Planen der Kryptografie für E-Mail-Messaging in Outlook 2010

Office 2010
 

Gilt für: Office 2010

Letztes Änderungsdatum des Themas: 2015-03-09

In Microsoft Outlook 2010 werden sicherheitsbezogene Features unterstützt, die Benutzer beim Senden und Empfangen kryptografischer E-Mail-Nachrichten behilflich sind. Zu diesen Features gehören kryptografisches E-Mail-Messaging, Sicherheitskennzeichen und signierte Empfangsbestätigungen.

HinweisNote
Die vollständigen Sicherheitsfunktionen von Microsoft Outlook stehen nur zur Verfügung, wenn Sie Outlook 2010 mit lokalen Administratorrechten installieren.

Inhalt dieses Artikels:

In Outlook 2010 werden kryptografische Messagingfeatures unterstützt, die Benutzern Folgendes ermöglichen:

  • Digitales Signieren einer E-Mail-Nachricht.   Digitale Signaturen sichern die Nichtabstreitbarkeit und Inhaltsverifizierung (die Nachricht enthält genau das, was vom Absender gesendet wurde, ohne Änderungen).

  • Verschlüsseln einer E-Mail-Nachricht.   Die Verschlüsselung trägt zum Datenschutz bei, da die Nachricht nur für den beabsichtigten Empfänger lesbar ist.

Für Messaging mit erhöhter Sicherheit können zusätzliche Features konfiguriert werden. Wenn Ihre Organisation diese Features unterstützt, ermöglicht Messaging mit erhöhter Sicherheit Benutzern Folgendes:

  • Senden einer E-Mail-Nachricht mit Anforderung einer Bestätigung.   Auf diese Weise ist sichergestellt, dass der Empfänger die Gültigkeit der digitalen Signatur des Benutzers (das Zertifikat, mit dem der Benutzer die Nachricht versehen hat) überprüft.

  • Hinzufügen eines Sicherheitskennzeichens zu einer E-Mail-Nachricht.   Ihre Organisation kann eine benutzerdefinierte S/MIME-Sicherheitsrichtlinie (Version 3) erstellen, mit der Nachrichten mit Kennzeichen versehen werden. Eine S/MIME-Sicherheitsrichtlinie (Version 3) ist Code, den Sie Outlook hinzufügen. Über den Code werden im Nachrichtenkopf Informationen über die Vertraulichkeit der Nachricht hinzugefügt. Weitere Informationen finden Sie unter Sicherheitskennzeichen und signierte Empfangsbestätigungen weiter unten in diesem Artikel.

Das Outlook 2010-Kryptografiemodell verwendet die Verschlüsselung mit öffentlichem Schlüssel, um signierte und verschlüsselte E-Mail-Nachrichten zu senden und zu empfangen. In Outlook 2010 wird S/MIME-Sicherheit (Version 3) unterstützt, die Benutzern den Austausch von E-Mail-Nachrichten mit erhöhter Sicherheit mit anderen S/MIME-E-Mail-Clients über das Internet oder Intranet ermöglicht. E-Mail-Nachrichten, die mit dem öffentlichen Schlüssel des Benutzers verschlüsselt werden, können nur mit dem zugehörigen privaten Schlüssel entschlüsselt werden. Dies bedeutet, dass eine verschlüsselte E-Mail-Nachricht beim Senden mit dem Zertifikat (öffentlichen Schlüssel) des Empfängers verschlüsselt wird. Wenn ein Benutzer die verschlüsselte E-Mail-Nachricht liest, wird sie mit dem privaten Schlüssel des Benutzers entschlüsselt.

In Outlook 2010 müssen Benutzer über ein Sicherheitsprofil verfügen, um kryptografische Features verwenden zu können. Ein Sicherheitsprofil ist eine Gruppe von Einstellungen, die die Zertifikate und Algorithmen beschreiben, die beim Senden von Nachrichten mit kryptografischen Features verwendet werden. Sicherheitsprofile werden in den folgenden Fällen automatisch konfiguriert, sofern sie nicht bereits vorhanden sind:

  • Auf dem Computer des Benutzers sind Zertifikate für Kryptografie vorhanden

  • Der Benutzer verwendet erstmals ein kryptografisches Feature

Diese Sicherheitseinstellungen können für Benutzer im Voraus angepasst werden. Sie können Outlook mithilfe von Registrierungseinstellungen oder Gruppenrichtlinieneinstellungen an die kryptografischen Richtlinien der Organisation anpassen und die gewünschten Einstellungen in den Sicherheitsprofilen konfigurieren (und ggf. mithilfe von Gruppenrichtlinien erzwingen). Diese Einstellungen werden unter Konfigurieren kryptografischer Einstellungen für Outlook 2010 weiter unten in diesem Artikel beschrieben.

