Verwalten von S/MIME für Outlook Web Access

Exchange 2003-Wertname und -typ

CheckCRL (DWORD)

Beschreibung

Wenn beim Senden einer signierten oder verschlüsselten E-Mail-Nachricht ein Verteiler für Zertifikatssperrlisten (CRL, Certificate Revocation List) in der Zertifikatkette eines Absenders während der Überprüfung der Sperrung nicht verfügbar ist, wird von Outlook Web Access in der Standardeinstellung in einem Dialogfeld darauf hingewiesen, dass das Zertifikat nicht überprüft werden kann. Die E-Mail-Nachricht kann jedoch gesendet werden.

Wenn CheckCRLonSend auf true festgelegt ist und beim Senden einer signierten oder verschlüsselten E-Mail-Nachricht ein CDP während der Überprüfung der Sperrung nicht verfügbar ist, wird von Outlook Web Access ein Fehler angegeben und verhindert, dass die E-Mail-Nachricht gesendet wird.

Exchange 2003-Wertname und -typ

DLExpansionTimeout (DWORD)

Beschreibung

Dieses Attribut steuert, wie lange Outlook Web Access in Millisekunden wartet, bis eine Verteilerliste in Active Directory aufgegliedert wurde, wenn verschlüsselte E-Mail-Nachrichten gesendet werden, bevor ein Fehler des Vorgangs auftritt.

Wenn verschlüsselte E-Mail-Nachrichten an eine Verteilerliste gesendet werden, muss Outlook Web Access die Verteilerliste aufgliedern, um das Verschlüsselungszertifikat jedes einzelnen Empfängers für den Verschlüsselungsvorgang abzurufen. Die dafür erforderliche Zeit ist von der Größe der Verteilerliste und der Leistung der zugrunde liegenden Active Directory-Infrastruktur abhängig. Während der Erweiterung der Verteilerliste erhält der Absender keine Rückmeldung von Outlook Web Access. Durch dieses Attribut wird festgelegt, wie lange Outlook Web Access auf die Aufgliederung der gesamten Verteilerliste wartet. Wird der Vorgang nicht innerhalb der durch diesen Wert angegebenen Zeit abgeschlossen, tritt ein Fehler für den Vorgang auf, und die E-Mail-Nachricht wird nicht gesendet. Der Absender gelangt zurück zum Entwurfsformular, das eine Informationsleiste mit der folgenden Fehlermeldung enthält:

Die Aktion konnte nicht abgeschlossen werden. Versuchen Sie es erneut. Wenden Sie sich an den technischen Support für Ihre Organisation, wenn das Problem weiterhin besteht.

Exchange 2003-Wertname und -typ

CertMatchingDoNotUseProxies (DWORD)

Beschreibung

Beim Senden von verschlüsselten E-Mail-Nachrichten versucht Outlook Web Access, das richtige Zertifikat für den Empfänger in Active Directory zu finden. Die Werte für den Inhaber des Zertifikats oder für alternative Namen können eine SMTP-Adresse (Simple Mail Transfer Protocol) als Wert enthalten. Da ein Empfänger über mehrere SMTP-Proxyadressen im Verzeichnis verfügen kann, stimmen der Antragsteller des Zertifikats oder die alternativen Namen ggf. nicht mit der primären SMTP-Adresse überein. Möglicherweise stimmen sie stattdessen mit einer der Proxyadressen überein.

Wenn UseSecondaryProxiesWhenFindingCertificates auf true festgelegt ist, akzeptiert Outlook Web Access Zertifikate, die nicht mit der primären SMTP-Adresse des Empfängers übereinstimmen, als gültig. Wenn UseSecondaryProxiesWhenFindingCertificates auf false festgelegt ist, akzeptiert Outlook Web Access nur Zertifikate, die mit der primären SMTP-Adresse des Empfängers übereinstimmen, als gültig.

