FAQ

Funktionsweise: Der Inhalt der E-Mail wird durch asymmetrische Verschlüsselung sichergestellt. Sowohl Empfänger, als auch Absender müssen einen asymetrisches Schlüsselpaar besitzen sowie die entsprechende Software.

1. Verschlüsselung:
   Der Sender verschlüsselt den Inhalt der Mail mit dem ihm bekannten public Key des Empfängers. Der Empfänger benötigt seinen eigenen private Key, um die Mail zu entschlüsseln.
2. Signierung:
   Ausgehende Mails werden zusätzlich mit einer Signatur versehen, anhand derer der Empfänger validieren kann, dass die Mail tatsächlich vom  Absender stammt und der Inhalt unverändert ist. Diese Validierung seitens des Empfängers ist mit jedem Mailprogramm möglich, auch wenn kein eigener S/MIME-Key vorhanden ist

Zum vollständigen Artikel

Verschlüsselt kommunizieren können Sie mit allen Geschäftspartnern und Kunden, die selbst über einen gültigen S/MIME Key verfügen und die entsprechende Software in Einsatz haben. Das ist zunehmend im Business-to-Business Umfeld der Fall. Private Mailadressen sind dagegen kaum mit S/MIME ausgestattet.

Für wichtige Mail-Partner ohne eigenes S/MIME stellt SecuMail Encryption das Web-Encryption (Gina) bereit. Bei diesem Verfahren wird auf Seite des Empfängers die Verschlüsselung durch einen abgesicherten Webmail-Zugang bereitgestellt.

 

In jeder S/MIME signierten Mail, die von Ihren Mailpartnern eingeht ist der public key des Senders enthalten. Dieser wird im Durchlauf extrahiert und abgespeichert, so, dass Ihre Antwort and die Mail bereits automatisch für diesen Key verschlüsselt wird.

Das einsammeln der public Keys sowie die Entscheidung ob eine Mail verschlüsselt werden kann passieren vollautomatisch. Es wird verschlüsselt, sobald technisch möglich. Weder Benutzer noch Admin müssen dazu Hand anlegen.

Im Falle von Domainzertifikaten ist ohnehin eine manuelle Eintragung aller Domainzertifikate in deren Richtung verschlüsselt werden soll, nötig. Mails an Domains, deren Domainzertifikat SecuMail bekannt ist, werden ebenfalls automatisch verschlüsselt. Das gilt übrigens auch für Benutzer, die weder ein Einzelzertifikat noch ein Domainzertifikat haben.

SecuMail Encryption kümmert sich vollautomatisch um den jährlichen Key-Rollover.
Eine Woche bevor ein Key abläuft, wird ein neuer erzeugt, der sofort für die S/MIME Signaturen der ausgehenden Mails verwendet wird. Auf diese Weise lernen andere System den neuen Key kennen, während der alte Key parallel noch eine Woche zum entschlüsseln von Mails erhalten bleibt.
Weder Benutzer noch Admin müssen dazu Hand anlegen.

SecuMail Encryption nutzt S/MIME Zertifikate von (derzeit) SwissSign. Die Zertifikate werden sicher und vollautomatisch mittels MPKI-Schnittstelle ausgestellt. Neue Zertifikate können per Mouse Klick in Echtzeit ausgestellt werden, würden jedoch spätestens mit der ersten ausgehenden Mail eines eingetragenen Benutzers automatisch erzeugt.

Damit die automatische Schlüsselgenerierung im Namen von SwissSign klappt, muss Ihre Domain zur Einrichtung von uns validiert werden. Dafür benötigen wir von Ihnen anfangs und einmalig eine Unterschrift und einen TXT-Eintrag im DNS der Mail-Domain. Der DNS-Eintrag wird jährlich erneuert.

Wer E-Mails signieren oder verschlüsseln will, benötigt kryptografische Schlüssel. Üblicherweise wird für jede Person (E-Mail-Adresse) ein Schlüssel erzeugt und verwaltet (Einzelzertifikat). Es gibt aber auch die Variante, nur einen einzigen Schlüssel für alle Nutzer zu verwenden (Domainzertifikat).

