Skip to main content

Das verschlüsselte Postfach – Eingehende Mails verschlüsseln

mailbox.org kann nicht nur gesendete, sondern auch eingehende E-Mails völlig automatisch mit einem PGP-Schlüssel verschlüsseln. Nur wer im Besitz Ihres privaten PGP-Schlüssels und des dazugehörigen Passwortes ist, kann dann neue Nachrichten in Ihrem Posteingang lesen. 

Aktivierung der Postfachverschlüsselung

Damit das verschlüsselte Postfach auch online entschlüsselt werden kann, muss der mailbox.org Guard und die automatische Verschlüsselung eingehender E-Mails aktiviert sein. Die Einstellungen hier und der eingefügte Schlüssel gelten sowohl für den Posteingang als auch für den Ordner "Gesendet".

Abbildung 1: Das verschlüsselte Postfach aktivieren

  • Klicken Sie im mailbox.org Office auf das Zahnrad rechts oben (1) um zu den Einstellungen  zu gelangen (Abbildung 1).
  • Klicken Sie auf den Menüeintrag "E-Mail | Ihr verschlüsseltes Postfach" (2).
  • Aktivieren Sie den Haken "PGP-Verschlüsselung für eingehende E-Mails aktivieren" (3).
  • Fügen Sie dort Ihren öffentlichen PGP-Schlüssel (im üblichen ASCII-Format) in die Textbox ein (4). Wie Sie diesen erhalten und korrekt einfügen, zeigt Ihnen der nächste Abschnitt.

Sollte es zu Fehlermeldungen kommen, prüfen Sie bitte zunächst, ob der öffentliche Schlüssel korrekt eingefügt wurde. Es kommt leicht vor, dass der Schlüssel beim Kopieren/Einfügen aus der Zwischenablage verändert wurde und nicht mehr verwendbar ist.

Es ist keine weitere Aktion von Ihnen notwendig. Ab sofort werden alle eingehenden und ausgehenden Nachrichten verschlüsselt, bereits vorhandene Nachrichten bleiben davon unberührt.

Woher bekomme ich den PGP Schlüssel?

Benutzen Sie mailbox.org Guard, dann existiert auf mailbox.org bereits ein PGP-Schlüsselpaar, dessen öffentlichen Schlüssel Sie herunterladen können. Gehen Sie dazu wie folgt vor:

Abbildung 2: Das verschlüsselte Postfach mit eigenen Keys verwenden

  • Wählen Sie im mailbox.org-Menü den Eintrag "Sicherheit | mailbox.org Guard" (5) (Abbildung 2)
  • Klicken Sie auf die Schaltfläche "Ihre Schlüssel" (6) am Ende der Seite 
  • Klicken Sie in der Schlüsselliste auf das Download-Symbol in der Spalte "Herunterladen" (7), in der Zeile des Schlüssels, den Sie verwenden möchten.
  • Wählen Sie im folgenden Menü die Schaltfläche "Öffentlichen PGP-Schlüssel herunterladen" (8)
  • Klicken Sie auf die Schaltflächen "Schließen" (9) und dann auf "Fertig" (10) 

Abbildung 3: Den öffentlichen Schlüssel herunterladen

Sie finden den heruntergeladenen Public Key jetzt üblicherweise als Datei mit dem Namen public.asc im Downloadverzeichnis Ihres Browsers. Öffnen Sie die Datei mit einem Texteditor (die meisten Betriebssysteme machen das automatisch beim Doppelklick) und kopieren Sie den kompletten Inhalt inklusive der ersten Zeile "** -----BEGIN PGP PUBLIC KEY BLOCK -----" bis einschließlich der letzten Zeile " -----END PGP PUBLIC KEY BLOCK -----**" und fügen Sie diesen Text in das Eingabefeld (4) für den öffentlichen PGP-Schlüssel ein ("Einstellungen | E-Mail | Ihr verschlüsseltes Postfach", Abbildung 1), so wie das die erste Abbildung oben zeigt. Jetzt noch den Haken bei "PGP Verschlüsselung für eingehende E-Mails" (3) setzen, fertig. In Abbildung 4 sehen Sie einen Dateimanager und Editor samt Kontextmenü (hier auf Linux):

