Verwalten von S/MIME für Outlook Web App

Exchange 2010-Wertname und -typ

CheckCRLOnSend (DWORD)

Exchange 2003-Wertname und -typ

CheckCRL (DWORD)

Erklärung

Wenn beim Senden einer signierten oder verschlüsselten E-Mail-Nachricht während der Überprüfung auf Sperren auf einen Verteilungspunkt für Zertifikatssperrlisten (Certificate Revocation List, CRL) in der Zertifikatkette nicht zugegriffen werden kann, weist Outlook Web App standardmäßig in einem Dialogfeld darauf hin, dass das Zertifikat nicht überprüft werden kann. Die E-Mail-Nachricht kann jedoch gesendet werden.

Wenn CheckCRLonSend auf "true" festgelegt ist und beim Senden einer signierten oder verschlüsselten E-Mail-Nachricht während der Überprüfung auf Sperren kein Zugriff auf einen CRL-Verteilungspunkt in der Zertifikatkette möglich ist, gibt Outlook Web App einen Fehler aus und verhindert, dass die E-Mail-Nachricht gesendet wird.

Exchange 2010-Wertname und -typ

DLExpansionTimeout (DWORD)

Exchange 2003-Wertname und -typ

DLExpansionTimeout (DWORD)

Erklärung

Über dieses Attribut wird festgelegt, wie lange (in Millisekunden) Outlook Web App beim Senden einer verschlüsselten E-Mail-Nachricht wartet, bis eine Verteilerliste in Active Directory aufgegliedert wurde, bevor der Vorgang fehlschlägt.

Wenn verschlüsselte E-Mail-Nachrichten an eine Verteilerliste gesendet werden, muss Outlook Web App die Verteilerliste aufgliedern, um das Verschlüsselungszertifikat der einzelnen Empfänger für den Verschlüsselungsvorgang abzurufen. Die dafür erforderliche Zeit hängt von der Größe der Verteilerliste und der Leistung der zugrunde liegenden Active Directory-Infrastruktur ab. Während der Erweiterung der Verteilerliste erhält der Absender keine Rückmeldung von Outlook Web App. Über dieses Attribut wird festgelegt, wie lange Outlook Web App auf die Aufgliederung der gesamten Verteilerliste wartet. Wird der Vorgang nicht innerhalb der durch diesen Wert angegebenen Zeit abgeschlossen, schlägt der Vorgang fehl und die E-Mail-Nachricht wird nicht gesendet. Der Absender gelangt zum Entwurfsformular zurück, das eine Informationsleiste mit der folgenden Fehlermeldung enthält:

Die Aktion konnte nicht abgeschlossen werden. Versuchen Sie es erneut. Wenden Sie sich an den technischen Support für Ihre Organisation, wenn das Problem weiterhin besteht.

Exchange 2010-Wertname und -typ

UseSecondaryProxiesWhenFindingCertificates (DWORD)

Exchange 2003-Wertname und -typ

CertMatchingDoNotUseProxies (DWORD)

Erklärung

Beim Senden von verschlüsselten E-Mail-Nachrichten versucht Outlook Web App, in Active Directory das richtige Zertifikat für den Empfänger zu finden. Die Werte für den Inhaber des Zertifikats oder für alternative Namen können eine SMTP-Adresse (Simple Mail Transfer Protocol) als Wert enthalten. Da ein Empfänger über mehrere SMTP-Proxyadressen im Verzeichnis verfügen kann, stimmen der Antragsteller des Zertifikats oder die alternativen Namen ggf. nicht mit der primären SMTP-Adresse überein. Möglicherweise stimmen sie stattdessen mit einer der Proxyadressen überein.

Wenn UseSecondaryProxiesWhenFindingCertificates auf "true" festgelegt ist, akzeptiert Outlook Web App Zertifikate, die nicht mit der primären SMTP-Adresse des Empfängers übereinstimmen. Wenn UseSecondaryProxiesWhenFindingCertificates auf "false" festgelegt ist, akzeptiert Outlook Web App nur die Zertifikate, die mit der primären SMTP-Adresse des Empfängers übereinstimmen.

