Schlagwort: E-Mail Sicherheit

Sichere E-Mail-Kommunikation mit S/MIME-Zertifikaten

Kostenlose Zertifikate

Nachdem mein Zertifikat bei Comodo nicht mehr neu beantragt werden kann, habe ich mir neue Anbieter kostenloser Zertifikate gesucht.

Hierbei bin ich zum einen auf Volksverschlüsselung gestoßen und eben auf Actalis. Bei Volksverschlüsselung hat man das Problem, dass die auszustellende CA nicht jedem bekannt ist und so die Mail-Zertifikate als ungültig bzw. nicht vertrauenswürdig angezeigt wird. Dieses Problem sollte man mit Actalis nicht haben. Jedoch glaube ich, dass man mit Volksverschlüsselung länger am Markt rechnen kann. Andere Anbieter werden oft aufgekauft oder bieten plötzlich keine kostenlosen Zertifikate an. Die Authentifizierung bei Volksverschlüsselung ist recht mühsam, wenn man seinen Perso nicht mit der Online-Funktion ausgestattet hat und kein passenden Reader bereit steht.

Bei Actalis bekommt man Stand Feb. 2020 ein kostenloses Zertifikat. Aber auch nach einem knappen Jahr später bietet Actalis kostenlose E-Mail-Zertifikate an und mann kann recht bequem das vorhandene Zertifikat verlängern.

Einfach Zertifikat anfordern, Bestätigungscode (welcher per Mail versendet wird) eingeben und Passwort für das Zertifikat ausdrucken! Das Zertifikat bekommt Ihr im Anschluss per Mail als *pfx zugesandt.

Am sinnvollsten ist es aber vor der Verwendung des Zertifikats die Stammdaten in diesem zu aktualisieren. Dies macht Ihr über das Portal von Actalis.

Nun muss das Zertifikat nur in den Zertifikatsmanager importiert werden und die meisten Mail-Clients erkennen dann das Mail-Zertifikat.

Das Zertifikat wird von der Sub-CA “Actalis Client Authentication CA G1” ausgestellt, diese CA wurde wiederum von der Actalis Authentication Root CA” signiert, welche sich im Speicher für vertrauenswürdige Stammzertifizierungsstellen von Windows befinden sollte.

Aber nun der Reihe nach …

Zertifikat erstellen

  1. https://extrassl.actalis.it/portal/uapub/freemail?lang=en

  2. Verifikation-Code von erhaltener Mail kopieren, in das Formular eintragen, Captcha-Code bestätigen und AGB’s und Werbezwecke akzeptieren bzw. deaktivieren

  3. Password was im Browser angezeigt wird unbedingt sicher abspeichern, Notieren oder ausdrucken

  4. per E-Mail erhaltenes Zertifikat (zip-Archiv) herunterladen und sicher abspeichern
    In der Mail sind auch die Zugangsdaten zum Portal mit angegeben. Über das Portal kann man das Zertifikat nochmal herunterladen oder auch Pausieren lassen oder eben auch löschen.
    https://extrassl.actalis.it/portal/

Zertifikat verlängern

ca. 30 Tage vor Ablauf der Zertifikatsgültigkeit habe ich eine E-Mail von „sslwebserver@actalis.it“ bekommen und wurde über das Auslaufen informiert. In der E-Mail war ein Link enthalten, der mich zur Webseite zum Verlängern meines Zertifikates führte.

https://extrassl.actalis.it/portal/uapub/freemail?lang=en

    1. Link besuchen und E-Mail-Adresse des Zertifikats eintragen und „SEND VERIFICATION EMAIL“-Button anklicken
    2. Den Verifizierungscode aus der danach erhaltenen E-Mail in das Formular eintragen, den Roboter bestätigen und die Punkte unter Step 2 entsprechend ausfüllen. Die letzten zwei Optionen habe ich auf „I do not consent“ gestellt, damit ich keine Werbung bekomme.
    3. Im Browser wird, wenn alles erfolgreich verlaufen ist, das Zertifikatspasswort angezeigt. Dies muss sicher notiert oder ausgedruckt werden. Nachträglich kommt man nicht mehr an das Passwort heran!

