Mimecast Logo
Jetzt starten
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    E-Mail-Sicherheit

    Was ist S/MIME und wie funktioniert es?

    Sichern Sie Ihre E-Mails und schützen Sie Ihr Unternehmen vor Man-In-The-Middle-Angriffen, indem Sie das S/MIME-Protokoll zur E-Mail-Signierung und -Verschlüsselung verwenden.

    by Julie Anderson
    gettyimages-1027040180.png

    Wichtige Punkte

    • S/MIME erhöht die E-Mail-Sicherheit durch Verschlüsselung von E-Mail-Nachrichten und Hinzufügen einer digitalen Signatur.
    • Die S/MIME-Verschlüsselung bietet Vertraulichkeit und reduziert das Risiko von Man-in-the-Middle-Angriffen.
    • Die digitale S/MIME-Signatur schützt vor E-Mail-Spoofing, indem sie die Identität des Absenders überprüft, sicherstellt, dass der Inhalt der Nachricht nicht verändert wurde und bestätigt, dass der Absender die Nachricht tatsächlich abgeschickt hat.

    Auf ihrem Weg durch das Internet hält eine E-Mail an verschiedenen Servern und Routern an. An jeder dieser Stationen ist es möglich, dass neugierige Augen die Nachricht abfangen und ihren Inhalt lesen oder eine gefälschte Antwort einfügen, so dass z. B. Anmeldedaten gestohlen oder der Datenverkehr auf eine Phishing-Website umgeleitet wird. Diese Man-in-the-Middle (MitM)-Angriffe sind schwer zu erkennen, können aber durch die S/MIME-Verschlüsselung und digitale Signaturen vereitelt werden.

    Was ist S/MIME?

    S/MIME (Secure/Multipurpose Internet Mail Extensions) ist ein E-Mail-Signatur- und Verschlüsselungsprotokoll, das E-Mail-Nachrichten verschlüsselt und mit einer digitalen Signatur versieht. Es kann auch eine Nachricht komprimieren, um ihre Größe zu verringern. S/MIME ist kein neuer Standard, aber er wurde im Laufe der Zeit ständig verbessert. Die neueste Version, S/MIME Version 4.0, enthält Aktualisierungen der Algorithmen für die Inhaltsverschlüsselung, die Signatur und den Digest. [i]

    Bei der S/MIME-Verschlüsselung werden E-Mail-Nachrichten so verschlüsselt, dass sie nur von den Empfängern gelesen werden können, die einen privaten Schlüssel zur Entschlüsselung der Nachrichten verwenden. Dadurch wird verhindert, dass andere Personen - insbesondere Angreifer - die E-Mails auf dem Weg vom Absender zum Empfänger abfangen und lesen können.

    Die digitalen Signaturen von S/MIME schützen die Sicherheit von E-Mail-Nachrichten außerdem auf drei Arten:

    • Authentifizierung: Verifiziert die Identität des Absenders, so dass der Empfänger sicher sein kann, dass die Nachricht von dem identifizierten Absender stammt. Dies hilft, E-Mail-Spoofing zu verhindern, das häufig bei Phishing-Angriffen vorkommt.
    • Nachrichtenintegrität: Erkennt alle Änderungen, die nach dem Versand an der Nachricht vorgenommen wurden.
    • Nonrepudiation: Verhindert, dass der Absender abstreiten kann, die Nachricht gesendet zu haben. Dies kann für Produktbestellungen, juristische Dokumente oder Strafverfahren wichtig sein.

    Wie funktioniert S/MIME?

    S/MIME verwendet asymmetrische Kryptographie mit einem öffentlichen/privaten Schlüsselpaar. Die beiden Schlüssel sind mathematisch miteinander verbunden, so dass eine mit dem öffentlichen Schlüssel verschlüsselte Nachricht nur mit dem privaten Schlüssel entschlüsselt werden kann. Jeder Absender und jeder Empfänger erhält sowohl einen öffentlichen als auch einen privaten Schlüssel. Der öffentliche Schlüssel wird veröffentlicht und verschlüsselt die E-Mail; der private Schlüssel wird geheim gehalten und entschlüsselt die E-Mail. Sobald eine Person auf "Senden" drückt, verschlüsselt die S/MIME-Software des sendenden Agenten die Nachricht mit dem öffentlichen Schlüssel des Empfängers, und der empfangende Agent entschlüsselt die Nachricht mit dem privaten Schlüssel des Empfängers, wie in der Abbildung dargestellt. Dies setzt natürlich voraus, dass sowohl der Absender als auch der Empfänger S/MIME unterstützen.

