S/MIME

S/MIME ist eine Methode für die sichere E-Mail-Kommunikation in Zammad (zusätzlich zu PGP). Es ist die am weitesten verbreitete Methode für die sichere E-Mail-Kommunikation und ermöglicht Ihnen den Austausch von signierten und verschlüsselten Nachrichten mit anderen.

Signieren

ist der Beweis, dass eine Nachricht nicht manipuliert oder von einem Nachahmer gesendet wurde. Mit anderen Worten, es garantiert die Integrität und die Echtheit der Nachricht.

Verschlüsselung

verschlüsselt eine Nachricht, so dass sie nur von dem vorgesehenen Empfänger entschlüsselt werden kann. Mit anderen Worten, es garantiert die Privatsphäre und den Datenschutz der Nachricht.

Sobald S/MIME über den Schalter oben aktiviert wurde, erscheinen die Schaltflächen Verschlüsseln und Signieren in der Ticket-Detailansicht, wenn Sie einen E-Mail-basierten Artikel erstellen. Weitere Einzelheiten zur Funktionsweise von S/MIME für Agenten finden Sie im Abschnitt Sichere Email in der Benutzerdokumentation.

Voraussetzungen

  • Ein Zertifikat und ein privater Schlüssel für Ihre eigene Organisation zum Signieren ausgehender Nachrichten und Entschlüsseln eingehender Nachrichten.

  • Zertifikate, die Ihren Kontakten oder der ausstellenden Zertifizierungsstelle (Certificate Authority, CA) gehören, um Signaturen von Eingangsnachrichten zu überprüfen und Ausgangsnachrichten zu verschlüsseln.

  • Die Verwendung eines abgelaufenen (Not After) oder noch nicht gültigen (Not Before) Zertifikats für ausgehende E-Mails ist nicht möglich.

Bemerkung

Wo bekomme ich ein Zertifikat? Der einfachste Weg, Zertifikate zu erhalten, ist der Kauf eines Jahresabonnements über eine kommerzielle Zertifizierungsstelle, wie z.B.:

Sie können auch Ihre eigenen selbstsignierten Zertifikate erstellen, aber der Prozess ist kompliziert und bedeutet in der Regel zusätzlichen Aufwand für Ihre Kontakte. Denken Sie daran, dass S/MIME nur funktioniert, wenn die andere Partei es auch verwendet.

Handhabung von Zertifikaten und Schlüsseln

Hinzufügen von Zertifikaten und Schlüsseln

Beim Hinzufügen von Zertifikaten und Schlüsseln validiert Zammad diese anhand der Erweiterungen X509v3. Wenn Ihr Zertifikat und Ihr privater Schlüssel in derselben Datei oder demselben PEM-Block gebündelt sind, importieren Sie diese zweimal (jeweils einmal mit jeder Schaltfläche).

Zertifikat hinzufügen

Importieren Sie Public-Key-Zertifikate sowohl für Ihre eigene Organisation als auch für Ihre Kontakte. Sie können mehrere Zertifikate auf einmal hinzufügen, indem Sie eine Datei mit allen relevanten Zertifikaten bereitstellen.

In manchen Fällen (z.B. bei großen Unternehmen) erhalten Sie ein Zertifikat für eine gesamte Zertifizierungsstelle (CA) und nicht nur für einen einzelnen Kontakt. Sie können es auch hier hinzufügen, um allen Zertifikate zu vertrauen, die von dieser CA ausgestellt wurden. Kommerzielle CAs können in der Regel online verifiziert werden. Zammad enthält keine Liste integrierter, vertrauenswürdiger CAs.

Privaten Schlüssel hinzufügen

Sobald Sie ein Zertifikat mit einem öffentlichen Schlüssel hinzugefügt haben, können Sie den dazugehörigen privaten Schlüssel importieren. Private Schlüssel sind nur für Ihre eigene Organisation; fragen Sie niemals Ihre Kontakte nach deren privaten Schlüsseln. Ein Massenimport von privaten Schlüsseln ist nicht möglich.

S/MIME-Integration mit konfigurierten Zertifikaten und möglichen Problemen mit der Protokollierung

Bei Zertifikaten mit passendem privaten Schlüssel wird ein Hinweis angezeigt (siehe Zeile 2).

Validierung von Zertifikaten

Client-Zertifikat

Die folgenden Attribute sind erforderlich:

  • Subject Alternative Name (mindestens eine E-Mail-Adresse muss vorhanden sein)

  • Key Usage (Digital Signature und/oder Key Encipherment)

  • Algorithmus des öffentlichen Schlüssels (entweder RSA oder EC)

Das Attribut Extended Key Usage ist optional. Wenn das Zertifikat das genannte Attribut enthält, dann muss es den Wert E-mail Protection enthalten. Jeder verwendbaren E-Mail-Adresse muss das Präfix email: oder rfc822: vorangestellt werden. Die genannten Algorithmen für öffentliche Schlüssel sind auch für private Schlüssel zwingend erforderlich.

CA-Zertifikat

Im Falle eines hochgeladenen CA-Zertifikats, das den Wert CA:TRUE im Attribut Basic Constraints enthält, werden die zuvor genannten Attribute nicht überprüft.

Zertifikat oder Schlüssel herunterladen

Sie können die zuvor bereitgestellten Zertifikate und privaten Schlüssel jederzeit von Ihrer Zammad-Instanz herunterladen. Bitte beachten Sie, dass private Schlüssel, die mit einer Passphrase geschützt sind, dies auch weiterhin bleiben. Wenn Sie sie herunterladen, müssen Sie die Passphrase kennen, um sie nach dem Herunterladen verwenden zu können. Um ein Zertifikat herunterzuladen, verwenden Sie das Menü ⠇ in der Spalte Aktionen und wählen Sie Zertifikat herunterladen. Um einen privaten Schlüssel herunterzuladen, verwenden Sie die andere Option mit der Bezeichnung Privaten Schlüssel herunterladen.

Zertifikat und Schlüssel löschen

Um ein Zertifikat (mit einem optionalen privaten Schlüssel) zu löschen, verwenden Sie das Menü ⠇ in der Spalte Aktionen und wählen Löschen.

Standard-Verhalten

Standardmäßig versucht Zammad, alle ausgehenden E-Mails signiert und verschlüsselt zu senden, wenn möglich. Dieses Verhalten kann für jede Gruppe angepasst werden. Sie zwischen nur signieren, nur verschlüsseln, beides oder keinem von beiden wählen:

Zammad ermöglicht die Auswahl des Standardverhaltens für jede Gruppe

Agenten können diese Einstellungen für jede E-Mail, die sie versenden, übersteuern.

Fehlerbehebung

Alle aktuellen S/MIME-Aktivitäten des Systems werden im Bereich Aktuellste Protokolle angezeigt. Die Protokolle enthalten den Status und die Details aller E-Mails (sowohl eingehende als auch ausgehende), die signiert/verifiziert oder verschlüsselt/entschlüsselt wurden. Dieses Protokoll enthält nicht E-Mails, die von Triggern oder Automatisierungsaufgaben gesendet wurden. Prüfen Sie dazu Ihr production.log.

Ich habe eine signierte/verschlüsselte E-Mail erhalten, bevor ich die S/MIME-Integration eingerichtet habe

Das ist kein Problem. Sobald S/MIME aktiviert ist und die entsprechenden Zertifikate hinzugefügt wurden, werden die Agenten aufgefordert, die Verifizierung/Entschlüsselung bei entsprechenden E-Mails zu wiederholen.

Screenshot mit Benutzeraufforderung, die Entschlüsselung zu wiederholen
Die Schaltfläche Verschlüsseln ist deaktiviert

  • Haben Sie das Zertifikat des Empfängers hinzugefügt?

  • Sind Sie sicher, dass das Zertifikat des Empfängers gültig ist?

  • Haben Sie Ihr production.log auf weitere Details überprüft?

Wenn die Verschlüsselung für ausgehende E-Mail-Artikel nicht funktioniert, wird sie auch nicht in Triggern oder Automatisierungsaufgaben funktionieren.

Die Signieren Schaltfläche ist deaktiviert

  • Haben Sie Zertifikate und privaten Schlüssel für Ihre Organisation hinzugefügt?

  • Stimmt die E-Mail-Adresse aus dem Zertifikat mit der E-Mail-Adresse der Person/Gruppe überein, die die E-Mail verfasst?

Fehler: „Fingerabdruck bereits vorhanden“

  • Sind Sie sicher, dass Sie dieses Zertifikat nicht bereits hinzugefügt haben?

Fehler: „ungültige Bytefolge in UTF-8“

  • Bitte stellen Sie sicher, dass Sie das Zertifikat und die Schlüssel im PEM-Format bereitstellen.

  • Haben Sie überprüft, ob es sich bei der bereitgestellten Datei um ein gültiges Zertifikat oder einen gültigen Schlüssel handelt?