    4. Daraufhin kommt eine letzte Mail mit dem neuen Zertifikat. Dies muss nun heruntergeladen und sicher abgespeichert werden.
      In der Mail ist auch ein Link zum Portal von Actalis enthalten. Die Zugangsdaten hierfür wurden bei erstmaliger Erstellung/ Registrierung des Zertifikats übersendet und wird bei einer Verlängerung nicht noch einmal angegeben. Über das Portal kann man das Zertifikat nochmal herunterladen oder Pausieren lassen oder eben auch löschen.

Sollte beim Schritt 3 das Passwort nicht angezeigt werden, weil plötzlich der „Ich bin kein Roboter“ muniert wird obwohl dieser richtig war, dann kann es daran liegen, dass man sich zwischen den einzelnen Schritten zu viel Zeit gelassen hat. In meinem Fall wurde ein Zertifikat ausgestellt, aber keine Mail mit diesem Zugesandt und ich bekam im Browser auch das Passwort für das Zertifikat nicht zusehen.

Über das Portal-Login kann man zuviel erstellte Zertifikate löschen lassen und sich ein neues (nach dieser Anleitung) erstellen.

Zertifikat unter Windows installieren

Wenn Ihr bereits vorhergehende Zertifikate besessen habt, so solltet Ihr diese Zertifikate im Gerätespeicher behalten. Denn nur mit dem alten Zertifikat können alte damit verschlüsselte Mails gelesen werden.

Habt Ihr ein neues Zertifikat auch bei Verlängerung, so kann man mit dem neuen Zertifikat nicht die alten Mails lesen. Das neue Zertifikat gilt nur für die Mails die mit diesem Zertifikat verschlüsselt werden.

Nun müsst Ihr das Zip-Archiv entpacken und *.pfx-Datei per Doppelklick und Passworteingabe (aus Schritt 3 – Zertifikat erstellen) öffnen bzw. Importieren.

Beim Importieren würde ich persönlich darauf verzichten, dass man die „Hohe Sicherheit …“ aktiviert. Diese Einstellung ist beim Arbeiten ehr hinderlich, auch wenn es sicherer wäre.

Aber dafür würde ich den Punkt „Schlüssel als exportierbar …“ deaktiviert lassen. So ist kein anderer in der Lage sich das Zertifikat ungefragt mit eigenem Passwort abzuspeichern.

Mittels dem Befehl „certmgr.msc“ kann man auch schauen ob das Zertifikat nun da ist.

 

Mail-Konto unter Outlook 2016/2016/365 einrichten

Voraussetzung hierfür ist natürlich ein eingerichtet E-Mail-Postfach des Users der nun über ein Zertifikat verfügt.

Da ich gerne selber bestimmen möchte wo Outlook die Postfach-Datei ablegt, gehe ich den Einrichtungsschritt immer über „Systemsteuerung\Benutzerkonten\Mail“. Hier hat man unter „weitere Einstellungen“ noch ein paar Einstellmöglichkeiten die beim direkten öffnen eines frischen Outlooks nicht änderbar sind.

Einfach ein neues Profil anlegen und darin dann das neue Mailkonto. Mit etwas Glück findet Outlook alle Einstellungen zum Provider wie pop3-Server etc. alleine. Andernfalls muss man die in Erfahrung bringen und entsprechend eintragen. Diese Einstellungen sind von Provider zu Provider unterschiedlich.

Erste Testnachricht an Dritten ist angekommen. Natürlich noch ohne Signatur und nicht verschlüsselt.

Zertifikat unter Microsoft Outlook 2016/2019/365 einrichten

Unter Datei\Optionen öffnet sich Fenster wo man diverse Einstellungen vornehmen kann. Dort unter „Tust Center\Einstellungen für das Trust Center ..“ im darauf folgenden Fenster unter E-Mail-Sicherheit das importierte Zertifikat auswählen.

Wer nun ständig signierte Mails versenden möchte aktiviert das Kontrollkästchen „Ausgehende Nachrichten digitale Signatur hinzufügen“.

Wer auch „Inhalt und Anlagen für ausgehende Nachrichten verschlüsseln“ aktiviert, da versendet wenn möglich nun seine Mails immer verschlüsselt. Kann aber die Mail wegen fehlenden öffentlichen Schlüssel des Empfängers nicht verschlüsselt werden, dann erscheint bei jedem Versenden eine Message-Box. Das ist eventuell störend, so dass man hier darauf verzichtet. In diesem Fall muss man die Verschlüsselung vor dem Versand einzeln aktivieren.

Erste Testmail mit enthaltener Signatur. Die Signatur bestätigt die Echtheit meiner Mail bzw. meiner Person. Keine andere Person kann mit dieser Signatur Mails versenden. Es sei denn, man lässt sich sein privates Zertifikat und den Privaten Schlüssel klauen!

Zertifikat auf Apple iPhone/ Apple iPad installieren und einrichten

Theoretisch kann man sich selbst eine Mail mit seinem Zertifikat senden und das Zertifikat dann so auf dem iPhone/ iPad öffnen bzw. installieren. Aber …

In diesem Fall sendet man eine unverschlüsselte Mail die wiederum abgriffen werden kann. Wer nun noch an das Zertifikatspasswort kommt, kann Mails mit diesem Zertifikat versenden, lesen und manipulieren.

Aus diesem Grund gehe ich einen anderen Weg und benutze hierzu meine eigene Cloud die auf einem meiner Server läuft. Da man jetzt ein solches Zertifikat nicht aus jeder Cloud heraus öffnen kann, gehe ich den Umweg über eine mobileconfig-Datei die speziell für Apple-Geräte gedacht ist.

Wer iCloud nutzt kann gerne auch sein Zertifikat dort hochladen und dann mit Safari vom iPhone/ iPad öffnen und installieren. Bitte vergesst nicht das spätere Löschen der Dateien/ Zertifikate aus der Cloud!!

Ladet Euch die Vorlage herunter öffnet diese mit einem Editor. Da man den Editor Notepad++ später noch brauch empfehle ich dieses herunterzuladen und zu installieren.

Editiert die *.mobileconfig und ändert folgende Strings:

[Name] = Euer Name
[E-Mail-Adresse] = Eure Adresse
[PrivateKey] = langer generierter String

Speichert diese Änderung und ladet Euch die Datei in Eure Cloud/ Webserver und öffnet dann diese Datei mit Safari auf dem iPad/ iPhone.

Je nach iOS Version könnt Ihr gleich das Profil installieren oder bekommt einen Hinweis, dass ein Profil geladen wurde und über „Einstellungen“ installiert werden kann.

vorlage_actalis

String generieren

mit Notepad++ generieren

Öffnet Euer Zertifikat (*.pfx) mit Notepad++ und markiert mit STRG+A den gesamten Text. Danach geht Ihr im Menü auf „Erweiterungen -> MIME Tools -> Base64 Encode“ und kopiert Euch den nun angezeigten langen String (STRG+C). Diesen String setzt Ihr in die Vorlage anstelle [PrivateKey].

Mit PowerShell generieren

certutil -encode Mein-Zertifikat.pfx neueZertDatei.enc
$content = gc neueZertDatei.enc
$newcontent=$content[(1..($content.length – 2))] add-content key.mobileconfig -value $newcontent -encoding UTF8

Im ersten Schritt werden Daten aus dem Zertifikat in eine neue Datei (neueZertDatei.enc) geschrieben. Im zweiten weist man den Inhalt aus der Datei einer Variable zu und filtert im dritten Schritt noch mal den Inhalt und gibt dieses Wert einer weiteren neuen Variable. Im letzten Schritt wird der Inhalt der letzten Variable in eine neue Datei namens „key.mobileconfig“ gespeichert.

Diesen String setzt man dann in die Vorlage anstelle [PrivateKey].

Zu finden sind die neuen Dateien alle unter „C:\User\[Benutzername]“.

Wichtig: Zum erneuten durchführen der PowerShell-Befehle oben, müssen vorhandene Dateien unter „C:\User\[Benutzername]“ vorher gelöscht werden. Die Befehle überschreiben keine vorhandenen Dateien!

E-Mail-App von Apple einrichten

Einstellungen -> Passwörter & Accounts -> Euer Mail-Account -> Account -> Erweitert -> Signieren -> neues Zertifikat von Actalis auswählen

Über „Erweitert“ zurück gehen und „Standardmäßig verschlüsseln“ auswählen und auch hier das neue Zertifikat auswählen.

Über „<“ und „< Account“ sowie „Fertig“ alles speichern.

Ab jetzt werden die Mails auch von den mobilen Apple Geräten verschlüsselt versendet, sofern man ein öffentliches Zertifikat des Empfängers besitzt.

Aber man kann nun auch an sich gerichtete verschlüsselte Nachrichten auf den mobilen Geräten lesen.

Anmerkung

Wichtig zu Wissen ist folgendes:

Nutzt Ihr Apple und sendet  Mails aus anderen Apps wie „Foto-App“, dann werden diese Mails NICHT verschlüsselt oder signiert. Nur Mails die direkt durch manuelles Öffnen der „Mail-App“ versendet werden, werden signiert und bei Bedarf verschlüsselt.

 

 

Office 365 – Administration

Wer sich für Office 365 und deren vielen Funktionen entschieden hat, der hat sicher festgestellt, dass es bis vor einer bestimmten Zeit man zwischen drei verschiedenen Cloud-Speicher/ Cloud-Regeln entscheiden konnte (DE, EU, COM). Ich habe das Pech oder auch Glück ;-), dass man sich bei mir auf Arbeit für die DE-Cloud entschieden hat. Nebenher habe ich aber auch das Privileg als Developer eine COM-Cloud als Entwickler zu testen. Maßgeblich sollte nur der Speicherort der Cloud-Daten hier den unterschied machen, aber später kam dann doch noch mehr zum Tragen.

Es stellten sich nach und nach schnell mehr Nachteile als Vorteile aus meiner Sicht heraus. In der DE-Cloud greift auch die neue DSGVO und macht das Arbeiten und Verwalten mit Office 365 unnötig schwierig. Entweder bestimmte Apps wie Teams oder Outlook-Handy-App funktionieren einfach nicht und geben wilde Fehler aus oder aber bestimmte Sicherheitseinstellungen die man einstellt greifen schlicht weg nicht ohne das man einen Hinweis auf die Einschränkung durch DE-Cloud erhält.

Ebenso schwierig ist das zusammen Spiel von Benutzern/ Unternehmen die unterschiedlichen Clouds angehören bzw. verwenden. Ein Unternehmen mit DE-Cloud kann nicht uneingeschränkt mit einem Unternehmen aus der COM-Cloud arbeiten. Auch hier sind Fehlermeldungen entweder nicht vorhanden oder führen einen in die Irre.

Es gibt eine Liste mit DE-Einschränkungen, aber ich meine, dass diese nicht voll umfänglich ist und man weiter nur experimentieren kann. https://docs.microsoft.com/de-de/office365/servicedescriptions/office-365-platform-service-description/office-365-germany

In diesem Beitrag möchte ich über persönlich festgestellte Einschränkungen und Feststellungen schreiben, so dass andere sich eventuelle Suchzeiten und Problemlösungen ersparen.

Admin Center

Exchange Admin

Nachrichtenfluss / Regeln

Generell sollte man Mails mit bestimmten Anhängen in irgend einer Form behandeln. Hier wäre das Blockieren bestimmt die Beste Lösung, aber das funktioniert bei einer DE-Cloud nicht, sicher weil es dem Admin nicht erlaubt sein sein über das Recht des eigentlichen Empfängers zu entscheiden. So kann man z.B. Mails mit bestimmten anhängen wie „hta, exe, vbs“ nicht blockieren, nicht umleiten, nicht auf Genehmigung durch anderen Mitarbeiter umstellen und auch nicht TLS anfordern. All diese Sachen funktionieren Problemlos in der COM-Cloud, aber in der DE-Cloud wird bei Verwendung einer durch DSGVO eingeschränkten Regel alles außer Karft gesetzt und die Mail geht ohne weitere Behandlung zum eigentlichen Empfänger. Selbst wenn in der Regel erlaubte Regeln mit enthalten sind, werden diese keine Anwendung mehr finden.

Was funktioniert und was ich wenigstens anwende ist, dass ich der Betreffzeile einen kleinen Achtung-Text voranstelle [Achtung, Anhang prüfen] oder zu der eigentlichen Mail eine separate Mail mit hinterher sende, in der man deutlich mehr Text für Anweisungen unterbringen kann.

Datei-Endungen mit Makros von Office, aber auch PDF’s sollte man wenigstens mit Hinweis wie [Makro-Datei im Anhang] versehen.
https://support.office.com/de-de/article/dateiformate-die-mit-visual-basic-funktionieren-69afddfd-4479-4466-9f37-3f4046b5e107

Exchange Admin PowerShell

Verbindung zum Exchange via PowerShell aufbauen, wobei hierzu die Installation des Modules „Microsoft Exchange Online PowerShell Module“ Voraussetzung ist.

$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office.de/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

(COM -> 
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
)

Import-PSSession $Session -DisableNameChecking
… arbeiten und am Ende wird empfohlen die Session zu schleißen …
Remove-PSSession $Session

OME einrichten und nutzen

Einrichten neuer Office 365-Nachrichtenverschlüsselungsfunktionen

Der entsprechende Schutzdienst ist bereits aktiviert, wenn Ihr Abonnement Azure Rights Management oder Azure Information Protection einschließt und Ende Februar 2018 oder danach erworben wurde und AutomaticServiceUpdateEnabled auf true steht. Ist das nicht der Fall, so muss man den Schutzdienst manuell aktivieren!

Prüfen kann man dies mit PowerShell (siehe Verbinden mit Exchange per PowerShell). Mit Get holt man sich die Info und mit Set stellt man die entsprechende Funktion ein oder aus.

Get-IRMConfiguration
Set-IRMConfiguration -AutomaticServiceUpdateEnabled $true

 

Azure Active Directory

Users

In der DE-Cloud ist es nicht möglich Gäste ohne deren Einwilligung hinzuzufügen. Die Einladung hierzu geht auch nicht hier bei „Users“ und muss bzw. über SharePoint erfolgen! Hat man einen Gast (externen User) z.B. zu einer SharePoint-Gruppe / SharePoint-Webseite hinzugefügt bzw. eingeladen, so erhält dieser eine Einladung an dessen Mail-Adresse. Im besten Fall sollte der Eingeladenen auf dieser Mail-Adresse einen Microsoft-Account registriert haben und in der Mail die Einladung annehmen. Erst wenn dies erledigt ist, sieht ein Admin unter „Users“ den Gast und kann diesen auch weiteren neuen SharePoint-Webseiten zu ordnen. In der COM-Cloud kann man direkt unter „Users“ einen Gast hinzufügen und diesem eine Einladung zukommen lassen. In jedem Fall sieht aber ein Admin den Status zu seinen Gästen, ob diese noch als eingeladen zählen oder ob Sie die Einladung angenommen haben.

Das schöne daran, wenn ein eingeladener bereits über ein Microsoft-Account verfügt ist, dass man als Admin sich keine Gedanken um dessen Passwörter machen muss. Soll ein Gast keinen Zugriff mehr haben, dann entzieht man Ihm der SharePoint-Webseite oder löscht diesen komplett.