Verschlüsselte Mail von anderem Rechner aufrufen

  • Thunderbird-Version: 17.05
    Betriebssystem + Version: Win 7.0 Prof
    Kontenart (POP / IMAP): POP
    Postfachanbieter (z.B. GMX): eigener Server
    SMIME oder PGP:SMIME


    Guten Tag Zusammen,


    endlich hab ich entdeckt, wie im Forum ein neues Thema erstellt wird. Es dauert eben manchmal ein wenig länger, bis alles durchgeforstet ist. Sorry, dass ich bisher irgendwie immer in den falschen Beiträgen gepostet hatte.


    Nun mein heutiges Problem:


    Mails der Absender gehen verschlüsselt auf meinen Rechnern ein, zu jedem Rechnern gibt es TB-Mailadressen der jeweiligen PC-Nutzer. Dort sind sie lesbar, weil hier auch die Signatur zur jeweiligen Mailadresse hinterlegt ist. Diese Mails werden sodann bei uns zur Akte gespeichert und landen auf dem Büroserver in dem Kanzleiprogramm. Alle anderen Büroarbeitsplätze greifen auf diese Kanzleisoftware zu und können in der jeweiligen elektronischen Akte die dort gespeicherten Mails (wie alle aktenbezogenen Schreiben, pdfs etc) aufrufen, unabhängig davon, an wessen Adresse in unserem Hause die Mails gerichtet gewesen waren (Hintergrund: die Sekretärinnen haben auf ihren PC´s eigene Mailadressen in TB, die jeweils auch mit eigenen Signaturen versehen sind). Das funktioniert bei unverschlüsselten Mails seit Jahren problemlos. Geht nun aber eine Mail ein, die vom Absender mit der Signatur unserer jeweiligen Empfängermailadresse verschlüsselt ist, kann diese Mail zwar immer noch problemlos zur Akte gespeichert werden, kann aber von keinem anderen Arbeitsplatz mehr aufgerufen werden (also: aufgerufen werden kann sie, aber es erfolgt der Hinweis auf die Verschlüsselung, sie ist also nicht zu lesen). Wie könnten wir das Problem lösen? Ich habe probiert, die Signaturen der anderen Mailadressen einfach in TB auf den anderen Rechnern zu importieren, aber das will nicht so recht klappen (geht gar nicht, es wird nichts angezeigt, dass Signatur übernommen wurde). Müsste man also auf allen PC´s sämtliche Mailadressen des Büros einrichten mit den jeweiligen Signaturen?


    Sehr herzlichen Dank für Eure Hilfestellung und noch einen schönen Sonntag,
    Thomas

  • Hi,
    sicher wird Peter noch was zu dem Thema sagen, ich denke aber, es gibt zwei Möglichkeiten:

    Zitat

    Müsste man also auf allen PC´s sämtliche Mailadressen des Büros einrichten mit den jeweiligen Signaturen?

    Entweder das, oder ein Mail-Gateway einrichten, das die Mails entschlüsselt und weiterleitet. Ich kenne Aufwand und Kosten nicht, weiß aber, daß es sowas gibt.
    Gruß, muzel

  • Und hier ist er schon ... .


    Hallo Thomas,


    Selbstverständlich kannst du verschlüsselte Mails auf jedem Rechner bearbeiten. Natürlich unter Beachtung von ein paar Bedingungen:

    • Der Client muss grundsätzlich die betreffenden Mails empfangen, sich also an den betreffenden Mailkonto erfolgreich anmelden können. Das ist ja nach deiner Aussage gewährleistet. Ob für einen derartigen Mehrclientbetrieb unser Grufti POP3 das richtige Protokoll ist, oder IMAP das bessere wäre, ist hier nicht Gegenstand - sollte aber Inhalt eines späteren Nachdenkens sein.
    • Jeder berechtigte Mailclient muss in der Lage sein, die verschlüsselte E-Mail (oder konkret den Container "smime.p7m" mit dem verschlüsselten Mailinhalt) bitgenau empfangen zu können. Jegliche vorherige Manipulation an diesem Container würde bedeuten, dass die Mail zwar evtl. weiterhin darstellbar wäre, aber die Signatur der E-Mail würde immer als ungültig angezeigt werden. Dazu reicht ein einziges "gekipptes" Bit aus!
      Ich schreibe das deswegen, weil ja bei dir eine ganze Menge an Technik dazwischengeschaltet ist, deren Auswirkungen ich nicht einschätzen kann.
    • Und dann muss auf allen berechtigten Mailclients der private Schlüssel für die Mailadresse, an welche die Mail vom Absender verschlüsselt wurde, einschließlich der Herausgeberzertifikate des jeweiligen TrustCenters installiert und als vertrauenswürdig deklariert sein. Also exakt so, wie auf deinem eigenen Rechner.
      Das bedeutet also, dass jeder deiner Mitarbeiter den privaten Entschlüsselungsschlüssel der Kanzlei auf seinem Rechner haben muss!


