S/MIME ist eine lang etablierte Methode zum Versenden von verschlüsselten, signierten E-Mails, die auf öffentlichen Internetstandards basiert. Wir stoßen regelmäßig auf Anforderungen an S/MIME, insbesondere aus regulierten Branchen wie Banking, Gesundheit und Finanzen.
S/MIME ist eine seit langem etablierte Methode, verschlüsselte, signierte E-Mails zu senden, basierend auf öffentlichen Internetstandards. Wir stoßen regelmäßig auf Anforderungen für S/MIME, insbesondere aus regulierten Branchen wie dem Bankwesen, dem Gesundheitswesen und der Finanzindustrie. S/MIME wird oft benötigt, wenn es um die Kommunikation zwischen Unternehmen und Regierungsbehörden geht, zum Beispiel.
Ein weiterer sicherer Mailstandard, PGP (mit dem amüsanten Namen „Pretty Good Privacy“), wird mehr für sichere Kommunikation von Person zu Person genutzt. Es ist heute weniger beliebt, weil die Verbraucherversionen beliebter webbasierter E-Mail-Clients wie Gmail und Outlook/Hotmail keine verschlüsselten Mails anzeigen können. Das ist ein Grund, warum sich viele persönliche Kommunikationen, die Privatsphäre erfordern, auf Plattformen wie WhatsApp (und viele andere) verlagert haben, die eine native Ende-zu-Ende-Verschlüsselung bieten.
Sowohl PGP als auch S/MIME erfordern einen Mail-Client, der Schlüssel und Zertifikate verwenden kann. Viele Desktop- und mobile Clients, einschließlich Apple Mail, Microsoft Outlook und Mozilla Thunderbird, erfüllen diese Anforderungen, ebenso wie Unternehmensversionen einiger Webclients wie Microsoft Office 365. Das Einrichten der Schlüssel erfordert Arbeit, aber viele Organisationen halten es dennoch für lohnenswert, trotz jüngster Verwundbarkeitsenthüllungen, die Maßnahmen erfordern, um das Laden von Remote-Inhalten zu blockieren.
S/MIME gibt es seit 1995 und es hat mehrere Revisionen durchlaufen; die aktuelle Version wird von RFC 5751 abgedeckt. Es erfordert den Austausch von öffentlichen Schlüsseln, eine nicht triviale Aufgabe, die oft die Unterstützung eines IT-Teams oder ähnlicher Ressourcen erfordert. Für Organisationen, die E-Mail-Infrastrukturen vor Ort betreiben, erfordert die Implementierung von S/MIME zusätzliche Überlegungen für Plattformen wie PowerMTA und Momentum, die wir in unserem Leitfaden zu S/MIME für lokale sichere E-Mails behandeln. Es gibt jedoch automatisierte Ansätze, um diesen Prozess zu rationalisieren, wie zum Beispiel das Sammeln öffentlicher Schlüssel von Empfängern über E-Mail-basierte Systeme, die das Schlüsselmanagement für app-generierte E-Mail-Ströme vereinfachen können. Hier kommen kommerzielle Lösungen von Unternehmen wie SparkPost-Partnern Virtru und Echoworkx ins Spiel, die Sicherheit für persönliche Geschäfts-E-Mail-Kommunikation erleichtern (siehe unser SparkPost/Echoworkx-How-to für weitere Informationen).
Davon abgesehen, lassen Sie uns ein wenig tiefer in das alte S/MIME eintauchen und sehen, was wir damit machen können.
Warum sollte ich mich darum kümmern?
Die Kurzfassung:
Verschlüsselung bietet Ihnen Nachrichtensicherheit.
Signieren bietet Ihnen Authentifizierung (des Absenders), Nichtabstreitbarkeit der Herkunft und Integritätsprüfungen der Nachricht.
S/MIME funktioniert anders als DKIM und DMARC und kann mit ihnen koexistieren.
Privatsphäre
Wenn Ihre Nachrichten nichts Persönliches, Privates oder rechtlich Wichtiges enthalten, müssen Sie wahrscheinlich nicht über S/MIME nachdenken. Moderne E-Mail-Systeme wie SparkPost verwenden bereits „opportunistisches TLS“, um den Nachrichtentransport vom sendenden Server zum empfangenden Server abzusichern.
Der „opportunistische“ Teil bedeutet jedoch, dass, wenn der sendende Server keine sichere Verbindung aushandeln kann, wir die E-Mail im Klartext senden werden. Dies ist nicht geeignet, wenn Sie die Nachricht durchweg sicherstellen möchten. Sie können einen Blick darauf werfen, welche Postfachanbieter TLS-Unterstützung behaupten und welche tatsächlich tun. Vorausgesetzt, der Server des Empfängers unterstützt TLS, wird Ihre Nachricht wie folgt gesichert:
TLS sichert die Gespräche zwischen Mail-Servern (weshalb es als Transport Layer Security bezeichnet wird). MIME (einschließlich S/MIME) bezieht sich auf den Nachrichteninhalt und seine Behandlung und kann als Teil der „Präsentationsschicht“ betrachtet werden.
S/MIME sichert den Nachrichteninhalt vollständig („Ende zu Ende“) vom Nachrichtenursprung bis zum E-Mail-Client des Empfängers, indem es den Nachrichtentext kapselt.
S/MIME verschlüsselt den Nachrichtentext mit dem öffentlichen Schlüssel des Empfängers. Der Text kann ohne den privaten Schlüssel des Empfängers nicht dekodiert werden—nicht von „Personen in der Mitte“, wie Ihrem ISP, SparkPost oder dem Mail-Server des Empfängers.
Der private Schlüssel wird niemals preisgegeben; er bleibt im alleinigen Besitz des Empfängers. Die verschlüsselte Nachricht reist über das Internet zum empfangenden Mail-Server. Wenn sie im Posteingang des Empfängers landet, wird sie (normalerweise automatisch) mit ihrem privaten Schlüssel entschlüsselt und lesbar.
Einige S/MIME-Warnhinweise, auf die Sie achten sollten:
S/MIME-Verschlüsselung hat den Nebeneffekt, dass serverbasierte eingehende Nachrichtenscans auf Malware verhindert werden, da die Nachrichtennutzlast in verschlüsselter Form vorliegt und daher nicht identifizierbar ist.
Beachten Sie, dass die Nachrichtenheader (Von:, An:, Betreff: usw.) nicht verschlüsselt sind, sodass der Betreffinhalt in Anbetracht dessen erstellt werden muss.
Signieren – Authentifizierung
S/MIME bietet dem Empfänger auch die Möglichkeit zu überprüfen, dass die Identität des Nachrichtenabsenders ist, wer sie sagen, dass sie sind.
Die E-Mail des Absenders hat ein Zertifikat angehängt, das, ähnlich wie das Zertifikat auf einer sicheren Website, auf eine herausgebende Behörde zurückverfolgt werden kann. Es gibt eine vollständige Beschreibung des Signaturprozesses hier.
Wir werden den Ansatz wählen, zuerst die E-Mail zu signieren und dann zu verschlüsseln, sodass der Prozess so aussieht.
Nichtabstreitbarkeit
Ein weiterer nützlicher Vorteil des Signierens für den Empfänger ist die Nichtabstreitbarkeit der Herkunft. Betrachten Sie eine Situation, in der eine E-Mail-Nachricht verwendet wird, um einen Vertrag zu genehmigen. Der Empfänger erhält den Vertrag in einer Nachricht vom Absender. Wenn der Absender später versucht zu sagen: „Nein, ich habe Ihnen diese Nachricht nie geschickt“, zeigt die empfangene Nachricht, dass das Zertifikat des Absenders tatsächlich verwendet wurde.
Nachrichtenintegrität
Der Signaturprozess erstellt einen Fingerabdruck der einfachen Quellnachricht (bekannt als Nachrichtenzusammenfassung), verschlüsselt die Zusammenfassung mit dem privaten Schlüssel des Absenders und fügt sie in die zugestellte Nachricht ein. Der Mail-Client des Empfängers kann erkennen, ob der Nachrichtentext manipuliert wurde.
Vielleicht sagen Sie: „Ich dachte, DKIM bietet mir Integritätsprüfungen für Nachrichten!“ Nun ja, DKIM bietet Integritätsprüfungen für den Nachrichtentext und den Nachrichtenheader – Garantie gegen Manipulation. Allerdings wird DKIM-Versagen (oder -Abwesenheit) normalerweise nicht dazu führen, dass die eingehende Nachricht als völlig ungültig markiert wird, …es sei denn, es ist eine DMARC-Richtlinie von `p=reject` im Spiel (mehr zu DMARC hier). DKIM ist ein Faktor von vielen, den der ISP für die zuverlässige Zuweisung von Reputation zu einer Domain verwendet und ist natürlich ein wesentlicher Bestandteil Ihres Nachrichtensystems.
Ihr Mail-Client zeigt Ihnen deutlich an, wenn eine S/MIME-Nachricht Signaturprüfungen nicht besteht:
Zusammenfassung: Ende-zu-Ende (S/MIME) vs. Server-zu-Server (DKIM, DMARC, TLS)
S/MIME ist eine Präsentationsschicht-Fähigkeit, die zwischen zwei E-Mail-Endbenutzern (mit gültigen Zertifikaten/Schlüsseln) ohne Aktionen des E-Mail-Administrators funktionieren kann. S/MIME bietet Verschlüsselung und Signatur und ist persönlich für jeden Nutzer.
