Skip to content

26. Februar 2014

3

Outlook und S/MIME sinnvoll verwenden

Outlook und S/MIME

Angeregt von einigen Arbeitskollegen habe ich vor kurzem angefangen Outlook 2013 zu verwenden, statt wie bisher Mozilla Thunderbird. Ich möchte hier gar nicht weiter auf den Grund dafür eingehen, sondern nur auf einige Unterschiede im Handling von Verschlüsselung mit S/MIME, die Outlook zu Thunderbird aufweist.

S/MIME was ist das?

S/MIME, das ist in aller Kürze neben PGP eine der zwei am weitest verbreiteten Arten Mails sicher zu verschlüsseln. Dafür benötigt sowohl der Sender als auch der Empfänger der Mail ein Schlüsselpaar  bestehend aus einem öffentlichen Schlüssel und einem privaten Schlüssel. Den öffentlichen Schlüssel gilt es nun möglichst weit zu verbreiten, während der Private den eigenen Besitz nie verlassen sollte.
Nun gibt es zwei Anwendungsgebiete, die auch kombiniert werden können:

  • Die eigenen Mails signieren, so dass sich der Empfänger sicher sein kann, das die Email auch wirklich vom angegebenen Versender stammt
  • Die versendeten Mails verschlüsseln, so das nur der Empfänger sie mit seinem eigenen privaten Schlüssel entschlüsseln und lesen kann

Zum Signieren einer Mail verwendet man hierzu seinen eigenen privaten Schlüssel, und jeder im Besitz des öffentlichen Schlüssels kann prüfen, ob die Nachricht eine gültige Signatur aufweist.
Zum Verschlüsseln einer Nachricht braucht man den öffentlichen Key des Gegenübers, und nur die Gegenstelle – im Besitz des privaten Schlüssels – kann den Inhalt der E-Mail wiederherstellen.

Weiterführende Informationen zu diesem Konzept findet man z.B. in der Wikipedia unter digitale Signatur, Hybride Verschlüsselung und asymmetrisches Kryptosystem.

 Einrichtung in Thunderbird und Outlook

Während die Einrichtung dieser Sicherheitsmaßnahme in Thunderbird relativ leicht von statten geht, und die Einstellungen auch so platziert sind, dass man sie leicht auf Anhieb findet, muss man in Outlook leider schon etwas suchen.

In Thunderbird befindet sich in den Kontoeinstellungen zu jedem Konto ein Punkt ‚S/MIME-Sicherheit‘ unter dem man – wer hätte es erwartet – die Notwendigen Einstellungen vornehmen kann. Hauptsächlich geht es darum, das Schlüsselpaar zu importieren.

Im Outlook muss man sich von den Optionen zu den Einstellungen des Trust Centers vorarbeiten, um dort unter dem Unterpunkt E-Mail-Sicherheit Einstellungen für seine Mail Accounts festlegen zu können.

Ein Manko haben beide Mailer gemeinsam: Man kann entweder angeben, dass Mails immer verschlüsselt werden sollen oder gar nicht. Eine Option „Verschlüsseln, wenn verfügbar“ gibt es leider bei beiden nicht. Wer Wert auf maximale Sicherheit legt, muss nun (in Outlook) damit leben, beim Versenden jeder Mail an einen Empfänger ohne eigenes Schlüsselpaar eine Warnmeldung zu bekommen, und den Versand ohne Verschlüsselung bestätigen zu müssen.
In Thunderbird kann man Kontakten ohne passendem Schlüssel bei aktivierter Option gar keine Nachrichten mehr senden, und muss daher eher immer daran denken, die Option ‚Diese Nachricht verschlüsseln‘ bei jeder Mail wieder zu setzten.

 Bedenkenswerte Option in Outlook

In Outlook gibt es im Trust Center auch die interessante Option ‚Signierte Nachrichten als Klartext senden‘, eine Einstellung, die es im Thunderbird so gar nicht gibt. Beim groben Überfliegen klingt das erstmal nicht gut, Klartext soll ja vermieden werden, daher geht der Trend beim nicht ordentlichen Lesen (oder beim nicht erfolgten ändern der Standardeinstellungen) eher dazu, die Option deaktiviert zu lassen.
Das wichtige Wort ist jedoch ‚Signierte‘ – diese Einstellung dreht sich nur um Nachrichten, die zwar Signiert werden, aber nicht verschlüsselt. Normalerweise ist es kein Problem, die Nachrichten nur signiert zu senden, das Problem beginnt erst beim ersten Empfänger, der nur Webmail benutzt. Fast alle gängigen Webmailer (Horde scheint hier die große Ausnahme zu bilden) haben keine Unterstützung für S/MIME.

Das bedeutet, eine Signierte Nachricht wird als leer angezeigt, und hat nur einen Anhang, der ’smime.p7m‘ heißt. Dies führt in den meisten Fällen dazu, dass die Nachricht als leer angesehen wird, da mit so einem Anhang ohne spezielle Programme leider auch nicht viel anzufangen ist.

 Schlüsselverwaltung

Um die Verwaltung der fremden Schlüssel muss man sich nicht selber kümmern, das erledigt das Mail-Programm schon selbst. Allerdings geschieht dies anhand von Kontakten und nicht anhand von E-Mail-Adressen.
Da Thunderbird automatisch für jede eingehende Mail einen minimalen Kontakt anlegt, ist es dort kein Problem: sobald ich nach dem Schlüsselaustausch eine Nachricht an den entsprechenden Empfänger versende, wird automatisch der Kontakt vorgeschlagen und ausgewählt.

In Outlook ist das leider anders, ich kann zwar auf eingehende Mails verschlüsselt antworten, zum Erstellen einer neuen Mail muss aber leider zuerst manuell ein neuer Kontakt für die entsprechende Mail-Adresse angelegt werden, am besten aus einer eingegangenen Mail heraus. Das ist auf Dauer ein wenig Anstrengend, vor allem wenn man den von Thunderbird gebotenen Luxus gewöhnt ist.

3 Comments Post a comment
  1. DaniFilth
    Feb 26 2014

    Diese Klartext-Option in Outlook und das daraus entstehende Verhalten ist durchaus interessant. Apples Mail-Programm unter OS X und iOS versendet signierte Nachrichten prinzipiell Multipart-Mails mit Inhaltstyp „multipart/signed“ und hängt die Signatur als „smime.p7s“ an, dafür bietet es gar keine Einstellung an. Dementsprechend wird die Signatur einfach nur als zusätzlicher Anhang hinzugefügt. Dass Outlook es scheinbar auch ermöglicht, Nachricht inkl. Signatur in eine eigene Datei zu verpacken, ist ja prinzipiell eher fragwürdig, nachdem selbst einige Mail-Clients noch keine S/MIME-Unterstützung bieten.

  2. DaniFilth
    Aug 2 2015

    Es gibt übrigens für Thunderbird ein Add-On, dass die Funktionalität nachliefert, Nachrichten immer zu verschlüsseln, wenn es möglich ist. Für Outlook scheint es etwas entsprechendes leider nicht zu geben.

  3. DaniFilth
    Aug 2 2015

Kommentar verfassen