momentan beschäftige ich mich mit der Implementation der S/MIME-Verschlüsselung und Signierung in die bestehende E-Mail-Infrastruktur (Exchange 2010 mit Outlook 2010).
Zum Test habe ich mir zwei öffentliche Zertifikate von VeriSign organisiert und der Umgang mit Outlook 2010 funktioniert reibungslos. Nun bereitet mir nur noch die Implementierung von OWA Probleme.
Nach obiger Anleitung müsste es unter den Einstellungen eines Benutzerpostfaches den Reiter "S/MIME" geben - doch der erscheint bei mir am Client nicht - nur weiß ich nicht wieso...
Aktuell verwende ich Windows 7 (inkl. aller ServicePacks und Updates) und nutze den Internet Explorer 9. Im Internet habe ich gelesen, dass der "/owa"-Zugriff über https erfolgen muss - diese Bedingung habe ich erfüllt, denn auf OWA greife ich problemlos über die Domain "https://exchange.meineDomain.de/owa" (verwende dazu ein öffentliches Zertifikat) zu.
Gibt es weitere Voraussetzungen die ich erfüllen muss? Wenn ja welche? Oder muss ich auf Server-Seite noch etwas installieren, damit die Option am Client angezeigt wird? Oder kann man die owasmime.msi auch wo anders runterladen?
Habe die Seite "https://exchange.meineDomain.de/owa" zu den vertrauenswürdigen Seiten des IE hinzugefügt und für diese Gruppe die Sicherheitsstufe auf "sehr niedrig" gestellt.
Nur dass wir uns nicht missverstehen:
Die S/MIME-Option wird gar nicht angezeigt, soll heißen, ich habe das MSI-Paket für die Installation noch gar nicht erhalten (bzw. kriege es nicht angezeigt) und noch nicht installieren können. Und wenn ich es richtig deute, dann wird dafür (also für den Download) doch gar kein ActiveX benötigt, oder?
und es würde mich interessieren, wie ich damit wirklich Verschlüsselung kann, denn dafür brauche ich den Schlüssel des EMPFÄNGERS. Und alle weltweit mögliche Empfänger mit ihren Keys wird die Software wohl nicht kennen (und intern brauche ich das eher nicht, dass macht dann AD alleine).
Es gibt Boxen, die strippen automatisch den public Key aller signierten Mails und können demzufolge ausgehend alle Mails an diesen Empfänger wieder verschlüsselt versenden. Dauert natürlich eine Weile, oder erfordert vorab administrativen Aufwand, die Schlüssel zu hinterlegen.
klar, dass setzt aber voraus, dass die Empfänger, denen ich eine Mail schicken will, mir vorher eine signierte Mail geschickt haben.
Natürlich, das ist bei Zertifikats-basierter Verschlüsselung immer so, egal ob das per Outlook/Exchange oder extra Gateway passiert.
Was Djigzo (und andere Gateways) aber z.B. noch können ist die ganze Mail + Anhänge in ein verschlüsseltes PDF zu packen. Das Passwort teilt man dann natürlich nicht per Mail, sondern telefonisch, per SMS etc. mit.
Natürlich, das ist bei Zertifikats-basierter Verschlüsselung immer so, egal ob das per Outlook/Exchange oder extra Gateway passiert.
Ja, aber WENN ich Benutzer habe, die in der Lage sind, ihr Mails zu signieren und zu verschlüsseln (sonst würde die Schlüsselfindung mit einem Gateway nicht funktionieren), warum brauche ich dann eine Gateway?
Der Grund für den Einsatz dieser Gateway liegt ja darin, dass die Benutzer es nicht machen. Wenn es Leute aber nicht machen, kann es auch nichts lernen.
Und auch für die Signatur halte ich Gateway ungeeignet.
Oder um es an Anlehnung meiner Signatur mal zu sagen: Solche Gateways sind eine schlechte und eigentlich technische falsche Lösung für ein Verhaltensproblem.
