Cookie-Einstellungen
Diese Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt.
Konfiguration
Technisch erforderlich
Diese Cookies sind für die Grundfunktionen des Shops notwendig.
"Alle Cookies ablehnen" Cookie
"Alle Cookies annehmen" Cookie
Ausgewählter Shop
CSRF-Token
Cookie-Einstellungen
Individuelle Preise
Kundenspezifisches Caching
PayPal-Zahlungen
Session
Währungswechsel
Komfortfunktionen
Diese Cookies werden genutzt um das Einkaufserlebnis noch ansprechender zu gestalten, beispielsweise für die Wiedererkennung des Besuchers.
Merkzettel
Popup zu aktuellen Hinweisen nicht mehr anzeigen
Statistik & Tracking
Endgeräteerkennung
Google Analytics
Partnerprogramm
Filter schließen

Email Encryption

Seitdem E-Mails im privaten und geschäftlichen Bereich das primäre elektronische Kommunikationsmittel geworden sind, sind verständliche Bedenken über Privatsphäre und Authentifizierung aufgekommen. Einfach formuliert: Das E-Mail-Format wird in Klartext übermittelt, ähnlich einer Postkarte, die jeder lesen kann. Da es darüber hinaus sehr einfach ist, falsche Identitäten anzunehmen, muss der Empfänger feststellen können, ob der Absender auch der ist, für den er sich ausgibt.

Die Lösung dieser Probleme ist typischerweise die Verwendung von E-Mail-Verschlüsselung und digitalen Zertifikaten – E-Mails werden dabei elektronisch signiert und kryptografisch verschlüsselt. Dies stellt sicher, dass ausschließlich der Nachrichtenempfänger diese öffnen, den Inhalt der Nachricht anzeigen (Privatsphäre) und die Identität des Absenders feststellen kann (Authentifizierung). Anders ausgedrückt: Dieser Prozess vereitelt die Idee, eine „E-Postkarte“ zugeschickt zu bekommen, und führt einen Prozess ein, der registrierten oder zertifizierten E-Mails ähnelt.

In der modernen Kryptografie gibt es zwei Verfahren für die Verschlüsselung von E-Mails: symmetrische und asymmetrische. Beide Verfahren haben sich als Standards etabliert und werden in verschiedenen Anwendungen eingesetzt. Bei der symmetrischen Verschlüsselung teilen sich Absender und Empfänger den gleichen Schlüssel.

Bei der asymmetrischen Verschlüsselung hingegen (auch bekannt als Public-Key-Kryptografie) besitzt jeder Benutzer ein Schlüsselpaar – einen öffentlichen Schlüssel (Public Key) für die Verschlüsselung der E-Mail und einen korrespondierenden privaten bzw. geheimen Schlüssel (Private Key) zur Entschlüsselung. Der öffentliche Schlüssel wird frei verteilt, während der private Schlüssel vom Benutzer geheim gehalten wird.

Ein Nachteil der symmetrischen Verschlüsselung ist, dass sich die beiden Beteiligten für eine sichere Kommunikation über den Schlüssel abstimmen und sicherstellen müssen, dass nur ihnen der Schlüssel bekannt ist. Wenn sie sich an unterschiedlichen Standorten befinden, müssen sie sicherstellen, dass der Schlüssel bei der Übermittlung geheim bleibt. Das größte Problem bei der symmetrischen Verschlüsselung ist daher die Übermittlung der Schlüssel: Wie sende ich den Schlüssel an den Empfänger, ohne dass ihn jemand abfängt? Die Public-Key-Kryptografie wurde entwickelt, um genau diese Sicherheitslücke zu schließen. Mit dieser Verschlüsselungsmethode können zwei Parteien über eine unsichere Verbindung auf sichere Weise miteinander kommunizieren, ohne dass zuvor ein gemeinsamer Schlüssel festgelegt werden muss.