Abbildung 4: Einen heruntergeladenen öffentlichen Schlüssel verarbeiten

Technik

Im Hintergrund erledigt dabei ein so genannter Sieve-E-Mail-Filter auf unserem Mailserver die Verschlüsselung für Sie: Das geschilderte Aktivieren des verschlüsselten Postfachs erzeugt eine Filterregel, die auch unter "Einstellungen | E-Mail | Filterregeln" angezeigt wird. Absender, Empfänger und Betreff der Nachricht bleiben dabei (noch) unverschlüsselt – Es existiert noch kein Verschlüsselungsverfahren, das dazu in der Lage ist. Bitte achten Sie darauf, dass weitere Regeln zur Filterung Ihrer E-Mails unterhalb der Regel für das verschlüsselte Postfach angehängt werden. Den Kommentar, "Die Regel enthält nicht unterstützte Eigenschaften" (Abbildung 5), können Sie ignorieren. Sie ist technisch bedingt und hat keine Auswirkungen auf die Funktionalität.

Abbildung 5: Filterregeln

Diese Mail-Filter-Regeln werden auf alle neu auf dem Server ankommenden E-Mails angewandt (das ist auch der Grund, warum auf diese Weise keine alten Mails verschlüsselt werden können).

Reihenfolge

Bitte beachten Sie, dass die Filterregel für das verschlüsselte Postfach immer als erste in der Liste der Filterregeln stehen muss. Prüfen Sie das sorgfältig, beispielsweise wenn sie einen alten Verschlüsselungs-Key entfernen und einen neuen hinzufügen, wenn Sie andere Filterregeln gesetzt haben oder wenn Sie neue setzen. 

Einen eigenen PGP-Schlüssel verwenden

Sie können in der Schlüsselliste (7) auch eigene PGP-Schlüssel für die verschlüsselten Postfächer hochladen, beispielsweise ein Paar, das Sie zuvor mit einem E-Mail-Client wie etwa Thunderbird (mit der Open-PGP-Schlüsselverwaltung) erstellt haben. Für die Postfachverschlüsselung müssen sie allerdings so sowohl Ihren öffentlichen, als auch den privaten Schlüssel hinterlegen. Klicken Sie dazu auf das Plus-Zeichen aus Abbildung 2 und im folgenden Dialog (Abbildung 6) nacheinander auf "Privaten Schlüssel hochladen" (11) und "Nur öffentlichen Schlüssel hochladen" (12). Guard wird sie auffordern, das Passwort des privaten Keys einzugeben und ein neues zu vergeben (siehe unten)

Abbildung 6: Eigene Schlüssel hochladen

Kompliziert: Mehrere PGP-Schlüssel

Natürlich können sie in mailbox.org und dem Guard auch mehrere PGP-Schlüssel gleichzeitig verwenden. Dabei ist allerdings Vorsicht geboten, nicht nur kann das schnell unübersichtlich werden, es erfordert auch viel Sorgfalt und Planung. mailbox.org empfiehlt daher, den gleichen Schlüssel für E-Mails und das verschlüsselte Postfach zu verwenden. 

Abgelaufene PGP-Keys

Wenn Ihr PGP-Key abgelaufen ist (sein Gültigkeitsdatum überschritten hat), müssen Sie ihn unter "Einstellungen | E-Mail | Ihr verschlüsseltes Postfach" und den Haken bei "PGP-Verschlüsselung für eingehende E-Mails aktivieren" entfernen. Danach gilt es noch, in den "Filterregeln" und die Regel "Ihr verschlüsseltes Postfach" zu entfernen. Wenn Sie nun einen neuen, verlängerten PGP-Schlüssel importieren, wird alles wieder funktionieren. 

Wie oft muss ich das Passwort eingeben?

In den mailbox.org-Sicherheitseinstellungen ("Sicherheit | mailbox.org Guard") können sie festlegen, wie lange Guard Ihre Passworte im Speicher behält. Das Aufklappmenü "Passwort-Standardeinstellungen merken" (13) bietet ihnen die Optionen: "Immer Fragen", "10", "20", "30", "60", "120 Minuten" oder nur "Einmal pro Sitzung" (Abbildung 7 und 8).

Abbildung 7: Einstellungen für das mailbox.org Guard Passwort.

