Mit S/MIME verschlüsseln Sie E-Mail-Nachrichten und signieren diese zur Authentifizierung des Absenders und zum Schutz vor E-Mail-Spoofing. Sie können nun mittels Sophos Email Advanced S/MIME-Verschlüsselung einrichten, um Ihre E-Mail-Sicherheit zu verbessern.
Um S/MIME-codierte Nachrichten lesen zu können, müssen Benutzer digitale Zertifikate erstellen und austauschen. Digitale Zertifikate überprüfen die Eigentumsrechte eines Benutzers oder Computers über das Internet und werden von einer Zertifizierungsstelle (CA) ausgestellt.
Lokale und globale Zertifikate
Zur Verwendung von S/MIME muss die Funktion aktiviert und eine selbstsignierte, lokale Authentifizierungstelle (CA) erstellt werden. Diese Zertifizierungsstelle kann an Drittunternehmen gesendet werden, mit denen Sie kommunizieren möchten.
Benutzerzertifikate
Wenn Sie ihre lokale Zertifizierungsstelle erstellt haben, können Sie die Benutzerzertifikate erstellen und hochladen.
Im Anschluss können diese heruntergeladen und an Dritte versendet werden. Werden Ihre Zertifikate nicht von einer öffentlich anerkannten Behörde signiert, oder der Drittanbieter kann nicht automatisch aus sicheren E-Mails extrahieren, ist dies erforderlich.
Siehe Benutzerzertifikate erstellen.
Richtlinien
Nachdem S/MIME eingerichtet wurde, navigieren Sie zu „Email Security > Richtlinien“, um zu verwalten, wie der S/MIME-Schutz mit Benutzern interagiert. Siehe Erweiterter Malware-Scan für E-Mails.
S/MIME-Implementierung
Folgende Dinge gilt es zu beachten:
- Haben Sie das Zertifikat eines Absenders hochgeladen, und dieser erhält später ein neues Zertifikat, so wird die erste E-Mail des Absenders abgelehnt. Da das Zertifikat dabei extrahiert und gespeichert wird, erhalten Sie alle folgenden Mails des Absenders wie gewohnt
- Zertifikate, die Sie herunterladen, enthalten den öffentlichen Schlüssel des Benutzers. Die Dateien werden im PKCS#12-Format verschlüsselt.
- Bei ausgehenden Emails wird das Benutzer-Zertifikat an die E-Mail angehangen, nicht das CA-Zertifikat, das zum Signieren des Benutzer-Zertifikates verwendet wurde.
- Es können nur Zertifikate mit der Nachrichtenspezifikation S/MIME Version 3 oder höher hochgeladen werden
- Zertifikate mit kurzen Schlüsseln können nicht hochgeladen werden. RSA/DAS-Schlüssel benötigen eine Mindestlänge von 1024 Bit, EC-Schlüssel benötigen eine Mindestlänge der Kurve P-224 und Digest-Länge von 244 Bit.
- Das Widerrufen von S/MIME-Zertifikate wird nicht unterstützt.
- Bei signierten Nachrichten, die zwischen Sophos Email und Sophos UTM ausgetauscht werden, kann nicht überprüft werden, ob die Felder SMTP-Mail von: und rfc822 von: unterschiedlich sind.
S/MIME im Zusammenspiel mit anderen Sophos Produkten
Sophos UTM (SG)
Sophos UTM unterstützt die Verwendung von S/MIME-Zertifikaten zur Verschlüsselung und Signierung von Nachrichten.
Sophos Firewall (XG/XGS)
Sophos Firewall unterstützt die Verwendung von S/MIME-Zertifikaten nicht. Es ist derzeit nicht geplant, die Funktion in Sophos Firewall bereitzustellen. Kunden, die S/MIME im Zusammenhang mit Sophos Firewall verwenden möchten, empfehlen wir Sophos Central Email Advanced.
