Thomas Wölfers Baustatik-Blog

Thomas Wölfers Baustatik Blog

Digital signierte Emails mit Outlook


Man kann Emails digital signieren – das ist an sich nichts besonders neues, abgesehen davon, das nur sehr wenige Personen das auch tun. Die digitale Signatur hat den Zweck, dem Empfänger einer EMail die Möglichkeit zu geben, den Absender zu überprüfen: Der Text der als "Absender" im EMail-Programm angezeigt wird ist einfach nur irgend ein Text. Jeder kann einfach irgendwas angeben, und der Email-Client wird diesen beliebigen Text auch brav anzeigen.

Das geht nicht mit der digitalen Signatur: Die enthält mindestens eine EMail-Adresse (in meinem Fall bei Firmen-Mails: tw@die.de), und diese Signatur kann NICHT einfach so gefälscht werden. Wenn also eine Email mit der tw@die.de Signatur unterzeichnet ist, dann stammt diese Mail auch tatsächlich von mir.

Früher war das einrichten von digitalen Signaturen relativ aufwendig und schwierig – bei Outlook ist das aber seit Version 2013 nicht mehr der Fall. Folgendes ist zu tun:

  • Man braucht ein digitales Zertifikat. Das gibt ez.b. hier.
  • Das Zertifikat kann man in Windows installieren. (per Rechtsklick)
  • Danach kann man aus der Zertifikatstelle von Windows den zum signieren benötigten privaten Schlüssel als Datei speichern. (Das wird dann eine *.pfx-Datei.)
  • Die trägt man in Outlook (Der Desktop-Anwendung) unter "Datei –>Optionen –>Trust-Center –> Einstellungen für das Trust-Center –> Email-Sicherheit –> Importieren/Exportieren" ein. Außerdem schaltet man an der gleichen Stelle die Option "Ausgehenden Nachrichten digitale Signatur hinzufügen" ein.
  • Ab jetzt werden alle ausgehenden Nachrichten digital signiert. Das sieht dann beim Empfänger so aus:
    image
  • Die Eigenschaften der Signatur kann man sich auch anzeigen lassen:
  • image

Es gibt ein kleines Problem: Verwendet man Outlook mit mehreren Email-Adressen, hat aber nur für eine Untermenge davon digitale Signaturen, dann bemängelt Outlook beim verwenden von Mails über Accounts ohne Zertifikat, das eben keines da ist. Man muss dann vor dem versenden immer einzeln die Option zum digitalen signieren ausschalten.

Das ist innerhalb kürzester Zeit sehr sehr lästig. Und von Microsoft gibt es KEINEN Work-Around: Die vorgesehenen Einstellmöglichkeiten sind für die Installation von Outlook komplett, und nicht pro Account. Das ist auch seit einigen Jahren bekannt, und trotzdem passiert nichts – ich gehe davon aus, das das nicht als wichtig genug eingestuft wurde und das darum auch nichts passieren wird.

Es gibt aber eine funktionieren Lösung von Dritten. Hier finden Sie das SMimeAccountDefaults-Tool, das man per ClickOnce installieren kann. Sobald das installiert ist, muss man einmalig eine neue EMail anlegen. Im Menüband dieser EMail gib es dann den Befehl "Suspend Account Defaults S/MIME". Da drückt man auf den kleinen Pfeil rechts unten, und das zeigt dann ein Fenster an, in dem man für alle Accounts einzeln einstellen kann, ob ausgehende Mails signiert (und verschlüsselt) werden sollen.