    Du siehst, ich habe das Wort "Signaturen" bisher nicht so wie du verwendet. "Signaturen" kann nämlich zweierlei bedeuten:

    • Das, was unter einer Mail steht: "Mit freundlichen ....", oder ein sinnloser Disclaimer wie "Wenn Sie diese Mail lesen ...." oder das, was Staat unter bestimmten Mails fordert.
    • Oder eine so genannte "elektronische Signatur", also eine kryptologisch errechnete Echtheitsbestätigung.


    Letztere kann man nicht irgendwohin kopieren. Letztere wird bei einer Mail jedesmal neu berechnet und das Ergebnis angezeigt. Und entweder sie ist gültig (Mail wurde nicht manipuliert) oder sie ist es nicht.


    Was du meinst, sind:

    • Die privaten Schlüssel des Mailempfängers (hier: die der Kanzlei). Mit denen entschlüsselst du die ankommenden Mails bzw. signierst du neue Mails als Absender.
      Diese Schlüssel können entweder als "Softwareschlüssel" auch "Softwaretoken" oder "Schlüsseldatei" (.p12 oder .pfx) genannt, vorliegen. Dann können sie, so wie hier erforderlich, auf jedem Client installiert werden. Jeder hat aber dann auch die Möglichkeit, Dokumente und E-Mails im Namen der Kanzlei elektronisch signiert zu versenden. Und: Softwaretoken sind nur für die so genannte "fortgeschrittene Signatur" lt. SigG zugelassen.
      Nutzt ihr die "qualifizierte elektronische Signatur" (QES), dann befinden sich die privaten Schlüssel einmalig als Unikate auf einer Smartcard. Dann verfügt nur der Inhaber dieser Karte über die Schlüssel! (Und alles, was weiter oben steht, funktioniert nicht!)
    • Die öffentlichen Schlüssel der Mailpartner (auch Zertifikate genannt).
      Diese Schlüssel sind für jedermann frei verfügbar und sie dienen nur zum Verschlüsseln zu sendender E-Mails sowie zur Prüfung der El. Signatur empfangener Nachrichten. Selbstverständlich ist es mit diesen Schlüsseln niemals möglich, erhaltene Mails und andere Informationen zu entschlüsseln.
      Neben den Zertifikaten der Mailpartner müssen natürlich auch die Herausgeberzertifikate der ausstellenden TrustCenter sowohl der Nutzerzertifikate eurer Mailpartner als auch der eigenen privaten Schlüssel auf jedem Client vorhanden sein.



    Abhängig davon, ob Chipkarte oder Softtoken, ob die Weitergabe der privaten Schlüssel wirklich gewollt ist oder nicht, gibt es IMHO zwei Alternativen:

    • Das von muzel erwähnte Mailgateway.
      Das ist ein kommerzielles Produkt, über welches alle Mails laufen, dort entschlüsselt und unverschlüsselt an die internen Mitarbeiter weitergeleitet werden. Das ganze ist nicht gerade billig. Eine "Bastellösung" würde ich an dieser Stelle niemals empfehlen. Auf jeden Fall niemals einer Einrichtung wie einer wie auch immer gearteten Kanzlei.
    • Eine andere Alternative wäre, die (so wie ich verstanden habe, recht wenigen) eingehenden verschlüsselten Mails an einem zentralen Rechner anzuzeigen und dann als .pdf auszudrucken. Dieses pdf kann dann problemlos intern zu den Akten genommen werden und jeder kann damit arbeiten.


    HTH
    Falls du noch weitere Informationen oder Fragen hast, kann ich gern weiter auf dem Problem herumdenken.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!