Eine der großen Gefahren beim Versand von Nachrichten über das Internet ist, dass die Integrität der Nachrichten nicht gewährleistet werden kann, da die Nachrichten standardmäßig im Klartext übertragen und abgespeichert werden. Die Nachricht kann auf dem Weg zum Empfänger also abgefangen, gelesen und manipuliert werden. Um diesen Gefahren zu begegnen, wurden einige Verfahren entworfen, die es ermöglichen sollen, den Absender einer Nachricht zu identifizieren und die Integrität der Nachricht zu gewährleisten.

Secure Multipurpose Internet Mail Extensions (S/MIME) basiert auf Benutzerzertifikaten, mit denen der Absender einer Nachricht sich anhand einer digitalen Signatur ausweisen kann. Zusätzlich bietet S/MIME die Möglichkeit, Nachrichten zu verschlüsseln.

Um S/MIME in der Kommunikation mit externen Empfängern verwenden zu können, benötigt der Absender ein Zertifikat von einer Zertifizierungsstelle, welcher der Empfänger vertraut. Beim Absenden der Nachricht wird ein Datenblock generiert, der die Informationen enthält, um die Signatur überprüfen zu können. Im zweiten Datenblock werden die Nachricht und der MIME-Header gespeichert, über die die Signatur erstellt wird. Damit bleibt die Nachricht auch für Clients lesbar, die S/MIME nicht unterstützen.

Benutzer können S/MIME über ihren Mail-Client (Outlook, mobile Geräte, etc.) oder per Outlook Web App verwenden. Sie benötigen jedoch immer ihr Zertifikat im entsprechenden Zertifikatspeicher des Computers, an dem sie es verwenden möchten. Ob Benutzer S/MIME mit OWA verwenden dürfen, können Sie in den Segmentierungseinstellungen konfigurieren. Wenn S/MIME für OWA aktiviert wird, können Benutzer das S/MIME-Plugin herunterladen und installieren. Mit diesem können Sie dann auswählen, ob eine Nachricht signiert oder verschlüsselt werden soll.

Wenn Benutzer S/MIME zur Verschlüsselung von Nachrichten verwenden möchten, benötigen Sie immer das S/MIME-Zertifikat des Empfängers. Die Nachricht wird mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und nur der Eigentümer des Zertifikats kann die Nachricht mit seinem privaten Schlüssel entschlüsseln. Wenn eine Nachricht an mehrere Empfänger verschlüsselt gesendet werden soll, benötigt der Absender von jedem Empfänger ein Zertifikat. Sollte von einem Empfänger der Nachricht kein Zertifikat vorliegen, kann die Nachricht nicht verschlüsselt gesendet werden.

Da die Verwendung von S/MIME einen hohen administrativen Aufwand mit sich bringt, bietet Exchange Server 2010 Ihnen eine weitere Möglichkeit, um Nachrichten geschützt zu übertragen und den Absender zu verifizieren. Zur Absicherung von E-Mail-Nachrichten zwischen Unternehmen können Sie die sog. Domänensicherheit verwenden. Dabei wird gewährleistet, dass der absendende und der empfangende Mailserver sich gegenseitig anhand von Zertifikaten ausweisen (Mutual TLS). Damit ist die Identität aller beteiligten Mail-Systeme gewährleistet und das die Nachricht das Internet durch einen sicheren Kanal durchquert. Um Domänensicherheit verwenden zu können, benötigen Sie für Ihre Exchange-Organisation ein Zertifikat von einer externen, vertrauenswürdigen Zertifizierungsstelle, das Sie dann im Zertifikatsspeicher des Servers ablegen, der die externe Kommunikation mit dem Partner übernimmt (üblicherweise ein Edge-Server). Ein Zertifikat können Sie beispielsweise mit folgendem Befehl anfordern:

$Data1 = New-ExchangeCertificate –GenerateRequest –FriendlyName <Name> -SubjectName „DC=<TLD>,DC=<Domain>,CN=<FQDN Server>“ –DomainName <Name der externen Domäne>
Set-Content –Path <Dateiname.req> -Value $Data1

Nachdem Sie die Zertifikatsanforderung bei einer externen, vertrauenswürdigen Zertifizierungsstelle eingereicht haben, erhalten Sie das Zertifikat. Dieses müssen Sie anschließend auf dem Server importieren und für den SMTP-Verkehr aktivieren:

Import-ExchangeCertificate  –FileData  ([Byte[]]$(Get-Content  –Path  <Dateiname.pfx> -Encoding Byte –ReadCount 0)) | Enable-ExchangeCertificate –Services SMTP

Anschließend müssen Sie die Listen der domänengesicherten Domänen konfigurieren. Domänensicherheit wird nur für Domänen verwendet, die in den Listen enthalten sind.

Set-TransportConfig –TLSRecieveDomainSecureList <Wert>
Set-TransportConfig –TLSSendDomainSecureList <Wert>

Abschließend müssen Sie den Sendeconnector, der die Nachrichten an dem Empfänger versendet, für Domänensicherheit konfigurieren:

Set-SendConnector –Identity <Name> -DomainSecureEnabled <$true|$false> -DNSRoutingEnabled <$true|$false>

Auf Seiten des Empfangsconnectors müssen Sie keine weiteren Einstellungen vornehmen, da diese standardmäßig für Domänensicherheit konfiguriert sind.