.
Signieren bietet Ihnen Authentifizierung (des Absenders), Nicht-Zurückweisung des Ursprungs und Überprüfungen der Nachrichtenintegrität.
S/MIME funktioniert anders als DKIM und DMARC und kann mit ihnen koexistieren.
Privatsphäre
Wenn Ihre Nachrichten nichts Persönliches, Privates oder rechtlich Wichtiges enthalten, müssen Sie wahrscheinlich nicht über S/MIME nachdenken. Moderne E-Mail-Zustellsysteme wie SparkPost verwenden bereits „opportunistisches TLS“, um den Nachrichtentransport vom sendenden Server zum Empfängerserver zu sichern.
Der „opportunistische“ Teil bedeutet jedoch, dass wir die Mail im Klartext senden, wenn der sendende Server keine sichere Verbindung aushandeln kann. Dies ist nicht geeignet, wenn Sie die Nachricht auf dem gesamten Weg absichern möchten. Sie können einen Blick darauf werfen, bei welchen Postfachanbietern behauptet wird, dass sie TLS-Unterstützung bieten und welche tatsächlich tun. Vorausgesetzt, der Server des Empfängers unterstützt TLS, wird Ihre Nachricht so gesichert:
TLS sichert die Gespräche zwischen Mail-Servern (weshalb es als Transport Layer Security bezeichnet wird). MIME (einschließlich S/MIME) befasst sich mit dem Nachrichteninhalt und seiner Behandlung und kann als Teil der „Presentation Layer“ angesehen werden.
S/MIME sichert den Nachrichteninhalt vom Ursprung der Nachricht bis zum Empfänger-Mail-Client („Ende-zu-Ende“) und kapselt den Nachrichtentext ein.
S/MIME verschlüsselt den Nachrichtentext mit dem öffentlichen Schlüssel des Empfängers. Der Text kann ohne den privaten Schlüssel des Empfängers nicht entschlüsselt werden – nicht einmal von einem „Man-in-the-Middle“ wie Ihrem ISP, SparkPost oder dem Mail-Server des Empfängers.
Der private Schlüssel wird nie offengelegt; er bleibt ausschließlich im Besitz des Empfängers. Die verschlüsselte Nachricht wird über das Internet an den empfangenden Mail-Server gesendet. Wenn sie im Posteingang des Empfängers landet, wird sie (normalerweise automatisch) mit deren privatem Schlüssel entschlüsselt und lesbar.
Ein paar S/MIME-Fallen, die man beachten sollte:
S/MIME-Verschlüsselung hat den Nebeneffekt, dass das serverseitige Scannen eingehender Nachrichten auf Malware verhindert wird, da der Nachrichtennutzlast in verschlüsselter Form und daher nicht identifizierbar ist.
Beachten Sie, dass die Nachrichtenheader (Von:, An:, Betreff: usw.) nicht verschlüsselt sind, daher muss der Betreff-Inhalt unter Berücksichtigung dessen erstellt werden.
Signieren – Authentifizierung
S/MIME bietet dem Empfänger auch die Möglichkeit zu überprüfen, dass die Identität des Absenders der Nachricht tatsächlich dem entspricht, was angegeben wird.
Die E-Mail des Absenders hat ein angehängtes Zertifikat, das, ähnlich wie das Zertifikat auf einer sicheren Website, zu einer ausstellenden Behörde zurückverfolgt werden kann. Für eine vollständige Beschreibung des Signierprozesses siehe das S/MIME-Signierprozess-PDF.
Wir werden den Ansatz verfolgen, die E-Mail zuerst zu signieren und dann zu verschlüsseln, damit der Prozess so aussieht.
Nicht-Zurückweisung
Ein weiterer nützlicher Vorteil des Signierens für den Empfänger ist die Nicht-Zurückweisung des Ursprungs. Betrachten Sie eine Situation, in der eine E-Mail-Nachricht verwendet wird, um einen Vertrag zu genehmigen. Der Empfänger erhält den Vertrag in einer Nachricht vom Absender. Wenn der Absender später versucht zu sagen: „Nein, ich habe diese Nachricht nie an Sie geschickt“, dann zeigt die empfangene Nachricht, dass das Zertifikat des Absenders tatsächlich verwendet wurde.
Nachrichtenintegrität
Der Signierprozess erstellt einen Fingerabdruck des klaren Nachrichtentextes (bekannt als Nachrichten-Digest), verschlüsselt den Digest mit dem privaten Schlüssel des Absenders und fügt ihn der gelieferten Nachricht hinzu. Der Mail-Client des Empfängers kann erkennen, ob der Nachrichtentext manipuliert wurde.