Exchange 2010-Wertname und -typ

CRLConnectionTimeout (DWORD)

Exchange 2003-Wertname und -typ

RevocationURLRetrievalTimeout (DWORD)

Erklärung

Das CRL-Verbindungstimeout gibt die Zeit in Millisekunden an, die Outlook Web App beim Herstellen einer Verbindung wartet, um bei einer Zertifikatsüberprüfung eine einzelne Zertifikatsperrliste (CRL) abzurufen.

Zum Überprüfen eines Zertifikats muss die CRL der Zertifizierungsstelle (CA) von einem CRL-Verteilungspunkt abgerufen werden, der im Zertifikat angegeben ist. Dieser Vorgang muss für jedes Zertifikat in der gesamten Zertifikatkette vorgenommen werden.

Wenn mehrere CRLs abgerufen werden müssen, gilt dieser Schlüssel für jede Verbindung. Wenn beispielsweise drei CRLs abgerufen werden sollen und CRLConnectionTimeout auf 60 Sekunden festgelegt ist, gilt für jeden CRL-Abruf ein Timeoutgrenzwert von 60 Sekunden. Wenn die CRL nicht innerhalb des angegebenen Timeoutgrenzwerts abgerufen werden kann, schlägt der Vorgang fehl. Wenn für CRLConnectionTimeout ein Wert von weniger als 5.000 festgelegt ist, wird der Standardwert (60.000) verwendet. Wenn für CRLConnectionTimeout der Höchstwert (2.147.483.647) festgelegt ist, findet kein Timeout der Verbindung statt.

Exchange 2010-Wertname und -typ

CRLRetrievalTimeout (DWORD)

Exchange 2003-Wertname und -typ

CertURLRetrievalTimeout (DWORD)

Erklärung

Dieses Attribut ähnelt dem CRL-Verbindungstimeout. Hier wird jedoch die Zeit in Millisekunden festgelegt, die Outlook Web App beim Herstellen der Verbindung wartet, um für die Überprüfung des Zertifikats alle CRLs abzurufen. Wenn nicht alle CRLs innerhalb des angegebenen Timeoutgrenzwerts abgerufen werden können, schlägt der Vorgang fehl.

Für die Einstellung dieses Werts ist es wichtig, dass bei einer Zertifikatsüberprüfung das CRL-Verbindungstimeout für jeden einzelnen CRL-Abrufvorgang sowie für den gesamten Abrufvorgang aller CRLs gilt. Wenn beispielsweise drei CRLs abgerufen werden müssen und der Wert CRLConnectionTimeout auf 60 Sekunden und der Wert CRLRetrievalTimeout auf 120 Sekunden festgelegt ist, gilt für jeden einzelnen CRL-Abrufvorgang ein Timeoutwert von 60 Sekunden und für den gesamten Vorgang ein Timeoutwert von 120 Sekunden. Wenn in diesem Beispiel einer der CRL-Abrufvorgänge länger als 60 Sekunden dauert, schlägt der Vorgang fehl. Wenn alle CRL-Abrufvorgänge zusammen mehr als 120 Sekunden dauern, schlägt der Vorgang ebenfalls fehl.

Exchange 2010-Wertname und -typ

DisableCRLCheck (DWORD)

Exchange 2003-Wertname und -typ

DisableCRLCheck (DWORD)

Erklärung

Wenn DisableCRLCheck auf "true" festgelegt wird, wird die Überprüfung von CRLs bei der Überprüfung der Zertifikate verhindert. Wenn Sie die CRL-Überprüfung deaktivieren, kann die Überprüfung der Signaturen signierter E-Mail-Nachrichten ggf. länger dauern. Auch werden widerrufene E-Mail-Nachrichten, die mit widerrufenen Zertifikaten signiert sind, als gültig anstatt als ungültig angezeigt.

Exchange 2010-Wertname und -typ

AlwaysSign (DWORD)

Exchange 2003-Wertname und -typ

AlwaysSign (DWORD)

Erklärung

Wenn AlwaysSign auf "true" festgelegt ist, müssen E-Mail-Nachrichten bei der Verwendung von Outlook Web App mit dem S/MIME-Steuerelement vom Benutzer digital signiert werden. Außerdem wird die Option "Signierte E-Mail senden" auf der Seite "Optionen" und im Dialogfeld "Nachrichtenoptionen" als aktiviert angezeigt.

