Sichere E-Mail mit Kopano

11.03.2021 - Robert Siedl

Zweifelsohne zählt die E-Mail zu einem der wichtigsten Kommunikationsmitteln im heutigen digitalen Alltag. Ich möchte dir in diesem Blog-Eintrag erläutern, wie du vertrauliche Nachrichten sicher per E-Mail übermitteln kannst.

Grundsätzlich gilt, dass eine E-Mail eine „Postkarte“ im Internet ist. Das heißt, eine E-Mail ist eine „Textnachricht“ welche über das Internet verschickt wird und von jedem „Briefträger“ (= Router, Server, Spamschutz, Administrator oder Personen, welche Zugriff auf dein Postfach haben) gelesen werden könnte.

Möchtest du deine E-Mail vertraulich und sicher übertragen, sodass nur der Empfänger den Inhalt der Nachricht lesen kann? Dann würde ich Folgendes empfehlen:

Verschlüsselter Zugriff auf die Kopano WebApp:
Der Zugriff von deinem Client auf die Kopano WebApp sollte - wie beim Elektronic Banking – nur verschlüsselt erfolgen. Mit einem SSL-Zertifikat werden die Daten zwischen Client und Mailserver nur über einen gesicherten Kanal übertragen und können von Dritten nicht mitgelesen werden. Neben dem „s“ bei „http“ (also https://) erkennst du eine sichere Verbindung an dem Schlosssymbol in der URL-Zeile deines Browsers. Beim Klick darauf wird das verwendete Zertifikat und die Gültigkeit angezeigt. Sollte das nicht der Fall sein, dann muss ein SSL-Zertifikat am Mailserver aktiviert werden.

Verschlüsselte Kommunikation zwischen den Mailservern:
Ähnlich wie beim verschlüsselten Zugriff auf die WebApp sollte auch der Mail-Transport verschlüsselt werden. Der Maildienst SMTP (zB: postfix) auf deinem Mailserver prüft den Empfänger-Mailserver ob eine verschlüsselte Übertragung möglich ist. Wenn ja, dann erfolgt die Übertragung der E-Mail auf einem verschlüsselten Kanal. Die externen Übermittler (zB: Router, Server, usw...) können durch die verschlüsselte Leitung deine Nachricht nicht mehr mitlesen. Wenn der Empfänger-Server keine sichere Verbindung zulässt, dann wird die E-Mail unverschlüsselt übertragen.

Um eine verschlüsselte Verbindung aufzubauen, muss die Konfiguration vom postfix angepasst und ein Zertifikat am Server installiert werden (zB: von Let‘s Encrypt https://letsencrypt.org).

Das Problem an dieser Stelle ist, dass du als User nicht weißt, ob deine E-Mail auf einem verschlüsselten Kanal übertragen wird oder nicht und obwohl das seit einigen Jahren zur Standardkonfiguration gehört, gibt es immer noch sehr viele Server, welche eine verschlüsselte Verbindung nicht akzeptieren.

Wichtig: In diesem Verfahren wird nur der Transportweg verschlüsselt, nicht aber die Mail selber! Das heißt am Mailserver, Spamschutzserver oder am Client liegt die E-Mail unverschlüsselt!

Die E-Mail mit einem S/MIME Zertifikat signieren
Mit einem gültigen S/MIME Zertifikat kannst du deine E-Mail digital signieren. Eine digital signierte E-Mail verifiziert die Echtheit des Absenders. Damit weiß der Empfänger, dass die E-Mail tatsächlich von dir ist und schützt somit vor Phishing- und Spoofing-Angriffen. Zusätzlich kann der E-Mail-Inhalt nicht verändert werden. Um E-Mails mit S/MIME im Kopano zu signieren bzw. zu verschlüsseln muss in der WebApp unter Einstellungen → Plugins → das S/MIME Plugin aktiviert und dein S/MIME Zertifikat hochgeladen werden.

