S/MIME für die Nachrichtensignatur und -verschlüsselung in Exchange Server
Gilt für: Exchange Server 2013
S/MIME (Secure/Multipurpose Internet Mail Extensions) ist eine weit verbreitete Methode (oder genauer gesagt ein Protokoll) zum Senden digital signierter und verschlüsselter Nachrichten. S/MIME ermöglicht Ihnen das Verschlüsseln und digitale Signieren von E-Mails. Wenn Sie S/MIME mit einer E-Mail-Nachricht verwenden, hilft es den Personen, die diese Nachricht erhalten, sicher zu sein, dass sie in ihrem Posteingang genau die Nachricht sehen, die mit dem Absender begonnen hat. Es hilft auch Personen, die Nachrichten empfangen, sicher zu sein, dass die Nachricht vom bestimmten Absender stammt und nicht von jemandem, der vorgibt, der Absender zu sein. Dafür bietet S/MIME kryptografische Sicherheitsdienste, wie Authentifizierung, Nachrichtenintegrität und Ursprungszulassung (anhand von digitalen Signaturen). Es trägt auch dazu bei, den Datenschutz und die Datensicherheit (mithilfe von Verschlüsselung) für elektronische Nachrichten zu verbessern. Genauere Hintergrundinformationen zur Geschichte und Architektur von S/MIME im Kontext von E-Mails finden Sie unter Informationen zu S/MIME.
Als Exchange-Administrator können Sie die S/MIME-basierte Sicherheit für die Postfächer in Ihrer Organisation aktivieren. Verwenden Sie die Anleitungen in den hier verlinkten Themen zusammen mit der Exchange-Verwaltungsshell, um S/MIME einzurichten. Um S/MIME in unterstützten E-Mail-Clients verwenden zu können, müssen die Benutzer in Ihrer Organisation Zertifikate für Signierungs- und Verschlüsselungszwecke ausgestellt haben und Daten in Ihrem lokalen Active Directory Domain Service (AD DS) veröffentlicht haben. Ihr AD DS muss sich auf Computern an einem physischen Standort befinden, den Sie steuern, und nicht an einer Remoteeinrichtung oder einem cloudbasierten Dienst irgendwo im Internet. Weitere Informationen über AD DS finden Sie unter Active Directory-Domänendienste.
Unterstützte Szenarien und technische Überlegungen
Sie können S/MIME für alle der folgenden Endpunkte einrichten:
Outlook 2010 oder höher
Outlook Web App (OWA)
Exchange ActiveSync (EAS)
Die Schritte, die Sie zum Einrichten von S/MIME mit jedem dieser Endpunkte ausführen, unterscheiden sich geringfügig. Im Allgemeinen müssen Sie die folgenden Schritte ausführen:
Installieren Sie eine Windows-basierte Zertifizierungsstelle, und richten Sie eine öffentliche Schlüsselinfrastruktur zum Ausstellen von S/MIME-Zertifikaten ein. Zertifikate, die von Drittanbietern ausgestellt wurden, werden ebenfalls unterstützt. Details finden Sie unter Active Directory-Zertifikatdienste: Übersicht.
Veröffentlichen Sie das Benutzerzertifikat in einem lokalen AD DS-Konto in den Attributen UserSMIMECertificate und/oder UserCertificate .
Richten Sie eine virtuelle Zertifikatauflistung zum Validieren von S/MIME ein. Diese Informationen werden von OWA verwendet, um die Signatur einer E-Mail zu überprüfen und sicherzustellen, dass sie von einem vertrauenswürdigen Zertifikat signiert wurde.
Richten Sie den Outlook- oder EAS-Endpunkt für die Verwendung von S/MIME ein.
Einrichten von S/MIME mit Outlook Web App
Das Einrichten von S/MIME mit OWA umfasst die folgenden wichtigen Schritte:
Konfigurieren von S/MIME-Einstellungen in Exchange Server für Outlook Web App
Einrichten einer sammlung virtueller Zertifikate in Exchange Server zum Überprüfen von S/MIME
Zugehörige Nachrichten-Verschlüsselungstechnologien
Da die Nachrichtensicherheit immer wichtiger wird, müssen Administratoren die Prinzipien und Konzepte des sicheren Messagings verstehen. Dieses Verständnis ist besonders wichtig, da immer mehr schutzbezogene Technologien (einschließlich S/MIME) verfügbar sind. Weitere Informationen zu S/MIME und seiner Funktionsweise im Kontext von E-Mails finden Sie unter Grundlegendes zu S/MIME. Eine Vielzahl von Verschlüsselungstechnologien arbeitet zusammen, um Schutz für ruhende und übertragene Nachrichten zu bieten. S/MIME kann gleichzeitig mit den folgenden Technologien arbeiten, ist aber nicht von ihnen abhängig:
Transport Layer Security (TLS) verschlüsselt den Tunnel oder die Route zwischen E-Mail-Servern, um Snooping und Lauschangriffe zu verhindern.
Secure Sockets Layer (SSL) verschlüsselt die Verbindung zwischen E-Mail-Clients und Microsoft 365- oder Office 365-Servern.
BitLocker verschlüsselt die Daten auf einer Festplatte in einem Rechenzentrum, sodass jemand, der nicht autorisierten Zugriff erhält, sie nicht lesen kann.
S/MIME im Vergleich zur Nachrichtenverschlüsselung
Für S/MIME ist eine Infrastruktur für Zertifikate und Veröffentlichungen erforderlich, die häufig in B2B(Business-to-Business)- und B2C(Business-to-Customer)-Situationen verwendet wird. Der Benutzer steuert die kryptografischen Schlüssel in S/MIME und kann wählen, ob sie für jede versendete Nachricht verwendet werden sollen. E-Mail-Programme wie Outlook suchen nach dem Ort einer vertrauenswürdigen Stammzertifizierungsstelle, um eine digitale Signatur vorzunehmen und diese Signatur zu überprüfen. Die Nachrichtenverschlüsselung ist ein richtlinienbasierter Verschlüsselungsdienst, der von einem Administrator und nicht von einem einzelnen Benutzer konfiguriert werden kann, um E-Mails zu verschlüsseln, die an personen innerhalb oder außerhalb der Organisation gesendet werden. Es handelt sich um einen Onlinedienst, der auf Azure Rights Management (RMS) basiert und nicht auf einer Public Key-Infrastruktur basiert. Die Nachrichtenverschlüsselung bietet auch zusätzliche Funktionen, z. B. die Möglichkeit, die E-Mail an die Marke der Organisation anzupassen. Weitere Informationen zur Nachrichtenverschlüsselung finden Sie unter Verschlüsselung.