    S/MIME-Zertifizierung

    Bevor S/MIME konfiguriert werden kann, benötigt jeder Sender und Empfänger ein digitales Zertifikat, das die Identität der Person an einen öffentlichen Schlüssel bindet. In der Regel ist ein Administrator für die Konfiguration von S/MIME und die Ausstellung von digitalen Zertifikaten zuständig. Am besten stellt ein Administrator für jeden Benutzer zwei Zertifikate aus, eines zum Signieren und eines zum Verschlüsseln. [ii]

    Zertifizierungsstellen (CAs) stellen vertrauenswürdige X.509-Zertifikate aus, die bestätigen, dass ein öffentlicher Schlüssel zu der Person gehört, die ihn verwendet. Ein von der Zertifizierungsstelle signiertes Stammzertifikat wird zum Erstellen und Signieren anderer Zertifikate in einer baumartigen oder verketteten Struktur verwendet. Sowohl Microsoft als auch Google empfehlen, die Kette auf mindestens zwei Ebenen zu konfigurieren, damit das Stammzertifikat nicht direkt Benutzerzertifikate ausstellt.

    Vor der Auswahl einer CA sollte ein Administrator die Liste der unterstützten CAs für das E-Mail-System des Unternehmens prüfen. Die Auswahl von nur einer oder zwei CAs vereinfacht die Aufgaben der Zertifikatsverwaltung, wie z. B. die Überwachung der Ablaufdaten von Zertifikaten und die Suche nach Schattenzertifikaten, die Benutzer mit anderen CAs erworben haben.

    So konfigurieren Sie S/MIME

    In einem Unternehmen ist ein Administrator auch für die Festlegung von Richtlinien für die Verwendung von S/MIME-Verschlüsselung und Signaturen in der E-Mail-Client-Software verantwortlich. Hier sehen wir uns spezifische Anweisungen für zwei E-Mail-Systeme an: Microsoft Outlook und Google Workspace.

    Aktivieren von S/MIME in Outlook: Microsoft bietet eine Schritt-für-Schritt-Anleitung für die Konfiguration von S/MIME für Exchange. [iii] Dies unterstützt E-Mail-Clients, die Outlook, die Outlook-Web-App und Outlook auf mobilen Geräten verwenden. Das Verfahren besteht aus fünf Schritten:

    1. Einrichten und Veröffentlichen von S/MIME-Zertifikaten. Der Administrator installiert eine Drittanbieter-CA für Windows und richtet die Kette für die Ausstellung von Zertifikaten ein. Obwohl Exchange privat ausgestellte Zertifikate unterstützt, empfiehlt Microsoft die Verwendung von Drittanbieter-CAs, da die Empfänger den Zertifikaten dieser CAs automatisch vertrauen. Einige Clients und Geräte unterstützen keine privat ausgestellten Zertifikate.
    2. Richten Sie eine virtuelle Zertifikatsammlung in Exchange Online ein, um die S/MIME-Zertifikate zu validieren. Dazu exportiert der Administrator die Stamm- und Zwischenzertifikate in eine serialisierte Zertifikatspeicherdatei (SST) in Windows PowerShell und importiert dann die Zertifikate aus dieser SST-Datei in Exchange.
    3. Synchronisieren Sie Benutzerzertifikate für S/MIME in Microsoft 365. Der Administrator stellt Benutzerzertifikate aus und veröffentlicht sie im Active Directory. Die Benutzerdaten werden dann über die Synchronisierungsdienste von Azure Active Directory Connect mit Windows 365 synchronisiert.
    4. Wenn Benutzer Outlook für das Web verwenden, konfiguriert der Administrator Richtlinien in Chrome- und Edge-Webbrowsern, um S/MIME-Erweiterungen zu installieren.
    5. Konfigurieren Sie E-Mail-Clients für die Verwendung von S/MIME. Für diesen Schritt benötigen die Benutzer Zugriff auf ihre Zertifikate. Der Administrator kann die Zertifikate der Benutzer mit Endpoint Manager automatisch auf ihre Geräte verteilen, oder die Benutzer können ihre Zertifikate manuell auf ihre mobilen Geräte exportieren. Anschließend können die Benutzer die S/MIME-Verschlüsselung über die Trust Center-Einstellungen im Menü Optionen einrichten.