Exchange 2010-Wertname und -typ

AlwaysEncrypt (DWORD)

Exchange 2003-Wertname und -typ

AlwaysEncrypt (DWORD)

Erklärung

Wenn AlwaysEncrypt auf "true" festgelegt ist, müssen E-Mail-Nachrichten bei der Verwendung von Outlook Web App mit dem S/MIME-Steuerelement vom Benutzer verschlüsselt werden. Außerdem wird die Option "Verschlüsselte E-Mail" auf der Seite "Optionen" und im Dialogfeld "Nachrichtenoptionen" als aktiviert angezeigt.

Exchange 2010-Wertname und -typ

ClearSign (DWORD)

Exchange 2003-Wertname und -typ

ClearSign (DWORD)

Erklärung

Wenn ClearSign auf "true" festgelegt ist, muss jede von Outlook Web App gesendete digital signierte E-Mail-Nachricht transparent signiert sein. Die Standardeinstellung für dieses Attribut ist "true". Wird dieser Wert auf "false" festgelegt, wird von Outlook Web App eine nicht transparente Signatur verwendet. Transparent signierte E-Mails sind größer als nicht-transparent signierte Signaturen, können jedoch mit den meisten E-Mail-Clients geöffnet und gelesen werden – auch von solchen, die S/MIME nicht unterstützen.

Exchange 2010-Wertname und -typ

IncludeCertificateChainWithoutRootCertificate (DWORD)

Exchange 2003-Wertname und -typ

SecurityFlags (Wert 0x001)

Erklärung

In der Standardeinstellung bindet Outlook Web App beim Senden von signierten oder verschlüsselten E-Mail-Nachrichten nur Signatur- und Verschlüsselungszertifikate und nicht die entsprechenden Zertifikatketten ein. Diese Option kann für die Zusammenarbeit mit anderen Clients oder in einer Umgebung erforderlich sein, in der Zwischenzertifizierungsstellen weder mithilfe des Attributs Authority Information Access noch durch das Festlegen der Zwischenzertifizierungsstelle im Computerkonto des Exchange 2010-Postfachservers als "vertrauenswürdig" eingestuft werden können. Wenn IncludeCertificateChainWithoutRootCertificate auf "true" festgelegt wird, enthalten signierte oder verschlüsselte E-Mail-Nachrichten die vollständige Zertifikatkette mit Ausnahme des Stammzertifikats.

Durch diese Einstellung werden signierte und verschlüsselte Nachrichten größer.

Exchange 2010-Wertname und -typ

IncludeCertificateChainAndRootCertificate (DWORD)

Exchange 2003-Wertname und -typ

SecurityFlags (Wert 0x002)

Erklärung

Die Option zum Einschließen der Zertifikatkette und des Stammzertifikats ähnelt der Option zum Einschließen der Zertifikatkette ohne das Stammzertifikat. Wenn dieses Attribut jedoch auf "true" festgelegt wird, werden das Stammzertifikat und die vollständige Zertifikatkette eingefügt.

Wenn IncludeCertificateChainAndRootCertificate auf "true" festgelegt wird, werden signierte und verschlüsselte Nachrichten größer als mit der Option IncludeCertificateChainWithoutRootCertificate.

Exchange 2010-Wertname und -typ

EncryptTemporaryBuffers (DWORD)

Exchange 2003-Wertname und -typ

SecurityFlags (Wert 0x004)

Erklärung

Standardmäßig werden alle clientseitigen temporären Puffer, in denen Nachrichtendaten gespeichert werden, mithilfe eines temporären Schlüssels und des 3DES-Algorithmus verschlüsselt. Diese Einstellung kann zum Aktivieren bzw. Deaktivieren der Verschlüsselung der temporären Puffer verwendet werden. Wenn Sie die Verschlüsselung der Puffer deaktivieren, kann dies die Leistung des Outlook Web App-Clients steigern. Die Informationen im Puffer des lokalen Systems sind in diesem Fall jedoch unverschlüsselt. Bevor Sie diese Funktion deaktivieren, ziehen Sie die Sicherheitsrichtlinie Ihrer Organisation zu Rate.

