20
Verschlüsselung ausgehender Emails
Hallo zusammen,
ich stehe vor der Aufgabe, dass ich eine Möglichkeit schaffen muss, bei Bedarf ausgehende Emails zu verschlüsseln.
Wir haben ein Ubuntu Mailsserver mit "sendmail" und ein Exchange 2007 Server.
Alle Mails die bei uns ankommen, landen auf dem Ubuntu und werden dann weiter auf den Exchange weitergeleitet.
Ich würde das ganze am liebsten so lösen wollen, dass ich in Outlook ein Addin habe, wo ich dann auswählen kann, ob die Mail verschlüsselt werden soll oder nicht.
Die Verschlüsselung an sich soll dann auf dem Ubuntu geschehen.
Habe mal angefangen zu suchen, und bin auf Open PGP gestossen. Wäre das damit möglich? hat jemand ein anderen Vorschlag?
Gruß
ich stehe vor der Aufgabe, dass ich eine Möglichkeit schaffen muss, bei Bedarf ausgehende Emails zu verschlüsseln.
Wir haben ein Ubuntu Mailsserver mit "sendmail" und ein Exchange 2007 Server.
Alle Mails die bei uns ankommen, landen auf dem Ubuntu und werden dann weiter auf den Exchange weitergeleitet.
Ich würde das ganze am liebsten so lösen wollen, dass ich in Outlook ein Addin habe, wo ich dann auswählen kann, ob die Mail verschlüsselt werden soll oder nicht.
Die Verschlüsselung an sich soll dann auf dem Ubuntu geschehen.
Habe mal angefangen zu suchen, und bin auf Open PGP gestossen. Wäre das damit möglich? hat jemand ein anderen Vorschlag?
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 271795
Url: https://administrator.de/contentid/271795
Printed on: April 25, 2024 at 04:04 o'clock
20 Comments
Latest comment
Hi,
wie einfach soll das Ganze sein?
Mit PGP geht das schon, das Problem ist der Schlüsselaustausch.
Wenn das immer die gleichen Empfänger sind, die auch PGP-Schlüssel erstellen können, dann wäre das eine Möglichkeit.
Aber gerade bei Behörden rennst du vor geschlossenen Türen, die Mitarbeiter können keine Schlüssel erzeugen.
Wir haben im E-Mail Gateway dafür eine Lösung:
Die E-Mail wird verschlüsselt in eine ZIP-Datei oder Exe-Datei (AES).
Der Absender der E-Mail bekommt das Kennwort, das muss er dem Empfänger dann zukommen lassen; logischerweise nicht per E-Mail.
Der Empfänger führt die Datei aus, gibt das Kennwort ein und bekommt seine E-Mail.
Alles andere ist an dem fehlende Schlüsselaustausch gescheitert.
VG,
Deepsys
wie einfach soll das Ganze sein?
Mit PGP geht das schon, das Problem ist der Schlüsselaustausch.
Wenn das immer die gleichen Empfänger sind, die auch PGP-Schlüssel erstellen können, dann wäre das eine Möglichkeit.
Aber gerade bei Behörden rennst du vor geschlossenen Türen, die Mitarbeiter können keine Schlüssel erzeugen.
Wir haben im E-Mail Gateway dafür eine Lösung:
Die E-Mail wird verschlüsselt in eine ZIP-Datei oder Exe-Datei (AES).
Der Absender der E-Mail bekommt das Kennwort, das muss er dem Empfänger dann zukommen lassen; logischerweise nicht per E-Mail.
Der Empfänger führt die Datei aus, gibt das Kennwort ein und bekommt seine E-Mail.
Alles andere ist an dem fehlende Schlüsselaustausch gescheitert.
VG,
Deepsys
Hi,
normalerweise verschlüsselt man eine Mail doch mit öffentlichen Schlüssel des Zertifikats des Empfängers, damit dieser die Mail dann mit dem privaten Schlüssel seines Zertifikats entschlüsseln kann? Ergo benötigt der Empfänger ein Zertifikat, dessen öffentlichen Schlüssel dem Absender bereitgestellt werden muss. Dann kann der Absender damit abhängig vom Empfänger die Mail verschlüsseln. So der Plan ...
