Erreichen

Grow

Manage

Automate

Erreichen

Grow

Manage

Automate

S/MIME: Was ist das, warum sollte ich mich darum kümmern und wie hängt es mit SparkPost zusammen?

E-Mail

1 min read

S/MIME: Was ist das, warum sollte ich mich darum kümmern und wie hängt es mit SparkPost zusammen?

E-Mail

1 min read

S/MIME: Was ist das, warum sollte ich mich darum kümmern und wie hängt es mit SparkPost zusammen?

S/MIME ist eine lang etablierte Methode zum Versenden von verschlüsselten, signierten E-Mails, die auf öffentlichen Internetstandards basiert. Wir stoßen regelmäßig auf Anforderungen an S/MIME, insbesondere aus regulierten Branchen wie Banking, Gesundheit und Finanzen.

S/MIME ist eine lang etablierte Methode zum Versenden von verschlüsselten, signierten E-Mails, basierend auf öffentlichen Internetstandards. Wir stoßen regelmäßig auf Anforderungen für S/MIME, insbesondere aus regulierten Branchen wie dem Bankwesen, dem Gesundheitswesen und der Finanzbranche. S/MIME wird oft benötigt, wenn zwischen Unternehmen und Regierungsbehörden kommuniziert wird, zum Beispiel.

Ein weiterer Standard für sichere E-Mails, PGP (amüsanterweise als „Pretty Good Privacy“ bezeichnet), wird mehr für sichere Kommunikation zwischen Personen verwendet. Es ist heutzutage weniger populär, da die Verbraucher-Versionen von beliebten webbasierten E-Mail-Clients wie Gmail und Outlook/Hotmail keine verschlüsselten E-Mails anzeigen können. Das ist ein Grund, warum viel Kommunikation zwischen Personen, die Privatsphäre erfordert, zu Plattformen wie WhatsApp (und vielen anderen), die native Ende-zu-Ende-Verschlüsselung bieten, gewechselt ist.

Sowohl PGP als auch S/MIME erfordern einen E-Mail-Client, der Schlüssel und Zertifikate verwenden kann. Viele Desktop- und mobile Clients, einschließlich Apple Mail, Microsoft Outlook und Mozilla Thunderbird, kommen dafür infrage, ebenso wie Geschäftsversionen einiger Web-Clients wie Microsoft Office 365. Die Einrichtung der Schlüssel erfordert Arbeit, aber viele Organisationen halten es dennoch für lohnenswert, trotz jüngster Veröffentlichungen von Schwachstellen, die Maßnahmen zur Blockierung des Ladens von externen Inhalten erfordern.

S/MIME gibt es seit 1995 und es hat mehrere Überarbeitungen durchlaufen; die aktuelle Version wird durch RFC 5751 abgedeckt. Es erfordert den Austausch öffentlicher Schlüssel, eine nicht triviale Aufgabe, die oft die Unterstützung eines IT-Teams oder einer ähnlichen Ressource erfordert. Hier kommen kommerzielle Lösungen von Unternehmen wie SparkPost-Partnern Virtru und Echoworkx ins Spiel, die die Sicherheit für geschäftliche Kommunikation zwischen Personen einfacher machen (siehe unser SparkPost/Echoworkx Anleitung für weitere Informationen).

Das gesagt, lassen Sie uns ein wenig tiefer in das gute alte S/MIME eintauchen und sehen, was wir damit machen können.

Warum sollte ich mich darum kümmern?

Die kurze Version:

  • Verschlüsselung gibt Ihnen Nachrichtenprivatsphäre.

  • Signieren bietet Authentifizierung (des Absenders), Nichtabstreitbarkeit des Ursprungs und Integritätsprüfungen für Nachrichten.

  • S/MIME funktioniert anders als DKIM und DMARC und kann mit ihnen koexistieren.

Privatsphäre
Wenn Ihre Nachrichten nichts Persönliches, Privates oder rechtlich Wichtiges enthalten, müssen Sie wahrscheinlich nicht über S/MIME nachdenken. Moderne E-Mail-Zustellungssysteme wie SparkPost verwenden bereits „opportunistische TLS“, um den Nachrichtentransport vom sendenden Server zum empfangenden Server zu sichern.

Der „opportunistische“ Teil bedeutet jedoch, dass wir die E-Mail im Klartext versenden, wenn der sendende Server keine sichere Verbindung aushandeln kann. Dies ist nicht geeignet, wenn Sie die Nachricht durchgehend sicher machen möchten. Sie können einen Blick darauf werfen, welche Postfachanbieter TLS-Unterstützung behaupten und welche tatsächlich unterstützen. Vorausgesetzt, der Server des Empfängers unterstützt TLS, wird Ihre Nachricht folgendermaßen gesichert:

Email encryption process highlighting TLS between a gear-labeled "Message Source" on the left, an flame icon representing encryption in the middle, and a envelope-labeled "Recipient" on the right.

TLS sichert die Konversationen zwischen Mailservern (darum wird es als Transport Layer Security bezeichnet). MIME (einschließlich S/MIME) beschäftigt sich mit dem Nachrichteninhalt und seiner Behandlung und kann als Teil der „Präsentationsebene“ betrachtet werden.

S/MIME sichert den Nachrichteninhalt durchgehend („end to end“) vom Nachrichtenursprung bis zum Empfänger-Mail-Client und kapselt den Nachrichtenkörper.

A diagram illustrating email security with S/MIME encryption, showing a message source icon leading to an email symbol, both connected by TLS, with a locked envelope symbol representing the recipient, highlighting secure message delivery.

S/MIME verschlüsselt den Nachrichtenkörper mit dem öffentlichen Schlüssel des Empfängers. Der Körper kann ohne den privaten Schlüssel des Empfängers nicht entschlüsselt werden — nicht von einer „Person in der Mitte“ wie Ihrem ISP, SparkPost oder dem Mailserver des Empfängers.

Der private Schlüssel wird niemals offenbart; er ist nur im Besitz des Empfängers. Die verschlüsselte Nachricht reist über das Internet zum empfangenden Mailserver. Wenn sie im Posteingang des Empfängers landet, wird sie (normalerweise automatisch) mit seinem privaten Schlüssel entschlüsselt und lesbar gemacht.

Einige S/MIME-Nachteile, die zu beachten sind:

S/MIME-Verschlüsselung hat den Nebeneffekt, serverbasierte eingehende Nachrichtenscans auf Malware zu verhindern, da die Nachrichtenlast in verschlüsselter Form und daher nicht identifizierbar ist.

Beachten Sie, dass die Nachrichtenheader (Von:, An:, Betreff: usw.) nicht verschlüsselt sind, sodass der Inhalt der Betreffzeile entsprechend erstellt werden muss.


Signieren – Authentifizierung
S/MIME ermöglicht es dem Empfänger auch zu überprüfen, dass die Identität des Nachrichtenabsenders tatsächlich die ist, die sie behaupten.

Die E-Mail des Absenders hat ein Zertifikat angehängt, das, ähnlich einem Zertifikat auf einer sicheren Website, zu einer ausstellenden Behörde zurückverfolgt werden kann. Es gibt hier eine vollständige Beschreibung des Signaturprozesses hier.

Wir werden zuerst den Ansatz des Signierens der E-Mail verfolgen und sie dann verschlüsseln. Der Prozess sieht so aus.

Diagram illustrating S/MIME signing and encryption in email communication, featuring icons for message source, email transfer via TLS, and recipient, with visual representations of encryption and security processes.


Nichtabstreitbarkeit
Ein weiterer nützlicher Vorteil des Signierens für den Empfänger ist die Nichtabstreitbarkeit des Ursprungs. Betrachten Sie eine Situation, in der eine E-Mail-Nachricht zur Genehmigung eines Vertrags verwendet wird. Der Empfänger erhält den Vertrag in einer Nachricht vom Absender. Wenn der Absender später versucht zu sagen: „Nein, ich habe Ihnen diese Nachricht nie gesendet“, dann zeigt die empfangene Nachricht, dass das Zertifikat des Absenders tatsächlich verwendet wurde.


Integrität der Nachricht
Der Signaturprozess erstellt einen Fingerabdruck der unverschlüsselten Nachweisnachricht (bekannt als Nachrichten-Digest), verschlüsselt den Digest mit dem privaten Schlüssel des Absenders und fügt ihn in die zugestellte Nachricht ein. Der Mail-Client des Empfängers kann feststellen, ob der Nachrichtenkörper manipuliert wurde.

Vielleicht würden Sie sagen: „Ich dachte, DKIM bietet mir Integritätsprüfungen der Nachricht!“ Nun ja, DKIM bietet Integritätsprüfungen des Nachrichtenkörpers und der Nachrichtenheader – Anti-Manipulations-Garantien. Allerdings wird ein DKIM-Fehler (oder das Fehlen von DKIM) normalerweise nicht dazu führen, dass die eingehende Nachricht als vollständig ungültig markiert wird, …es sei denn, eine DMARC-Richtlinie von `p=reject` ist im Spiel (mehr zu DMARC hier). DKIM ist ein Faktor von vielen, die der ISP für die zuverlässige Zuordnung von Reputation zu einer Domain verwendet, und natürlich ein wesentlicher Bestandteil Ihres Nachrichtensystems.

Ihr Mail-Client wird Ihnen deutlich anzeigen, wenn eine S/MIME-Nachricht die Signaturprüfungen nicht besteht:

Email application window displaying a warning pop-up about a digital signature being invalid, highlighting issues with message encryption and the need to verify the sender's identity, next to a list of emails and a highlighted delete option.

Übersicht: End-to-End (S/MIME) vs. Server-to-Server (DKIM, DMARC, TLS)
S/MIME ist eine Präsentationsebene-Funktion, die zwischen zwei E-Mail-Endverbrauchern (mit gültigen Zertifikaten/Schlüsseln) ohne jegliche Aktion durch den E-Mail-Administrator funktionieren kann. S/MIME bietet Verschlüsselung und Signierung und ist persönlich für jeden Benutzer.

S/MIME ist mit der vollständigen Absenderadresse (lokaler Teil und Domänenteil) verbunden, sodass zum Beispiel alice@bigcorp.com und bob@bigcorp.com unterschiedliche Zertifikate benötigen würden. Im Gegensatz dazu validiert DKIM, dass die E-Mail von der signierenden Domain stammt. DKIM ist ein ganzes Thema für sich; dieser Artikel ist ein guter Ausgangspunkt.

DKIM- und DMARC-Einrichtung wird von Ihrem E-Mail-Administrator (der am Mailserver und den DNS-Einträgen arbeitet) durchgeführt. Sobald sie eingerichtet sind, sind sie für Domains aktiv, anstatt für einzelne Benutzer.

Wie hängt das mit SparkPost zusammen?

Mail-Systeme für die Nachrichtenübermittlung von Person zu Person, wie Microsoft Exchange Server, haben lange S/MIME unterstützt.

Wenn Sie SparkPost verwenden, um an bestimmte Empfänger mit Mail-Clients zu senden, die S/MIME lesen können, dann könnte es sinnvoll sein, Ihre Nachrichten mit S/MIME zu signieren. Das S/MIME-Signieren bietet zusätzliche Sicherheit, dass die Nachricht tatsächlich von Ihnen (oder Ihrem System) stammt und nicht manipuliert wurde, was in einigen Anwendungsfällen wertvoll sein kann. Alles, was Sie dafür benötigen, ist Ihr eigener Schlüssel und einige kostenlose Software, die wir im zweiten Teil dieses Artikels demonstrieren werden.

Die Verwendung von S/MIME-Verschlüsselung ist eine separate Entscheidung, die getroffen werden muss. Sie benötigen den öffentlichen Schlüssel für jeden Ihrer Empfänger. Dies zu erhalten, könnte so einfach sein wie das Senden einer signierten E-Mail an Sie (oder Ihre App). In einem Folgebeitrag werden wir ein praktisches Tool zum Versenden von S/MIME-signierten und verschlüsselten E-Mails über SparkPost erkunden.

Mail-Systeme für die Nachrichtenübermittlung von Person zu Person, wie Microsoft Exchange Server, haben lange S/MIME unterstützt.

Wenn Sie SparkPost verwenden, um an bestimmte Empfänger mit Mail-Clients zu senden, die S/MIME lesen können, dann könnte es sinnvoll sein, Ihre Nachrichten mit S/MIME zu signieren. Das S/MIME-Signieren bietet zusätzliche Sicherheit, dass die Nachricht tatsächlich von Ihnen (oder Ihrem System) stammt und nicht manipuliert wurde, was in einigen Anwendungsfällen wertvoll sein kann. Alles, was Sie dafür benötigen, ist Ihr eigener Schlüssel und einige kostenlose Software, die wir im zweiten Teil dieses Artikels demonstrieren werden.

Die Verwendung von S/MIME-Verschlüsselung ist eine separate Entscheidung, die getroffen werden muss. Sie benötigen den öffentlichen Schlüssel für jeden Ihrer Empfänger. Dies zu erhalten, könnte so einfach sein wie das Senden einer signierten E-Mail an Sie (oder Ihre App). In einem Folgebeitrag werden wir ein praktisches Tool zum Versenden von S/MIME-signierten und verschlüsselten E-Mails über SparkPost erkunden.

Mail-Systeme für die Nachrichtenübermittlung von Person zu Person, wie Microsoft Exchange Server, haben lange S/MIME unterstützt.

Wenn Sie SparkPost verwenden, um an bestimmte Empfänger mit Mail-Clients zu senden, die S/MIME lesen können, dann könnte es sinnvoll sein, Ihre Nachrichten mit S/MIME zu signieren. Das S/MIME-Signieren bietet zusätzliche Sicherheit, dass die Nachricht tatsächlich von Ihnen (oder Ihrem System) stammt und nicht manipuliert wurde, was in einigen Anwendungsfällen wertvoll sein kann. Alles, was Sie dafür benötigen, ist Ihr eigener Schlüssel und einige kostenlose Software, die wir im zweiten Teil dieses Artikels demonstrieren werden.

Die Verwendung von S/MIME-Verschlüsselung ist eine separate Entscheidung, die getroffen werden muss. Sie benötigen den öffentlichen Schlüssel für jeden Ihrer Empfänger. Dies zu erhalten, könnte so einfach sein wie das Senden einer signierten E-Mail an Sie (oder Ihre App). In einem Folgebeitrag werden wir ein praktisches Tool zum Versenden von S/MIME-signierten und verschlüsselten E-Mails über SparkPost erkunden.

Welche Clients unterstützen S/MIME?

Consumer Gmail
Der gewöhnliche Gmail-Webclient zeigt eingehende Mailsignaturen (siehe unten) an, ist jedoch nicht darauf ausgelegt, Ihren privaten Schlüssel zur Entschlüsselung verschlüsselter Nachrichten zu speichern. Selbst wenn dies über Drittanbieter-Plugins möglich wäre, wäre das Hochladen Ihres privaten Schlüssels aus Sicherheitsgründen keine gute Idee.

Message titled "Test message with signature" from Steve Tuck, featuring a verified email address, date and time, and standard encryption details.

Ich konnte Yahoo! Mail überhaupt nicht dazu bringen, Signaturen in Nachrichten zu entschlüsseln.

Die Verbraucherversion von Microsoft Outlook/Hotmail-Konten benachrichtigt Sie über das Vorhandensein einer S/MIME-Signatur, gibt Ihnen jedoch nicht vollen Zugriff, um das Zertifikat zu betrachten oder zu prüfen.

Message titled "Testing attachments etc," with the body text mentioning that S/MIME isn't supported and an attached PDF file.


Gehostete Geschäftsmails
Für Organisationen mit gehosteten Mails bieten Microsoft Office 365 und G Suite Enterprise S/MIME-Unterstützung.


Outlook-Mail-Clients
Client-basierte Microsoft Outlook (z.B. 2010 für Windows) funktioniert:

Message with the subject "Here is our declaration" featuring plain text and an orange arrow marking the message as important.


Ein Klick auf die Symbole gibt Ihnen mehr Informationen:

Dialog box displaying a valid digital signature, with details about the signer and certificate information, and options for error warnings in digitally signed emails.Message Security Properties window for an email, detailing encryption and digital signature layers, with options to check trust certification, featuring buttons and encryption status displays.


In Outlook 2010 / Windows wird der Zertifikatspeicher über Datei / Optionen / Sicherheitscenter / Sicherheitscenter-Einstellungen / E-Mail-Sicherheit / Import / Export aufgerufen.

Microsoft Outlook with an open email about testing attachments, alongside a pop-up window showing security settings for importing certificates, illustrating steps for setting up digital signature encryption.


Thunderbird – plattformübergreifend und kostenlos
Wenn Sie nach einem kostenlosen Client suchen, Mozilla Thunderbird passt die Rechnung. Es ist auf PC, Mac und Linux verfügbar und unterstützt S/MIME auf all diesen Plattformen. So sieht eine Nachricht auf dem Mac aus. Das Symbol des „versiegelten Umschlags“ zeigt, dass die Nachricht signiert ist, und das Vorhängeschloss zeigt an, dass sie verschlüsselt wurde.

Email client with a message open, showing an image of a happy golden retriever puppy, with visible email options and browser tabs at the top.


Ein Klick auf das Umschlag-/Vorhängeschloss-Symbol zeigt Informationen zur Nachricht an:

Message notification with text indicating the message is signed with a valid digital signature and encrypted before sending, verified by COMODO RSA Client Authentication and Secure Email CA.

Thunderbird hat seinen eigenen Schlüsselspeicher, der auf jeder Plattform auf ähnliche Weise aufgerufen wird:
Mac über Einstellungen / Erweitert / Zertifikate / Zertifikate verwalten
PC: Menü („Hamburger“ oben rechts), Erweitert / Zertifikate / Zertifikate verwalten
Linux: Menü („Hamburger“ oben rechts), Einstellungen / Erweitert / Zertifikate verwalten


Mac Mail
Mac Mail unterstützt auch S/MIME. Es verwendet Ihre Mac-Schlüsselbund, um Ihre Schlüssel zu speichern.

An email featuring the security status of the message, indicating that it is digitally signed and encrypted.


iOS Mail
Importieren Sie zunächst das Zertifikat Ihres E-Mail-Kontos so, dann können Sie S/MIME-signierte und verschlüsselte E-Mails ansehen. Sie sehen auf dem Anzeigebildschirm nicht wirklich anders aus.

"Install Profile" page for an "Identity Certificate," indicating the profile is not signed, with options to view more details or proceed with installation at the top right.iPhone interface prompting the user to enter a password for the "Identity Certificate" in the Mail app.A happy golden retriever with an open mouth and tongue out is shown in the image as part of an email attachment test.

Android
Einige Geräte und Apps unterstützen S/MIME; es gibt eine große Vielfalt da draußen. Samsung hat einen Leitfaden.

Endlich…

Das ist unser kurzer Überblick über die praktischen Anwendungen von S/MIME. Wenn Sie Ihre eigenen Mail-Zertifikate erhalten möchten, gibt es hier eine Liste von Anbietern. Ich habe festgestellt, dass Comodo gut funktioniert (kostenlos für nicht-kommerzielle Nutzung – öffnen Sie dies in Firefox, nicht in Chrome).

Im Teil 2 werden wir untersuchen, wie Sie das Signieren und Verschlüsseln mit S/MIME auf Nachrichten anwenden, die Sie über SparkPost senden.

Weiterführende Literatur
Microsoft hat hier einen guten einführenden Artikel über S/MIME.

Für weitere Informationen über die EFAIL-Sicherheitslücke und wie diese behoben wurde, ist diese die maßgebliche Seite. Weitere leicht verständliche Erklärungen finden Sie hier und hier.

Lassen Sie uns Sie mit einem Bird-Experten verbinden.
Erleben Sie die volle Macht des Bird in 30 Minuten.

Durch die Übermittlung stimmen Sie zu, dass Bird Sie bezüglich unserer Produkte und Dienstleistungen kontaktieren darf.

Sie können sich jederzeit abmelden. Weitere Informationen zur Datenverarbeitung finden Sie in Birds Datenschutzerklärung.

Unternehmen

Newsletter

Bleiben Sie mit Bird auf dem Laufenden durch wöchentliche Updates in Ihrem Posteingang.

Durch die Übermittlung stimmen Sie zu, dass Bird Sie bezüglich unserer Produkte und Dienstleistungen kontaktieren darf.

Sie können sich jederzeit abmelden. Weitere Informationen zur Datenverarbeitung finden Sie in Birds Datenschutzerklärung.

Lassen Sie uns Sie mit einem Bird-Experten verbinden.
Erleben Sie die volle Macht des Bird in 30 Minuten.

Durch die Übermittlung stimmen Sie zu, dass Bird Sie bezüglich unserer Produkte und Dienstleistungen kontaktieren darf.

Sie können sich jederzeit abmelden. Weitere Informationen zur Datenverarbeitung finden Sie in Birds Datenschutzerklärung.

Unternehmen

Newsletter

Bleiben Sie mit Bird auf dem Laufenden durch wöchentliche Updates in Ihrem Posteingang.

Durch die Übermittlung stimmen Sie zu, dass Bird Sie bezüglich unserer Produkte und Dienstleistungen kontaktieren darf.

Sie können sich jederzeit abmelden. Weitere Informationen zur Datenverarbeitung finden Sie in Birds Datenschutzerklärung.

Lassen Sie uns Sie mit einem Bird-Experten verbinden.
Erleben Sie die volle Macht des Bird in 30 Minuten.

Durch die Übermittlung stimmen Sie zu, dass Bird Sie bezüglich unserer Produkte und Dienstleistungen kontaktieren darf.

Sie können sich jederzeit abmelden. Weitere Informationen zur Datenverarbeitung finden Sie in Birds Datenschutzerklärung.

R

Erreichen

G

Grow

M

Manage

A

Automate

Unternehmen

Newsletter

Bleiben Sie mit Bird auf dem Laufenden durch wöchentliche Updates in Ihrem Posteingang.

Durch die Übermittlung stimmen Sie zu, dass Bird Sie bezüglich unserer Produkte und Dienstleistungen kontaktieren darf.

Sie können sich jederzeit abmelden. Weitere Informationen zur Datenverarbeitung finden Sie in Birds Datenschutzerklärung.