    Aktivieren von S/MIME auf Gmail: Wie Microsoft bietet auch Google eine Schritt-für-Schritt-Anleitung zur Konfiguration von gehostetem S/MIME auf Google Workspace. [iv] Auch dieser Prozess besteht aus fünf Schritten:

    1. Aktivieren Sie S/MIME. Nach dem Einrichten eines Stammzertifikats und mindestens eines Zwischenzertifikats aktiviert der Administrator S/MIME als Einstellung in der Konsole Workspace Admin. Standardmäßig erben die Organisationseinheiten die Einstellungen der obersten Organisation, aber dies kann außer Kraft gesetzt werden, um die S/MIME-Einstellungen für eine oder mehrere Organisationseinheiten anzupassen.
    2. Hochladen von Zertifikaten für Gmail-Nutzer. Optional kann der Administrator den Nutzern erlauben, ihre eigenen Zertifikate hochzuladen. Google empfiehlt den programmgesteuerten Upload von Zertifikaten über die S/MIME-API von Google Mail, oder Nutzer können ihre eigenen Zertifikate über die Google Mail-Einstellungen hochladen, wenn der Administrator diese Funktion aktiviert hat.
    3. Definieren Sie Verschlüsselungsregeln. Der Administrator definiert dann Regeln, die entweder die Verschlüsselung und Signierung aller ausgehenden Google Mail-Nachrichten oder nur der Nachrichten erzwingen, die die Kriterien der Regeln erfüllen.
    4. Gmail neu laden. Benutzer müssen Gmail nach einer Wartezeit von 24 Stunden neu laden, bevor sie versuchen können, Nachrichten zu verschlüsseln.
    5. Benutzer tauschen öffentliche Schlüssel aus. Um den öffentlichen Schlüssel zu veröffentlichen, sendet ein Benutzer einem anderen Benutzer eine signierte S/MIME-Nachricht. Die Signatur enthält den öffentlichen Schlüssel des Absenders.

    Wie man eine S/MIME-verschlüsselte E-Mail versendet

    Wenn ein Benutzer eine Nachricht in Google Mail verfasst, wird neben jedem Empfänger, der S/MIME aktiviert hat, ein Schlosssymbol angezeigt. Wenn der Nutzer die E-Mail an mehrere Empfänger richtet und diese Empfänger unterschiedliche Verschlüsselungsstufen unterstützen, verwendet Google Mail die niedrigste Verschlüsselungsstufe, die von allen Empfängern unterstützt wird.

    Beim Verfassen einer einzelnen Nachricht in Outlook können Benutzer im Menü Optionen die Option "Mit S/MIME verschlüsseln" auswählen. Um jede E-Mail standardmäßig digital zu signieren oder zu verschlüsseln, können Benutzer im Menü "Einstellungen" entweder Verschlüsselung, Signierung oder beides auswählen.

    Die Quintessenz

    Die Konfiguration von S/MIME für ein Unternehmen beinhaltet die Verteilung und Verwaltung von digitalen Zertifikaten für Endbenutzer. Die Vorteile dieses Aufwands liegen auf der Hand: Die E-Mail-Verschlüsselung und die digitalen Signaturen von S/MIME schützen vor MitM-Angriffen und E-Mail-Spoofing-Schemata.

    [i] " Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 4.0 Message Specification ," IETF

    [ii] " S/MIME ," Wikipedia

    [iii] " Konfigurieren von S/MIME in Exchange Online ," Microsoft

    [iv] " Einrichten von Regeln zur Anforderung von S/MIME-Signatur und -Verschlüsselung ," Google

    869862730.jpg
    Nächster Punkt
    E-Mail-Sicherheit |
    SMTP-Gateways - Was sind sie und warum sind sie nützlich?

    Verwandte Artikel

    E-Mail-Sicherheit
    Wie Sie Ihre Sicherheitsintegrationen gestalten
    E-Mail-Sicherheit
    Cybersicherheit wird zum Wachstumsmotor für Unternehmen
    E-Mail-Sicherheit
    Was ist VSOC und GSOC Sicherheit?

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang