Grundlegendes zur Transportentschlüsselung

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2010-06-28

In Microsoft Exchange Server 2010, Microsoft Outlook 2010 und Microsoft Office Outlook Web App können Benutzer ihre Nachrichten mithilfe der Verwaltung von Informationsrechten (Information Rights Management, IRM) schützen. Sie können Outlook-Schutzregeln erstellen, um automatisch den IRM-Schutz auf Nachrichten anzuwenden, bevor sie von einem Outlook 2010-Client gesendet werden. Außerdem können Sie Transportschutzregeln erstellen, um den IRM-Schutz während der Übertragung auf Nachrichten anzuwenden, die den Regelbedingungen entsprechen. Die Transportentschlüsselung ermöglicht den Zugriff auf IRM-geschützte Messaginginhalte zur Erzwingung von Messagingrichtlinien.

Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit der Verwaltung von Informationsrechten gibt? Weitere Informationen finden Sie hier: Verwalten von Rechteschutz.

Einschränkungen anderer Verschlüsselungslösungen

Wenn Ihre Organisation vertrauliche Informationen schützen muss, einschließlich unternehmenskritischer Informationen (High Business Impact, HBI) und personenbezogener Informationen (Personally Identifiable Information, PII), sollten Sie E-Mail-Nachrichten und Anhänge möglicherweise verschlüsseln. E-Mail-Verschlüsselungslösungen wie S/MIME stehen schon seit langem zur Verfügung. Diese Verschlüsselungslösungen sind in unterschiedlichen Arten von Organisationen unterschiedlich stark im Einsatz. Solche Lösungen bringen jedoch die folgenden Herausforderungen mit sich:

  • Keine Anwendung von Messagingrichtlinien   Zu den Anforderungen für die Einhaltung von Vorschriften, die von Organisationen erfüllt werden müssen, zählt u. a. das Einhalten von Messagingrichtlinien in Messaginginhalten. Die Inhalte von Nachrichten, die mit clientbasierten Verschlüsselungslösungen, einschließlich S/MIME, verschlüsselt sind, können jedoch meist nicht auf dem Server untersucht werden. Ohne Inhaltsuntersuchung kann eine Organisation nicht überprüfen, ob alle von den Benutzern gesendeten oder empfangenen Nachrichten die Messagingrichtlinien einhalten. Beispielsweise haben Sie zur Einhaltung einer gesetzlichen Vorschrift eine Transportregel für die Erkennung von personenbezogenen Informationen (z. B. Sozialversicherungsnummern) konfiguriert, die automatisch einen Haftungsausschluss an die Nachricht anhängt. Wenn die Nachricht verschlüsselt ist, kann der Agent für Transportregeln auf dem Hub-Transport-Server nicht auf Nachrichteninhalte zugreifen und hängt daher den Haftungsausschluss nicht an. Dies führt zu einer Verletzung der Richtlinie.

  • Geringere Sicherheit   Antivirensoftware kann verschlüsselte Nachrichteninhalte nicht überprüfen. Dies erhöht für die Organisation das Risiko nicht sicherer Inhalte wie Viren und Würmer. Verschlüsselte Nachrichten werden von den meisten Benutzern als vertrauenswürdig angesehen, sodass die Wahrscheinlichkeit einer Ausbreitung des Virus in der gesamten Organisation deutlich höher ist. Beispielsweise haben Sie eine Outlook-Schutzregel so konfiguriert, dass automatisch der IRM-Schutz auf alle Nachrichten angewendet wird, die mit der RMS-Vorlage (Rights Management Services, Rechteverwaltungsdienste) "Firma (vertraulich)" an die Verteilerliste "Alle Mitarbeiter" gesendet wird. Die Arbeitsstation eines Benutzers ist mit einem Virus infiziert, der sich ausbreitet, indem er automatisch die Option "Allen antworten" verwendet. Wenn die Nachricht, die den Virus enthält, verschlüsselt ist, kann der Antivirusscanner die Nachricht nicht überprüfen.

  • Auswirkungen auf benutzerdefinierte Transport-Agents   Viele Organisationen entwickeln benutzerdefinierte Transport-Agents für unterschiedliche Zwecke, z. B. die Einhaltung zusätzlicher Verarbeitungsanforderungen für die Kompatibilität, die Sicherheit oder das benutzerdefinierte Nachrichtenrouting. Benutzerdefinierte Transport-Agents, die von einer Organisation entwickelt wurden, um Nachrichten zu untersuchen oder zu ändern, können keine verschlüsselten Nachrichten verarbeiten. Wenn die von Ihrer Organisation entwickelten benutzerdefinierten Transport-Agents nicht auf Nachrichteninhalte zugreifen können, hindert die Nachrichtenverschlüsselung Ihre Organisation möglicherweise am Erreichen der Ziele, für die die benutzerdefinierten Transport-Agents entwickelt wurden.

