Transportentschlüsselung

  • Artikel

Gilt für: Exchange Server 2013

In Microsoft Exchange Server 2013, Microsoft Outlook 2010 und höher und Microsoft Office Outlook Web App können Benutzer die Verwaltung von Informationsrechten (IRM) verwenden, um ihre Nachrichten zu schützen. Sie können Outlook-Schutzregeln erstellen, um automatisch den IRM-Schutz auf Nachrichten anzuwenden, bevor sie von einem Outlook 2010-Client gesendet werden. Sie können außerdem Transportschutzregeln erstellen, um IRM-Schutz auf im Transport befindliche Nachrichten anzuwenden, auf die die Regelbedingungen zutreffen. Die Transportentschlüsselung ermöglicht Zugriff auf IRM-geschützte Nachrichten und Inhalte, um Messagingrichtlinien zu erzwingen.

Informationen zu Verwaltungsaufgaben im Zusammenhang mit der Verwaltung von IRM finden Sie unter Verfahren zur Verwaltung von Informationsrechten.

Einschränkungen für andere Verschlüsselungslösungen

Wenn Ihre Organisation vertrauliche Informationen schützen muss, einschließlich unternehmenskritischer Informationen (High Business Impact, HBI) und personenbezogener Informationen (Personally Identifiable Information, PII), sollten Sie E-Mail-Nachrichten und Anlagen möglicherweise verschlüsseln. E-Mail-Verschlüsselungslösungen wie S/MIME stehen schon seit langem zur Verfügung. Diese Verschlüsselungslösungen sind in unterschiedlichen Arten von Organisationen unterschiedlich stark im Einsatz. Solche Lösungen bringen jedoch die folgenden Herausforderungen mit sich:

  • Unfähigkeit, Messagingrichtlinien anzuwenden: Organisationen gelten auch mit Konformitätsanforderungen, die eine Überprüfung von Messaginginhalten erfordern, um sicherzustellen, dass sie den Messagingrichtlinien entsprechen. Nachrichten, die mit den meisten clientbasierten Verschlüsselungslösungen, einschließlich S/MIME, verschlüsselt wurden, verhindern jedoch die Inhaltsüberprüfung auf dem Server. Ohne Inhaltsüberprüfung kann eine Organisation nicht überprüfen, ob alle von ihren Benutzern gesendeten oder empfangenen Nachrichten den Messagingrichtlinien entsprechen. Um beispielsweise eine gesetzliche Vorschrift einzuhalten, haben Sie eine Transportregel konfiguriert, um personenbezogene Informationen wie eine Sozialversicherungsnummer zu erkennen und automatisch einen Haftungsausschluss auf die Nachricht anzuwenden. Wenn die Nachricht verschlüsselt ist, kann der Transportregel-Agent im Transportdienst nicht auf nachrichteninhalte zugreifen und wendet daher den Haftungsausschluss nicht an. Dies führt zu einem Verstoß gegen die Richtlinie.

  • Verringerte Sicherheit: Antivirensoftware kann verschlüsselte Nachrichteninhalte nicht überprüfen, was eine Organisation dem Risiko durch schädliche Inhalte wie Viren und Würmer weiter aussetzt. Verschlüsselte Nachrichten werden von den meisten Benutzern allgemein als vertrauenswürdig angesehen, wodurch die Wahrscheinlichkeit erhöht wird, dass sich ein Virus in Ihrer Organisation ausbreitet. Sie haben beispielsweise eine Outlook-Schutzregel so konfiguriert, dass der IRM-Schutz automatisch auf alle Nachrichten angewendet wird, die mit der RMS-Vorlage (Company Confidential Rights Management Service) an die Verteilerliste Alle Mitarbeiter gesendet werden. Die Arbeitsstation eines Benutzers ist mit einem Virus infiziert, der sich verbreitet, indem "Allen antworten" automatisch verwendet wird, um Nachrichten zu beantworten. Wenn die Nachricht, die den Virus trägt, verschlüsselt ist, kann der Antivirenscanner die Nachricht nicht scannen.

  • Auswirkungen auf benutzerdefinierte Transport-Agents: Viele Organisationen entwickeln benutzerdefinierte Transport-Agents für verschiedene Zwecke, z. B. die Erfüllung zusätzlicher Verarbeitungsanforderungen für Compliance, Sicherheit oder benutzerdefiniertes Nachrichtenrouting. Benutzerdefinierte Transport-Agents, die von einer Organisation entwickelt wurden, um Nachrichten zu untersuchen oder zu ändern, können keine verschlüsselten Nachrichten verarbeiten. Wenn die von Ihrer Organisation entwickelten benutzerdefinierten Transport-Agents nicht auf Nachrichteninhalte zugreifen können, hindert die Nachrichtenverschlüsselung Ihre Organisation möglicherweise am Erreichen der Ziele, für die die benutzerdefinierten Transport-Agents entwickelt wurden.

