Beste SMIME-Praxis für Unternehmensnetzwerke
Hallo,
ich habe hier ein Unternehmen, das gerne die gesamte Mail-Kommunikation auf S/MIME-Basis benutzen würde.
Ziele:
- Jeder Absender müsste zertifiziert sein. Der Empfänger könnte als sicher sein, dass der Inhalt der Mail nicht geändert worden ist bzw. dass der Absender, der richtige Absender ist.
- der Inhalt der Mails müsste - optional - verschlüsselbar sein. Entschlüsselung sollte mittels Kennwort möglich sein.
So weit ich weiß sind beide Punkte möglich - ähnlich wie bei PGP - auch bei SMIME.
Meine Fragen:
- wie läuft es in der Praxis ab?
Erstellt man für jedes Unternehmen des Netzwerkes ein X509 Zert (z. B. von Start SSL) und diese Zertifikate werden in alle Outlooks importiert?
- sollte man eine zertifizierte Mail an jemanden senden, der keiner der Zertifikate importiert hat, wird diese Person die Daten der zertifizierten Absender erkennen?
- Ist Start SSL für den Alltag OK, oder würdet eher was "besseres" empfehlen?
Danke für eure Hilfe.
Gr. I.
ich habe hier ein Unternehmen, das gerne die gesamte Mail-Kommunikation auf S/MIME-Basis benutzen würde.
Ziele:
- Jeder Absender müsste zertifiziert sein. Der Empfänger könnte als sicher sein, dass der Inhalt der Mail nicht geändert worden ist bzw. dass der Absender, der richtige Absender ist.
- der Inhalt der Mails müsste - optional - verschlüsselbar sein. Entschlüsselung sollte mittels Kennwort möglich sein.
So weit ich weiß sind beide Punkte möglich - ähnlich wie bei PGP - auch bei SMIME.
Meine Fragen:
- wie läuft es in der Praxis ab?
Erstellt man für jedes Unternehmen des Netzwerkes ein X509 Zert (z. B. von Start SSL) und diese Zertifikate werden in alle Outlooks importiert?
- sollte man eine zertifizierte Mail an jemanden senden, der keiner der Zertifikate importiert hat, wird diese Person die Daten der zertifizierten Absender erkennen?
- Ist Start SSL für den Alltag OK, oder würdet eher was "besseres" empfehlen?
Danke für eure Hilfe.
Gr. I.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 174510
Url: https://administrator.de/forum/beste-smime-praxis-fuer-unternehmensnetzwerke-174510.html
Ausgedruckt am: 26.04.2025 um 16:04 Uhr
5 Kommentare
Neuester Kommentar
Erstellt man für jedes Unternehmen des Netzwerkes ein X509 Zert (z. B. von Start SSL) und diese Zertifikate werden in alle Outlooks importiert?
Nein.
Du brauchst pro Absenderadresse ein Zertifikat.
Wenn du E-Mails verschlüsseln willst musst du außerdem das öffentliche Zertifikat des Empfängers kennen.
- sollte man eine zertifizierte Mail an jemanden senden, der keiner der Zertifikate importiert hat, wird diese Person die Daten der zertifizierten Absender erkennen?
E-Mailprogramme die mit SMIME nicht klarkommen zeigen die Signatur schlicht als Dateianhang dar.
Alle anderen zeigen die Signatur korrekt an, wenn du das Zertifikat bei einem der bekannten Hersteller kaufst.
- Ist Start SSL für den Alltag OK, oder würdet eher was "besseres" empfehlen?
TrustCenter ist eine bekannte Alternative.
Zitat von @istike2:
- Jeder Absender müsste zertifiziert sein. Der Empfänger könnte als sicher sein, dass der Inhalt der Mail nicht
geändert worden ist bzw. dass der Absender, der richtige Absender ist.
Check- Jeder Absender müsste zertifiziert sein. Der Empfänger könnte als sicher sein, dass der Inhalt der Mail nicht
geändert worden ist bzw. dass der Absender, der richtige Absender ist.
Zitat von @istike2:
- der Inhalt der Mails müsste - optional - verschlüsselbar sein. Entschlüsselung sollte mittels Kennwort möglich sein.
So geht das nicht. Zum verschlüsseln benötige ich den öffentlichen Schlüssel des Empfängers.- der Inhalt der Mails müsste - optional - verschlüsselbar sein. Entschlüsselung sollte mittels Kennwort möglich sein.
Er muß mir also erst eine signierte Mail senden, so daß mein Server oder Mailclient das Zertifikat speichern kann.
Erstellt man für jedes Unternehmen des Netzwerkes ein X509 Zert (z. B. von Start SSL) und diese Zertifikate werden in alle Outlooks importiert?
Das hängt davon ab 
Es gibt sowohl Gateway- als auch Clientzertifikate.
Das hängt sowohl von der Anzahl der Nutzer, also auch den Strukturen und Software ab.