Exchange 2010-Wertname und -typ

SignedEmailCertificateInclusion (DWORD)

Exchange 2003-Wertname und -typ

SecurityFlags (Wert 0x008)

Erklärung

In der Standardeinstellung schließt Outlook Web App bei installiertem S/MIME-Steuerelement sowohl Signatur- als auch Verschlüsselungszertifikate in signierte E-Mail-Nachrichten ein. Wenn Sie diese Einstellung deaktivieren, indem Sie SignedEmailCertificateInclusion auf "false" festlegen, verringert sich die Größe der von Outlook Web App mit dem S/MIME-Steuerelement gesendeten Nachrichten. Der Empfänger hat jedoch in der empfangenen Nachricht keinen Zugriff auf das Verschlüsselungszertifikat des Absenders und muss dieses auf anderem Wege abrufen. Dies ist aus einem Verzeichnis oder direkt vom Absender möglich.

Exchange 2010-Wertname und -typ

BccEncryptedEmailForking (DWORD)

Exchange 2003-Wertname und -typ

SecurityFlags (Werte 0x040, 0x080)

Erklärung

Standardmäßig übermittelt Outlook Web App eine separate verschlüsselte Nachricht für jeden Empfänger in der Zeile "Bcc" einer verschlüsselten Nachricht. Diese Option bietet die höchste Sicherheit für Bcc-Empfänger einer verschlüsselten Nachricht. Durch Angabe eines anderen Wertes für BCCEncryptedEmailForking können Sie festlegen, dass Outlook Web App eine einzelne verschlüsselte Nachricht für alle Bcc-Empfänger oder nur eine verschlüsselte Nachricht ohne eine separate Nachricht für jeden Bcc-Empfänger erstellen muss. 

Exchange 2010-Wertname und -typ

IncludeSMIMECapabilitiesInMessage (DWORD)

Exchange 2003-Wertname und -typ

SecurityFlags (Wert 0x100)

Erklärung

Wenn IncludeSMIMECapabilitiesInMessage auf "true" festgelegt wird, fügt Outlook Web App ausgehenden signierten und verschlüsselten Nachrichten Attribute hinzu, die angeben, welche Verschlüsselungs- und Signierungsalgorithmen und Schlüssellängen unterstützt werden.

Wenn Sie dieses Attribut aktivieren, werden Nachrichten größer. Durch die Aktivierung kann jedoch die Zusammenarbeit mit Outlook Web App für einige E-Mail-Clients vereinfacht werden.

Exchange 2010-Wertname und -typ

CopyRecipientHeaders (DWORD)

Exchange 2003-Wertname und -typ

SecurityFlags (Wert 0x200)

Erklärung

Wenn CopyRecipientHeaders auf "true" festgelegt ist, wird eine Kopie der Empfängerkopfzeilen "From", "To" und "Cc" in den signierten Teil der Nachricht eingefügt. Anhand dieser Information kann der Empfänger überprüfen, ob die Kopfzeilen während des Sendens der Nachricht manipuliert wurden. Wenn Sie diese Funktion aktivieren, werden Nachrichten größer.

Exchange 2010-Wertname und -typ

OnlyUseSmartCard (DWORD)

Exchange 2003-Wertname und -typ

SmartCardOnly (DWORD)

Erklärung

Wenn OnlyUseSmartCard auf "true" festgelegt ist und Sie Outlook Web App zusammen mit dem S/MIME-Steuerelement einsetzen, müssen auf Smartcard basierende Zertifikate zum Signieren und Verschlüsseln verwendet werden. Benutzer können keine Zertifikate verwenden, die sich nicht auf einer Smartcard befinden.

Exchange 2010-Wertname und -typ

TripleWrapSignedEncryptedMail (DWORD)

Exchange 2003-Wertname und -typ

TripleWrap (DWORD)

Erklärung

Wenn TripleWrapSignedEncryptedMail auf "true" festgelegt ist, werden digital signierte verschlüsselte Nachrichten dreifach verschlüsselt ("triple-wrapped"). Wenn eine Nachricht dreifach verschlüsselt ist, wird die digital signierte Nachricht zuerst verschlüsselt und anschließend digital signiert. Wenn das Attribut auf "false" festgelegt ist, wird die signierte Nachricht lediglich verschlüsselt. Sie wird nach der Verschlüsselung nicht noch zusätzlich digital signiert. In der Standardeinstellung ist dieses Attribut auf "true" festgelegt. Dreifach verschlüsselte Nachrichten bieten die höchste Sicherheit für digital signierte und verschlüsselte E-Mail-Nachrichten gemäß dem S/MIME-Standard, sind jedoch auch größer als Nachrichten, die nicht dreifach verschlüsselt sind.

