S/MIME Verschlüsselung läßt sich zentral im Gateway für ganze Domänen oder lokal im Client für jede einzelne Mailadresse anwenden.

Clientbasierte Verschlüsselung

Vorteile:
  • Die E-Mail liegt verschlüsselt im Postfach. Kein anderer Benutzer, außer dem Zertifikatsinhaber kann die Nachrichten lesen.
  • Der Benutzer kann selbst entscheiden, wann eine E-Mail verschlüsselt und signiert werden soll.
Nachteile:
  • Durch die verschlüsselte Ablage sind folgende Dinge nicht mehr möglich:
    o Stellvertretung (die Stellvertretung benötigt dafür das Zertifikat)
    o Automatische Weiterleitung
    o Mobiler Zugriff (das Zertifikat muss auf dem Mobilgerät vorhanden sein)
    o Archivierung problematisch (siehe hier)
  • Das gesamte Schlüsselmaterial muss auf jedem Computer zur Verfügung stehen, auf dem die E-Mails gelesen und verschlüsselt werden sollen.
  • Für jede Mailadresse muß ein separates Zertifikat beantragt, installiert und verlängert werden.

Gatewaybasierte Verschlüsselung

Ein zentrales Gateway enthält die Schlüsselinfrastruktur für die gesamte Domäne.
Die Mailclients verbinden sich per Transportverschlüsselung mit dem Gataway und holen die unverschlüsselten Nachrichten ab.
Die S/MIME-Inhaltsverschlüsselung schützt die Verbindung Entferntes Ende <-> Gateway, die TLS-Verschlüsselung die Verbindug Gateway <-> lokales Ende.
Das Gateway verwaltet alle Zertifikate wie Domainzertifikate, Gruppenzertifikate (einkauf@...) oder Userzertifikate.
Gute Gateways unterstützen S/MIME und PGP und bieten eine Verschlüsselungslösung für User ohne PKI-Infrastruktur.
Schlüssel werden teilweise selbst beantragt und verlängert, interne Schlüssel selbst erstellt.

Vorteile:
  • Durch die unverschlüsselte Ablage im Postfach ergeben sich folgende Vorteile:
    o Stellvertretung ohne weiteres möglich
    o Automatische Weiterleitung
    o Mobiler Zugriff auf das Gateway
    o Kein Problem bei der Wiederherstellung der (unverschlüsselten) archivierter E-Mails
  • Zentrale Zertifikatsverwaltung, automatische Zuweisung der Verschlüsselung.
  • Benutzer kann ggf. trotzdem die Verschlüsselung der E-Mail per Add-In oder Betreffzeilen-Steuerung deaktivieren.
  • alle Mailadressen der Domain können ggf. über ein Domain-Zertifikat verwaltet werden.
Nachteile:
  • E-Mails liegen unverschlüsselt im lokalen Postfach. Jeder mit Zugriffsrechten auf das Postfach kann sie lesen.

Das Prinzip der verschiedenen E-Mail Verschlüsselungsverfahren erkläre ich im Artikel E-Mail Verschlüsselung.
• Übersicht und Vergleich gängiger Gateway-Lösungen.

Posted: 18.10.2018   /  Updated: 05.11.2018


Neuer Kommentar, Anmerkung oder Hinweis