Der Bedarf an E-Mail-Verschlüsselung hat eine Reihe von Standards für die Public-Key-Kryptografie hervorgebracht, vor allem S/MIMEClosed und OpenPGPClosed. Sophos UTM unterstützt beide Standards. S/MIME (Secure Multipurpose Internet Mail Extensions) ist ein Standard für asymmetrische Verschlüsselung und das Signieren von MIME-strukturierten E-Mails. Dieses Protokoll wird üblicherweise innerhalb einer Public-Key-Infrastruktur (PKI) eingesetzt und basiert auf einer hierarchischen Struktur aus digitalen Zertifikaten, wobei es eine vertrauenswürdige Instanz als Zertifizierungsstelle (CA) benötigt. Die CA stellt ein Zertifikat aus, bei dem sie eine Identität an ein Paar elektronischer Schlüssel bindet. Dieser Vorgang kann als digitales Gegenstück zu herkömmlichen Identitätsdokumenten wie einem Reisepass angesehen werden. Aus technischer Sicht stellt die CA ein Zertifikat aus, indem sie einen öffentlichen Schlüssel an einen bestimmten Distinguished Name im X.500-Standard oder an einen Alternative Name wie z.B. eine E-Mail-Adresse bindet.

Ein digitales Zertifikat ermöglicht es festzustellen, ob jemand die Berechtigung hat, einen angegebenen Schlüssel zu verwenden. Der Gedanke dahinter ist, dass man sicher sein kann, dass jemandem der fragliche öffentliche Schlüssel gehört, wenn dieser einer CA vertraut und nachweisen kann, dass der öffentliche Schlüssel von dieser CA signiert wurde.

OpenPGP (Pretty Good Privacy), der andere Standard, nutzt eine asymmetrische Verschlüsselung, die üblicherweise in einem sogenannten Web of Trust (WOT, „Netz des Vertrauens“) eingesetzt wird. Das bedeutet, dass öffentliche Schlüssel digital von anderen Benutzern signiert werden, welche durch diese Handlung die Zusammengehörigkeit von Schlüssel und Benutzer bestätigen.

Hinweis – Beachten Sie, dass die beiden Standards S/MIME und OpenPGP, obwohl sie ähnliche Dienste anbieten, sehr unterschiedliche Formate aufweisen. Das bedeutet, dass Benutzer des einen Protokolls nicht mit Benutzern des anderen Protokolls kommunizieren können. Des Weiteren können Authentifizierungszertifikate nicht für beide Protokolle verwendet werden.

Wenn zum Beispiel S/MIME, OpenPGP und SPX-Verschlüsselung aktiviert sind, sind die Prioritäten standardmäßig: S/MIME, OpenPGP und dann SPX-Verschlüsselung.

Die gesamte E-Mail-Verschlüsselung ist für den Benutzer transparent, sodass keine zusätzliche Verschlüsselungs-Software auf dem Client installiert werden muss. Einfach gesagt heißt das, dass zur Verschlüsselung der E-Mails das Zertifikat der Zielpartei oder der öffentliche Schlüssel benötigt wird. Nachfolgend sind die unterschiedlichen Funktionsweisen für ein- und ausgehende Nachrichten beschrieben:

  • Ausgehende Nachrichten von internen Benutzern werden standardmäßig gescannt, automatisch signiert und verschlüsselt. Für die Signierung und die Verschlüsselung wird entweder das Zertifikat (S/MIME) oder der öffentliche Schlüssel (OpenPGP) des Empfängers verwendet. Das Zertifikat oder der öffentliche Schlüssel müssen dafür auf UTM vorhanden sein.
  • Verschlüsselte eingehende Nachrichten von externen Benutzern, deren S/MIME-Zertifikat oder öffentlicher OpenPGP-Schlüssel UTM bekannt ist, werden automatisch entschlüsselt und auf Viren überprüft. Um die Nachricht zu entschlüsseln, muss der S/MIME-Schlüssel oder der private OpenPGP-Schlüssel des internen Benutzers auf UTM installiert sein.
  • Verschlüsselte eingehende Nachrichten von externen Benutzern oder für interne, der UTM unbekannte Benutzer werden zugestellt, obwohl sie nicht entschlüsselt und deshalb nicht auf Viren oder Spam gescannt werden können. Es liegt dann in der Verantwortung des Empfängers (interner Benutzer), sicherzustellen, dass die E-Mail keine Schadsoftware enthält, beispielsweise durch die Benutzung einer eigenen Firewall.
  • Ausgehende Nachrichten, die bereits clientseitig verschlüsselt wurden, werden direkt an den Empfänger weitergeleitet, wenn das entsprechende Zertifikat (S/MIME) oder der öffentliche Schlüssel (OpenPGP) nicht bekannt ist. Falls jedoch das S/MIME-Zertifikat oder der öffentliche OpenPGP-Schlüssel des Empfängers vorhanden ist, werden die Nachrichten ein zweites Mal verschlüsselt. Beachten Sie, dass im Voraus verschlüsselte Nachrichten nicht auf schädlichen Inhalt gescannt werden können.
  • Entschlüsselung wird nur bei eingehenden E-Mails durchgeführt, wobei mit „eingehend“ gemeint ist, dass der Domänenname der Absenderadresse nicht Bestandteil eines SMTP-Profils ist. Beispiel: Damit die Nachricht von der Adresse max.mustermann@beispiel.de entschlüsselt wird, darf die Domäne beispiel.denicht in den Routing-Einstellungen oder in irgendeinem SMTP-Profil angegeben sein.
  • In die Betreffzeile jeder E-Mail wird eine Zusammenfassung des Signatur-/Verschlüsselungsergebnisses eingefügt. Beispiel: Einer E-Mail, die mit S/MIME korrekt signiert und verschlüsselt wurde, wird die Information „(S/MIME: signiert und verschlüsselt)" in die Betreffzeile hinzugefügt.

Hinweis – Das Hinzufügen einer Fußzeile durch ein E-Mail-Programm (z.B. Microsoft Outlook oder Mozilla Thunderbird) zu Nachrichten, die bereits signiert oder verschlüsselt sind, zerstört die Signatur der E-Mails und macht sie damit ungültig. Wenn Sie digitale Zertifikate Client-seitig erzeugen wollen, deaktivieren Sie die Fußzeile der Antivirenprüfung. Wenn Sie jedoch nicht auf Datenschutz und Authentifizierung in Ihrer E-Mail-Kommunikation verzichten möchten und dennoch eine allgemeine Fußzeile für die Antivirenprüfung verwenden wollen, sollten Sie die integrierte E-Mail-Verschlüsselungs-Funktion von Sophos UTM einsetzen. Bei der Email Encryption auf dem Gateway wird die Fußzeile vor der digitalen Signierung zur Nachricht hinzugefügt, wodurch die Signatur intakt bleibt.

Seitdem E-Mails im privaten und geschäftlichen Bereich das primäre elektronische Kommunikationsmittel geworden sind, sind verständliche Bedenken über Privatsphäre und Authentifizierung... mehr erfahren »
Fenster schließen
Email Encryption

Seitdem E-Mails im privaten und geschäftlichen Bereich das primäre elektronische Kommunikationsmittel geworden sind, sind verständliche Bedenken über Privatsphäre und Authentifizierung aufgekommen. Einfach formuliert: Das E-Mail-Format wird in Klartext übermittelt, ähnlich einer Postkarte, die jeder lesen kann. Da es darüber hinaus sehr einfach ist, falsche Identitäten anzunehmen, muss der Empfänger feststellen können, ob der Absender auch der ist, für den er sich ausgibt.

Die Lösung dieser Probleme ist typischerweise die Verwendung von E-Mail-Verschlüsselung und digitalen Zertifikaten – E-Mails werden dabei elektronisch signiert und kryptografisch verschlüsselt. Dies stellt sicher, dass ausschließlich der Nachrichtenempfänger diese öffnen, den Inhalt der Nachricht anzeigen (Privatsphäre) und die Identität des Absenders feststellen kann (Authentifizierung). Anders ausgedrückt: Dieser Prozess vereitelt die Idee, eine „E-Postkarte“ zugeschickt zu bekommen, und führt einen Prozess ein, der registrierten oder zertifizierten E-Mails ähnelt.

In der modernen Kryptografie gibt es zwei Verfahren für die Verschlüsselung von E-Mails: symmetrische und asymmetrische. Beide Verfahren haben sich als Standards etabliert und werden in verschiedenen Anwendungen eingesetzt. Bei der symmetrischen Verschlüsselung teilen sich Absender und Empfänger den gleichen Schlüssel.

