Download SEPPmail Benutzerhandbuch

15
2.3
Digitale E-Mail-Signaturen
Beim Einsatz digitaler E-Mail-Signaturen wird die verbindliche E-Mail-Kommunikation gewährleistet,
indem die Authentizität einer Nachricht verifiziert werden kann. Somit wird sichergestellt, dass eine
Nachricht unverändert beim Empfänger eintrifft und der angezeigte Absender auch dem tatsächlichen
Absender entspricht.
Das Secure E-Mail-Gateway SEPPmail kann E-Mails entweder mit Benutzer- oder mit FirmenZertifikaten signieren. Die beiden Verfahren werden im Folgenden kurz erläutert:
Digitale E-Mail-Signatur mit einem Benutzerzertifikat
Das Signieren von E-Mails mit einem S/MIME-Benutzerzertifikat erlaubt dem Empfänger die
Authentizität der E-Mail mit seinem E-Mail-Client zu prüfen. Damit wird sichergestellt, dass der
Absender authentisch ist und die E-Mail während und nach dem Versand nicht verändert wurde. Bei
dieser Methode wird für jeden E-Mail-Absender ein eigenes S/MIME-Zertifikat benötigt.
In der Regel können nur Zertifikate offizieller Zertifikatsanbieter (Trusted CA) automatisiert vom
Empfänger geprüft werden. Aus diesem Grund wird dringend das Verwenden solcher offiziellen
Zertifikate empfohlen. Die SEPPmail-Appliance bietet mit ihren integrierten CA-Connectoren die
Möglichkeit den Bezug von Zertifikaten einiger offizieller Zertifizierungsstellen zu automatisieren.
Alternativ ist das Signieren von E-Mails auch im E-Mail-Client des jeweiligen Absenders möglich. Das
SEPPmail Secure E-Mail-Gateway wird diese E-Mails dann nur noch verschlüsseln. Da sich viele S/
MIME-Zertifikate zum Signieren und Verschlüsseln von E-Mails eignen, kann es sinnvoll sein, solche
Zertifikate zusätzlich auf der SEPPmail-Appliance zu installieren. Dadurch können E-Mails bereits an
der SEPPmail-Appliance mit den entsprechenden Zertifikaten automatisch entschlüsselt und somit
zum Beispiel zentral archiviert oder auf Viren geprüft werden.
Digitale E-Mail-Signatur mit einem Firmenzertifikat
Das Signieren von E-Mails mit einem S/MIME-Firmenzertifikat erfüllt auf Unternehmensebene
denselben Zweck wie das Signieren mit einem S/MIME-Benutzerzertifikat auf Personenebene. Bei
dieser Variante wird nur ein einziges Zertifikat für das Unternehmen benötigt. Da S/MIME-Zertifikate
grundsätzlich jedoch nur für eine E-Mail-Absenderadresse gültig sind, erhalten alle ausgehenden EMails den gleichen (technischen) Absender. Das heisst alle E-Mails des Unternehmens - egal wer im
Unternehmen der Absender ist - erscheinen beim Empfänger mit derselben E-Mail-Adresse. Daraus
resultieren einige Probleme:
Zwar wird beim Empfänger der korrekte Benutzername angezeigt, jedoch wird ein
automatisches Erfassen von Kontakten und zugehörigen E-Mail-Adressen nicht mehr wie
erwartet funktionieren.
Aufgrund der Häufigkeit, mit welcher diese eine Absenderadresse bei Einsatz dieser
Technologie verwendet wird, besteht eine hohe Wahrscheinlichkeit, dass diese
fälschlicherweise als SPAM eingestuft wird.
Das hätte zur Folge, dass bei den meisten Empfängern alle E-Mails des Unternehmens
abgewiesen würden.
Non Delivery Reports (NDR) also Informations-Mails welche bei Nicht-Zustellbarkeit erzeugt
werden, werden nicht an den ursprünglichen, sondern an den technischen Absender
gesendet
...
Fazit:
Diese Art der Signatur ist im produktiven Umfeld absolut nicht zu empfehlen, da über kurz oder lang
massive Support Aufwände generiert werden!
© 2015 SEPPmail AG