Verschlüsselung von E-Mails in Exchange
- Grundlagen der E-Mail-Verschlüsselung in Exchange
- Verschlüsselung via S/MIME
- Microsoft Purview Message Encryption (ehemals Azure Information Protection)
- Transport Layer Security (TLS)
- Zusammenfassung
Grundlagen der E-Mail-Verschlüsselung in Exchange
Microsoft Exchange bietet verschiedene Möglichkeiten zur Verschlüsselung von E-Mails, um Kommunikation zwischen Absender und Empfänger sicher zu gestalten. Die Verschlüsselung dient dazu, den Inhalt der Nachricht vor unbefugtem Zugriff zu schützen und Vertraulichkeit sowie Integrität zu gewährleisten. Dabei nutzt Exchange sowohl Standardprotokolle wie S/MIME (Secure/Multipurpose Internet Mail Extensions) als auch eigene Mechanismen wie Microsoft Purview Message Encryption (früher als Azure Information Protection bekannt).
Verschlüsselung via S/MIME
S/MIME ist ein etablierter Standard zur Ende-zu-Ende-Verschlüsselung von E-Mails und digitaler Signatur. In Exchange-Umgebungen kann S/MIME verwendet werden, wenn Benutzer über gültige digitale Zertifikate verfügen, die von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurden.
Beim Versenden einer E-Mail wird der Inhalt auf der Client-Seite mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Nur der Empfänger, der den zugehörigen privaten Schlüssel besitzt, kann die Nachricht entschlüsseln. Zusätzlich kann der Absender die Nachricht mit seinem eigenen privaten Schlüssel signieren, sodass der Empfänger die Authentizität überprüfen kann. Exchange unterstützt diese Funktionalität nativ, sofern die erforderlichen Zertifikate korrekt auf den Clients (z.B. Outlook) installiert und konfiguriert sind.
Microsoft Purview Message Encryption (ehemals Azure Information Protection)
Für Unternehmen, die keine Zertifikate manuell verwalten möchten oder eine zentral gesteuerte Verschlüsselung bevorzugen, bietet Microsoft die Purview Message Encryption an. Diese Lösung ist Teil der Microsoft 365 Compliance- und Sicherheitsdienste und ermöglicht die Verschlüsselung und das Rechte-Management von E-Mails direkt in Exchange Online oder über lokale Exchange-Server mit entsprechender Konnektivität.
Hierbei werden Nachrichten im Transportprozess verschlüsselt, so dass nur autorisierte Empfänger die Inhalte lesen können. Die Verschlüsselung erfolgt meist mittels eines Symmetriedeckschlüssels, der wiederum mit einem öffentlichen Schlüssel des Empfängers verschlüsselt wird. Beim Öffnen der Nachricht im Outlook-Client oder über den Browser wird die Identität des Benutzers überprüft, und bei erfolgreicher Authentifizierung erfolgt die Entschlüsselung automatisch. Dies ermöglicht neben der Vertraulichkeit auch die zentrale Durchsetzung von Richtlinien, wie z.B. das Verhindern des Weiterleitens oder das Einschränken von Kopierfunktionen.
Transport Layer Security (TLS)
Zusätzlich zur Verschlüsselung auf Nachricht inhaltlicher Ebene unterstützt Exchange die Verschlüsselung der Verbindung zwischen Mailservern mittels TLS. Diese Transportverschlüsselung sorgt dafür, dass E-Mails nicht unverschlüsselt über das Internet übertragen werden. Dabei wird die gesamte SMTP-Sitzung (Simple Mail Transfer Protocol) über ein verschlüsseltes TCP-Verbindungskanal gesichert.
Allerdings schützt TLS nur den Übertragungsweg, nicht aber den eigentlichen Nachrichteninhalt auf dem Server oder beim endgültigen Empfänger. Deshalb wird TLS häufig in Verbindung mit Ende-zu-Ende-Verschlüsselungslösungen wie S/MIME oder Purview Message Encryption verwendet, um eine umfassende Sicherheit zu bieten.
Zusammenfassung
Die Verschlüsselung von E-Mails in Exchange erfolgt auf mehreren Ebenen. Während TLS für eine sichere Übertragung zwischen Mailservern sorgt, stellen S/MIME und Microsoft Purview Message Encryption Ende-zu-Ende-Schutz des Nachrichteninhalts sicher. Exchange integriert diese Methoden, um sowohl Unternehmensrichtlinien als auch individuelle Sicherheitsanforderungen abzudecken und die Vertraulichkeit und Integrität der E-Mail-Kommunikation zu gewährleisten.