Beschreibung

Mit dem MailSealer können Sie E-Mails für den Versand signieren und verschlüsseln.
Dabei können Sie zwischen verschiedenen Methoden wählen, die in 2 Produktgruppen aufgeteilt sind.

Der MailSealer Light verschlüsselt auf Basis einer Passphrase (symmetrisch):

  • Dies kann Ad-Hoc ohne Konfigurationsaufwand über eine Passphrase im Betreff einer E-Mail ausgeführt werden
  • Zur Entschlüsselung benötigt der Empfänger den MailSealer Light Reader, ein Link dazu ist in der verschlüsselten Mail enthalten
  • Eine permanente Verschlüsselung ist möglich, wenn der User in seinen Usereinstellungen die Passphrase für E-Mail-Adressen der Empfänger hinterlegt
  • Gateway Verschlüsselung wird genutzt, wenn sowohl Empfänger als auch Absender über eine REDDOXX Appliance verfügen und die Passphrase in den Usereinstellungen hinterlegt ist
  • Bei der Gatewayverschlüsselung wird die Entschlüsselung direkt bei Empfang durchgeführt, der MailSealer Light Reader ist dann nicht mehr notwendig

Der MailSealer verschlüsselt und signiert nach S/MIME auf der Basis von X509v3-Zertifikaten bzw. Schlüsselpaaren (asymmetrisch):

  • S/MIME-Zertifikate (X.509v.3) sind üblicherweise personenbezogen und werden durch eine vertrauenswürdige Zertifizierungsstelle (z.B. VeriSign, CaCert etc.) ausgestellt
  • S/MIME "Gateway-Zertifikate" können ebenfalls genutzt werden, hier muss nur ein Zertifikat pro Domäne erworben und verwaltet werden
    Hier handelt es sich um die erzwungene Verwendung eines Zertifikates unabhängig vom jeweiligen Absender.
    Diese Funktionalität ist nur für bestimmte Verfahren notwendig bzw. empfohlen.
    Daher sollten "Gatewayzertifikate" nur verwendet werden, wenn die Kommunikationspartner dies auch verarbeiten können, da sonst z.B. die Signatur der Mails von empfangenden Systemen als ungültig eingestuft werden.
  • Über das selbst-signierte Root-CA Zertifikat der REDDOXX Appliance können auch automatisch Zertifikate für die Anwender erstellt werden, dieses Zertifikat muss der E-Mail Partner in seinen Zertifikatsspeicher für Autoritäten (Certificate Authorities) importieren
  • S/Mime Zertifikate werden beim manuellen oder automatischen hinzufügen oder bei Verwendung auf Gültigkeit geprüft
  • Der OCSP Status wird stündlich, die CRL werden aller 8 Stunden geprüft.

Die E-Mail-Signierung dient der Überprüfung, ob eine E-Mail auf dem Weg vom Absender zum Empfänger unverändert übermittelt wurde und ob die E-Mail tatsächlich vom Absender stammt.

Für die E-Mail Signierung wird ein gültiges Privates Zertifikat des Absenders und die entsprechend gültige Zertifikatskette (Intermediate / Root Zertifikat des Zertifikatsausstellers) benötigt.
Das Zertifikat benötigt hierbei als Verwendungszweck (Key Usage bzw. Schlüsselverwendung) die Funktion: Digitale Signatur.
Bei der E-Mail Signierung wird ein Hash Wert (Prüfsumme) des E-Mail Dokumentes erstellt und mit Hilfe des Private Keys des Absenders verschlüsselt.
Die Signierte E-Mail enthält dann den verschlüsselten Prüfwert, das Original Dokument und den Öffentlichen Schlüssel des Absenders.

Für die E-Mail Signatur Prüfung wird der Öffentliche Schlüssel des Absenders und die entsprechend gültige Zertifikatskette (Intermediate / Root Zertifikat des Zertifikatsausstellers) benötigt.
Das empfangende System kann dann über den Öffentlichen Schlüssel des Absenders prüfen, ob der damit ermittelte Hashwert der E-Mail mit dem übermittelten Hash Wert übereinstimmt.
Ist dies der Fall, wurde die E-Mail über den Übertragungsweg nicht manipuliert.

Für die E-Mail Verschlüsselung mittels S/MIME wird das Private Zertifikat des Absenders, sowie das Öffentliche Zertifikat des Empfängers und die entsprechend gültigen Zertifikatsketten (Intermediate / Root Zertifikate der Zertifikatsaussteller) benötigt.
Das Private Zertifikat benötigt hierbei als Verwendungszweck (Key Usage bzw. Schlüsselverwendung) die Funktion: Digitale Signatur sowie Schlüsselverschlüsselung (key encipherment).

Für die E-Mail Entschlüsselung mittels S/MIME wird das Private Zertifikat des Empfängers, sowie das Öffentliche Zertifikat des Absenders und die entsprechend gültigen Zertifikatsketten (Intermediate / Root Zertifikate der Zertifikatsaussteller) benötigt.