E.
normalerweise verschlüsselt man eine Mail doch mit öffentlichen Schlüssel des Zertifikats des Empfängers, damit dieser die Mail dann mit dem privaten Schlüssel seines Zertifikats entschlüsseln kann? Ergo benötigt der Empfänger ein Zertifikat, dessen öffentlichen Schlüssel dem Absender bereitgestellt werden muss. Dann kann der Absender damit abhängig vom Empfänger die Mail verschlüsseln. So der Plan ...
E.
Zitat von @emeriks:
normalerweise verschlüsselt man eine Mail doch mit öffentlichen Schlüssel des Zertifikats des Empfängers,
damit dieser die Mail dann mit dem privaten Schlüssel seines Zertifikats entschlüsseln kann? Ergo benötigt der
Empfänger ein Zertifikat, dessen öffentlichen Schlüssel dem Absender bereitgestellt werden muss. Dann kann der
Absender damit abhängig vom Empfänger die Mail verschlüsseln. So der Plan ...
Ja, korrekt.normalerweise verschlüsselt man eine Mail doch mit öffentlichen Schlüssel des Zertifikats des Empfängers,
damit dieser die Mail dann mit dem privaten Schlüssel seines Zertifikats entschlüsseln kann? Ergo benötigt der
Empfänger ein Zertifikat, dessen öffentlichen Schlüssel dem Absender bereitgestellt werden muss. Dann kann der
Absender damit abhängig vom Empfänger die Mail verschlüsseln. So der Plan ...
Und was machst du wenn der Empfänger kein Zertifikat hat und es nicht erstellen kann/darf?
Und was machst du wenn der Empfänger kein Zertifikat hat und es nicht erstellen kann/darf?
Wenns eine Behörde ist: Dann stelle ich ihr ein Armutszeugnis aus und veröffentliche das.Denn ...
Der Absender der E-Mail bekommt das Kennwort, das muss er dem Empfänger dann zukommen lassen; logischerweise nicht per E-Mail.
... genau da ist der Hase begraben. Wie stellst Du sicher, dass sich alle daran halten?E.
Zitat von @emeriks:
> Und was machst du wenn der Empfänger kein Zertifikat hat und es nicht erstellen kann/darf?
Wenns eine Behörde ist: Dann stelle ich ihr ein Armutszeugnis aus und veröffentliche das.
Oh, das wird eine lange Liste ....> Und was machst du wenn der Empfänger kein Zertifikat hat und es nicht erstellen kann/darf?
Wenns eine Behörde ist: Dann stelle ich ihr ein Armutszeugnis aus und veröffentliche das.
Denn ...
> Der Absender der E-Mail bekommt das Kennwort, das muss er dem Empfänger dann zukommen lassen; logischerweise
nicht per E-Mail.
... genau da ist der Hase begraben. Wie stellst Du sicher, dass sich alle daran halten?
Gebe ich dir vollkommen recht, ist aber immer noch besser als es direkt zu lassen, da die Gegenseite es nicht öffnen könnte.> Der Absender der E-Mail bekommt das Kennwort, das muss er dem Empfänger dann zukommen lassen; logischerweise
nicht per E-Mail.
... genau da ist der Hase begraben. Wie stellst Du sicher, dass sich alle daran halten?
Ich möchte nicht weiter darauf rumreiten, ich persönlich finde das es keine praktikable Lösung für das Problem für E-Mails gibt.
Alles was ich kenne, setzt immer mehr einige an Wissen voraus.
Es müsste etwas einfaches geben, zumindest schon mal ein staatliches Zertifikat für alle Bundesbürger.
Hallo,
nimm einfach ein Gateway deiner Wahl, dort kannst du die Policy einstellen wie du willst und du bist nicht auf des Verständnis oder den Willen der Endanwender angewiesen. Als Open Source gibt es das z.B. hier
https://www.ciphermail.com/
oder kommerziell
http://www.allgeier-it.de/security-solutions/loesungen/julia-mailoffice
https://www.zertificon.com/
Sobald der Endanwender selbst entscheiden muß oder gar den Sicherheitsansatz verstehen wird es nicht funktionieren und du hast ja durch den Linux Server als Gateway schon die passende Struktur.