Vielleicht sagen Sie: „Ich dachte, DKIM bietet mir Nachrichtenintegritätsprüfungen!“ Nun ja, DKIM bietet Integritätsprüfungen für den Nachrichtentext und die Nachrichtenheader – Manipulationsschutz. DKIM-Fehler (oder das Fehlen davon) führen jedoch normalerweise nicht dazu, dass die eingehende Nachricht als komplett ungültig markiert wird … es sei denn, eine DMARC-Richtlinie von p=reject ist im Spiel (siehe unseren Blogbeitrag DMARC: So schützen Sie Ihren E-Mail-Ruf). DKIM ist ein Faktor von vielen, die vom ISP für die zuverlässige Zuordnung des Rufs zu einer Domäne verwendet werden, und ist natürlich ein wesentlicher Bestandteil Ihres Messaging-Stacks.
Ihr Mail-Client wird Ihnen deutlich anzeigen, wenn eine S/MIME-Nachricht die Signaturüberprüfungen nicht besteht:
Zusammenfassung: Ende-zu-Ende (S/MIME) vs. Server-zu-Server (DKIM, DMARC, TLS)
S/MIME ist eine Präsentationsschicht-Funktion, die zwischen zwei E-Mail-Endbenutzern (mit gültigen Zertifikaten/Schlüsseln) ohne Mitwirkung des E-Mail-Administrators arbeiten kann. S/MIME bietet Verschlüsselung und Signatur und ist persönlich für jeden Benutzer.
S/MIME ist an die vollständige Absenderadresse gebunden (lokaler Teil und Domänenteil), sodass beispielsweise alice@bigcorp.com und bob@bigcorp.com unterschiedliche Zertifikate benötigen würden. Im Gegensatz dazu validiert DKIM, dass die E-Mail von der signierenden Domäne stammt. DKIM ist ein ganz eigenes Thema; dieser Artikel ist ein guter Ausgangspunkt.
Die Einrichtung von DKIM und DMARC wird von Ihrem E-Mail-Administrator vorgenommen (an den Mail-Server- und DNS-Einstellungen). Sobald sie eingerichtet sind, sind sie für Domänen aktiv und nicht für einzelne Benutzer.
Die Kurzversion:
Verschlüsselung bietet Ihnen Nachrichtenprivatsphäre.
Signieren bietet Ihnen Authentifizierung (des Absenders), Nicht-Zurückweisung des Ursprungs und Überprüfungen der Nachrichtenintegrität.
S/MIME funktioniert anders als DKIM und DMARC und kann mit ihnen koexistieren.
Privatsphäre
Wenn Ihre Nachrichten nichts Persönliches, Privates oder rechtlich Wichtiges enthalten, müssen Sie wahrscheinlich nicht über S/MIME nachdenken. Moderne E-Mail-Zustellsysteme wie SparkPost verwenden bereits „opportunistisches TLS“, um den Nachrichtentransport vom sendenden Server zum Empfängerserver zu sichern.
Der „opportunistische“ Teil bedeutet jedoch, dass wir die Mail im Klartext senden, wenn der sendende Server keine sichere Verbindung aushandeln kann. Dies ist nicht geeignet, wenn Sie die Nachricht auf dem gesamten Weg absichern möchten. Sie können einen Blick darauf werfen, bei welchen Postfachanbietern behauptet wird, dass sie TLS-Unterstützung bieten und welche tatsächlich tun. Vorausgesetzt, der Server des Empfängers unterstützt TLS, wird Ihre Nachricht so gesichert:
TLS sichert die Gespräche zwischen Mail-Servern (weshalb es als Transport Layer Security bezeichnet wird). MIME (einschließlich S/MIME) befasst sich mit dem Nachrichteninhalt und seiner Behandlung und kann als Teil der „Presentation Layer“ angesehen werden.
S/MIME sichert den Nachrichteninhalt vom Ursprung der Nachricht bis zum Empfänger-Mail-Client („Ende-zu-Ende“) und kapselt den Nachrichtentext ein.
S/MIME verschlüsselt den Nachrichtentext mit dem öffentlichen Schlüssel des Empfängers. Der Text kann ohne den privaten Schlüssel des Empfängers nicht entschlüsselt werden – nicht einmal von einem „Man-in-the-Middle“ wie Ihrem ISP, SparkPost oder dem Mail-Server des Empfängers.
Der private Schlüssel wird nie offengelegt; er bleibt ausschließlich im Besitz des Empfängers. Die verschlüsselte Nachricht wird über das Internet an den empfangenden Mail-Server gesendet. Wenn sie im Posteingang des Empfängers landet, wird sie (normalerweise automatisch) mit deren privatem Schlüssel entschlüsselt und lesbar.