S/MIME-Features basieren auf digitalen IDs, die auch als digitale Zertifikate bezeichnet werden. Über digitale IDs wird die Identität eines Benutzers mit einem Schlüsselpaar aus öffentlichem und privatem Schlüssel verknüpft. Die Kombination aus einem Zertifikat und einem Schlüsselpaar aus öffentlichem und privatem Schlüssel wird als digitale ID bezeichnet. Der private Schlüssel kann in einem Speicher mit erhöhter Sicherheit, z. B. im Microsoft Windows-Zertifikatspeicher, auf dem Computer des Benutzers oder auf einer Smartcard gespeichert werden. Outlook 2010 bietet vollständige Unterstützung für den X.509-Standard, Version 3, nach dem öffentliche und private Schlüssel von einer Zertifizierungsstelle in einer Organisation erstellt werden müssen, wie z. B. auf einem Computer unter Windows Server 2008, auf dem Active Directory-Zertifikatdienste ausgeführt werden, oder von einer öffentlichen Zertifizierungsstelle wie VeriSign. Informationen zu der für Ihrer Organisation geeignetsten Option finden Sie unter Digitales Zertifikat: Selbstsigniert oder von Zertifizierungsstellen ausgestellt in Planen von Einstellungen für digitale Signaturen für Office 2010.

Benutzer können digitale IDs von öffentlichen webbasierten Zertifizierungsstellen wie VeriSign und Microsoft Zertifikatdienste beziehen. Weitere Informationen, wie Benutzer eine digitale ID erhalten können, finden Sie im Outlook-Hilfethema Anfordern einer digitalen ID (http://go.microsoft.com/fwlink/?linkid=185585&clcid=0x407). Als Administrator können Sie digitale IDs für eine Gruppe von Benutzern bereitstellen.

Beim Ablauf von Zertifikaten für digitale IDs müssen Benutzer normalerweise aktualisierte Zertifikate von der ausstellenden Zertifizierungsstelle besorgen. Wenn Ihre Organisation Zertifikate von der Windows Server 2003 Zertifizierungsstelle oder von den Active Directory-Zertifikatdiensten (AD CS) in Windows Server 2008 bezieht, wird die Zertifikataktualisierung von Outlook 2010 automatisch verwaltet.

Outlook 2010 bietet Benutzern Möglichkeiten zur Verwaltung ihrer digitalen IDs – der Kombination aus dem Zertifikat eines Benutzers mit öffentlichen und privaten Verschlüsselungsschlüsseln. Mithilfe von digitalen IDs können Benutzer ihre E-Mails sichern, indem sie kryptografische Nachrichten austauschen. Die Verwaltung von digitalen IDs umfasst Folgendes:

  • Abrufen einer digitalen ID. Weitere Informationen, wie Benutzer eine digitale ID erhalten können, finden Sie im Outlook-Hilfethema Anfordern einer digitalen ID (http://go.microsoft.com/fwlink/?linkid=185585&clcid=0x407).

  • Speichern einer digitalen ID, damit sie auf einen anderen Computer verschoben oder anderen Personen zur Verfügung gestellt werden kann.

  • Bereitstellen einer digitalen ID für andere Personen.

  • Exportieren einer digitalen ID in eine Datei. Dies ist hilfreich, wenn der Benutzer eine Sicherungskopie erstellen möchte oder auf einem neuen Computer arbeiten wird.

  • Importieren einer digitalen ID aus einer Datei in Outlook. Eine digitale ID-Datei kann die Sicherungskopie eines Benutzers oder die digitale ID eines anderen Benutzers enthalten.

  • Erneuern einer abgelaufenen digitalen ID.

Benutzer, die auf mehreren Computern kryptografische Nachrichten übermitteln, müssen ihre digitale ID auf jeden dieser Computer kopieren.