Bei der asymmetrischen Verschlüsselung hingegen (auch bekannt als Public-Key-Kryptografie) besitzt jeder Benutzer ein Schlüsselpaar – einen öffentlichen Schlüssel (Public Key) für die Verschlüsselung der E-Mail und einen korrespondierenden privaten bzw. geheimen Schlüssel (Private Key) zur Entschlüsselung. Der öffentliche Schlüssel wird frei verteilt, während der private Schlüssel vom Benutzer geheim gehalten wird.

Ein Nachteil der symmetrischen Verschlüsselung ist, dass sich die beiden Beteiligten für eine sichere Kommunikation über den Schlüssel abstimmen und sicherstellen müssen, dass nur ihnen der Schlüssel bekannt ist. Wenn sie sich an unterschiedlichen Standorten befinden, müssen sie sicherstellen, dass der Schlüssel bei der Übermittlung geheim bleibt. Das größte Problem bei der symmetrischen Verschlüsselung ist daher die Übermittlung der Schlüssel: Wie sende ich den Schlüssel an den Empfänger, ohne dass ihn jemand abfängt? Die Public-Key-Kryptografie wurde entwickelt, um genau diese Sicherheitslücke zu schließen. Mit dieser Verschlüsselungsmethode können zwei Parteien über eine unsichere Verbindung auf sichere Weise miteinander kommunizieren, ohne dass zuvor ein gemeinsamer Schlüssel festgelegt werden muss.

Der Bedarf an E-Mail-Verschlüsselung hat eine Reihe von Standards für die Public-Key-Kryptografie hervorgebracht, vor allem S/MIMEClosed und OpenPGPClosed. Sophos UTM unterstützt beide Standards. S/MIME (Secure Multipurpose Internet Mail Extensions) ist ein Standard für asymmetrische Verschlüsselung und das Signieren von MIME-strukturierten E-Mails. Dieses Protokoll wird üblicherweise innerhalb einer Public-Key-Infrastruktur (PKI) eingesetzt und basiert auf einer hierarchischen Struktur aus digitalen Zertifikaten, wobei es eine vertrauenswürdige Instanz als Zertifizierungsstelle (CA) benötigt. Die CA stellt ein Zertifikat aus, bei dem sie eine Identität an ein Paar elektronischer Schlüssel bindet. Dieser Vorgang kann als digitales Gegenstück zu herkömmlichen Identitätsdokumenten wie einem Reisepass angesehen werden. Aus technischer Sicht stellt die CA ein Zertifikat aus, indem sie einen öffentlichen Schlüssel an einen bestimmten Distinguished Name im X.500-Standard oder an einen Alternative Name wie z.B. eine E-Mail-Adresse bindet.

Ein digitales Zertifikat ermöglicht es festzustellen, ob jemand die Berechtigung hat, einen angegebenen Schlüssel zu verwenden. Der Gedanke dahinter ist, dass man sicher sein kann, dass jemandem der fragliche öffentliche Schlüssel gehört, wenn dieser einer CA vertraut und nachweisen kann, dass der öffentliche Schlüssel von dieser CA signiert wurde.

OpenPGP (Pretty Good Privacy), der andere Standard, nutzt eine asymmetrische Verschlüsselung, die üblicherweise in einem sogenannten Web of Trust (WOT, „Netz des Vertrauens“) eingesetzt wird. Das bedeutet, dass öffentliche Schlüssel digital von anderen Benutzern signiert werden, welche durch diese Handlung die Zusammengehörigkeit von Schlüssel und Benutzer bestätigen.

Hinweis – Beachten Sie, dass die beiden Standards S/MIME und OpenPGP, obwohl sie ähnliche Dienste anbieten, sehr unterschiedliche Formate aufweisen. Das bedeutet, dass Benutzer des einen Protokolls nicht mit Benutzern des anderen Protokolls kommunizieren können. Des Weiteren können Authentifizierungszertifikate nicht für beide Protokolle verwendet werden.

Wenn zum Beispiel S/MIME, OpenPGP und SPX-Verschlüsselung aktiviert sind, sind die Prioritäten standardmäßig: S/MIME, OpenPGP und dann SPX-Verschlüsselung.