Verwenden der Transportentschlüsselung für verschlüsselte Inhalte

In Exchange 2010 werden diese Herausforderungen mithilfe von IRM-Funktionen addressiert. Wenn Nachrichten mit IRM geschützt sind, können sie mithilfe der Transportentschlüsselung während der Übertragung entschlüsselt werden. Mit IRM geschützte Nachrichten werden mit dem Entschlüsselungs-Agent entschlüsselt, einem vor allem der Einhaltung von Vorschriften dienenden Transport-Agent.

Hinweis

In Exchange 2010 ist der Entschlüsselungs-Agent ein integrierter Agent. Integrierte Agents sind nicht in der Liste von Agents enthalten, die vom Cmdlet Get-TransportAgent zurückgegeben wird. Weitere Informationen finden Sie unter Grundlegendes zu Transport-Agents.

Der Entschlüsselungs-Agent entschlüsselt die folgenden Arten IRM-geschützter Nachrichten:

  1. Vom Benutzer in Outlook Web App IRM-geschützte Nachrichten.

  2. Vom Benutzer in Outlook 2010 IRM-geschützte Nachrichten.

  3. Automatisch durch Outlook-Schutzregeln in Outlook 2010 IRM-geschützte Nachrichten.

Wichtig

Nur Nachrichten, die durch den AD RMS-Server in Ihrer Organisation IRM-geschützt werden, werden vom Entschlüsselungs-Agent entschlüsselt.

Hinweis

Nachrichten, die während der Übertragung mit Transportschutzregeln geschützt werden, müssen nicht vom Entschlüsselungs-Agent entschlüsselt werden. Der Entschlüsselungs-Agent wird durch die Transportereignisse OnEndOfData und OnSubmit ausgelöst. Transportschutzregeln werden vom Agent für Transportregeln angewendet, der durch das Ereignis OnRoutedMessage ausgelöst wird, und der IRM-Schutz wird bei Eintreten des Ereignisses OnRoutedMessage vom Entschlüsselungs-Agent angewendet. Weitere Informationen zu Transport-Agents und eine Liste der SMTP-Ereignisse, für die sie registriert werden können, finden Sie unter Grundlegendes zu Transport-Agents.

Die Transportentschlüsselung wird auf dem ersten Hub-Transport-Server von Exchange 2010 durchgeführt, der eine Nachricht in einer Active Directory-Gesamtstruktur verarbeitet. Wenn eine Nachricht an einen Hub-Transport-Server in einer anderen Active Directory-Gesamtstruktur übertragen wird, wird die Nachricht erneut entschlüsselt. Nach der Entschlüsselung stehen nicht verschlüsselte Inhalte für andere Transport-Agents auf dem betreffenden Server zur Verfügung. Beispielsweise kann der Agent für Transportregeln auf einem Hub-Transport-Server Nachrichteninhalte untersuchen und Transportregeln anwenden. Alle in der Regel angegebenen Aktionen, z. B. das Anhängen eines Haftungsausschlusses oder jegliche sonstige Veränderung der Nachricht, können für die nicht verschlüsselte Nachricht durchgeführt werden. Transport-Agents von Drittanbietern, z. B. Antivirusscanner, können die Nachricht auf Viren und Schadsoftware überprüfen. Nachdem andere Transport-Agents die Nachricht untersucht und möglicherweise geändert haben, wird sie wieder mit denselben Benutzerrechten verschlüsselt, die sie vor der Entschlüsselung durch den Entschlüsselungs-Agent aufwies. Dieselbe Nachricht wird nicht erneut von anderen Hub-Transport-Servern in der Organisation entschlüsselt.

Vom Entschlüsselungs-Agent entschlüsselte Nachrichten verlassen den Hub-Transport-Server nicht, ohne erneut verschlüsselt zu werden. Wenn bei der Entschlüsselung oder Verschlüsselung der Nachricht ein vorübergehender Fehler zurückgegeben wird, wiederholt der Hub-Transport-Server den Vorgang zweimal. Nach dem dritten Fehlschlagen wird der Fehler als dauerhafter Fehler behandelt. Wenn ein dauerhafter Fehler auftritt, einschließlich eines nach wiederholten Versuchen als dauerhafter Fehler angesehenen vorübergehenden Fehlers, behandelt der Hub-Transport-Server den Fehler wie folgt:

  • Wenn der dauerhafte Fehler während der Entschlüsselung auftritt, wird ein Unzustellbarkeitsbericht (Non-Delivery Report, NDR) nur dann gesendet, wenn die Transportentschlüsselung auf Mandatory festgelegt ist, und die verschlüsselte Nachricht wird zusammen mit dem Unzustellbarkeitsbericht gesendet. Weitere Informationen zu den verfügbaren Konfigurationsoptionen für die Transportentschlüsselung finden Sie unter Konfigurieren der Transportentschlüsselung weiter unten in diesem Thema.