Beim Verfassen einer neuen E-Mail erscheinen nachher zwei zusätzliche Buttons („Signieren“ „Verschlüsseln“) in der Mail-Menüleiste.

Der Klick auf den „Signieren"- Button erfordert die Eingabe von deinem S/MIME Zertifikats-Kennwort, welches bei der Zertifikatserstellung festgelegt wurde.
Fertig ist die signierte E-Mail!

E-Mails mit S/MIME verschlüsseln:
Die sicherste Methode ist die E-Mail mit S/MIME zu verschlüsseln. Wenn Schritt 3 gemacht wurde, dann kannst du bei einer neuen E-Mail mit einem Klick auf den Button „Verschlüsseln“ den Inhalt sowie den Anhang verschlüsseln und somit nur mehr für den/die Empfänger lesbar machen.

Für den Austausch von verschlüsselten E-Mails braucht der Versender sowie der Empfänger ein gültiges S/MIME Zertifikat (zB: von GlobalSign https://www.globalsign.com/de-de/sichere-email).

Ein S/MIME Zertifikat besteht aus zwei Bestandteilen, einen „Public Key“ und einen „Private Key“. Dein „Public Key“ wird mit jeder S/MIME signierten E-Mail mitgeschickt und dient dem Ersteller der vertraulichen E-Mail zum verschlüsseln. Dein „Private Key“ bleibt immer bei dir und wird zum Entschlüsseln benötigt. Wenn du mir eine verschlüsselte E-Mail senden möchtest, dann brauchst du zuerst meinen "Public Key". Diesen bekommst du mit jeder S/MIME signierten E-Mail von mir automatisch mitgeschickt. Der "Public Key" wird im Kopano automatisch gespeichert.

Im zweiten Schritt können Nachrichten schon verschlüsselt werden. Bei einer neuen E-Mail muss der Button „Verschlüsseln“ gedrückt werden. Die E-Mail wird in diesem Vorgang mit dem „Public Key“ vom Empfänger verschlüsselt. Mit dem „Private Key“ und der Eingabe vom S/MIME Zertifikats-Kennwort kann der Empfänger deine E-Mail entschlüsseln.

Meine Tipps:

Wenn „nur“ der Empfänger im AN… Feld angeführt wird, dann kannst du selber die E-Mail in den „Gesendeten Objekten“ auch nicht mehr lesen, weil dein "Public Key" ja nicht hinterlegt wird. Wenn du selber die verschlüsselte E-Mail später auch wieder lesen möchtest, dann musst du dich selber in CC oder in BCC einfügen, weil dann auch dein "Public Key" in der Mail gespeichert wird.
S/MIME ist ein Standard und funktioniert mit (fast) allen Mailservern und Clients.
Auf das Smartphone sollte auch nicht vergessen werden. Auch hier muss das S/MIME Zertifikat installiert werden.
Manche Smartphones brauchen beim Anzeigen von einer signierten oder verschlüsselten E-Mail länger bis diese dargestellt wird.
Wenn das S/MIME Kennwort vergessen oder das Zertifikat ungültig wird, dann kann dir auch dein Administrator nicht helfen. Verschlüsselt ist verschlüsselt!

Fazit:

Es gibt ein paar gute Methoden um seine E-Mails vertraulich zu übermitteln. Grundlegendes müssen die SysAdmins einstellen und bieten rudimentäre Sicherheit. Bei der Königsdisziplin „E-Mails verschlüsseln“ ist etwas Vorarbeit und Abstimmung notwendig, aber in der Praxis einfach für den User anzuwenden.

Ich würde mich freuen, wenn ich euch das Thema "E-Mail-Sicherheit" etwas näher bringen konnte. Schickt mir einfach eure Fragen per Mail - unverschlüsselt oder verschlüsselt ;-).

Liebe Grüße und bleib virenfrei,

Robert

<< zurück