Digitale IDs können in drei Speicherorten gespeichert werden:

  • Globales Adressbuch von Microsoft Exchange   Von der Zertifizierungsstelle oder von den Active Directory-Zertifikatdiensten generierte Zertifikate werden automatisch im globalen Adressbuch veröffentlicht. Extern generierte Zertifikate können manuell im globalen Adressbuch veröffentlicht werden. Klicken Sie dazu in Outlook 2010 auf der Registerkarte Datei auf Optionen und anschließend auf Sicherheitscenter. Klicken Sie unter Microsoft Outlook-Sicherheitscenter auf Einstellungen für das Sicherheitscenter. Klicken Sie auf der Registerkarte E-Mail-Sicherheit unter Digitale IDs (Zertifikate) auf die Schaltfläche In GAL veröffentlichen.

  • LDAP-Verzeichnisdienst (Lightweight Directory Access-Protokoll)   Externe Verzeichnisdienste, Zertifizierungsstellen oder andere Zertifikatanbieter können die Zertifikate ihrer Benutzer über einen LDAP-Verzeichnisdienst veröffentlichen. Outlook ermöglicht den Zugriff auf diese Zertifikate über LDAP-Verzeichnisse.

  • Microsoft Windows-Datei   Digitale IDs können auf Benutzercomputern gespeichert werden. Die digitale ID kann in Outlook 2010 in eine Datei exportiert werden. Klicken Sie dazu auf der Registerkarte Datei auf Optionen und anschließend auf Sicherheitscenter. Klicken Sie unter Microsoft Outlook-Sicherheitscenter auf Einstellungen für das Sicherheitscenter. Klicken Sie auf der Registerkarte E-Mail-Sicherheit unter Digitale IDs (Zertifikate) auf die Schaltfläche Importieren/Exportieren. Die Benutzer können die Datei beim Erstellen mithilfe eines Kennworts verschlüsseln.

Damit ein Benutzer kryptografische E-Mail-Nachrichten mit einem anderen Benutzer austauschen kann, müssen die beiden Benutzer im Besitz des öffentlichen Schlüssels des jeweils anderen Benutzers sein. Der Zugriff auf einen öffentlichen Schlüssel wird über ein Zertifikat bereitgestellt. Es gibt verschiedene Möglichkeiten, anderen Personen eine digitale ID bereitzustellen, z. B.:

  • Verwenden eines Zertifikats zum digitalen Signieren einer E-Mail-Nachricht.   Benutzer stellen ihren öffentlichen Schlüssel einem anderen Benutzer zur Verfügung, indem sie eine E-Mail verfassen und diese mithilfe eines Zertifikats digital signieren. Wenn die signierte Nachricht von Benutzern in Outlook empfangen wird, klicken sie in der Zeile Von mit der rechten Maustaste auf den Namen des Benutzers. Durch Klicken auf Zu den Kontakten hinzufügen werden die Adressinformationen und das Zertifikat in der Kontaktliste des Outlook-Benutzers gespeichert.

  • Bereitstellen eines Zertifikats mithilfe eines Verzeichnisdiensts, z. B. des globalen Adressbuchs von Microsoft Exchange.   Ein Benutzer kann das Zertifikat eines anderen Benutzers beim Senden einer verschlüsselten E-Mail-Nachricht auch automatisch aus einem LDAP-Verzeichnis auf einem standardmäßigen LDAP-Server abrufen. Damit der Zugriff auf ein Zertifikat auf diese Weise möglich ist, müssen sich die Benutzer mit den digitalen IDs für ihre E-Mail-Konten für die S/MIME-Sicherheit registrieren.

    Benutzer können Zertifikate auch aus dem globalen Adressbuch abrufen.

Benutzer können eine digitale ID aus einer Datei importieren. Dies ist z. B. dann nützlich, wenn sie kryptografische E-Mail-Nachrichten von einem neuen Computer senden möchten. Die Zertifikate eines Benutzers müssen auf jedem Computer installiert sein, von dem aus der Benutzer kryptografische E-Mail-Nachrichten senden möchte. Die digitale ID kann in Outlook 2010 in eine Datei exportiert werden. Klicken Sie dazu auf der Registerkarte Datei auf Optionen und anschließend auf Sicherheitscenter. Klicken Sie unter Microsoft Outlook-Sicherheitscenter auf Einstellungen für das Sicherheitscenter. Klicken Sie auf der Registerkarte E-Mail-Sicherheit unter Digitale IDs (Zertifikate) auf die Schaltfläche Importieren/Exportieren.