Die gesamte E-Mail-Verschlüsselung ist für den Benutzer transparent, sodass keine zusätzliche Verschlüsselungs-Software auf dem Client installiert werden muss. Einfach gesagt heißt das, dass zur Verschlüsselung der E-Mails das Zertifikat der Zielpartei oder der öffentliche Schlüssel benötigt wird. Nachfolgend sind die unterschiedlichen Funktionsweisen für ein- und ausgehende Nachrichten beschrieben:

  • Ausgehende Nachrichten von internen Benutzern werden standardmäßig gescannt, automatisch signiert und verschlüsselt. Für die Signierung und die Verschlüsselung wird entweder das Zertifikat (S/MIME) oder der öffentliche Schlüssel (OpenPGP) des Empfängers verwendet. Das Zertifikat oder der öffentliche Schlüssel müssen dafür auf UTM vorhanden sein.
  • Verschlüsselte eingehende Nachrichten von externen Benutzern, deren S/MIME-Zertifikat oder öffentlicher OpenPGP-Schlüssel UTM bekannt ist, werden automatisch entschlüsselt und auf Viren überprüft. Um die Nachricht zu entschlüsseln, muss der S/MIME-Schlüssel oder der private OpenPGP-Schlüssel des internen Benutzers auf UTM installiert sein.
  • Verschlüsselte eingehende Nachrichten von externen Benutzern oder für interne, der UTM unbekannte Benutzer werden zugestellt, obwohl sie nicht entschlüsselt und deshalb nicht auf Viren oder Spam gescannt werden können. Es liegt dann in der Verantwortung des Empfängers (interner Benutzer), sicherzustellen, dass die E-Mail keine Schadsoftware enthält, beispielsweise durch die Benutzung einer eigenen Firewall.
  • Ausgehende Nachrichten, die bereits clientseitig verschlüsselt wurden, werden direkt an den Empfänger weitergeleitet, wenn das entsprechende Zertifikat (S/MIME) oder der öffentliche Schlüssel (OpenPGP) nicht bekannt ist. Falls jedoch das S/MIME-Zertifikat oder der öffentliche OpenPGP-Schlüssel des Empfängers vorhanden ist, werden die Nachrichten ein zweites Mal verschlüsselt. Beachten Sie, dass im Voraus verschlüsselte Nachrichten nicht auf schädlichen Inhalt gescannt werden können.
  • Entschlüsselung wird nur bei eingehenden E-Mails durchgeführt, wobei mit „eingehend“ gemeint ist, dass der Domänenname der Absenderadresse nicht Bestandteil eines SMTP-Profils ist. Beispiel: Damit die Nachricht von der Adresse max.mustermann@beispiel.de entschlüsselt wird, darf die Domäne beispiel.denicht in den Routing-Einstellungen oder in irgendeinem SMTP-Profil angegeben sein.
  • In die Betreffzeile jeder E-Mail wird eine Zusammenfassung des Signatur-/Verschlüsselungsergebnisses eingefügt. Beispiel: Einer E-Mail, die mit S/MIME korrekt signiert und verschlüsselt wurde, wird die Information „(S/MIME: signiert und verschlüsselt)" in die Betreffzeile hinzugefügt.

Hinweis – Das Hinzufügen einer Fußzeile durch ein E-Mail-Programm (z.B. Microsoft Outlook oder Mozilla Thunderbird) zu Nachrichten, die bereits signiert oder verschlüsselt sind, zerstört die Signatur der E-Mails und macht sie damit ungültig. Wenn Sie digitale Zertifikate Client-seitig erzeugen wollen, deaktivieren Sie die Fußzeile der Antivirenprüfung. Wenn Sie jedoch nicht auf Datenschutz und Authentifizierung in Ihrer E-Mail-Kommunikation verzichten möchten und dennoch eine allgemeine Fußzeile für die Antivirenprüfung verwenden wollen, sollten Sie die integrierte E-Mail-Verschlüsselungs-Funktion von Sophos UTM einsetzen. Bei der Email Encryption auf dem Gateway wird die Fußzeile vor der digitalen Signierung zur Nachricht hinzugefügt, wodurch die Signatur intakt bleibt.

Filtern
Allgemein Optionen Interne Benutzer S/MIME-Zertifikate OpenPGP-Schlüssel S/MIME-CAs
Schnelle Lieferung
PayPal Express
Qualifizierter Support
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung
Ablehnen Alle akzeptieren Konfigurieren