Zum Inhalt

Sichere Nachrichtenmethoden

Sophos Email verwendet verschiedene Methoden zum Sichern und Verschlüsseln von Nachrichten. Wenn wir keine Methode verwenden können, gehen wir zur nächst sichersten Methode über. Sie können die Reihenfolge steuern, in der Sicherheitsmethoden angewendet werden.

Hier erfahren Sie, wie die einzelnen Methoden funktionieren und wie sie zusammenarbeiten. Wenn wir eine bestimmte Methode nicht verwenden können, verwenden wir eine andere, je nach Ihrer Umgebung und der Umgebung der Personen, mit denen Sie kommunizieren.

Hinweis

Sie müssen TLS auf Ihrem E-Mail-Server oder E-Mail-Dienst aktivieren, um eine dieser sicheren Nachrichtenmethoden verwenden zu können.

Führen Sie diesen Schritt aus, bevor Sie Ihre sicheren Nachrichtenmethoden konfigurieren. Andernfalls wird die Verbindung zwischen Sophos und Ihrem E-Mail-Server oder -Dienst unterbrochen und Sie können keine E-Mails senden oder empfangen.

Wir empfehlen Version TLS 1.3. Die erforderlichen Chiffrenzeichenfolge lautet 'TLSv1.2+FIPS:kRSA+FIPS:!eNULL:!aNULL'. Weitere Informationen finden Sie unter FIPS-Modus und TLS.

In einer Secure-Message-Richtlinie können Sie aus den folgenden Methoden wählen.

  • Sichern mit TLS: Hierbei handelt es sich um Push-basierte E-Mail-Verschlüsselung mit AES 256 während des E-Mail-Transports. Benutzer verwalten ihre verschlüsselten E-Mails mit ihrem üblichen E-Mail-Client.
  • Sichern mit S/MIME: Sie tauschen Zertifikate und Schlüssel mit Organisationen aus, mit denen Sie kommunizieren. S/MIME signiert Nachrichten; sie sind nicht unbedingt verschlüsselt.
  • Push-Verschlüsselung: Nur ausgehende Nachrichten. Verschlüsselte E-Mails werden in PDF-Dateien konvertiert und Anhänge werden nativ verschlüsselt. Diese werden an den E-Mail-Client des Benutzers gesendet.
  • Portal Encryption: Nur ausgehende Nachrichten. Dabei werden verschlüsselte E-Mails an Sophos Secure Message geliefert. Empfänger verwalten ihre gesicherten E-Mails in Sophos Secure Message.

TLS-Authentifizierung

Transport Layer Security (TLS) verhindert das Abhören und Manipulieren der Nachricht während der Übertragung.

In einer Secure-Message-Richtlinie können Sie TLS-Versionen auswählen. Sie können auch die Aktion auswählen, die ausgeführt werden soll, wenn der Absender oder Empfänger nicht über die richtige TLS-Version verfügt oder TLS nicht unterstützt.

  • TLS 1.3 bevorzugt: Wenn der Absender TLS 1.3 nicht unterstützt, wird TLS 1.2 verwendet.
  • TLS 1.3 erforderlich: Wenn der Absender TLS 1.3 nicht unterstützt, werden Nachrichten abgelehnt. Ausgehende Nachrichten können stattdessen mit Push-Verschlüsselung gesendet werden.
  • TLS 1.2 erforderlich: Wenn der Absender TLS 1.2 nicht unterstützt, werden Nachrichten abgelehnt. Ausgehende Nachrichten können stattdessen mit Push-Verschlüsselung gesendet werden.

Warnung

Wenn Sie die Option TLS 1.3 erforderlich oder TLS 1.2 erforderlich auswählen, wird die E-Mail-Kommunikation über eine andere TLS-Version als die von Ihnen ausgewählte beendet.

Wir empfehlen TLS 1.3 bevorzugtDabei wird TLS 1.3 versucht und bei Bedarf zu TLS 1.2 gewechselt. Dies ist flexibler und reduziert die Wahrscheinlichkeit von Störungen beim Nachrichtenaustausch.

Wenn die Nachricht nicht über TLS zugestellt werden kann, können Sie Als Rückfall-Lösung Push-Verschlüsselung der gesamten Nachricht auswählen, sodass die Nachricht als Push-verschlüsselte E-Mail gesendet wird.

Sie können die unverschlüsselte Zustellung von Nachrichten zulassen, wenn der Absender TLS nicht unterstützt. Wir empfehlen dies nicht.

Sie können auch Zertifikate für ausgehende TLS-Verbindungen überprüfen. Wenn Sie TLS 1.3 erforderlich oder TLS 1.2 erforderlich auswählen, können Sie auf Zertifikat überprüfen klicken. Das TLS-Zertifikat wird überprüft, um sicherzustellen, dass es für die Empfänger-Domäne ausgestellt wurde. Wenn die Prüfung fehlschlägt, wird die Nachricht nicht zugestellt.

Sie können die TLS-Versionsdetails über den Nachrichtenverlauf anzeigen. Im Nachrichtenverlauf können Sie die Nachrichten filtern, indem Sie Secure Message unter Kategorie und dann eine TLS-Version auswählen, die Sie zum Filtern in Unterkategorie verwenden möchten.

TLS im Nachrichtenverlauf.

Um mehr über die Nachricht zu erfahren, klicken Sie auf den Betreff, um die Details anzuzeigen. Bewegen Sie den Mauszeiger unter Nachrichtendetails über eine beliebige Ellipse (drei Punkte) in Status. So sehen Sie, dass die Verbindung über TLS gesichert ist. Sie können auch sehen, ob die TLS-Version authentifiziert wird.

Hinweis

Wenn Sophos Email die Signatur der Stammzertifizierungsstelle (CA) nicht prüfen konnte, gibt SMTP-Text an, dass die TLS-Zustellung nicht vertrauenswürdig war.

Tooltip, der TLS in den Nachrichtendetails anzeigt.

S/MIME-Schutzeinrichtung

Sie können Nachrichten mittels Secure/Multipurpose Internet Mail Extensions (S/MIME) schützen. Er schützt eingehende Nachrichten, ausgehende Nachrichten oder beides.

Bevor Sie den S/MIME-Schutz in Richtlinien verwenden können, müssen Sie ihn unter Meine Produkte > Allgemeine Einstellungen > S/MIME-Einstellungen > S/MIME-Einstellungen einschalten und einrichten. Siehe S/MIME-Einstellungen.

Sie können eingehende Nachrichten mit den Zertifikaten vergleichen, die an die E-Mails angehängt sind.

Sophos Email Security kann eingehende Nachrichten, die vom selbstsignierten Zertifikat eines Drittanbieters signiert wurden, erst überprüfen, wenn Ihnen das Zertifikat gesendet wurde. Sie müssen diese Zertifikate in Meine Produkte > Allgemeine Einstellungen > S/MIME-Einstellungen > Externe S/MIME-Zertifikate hochladen. Siehe Externe S/MIME-Zertifikate.

Wenn Sophos Email Security nicht über alle S/MIME-Zertifikate zum Verschlüsseln und Signieren einer ausgehenden Nachricht verfügt, wird versucht, die Nachricht mit Push-Verschlüsselung zu verschlüsseln. Siehe Verarbeitung von ausgehenden Nachrichten.

Sie können eingehende Nachrichten entschlüsseln und ausgehende Nachrichten verschlüsseln.

Sie können die folgenden Aktionen auswählen, die ausgeführt werden sollen, wenn eine Nachricht eine S/MIME-Prüfung nicht besteht.

  • Eingehende E-Mails in Quarantäne verschieben, löschen oder mit einem Hinweis für den Empfänger in der Betreffzeile zustellen.
  • Ausgehende E-Mails löschen, in Quarantäne verschieben, zustellen oder abweisen.
  • Bei ausgehenden Nachrichten können Sie die Option Push-Verschlüsselung der gesamten Nachricht bei Freigabe auswählen. Siehe Verarbeitung von ausgehenden Nachrichten.

Verarbeitung eingehender Nachrichten

Wenn Sie für eingehende Nachrichten nur eine der S/MIME-Optionen (Eingehende Nachrichten verifizieren oder Eingehende Nachrichten entschlüsseln )konfigurieren, wird nur die äußere Ebene der Nachricht verarbeitet. Wenn die ausgewählte Option nicht mit dem Typ der eingehenden Nachricht übereinstimmt, schlägt die Nachricht fehl.

Bei eingehenden Nachrichten können Sie die Fehleraktion auf Zustellung festlegen, wenn Nachrichten nach der Verarbeitung durch Sophos Email Security überprüft oder entschlüsselt werden sollen. Zum Beispiel kann ein Benutzer seine Zertifikate und privaten Schlüssel in seiner E-Mail-Software gespeichert haben.

Ein Beispiel: Wenn Sie Eingehende Nachrichten verifizieren ausgewählt haben und die Nachricht nicht signiert ist, schlägt die Nachricht fehl. Wenn Sie Eingehende Nachrichten entschlüsseln ausgewählt haben und die Nachricht nicht verschlüsselt ist, schlägt die Nachricht fehl.

Die Verarbeitung eingehender Nachrichten hängt davon ab, welche S/MIME-Einstellungen aktiviert sind.

Wenn Sie Eingehende Nachrichten verifizieren aktivieren und Eingehende Nachrichten entschlüsseln deaktivieren, werden die Nachrichten wie folgt verarbeitet.

Bedingungen für eingehende Nachrichten Aktionen
Verschlüsselt, dann signiert.

Nachricht verifiziert und übermittelt.

Wenn die Verifizierung fehlschlägt, ergreifen wir die von Ihnen gewählte Aktion. Wir entschlüsseln die Nachricht nicht.

Signiert, dann verschlüsselt. Keine S/MIME-Aktionen. Wir führen die von Ihnen gewählte Aktion durch.
Signiert, nicht verschlüsselt.

Nachricht verifiziert und übermittelt.

Wenn die Verifizierung fehlschlägt, führen wir die von Ihnen ausgewählte Aktion durch.

Verschlüsselt, nicht signiert. Keine S/MIME-Aktionen. Wir führen die von Ihnen gewählte Aktion durch.
Nicht signiert oder verschlüsselt. Keine S/MIME-Aktionen, Nachricht gesendet.

Wenn Sie Eingehende Nachrichten verifizieren deaktivieren und Eingehende Nachrichten entschlüsseln aktivieren, werden die Nachrichten wie folgt verarbeitet.

Bedingungen für eingehende Nachrichten Aktionen
Verschlüsselt, dann signiert. Keine S/MIME-Aktionen. Wir führen die von Ihnen gewählte Aktion durch.
Signiert, dann verschlüsselt.

Nachricht entschlüsselt und übermittelt.

Wenn die Entschlüsselung fehlschlägt, führen wir die von Ihnen ausgewählte Aktion durch.

Signiert, nicht verschlüsselt. Keine S/MIME-Aktionen. Wir führen die von Ihnen gewählte Aktion durch.
Verschlüsselt, nicht signiert.

Nachricht entschlüsselt und übermittelt.

Wenn die Entschlüsselung fehlschlägt, führen wir die von Ihnen ausgewählte Aktion durch.

Nicht signiert oder verschlüsselt. Keine S/MIME-Aktionen, Nachricht gesendet.

Verarbeitung von ausgehenden Nachrichten

Sophos Email Security kann Nachrichten mit Push-Verschlüsselung verschlüsseln, wenn es nicht möglich ist, S/MIME zu verwenden. Sophos Email Security verfügt zum Beispiel möglicherweise nicht über alle Zertifikate, die für S/MIME erforderlich sind.

So aktivieren Sie diese Funktion:

  1. Wählen Sie unter Fehler-Aktion für ausgehende Nachrichten die Option Quarantäne oder Zustellung aus.
  2. Wählen Sie die Option Push-Verschlüsselung der gesamten Nachricht bei der Freigabe.

Wenn Sie Zustellung auswählen und die S/MIME-Verschlüsselung fehlschlägt, verschlüsselt Sophos Email Security die Nachricht mithilfe der Push-Verschlüsselung und sendet sie sofort.

Wenn Sie Quarantäne auswählen und die S/MIME-Verschlüsselung fehlschlägt, verschlüsselt Sophos Email Security die Nachricht mithilfe der Push-Verschlüsselung und sendet sie, wenn Sie die Nachricht aus der Quarantäne freigeben. Für weitere Informationen zur Push-Verschlüsselung siehe Push-Verschlüsselung.

Push-Verschlüsselung

Push-Verschlüsselung konvertiert E-Mails in PDF-Dateien. Benutzer müssen PDF-Dateien lesen können.

  • In Microsoft Office-, ZIP- und PDF-Dateien ist Verschlüsselung integriert. Aus diesen Dateien können mehrere Anhänge erstellt werden.
  • Alle weiteren Dateien, wie etwa Nur-Text und HTML, werden als PDF-Dateien verschlüsselt. E-Mail-Inhalte werden als PDF-Datei verschlüsselt.
  • Zur Anzeige verschlüsselter E-Mails und Anhänge müssen Sie Adobe Reader installieren.
  • Sie können Nachrichten auf Mobilgeräten anzeigen und beantworten.

Wenn ein Benutzer zum ersten Mal eine sichere E-Mail erhält, sendet Sophos Secure Message ihm eine Benachrichtigungs-E-Mail. Die Benachrichtigungs-E-Mail enthält einen Link zu Sophos Secure Message und fordert sie auf, ein Sophos Secure Message-Kennwort einzurichten. Der Link in der Benachrichtigungs-E-Mail läuft nach 30 Tagen ab.

Hinweis

Benutzer können das Kennwort lediglich für E-Mails in der Region verwenden, aus der die ursprüngliche E-Mail stammt. Wenn Benutzer eine E-Mail aus einer anderen Region erhalten, müssen sie ein anderes Kennwort festlegen.

Nach der Kennwort-Einrichtung erhält der Benutzer seine sichere E-Mail von Sophos, einschließlich aller verschlüsselten Anhänge. Zum Öffnen der sicheren E-Mail gibt der Benutzer das von ihm erstellte Kennwort ein.

Benutzer antworten auf sichere E-Mails von ihrem E-Mail-Client. Sie klicken in der verschlüsselten PDF-Datei auf Antwort.

Benutzer folgen dem gleichen Prozess, egal ob Sie Gesamte Nachricht verschlüsseln. oder Nur Anhänge verschlüsselnauswählen.

Portal Encryption

Sie benötigen eine Add-on-Lizenz für Sophos Email Portal Encryption, um Portal Encryption verwenden zu können. Außerdem müssen Sie eine neue Secure-Message-Richtlinie erstellen.

Die Add-on-Lizenz ermöglicht es Ihnen auch, das Branding Ihrer verschlüsselten E-Mails und das Secure Message-Portal anzupassen.

Wenn Sie Portal Encryption aktivieren, verwalten Benutzer ihre gesicherten E-Mails über Sophos Secure Message.

Wenn ein Benutzer zum ersten Mal eine verschlüsselte E-Mail erhält, sendet Sophos Secure Message ihm eine Benachrichtigungs-E-Mail. Die Benachrichtigungs-E-Mail enthält einen Link zu Sophos Secure Message und fordert sie auf, ein Sophos Secure Message-Konto einzurichten. Der Link in der Benachrichtigungs-E-Mail läuft nach 30 Tagen ab.

Hinweis

Benutzer können das Konto lediglich für E-Mails in der Region verwendet werden, aus der die gesicherte E-Mail stammt. Wenn Benutzer eine sichere E-Mail aus einer anderen Region erhalten, müssen sie ein anderes Konto einrichten.

Nach der Kontoeinrichtung wechselt der Benutzer zu Sophos Secure Message, um seine gesicherten E-Mails zu lesen und zu beantworten.