Exchange 2010-Wertname und -typ

UseKeyIdentifier (DWORD)

Exchange 2003-Wertname und -typ

UseKeyIdentifier (DWORD)

Erklärung

Beim Verschlüsseln von E-Mail-Nachrichten codiert Outlook Web App standardmäßig die Lockbox, in der das asymmetrisch verschlüsselte Token gespeichert wird, das zum Entschlüsseln der restlichen Nachricht erforderlich ist. Die Lockbox wird durch Angabe des Ausstellers und der Seriennummer des Zertifikats der einzelnen Empfänger codiert. Anhand dieser Angaben können anschließend das Zertifikat und der private Schlüssel zum Entschlüsseln der Nachricht ermittelt werden.

Eine weitere Möglichkeit, das Zertifikat und den privaten Schlüssel zum Entschlüsseln von Nachrichten zu ermitteln, besteht darin, die Schlüssel-ID eines Zertifikats zu verwenden, indem UseKeyIdentifier auf "true" festgelegt wird. Da ein Schlüsselpaar in neuen Zertifikaten erneut verwendet werden kann, müssen Benutzer durch die Verwendung der Schlüssel-ID für verschlüsselte E-Mail-Nachrichten lediglich das aktuelle Zertifikat mit dem zugehörigen privaten Schlüssel aufbewahren. Es ist nicht erforderlich, alle alten Zertifikate beizubehalten, die nur nach Aussteller und Seriennummer verglichen werden können.

Da einige E-Mail-Clients die Suche nach Zertifikaten über eine Schlüssel-ID nicht unterstützen, verwendet Outlook Web App standardmäßig den Aussteller und die Seriennummer der einzelnen Empfängerzertifikate. Durch das Aktivieren dieser Funktion kann die Verwaltung verschlüsselter Nachrichten jedoch vereinfacht werden, da die Benutzer alte, abgelaufene Zertifikate nicht mehr in ihrem System aufbewahren müssen.

Exchange 2010-Wertname und -typ

EncryptionAlgorithms (Reg-SZ)

Exchange 2003-Wertname und -typ

EncryptionAlgorithms (Reg_SZ)

Erklärung

Outlook Web App versucht, den stärksten Algorithmus mit dem längsten verfügbaren Schlüssel auf dem Computer des Benutzers zu verwenden. Wenn der Verschlüsselungsalgorithmus oder die minimale Schlüssellänge auf dem Computer des Benutzers nicht verfügbar ist, lässt Outlook Web App keine Verschlüsselung zu.

Exchange 2010-Wertname und -typ

SigningAlgorithms (Reg_SZ)

Exchange 2003-Wertname und -typ

DefaultSigningAlgorithm (reg_SZ)

Erklärung

Dieses Attribut gibt den zu verwendenden Signaturalgorithmus an, der zum digitalen Signieren von Nachrichten unter Verwendung von Outlook Web App mit dem S/MIME-Steuerelement herangezogen wird.

Exchange 2010-Wertname und -typ

ForceSMIMEClientUpgrade (DWORD)

Exchange 2003-Wertname und -typ

Nicht verfügbar. Diese Funktion war neu in Exchange 2007.

Erklärung

Wenn ForceSMIMEClientUpgrade auf "true" festgelegt und die Clientsteuerungsversion auf dem Computer des Benutzers älter als die Version auf dem Server ist, muss der Benutzer das neue Steuerelement herunterladen und installieren, bevor er mit der Verwendung von S/MIME-Lese- oder -Entwurfsformularen fortfahren kann. Wenn dieser Wert auf "false" festgelegt ist, erhält der Benutzer eine Warnung, wenn das S/MIME-Steuerelement auf seinem Computer älter als die Version auf dem Server ist. Er kann jedoch S/MIME auch weiterhin verwenden, ohne das Steuerelement aktualisieren zu müssen.