Jedem Zertifikat und jedem privaten Schlüssel ist ein Zeitlimit zugeordnet. Wenn die von der Zertifizierungsstelle oder von den Active Directory-Zertifikatdiensten (AD CS) bereitgestellten Schlüssel sich dem Ende des vorgegebenen Zeitraums nähern, wird in Outlook eine Warnmeldung angezeigt und der Benutzer zur Erneuerung der Schlüssel aufgefordert. Outlook kann die Erneuerungsnachricht im Namen einzelner Benutzer an den Server senden.

Wenn Benutzer ein Zertifikat nicht vor dem Ablauf erneuern oder anstelle der Zertifizierungsstelle oder der Active Directory-Zertifikatdienste eine andere Zertifizierungsstelle verwenden, müssen sie sich zur Erneuerung des Zertifikats an die Zertifizierungsstelle wenden.

Outlook 2010 bietet Unterstützung für ESS-Erweiterungen (Enhanced Security Services) für Sicherheitskennzeichen und signierte Empfangsbestätigungen nach S/MIME, Version 3. Diese Erweiterungen können Sie zur Bereitstellung einer sicheren E-Mail-Kommunikation innerhalb Ihrer Organisation und zum Anpassen der Sicherheit an Ihre Anforderungen verwenden.

Wenn Ihre Organisation S/MIME-Sicherheitsrichtlinien (Version 3) entwickelt und bereitstellt, um Nachrichten mit benutzerdefinierten Sicherheitskennzeichen zu versehen, kann das Hinzufügen eines Sicherheitskennzeichens zu einer E-Mail-Nachricht vom Code in den Sicherheitsrichtlinien erzwungen werden. Nachfolgend finden Sie zwei Beispiele für Sicherheitskennzeichen:

  • Ein Kennzeichen "Nur interne Verwendung" könnte als Sicherheitskennzeichen für E-Mails eingeführt werden, die nicht außerhalb des Unternehmens gesendet oder weitergeleitet werden dürfen.

  • Ein Kennzeichen kann angeben, dass bestimmte Empfänger die Nachricht nicht weiterleiten oder drucken können, wenn die Sicherheitsrichtlinie beim Empfänger ebenfalls installiert ist.

Benutzer können auch Anforderungen von Empfangsbestätigungen mit erhöhter Sicherheit senden, um zu überprüfen, dass die Empfänger die digitale Signatur des Benutzers erkennen. Wenn die Nachricht empfangen und gespeichert (auch wenn sie noch nicht gelesen wird) und die Signatur überprüft wird, wird eine Empfangsbestätigung an den Posteingang des Benutzers gesendet, die angibt, dass die Nachricht gelesen wurde. Wurde die Signatur des Benutzers nicht überprüft, wird keine Empfangsbestätigung gesendet. Wenn die Empfangsbestätigung zurückgegeben wird, die ebenfalls signiert ist, dient sie als Bestätigung, dass die Nachricht vom Benutzer empfangen und überprüft wurde.

Sie können viele Aspekte der Outlook 2010-Kryptografiefeatures steuern, um mithilfe der Outlook 2010-Gruppenrichtlinienvorlage (Outlook14.adm) die Konfiguration der Messaging- und Nachrichtenverschlüsselung in Ihrer Organisation sicherer zu gestalten. Beispielsweise können Sie eine Gruppenrichtlinieneinstellung konfigurieren, die ein Sicherheitskennzeichen für alle ausgehenden Nachrichten vorschreibt oder die Veröffentlichung in der globalen Adressliste deaktiviert. Mit dem Office-Anpassungstool (OAT) können Sie Standardeinstellungen konfigurieren, die von den Benutzern geändert werden können. Darüber hinaus gibt es Kryptografiekonfigurationsoptionen, die nur mithilfe von Registrierungsschlüsseleinstellungen konfiguriert werden können.

Weitere Informationen zum Herunterladen der administrativen Vorlage in Outlook 2010 und zu anderen administrativen Vorlagen in Office 2010 finden Sie unter Administrative Vorlagendateien (ADM, ADMX, ADML) für Office 2010 und das Office-Anpassungstool. Weitere Informationen zu Gruppenrichtlinie finden Sie unter Übersicht über Gruppenrichtlinien für Office 2010 und Erzwingen von Einstellungen mithilfe von Gruppenrichtlinien in Office 2010.