Unterschied zwischen Einzel- und Domain-Zertifikaten:

• Einzel- / Benutzer-Zertifikat: Kann signieren und verschlüsseln. Alles läuft vollautomatisch (bei SecuMail Encryption)
• Domain-Zertifikat: manuelle Schlüsselverwaltung des eigenen und der Partner-Domains, keine Signaturen möglich, nur ein Schlüssel pro E-Mail-Domain anstatt pro User.

Eine Gegenüberstellung der zwei Varianten finden Sie in unserem SecuMail Blog: Mehr erfahren

Die S/MIME-Technik ist im Business-Umfeld etabliert und es ist davon auszugehen, dass mittlerweile die meisten Unternehmen zumindest einige Adressen oder Benutzer mit S/MIME ausgestattet haben.

Dagegen sind Privatanwender aufgrund des für Laien nicht unbeträchtlichen IT-Aufwands bisher selten mit S/MIME ausgestattet.

Web-Encryption ermöglicht eine verschlüsselte Kommunikation, auch mit Empfängern, die selbst kein S/MIME haben. Dazu wird die Mail vom Gateway abgefangen und dem Empfänger als HTTPS-Download bereitgestellt. Der externe Empfänger erhält dafür einen dauerhaften Login auf dem Web-Gateway und kann fortan den verschlüsselten Mailverkehr über den Webbrowser einsehen und abwickeln.

Keine Aktion notwendig. Signierung aller ausgehenden Mails und Verschlüsselung wenn der Empfänger als S/MIME-User bekannt ist, funktionieren vollautomatisch. Sie als Benutzer müssen folglich keine manuellen Einstellungen vornehmen.
Ihr Administrator muss keine Anpassungen an Ihrem Mail-Client oder Server vornehmen.

Alle ausgehenden Mails der eingerichteten Benutzer werden verschlüsselt, sobald ein gültiges S/MIME Zertifikat des Empfängers bekannt ist. Das gilt gleichermaßen für Einzel- und Domainzertifikate.

Alle ausgehenden Mails von Usern, die mit einem Einzelzertifikat ausgestattet sind, werden automatisch und ohne weitere Einstellungen für alle Zieladressen signiert. Der Empfänger muss dazu keine eigene S/MIME Installation haben. Jeder Mailclient kann S/MIME Signaturen auflösen.

Keine Aktion notwendig.

Mail-Verschlüsselung bei einzelnen ausgehenden Mails erzwingen:

• Outlook: „Vertraulich“-Flag setzen

ODER

• Subject-Tag „[confidential]“ in den Betreff der ausgehenden Mail schreiben

Mail-Verschlüsselung bei einzelnen ausgehenden Mails  dauerhaft erzwingen:

• über ein entsprechendes Outlook- Plugin

ODER

• Verschlüsselung in Richtung einzelner Adressen oder Domains dauerhaft
  über Administratorregeln erzwingen. Kontaktieren Sie dazu bitte den Support.

Sie können folgendes verwenden:

• Die SeppMail Outlook-Extension installieren (https://seppmail.de/downloads/) und dann den Button Encryption deaktivieren
• Subject Tag: [noenc] verhindert die Verschlüsselung, erlaubt die Signierung
• Subject-Tag: [plain] stellt die Mail völlig unverändert zu.

Setzen Sie den Betreff-Tag „[nosign]“ :

• Wenn das Gateway eine verschlüsselte Mail entschlüsselt, wird das Tag [secure] in den Betreff geschrieben
• Mails, die unkorrekt verschlüsselt wurden und deshalb nicht entschlüsselt werden, gehen als unzustellbar zurück an den Absender.

• Gängige Mailclients validieren Mail-Signierungen selbst und zeigen dies grafisch an. Die Signierung wird vom Gateway geprüft und in jedem Fall unverändert weitergeleitet.
• „[signed OK]“ im Subject: SecuMail Enryption hat die Signierung erfolgreich geprüft.

Die Anleitung zu MX-Umstellung finden Sie in diesem FAQ-Eintrag.

Ja, SecuMail Encryption funktioniert mit allen Mail-Clients und allen Mailservern. Da es sich um einen Gateway-Service handelt, können Sie Ihre Organisation im Handumdrehen und ohne technische Veränderung Ihrer Infrastruktur mit S/MIME ausstatten.

Das SecuMail Team begleitet und unterstützt Sie gerne beim Aufgleisten von SecuMail Encryption und wird Sie mit allen nötigen Infos versorgen.

Sowohl eingehende Mails, als auch ausgehende Mails werden über SecuMail geroutet:

• eingehende Mails via MX im DNS
• ausgehende Mails via Einstellung für Sendeconnector alias Relayhost alias Smarthost  auf Ihrem Mailserver an enc.secumail.de

Ja! Eingriffe in der IT-Infrastruktur, Prozesse oder Gewohnheiten Ihrer Firma sind nicht nötig. Die technische Umstellung selbst ist allein durch Anpassen des Mailroutings umzusetzen.

An S/MIME bzw. Web-Encryption teilnehmende Benutzer müssen auf dem Gateway angelegt sein. Es müssen dabei nicht alle Benutzer einer E-Mail-Domain bzw. einer Firma teilnehmen. Nicht teilnehmende Benutzer / E-Mail-Adressen werden unverändert durchgeroutet und verursachen dabei keinerlei Kosten. Es sollten allerdings mindestens 20% der Benutzer einer Maildomain an S/MIME teilnehmen, oder andernfalls würde eine kleine Relaygebühr erhoben.

Das SecuMail Encryption Gateway funktioniert vollautomatisch und ohne Eingriff in Ihre IT.
Dagegen müssen sämtliche Prozesse bei der Einzelplatzinstallation im Mailclient selbst verwaltet werden:

• Key Management
• Ver- und Entschlüsselung
• Verschlüsselte Mails im Mailarchiv
• Verschlüsselte Mails im Mailserver
• Öffnen alter verschlüsselter Mails mit den korrekten alten abgelaufenen Keys (Keys wechseln jährlich)
• Benutzer Schulung zur Verwendung im Mailclient
• usw.

SecuMail-Encryption ist Wartungsfrei und funktioniert Out-Of-The-Box zuverlässig und ohne Eingreifen des Administrators oder der User im laufenden Betrieb.

SecuMail Encryption arbeitet mit allen Mailservices und -clouds zusammen, die die Anpassung des Mailroutings unterstützen.
Bei Office 365 kann klassisch via MX und Sendeconnector gearbeitet werden. Alternativ können auch andere verfügbare Schnittstellen, die auf SMTP basieren, genutzt werden, um eingehende und ausgehende Mails durch SecuMail zu routen.
Für das automatische Anlegen von Benutzern ist ein Import via Graph-API möglich.

 

• Die Umstellung Ihres Mailroutings zur Einrichtung.
• Die Auswahl der User, die an S/MIME teilnehmen sollen. (Kann via Import automatisiert werden)

Alle wesentlichen weiteren  Prozesse wie Ver- und Entschlüsselung, Signierung, Key-Generierung, Key-Rollover, Einsammeln der Public-Keys  usw. sind vollautomatisch.

Kalender-Einladungen und -Benachrichtigungen, sowie Mails, die im RTF (winmail.dat) generiert wurden, werden NICHT verschlüsselt, da sie aufgrund von Unzulänglichkeiten der verschiedenen Standards von Empfängern nicht zuverlässig entschlüsselt werden können somit funktionsuntüchtig wären.

Prinzipiell ja. Dabei muss in jedem Fall sichergestellt werden, dass sich keine unauthorisierten Mails als die Ihren ausgeben und Ihre Signatur ergattern. In der Regel finden wir eine Lösung. Kontaktieren Sie dazu bitte unseren Verkauf oder Support in dieser Angelegenheit.

Nachfolgend finden Sie eine Anleitung, wie Sie alle ausgehenden Mails eines Microsoft 365 Kontos über SecuMail Encryption (als Relay-Host) leiten können:

Im Exchange Admin Center unter „E-Mail Fluss“ auf „Connectors“ gehen und dort mittels der Schaltfläche „Connector hinzufügen“ den Assistenten zum Hinzufügen eines neuen Connectors starten.

 

 

 

Damit der Connector hinterher klar zugeordnet werden kann, empfiehlt es sich, einen sprechenden Namen und ggf. eine zusätzliche Beschreibung zu verwenden.

 

 

 

Anschließend wird festgelegt, dass der neue Connector nur dann verwendet wird, wenn eine entsprechende Transport-Regel greift. Die zugehörige Transport-Regel wird im zweiten Teil dieser Anleitung erstellt.

 

 

 

Dann muss der Ziel-Mailserver (Relay) hinterlegt werden, an den Microsoft 365 bzw. Exchange Online die ausgehenden E-Mails weiterleiten soll. Hier muss der Server enc.secumail.de eingetragen werden.

 

 

 

Damit die Übertragung der E-Mails zwischen O365 und SecuMail mit einer sicheren Transport-Verschlüsselung erfolgt, muss im nächsten Schritt der Haken bei „Immer TLS verwenden“ aktiviert werden.

 

 

 

Im letzten Schritt muss die Funktion des Connectors mit einer Test-Mail überprüft werden. Hierzu kann als Empfänger Adresse z.B. noreply@secumail.de verwendet werden.

 

 

 

Zum Schluss erhält man nochmal eine Übersicht der getätigten Einstellungen und kann über „Connector erstellen“ den Assistenten beenden.

 

 

 

Damit der zuvor angelegte Outbound-Connector auch verwendet wird, muss im Anschluss eine passende Transport-Regel erstellt werden. Dies geschieht über das Menü bei „E-Mail Fluss“ unter „Regeln“. Dort wird nun mittels der Schaltfläche „Eine Regel hinzufügen“ eine neue Transport-Regel erstellt.

In einem Standard-Setup empfehlen wir folgende Einstellungen:

• Diese Regel anwenden, wenn: Der Absender ist extern/intern. Der Absender befindet sich „InOrganization“.
• Gehen Sie wie folgt vor: Nachricht umleiten an Der folgende Connector. Die Nachricht mit Hilfe des folgenden Verbinders weiterleiten: SecuMail Encryption Outbound.

 

 

Im nächsten Schritt sind keine speziellen Einstellungen notwendig. Dieser kann einfach mit „Weiter“ übersprungen werden.

 

 

 

Abschließend erhält man nochmal eine Übersicht zur neuen Transport-Regel und kann diese mittels „Fertig stellen“ anlegen.

 

 

 

Als letzten Schritt muss die neue Transport-Regel noch aktiviert werden.

 

 

Wir berechnen eine monatliche Pauschale pro Benutzer, der an S/MIME teilnimmt. Das Zertifikat ist inklusive. Es fallen keine weiteren Kosten für Volumen oder Mailaufkommen an. Für die Domainvalidierung, zur Einrichtung der MPKI-Schnittstelle zur Zertifizierungsstelle wird eine einmalige Validierungspauschale erhoben.

Natürlich stellen wir SecuMail Encryption auch für Systemhäuser in der vom SecuMail Filter bekannten Whitelabel Variante zur Verfügung.

Lassen Sie sich ein individuelles Angebot erstellen oder rufen Sie uns an und lassen sich beraten.

Auch das SMIME-Gateway wird dynamisch nach der aktuellen Nutzung berechnet. SecuMail zählt dabei die Anzahl der an der Verschlüsselung teilnehmenden E-Mail-Benutzer. Alle übrigen Adressen werden ohne Verschlüsselung/Signierung durchgeleitet und nicht berechnet. Es müssen mindestens 20% der User einer Maildomain an der SMIME-Verschlüsselung teilnehmen oder alternativ dazu ein Relay-Unkostenbeitrag vereinbart werden. Die Rechnungen werden dynamisch an die aktuelle Nutzung angepasst. Staffelrabatte werden ab 100, 200, 400 … etc Usern gewährt.

Bei der Produktvariante Whitelabel für Systemhäuser wird die Summe aller Benutzer aller Mandanten für die Staffelrabatte verwendet.

Bitte Fragen Sie nach Details der einfachen Abrechnungsmethode oder lassen sich ein individuelles Angebot erstellen.

Selbstverständlich. Beide Pakete können einzeln oder zusammen für den Schutz Ihrer E-Mail-Kommunikation aktiviert werden. Informieren Sie sich unter  angebot@secumail.de oder rufen Sie an 08171-246920!

Bei der Einrichtung von SecuMail^® Encryption muss die kostenpflichtige  Schnittstelle zur Zertifizierungsstelle von Beginn an eingerichtet sein, daher können wir Sie nicht kostenlos zum Test anbieten. Bitte kontaktieren Sie unser Verkaufsteam zu dieser Angelegenheit.