Verwenden der Transportentschlüsselung für verschlüsselte Inhalte

In Exchange 2013 kann diesen Herausforderungen mit IRM-Funktionen begegnet werden. Wenn Nachrichten IRM-geschützt sind, können diese während der Übermittlung über die Transportentschlüsselung entschlüsselt werden. IRM-geschützte Nachrichten werden vom Entschlüsselungs-Agent entschlüsselt, einem auf Richtlinientreue ausgelegten Transport-Agent.

Hinweis

In Exchange 2013 ist der Entschlüsselungs-Agent ein integrierter Agent. Integrierte Agents sind nicht in der Liste von Agents enthalten, die vom Cmdlet Get-TransportAgent zurückgegeben wird. Weitere Informationen finden Sie unter Transport-Agents.

Der Entschlüsselungs-Agent entschlüsselt die folgenden Arten IRM-geschützter Nachrichten:

  • Vom Benutzer in Outlook Web App IRM-geschützte Nachrichten.
  • Vom Benutzer in Outlook 2010 IRM-geschützte Nachrichten.
  • Automatisch über Outlook-Schutzregeln in Exchange 2013 und Outlook 2010 IRM-geschützte Nachrichten.

Wichtig

Nur Nachrichten, die durch den AD RMS-Server in Ihrer Organisation IRM-geschützt werden, werden vom Entschlüsselungs-Agent entschlüsselt.

Nachrichten, die während der Übertragung mit Transportschutzregeln geschützt werden, müssen nicht vom Entschlüsselungs-Agent entschlüsselt werden. Der Entschlüsselungs-Agent wird durch die Transportereignisse OnEndOfData und OnSubmit ausgelöst. Transportschutzregeln werden vom Agent für Transportregeln angewendet, der durch das Ereignis OnRoutedMessage ausgelöst wird, und der IRM-Schutz wird bei Eintreten des Ereignisses OnRoutedMessage vom Entschlüsselungs-Agent angewendet. Weitere Informationen zu Transport-Agents und eine Liste der SMTP-Ereignisse, für die sie registriert werden können, finden Sie unter Transport-Agents.

Die Transportentschlüsselung wird für den ersten Exchange 2013-Transportdienst ausgeführt, der eine Nachricht in einer Active Directory-Gesamtstruktur verarbeitet. Wenn eine Nachricht an einen Transportdienst in einer anderen Active Directory-Gesamtstruktur übertragen wird, wird die Nachricht erneut entschlüsselt. Nach der Entschlüsselung stehen nicht verschlüsselte Inhalte für andere Transport-Agents auf dem betreffenden Server zur Verfügung. Beispielsweise kann der Transportregel-Agent in einem Transportdienst Nachrichteninhalte untersuchen und Transportregeln anwenden. Alle in der Regel angegebenen Aktionen, z. B. das Anhängen eines Haftungsausschlusses oder jegliche sonstige Veränderung der Nachricht, können für die nicht verschlüsselte Nachricht durchgeführt werden. Transport-Agents von Drittanbietern, z. B. Antivirusscanner, können die Nachricht auf Viren und Schadsoftware überprüfen. Nachdem andere Transport-Agents die Nachricht untersucht und möglicherweise geändert haben, wird sie wieder mit denselben Benutzerrechten verschlüsselt, die sie vor der Entschlüsselung durch den Entschlüsselungs-Agent aufwies. Dieselbe Nachricht wird von einem anderen Transportdienst auf anderen Postfachservern in der Organisation nicht erneut entschlüsselt.

Vom Entschlüsselungs-Agent entschlüsselte Nachrichten verlassen den Transportdienst nicht, ohne erneut verschlüsselt zu werden. Wenn beim Entschlüsseln oder Verschlüsseln der Nachricht ein vorübergehender Fehler auftritt, versucht der Transportdienst zweimal, den Vorgang zu wiederholen. Nach dem dritten Fehlschlagen wird der Fehler als dauerhafter Fehler behandelt. Wenn ein dauerhafter Fehler auftritt - wobei auch vorübergehende Fehler nach zwei Wiederholungsversuchen als dauerhaft betrachtet werden -, geht der Transportdienst so vor:

  • Wenn der dauerhafte Fehler während der Entschlüsselung auftritt, wird ein Nichtzustellbarkeitsbericht (Non-Delivery Report, NDR) nur gesendet, wenn die Transportentschlüsselung auf Mandatoryfestgelegt ist und die verschlüsselte Nachricht mit dem NDR gesendet wird. Weitere Informationen zu den Konfigurationsoptionen, die für die Transportentschlüsselung verfügbar sind, finden Sie weiter unten in diesem Thema unter Konfigurieren der Transportentschlüsselung.

