S/MIME-Konfiguration

E-Mail-Verschlüsselung und Signieren mit S/MIME

todo4teams bietet Ihnen die Möglichkeit, stark verschlüsselte und signierte E-Mails nach dem S/MIME-Standard mit Ihren Kunden auszutauschen.

S/MIME ist der verbreitetste Standard für E-Mail-Verschlüsselung und wird von E-Mail-Programmen wie Microsoft Outlook oder Mozilla Thunderbird hervorragend unterstützt und gilt als ausgesprochen sicher.

Begriffserklärung

Mit S/MIME lassen sich E-Mails signieren und/oder verschlüsseln - d.h. eine E-Mail kann nur signiert aber nicht verschlüsselt, verschlüsselt aber nicht signiert oder signiert und verschlüsselt werden. Die Begriffe und Verfahren werden im Folgenden kurz erklärt.

In beiden Fällen kommen sogenannten "asymmetrische Schlüsselpaare" zum Einsatz. Dabei handelt es sich um zwei digitale Schlüssel, wobei der eine öffentlich verteilt werden kann, der zweite aber strikt geheim gehalten wird. Beide bilden dardurch ein Paar, dass Nachrichten, die mit dem öffentlichen Schlüssel kodiert wurden, nur mit dem geheimen (privaten) Schlüssel dekodiert werden können. Ein Fremder, der die Nachricht auf dem Übertragungsweg mitliest und den privaten Schlüssel nicht kennt, ist nicht in der Lage, den Inhalt der Nachricht zu entschlüsseln.

Signieren

Beim Signieren von E-Mails versieht der Sender mithilfe seines privaten Schlüssels den Inhalt der Nachricht mit einer digitalen Signatur. Der Empfänger kann mithilfe der Signatur und des öffentlichen Schlüssel nach dem Empfang prüfen, ob die Nachricht auf dem Übertragungsweg verändert wurde. Der Inhalt der Nachricht bleibt aber bei der Übertragung für Dritte lesbar! Die gültige Signatur garantiert dem Empfänger aber, dass die Nachricht tatsächlich vom Absender stammt und auf dem Übertragungsweg nicht verändert wurde. 

Verschlüsselung

Bei der Verschlüsselung einer E-Mail wird deren kompletter Inhalt mit dem öffentlichen Schlüssel des Empfängers so kodiert, dass sie nur mit dem passenden privaten Schlüssel dekodiert werden kann. Dazu muss der Absender zunächst in den Besitz des öffentlichen Schlüssels des Empfängers kommen - z.B. dadurch, dass er eine signierte E-Mail des Empfängers empfängt.

Der Empfänger kann nun sicher sein, dass kein Dritter den Inhalt auf dem Übertragungsweg entschlüsseln kann. Allerdings kann er sich nicht über die Identität des Absenders sicher sein. Dazu müsste der Absender den Inhalt sowohl verschlüsseln als auch signieren:

Signieren und Verschlüsseln

Werden beide oben genannten Vorgänge kombiniert, wird sowohl die Identität des Absenders als auch eine starke Verschlüsselung während der Übertragung sichergestellt.

Anwendung in todo4teams

todo4teams kann sowohl verschlüsselte und/oder signierte E-Mails empfangen als auch versenden.

Für den Empfang verschlüsselter Nachrichten und den Versand signierter Nachrichten muss in der Konfiguration des E-Mail-Postfachs das S/MIME-Zertifikat und der zugehörige private Schlüssel abgelegt werden (siehe Beispiel rechts).

image-20250211144837-1.png

Beide müssen im PEM-Format vorliegen und wie in der Abbildung mit den Markierungen

-----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----

beziehungsweise

-----BEGIN PRIVATE KEY----- und -----END PRIVATE KEY-----

versehen werden.

Falls Ihr S/MIME-Zertifikat im P12- oder anderem Format vorliegt, nutzen Sie bitte das openssl-Kommando, um Zertifikat und privaten Schlüssel in das PEM-Format zu extrahieren.

Kopieren Sie die Daten in das Textfeld "Zertifikat" und speichern Sie die Einstellungen. Tragen sie dafür Sorge, dass nur vertrauenswürdige Administration die Zugriffsrecht auf diese Einstellungen erhalten! Der private Schlüssel darf auf keinen Fall in falsche Hände gelangen.

Verwaltung der Zertifikate Ihrer Kunden

todo4teams besitzt als Helpdesk-Werkzeug kein Adressbuch mit Zertifikats- und Schlüsselspeicher. Um eine E-Mail verschlüsselt zu beantworten, ist es erforderlich, dass der Absender (Ihr Kunde) seine E-Mail an todo4teams signiert. todo4teams kann dann das mitgesendete Zertifikat zum Verschlüsseln der Antwort verwenden.

Gleiches gilt für die umgekehrte Richtung: Damit ein Kunde Ihnen eine verschlüsselte E-Mail senden kann, benötigt er eine signierte E-Mail, die dann automatisch Ihren öffentlichen Schlüssel enthält.

Empfang von Nachrichten

Beim Empfang von Nachrichten im S/MIME-Format müssen Sie nichts besonderes beachten: todo4teams wird die E-Mail wie gewohnt in ein Ticket umwandeln und die angehängten Dateien anzeigen. Einzig eine kleine Meldung im Kopf der Tickets wird Ihnen anzeigen, dass es sich um eine signierte Nachricht handelt und ob die Signatur gültig ist.

image-20250211145039-2.png

Versand von Nachrichten

Im "Erledigen"-Dialog der Ticketbearbeitung, genauer im E-Mail-Tab, sehen Sie zwei Checkboxen, mit denen Sie die Signierung und Verschlüsselung der Antwort steuern können. Diese Optionen können ggf. deaktiviert sein, Falls die eingehende Nachricht kein Signatur-Zertifikat besitzt, kann die Antwort nicht verschlüsselt werden. Falls andererseits das verwendete Postfach kein Zertifikat besitzt, kann die Antwort nicht signiert werden.

image-20250211131207-1.png

Wenn Sie für die Antwort beide Optionen auswählen, wird der Kunde die Antwort mit Markierungen wie diesen signedencrypted.png angezeigt bekommen, die ihm anzeigen, dass die E-Mail signiert und verschlüsselt wurde.

Sicherheit und Schlüssellänge

Verwenden Sie bei der Erstellung Ihres S/MIME-Zertifikats Schlüssellängen von 2048 oder 4096 Bit. Mit diesen Schlüssellängen gilt S/MIME heute als sicher, d.h. bei sicherer Aufbewahrung Ihrer privaten Schlüssel sind die verschlüsselten Nachrichten weder durch Hacker noch durch staatliche Institutionen dekodierbar.