S/Mime und Outlook
Mit Outlook können Sie wie mit anderen Mailclients ohne weitere Add-ons mit S/MIME starten. Es reicht ein auf ihre Mailadresse ausgestelltes Zertifikat mit dem passenden privaten Schlüssel und ein paar kleine Einstellungen.
Aber achten Sie auf eine aktuelle Version. Manchmal funktioniert die Verschlüsselung nicht
- Fake Crypto: Microsoft Outlook S/MIME
Cleartext Disclosure (CVE-2017-11776)
https://www.sec-consult.com/en/blog/2017/10/fake-crypto-microsoft-outlook-smime-cleartext-disclosure-cve-2017-11776/index.html
Das ist natürlich eine Steilvorlage für das Marketing von NoSpamProxy, da wir hier auf dem Gateway verschlüsseln und entschlüsseln.
Verschlüsselte Mails mit Outlook
Im Posteingang können Sie schon anhand des Icons erkennen, welche Mails verschlüsselt (blaues Schloss) oder nur signiert (rote Schleife) sind.
Wenn Sie die Mail sich dann anzeigen lassen, sehen Sie am rechten oberen Rand die Sinnbilder. Diese Mail ist also sowohl digital signiert als auch verschlüsselt. Wenn Sie auf die Schaltflächen klicken, dann zeigt ihnen Outlook auch das Zertifikat an:
Ist eine Signatur ungültig, dann warnt Sie Outlook gesondert und zeigt in der Mail einen deutlichen roten Balken an.
Normalerweise sollten Sie nun alarmiert sein, denn wenn jemand signiert sendet, sollte das auch passen. Dieser Warnung kommt daher meist wenn:
- Selbstzertifikat
Wenn der Absender gerade noch am üben ist, dann nutzt er häufig ein selbst ausgestelltes Zertifikat. Ihr PC kennt dann die ausstellende CA nicht und stuft das an sich gültige Zertifikat aber als nicht vertrauenswürdig ein. - Datum verfallen
Auch Zertifikate verlieren ihre Gültigkeit. Gerade wenn Sie ältere Nachrichten noch einmal lesen, kann die Warnung auftreten - FäLSCHUNG
Oder jemand sendet ihnen wirklich eine Mail, fälscht die Absenderadresse und erhofft sich durch die angebliche Signierung doch als "vertrauenswürdig" durch zu kommen.
Mail mit Outlook S/MIME versenden
Wenn Sie eine Mail mit Outlook über S/MIME versenden wollen, dann sollten Sie zwei Dinge sich immer wieder in Erinnerung rufen:
- Sie benötigen das Zertifikat des Empfängers zum Verschlüsseln
Der Empfänger muss sich dieses also erst besorgen und das Zertifikat mit dem darin enthaltenen Public Key senden. Das kann er am einfachsten damit machen, dass er eine signierte Mail zu ihnen schickt und dort das Zertifikat mit anhängt. - Ihr eigenes Zertifikat reicht nur zum Signieren
Wenn Sie kein Zertifikat der Gegenstelle haben, dann können Sie nicht verschlüsseln. Wenn Sie ein eigenes Zertifikat haben, dann können Sie die Mail digital signieren. Dies bedeutet aber, dass die Mail nicht verschlüsselt wird, aber jeder Empfänger (und Mitlauscher) prüfen kann, dass die Mail wirklich von ihnen kommt
Sie erfassen dann ganz normal eine Nachricht mit Outlook und können dann in den Optionen die Nachricht verschlüsseln und signieren:
Das ist auf Dauer natürlich zu umständlich. Daher können Sie über "Extras - Anpassen" die Symbole in der Leiste anpassen. Die Beiden Symbole für Verschlüsseln und signieren befinden sich im Bereich "Standard".
Dann kann die Verschlüsselung und Signierung mit einem Mausklick erfolgen.
- 936029 The "Request für Permission to use a Key" dialog box appears whenever you try to send an e-mail message in Outlook 2007 after you configure Outlook 2007 to use a digital signature in Windows Vista
SMIME und Gruppenrichtlinien
In den ADM-Vorlagen für Office gibt es ebenfalls Möglichkeiten, das Verhalten bei Zertifikaten zentral zu steuern. Die Einstellungen hinterlassen sich in folgendem Key
HKEY_CURRENT_User\Software\Policies\Microsoft\Office\10.0\Outlook\Security
Weitere Links
- Use Digital IDs (Certificates)
to prove your identity in
Outlook email transactions
http://blogs.msdn.com/b/mvpawardprogram/archive/2012/04/09/use-digital-ids-certificates-to-prove-your-identity-in-outlook-email-transactions.aspx - Using S/MIME in Microsoft Outlook
http://searchexchange.techtarget.com/generic/0,,sid43_gci1252311,00.html - Common Trust, Encryption and Digital ID
Troubleshooting - für Microsoft Outlook and Microsoft
Exchange Users
http://blogs.technet.com/b/exchange/archive/2005/01/14/353167.aspx - Security and privacy für Outlook 2007 How to
http://office.microsoft.com/en-us/outlook/CH100622191033.aspx - Publish S/MIME certificates für external contacts to
Active Directory für use with Exchange Server 2007
http://blogs.technet.com/b/exchange/archive/2008/04/23/448761.aspx - Festlegen einheitlicher
Outlook 2007-Kryptografieoptionen für eine Organisation
http://technet.microsoft.com/de-de/library/cc179034.aspx - Windows Mobile SMIME Implementation Guide.pdf
http://download.microsoft.com/download/1/a/9/1a9019c5-4fdb-4fab-a6f3-29e649558a93/Windows%20Mobile%20SMIME%20Implementation%20Guide.pdf - Fake Crypto: Microsoft
Outlook S/MIME Cleartext
Disclosure (CVE-2017-11776)
https://www.sec-consult.com/en/blog/2017/10/fake-crypto-microsoft-outlook-smime-cleartext-disclosure-cve-2017-11776/index.html - Exchange 2010 - Security - S/MIME.
Part 1: http://davidmtechblog.blogspot.sg/2013/06/exchange-2010-security-smime-part-1.html
Part 2: http://davidmtechblog.blogspot.com/2013/07/exchange-2010-security-smime-part-2.html
Part 3: http://davidmtechblog.blogspot.com/2013/07/exchange-2010-security-smime-part-3.html