Gruß
Andi
nimm einfach ein Gateway deiner Wahl, dort kannst du die Policy einstellen wie du willst und du bist nicht auf des Verständnis oder den Willen der Endanwender angewiesen. Als Open Source gibt es das z.B. hier
https://www.ciphermail.com/
oder kommerziell
http://www.allgeier-it.de/security-solutions/loesungen/julia-mailoffice
https://www.zertificon.com/
Sobald der Endanwender selbst entscheiden muß oder gar den Sicherheitsansatz verstehen wird es nicht funktionieren und du hast ja durch den Linux Server als Gateway schon die passende Struktur.
Gruß
Andi
ciphermail liest sich gut.
habe mir die vm runtger geladen und werde mir das genauer anschauen.
habe mir die vm runtger geladen und werde mir das genauer anschauen.
Guten Abend zusammen,
Darauf gestoßen sind wir im Rahmen der Umsetzung für De-Mail. Wird inzwischen sehr gut angenommen und auch der Sinn dahinter wird manchen bewusst.
Gruß,
Dani
Und was machst du wenn der Empfänger kein Zertifikat hat und es nicht erstellen kann/darf?
Wir haben unter anderem dafür enQsig im Einsatz. Den Ansatz könnt ihr hier nachlesen.Darauf gestoßen sind wir im Rahmen der Umsetzung für De-Mail. Wird inzwischen sehr gut angenommen und auch der Sinn dahinter wird manchen bewusst.
Gruß,
Dani
Moin,
Ja, aber das ist doch das gleiche Problem das alle anderen Lösungen (auch Ciphermail und Co) auch haben:
" Das Passwort kann dem Empfänger von enQsig automatisiert per SMS zugesandt oder auf anderem Wege übermittelt werden. "
Und der andere Weg kann auch eine E-Mail sein, und damit ist die Sicherheit wieder nur auf 2 E-Mails verteilt.
Selbst wenn das Kennwort dann nicht direkt als E-Mail zum Absender kommt, könnte er immer noch eine E-Mails mit dem Kennwort senden.
Es sei denn, der Absender bekommt das Kennwort nicht zu sehen, und muss eine Nummer für die SMS eingeben.
Nur weiß ich das dann schon einige wieder meckern," bäh, ich habe keine Nummer"
Es fehlt einfach eine einfache grundlegende Architektur, sozusagen die E-Mail 2.0.
VG
Deepsys
Ja, aber das ist doch das gleiche Problem das alle anderen Lösungen (auch Ciphermail und Co) auch haben:
" Das Passwort kann dem Empfänger von enQsig automatisiert per SMS zugesandt oder auf anderem Wege übermittelt werden. "
Und der andere Weg kann auch eine E-Mail sein, und damit ist die Sicherheit wieder nur auf 2 E-Mails verteilt.
Selbst wenn das Kennwort dann nicht direkt als E-Mail zum Absender kommt, könnte er immer noch eine E-Mails mit dem Kennwort senden.
Es sei denn, der Absender bekommt das Kennwort nicht zu sehen, und muss eine Nummer für die SMS eingeben.
Nur weiß ich das dann schon einige wieder meckern," bäh, ich habe keine Nummer"
Es fehlt einfach eine einfache grundlegende Architektur, sozusagen die E-Mail 2.0.
VG
Deepsys
Ja das ist alles nicht das gelbe vom Ei.
Kann jemand etwas empfehlen, was direkt in den Exchange eingebunden werden kann?
Kann jemand etwas empfehlen, was direkt in den Exchange eingebunden werden kann?
Hi Dani,
ich fürchte zwar, dass das für mich nicht wirtschaftlich darstellbar ist, aber da unser geliebtes Fax als zuverlässige Technologie am Sterben ist suche ich nach einem adäquaten Ersatz.De-mail halte ich für ein totes Pferd, "elektronische Arztbriefe" sind bestenfalls im Embryonalstadium. enQsig klingt dafür nicht schlecht, aber ... kannst Du etwas über die Kosten sagen - notfalls per PM?