  • Wenn der dauerhafte Fehler während der erneuten Verschlüsselung auftritt, wird immer ein Unzustellbarkeitsbericht ohne die entschlüsselte Nachricht gesendet.

Wichtig

Alle benutzerdefinierten Agents oder Drittanbieter-Agents, die im Transportdienst installiert sind, haben Zugriff auf die entschlüsselte Nachricht. Sie müssen das Verhalten solcher Transport-Agents berücksichtigen. Wir empfehlen, alle benutzerdefinierten Agents und Drittanbieter-Agents gründlich zu testen, bevor Sie sie in einer Produktionsumgebung bereitstellen.

Wenn nach der Entschlüsselung einer Nachricht durch den Entschlüsselungs-Agent ein Transport-Agent eine neue Nachricht erstellt und die ursprüngliche Nachricht in die neue einbettet (an diese anhängt), wird nur die neue Nachricht geschützt. Die ursprüngliche Nachricht, die zu einer Anlage der neuen Nachricht wird, wird nicht erneut verschlüsselt. Ein Empfänger, der solch eine Nachricht erhält, kann die angehängte Nachricht öffnen und Aktionen ausführen, beispielsweise eine Weiterleitung oder eine Antwort auf die Nachricht, wodurch die Rechteerzwingung umgangen würde.

Konfigurieren der Transportentschlüsselung

Die Transportentschlüsselung wird in der Exchange-Verwaltungsshell mit dem Cmdlet Set-IRMConfiguration konfiguriert. Bevor Sie jedoch die Transportentschlüsselung konfigurieren, müssen Sie Exchange 2013-Servern die Rechte zum Entschlüsseln von Inhalten erteilen, die über Ihren AD RMS-Server geschützt werden. Dies erreichen Sie, indem Sie das Verbundpostfach zu der im AD RMS-Cluster Ihrer Organisation konfigurierten Benutzergruppe mit Administratorrechten hinzufügen.

Wichtig

In gesamtstrukturübergreifenden AD RMS-Bereitstellungen, in denen in jeder Gesamtstruktur ein AD RMS-Cluster vorhanden ist, müssen Sie das Verbundpostfach der Benutzergruppe mit Administratorrechten auf dem AD RMS-Cluster in jeder Gesamtstruktur hinzufügen, um dem Transportdienst auf einem Exchange 2013-Postfachserver oder einem Exchange 2010-Hub-Transport-Server das Entschlüsseln der geschützten Nachrichten für jeden AD RMS-Cluster zu ermöglichen.

Weitere Informationen finden Sie unter Hinzufügen des Verbundpostfachs zur AD RMS-Administratorengruppe.

Exchange 2013 bietet bei Aktivierung der Transportentschlüsselung zwei unterschiedliche Einstellungen an:

  • Obligatorisch: Wenn die Transportentschlüsselung auf Mandatoryfestgelegt ist, lehnt der Entschlüsselungs-Agent die Nachricht ab und gibt einen NDR an den Absender zurück, wenn beim Entschlüsseln einer Nachricht ein dauerhafter Fehler zurückgegeben wird. Wenn in Ihrer Organisation die Zustellung einer Nachricht nicht gewünscht ist, wenn sie nicht erfolgreich entschlüsselt werden kann und Aktionen wie Antivirusscans und Transportregeln nicht angewendet werden können, müssen Sie diese Einstellung auswählen.

  • Optional: Wenn die Transportentschlüsselung auf Optional festgelegt ist, verwendet der Entschlüsselungs-Agent einen Bestmöglichen Ansatz. Nachrichten, die entschlüsselt werden können, werden entschlüsselt; Nachrichten mit einem dauerhaften Fehler bei der Entschlüsselung werden jedoch ebenfalls zugestellt. Wenn in Ihrer Organisation die Nachrichtenzustellung eine höhere Priorität hat als die Einhaltung von Messagingrichtlinien, müssen Sie diese Einstellung verwenden.

Weitere Informationen zum Konfigurieren der Transportentschlüsselung finden Sie unter Aktivieren oder Deaktivieren der Transportentschlüsselung.