S/MIME für die Nachrichtensignierung und -verschlüsselung

Als Administrator in Exchange Server können Sie Secure/Multipurpose Internet Mail Extensions (S/MIME) für Ihre Organisation aktivieren. S/MIME ist eine verbreitete Methode (oder genauer gesagt ein Protokoll) zum Senden von digital signierten und verschlüsselten Nachrichten. S/MIME ermöglicht Ihnen das Verschlüsseln und digitale Signieren von E-Mails. Die Verwendung von S/MIME unterstützt die Benutzer, die Nachrichten empfangen, wie folgt:

  • Es wird sichergestellt, dass die Nachricht im Posteingang genau die Nachricht ist, die vom Absender gesendet wurde.

  • Es wird sichergestellt, dass die Nachricht vom angegebenen Absender stammt und nicht von jemanden, der vorgibt, dieser Absender zu sein.

Dafür bietet S/MIME kryptografische Sicherheitsdienste, wie Authentifizierung, Nachrichtenintegrität und Ursprungszulassung (anhand von digitalen Signaturen). S/MIME sorgt auch für mehr Datenschutz und -sicherheit (anhand von Verschlüsselung) für die elektronische Nachrichtenübermittlung.

Für S/MIME ist eine Infrastruktur für Zertifikate und Veröffentlichungen erforderlich, die häufig in B2B(Business-to-Business)- und B2C(Business-to-Customer)-Situationen verwendet wird. Der Benutzer steuert die kryptografischen Schlüssel in S/MIME und kann wählen, ob sie für jede versendete Nachricht verwendet werden sollen. E-Mail-Programme wie Outlook suchen nach dem Ort einer vertrauenswürdigen Stammzertifizierungsstelle, um eine digitale Signatur vorzunehmen und diese Signatur zu überprüfen.

Genauere Hintergrundinformationen zur Geschichte und Architektur von S/MIME im Kontext von E-Mails finden Sie unter Informationen zu S/MIME.

Unterstützte Szenarien und technische Aspekte für S/MIME

Sie können S/MIME für alle der folgenden Endpunkte einrichten:

  • Outlook 2010 oder höher

  • Outlook im Web (früher Outlook Web App)

  • Exchange ActiveSync (EAS)

Die Schritte zum Einrichten von S/MIME unterscheiden sich je nach Endpunkt geringfügig. In der Regel müssen Sie die folgenden Schritte durchführen:

  1. Installieren Sie eine Windows-basierte Zertifizierungsstelle, und richten Sie eine öffentliche Schlüsselinfrastruktur zum Ausstellen von S/MIME-Zertifikaten ein. Durch Drittanbieter-Zertifikatsanbieter ausgestellte Zertifikate werden unterstützt. Weitere Informationen finden Sie unter Übersicht über die Bereitstellung von Serverzertifikaten.

  2. Veröffentlichen Sie das Benutzerzertifikat in einem lokalen Active Directory Domain Services-Konto (AD DS) in den Attributen UserSMIMECertificate und/oder UserCertificate. Ihr AD DS muss sich auf Computern an einem von Ihnen gesteuerten physischen Ort befinden, und nicht an einem Remote-Standort oder in einem cloudbasierten Dienst irgendwo im Internet. Weitere Informationen zu AD DS finden Sie unter Active Directory Domain Services Übersicht.

  3. Richten Sie eine virtuelle Zertifikatauflistung zum Validieren von S/MIME ein. Diese Informationen verwendet Outlook im Web beim Validieren der Signatur einer E-Mail und stellt sicher, dass sie von einem vertrauenswürdigen Zertifikat signiert wurde.

  4. Richten Sie den Outlook- oder EAS-Endpunkt für die Verwendung von S/MIME ein.

Einrichten von S/MIME mit Outlook im Web

Die Einrichtung von S/MIME mit Outlook im Web umfasst die folgenden wichtigen Schritte:

  1. S/MIME-Einstellungen für Outlook im Web in Exchange Server.

  2. Set up Virtual Certificate Collection to Validate S/MIME

Informationen zum Senden einer mit S/MIME verschlüsselten Nachricht in Outlook im Web finden Sie unter Verschlüsseln von Nachrichten mithilfe von S/MIME in Outlook im Web.

Eine Vielzahl von Verschlüsselungstechnologien arbeiten im Verbund zusammen, um sowohl im Postfach gespeicherte Nachrichten als auch Nachrichten während des Übertragungsvorgangs zu schützen. S/MIME kann gleichzeitig mit den folgenden Technologien zusammenarbeiten, ist aber nicht von diesen abhängig:

  • Transport Layer Security (TLS): Verschlüsselt den Tunnel oder die Route zwischen E-Mail-Servern, um Snooping und Lauschangriffe zu verhindern, und verschlüsselt die Verbindung zwischen E-Mail-Clients und -Servern.

    Hinweis

    Secure Sockets Layer (SSL) wird durch Transport Layer Security (TLS) als Protokoll ersetzt, das zum Verschlüsseln von Daten verwendet wird, die zwischen Computersystemen gesendet werden. Sie sind so eng miteinander verbunden, dass die Begriffe "SSL" und "TLS" (ohne Versionen) häufig synonym verwendet werden. Aufgrund dieser Ähnlichkeit wurden Verweise auf "SSL" in Exchange-Themen, dem Exchange Admin Center und der Exchange-Verwaltungsshell häufig verwendet, um sowohl das SSL- als auch das TLS-Protokoll zu umfassen. „SSL“ bezieht sich in der Regel nur dann auf das eigentliche SSL-Protokoll, wenn auch eine Version angegeben wird (z. B. SSL 3.0). Wenn Sie herausfinden möchten, warum Sie das SSL-Protokoll deaktivieren und zu TLS wechseln sollten, lesen Sie Schutz vor dem Sicherheitsrisiko von SSL 3.0.

  • BitLocker: Verschlüsselt die Daten auf einer Festplatte in einem Rechenzentrum, sodass jemand, der nicht autorisierten Zugriff erhält, sie nicht lesen kann. Weitere Informationen finden Sie unter BitLocker: Bereitstellen auf Windows Server 2012 und höher.