Wenn Sie das verschlüsselte Postfach aktiviert haben, werden Sie (in der Standardeinstellung) jedes Mal, wenn Sie innerhalb einer Session erstmals eine verschlüsselte E-Mail öffnen wollen, nach dem Passwort Ihres privaten PGP Schlüssels gefragt. Auch im Aufklappmenü "Dauer" unter der Checkbox "Bei mailbox.org Guard angemeldet bleiben" können Sie festlegen, wie lange mailbox.org Ihr Passwort im Speicher behält, bevor Sie es erneut eingeben müssen. Wählen Sie den Eintrag "Sitzung", damit Sie das PGP-Passwort nach jeder Anmeldung nur einmal eingeben müssen, bis Sie sich ausloggen. 

Abbildung 8: Den Timeout für die Passworteingabe setzen

Das verschlüsselte Postfach auf anderen Geräten nutzen

Um das verschlüsselte Postfach auf Ihrem PC mit einem E-Mail-Client oder auf einem mobilen Endgerät zu nutzen können Sie das Schlüsselpaar von unserer Weboberfläche herunterladen. Wählen Sie in diesem Fall die Option "Öffentlichen und privaten Schlüssel herunterladen" (siehe Abbildung 3). Für das weitere Vorgehen benötigen Sie in der Regel Zusatzprogramme wie OpenKeychain für Android  oder die Open-PGP-Schlüsselverwaltung für Thunderbird (hier geht's zur Dokumentation). Importieren Sie Ihr Schlüsselpaar in diese Programme.

Nutzen Sie für Verschlüsselung und zum Speichern von privaten Keys keine Softwarepakete, Endgeräte oder Betriebssysteme, denen sie nicht vollkommen vertrauen. Mit einem gestohlenen privaten Key kann ein Angreifer unter Umständen alle Ihre E-Mails entschlüsseln oder in Ihrem Namen gefälschte Mails versenden. Er kann diese Schlüssel auch verwenden, um andere, vermeintlich sichere Geräte zu kompromittieren.

Aufgrund der Vielzahl an möglichen Geräten und Softwarekomponenten kann mailbox.org leider keinen Support für andere Clients und Geräte leisten.

SMIME beim verschlüsselten Postfach

Wenn Sie Ihren mailbox.org-Account mit Ihrem lokalen Mailclient nutzen, können Sie dort jederzeit die E-Mail-Verschlüsselung durch S/MIME nutzen. Das verschlüsselte Postfach funktioniert derzeit aus technischen Gründen jedoch nur auf Basis einer PGP-Verschlüsselung. Wir haben die Integration von S/MIME auf dem Plan, können aber über den Zeitpunkt der Umsetzung noch keine verbindliche Aussage treffen.

E-Mails von der automatischen Verschlüsselung ausnehmen

Im mailbox.org-Webclient können Sie unter "Einstellungen | E-Mail | Ihr verschlüsseltes Postfach" eine automatische Posteingangsverschlüsselung einrichten. Hier können Sie Ihren öffentlichen Schlüssel (in der üblichen ASCII-Armor-Form) gefahrlos hineinkopieren. Falls Sie das verschlüsselte Postfach aktivieren, werden alle eingehenden E-Mails, die nicht als bereits verschlüsselt erkannt werden, automatisch für Sie verschlüsselt.
Nachdem Sie Ihr verschlüsseltes Postfach aktiviert haben, wird diese auch in den Filterregeln (unter "Einstellungen | E-Mail | Filterregeln") angezeigt.

Falls Sie nun bestimmte E-Mails nicht verschlüsseln möchten, so legen Sie einfach eine neue Filterregel an (14) und legen Absender, Betreff oder andere Kriterien fest, über die Sie der Filter die nicht zu verschlüsselnden E-Mails identifizieren kann. Wählen Sie als Aktion einfach "Behalten" aus oder lassen Sie die nicht zu verschlüsselnden E-Mails gleich in einen anderen Ordner sortieren.
Entfernen Sie nun noch  den Haken bei "Gegen nachfolgende Regeln prüfen" (15).

Abbildung 9: E-Mails von der automatischen Verschlüsselung ausnehmen.

Ordnen Sie diesen Filter nun so ein, dass er über dem Filter "Ihr verschlüsseltes Postfach" platziert ist. Da die Filterregeln von oben nach unten abgearbeitet werden, wird zuerst der erste zutreffende Filter ausgeführt - so dass Ihre neue Filterregel vor der Verschlüsselungs-Filterregel zum Einsatz kommt.

Natürlich können Sie auf diese Weise auch mehrere Filter anlegen, die E-Mails aussortieren, welche nicht verschlüsselt werden sollen.