  • Wenn der dauerhafte Fehler während der erneuten Verschlüsselung auftritt, wird immer ein Unzustellbarkeitsbericht ohne die entschlüsselte Nachricht gesendet.

Wichtig

Alle auf einem Hub-Transport-Server installierten benutzerdefinierten Agents oder Drittanbieter-Agents haben Zugriff auf die entschlüsselte Nachricht. Sie müssen das Verhalten solcher Transport-Agents berücksichtigen. Wir empfehlen, alle benutzerdefinierten Agents und Drittanbieter-Agents gründlich zu testen, bevor Sie sie in einer Produktionsumgebung bereitstellen.
Wenn eine Nachricht vom Entschlüsselungs-Agent entschlüsselt wurde und ein Transport-Agent eine Aktion ausführt, durch die eine neue Nachricht unter Einbettung (Anfügung) der ursprünglichen Nachricht erstellt wird, wird nur die neue Nachricht geschützt. Die ursprüngliche Nachricht, die jetzt als Anhang der neuen Nachricht vorhanden ist, wird nicht erneut verschlüsselt. Ein Empfänger, der eine solche Nachricht erhält, kann die angehängte Nachricht öffnen und Aktionen unter Umgehung der Rechtedurchsetzung ausführen, z. B. Weiterleiten oder Antworten.

Konfigurieren der Transportentschlüsselung

Die Transportentschlüsselung wird mithilfe des Cmdlets Set-IRMConfiguration in der Exchange-Verwaltungsshell konfiguriert. Bevor Sie die Transportentschlüsselung konfigurieren, müssen Sie jedoch Exchange 2010-Servern das Recht erteilen, von Ihrem AD RMS-Server geschützte Inhalte zu entschlüsseln. Dies wird erreicht, indem das Verbundzustellungspostfach der Administratorengruppe hinzugefügt wird, die für den AD RMS-Cluster in Ihrer Organisation konfiguriert ist.

Wichtig

In gesamtstrukturübergreifenden AD RMS-Bereitstellungen, bei denen in jeder Gesamtstruktur ein AD RMS-Cluster bereitgestellt ist, müssen Sie das Verbundzustellungspostfach der Administratorengruppe für den AD RMS-Cluster in jeder Gesamtstruktur hinzufügen, damit ein Exchange 2010-Hub-Transport-Server für jeden AD RMS-Cluster die geschützten Nachrichten entschlüsseln kann.

Weitere Informationen finden Sie unter Hinzufügen eines Verbundzustellungspostfachs zur AD RMS-Administratorgruppe.

Mit Exchange 2010 sind zwei unterschiedliche Einstellungen beim Aktivieren der Transportentschlüsselung möglich:

  • Verbindlich (Verbindlich)   Wenn die Transportentschlüsselung auf Mandatory festgelegt ist, lehnt der Entschlüsselungs-Agent die Nachricht ab und gibt einen Unzustellbarkeitsbericht an den Absender zurück, wenn bei der Entschlüsselung einer Nachricht ein dauerhafter Fehler zurückgegeben wird. Wenn in Ihrer Organisation die Zustellung einer Nachricht nicht gewünscht ist, wenn sie nicht erfolgreich entschlüsselt werden kann und Aktionen wie Antivirusscans und Transportregeln nicht angewendet werden können, müssen Sie diese Einstellung auswählen.

  • Optional   Wenn für die Transportverschlüsselung "Optional" festgelegt ist, verwendet der Entschlüsselungs-Agent den "Best-Effort-Ansatz". Nachrichten, die entschlüsselt werden können, werden entschlüsselt; Nachrichten mit einem dauerhaften Fehler bei der Entschlüsselung werden jedoch ebenfalls zugestellt. Wenn in Ihrer Organisation die Nachrichtenzustellung eine höhere Priorität hat als die Einhaltung von Nachrichtenrichtlinien, müssen Sie diese Einstellung verwenden.

Weitere Informationen zum Konfigurieren der Transportentschlüsselung finden Sie unter Aktivieren oder Deaktivieren der Transportentschlüsselung.

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.