Danke und LG, Thomas
ich fürchte zwar, dass das für mich nicht wirtschaftlich darstellbar ist, aber da unser geliebtes Fax als zuverlässige Technologie am Sterben ist suche ich nach einem adäquaten Ersatz.De-mail halte ich für ein totes Pferd, "elektronische Arztbriefe" sind bestenfalls im Embryonalstadium. enQsig klingt dafür nicht schlecht, aber ... kannst Du etwas über die Kosten sagen - notfalls per PM?
Danke und LG, Thomas
Zitat von @Deepsys:
Moin,
Ja, aber das ist doch das gleiche Problem das alle anderen Lösungen (auch Ciphermail und Co) auch haben:
" Das Passwort kann dem Empfänger von enQsig automatisiert per SMS zugesandt oder auf anderem Wege übermittelt
werden. "
Moin,
Ja, aber das ist doch das gleiche Problem das alle anderen Lösungen (auch Ciphermail und Co) auch haben:
" Das Passwort kann dem Empfänger von enQsig automatisiert per SMS zugesandt oder auf anderem Wege übermittelt
werden. "
Sobald man symetrische Verschlüsselung haben will muß der Anwender mitdenken, ansonsten ist es nur gefühlte Sicherheit...
Außerdem riecht alles bei dem man irgendwelche Passwörter und PINs durch die Gegend schicken soll für den unbedarften Anwender nach Phishing.
Und der andere Weg kann auch eine E-Mail sein, und damit ist die Sicherheit wieder nur auf 2 E-Mails verteilt.
Selbst wenn das Kennwort dann nicht direkt als E-Mail zum Absender kommt, könnte er immer noch eine E-Mails mit dem Kennwort
senden.
Es sei denn, der Absender bekommt das Kennwort nicht zu sehen, und muss eine Nummer für die SMS eingeben.
Nur weiß ich das dann schon einige wieder meckern," bäh, ich habe keine Nummer"
Es fehlt einfach eine einfache grundlegende Architektur, sozusagen die E-Mail 2.0.
Selbst wenn das Kennwort dann nicht direkt als E-Mail zum Absender kommt, könnte er immer noch eine E-Mails mit dem Kennwort
senden.
Es sei denn, der Absender bekommt das Kennwort nicht zu sehen, und muss eine Nummer für die SMS eingeben.
Nur weiß ich das dann schon einige wieder meckern," bäh, ich habe keine Nummer"
Es fehlt einfach eine einfache grundlegende Architektur, sozusagen die E-Mail 2.0.
Also wem Verschlüsselung per S/MIME auf dem Gateway zu kompliziert ist der hat keine Möglichkeit eine sichere systemübergreifende Lösung zu erhalten. "Idiotensicher" sind nur geschlossene System, bei denen du dann auf die Sicherheit des Anbieters angewiesen bist wie z.B. WhatsApp oder iMessage.
Unsere E-Mail Teilnehmer versenden schon seit Jahren verschlüsselte E-Mail und die meisten wissen es nicht einmal.
Gruß
Andi
Zitat von @AndiEoh:
Unsere E-Mail Teilnehmer versenden schon seit Jahren verschlüsselte E-Mail und die meisten wissen es nicht einmal.
Dann sagt doch mal bitte wie du eine verschlüsselte Nachricht an einen dir bisher unbekannten Empfänger schickst.Unsere E-Mail Teilnehmer versenden schon seit Jahren verschlüsselte E-Mail und die meisten wissen es nicht einmal.
Z.b. max.von-musterman@web.de
Zitat von @AndiEoh:
Sobald man symetrische Verschlüsselung haben will muß der Anwender mitdenken, ansonsten ist es nur gefühlte Sicherheit...
bzw. die IT des Unternehmens/Behörde muss da für die Anwender handeln und die entsprechende Infrastruktur schaffen. Da möchte ich die Anwender doch nicht als "IT-dumm" abstempeln. Das ist halt eine sehr spezielle Sache.Sobald man symetrische Verschlüsselung haben will muß der Anwender mitdenken, ansonsten ist es nur gefühlte Sicherheit...