Weitere Informationen zum OAT finden Sie unter Office-Anpassungstool in Office 2010.

Sie können die Einstellungen in der folgenden Tabelle zum Anpassen der Kryptografie sperren. Im Office-Anpassungstool befinden sich diese Einstellungen auf der Seite Benutzereinstellungen ändern unter Microsoft Outlook 2010\Sicherheit\Kryptografie. In den Gruppenrichtlinien befinden sich diese Einstellungen unter Benutzerkonfiguration\Administrative Vorlagen\Microsoft Outlook 2010\Sicherheit\Kryptografie.

 

Kryptografieoption Beschreibung

Immer TNEF-Formatierung in S/MIME-Nachrichten verwenden

Verwendet anstelle des vom Benutzer angegebenen Formats immer TNEF (Transport Neutral Encapsulation Format) für S/MIME-Nachrichten.

E-Mail-Adresse nicht mit der Adresse von verwendeten Zertifikaten vergleichen

Vergleicht die E-Mail-Adresse des Benutzers nicht mit der Adresse der für die Verschlüsselung oder Signierung verwendeten Zertifikate.

Schaltfläche 'In GAL veröffentlichen' nicht anzeigen

Deaktiviert die Schaltfläche In GAL veröffentlichen auf der Seite E-Mail-Sicherheit des Sicherheitscenters.

Option 'Weiter' in Dialogfeldern mit Verschlüsselungswarnungen nicht bereitstellen

Deaktiviert die Schaltfläche Weiter in Dialogfeldern mit Warnungen zu Verschlüsselungseinstellungen. Die Benutzer können nicht auf Weiter klicken, um die Nachricht zu senden.

Kryptografiesymbole aktivieren

Zeigt Outlook-Kryptografiesymbole in der Outlook-Benutzeroberfläche an.

Alle E-Mail-Nachrichten verschlüsseln

Verschlüsselt alle ausgehenden E-Mail-Nachrichten.

Beschriftung aller mit S/MIME signierter Nachrichten sicherstellen

Legt fest, dass alle mit S/MIME signierten Nachrichten ein Sicherheitskennzeichen aufweisen müssen. Die Benutzer können E-Mail-Nachrichten in Outlook 2010 Sicherheitskennzeichen hinzufügen. Klicken Sie dazu auf der Registerkarte Optionen im Abschnitt Weitere Optionen unter Sicherheit auf die Schaltfläche Sicherheitseinstellungen. Wählen Sie im Dialogfeld Sicherheitseigenschaften die Option Diese Nachricht digital signieren aus. Wählen Sie unter Sicherheitskennzeichen für Richtlinie ein Sicherheitskennzeichen aus.

Fortezza-Zertifikatrichtlinien

Dient zur Eingabe einer Liste von Richtlinien, die in den Richtlinienerweiterungen eines Zertifikats zulässig sind und anzeigen, dass es sich um ein Fortezza-Zertifikat handelt. Die Richtlinien werden durch Semikolons getrennt aufgelistet.

Nachrichtenformate

Wählt die zu unterstützenden Nachrichtenformate aus: S/MIME (Standard), Exchange, Fortezza oder eine Kombination dieser Formate.

Benachrichtigung, wenn Outlook die digitale ID zum Decodieren einer Nachricht nicht findet

Dient zur Eingabe einer Nachricht, die Benutzern angezeigt wird (maximal 255 Zeichen).

Mindestverschlüsselungseinstellungen

Legt die minimale Schlüssellänge für eine verschlüsselte E-Mail-Nachricht fest. Outlook zeigt eine Warnmeldung an, wenn der Benutzer eine Nachricht mithilfe eines Verschlüsselungsschlüssels zu senden versucht, der niedriger als der für die Mindestverschlüsselungseinstellung festgelegte Wert ist. Der Benutzer kann die Warnung ignorieren und die Nachricht mithilfe des ursprünglich gewählten Verschlüsselungsschlüssels senden.

Antworten auf bzw. Weiterleitungen von signierten/verschlüsselten Nachrichten sind signiert/verschlüsselt

Aktiviert die Signierung/Verschlüsselung beim Antworten auf bzw. Weiterleiten von signierten oder verschlüsselten Nachrichten, selbst wenn für den Benutzer nicht S/MIME konfiguriert ist.