Ein paar S/MIME-Fallen, die man beachten sollte:
S/MIME-Verschlüsselung hat den Nebeneffekt, dass das serverseitige Scannen eingehender Nachrichten auf Malware verhindert wird, da der Nachrichtennutzlast in verschlüsselter Form und daher nicht identifizierbar ist.
Beachten Sie, dass die Nachrichtenheader (Von:, An:, Betreff: usw.) nicht verschlüsselt sind, daher muss der Betreff-Inhalt unter Berücksichtigung dessen erstellt werden.
Signieren – Authentifizierung
S/MIME bietet dem Empfänger auch die Möglichkeit zu überprüfen, dass die Identität des Absenders der Nachricht tatsächlich dem entspricht, was angegeben wird.
Die E-Mail des Absenders hat ein angehängtes Zertifikat, das, ähnlich wie das Zertifikat auf einer sicheren Website, zu einer ausstellenden Behörde zurückverfolgt werden kann. Für eine vollständige Beschreibung des Signierprozesses siehe das S/MIME-Signierprozess-PDF.
Wir werden den Ansatz verfolgen, die E-Mail zuerst zu signieren und dann zu verschlüsseln, damit der Prozess so aussieht.
Nicht-Zurückweisung
Ein weiterer nützlicher Vorteil des Signierens für den Empfänger ist die Nicht-Zurückweisung des Ursprungs. Betrachten Sie eine Situation, in der eine E-Mail-Nachricht verwendet wird, um einen Vertrag zu genehmigen. Der Empfänger erhält den Vertrag in einer Nachricht vom Absender. Wenn der Absender später versucht zu sagen: „Nein, ich habe diese Nachricht nie an Sie geschickt“, dann zeigt die empfangene Nachricht, dass das Zertifikat des Absenders tatsächlich verwendet wurde.
Nachrichtenintegrität
Der Signierprozess erstellt einen Fingerabdruck des klaren Nachrichtentextes (bekannt als Nachrichten-Digest), verschlüsselt den Digest mit dem privaten Schlüssel des Absenders und fügt ihn der gelieferten Nachricht hinzu. Der Mail-Client des Empfängers kann erkennen, ob der Nachrichtentext manipuliert wurde.
Vielleicht sagen Sie: „Ich dachte, DKIM bietet mir Nachrichtenintegritätsprüfungen!“ Nun ja, DKIM bietet Integritätsprüfungen für den Nachrichtentext und die Nachrichtenheader – Manipulationsschutz. DKIM-Fehler (oder das Fehlen davon) führen jedoch normalerweise nicht dazu, dass die eingehende Nachricht als komplett ungültig markiert wird … es sei denn, eine DMARC-Richtlinie von p=reject ist im Spiel (siehe unseren Blogbeitrag DMARC: So schützen Sie Ihren E-Mail-Ruf). DKIM ist ein Faktor von vielen, die vom ISP für die zuverlässige Zuordnung des Rufs zu einer Domäne verwendet werden, und ist natürlich ein wesentlicher Bestandteil Ihres Messaging-Stacks.
Ihr Mail-Client wird Ihnen deutlich anzeigen, wenn eine S/MIME-Nachricht die Signaturüberprüfungen nicht besteht:
Zusammenfassung: Ende-zu-Ende (S/MIME) vs. Server-zu-Server (DKIM, DMARC, TLS)
S/MIME ist eine Präsentationsschicht-Funktion, die zwischen zwei E-Mail-Endbenutzern (mit gültigen Zertifikaten/Schlüsseln) ohne Mitwirkung des E-Mail-Administrators arbeiten kann. S/MIME bietet Verschlüsselung und Signatur und ist persönlich für jeden Benutzer.
S/MIME ist an die vollständige Absenderadresse gebunden (lokaler Teil und Domänenteil), sodass beispielsweise alice@bigcorp.com und bob@bigcorp.com unterschiedliche Zertifikate benötigen würden. Im Gegensatz dazu validiert DKIM, dass die E-Mail von der signierenden Domäne stammt. DKIM ist ein ganz eigenes Thema; dieser Artikel ist ein guter Ausgangspunkt.
Die Einrichtung von DKIM und DMARC wird von Ihrem E-Mail-Administrator vorgenommen (an den Mail-Server- und DNS-Einstellungen). Sobald sie eingerichtet sind, sind sie für Domänen aktiv und nicht für einzelne Benutzer.
Die Kurzversion:
Verschlüsselung bietet Ihnen Nachrichtenprivatsphäre.
Signieren bietet Ihnen Authentifizierung (des Absenders), Nicht-Zurückweisung des Ursprungs und Überprüfungen der Nachrichtenintegrität.
S/MIME funktioniert anders als DKIM und DMARC und kann mit ihnen koexistieren.
Privatsphäre
Wenn Ihre Nachrichten nichts Persönliches, Privates oder rechtlich Wichtiges enthalten, müssen Sie wahrscheinlich nicht über S/MIME nachdenken. Moderne E-Mail-Zustellsysteme wie SparkPost verwenden bereits „opportunistisches TLS“, um den Nachrichtentransport vom sendenden Server zum Empfängerserver zu sichern.
Der „opportunistische“ Teil bedeutet jedoch, dass wir die Mail im Klartext senden, wenn der sendende Server keine sichere Verbindung aushandeln kann. Dies ist nicht geeignet, wenn Sie die Nachricht auf dem gesamten Weg absichern möchten. Sie können einen Blick darauf werfen, bei welchen Postfachanbietern behauptet wird, dass sie TLS-Unterstützung bieten und welche tatsächlich tun. Vorausgesetzt, der Server des Empfängers unterstützt TLS, wird Ihre Nachricht so gesichert:
TLS sichert die Gespräche zwischen Mail-Servern (weshalb es als Transport Layer Security bezeichnet wird). MIME (einschließlich S/MIME) befasst sich mit dem Nachrichteninhalt und seiner Behandlung und kann als Teil der „Presentation Layer“ angesehen werden.
S/MIME sichert den Nachrichteninhalt vom Ursprung der Nachricht bis zum Empfänger-Mail-Client („Ende-zu-Ende“) und kapselt den Nachrichtentext ein.
S/MIME verschlüsselt den Nachrichtentext mit dem öffentlichen Schlüssel des Empfängers. Der Text kann ohne den privaten Schlüssel des Empfängers nicht entschlüsselt werden – nicht einmal von einem „Man-in-the-Middle“ wie Ihrem ISP, SparkPost oder dem Mail-Server des Empfängers.
Der private Schlüssel wird nie offengelegt; er bleibt ausschließlich im Besitz des Empfängers. Die verschlüsselte Nachricht wird über das Internet an den empfangenden Mail-Server gesendet. Wenn sie im Posteingang des Empfängers landet, wird sie (normalerweise automatisch) mit deren privatem Schlüssel entschlüsselt und lesbar.
Ein paar S/MIME-Fallen, die man beachten sollte:
S/MIME-Verschlüsselung hat den Nebeneffekt, dass das serverseitige Scannen eingehender Nachrichten auf Malware verhindert wird, da der Nachrichtennutzlast in verschlüsselter Form und daher nicht identifizierbar ist.
Beachten Sie, dass die Nachrichtenheader (Von:, An:, Betreff: usw.) nicht verschlüsselt sind, daher muss der Betreff-Inhalt unter Berücksichtigung dessen erstellt werden.
Signieren – Authentifizierung
S/MIME bietet dem Empfänger auch die Möglichkeit zu überprüfen, dass die Identität des Absenders der Nachricht tatsächlich dem entspricht, was angegeben wird.
Die E-Mail des Absenders hat ein angehängtes Zertifikat, das, ähnlich wie das Zertifikat auf einer sicheren Website, zu einer ausstellenden Behörde zurückverfolgt werden kann. Für eine vollständige Beschreibung des Signierprozesses siehe das S/MIME-Signierprozess-PDF.
Wir werden den Ansatz verfolgen, die E-Mail zuerst zu signieren und dann zu verschlüsseln, damit der Prozess so aussieht.
Nicht-Zurückweisung
Ein weiterer nützlicher Vorteil des Signierens für den Empfänger ist die Nicht-Zurückweisung des Ursprungs. Betrachten Sie eine Situation, in der eine E-Mail-Nachricht verwendet wird, um einen Vertrag zu genehmigen. Der Empfänger erhält den Vertrag in einer Nachricht vom Absender. Wenn der Absender später versucht zu sagen: „Nein, ich habe diese Nachricht nie an Sie geschickt“, dann zeigt die empfangene Nachricht, dass das Zertifikat des Absenders tatsächlich verwendet wurde.
Nachrichtenintegrität
Der Signierprozess erstellt einen Fingerabdruck des klaren Nachrichtentextes (bekannt als Nachrichten-Digest), verschlüsselt den Digest mit dem privaten Schlüssel des Absenders und fügt ihn der gelieferten Nachricht hinzu. Der Mail-Client des Empfängers kann erkennen, ob der Nachrichtentext manipuliert wurde.
