OWA und SMIME

Wer Mails verschlüsseln möchte, hat meist die Wahl zwischen PGP und SMIME. Viele Versender setzen immer noch auf PGP, selbst wenn SMIME aus meiner Sicht eine sehr viel größere Verbreitung hat. Damit meine ich nicht die Zertifikate selbst, sondern die Verfügbarkeit in Anwendungen ist in den meisten Fällen einfach da. Insofern kann jeder Mitarbeiter mit einem halbwegs aktuellen Mailclient bereits signierte Nachrichten empfangen und prüfen und darauf sogar verschlüsselt antworten. Nur wer verschlüsselt empfangen will, muss sich selbst ein Zertifikat kaufen.

Fehler mit SMIME in OWA
Nach der Installation von SP3 können Sie nicht mehr per OWA mit dem SMIME-Control arbeiten. OWA fordert die Installation einer aktualisierten Version an. Die mit SP3 installierte Version von OWASMIME.MSI ist aber zu alt.

Das Problem liegt daran, dass OWA die Versionsnummer 8.3.83.4 trägt aber das S/MIME-Control (owasmime.msi) noch die 8.3.83.2. By Default erzwingt OWA ein Update, d.h. der Anwender kommt nicht weiter. Über einen Eintrag in der Registrierung des OWA-Servers kann der Zwang zumindest abgeschaltet werden.

HKLM\System\Current Control Set\Services\MSExchange OWA\SMIME\
ForceSMIMEClientUpgrade: DWORD = 0

Die Anwender bekommen zwar weiterhin eine Warnung, aber sollten diese dann ignorieren und mit der "alten Version" weiter machen. Auch Roland Ehle hat dieses Verhalten schon auf http://www.roland-ehle.de/archives/1104 beschrieben. Mich hat es nun auch in einem Support Call erwischt und ich bekam die Info von Microsoft, dass dies bekannt und bald gelöst sei.

Besser ist aber die Korrektur der Version wie auch Bharat Suneja auf dem BLOG Artikel Exchange 2007 SP3 and OWA S/MIME Version Mismatch  http://blogs.technet.com/b/exchange/archive/2010/07/09/455445.aspx beschreibt: Ein kleines VBScript patcht einfach die passende DLL-Version

Nach einen IISReset sollte dann das Problem weg sein.

Wie sieht das in OWA dann aus ?

Aber Wie sieht das mit Outlook Web Access aus ?. Hier gibt es folgende Aufgabenstellungen zu erfüllen

  • Signierte Mails empfangen
    Hierzu muss der Client oder Server die digitale Signatur überprüfen können. Allerdings benötigen Sie selbst dazu keine Zertifikate.
  • Verschlüsselte Mails empfangen
    Wenn ihnen jemand aber eine Mail verschlüsselt sendet, dann hat der Sender ihren öffentlichen Schlüssel und Sie benötigen den passenden privaten Schlüssel, um die Mail zu lesen. Nur die Informationen im Header (z.B. Datum, Absender, Betress, Wichtigkeit) sind nicht verschlüsselt. Da aber der Exchange Server normalerweise nicht ihren Private Key hat, kann OWA die Mail auch nicht auf dem Server entschlüsseln. Der Client muss die verschlüsselte Mail mit ihrem privaten Key decodieren.
  • Selbst Verschlüsseln und Signieren
    Wenn Sie selbst signieren wollen, dann benötigen Sie ebenfalls ihren privaten Schlüssel. Also wird auch das auf dem Client bzw. "im Browser" passieren. Um eine Mail zu verschlüsseln, benötigen Sie den Zugriff auf den öffentlichen Schlüssel der Empfänger. Meist sind diese in ihren Kontakten oder ebenfalls im lokalen Zertifikatsspeicher, auf die der Server keinen Zugriff hat.

Sie sehen also, dass Verschlüsselung und Signierung zwar eine höhere Sicherheit bringen, aber dafür auch ein Preis zu zahlen ist. Doch schauen wir uns die Umsetzung in OWA mit Exchange 2007 an:

Anzeigen

Ob eine Mail digital signiert oder sogar verschlüsselt ist, können Sie schon im Ordner anhand des Icons erkennen.

Signierte Mails empfangen

Eine Signierte Mail kann ich in OWA 2007 problemlos öffnen. Sogar der Status der Signatur wird geprüft und optional angezeigt.

Status einer signierten Mail

Dies funktioniert schon mit Bordmitteln mit jedem Browser. Bei einer signierten Mail kann der Exchange Server selbst die Signatur schon prüfen und muss dies nicht an den Client delegieren. Die Mail ist ja nicht verschlüsselt. Ein Fehler sieht wie folgt aus:

Signaturfehler

In dem Beispiel scheint der Exchange Server nicht die "Certificate Revocation List"  abrufen zu können.

Verschlüsselte Mails empfangen

Das Lesen von verschlüsselten Mails ist etwas komplizierter. Der Exchange Server hat ja nicht den erforderlichen private Schlüssel zum dechiffrieren. Daher sieht der Anwender erst mal nur eine Information:

Verschlüsselte Mails ohne AddIn

Man benötigt also eine Erweiterung auf dem Client, damit OWA die Mail weiterhin verschlüsselt zum Client überträgt und dort decodiert wird. Das Control muss man sich manuell laden und installieren. In den Optionen findet man den Download Link

Download SMIME Control

Das Control gibt es leider nur als MSI-Datei (ca. 2,3 Megabyte)  für Windows Clients und muss lokal installiert werden.

Installation OWA SMIME

Ein Einsatz auf anderen Betriebssystemen ist daher ausgeschlossen. Wenn man dann eine verschlüsselte Mail öffnet, dann versucht der Browser das SMIME-Control zu laden, welches dann im Zertifikatsspeicher des Benutzers nach dem passenden Zertifikat sucht.

Verschlüsselte Mail öffnen

Damit ist natürlich klar, dass das Zertifikat auf dem lokalen PC vorliegen muss. Ein Internet Terminal scheidet , abgesehen von dem fehlenden Control, auch daher aus. Es ist also eher ein Einsatz für Heimarbeitsplätze oder Notebooks. Danach wird die Mail aber komplett angezeigt. 

Selbst signieren und verschlüsselt

Wenn das SMIME Control geladen ist, dann kann ich eine neue Mail aber auch eine Antwort auf eine Mail signieren und verschlüssel. Die entsprechenden Optionen sind dann als Buttons verfügbar:

Sendeoptionen

Aber auch hier ist natürlich neben dem SMIME-Control lokal installiert sein und Zugriff auf die eigenen privaten Schlüssel (Signieren) als auch die öffentlichen Schlüssel des Empfängers (Verschlüsseln) haben.

Weitere Links