S/MIME-Bestätigung anfordern, wenn mit S/MIME signiert

Fordert für ausgehende E-Mail-Nachrichten eine Empfangsbestätigung mit erhöhter Sicherheit an.

SuiteB-Algorithmen sind für S/MIME-Vorgänge erforderlich

Verwendet für S/MIME-Vorgänge nur SuiteB-Algorithmen.

Erforderliche Zertifizierungsstelle

Legt den Namen der erforderlichen Zertifizierungsstelle fest. Wenn ein Wert festgelegt wird, können Benutzer in Outlook E-Mail-Nachrichten nicht mithilfe eines Zertifikats von einer anderen Zertifizierungsstelle signieren.

Im FIPS-kompatiblen Modus ausführen

Erfordert die Ausführung von Outlook im FIPS 140-1-Modus.

S/MIME-Interoperabilität mit externen Clients

Gibt das Verhalten bei der Verarbeitung von S/MIME-Nachrichten an: Intern verarbeiten, Extern verarbeiten oder Soweit möglich verarbeiten.

S/MIME-Bestätigungsanforderungsverhalten

Dient zum Festlegen einer Option für die Behandlung von S/MIME-Bestätigungsanforderungen.

Nachricht öffnen, wenn Bestätigung nicht gesendet werden kann

Nachricht nicht öffnen, wenn Bestätigung nicht gesendet werden kann

Vor dem Senden der Bestätigung immer auffordern

Nie S/MIME-Bestätigungen senden

Alle signierten Nachrichten als Klartext senden

Verwendet Klartext für signierte ausgehende E-Mail-Nachrichten.

Alle E-Mail-Nachrichten signieren

Erfordert digitale Signaturen für alle ausgehenden E-Mail-Nachrichten.

Signaturwarnung

Dient zum Festlegen einer Option zum Anzeigen von Signaturwarnungen für Benutzer:

  • Benutzer entscheidet, ob er gewarnt werden möchte. Diese Option entspricht der Standardkonfiguration.

  • Immer wegen ungültigen Signaturen warnen.

  • Nie bei ungültigen Signaturen warnen.

URL für S/MIME-Zertifikate

Stellt eine URL bereit, von der Benutzer eine S/MIME-Empfangsbestätigung erhalten können. Die URL kann drei Variablen (%1, %2 und %3) enthalten, die durch den Namen, die E-Mail-Adresse und die Sprache des Benutzers ersetzt werden.

Wenn Sie einen Wert für URL für S/MIME-Zertifikate angeben, verwenden Sie die folgenden Parameter, um Informationen über den Benutzer an die Registrierungswebseite zu senden.

 

Parameter Platzhalter in URL-Zeichenfolge

Anzeigename des Benutzers

%1

SMTP-E-Mail-Name

%2

Sprach-ID der Benutzeroberfläche

%3

Legen Sie beispielsweise zum Senden von Benutzerinformationen an die Microsoft-Registrierungswebseite die Option URL für S/MIME-Zertifikate auf den folgenden Wert einschließlich der Parameter fest:

www.microsoft.com/ie/certpage.htm?name=%1&email=%2&helplcid=%3

Wenn beispielsweise der Name des Benutzers Jeff Smith, die E-Mail-Adresse someone@example.com und die ID der Benutzeroberflächensprache 1033 lautet, werden die Platzhalter wie folgt aufgelöst:

www.microsoft.com/ie/certpage.htm?name=Jeff%20Smith&email=someone@example.com&helplcid=1033

Die Einstellungen in der folgenden Tabelle finden Sie in den Gruppenrichtlinien unter Benutzerkonfiguration\Administrative Vorlagen\Microsoft Outlook 2010\Sicherheit\Kryptografie\Dialogfeld 'Signaturstatus'. Die OAT-Einstellungen befinden sich auf der Seite Benutzereinstellungen ändern des OAT in entsprechenden Speicherorten.

 

Kryptografieoption Beschreibung

Anlage sicherer temporärer Ordner

Gibt einen Ordnerpfad für den sicheren Ordner für temporäre Dateien an. Setzt den Standardpfad außer Kraft und wird nicht empfohlen. Wenn Sie einen bestimmten Ordner für Outlook-Anlagen verwenden müssen, wird Folgendes empfohlen:

  • Verwenden Sie ein lokales Verzeichnis (für eine optimale Leistung).