Vielleicht sagen Sie: „Ich dachte, DKIM bietet mir Nachrichtenintegritätsprüfungen!“ Nun ja, DKIM bietet Integritätsprüfungen für den Nachrichtentext und die Nachrichtenheader – Manipulationsschutz. DKIM-Fehler (oder das Fehlen davon) führen jedoch normalerweise nicht dazu, dass die eingehende Nachricht als komplett ungültig markiert wird … es sei denn, eine DMARC-Richtlinie von p=reject ist im Spiel (siehe unseren Blogbeitrag DMARC: So schützen Sie Ihren E-Mail-Ruf). DKIM ist ein Faktor von vielen, die vom ISP für die zuverlässige Zuordnung des Rufs zu einer Domäne verwendet werden, und ist natürlich ein wesentlicher Bestandteil Ihres Messaging-Stacks.
Ihr Mail-Client wird Ihnen deutlich anzeigen, wenn eine S/MIME-Nachricht die Signaturüberprüfungen nicht besteht:
Zusammenfassung: Ende-zu-Ende (S/MIME) vs. Server-zu-Server (DKIM, DMARC, TLS)
S/MIME ist eine Präsentationsschicht-Funktion, die zwischen zwei E-Mail-Endbenutzern (mit gültigen Zertifikaten/Schlüsseln) ohne Mitwirkung des E-Mail-Administrators arbeiten kann. S/MIME bietet Verschlüsselung und Signatur und ist persönlich für jeden Benutzer.
S/MIME ist an die vollständige Absenderadresse gebunden (lokaler Teil und Domänenteil), sodass beispielsweise alice@bigcorp.com und bob@bigcorp.com unterschiedliche Zertifikate benötigen würden. Im Gegensatz dazu validiert DKIM, dass die E-Mail von der signierenden Domäne stammt. DKIM ist ein ganz eigenes Thema; dieser Artikel ist ein guter Ausgangspunkt.
Die Einrichtung von DKIM und DMARC wird von Ihrem E-Mail-Administrator vorgenommen (an den Mail-Server- und DNS-Einstellungen). Sobald sie eingerichtet sind, sind sie für Domänen aktiv und nicht für einzelne Benutzer.
Wie hängt das mit SparkPost zusammen?
Mail-Systeme für die Nachrichtenübermittlung von Person zu Person, wie Microsoft Exchange Server, haben lange S/MIME unterstützt.
Wenn Sie SparkPost verwenden, um an bestimmte Empfänger mit Mail-Clients zu senden, die S/MIME lesen können, dann könnte es sinnvoll sein, Ihre Nachrichten mit S/MIME zu signieren. S/MIME-Signierung bietet zusätzliche Sicherheit, dass die Nachricht tatsächlich von Ihnen (oder Ihrem System) kommt und nicht manipuliert wurde, was in einigen Anwendungsfällen wertvoll sein kann. Alles, was Sie dafür benötigen, ist Ihr eigener Schlüssel und einige kostenlose Software, die wir im zweiten Teil dieses Artikels demonstrieren werden.
Die Verwendung von S/MIME-Verschlüsselung ist eine separate Entscheidung, die Sie treffen müssen. Sie benötigen den öffentlichen Schlüssel für jeden Ihrer Empfänger. Dies zu erhalten kann so einfach sein, wie wenn diese Ihnen (oder Ihrer App) eine signierte E-Mail senden. Wir werden in einem Folgeartikel ein praktisches Tool zur Übermittlung von S/MIME-signierten und -verschlüsselten E-Mails durch SparkPost vorstellen.
Mail-Systeme für die Nachrichtenübermittlung von Person zu Person, wie Microsoft Exchange Server, haben lange S/MIME unterstützt.
Wenn Sie SparkPost verwenden, um an bestimmte Empfänger mit Mail-Clients zu senden, die S/MIME lesen können, dann könnte es sinnvoll sein, Ihre Nachrichten mit S/MIME zu signieren. S/MIME-Signierung bietet zusätzliche Sicherheit, dass die Nachricht tatsächlich von Ihnen (oder Ihrem System) kommt und nicht manipuliert wurde, was in einigen Anwendungsfällen wertvoll sein kann. Alles, was Sie dafür benötigen, ist Ihr eigener Schlüssel und einige kostenlose Software, die wir im zweiten Teil dieses Artikels demonstrieren werden.
Die Verwendung von S/MIME-Verschlüsselung ist eine separate Entscheidung, die Sie treffen müssen. Sie benötigen den öffentlichen Schlüssel für jeden Ihrer Empfänger. Dies zu erhalten kann so einfach sein, wie wenn diese Ihnen (oder Ihrer App) eine signierte E-Mail senden. Wir werden in einem Folgeartikel ein praktisches Tool zur Übermittlung von S/MIME-signierten und -verschlüsselten E-Mails durch SparkPost vorstellen.
Mail-Systeme für die Nachrichtenübermittlung von Person zu Person, wie Microsoft Exchange Server, haben lange S/MIME unterstützt.
Wenn Sie SparkPost verwenden, um an bestimmte Empfänger mit Mail-Clients zu senden, die S/MIME lesen können, dann könnte es sinnvoll sein, Ihre Nachrichten mit S/MIME zu signieren. S/MIME-Signierung bietet zusätzliche Sicherheit, dass die Nachricht tatsächlich von Ihnen (oder Ihrem System) kommt und nicht manipuliert wurde, was in einigen Anwendungsfällen wertvoll sein kann. Alles, was Sie dafür benötigen, ist Ihr eigener Schlüssel und einige kostenlose Software, die wir im zweiten Teil dieses Artikels demonstrieren werden.
Die Verwendung von S/MIME-Verschlüsselung ist eine separate Entscheidung, die Sie treffen müssen. Sie benötigen den öffentlichen Schlüssel für jeden Ihrer Empfänger. Dies zu erhalten kann so einfach sein, wie wenn diese Ihnen (oder Ihrer App) eine signierte E-Mail senden. Wir werden in einem Folgeartikel ein praktisches Tool zur Übermittlung von S/MIME-signierten und -verschlüsselten E-Mails durch SparkPost vorstellen.
Welche Clients unterstützen S/MIME?
Consumer Gmail
Der gewöhnliche Gmail-Webclient zeigt eingehende Mailsignaturen (siehe unten) an, ist jedoch nicht eingerichtet, um Ihren privaten Schlüssel zu speichern, um verschlüsselte Nachrichten zu lesen. Selbst wenn dies über Plugins von Drittanbietern möglich wäre, wäre das Hochladen Ihres privaten Schlüssels aus Sicherheitsgründen keine gute Idee.
Ich konnte Yahoo! Mail überhaupt nicht dazu bringen, Signaturen in Nachrichten zu dekodieren.
Die Consumer-Version von Microsoft Outlook/Hotmail-Konten benachrichtigt Sie über das Vorhandensein einer S/MIME-Signatur, gibt Ihnen jedoch nicht vollen Zugriff, um das Zertifikat anzuzeigen oder zu überprüfen.
Hosted business mail
Für Organisationen mit gehosteten E-Mails unterstützen Microsoft Office 365 und G Suite Enterprise S/MIME.
Outlook mail clients
Client-basierte Microsoft Outlook (z.B. 2010 für Windows) funktioniert:
Ein Klick auf die Symbole gibt Ihnen mehr Informationen:
In Outlook 2010 / Windows wird der Zertifikatspeicher über Datei / Optionen / Sicherheitscenter / Einstellungen für das Sicherheitscenter / E-Mail-Sicherheit / Import / Export aufgerufen.
Thunderbird – plattformübergreifend und kostenlos
Wenn Sie einen kostenlosen Client suchen, passt Mozilla Thunderbird ideal. Es ist auf PC, Mac und Linux verfügbar und unterstützt S/MIME auf all diesen Plattformen. So sieht eine Nachricht auf einem Mac aus. Das Symbol „versiegelter Umschlag“ zeigt an, dass die Nachricht signiert ist, und das Vorhängeschloss zeigt an, dass sie verschlüsselt wurde.
Ein Klick auf den Umschlag/das Vorhängeschloss zeigt Informationen über die Nachricht an:
Thunderbird hat einen eigenen Schlüsselspeicher, der auf jeder Plattform auf ähnliche Weise aufgerufen wird:
Mac über Einstellungen / Erweitert / Zertifikate / Zertifikate verwalten
PC: Menü („Hamburger“ oben rechts), Erweitert / Zertifikate / Zertifikate verwalten
Linux: Menü („Hamburger“ oben rechts), Einstellungen / Erweitert / Zertifikate verwalten
Mac Mail
Mac Mail unterstützt ebenfalls S/MIME. Es verlässt sich auf Ihren Mac-Schlüsselbund, um Ihre Schlüssel zu speichern.
iOS Mail
Importieren Sie zunächst das Zertifikat Ihres E-Mail-Kontos wie folgt, dann können Sie S/MIME-signierte und -verschlüsselte E-Mails anzeigen. Sie sehen im Anzeigebildschirm nicht wirklich anders aus.
Android
Einige Geräte und Apps unterstützen S/MIME; es gibt eine große Vielfalt. Samsung hat eine Anleitung.
Consumer Gmail
Der gewöhnliche Gmail-Webclient zeigt eingehende Mailsignaturen (siehe unten) an, ist jedoch nicht eingerichtet, um Ihren privaten Schlüssel zu speichern, um verschlüsselte Nachrichten zu lesen. Selbst wenn dies über Plugins von Drittanbietern möglich wäre, wäre das Hochladen Ihres privaten Schlüssels aus Sicherheitsgründen keine gute Idee.
Ich konnte Yahoo! Mail überhaupt nicht dazu bringen, Signaturen in Nachrichten zu dekodieren.
Die Consumer-Version von Microsoft Outlook/Hotmail-Konten benachrichtigt Sie über das Vorhandensein einer S/MIME-Signatur, gibt Ihnen jedoch nicht vollen Zugriff, um das Zertifikat anzuzeigen oder zu überprüfen.
Hosted business mail
Für Organisationen mit gehosteten E-Mails unterstützen Microsoft Office 365 und G Suite Enterprise S/MIME.
Outlook mail clients
Client-basierte Microsoft Outlook (z.B. 2010 für Windows) funktioniert:
Ein Klick auf die Symbole gibt Ihnen mehr Informationen:
In Outlook 2010 / Windows wird der Zertifikatspeicher über Datei / Optionen / Sicherheitscenter / Einstellungen für das Sicherheitscenter / E-Mail-Sicherheit / Import / Export aufgerufen.
Thunderbird – plattformübergreifend und kostenlos
Wenn Sie einen kostenlosen Client suchen, passt Mozilla Thunderbird ideal. Es ist auf PC, Mac und Linux verfügbar und unterstützt S/MIME auf all diesen Plattformen. So sieht eine Nachricht auf einem Mac aus. Das Symbol „versiegelter Umschlag“ zeigt an, dass die Nachricht signiert ist, und das Vorhängeschloss zeigt an, dass sie verschlüsselt wurde.
Ein Klick auf den Umschlag/das Vorhängeschloss zeigt Informationen über die Nachricht an:
Thunderbird hat einen eigenen Schlüsselspeicher, der auf jeder Plattform auf ähnliche Weise aufgerufen wird:
Mac über Einstellungen / Erweitert / Zertifikate / Zertifikate verwalten
PC: Menü („Hamburger“ oben rechts), Erweitert / Zertifikate / Zertifikate verwalten
Linux: Menü („Hamburger“ oben rechts), Einstellungen / Erweitert / Zertifikate verwalten
Mac Mail
Mac Mail unterstützt ebenfalls S/MIME. Es verlässt sich auf Ihren Mac-Schlüsselbund, um Ihre Schlüssel zu speichern.
iOS Mail
Importieren Sie zunächst das Zertifikat Ihres E-Mail-Kontos wie folgt, dann können Sie S/MIME-signierte und -verschlüsselte E-Mails anzeigen. Sie sehen im Anzeigebildschirm nicht wirklich anders aus.
Android
Einige Geräte und Apps unterstützen S/MIME; es gibt eine große Vielfalt. Samsung hat eine Anleitung.
Consumer Gmail
Der gewöhnliche Gmail-Webclient zeigt eingehende Mailsignaturen (siehe unten) an, ist jedoch nicht eingerichtet, um Ihren privaten Schlüssel zu speichern, um verschlüsselte Nachrichten zu lesen. Selbst wenn dies über Plugins von Drittanbietern möglich wäre, wäre das Hochladen Ihres privaten Schlüssels aus Sicherheitsgründen keine gute Idee.
Ich konnte Yahoo! Mail überhaupt nicht dazu bringen, Signaturen in Nachrichten zu dekodieren.
Die Consumer-Version von Microsoft Outlook/Hotmail-Konten benachrichtigt Sie über das Vorhandensein einer S/MIME-Signatur, gibt Ihnen jedoch nicht vollen Zugriff, um das Zertifikat anzuzeigen oder zu überprüfen.
Hosted business mail
Für Organisationen mit gehosteten E-Mails unterstützen Microsoft Office 365 und G Suite Enterprise S/MIME.
Outlook mail clients
Client-basierte Microsoft Outlook (z.B. 2010 für Windows) funktioniert:
Ein Klick auf die Symbole gibt Ihnen mehr Informationen:
In Outlook 2010 / Windows wird der Zertifikatspeicher über Datei / Optionen / Sicherheitscenter / Einstellungen für das Sicherheitscenter / E-Mail-Sicherheit / Import / Export aufgerufen.
