S/MIME Zertifikate

Wenn das S/MIME-Zertifikat auf einem E-Mail-Gateway (einer serverseitigen Verschlüsselungslösung) hinterlegt ist, sollten Sie das Zertifikat dort belassen oder dies archivieren. Sie haben damit noch die Möglichkeit, alte verschlüsselte E-Mails des ausscheidenden Mitarbeiters im Klartext zu lesen.

Sofern Sie den E-Mail-Account des betreffenden Mitarbeiters deaktivieren, können Sie eine weitere Nutzung durch den Mitarbeiter zudem verhindern.

Es empfiehlt sich grundsätzlich, wichtige E-Mails an einem separaten geschützten Ort entschlüsselt zu speichern. Bei einem Verlust des privaten Schlüssels oder einer versehentlichen Löschung des E-Mail-Zertifikats können somit Unannehmlichkeiten vermeiden werden.

Mail-Server verschlüsseln

Jeder Mail-Server sollte mit einem SSL-Zertifikat abgesichert sein, damit der Mailversand und -empfang verschlüsselt erfolgen kann. Sofern der Absender oder Empfänger Server kein SSL-Zertifikat hat, erfolgt eine unverschlüsselte Übertragung und die Mails können abgefangen/verändert werden.

Zudem muss der E-Mail Absender und der E-Mail Empfänger eine verschlüsselte Verbindung zum Mail-Server nutzen. Sollte einer der beiden keine verschlüsselte Verbindung nutzen, können ebenfalls Mails abgefangen und verändert werden.

Ihre Einstellungen können Sie selbst prüfen und beeinflussen. Auf die Einstellungen des Empfängers haben Sie keinen Einfluss.

Daher ist der Einsatz einer E-Mail-Verschlüsselung und/oder Signierung bei vertraulichen E-Mails wichtig.

E-Mails verschlüsseln

Mit S/MIME Zertifikaten können Sie Ihre E-Mails einfach und schnell verschlüsseln. Damit der Empfänger diese verschlüsselten E-Mails lesen kann, benötigt dieser ebenfalls ein S/MIME Zertifikat. Nachdem man sich gegenseitig einmalig eine S/MIME signierte Mail gesendet hat, können Sie sich mit diesem Empfänger künftig ebenfalls verschlüsselte E-Mails senden.

Sofern Sie in Ihrem Mailclient den verschlüsselten Versand auswählen, verschlüsselt dieser die Mailinhalt und übermittelt diese erst dann an Ihren Server. Wenn der Empfängerserver oder der Empfänger die Mails seinerseits nicht über eine verschlüsselte Verbindung abruft, ist diese jedoch weiterhin vor Manipulationen geschützt. Denn erst der Mailclient (inkl. S/MIME) kann die Mail entschlüsseln und anzeigen. Auf dem Transportweg kann die Mail somit nicht von Dritten gelesen oder verändert werden.

Wenn die versendete E-Mail nur signiert und nicht verschlüsselt wurde, ist der Mailinhalt auf dem Transportweg lesbar und veränderbar. Jedoch würde der Empfänger anhand des ungültigen Siegels sofort erkennen, dass die Mail verändert wurde und somit nicht mehr vertrauenswürdig ist. Der Versand von S/MIME signierten Mails ist an jeden Empfänger möglich.

S/MIME (Secure/Multipurpose Internet Mail Extensions) Zertifikate werden von den bekannten Zertifizierungsstellen (CAs) ausgestellt werden, die auch SSL/TLS-Zertifikate ausstellen. Das stärkt das Vertrauen in S/MIME-Zertifikate. Ein manueller Austausch der öffentlichen Schlüssel durch den Absender und Empfänger ist nicht erforderlich.

Bei PGP (Pretty Good Privacy) wird auf private Schlüsselpaare gesetzt. Diese werden während der Installation der jeweiligen E-Mail-Adresse erzeugt und müssen dann von den jeweiligen Gesprächspartnern manuell ausgetauscht werden. Jeder Nutzer entscheidet dabei selbst, welche Gesprächspartner er als vertrauenswürdig erachtet.

Sofern Sie eine E-Mail mit einem S/MIME-Zertifikat verschlüsseln, wird nur der E-Mail-Inhalt (Body) verschlüsselt. Der E-Mail-Header (die Transportinformationen) bleibt in Klartext lesbar.

Für den sicheren und verschlüsselten E-Mail-Verkehr benötigen Absender und Empfänger jeweils einen öffentlichen Schlüssel zum Ver- und Entschlüsseln der E-Mail mittels S/MIME-Zertifikat.

Der öffentliche Schlüssel wird automatisch ausgetauscht, sobald der Absender und Empfänger sich gegenseitig erstmalig eine signierte E-Mail zugesendet haben. Danach kennt Ihr Mailclient den öffentlichen Schlüssel und lässt den verschlüsselten E-Mail-Verkehr zu.