- sollte man eine zertifizierte Mail an jemanden senden, der keiner der Zertifikate importiert hat, wird diese Person die Daten der zertifizierten Absender erkennen?
? Du meinst wenn man eine signierte Email an Jemanden schickt der das Stammzertifikat nicht hat?Besser wäre natürlich "öffentliche" Zertifikate zu verwenden. Dann würde jeder Client die Echtheit direkt bestätigen.
Sonst steht da halt "Technisch OK aber nicht vertrauenswürdig (oder noch schlimmer)".
- Ist Start SSL für den Alltag OK, oder würdet eher was "besseres" empfehlen?
Siehe "Öffentliches Zertifikat".Empfehlung: TrustCenter (auch wenns Symantec ist)
Stefan
PS: Ich tipp zu langsam... Jeder Hund ist schneller als ich...
Danke sehr für die Antworten.
Wir bräuchten also pro User eine Zert, und dann müsste in jedes OL die öffentliche Zertifikat jedes potenziellen Empfängers - durch signierte Mails - importiert werden, damit jeder Absender die Option hat ggfs. den Inhalt zu verschlüsseln.
Unter "öffentliche Zertifikate" meinst du (Stefan) wohl die Zerts bekannter Hersteller, oder? Ich schaue dann bei Trustcenter vorbei...
Was Client und Gatewaycertifikate betrifft ist es noch offen. Hier geht es um einen kleinen Beratungsdienstleister mit 5 Usern und Ihre Kunden. Sie möchten einfach ihre Mailkommunikation professionalisieren. Als Software wird OL 2010 und Exchange 2007 eingesetzt.
Danke nochmals.
Gr. I.
Wir bräuchten also pro User eine Zert, und dann müsste in jedes OL die öffentliche Zertifikat jedes potenziellen Empfängers - durch signierte Mails - importiert werden, damit jeder Absender die Option hat ggfs. den Inhalt zu verschlüsseln.
Unter "öffentliche Zertifikate" meinst du (Stefan) wohl die Zerts bekannter Hersteller, oder? Ich schaue dann bei Trustcenter vorbei...
Was Client und Gatewaycertifikate betrifft ist es noch offen. Hier geht es um einen kleinen Beratungsdienstleister mit 5 Usern und Ihre Kunden. Sie möchten einfach ihre Mailkommunikation professionalisieren. Als Software wird OL 2010 und Exchange 2007 eingesetzt.
Danke nochmals.
Gr. I.
Richtig, S/MIME ist asymetrische Krytopgraphie also benötigt jeder der verschlüsseln/signieren will einen "private Key" und ein öffentliches Zertifikat das quasi ein öffentlicher Schlüssel ist der von einer CA (Certificate Authority) beglaubigt ist. Alle öffentlichen Schlüssel zu denen eine passende CA im Zertifikatsstore der Anwendung vorhanden ist wird erstmal "vertraut". Allerdings musst du keine öffentlichen Zertifikate "von Hand" improtieren, da alle Mailclients sich automatisch die Zertifikate aus signierten Mails abgreifen. Was du also machen kannst ist auf allen Arbeitsplätzen Zertifkate/Keys passend zur Mailadresse installieren und die Einstellung wählen das alle ausgehenden Mails signiert (digital Unterschrieben) werden. Damit kann nun jeder Empfänger der schon einmal eine signierte Mail erhalten hat an diese Absendern verschlüsselte Mails schicken. Um verschlüsselte Mails zu verschicken benötigen deine Kunden den öffentlichen Schlüssel des Empfängers, der üblicherweise ebenfalls durch eine signierte Mail ankommt.
Um das Ganze für den Endkunden zu vereinfachen sind auch S/MIME Gateways möglich, allerdings muss dann der Verwalter des Gateways wissen was Er/Sie tut.
Gateways gibt es z.B. hier, der letzte in der Liste sogare Open Source / Kostenlos
http://www.zertificon.com/e-mail-signatur-mit-z1_secure_mail_gateway.ph ...
http://www.iccsec.com/security/produkte/julia-mailoffice/
http://www.djigzo.com/gateway.html
Was man in jeden Fall berücksichtigen sollte ist die Wartung des Ganzen, da falsche/abgelaufene Zertifikate mehr Verwirrung stiften als helfen.
Gruß
Andi
Um das Ganze für den Endkunden zu vereinfachen sind auch S/MIME Gateways möglich, allerdings muss dann der Verwalter des Gateways wissen was Er/Sie tut.
Gateways gibt es z.B. hier, der letzte in der Liste sogare Open Source / Kostenlos
http://www.zertificon.com/e-mail-signatur-mit-z1_secure_mail_gateway.ph ...
http://www.iccsec.com/security/produkte/julia-mailoffice/
http://www.djigzo.com/gateway.html
Was man in jeden Fall berücksichtigen sollte ist die Wartung des Ganzen, da falsche/abgelaufene Zertifikate mehr Verwirrung stiften als helfen.
Gruß
Andi
Danke sehr Andi für die Links und Kommentar.
Gr. I.
Gr. I.