Exchange 2003-Wertname und -typ

RevocationURLRetrievalTimeout (DWORD)

Beschreibung

Der CRL-Verbindungstimeout gibt die Zeit in Millisekunden an, die Outlook Web Access beim Herstellen einer Verbindung wartet, um im Rahmen der Zertifikatsüberprüfung eine einzelne CRL (Certificate Revocation List, Zertifikatsperrliste) abzurufen.

Zum Überprüfen eines Zertifikats muss die CRL der Zertifizierungsstelle (CA, Certification Authority) von einem CRL-Verteilerpunkt abgerufen werden, der innerhalb des Zertifikats angegeben ist. Dieser Vorgang muss für jedes Zertifikat in der gesamten Zertifikatkette vorgenommen werden.

Wenn mehrere CRLs abgerufen werden müssen, gilt dieser Schlüssel für jede Verbindung. Wenn beispielsweise drei CRLs abgerufen werden sollen und CRLConnectionTimeout auf 60 Sekunden festgelegt ist, gilt für jeden CRL-Abrufvorgang ein Timeoutgrenzwert von 60 Sekunden. Wenn die CRL nicht innerhalb des angegebenen Timeoutgrenzwerts abgerufen werden kann, tritt ein Fehler für den Vorgang auf. Wenn CRLConnectionTimeout aus weniger als 5.000 festgelegt ist, wird der Standardwert (60.000) verwendet. Wenn CRLConnectionTimeout aus den Höchstwert (2.147.483.647) festgelegt ist, findet kein Timeout der Verbindung statt.

Exchange 2003-Wertname und -typ

CertURLRetrievalTimeout (DWORD)

Beschreibung

Dieses Attribut ähnelt dem CRL-Verbindungstimeout. Hier wird jedoch die Zeit in Millisekunden festgelegt, die Outlook Web Access beim Herstellen der Verbindung wartet, um für die Überprüfung des Zertifikats alle CRLs abzurufen. Wenn nicht alle CRLs innerhalb des angegebenen Timeoutgrenzwerts abgerufen werden können, tritt ein Fehler für den Vorgang auf.

Für die Einstellung dieses Wertes ist es wichtig, dass beim Vorgang einer Zertifikatsüberprüfung der CRL-Verbindungstimeout auf jeden einzelnen CRL-Abrufvorgang sowie auf den gesamten Vorgang des Abrufs aller CRLs angewendet wird. Wenn beispielsweise drei CRLs abgerufen werden müssen und der Wert CRLConnectionTimeout auf 60 Sekunden und der Wert CRLRetrievalTimeout auf 120 Sekunden festgelegt werden, gilt für jeden einzelnen CRL-Abrufvorgang ein Timeoutwert von 60 Sekunden und für den gesamten Vorgang ein Timeoutwert von 120 Sekunden. Wenn in diesem Beispiel einer der CRL-Abrufvorgänge länger als 60 Sekunden dauert, tritt ein Fehler für den Vorgang auf. Wenn alle CRL-Abrufvorgänge zusammen mehr als 120 Sekunden dauern, tritt ebenfalls ein Fehler für den Vorgang auf.

Exchange 2003-Wertname und -typ

DisableCRLCheck (DWORD)

Beschreibung

Wenn DisableCRLCheck auf true festgelegt wird, wird die Überprüfung von CRLs (Certificate Revocation Lists, Zertifikatsperrlisten) verhindert, während die Zertifikate überprüft werden. Wenn Sie die CRL-Überprüfung deaktivieren, kann die Überprüfung der Signaturen signierter E-Mail-Nachrichten ggf. länger dauern. Auch werden widerrufene E-Mail-Nachrichten, die mit widerrufenen Zertifikaten signiert sind, als gültig anstatt als ungültig angezeigt.