Wenn nur der Absender einen öffentlichen Schlüssel hat, kann dieser seine E-Mails signieren und sich somit eindeutig identifizieren.

Auch eine mit S/MIME signierte Mail kann weiterhin als Spam eingestuft werden.

Einige Spamfilter stufen signierte E-Mails jedoch als vertrauenswürdiger ein, da der Absender eindeutig identifiziert werden kann. Somit kann ein S/MIME Zertifikat auch eine bessere Zustellungsquote sorgen, da E-Mails ggf. nicht im Spamordner verschwinden.

S/MIME-Zertifikate sind immer Einzelstücke und werden auf eine E-Mail Adresse ausgestellt. Es ist nicht möglich, dies auf mehrere E-Mail Adressen oder als WildCard domain.TLD) auszustellen.

Damit Sie die alten „verschlüsselten“ E-Mails weiterhin im Klartext lesen können, müssen Sie das abgelaufene S/MIME-Zertifikat mit dem dazugehörigen privaten Schlüssel weiterhin bei in Ihrem E-Mail Client hinterlegt lassen. Damit bleiben alle mit diesem S/MIME-Zertifikat und dem dazugehörigen privaten Schlüssel verschlüsselten E-Mails weiterhin für Sie lesbar.

Sollte das abgelaufene S/MIME-Zertifikat oder der dazugehörige private Schlüssel gelöscht werden, können Sie sämtliche mit diesem Zertifikat verschlüsselten E-Mails nicht mehr im Klartext lesen.

Daher empfehlen wir Ihnen, die .p12/.pfx Datei und Ihr Zertifikatskennwort an seinem sicheren Ort zu sichern. Somit haben Sie jederzeit die Möglichkeit, das alte S/MIME Zertifikat wieder zu installieren.

In diesem Fall ist Ihr S/MIME Zertifikat nicht installiert. Nachdem Sie dies installiert haben, sollten Sie den Inhalt der verschlüsselten E-Mail wieder sehen können.

Wenn Sie Ihre E-Mail z.B. via Thunderbird am PC, im Web via Roundcube und/oder auf dem Smartphone via App abrufen, sollten Sie dort überall Ihr S/MIME Zertifikat installieren.

In unseren FAQ Artikel „S/MIME Zertifikat im Mailclient installieren“ finden Sie eine Schritt für Schritt Anleitung, wie Sie ein S/MIME Zertifikat in gängigen E-Mail Client wie z.B. Thunderbird , Outlook, IOS usw. installieren.

Sofern Sie einen abweichenden E-Mail Client nutzen, prüfen Sie auf der Entwicklerseite vorab, ob dieser E-Mail Client S/MIME unterstützt. Sofern dies der Fall ist, finden Sie dort i.d.R. auch eine Anleitung, wie Sie das S/MIME Zertifikat dort einbinden können.

Wo und wie das S/MIME Zertifikat angezeigt wird, richtet sich nach dem E-Mail Client des Empfängers. Nachfolgend ein paar Beispiele für die Anzeige.

Thunderbird signierte E-Mail:

Thunderbird signierte und verschlüsselte E-Mail:

Outlook signierte E-Mail:

Dies ist nicht möglich. Das S/MIME-Zertifikat wird auf die bei der Bestellung angegebene E-Mail Adresse ausgestellt. Sofern sich diese ändert, benötigen Sie ein neues/weiteres S/MIME-Zertifikat.

Wenn sich in Anhang einer E-Mail eine smime.p7s Datei befindet, handelt es sich hierbei um ein S/MIME Zertifikat. Sie sehen die Datei, da der von Ihnen verwendete E-Mail Client kein S/MIME unterstützt.

Die meisten aktuellen E-Mail Clients (Outlook, Thunderbird, MacOS Mail, …) zeigen diese Datei nicht als E-Mail Anhang sondern als Siegel (Beispiele) an.

.p7s Dateien lassen sich unter Windows in der Regel mit einem Doppelklick öffnen. Es öffnet sich dann der Windows-Zertifikat-Manager. In diesem sind weitere Details zum Zertifikat einsehbar.

Nein, es gibt keine Wildcard S/MIME Zertifikate (z.B. *@ihredomain.tld) zu kaufen.

Das Ziel von S/MIME ist es, die Vertraulichkeit oder die Authentizität des Absenders sicherzustellen. Dies ist nur möglich, wenn jeder Absender eindeutig identifizierbar ist.

In Falle eines Wildcard Zertifikats wäre dies nicht mehr gegeben. Jeder, der Zugriff auf das Zertifikat und das Kennwort hat, könnte sich dann als beliebiger Absender unterhalb der Domain ausgeben.