S/MIME ist an die vollständige Sendeadresse gebunden (lokaler Teil und Domänenteil), sodass beispielsweise alice@bigcorp.com und bob@bigcorp.com unterschiedliche Zertifikate benötigen würden. Im Gegensatz dazu validiert DKIM, dass die E-Mail von der signierenden Domain kommt. DKIM ist ein eigenes Thema; dieser Artikel ist ein guter Ausgangspunkt.
DKIM- und DMARC-Setup wird von Ihrem E-Mail-Administrator erledigt (Arbeiten am Mail-Server und DNS-Einträgen). Sobald eingerichtet, sind sie für Domains aktiv, anstatt für einzelne Benutzer.
Wie hängt das mit SparkPost zusammen?
Welche Clients unterstützen S/MIME?
Consumer Gmail
Der gewöhnliche Gmail-Webclient zeigt eingehende E-Mail-Signaturen (siehe unten) an, ist jedoch nicht dafür eingerichtet, Ihren privaten Schlüssel zu halten, um verschlüsselte Nachrichten zu lesen. Selbst wenn dies über Plugins von Drittanbietern möglich wäre, ist das Hochladen Ihres privaten Schlüssels aus Sicherheitssicht keine gute Idee.
Ich konnte Yahoo! Mail überhaupt nicht dazu bringen, Signaturen in Nachrichten zu entschlüsseln.
Die Verbraucherversion von Microsoft Outlook/Hotmail-Konten weist Sie auf das Vorhandensein einer S/MIME-Signatur hin, gibt Ihnen jedoch keinen vollständigen Zugriff, um das Zertifikat anzuzeigen oder zu überprüfen.
Gehostete Unternehmensmail
Für Organisationen mit gehosteten Mails bieten Microsoft Office 365 und G Suite Enterprise S/MIME-Unterstützung.
Outlook Mail-Clients
Der clientbasierte Microsoft Outlook (z. B. 2010 für Windows) funktioniert:
Ein Klick auf die Symbole gibt Ihnen weitere Informationen:
Auf Outlook 2010 / Windows wird der Zertifikatspeicher über Datei / Optionen / Trust Center / Trust Center-Einstellungen / E-Mail-Sicherheit / Import / Export aufgerufen.
Thunderbird – plattformübergreifend und kostenlos
Wenn Sie nach einem kostenlosen Client suchen, passt Mozilla Thunderbird ins Bild. Es ist verfügbar auf PC, Mac und Linux und unterstützt S/MIME auf all diesen Plattformen. So sieht eine Nachricht auf dem Mac aus. Das „verschlossene Umschlag“-Symbol zeigt, dass die Nachricht signiert ist, und das Vorhängeschloss zeigt, dass sie verschlüsselt wurde.
Ein Klick auf das Umschlag/Vorhängeschloss-Symbol zeigt Informationen zur Nachricht an:
Thunderbird hat seinen eigenen Schlüsselbund, auf jeder Plattform ähnlich zugänglich:
Mac über Einstellungen / Erweitert / Zertifikate / Zertifikate verwalten
PC: Menü („Hamburger“ oben rechts), Erweitert / Zertifikate / Zertifikate verwalten
Linux: Menü („Hamburger“ oben rechts), Einstellungen / Erweitert / Zertifikate verwalten
Mac Mail
Mac Mail unterstützt ebenfalls S/MIME. Es verwendet Ihren Mac-Schlüsselbund, um Ihre Schlüssel zu halten.
iOS Mail
Zuerst importieren Sie das Zertifikat Ihres E-Mail-Kontos so, dann können Sie S/MIME-signierte und verschlüsselte E-Mails anzeigen. Sie sehen auf dem Bildschirm nicht wirklich anders aus.
Android
Einige Geräte und Apps unterstützen S/MIME; es gibt eine große Vielfalt da draußen. Samsung hat einen Leitfaden.
Endlich…
Das ist unser kurzer Überblick über die praktischen Einsatzmöglichkeiten von S/MIME. Wenn Sie Ihre eigenen Mailzertifikate erhalten möchten, gibt es hier eine Liste von Anbietern. Ich habe festgestellt, dass Comodo gut funktioniert (kostenlos für nicht-kommerzielle Nutzung – öffnen Sie dies in Firefox, nicht in Chrome).
In Teil 2 werden wir untersuchen, wie Sie S/MIME-Signatur und -Verschlüsselung auf Nachrichten anwenden können, die Sie über SparkPost senden.
Weiterführende Lektüre
Microsoft hat einen guten Einführungsartikel zu S/MIME hier.
Für weitere Informationen über die EFAIL-Sicherheitslücke und wie sie behoben wurde, ist diese die maßgebliche Seite. Weitere leicht verständliche Erklärungen finden Sie hier und hier.