Exchange 2003-Wertname und -typ

AlwaysSign (DWORD)

Beschreibung

Wenn AlwaysSign auf true festgelegt ist, müssen E-Mail-Nachrichten beim Verwenden von Outlook Web Access mit dem S/MIME-Steuerelement vom Benutzer signiert werden. Außerdem zeigen die Seite Optionen und das Dialogfeld Nachrichtenoptionen die Option Signierte E-Mail senden als aktiviert an.

Exchange 2003-Wertname und -typ

AlwaysEncrypt (DWORD)

Beschreibung

Wenn AlwaysEncrypt auf true festgelegt ist, müssen E-Mail-Nachrichten beim Verwenden von Outlook Web Access mit dem S/MIME-Steuerelement vom Benutzer verschlüsselt werden. Außerdem zeigen die Seite Optionen und das Dialogfeld Nachrichtenoptionen die Option Verschlüsselte E-Mail senden als aktiviert an.

Exchange 2003-Wertname und -typ

ClearSign (DWORD)

Beschreibung

Wenn ClearSign auf true festgelegt ist, muss jede von Outlook Web Access gesendete digital signierte E-Mail-Nachricht unverschlüsselt signiert sein. Die Standardeinstellung für dieses Attribut ist true. Wird dieser Wert auf false festgelegt, wird von Outlook Web Access eine verschlüsselte Signatur verwendet. Unverschlüsselt signierte E-Mails sind größer als verschlüsselt signierte Signaturen, können jedoch mit den meisten E-Mail-Clients geöffnet und gelesen werden – auch von solchen, die S/MIME nicht unterstützen.

Exchange 2003-Wertname und -typ

SecurityFlags (Wert 0x001)

Beschreibung

In der Standardeinstellung bindet Outlook Web Access beim Senden von signierten oder verschlüsselten E-Mail-Nachrichten nur Signatur- und Verschlüsselungszertifikate und nicht die entsprechenden Zertifikatketten ein. Diese Option kann für die Zusammenarbeit mit anderen Clients oder in einer Umgebung erforderlich sein, in der Zwischenzertifizierungsstellen weder mithilfe des Attributs Authority Information Access noch durch das Festlegen der Zwischenzertifizierungsstelle im Computerkonto des Exchange 2007-Postfachservers als vertrauenswürdig erreicht werden können. Wenn IncludeCertificateChainWithoutRootCertificate auf true festgelegt wird, enthalten signierte oder verschlüsselte E-Mail-Nachrichten die vollständige Zertifikatkette mit Ausnahme des Stammzertifikats.

Durch diese Einstellung wird die Größe signierter und verschlüsselter Nachrichten erhöht.

Exchange 2003-Wertname und -typ

SecurityFlags (Wert 0x002)

Beschreibung

Die Option zum Einschließen der Zertifikatkette und des Stammzertifikats ähnelt der Option zum Einschließen der Zertifikatkette ohne das Stammzertifikat. Wenn dieses Attribut jedoch auf true festgelegt wird, werden das Stammzertifikat und die vollständige Zertifikatkette eingeschlossen.

Wenn IncludeCertificateChainAndRootCertificate auf true festgelegt wird, werden signierte und verschlüsselte Nachrichten größer als mit der Option IncludeCertificateChainWithoutRootCertificate.

Exchange 2003-Wertname und -typ

SecurityFlags (Wert 0x004)

Beschreibung

Standardmäßig werden alle clientseitigen Puffer, in denen Nachrichtendaten gespeichert werden, mithilfe eines temporären Schlüssels und des 3DES-Algorithmus verschlüsselt. Diese Einstellung kann zum Aktivieren bzw. Deaktivieren der Verschlüsselung der temporären Puffer verwendet werden. Wenn Sie die Verschlüsselung der Puffer deaktivieren, kann dies die Leistung des Outlook Web Access-Clients steigern. Die Informationen im Puffer des lokalen Systems sind in diesem Fall jedoch unverschlüsselt. Bevor Sie dieses Feature deaktivieren, ziehen Sie die Sicherheitsrichtlinie Ihrer Organisation zu Rate.

Exchange 2003-Wertname und -typ

SecurityFlags (Wert 0x008)

Beschreibung

In der Standardeinstellung schließt Outlook Web Access mit installiertem S/MIME-Steuerelement in signierten E-Mail-Nachrichten sowohl Signatur- als auch Verschlüsselungszertifikate ein. Wenn Sie diese Einstellung deaktivieren, indem Sie SignedEmailCertificateInclusion auf false festlegen, verringert sich die Größe der von Outlook Web Access mit dem S/MIME-Steuerelement gesendeten Nachrichten. Der Empfänger hat jedoch in der erhaltenen Nachricht keinen Zugriff auf das Verschlüsselungszertifikat des Absenders und muss dieses auf anderem Wege abrufen. Dies ist aus einem Verzeichnis oder direkt vom Absender möglich.

Exchange 2003-Wertname und -typ

SecurityFlags (Werte 0x040, 0x080)

Beschreibung

Standardmäßig übermittelt Outlook Web Access eine separate verschlüsselte Nachricht für jeden Empfänger in der Zeile Bcc einer verschlüsselten Nachricht. Diese Option bietet die höchste Sicherheit für Bcc-Empfänger einer verschlüsselten Nachricht. Indem Sie den Wert von BCCEncryptedEmailForking ändern, muss Outlook Web Access eine einzelne verschlüsselte Nachricht für alle Bcc-Empfänger oder eine verschlüsselte Nachricht ohne eine separate Nachricht für jeden Bcc-Empfänger erstellen. 

Exchange 2003-Wertname und -typ

SecurityFlags (Wert 0x100)

Beschreibung

Wenn IncludeSMIMECapabilitiesInMessage auf true festgelegt wird, fügt Outlook Web Access ausgehenden signierten und verschlüsselten Nachrichten Attribute hinzu, die angeben, welche Verschlüsselungs- und Signierungsalgorithmen und Schlüssellängen unterstützt werden.

Wenn Sie dieses Attribut aktivieren, steigt die Größe von Nachrichten an. Durch die Aktivierung kann jedoch die Zusammenarbeit mit Outlook Web Access für einige E-Mail-Clients vereinfacht werden.

Exchange 2003-Wertname und -typ

SecurityFlags (Wert 0x200)

Beschreibung

Wenn CopyRecipientHeaders auf true festgelegt ist, wird eine Kopie der Empfängerkopfzeilen From, To und Cc in den signierten Teil der Nachricht eingeschlossen. Anhand dieser Information kann der Empfänger überprüfen, ob die Kopfzeilen während des Sendens der Nachricht manipuliert wurden. Mit dem Aktivieren dieser Funktion wird die Größe der Nachricht erhöht.

Exchange 2003-Wertname und -typ

SmartCardOnly (DWORD)

Beschreibung

Wenn OnlyUseSmartCard auf true festgelegt ist, müssen zum Signieren und Verschlüsseln auf Smartcard basierende Zertifikate verwendet werden, wenn Sie Outlook Web Access zusammen mit dem S/MIME-Steuerelement einsetzen. Benutzer können keine Zertifikate verwenden, die sich nicht auf einer Smartcard befinden.

Exchange 2003-Wertname und -typ

TripleWrap (DWORD)

Beschreibung

Wenn TripleWrapSignedEncryptedMail auf true festgelegt ist, werden digital signierte verschlüsselte Nachrichten dreifach verschlüsselt ("triple-wrapped"). Wenn eine Nachricht dreifach verschlüsselt ist, wird die digital signierte Nachricht zuerst verschlüsselt, dann wird die verschlüsselte Nachricht digital signiert. Wenn das Attribut auf false festgelegt ist, wird die signierte Nachricht lediglich verschlüsselt, und es findet keine zusätzliche digitale Signierung der verschlüsselten Nachricht statt. In der Standardeinstellung ist dieses Attribut auf true festgelegt. Dreifach verschlüsselte Nachrichten bieten die höchste Sicherheit für digital signierte und verschlüsselte E-Mail-Nachrichten gemäß dem S/MIME-Standard, sind jedoch auch größer als Nachrichten, die nicht dreifach verschlüsselt sind.

Exchange 2003-Wertname und -typ

UseKeyIdentifier (DWORD)

Beschreibung

Beim Verschlüsseln von E-Mail-Nachrichten kodiert Outlook Web Access standardmäßig die Lockbox, in der das asymmetrisch verschlüsselte Token gespeichert wird, das für das Entschlüsseln der restlichen Nachricht erforderlich ist. Die Lockbox wird durch Angeben des Ausstellers und der Seriennummer des Zertifikats jedes Empfängers kodiert. Dies Angaben können anschließend für die Erkennung des Zertifikats und des privaten Schlüssels zum Entschlüsseln der Nachricht verwendet werden.

Eine weitere Möglichkeit für die Erkennung des Zertifikats und des privaten Schlüssels zum Entschlüsseln von Nachrichten besteht darin, die Schlüssel-ID eines Zertifikats zu verwenden, indem UseKeyIdentifier auf true festgelegt wird. Da ein Schlüsselpaar in neuen Zertifikaten erneut verwendet werden kann, müssen Benutzer durch die Verwendung der Schlüssel-ID für verschlüsselte E-Mail-Nachrichten lediglich das aktuelle Zertifikat mit dem zugehörigen privaten Schlüssel aufbewahren. Es ist nicht erforderlich, alle alten Zertifikate aufzubewahren, die nur aufgrund von Aussteller und Seriennummer verglichen werden können.

Da einige E-Mail-Clients die Suche nach Zertifikaten über eine Schlüssel-ID nicht unterstützen, verwendet Outlook Web Access standardmäßig den Aussteller und die Seriennummer jedes Empfängerzertifikats. Durch das Aktivieren dieses Features wird die Verwaltung verschlüsselter Nachrichten jedoch möglicherweise vereinfacht, da die Benutzer alte, abgelaufene Zertifikate nicht mehr auf dem System aufbewahren müssen.

Exchange 2003-Wertname und -typ

EncryptionAlgorithms (Reg_SZ)

Beschreibung

Outlook Web Access versucht, den stärksten Algorithmus mit dem längsten verfügbaren Schlüssel auf dem Computer des Benutzers zu verwenden. Wenn der Verschlüsselungsalgorithmus oder die minimale Schlüssellänge auf dem Computer des Benutzers nicht verfügbar ist, erlaubt Outlook Web Access keine Verschlüsselung.

Exchange 2003-Wertname und -typ

DefaultSigningAlgorithm (reg_SZ)

Beschreibung

Dieses Attribut gibt den zu verwendenden Signaturalgorithmus an, der zum digitalen Signieren von Nachrichten mit Outlook Web Access mit dem S/MIME-Steuerelement verwendet wird.

Exchange 2003-Wertname und -typ

Nicht verfügbar. Dieses Feature ist neu in Exchange 2007.

Beschreibung

Wenn ForceSMIMEClientUpgrade auf true festgelegt und die Clientsteuerungsversion auf dem Computer des Benutzers älter als die Version auf dem Server ist, muss der Benutzer das neue Steuerelement herunterladen und installieren, bevor er mit der Verwendung von S/MIME-Lese- oder -Entwurfsformularen fortfahren kann. Wenn dieser Wert auf false festgelegt ist, erhält der Benutzer eine Warnung, wenn das S/MIME-Steuerelement auf seinem Computer älter als die Version auf dem Server ist. Er kann jedoch S/MIME auch weiterhin verwenden, ohne das Steuerelement aktualisieren zu müssen.