Außerdem riecht alles bei dem man irgendwelche Passwörter und PINs durch die Gegend schicken soll für den unbedarften Anwender nach Phishing.
Das kann ich bestätigen. Außerdem bleiben verschlüsselte PDF- und ZIP-Dateien schon mal gerne in diversen Content Filtern hängen.Unsere E-Mail Teilnehmer versenden schon seit Jahren verschlüsselte E-Mail und die meisten wissen es nicht einmal.
Würde mich auch mal interessieren, wie das gehen soll. Wir reden von Verschlüsselung und nicht von Signierung, oder?E.
Hallo zusammen
Im Medizinbereich bei uns in der Schweiz verwenden wir den HIN Mailgateway. http://www.hin.ch/produkte/firmenkunden/mail-gateway/
Es ist natürlich konfigurierbar welcher Traffic durch den Gateway geht. Grundvoraussetzung
ist natürlich, dass die Gegenseite auch einen solchen hat.
Gruss
adminst
Im Medizinbereich bei uns in der Schweiz verwenden wir den HIN Mailgateway. http://www.hin.ch/produkte/firmenkunden/mail-gateway/
Es ist natürlich konfigurierbar welcher Traffic durch den Gateway geht. Grundvoraussetzung
ist natürlich, dass die Gegenseite auch einen solchen hat.
Gruss
adminst
Zitat von @Deepsys:
> Zitat von @AndiEoh:
> Unsere E-Mail Teilnehmer versenden schon seit Jahren verschlüsselte E-Mail und die meisten wissen es nicht einmal.
Dann sagt doch mal bitte wie du eine verschlüsselte Nachricht an einen dir bisher unbekannten Empfänger schickst.
Z.b. max.von-musterman@web.de
> Zitat von @AndiEoh:
> Unsere E-Mail Teilnehmer versenden schon seit Jahren verschlüsselte E-Mail und die meisten wissen es nicht einmal.
Dann sagt doch mal bitte wie du eine verschlüsselte Nachricht an einen dir bisher unbekannten Empfänger schickst.
Z.b. max.von-musterman@web.de
Ich ruf den Max an und sag er soll eine signierte E-Mail schicken
Wenn der Empfänger nicht mitspielt bzw. kein echtes Interesse an verschlüsselter Kommunikation hat stehst du immer im Regen...
Gruß
Andi
Zitat von @emeriks:
> Unsere E-Mail Teilnehmer versenden schon seit Jahren verschlüsselte E-Mail und die meisten wissen es nicht einmal.
Würde mich auch mal interessieren, wie das gehen soll. Wir reden von Verschlüsselung und nicht von Signierung, oder?
> Unsere E-Mail Teilnehmer versenden schon seit Jahren verschlüsselte E-Mail und die meisten wissen es nicht einmal.
Würde mich auch mal interessieren, wie das gehen soll. Wir reden von Verschlüsselung und nicht von Signierung, oder?
Von beidem, allerdings nach PKI Level 1
Soll heißen es ist keine Qualifizierte Signatur gemäß Signaturgesetz sondern lediglich ein "verteilen" von allgemein anerkannten (E-Mail) Zertifikaten, damit uns die Gegenstelle auch verschlüsselte E-Mail schicken kann.
Sobald uns eine Gegenstelle ein E-Mail mit gültiger Signatur geschickt hat können dadurch alle unsere Teilnehmer dieser Gegenstelle verschlüsselte E-Mail schicken.
Gruß
Andi
Sobald uns eine Gegenstelle ein E-Mail mit gültiger Signatur geschickt hat können dadurch alle unsere Teilnehmer dieser
Gegenstelle verschlüsselte E-Mail schicken.
Ja, ok. Das sollte man dann aber auch gleich erwähnen. Sonst denkt noch einer, da kann jemand zaubern ... Gegenstelle verschlüsselte E-Mail schicken.
E.
Zitat von @bluepython:
Hallo zusammen,
ich stehe vor der Aufgabe, dass ich eine Möglichkeit schaffen muss, bei Bedarf ausgehende Emails zu verschlüsseln.
Wir haben ein Ubuntu Mailsserver mit "sendmail" und ein Exchange 2007 Server.
Alle Mails die bei uns ankommen, landen auf dem Ubuntu und werden dann weiter auf den Exchange weitergeleitet.
Ich würde das ganze am liebsten so lösen wollen, dass ich in Outlook ein Addin habe, wo ich dann auswählen kann, ob die Mail verschlüsselt werden soll oder nicht.
Die Verschlüsselung an sich soll dann auf dem Ubuntu geschehen.
Habe mal angefangen zu suchen, und bin auf Open PGP gestossen. Wäre das damit möglich? hat jemand ein anderen Vorschlag?
Gruß
Hallo zusammen,
ich stehe vor der Aufgabe, dass ich eine Möglichkeit schaffen muss, bei Bedarf ausgehende Emails zu verschlüsseln.
Wir haben ein Ubuntu Mailsserver mit "sendmail" und ein Exchange 2007 Server.
Alle Mails die bei uns ankommen, landen auf dem Ubuntu und werden dann weiter auf den Exchange weitergeleitet.
Ich würde das ganze am liebsten so lösen wollen, dass ich in Outlook ein Addin habe, wo ich dann auswählen kann, ob die Mail verschlüsselt werden soll oder nicht.
Die Verschlüsselung an sich soll dann auf dem Ubuntu geschehen.
Habe mal angefangen zu suchen, und bin auf Open PGP gestossen. Wäre das damit möglich? hat jemand ein anderen Vorschlag?
Gruß
Ich finde es spannend, dass hier munter Vorschläge diskutiert werden, ohne dass jemand weiß, wie Dein Anwendungszenario aussieht.
Man kann nicht einfach alle ausgehenden Mails verschlüsseln, denn schließlich muss der Empänger irgendwie mitspielen.
Bei OpenPGP hat man immer das Problem des Schlüsselaustausches, aber wenn Du mit einer überschaubaren Gruppe an Mailempfängern regelmäßig Mails austauscht, ist (Open)PGP immer noch die einfachste Lösung.
Wenn Du aber kreuz und quer an Lieschen Müller oder Max Mustermann schicken willst, wird es schon sehr mühsam.
Entweder musst Du irgendwelche Passwörter auf alternativen Kanälen übermitteln (mühsam+unsicher+fehleranfällig) oder die Empänger müssen sich auf irgendwelche kruden Webgateways registrieren, die dann auf unkomfortable Weise den Mailinhalt rausrücken (oder die Empfänger halten die Mails gleich für Spam und ignorieren sie enfach).
Es gibt nicht die beste/einfachste Lösung; Sicherheit ist immer mit Aufwand verbunden.
Wenn Du uns mehr über Euren Anwendungszweck schreibst, dann bekommst Du vielleicht auch die passenderen Lösungsvorschläge.
Tobix
Zitat von @tobix24:
Ich finde es spannend, dass hier munter Vorschläge diskutiert werden, ohne dass jemand weiß, wie Dein Anwendungszenario aussieht.
Man kann nicht einfach alle ausgehenden Mails verschlüsseln, denn schließlich muss der Empänger irgendwie mitspielen.
Zitat von @bluepython:
Hallo zusammen,
ich stehe vor der Aufgabe, dass ich eine Möglichkeit schaffen muss, bei Bedarf ausgehende Emails zu verschlüsseln.
Wir haben ein Ubuntu Mailsserver mit "sendmail" und ein Exchange 2007 Server.
Alle Mails die bei uns ankommen, landen auf dem Ubuntu und werden dann weiter auf den Exchange weitergeleitet.
Ich würde das ganze am liebsten so lösen wollen, dass ich in Outlook ein Addin habe, wo ich dann auswählen kann, ob die Mail verschlüsselt werden soll oder nicht.
Die Verschlüsselung an sich soll dann auf dem Ubuntu geschehen.
Habe mal angefangen zu suchen, und bin auf Open PGP gestossen. Wäre das damit möglich? hat jemand ein anderen Vorschlag?
Gruß
Hallo zusammen,
ich stehe vor der Aufgabe, dass ich eine Möglichkeit schaffen muss, bei Bedarf ausgehende Emails zu verschlüsseln.
Wir haben ein Ubuntu Mailsserver mit "sendmail" und ein Exchange 2007 Server.
Alle Mails die bei uns ankommen, landen auf dem Ubuntu und werden dann weiter auf den Exchange weitergeleitet.
Ich würde das ganze am liebsten so lösen wollen, dass ich in Outlook ein Addin habe, wo ich dann auswählen kann, ob die Mail verschlüsselt werden soll oder nicht.
Die Verschlüsselung an sich soll dann auf dem Ubuntu geschehen.
Habe mal angefangen zu suchen, und bin auf Open PGP gestossen. Wäre das damit möglich? hat jemand ein anderen Vorschlag?
Gruß
Ich finde es spannend, dass hier munter Vorschläge diskutiert werden, ohne dass jemand weiß, wie Dein Anwendungszenario aussieht.
Man kann nicht einfach alle ausgehenden Mails verschlüsseln, denn schließlich muss der Empänger irgendwie mitspielen.
Das ist das Grundprinzip bei asymetrischer Kryptografie...
Bei OpenPGP hat man immer das Problem des Schlüsselaustausches, aber wenn Du mit einer überschaubaren Gruppe an Mailempfängern regelmäßig Mails austauscht, ist (Open)PGP immer noch die einfachste Lösung.
Wenn Du aber kreuz und quer an Lieschen Müller oder Max Mustermann schicken willst, wird es schon sehr mühsam.
Entweder musst Du irgendwelche Passwörter auf alternativen Kanälen übermitteln (mühsam+unsicher+fehleranfällig) oder die Empänger müssen sich auf irgendwelche kruden Webgateways registrieren, die dann auf unkomfortable Weise den Mailinhalt rausrücken (oder die Empfänger halten die Mails gleich für Spam und ignorieren sie enfach).
Wenn Du aber kreuz und quer an Lieschen Müller oder Max Mustermann schicken willst, wird es schon sehr mühsam.
Entweder musst Du irgendwelche Passwörter auf alternativen Kanälen übermitteln (mühsam+unsicher+fehleranfällig) oder die Empänger müssen sich auf irgendwelche kruden Webgateways registrieren, die dann auf unkomfortable Weise den Mailinhalt rausrücken (oder die Empfänger halten die Mails gleich für Spam und ignorieren sie enfach).
Das ist so nicht richtig. Wie du schon bemerkt hast muss der Empfänger etwas tun um verschlüsselte E-Mail zu erhalten. Das kann er bei SMIME und PGP einfach dadurch tun das er an alle E-Mails die er/sie verschickt sein Zertifikat dran pappt. Damit kann dann jeder der schon einmal eine solche E-Mail erhalten hat verschlüsselt antworten. Wenn man das im Firmen Umfeld auf einem Gateway umsetzt kann sogar jeder verschlüsselt an Empfänger schreiben die mindestens einmal irgend jemanden in der Firma eine E-Mail mit Zertifikat geschickt haben. Damit ist es sehr wohl schmerzfrei und unauffällig möglich. Puristen werde einwenden das damit keine echten Ende-zu-Ende Verschlüsselung erreicht wird, das ist aber in den meisten Fällen im Firmen Umfeld gar nicht notwendig oder erwünscht.
Es gibt nicht die beste/einfachste Lösung; Sicherheit ist immer mit Aufwand verbunden.
Richtig, die Frage ist nur wie man den Aufwand an der richtigen Stelle plaziert. Wenn das beim Endanwender ist der nicht wirklich versteht was da passiert wird Verschlüsselung niemals stattfinden.
Wenn Du uns mehr über Euren Anwendungszweck schreibst, dann bekommst Du vielleicht auch die passenderen Lösungsvorschläge.
Ist schon 5 Monate her, ich weiß nicht ob der OP überhaupt noch an dem Thema dran ist
Gruß
Andi