  • Platzieren Sie den Ordner unterhalb des Ordners Temporäre Internetdateien (um von der erhöhten Sicherheit in diesem Ordner zu profitieren).

  • Der Ordnername sollte eindeutig und schwer zu erraten sein.

Fehlende Zertifikatsperrlisten

Gibt an, wie Outlook auf fehlende Zertifikatsperrlisten reagiert: Anzeige einer Warnung (Standard) oder einer Fehlermeldung.

Digitale Zertifikate enthalten ein Attribut, das angibt, wo die entsprechende Zertifikatsperrliste gespeichert ist. Zertifikatsperrlisten enthalten Listen digitaler Zertifikate, die von ihren steuernden Zertifizierungsstellen widerrufen wurden. Normalerweise geschieht dies, wenn die Zertifikate nicht ordnungsgemäß ausgestellt oder die zugehörigen privaten Schlüssel beschädigt wurden. Wenn eine Zertifikatsperrliste fehlt oder nicht verfügbar ist, kann Outlook nicht feststellen, ob ein Zertifikat widerrufen wurde. Dann kann ein nicht ordnungsgemäß ausgestelltes oder beschädigtes Zertifikat verwendet werden, um Zugriff auf Daten zu erhalten.

Fehlende Stammzertifikate

Gibt an, wie Outlook auf fehlende Stammzertifikate reagiert: Anzeige keiner Fehlermeldung und keiner Warnung (Standard), Anzeige einer Warnung oder Anzeige einer Fehlermeldung.

Fehler der Ebene 2 als Fehler, nicht als Warnungen, höher stufen

Gibt an, wie Outlook auf Fehler der Ebene 2 reagiert: Anzeige einer Fehlermeldung oder einer Warnung (Standard). Dies sind potenzielle Fehlerzustände der Ebene 2:

  • Unbekannter Signaturalgorithmus

  • Keine signierende Zertifizierung gefunden

  • Ungültige Attributsätze

  • Kein Ausstellerzertifikat gefunden

  • Keine Zertifikatsperrliste gefunden

  • Veraltete Zertifikatsperrliste

  • Stammvertrauensstellungs-Problem

  • Veraltete Zertifikatvertrauensliste

Abrufen von Zertifikatsperrlisten

Gibt das Verhalten von Outlook beim Abrufen von Zertifikatsperrlisten an:

  • Systemstandardwert verwenden. Outlook verwendet den Zertifikatsperrlisten-Downloadzeitplan, der für das Betriebssystem konfiguriert ist.

  • Im Onlinemodus immer die Zertifikatsperrliste abrufen. Diese Option ist die Standardkonfiguration in Outlook.

  • Zertifikatsperrlisten nie abrufen.

Der folgende Abschnitt enthält zusätzliche Informationen zu Konfigurationsoptionen für die Kryptografie.

In der folgenden Tabelle sind zusätzliche Windows-Registrierungseinstellungen aufgeführt, die Sie für die benutzerdefinierte Konfiguration verwenden können. Diese Registrierungseinstellungen befinden sich unter HKEY_CURRENT_USER\Software\Microsoft\Cryptography\SMIME\SecurityPolicies\Default. Es gibt keine entsprechenden Gruppenrichtlinien.

 

Registrierungseintrag Typ Wert Beschreibung

ShowWithMultiLabels

DWORD

0, 1

Auf 0 festlegen, um zu versuchen, eine Meldung anzuzeigen, wenn auf der Signaturschicht unterschiedliche Beschriftungen für verschiedene Signaturen festgelegt wurden. Auf 1 festlegen, um die Anzeige der Meldung zu verhindern. Standard: 0.

CertErrorWithLabel

DWORD

0, 1, 2

Auf 0 festlegen, um eine Nachricht mit einem Zertifikatfehler zu verarbeiten, wenn die Nachricht eine Beschriftung aufweist. Auf 1 festlegen, um den Zugriff auf eine Nachricht mit einem Zertifikatfehler zu verweigern. Auf 2 festlegen, um unabhängig von der Nachrichtenbeschriftung Zugriff auf die Nachricht zu gewähren. (Der Zertifikatfehler wird dennoch angezeigt.) Standard: 0.

Anzeigen: