Please note, that the Knowledge Base isn't translated to english completely at the moment. You will still find some german texts - we are translating permanently the outstanding parts! Thank you for understanding!

E-Mail Security in Outlook

		INFO & KNOWLEGDE

Für die Sicherheit von Outlook gegenüber Malicious Code ist der Einsatz von Spamfilter und Virenscanner aber auch die Patch-Policy, ("stay current"), und richtige Konfiguration, ("Restricted Sites Zone" - Anzeige Vorschaufenster?), wichtig. Hier werden wir uns aber nicht auf den Schutz vor Malicious Code konzentrieren, sondern auf den Schutz von Vertraulichkeit und Integrität der übertragenen Informationen

Outlook bringt von Haus aus eine Unterstützung für den E-Mail-Verschlüsselungsstandard S/MIME mit. Neben der Nutzung dieser eingebauten S/MIME Features gibt es eine Reihe von Plug-ins, um Outlook mit anderen Verschlüsselungsvarianten wie PGP, auszustatten. Es gibt aber auch eine Reihe von S/MIME Plug-ins für Outlook, bzw. Lösungen die PGP und S/Mime verschmelzen.

Während MS Outlook 98 und MS Outlook Express den von Großteil S/MIME v2 unterstützen, sind ab MS Outlook 2000 Service Release 1 einige Features von S/MIMEv3 realisiert. Während in MS Outlook 2002 diese Features standardmäßig aktiviert sind, müssen diese für MS Outlook 2000 SR 1, obwohl installiert, mittels eines Eintrags in der Registry aktiviert werden. Für den Einsatz von S/MIME ist neben einem S/MIME fähigen Mailclient für das Schlüsselmanagement der Einsatz von Zertifikaten und einer PKI notwendig. Für Privatanwender kann eine Internet-PKI genügen, für Organisationen bringt Microsoft diese mit MS-Exchange bzw. den Zertifikatsdiensten mit.

MS - Exchange und S/MIME

Microsoft lieferte mit seinem E-Mailserver MS Exchange die notwendigen PKI Fähigkeiten für den Einsatz von S/MIME mit. Das Key Management Service von Exchange übernahm die Aufgaben der PKI, wie die Ausgabe von Zertifikaten, ab 5.5. auch von X.509.v3 Zertifikaten, Widerruf und Schlüsselarchivierung etc. Mit der Einführung der Zertifikatsdienste in Windows 2000 Server (MS-Zertifizierungsstelle) gingen Aufgaben des Key Management Service auf diese Zertifikatsdienste über. Mit der Integration von MS Exchange 2000 in das Active Directory gingen weitere Funktionen auf die Zertifikatsdienste über, sodass bei MS Exchange 2000 lediglich Schlüsselarchivierung und Wiederherstellung (Anm. der privaten Schlüssel) beim Key Management Service verblieb, da dieses Feature beim Zertifikatsdienst von Windows 2000 Server nicht vorhanden ist.

Mit Windows Server 2003 ist auch das letztgenannte Feature in die Zertifikatsdienste integriert und das Key Management Service ist aus Exchange 2003 vollständig entfernt.

S/MIME mit Microsoft Infrastruktur

"Event Sinks" und Antivirensoftware

Bei E-Mailsignaturen können Event Sinks oder Antivirensoftware Probleme auslösen. Event Sinks führen am E-Mailserver bestimmte Aktionen während der Verarbeitung eines E-Mails aus. Event Sinks können auch Inhalt oder Header eines E-Mails ändern, Inhaltsänderungen führen dazu, dass die Signatur ungültig ist, eine Änderung des "From"-Headers kann dazu führen, dass Empfänger-Clients die Signatur für ungültig erklären, da gemäß S/MIME Spezifikation die E-Mailadresse im Zertifikat, wenn vorhanden, mit dem Absender zusammenpassen muss. Ab 2000 akzeptiert Outlook auch verschiedene E-mailadressangaben in Zertifikat und "From"-Header und zeigt dafür eine neue signed-by Zeile an, wo der Zertifikatsinhaber ausgewiesen wird.

Antivirensoftware die nach dem Signieren E-Mails auf Viren überprüft, kann ebenfalls die Signatur ungültig machen. Verschlüsselte E-Mails können am Server nicht auf Malicious Code hin geprüft werden. Für diesen Fall sind eigene Lösungen notwendig, welche die Ver- und Entschlüsselung serverseitig vornehmen.

		PRACTICE

S/MIME fähige Mailclients

Clientversion	S/MIME Version	Clientversion	S/MIME Version
Outlook Express	v2	Netscape Messenger 4.04? - 4.7?
Outlook Express 5.01	v3	Netscape 7.
Outlook 98	v2	Mozilla
Outlook 2000	v2	Novell Groupwise /Entrust
Outlook 2000 SR1	V3 (Registry enable)	Notes R5
Outlook 2002	v3	Eudora	S/MIME - Plug-ins nicht mehr erhältlich?
Outlook Web Access mit S/MIME Control	v3	The Bat!

Pretty Good Privacy

PGP (www.pgpi.org ) bzw. GnuPG wird von Microsoft Produkten nicht unterstützt. Meistens werden Lösungen auf Plug-in Basis angeboten. GnuPG hat natürlich in der Linuxwelt große Unterstützung.

PGP und S/MIME Plugins

Für viele E-Mailclients existieren Produkte, die als Plug-ins die Funktionen des E-Mail-Clients direkt erweitern, oder sich als Gateway dem E-Mailclient vorschalten, und so die Nutzung kryptographischer Funktionen erlauben.

		DOWNLOADS

	S/MIME Konfigurationsmöglichkeiten in Outlook [512 KB]
	Exchange 2003 Konfiguration für OWA und S/MIME [268 KB]

Interoperability

	S/MIME Interoperabilitätstest
	Interoperabilitätsreport [254 KB] von CESG Advanced Security Technologies
	S/MIME und PGP
	S/MIME-Compliance Test - Ripe.net

Linktipps

	Outlook 2000 SR1 Features - MS White Paper
	Exchange Server 2003 - Handbuch zur Nachrichtensicherheit

Exchange 2003 S/MIME support

OWA - S/MIME - Control

"Secure MIME" and IRM