Thunderbird – plattformübergreifend und kostenlos
Wenn Sie einen kostenlosen Client suchen, passt Mozilla Thunderbird ideal. Es ist auf PC, Mac und Linux verfügbar und unterstützt S/MIME auf all diesen Plattformen. So sieht eine Nachricht auf einem Mac aus. Das Symbol „versiegelter Umschlag“ zeigt an, dass die Nachricht signiert ist, und das Vorhängeschloss zeigt an, dass sie verschlüsselt wurde.
Ein Klick auf den Umschlag/das Vorhängeschloss zeigt Informationen über die Nachricht an:
Thunderbird hat einen eigenen Schlüsselspeicher, der auf jeder Plattform auf ähnliche Weise aufgerufen wird:
Mac über Einstellungen / Erweitert / Zertifikate / Zertifikate verwalten
PC: Menü („Hamburger“ oben rechts), Erweitert / Zertifikate / Zertifikate verwalten
Linux: Menü („Hamburger“ oben rechts), Einstellungen / Erweitert / Zertifikate verwalten
Mac Mail
Mac Mail unterstützt ebenfalls S/MIME. Es verlässt sich auf Ihren Mac-Schlüsselbund, um Ihre Schlüssel zu speichern.
iOS Mail
Importieren Sie zunächst das Zertifikat Ihres E-Mail-Kontos wie folgt, dann können Sie S/MIME-signierte und -verschlüsselte E-Mails anzeigen. Sie sehen im Anzeigebildschirm nicht wirklich anders aus.
Android
Einige Geräte und Apps unterstützen S/MIME; es gibt eine große Vielfalt. Samsung hat eine Anleitung.
Endlich…
Das ist unser schneller Überblick über die praktischen Anwendungen von S/MIME. Wenn Sie Ihre eigenen Mail-Zertifikate erhalten möchten, gibt es hier eine Liste von Anbietern. Ich habe festgestellt, dass Comodo gut funktioniert (kostenlos für nicht-kommerzielle Nutzung – bitte in Firefox öffnen, nicht in Chrome).
In Teil 2 werden wir untersuchen, wie Sie S/MIME-Signatur und -Verschlüsselung auf Nachrichten anwenden, die Sie über SparkPost senden.
Weiterführende Literatur
Microsoft hat einen guten Einführungsartikel zu S/MIME in ihrer Dokumentation.
Für weitere Informationen zur EFAIL-Schwachstelle und wie sie adressiert wurde, besuchen Sie die offizielle EFAIL-Website. Weitere einfach zu folgende Erklärungen finden Sie auf der EFAIL-Wiki-Seite und in CipherMail’s Blogpost EFAIL: Which is vulnerable, PGP, S/MIME or your mail client?.
Das ist unser schneller Überblick über die praktischen Anwendungen von S/MIME. Wenn Sie Ihre eigenen Mail-Zertifikate erhalten möchten, gibt es hier eine Liste von Anbietern. Ich habe festgestellt, dass Comodo gut funktioniert (kostenlos für nicht-kommerzielle Nutzung – bitte in Firefox öffnen, nicht in Chrome).
In Teil 2 werden wir untersuchen, wie Sie S/MIME-Signatur und -Verschlüsselung auf Nachrichten anwenden, die Sie über SparkPost senden.
Weiterführende Literatur
Microsoft hat einen guten Einführungsartikel zu S/MIME in ihrer Dokumentation.
Für weitere Informationen zur EFAIL-Schwachstelle und wie sie adressiert wurde, besuchen Sie die offizielle EFAIL-Website. Weitere einfach zu folgende Erklärungen finden Sie auf der EFAIL-Wiki-Seite und in CipherMail’s Blogpost EFAIL: Which is vulnerable, PGP, S/MIME or your mail client?.
Das ist unser schneller Überblick über die praktischen Anwendungen von S/MIME. Wenn Sie Ihre eigenen Mail-Zertifikate erhalten möchten, gibt es hier eine Liste von Anbietern. Ich habe festgestellt, dass Comodo gut funktioniert (kostenlos für nicht-kommerzielle Nutzung – bitte in Firefox öffnen, nicht in Chrome).
In Teil 2 werden wir untersuchen, wie Sie S/MIME-Signatur und -Verschlüsselung auf Nachrichten anwenden, die Sie über SparkPost senden.
Weiterführende Literatur
Microsoft hat einen guten Einführungsartikel zu S/MIME in ihrer Dokumentation.
Für weitere Informationen zur EFAIL-Schwachstelle und wie sie adressiert wurde, besuchen Sie die offizielle EFAIL-Website. Weitere einfach zu folgende Erklärungen finden Sie auf der EFAIL-Wiki-Seite und in CipherMail’s Blogpost EFAIL: Which is vulnerable, PGP, S/MIME or your mail client?.
