S/MIME für die Nachrichtensignierung und -verschlüsselung

Als Administrator in Exchange Server können Sie Secure/Multipurpose Internet Mail Extensions (S/MIME) für Ihre Organisation aktivieren. S/MIME ist eine verbreitete Methode (oder genauer gesagt ein Protokoll) zum Senden von digital signierten und verschlüsselten Nachrichten. S/MIME ermöglicht Ihnen das Verschlüsseln und digitale Signieren von E-Mails. Die Verwendung von S/MIME unterstützt die Benutzer, die Nachrichten empfangen, wie folgt:

  • Es wird sichergestellt, dass die Nachricht im Posteingang genau die Nachricht ist, die vom Absender gesendet wurde.

  • Es wird sichergestellt, dass die Nachricht vom angegebenen Absender stammt und nicht von jemanden, der vorgibt, dieser Absender zu sein.

Dafür bietet S/MIME kryptografische Sicherheitsdienste, wie Authentifizierung, Nachrichtenintegrität und Ursprungszulassung (anhand von digitalen Signaturen). S/MIME sorgt auch für mehr Datenschutz und -sicherheit (anhand von Verschlüsselung) für die elektronische Nachrichtenübermittlung.

Für S/MIME ist eine Infrastruktur für Zertifikate und Veröffentlichungen erforderlich, die häufig in B2B(Business-to-Business)- und B2C(Business-to-Customer)-Situationen verwendet wird. Der Benutzer steuert die kryptografischen Schlüssel in S/MIME und kann wählen, ob sie für jede versendete Nachricht verwendet werden sollen. E-Mail-Programme wie Outlook suchen nach dem Ort einer vertrauenswürdigen Stammzertifizierungsstelle, um eine digitale Signatur vorzunehmen und diese Signatur zu überprüfen.

Genauere Hintergrundinformationen zur Geschichte und Architektur von S/MIME im Kontext von E-Mails finden Sie unter Informationen zu S/MIME.

Unterstützte Szenarien und technische Aspekte für S/MIME

Sie können S/MIME für alle der folgenden Endpunkte einrichten:

  • Outlook 2010 oder höher

  • Outlook im Web (früher Outlook Web App)

  • Exchange ActiveSync (EAS)

Die Schritte zum Einrichten von S/MIME unterscheiden sich je nach Endpunkt geringfügig. In der Regel müssen Sie die folgenden Schritte durchführen:

  1. Installieren Sie eine Windows-basierte Zertifizierungsstelle, und richten Sie eine öffentliche Schlüsselinfrastruktur zum Ausstellen von S/MIME-Zertifikaten ein. Durch Drittanbieter-Zertifikatsanbieter ausgestellte Zertifikate werden unterstützt. Ausführliche Informationen finden Sie unter "Übersicht über die Bereitstellung von Serverzertifikaten".

  2. Veröffentlichen Sie das Benutzerzertifikat in einem lokalen Active Directory Domain Services-Konto (AD DS) in den Attributen UserSMIMECertificate und/oder UserCertificate. Ihr AD DS muss sich auf Computern an einem von Ihnen gesteuerten physischen Ort befinden, und nicht an einem Remote-Standort oder in einem cloudbasierten Dienst irgendwo im Internet. Weitere Informationen zu AD DS finden Sie unter Active Directory Domain Services Overview.

  3. Richten Sie eine virtuelle Zertifikatauflistung zum Validieren von S/MIME ein. Diese Informationen verwendet Outlook im Web beim Validieren der Signatur einer E-Mail und stellt sicher, dass sie von einem vertrauenswürdigen Zertifikat signiert wurde.

  4. Richten Sie den Outlook- oder EAS-Endpunkt für die Verwendung von S/MIME ein.

Einrichten von S/MIME mit Outlook im Web

Die Einrichtung von S/MIME mit Outlook im Web umfasst die folgenden wichtigen Schritte:

  1. S/MIME-Einstellungen für Outlook im Web in Exchange Server.

  2. Set up Virtual Certificate Collection to Validate S/MIME

Informationen zum Senden einer S/MIME-verschlüsselten Nachricht in Outlook im Web finden Sie unter Verschlüsseln von Nachrichten mithilfe von S/MIME in Outlook im Web.

Eine Vielzahl von Verschlüsselungstechnologien arbeiten im Verbund zusammen, um sowohl im Postfach gespeicherte Nachrichten als auch Nachrichten während des Übertragungsvorgangs zu schützen. S/MIME kann gleichzeitig mit den folgenden Technologien zusammenarbeiten, ist aber nicht von diesen abhängig:

  • Transport Layer Security (TLS): Verschlüsselt den Tunnel oder die Route zwischen E-Mail-Servern, um Abhören und Lauschangriffe zu verhindern, und verschlüsselt die Verbindung zwischen E-Mail-Clients und Servern.

    Hinweis

    Secure Sockets Layer (SSL) wird durch Transport Layer Security (TLS) als Protokoll ersetzt, das zum Verschlüsseln von Daten verwendet wird, die zwischen Computersystemen gesendet werden. Da die Begriffe „SSL" und „TLS" (ohne Versionen) so eng im Zusammenhang stehen, werden sie häufig synonym verwendet. Aufgrund dieser Ähnlichkeit wurden Verweise auf „SSL" in Exchange-Themen, Exchange-Verwaltungskonsole und Exchange-Verwaltungsshell häufig so verwendet, dass sowohl die SSL- als auch die TLS-Protokolle enthalten sind. „SSL" bezieht sich in der Regel nur dann auf das eigentliche SSL-Protokoll, wenn auch eine Version angegeben wird (z. B. SSL 3.0). Um zu erfahren, warum Sie das SSL-Protokoll deaktivieren und auf TLS umsteigen sollten, lesen Sie Schutz vor der Sicherheitsanfälligkeit von SSL 3.0.

  • BitLocker: Verschlüsselt die Daten auf einer Festplatte in einem Rechenzentrum, sodass eine Person, die nicht autorisierten Zugriff erhält, sie nicht lesen kann. Weitere Informationen finden Sie unter BitLocker: Bereitstellen auf Windows Server 2012 und höher