Verschlüssle deine Kommunikation mit PGP
E-Mail-Verschlüsselung ist ein zweistufiger Prozess. Einerseits können E-Mails von deinem Mail-Client über eine verschlüsselte Verbindung an den Server gesendet werden, wo sie jedoch noch als Klartext gespeichert werden. Zum anderen können die Nachrichten selbst verschlüsselt werden.
In diesem Leitfaden bieten wir Lösungen sowohl für die erste (Verschlüsselung auf Transportebene) als auch für die zweite Ebene (Ende-zu-Ende-Verschlüsselung).
Verschlüssle die Kommunikation zwischen deinem Mailprogramm und dem Mailserver
Besonders beim Senden und Empfangen von Mails solltest du immer die verschlüsselte Variante (mit STARTTLS) verwenden. Wie in der E-Mail-Anleitung beschrieben, gibt es eine eingehende und eine ausgehende Mailserver-Verbindung. Du erinnerst dich wahrscheinlich an diese Einstellungen:
Eingehend
| Protokoll | IMAP |
| Server | mail.servus. at |
| Port | 143 |
| SSL | STARTTLS |
| Authentifizierung | Autodetect |
| Benutzername | m_benutzername |
Ausgehend
| Protokoll | SMTP |
| Server | mail.servus. at |
| Port | 587 |
| SSL | STARTTLS |
| Authentifizierung | Autodetect |
| Benutzername | m_benutzername |
Auf diese Weise teilt dein E-Mail-Client dem Mailserver mit, dass er eine bestehende unsichere Verbindung in eine sichere umwandeln möchte, zum Beispiel mit TLS.
Verschlüssle E-Mail Nachrichten zwischen dir und deinen Kommunikationspartner*innen mit PGP
Neben der Sicherstellung, dass die Kommunikation zwischen deinem E-Mail-Client und dem Mailserver vor dem Mitlesen durch Dritte geschützt ist, musst du auch dafür sorgen, dass der Inhalt deiner E-Mail vor neugierigen Blicken verborgen ist. Auf jedem Schritt, den deine E-Mail von deinem Gerät zum/zur Empfänger*in zurücklegt, ist sie für alle Zwischeninstanzen wie Router, Server und Internet Service Provider (ISP) sichtbar; sie alle sind an der Zustellung deiner Nachricht beteiligt, wenn sie sie an den nächsten weitergeben.
Um ganz ehrlich zu sein, könnten auch wir von den Inhalt deiner nächsten E-Mail lesen, wenn wir wollten, aber wir tun es nicht, weil wir deine Privatsphäre respektieren und sowieso schon genug Mails erhalten! Aber so wie du den/die Briefträger*in daran hindern kannst, deine Briefe zu lesen, indem du sie in einen Briefumschlag steckst, kannst du eine Ende-zu-Ende-Verschlüsselung mit PGP verwenden, die den Inhalt verschlüsselt – aber nicht die Absender- oder Empfängeradresse und die Metadaten – so dass nur du und diejenigen, der im Besitz deines Schlüssels sind, sie entschlüsseln können.
Wir wissen, dass das kompliziert klingt, aber zum Glück wird es von Mozillas E-Mail-Client Thunderbird out-of-the-Box zur Verfügung gestellt und dank Software-Assistenten, Wizards genannt, ist es ziemlich einfach einzurichten.
Am einfachsten geht dies mit dem kostenlosen Programm Thunderbird.
OpenPGP in Thunderbird einrichten
Wähle
Um ein eigenes Schlüsselpaar zu erstellen, klicke auf
Erstelle einen OpenPGP-Schlüssel
Lies die Anweisungen im Dialog Neuen OpenPGP-Schlüssel erzeugen sorgfältig durch. Wenn du eine ältere Version von Thunderbird verwendest, musst du im nächsten Schritt ein Passwort wählen. In der aktuellen Version des E-Mail-Clients (ab Version 78) benötigst du kein Passwort, weil die Software automatisch ein zufälliges für dich erstellt und es auch gleich für dich speichert. Nun wird dein Schlüssel generiert.
Das Passwort, das automatisch für dich generiert wurde, wird für alle verwalteten OpenPGP-Geheimschlüssel verwendet. Es wird selbst verschlüsselt in deinem Thunderbird-Profilverzeichnis gespeichert und du brauchst es nicht zu kennen. Du solltest aber die eingebaute Funktion zum Setzen eines Master-Passworts nutzen, da sonst deine OpenPGP-Schlüssel in deinem Profilverzeichnis leicht entschlüsselt werden können. Gehe zu
Verschlüssle deine E-Mails
Um eine verschlüsselte E-Mail zu versenden, benötigst du zunächst den öffentlichen Schlüssel der Empfängerin/des Empfängers. Gehe dazu auf
Zurzeit verfügt der E-Mail-Client nicht über die Funktionalität, einen eigenen Schlüssel auf den OpenPGP-Schlüsselserver zu laden, lediglich das Suchen und Importieren anderer Schlüssel wird unterstützt. Es ist aber möglich, dass dies in Zukunft implementiert wird (siehe: dev-roadmap). Momentan musst du direkt auf https://keys.openpgp.org/ gehen und deinen Schlüssel hochladen, um deinen Schlüssel zu veröffentlichen und ihn für andere über die Programmoberfläche leicht auffindbar zu machen.
Weitere Informationen zum aktuellen Stand von OpenPGP und Thunderbirds Position zum Schlüssel-Tausch findest du hier: https://wiki.mozilla.org/Thunderbird:OpenPGP:2020#Key_sharing
Noch ein Wort zur Sicherheit
Dein privater Schlüssel sollte unbedingt vor unbefugtem Zugriff geschützt werden. Eine Möglichkeit wäre, ihn auf einer verschlüsselten Partition (z.B. auf einem sicher gelagerten USB-Stick) oder Datei zu speichern und ihn nicht auf deinem normalen Computer aufzubewahren. Wenn du mehrere Computer hast, kannst du deinen Schlüssel (sowohl privat als auch öffentlich) jederzeit auf einen anderen Computer kopieren.
- Um dies zu tun, öffne zunächst das Fenster des Schlüsselmanagers unter
Extras OpenPGP-Schlüssel verwalten - Um deinen öffentlichen Schlüssel zu exportieren, markiere den Schlüssel und wählen mit der rechten Maustaste
Schlüssel in Datei exportieren - Um deinen privaten Schlüssel zu sichern, gehe zu
Datei Sicherheitskopie für geheime(n) Schlüssel erstellen und kopiere die Datei dann z. B. auf einen USB-Stick. - Auf dem anderen Rechner öffne den E-Mail-Client und importiere deinen Schlüssel über
Extras OpenPGP-Schlüssel verwalte nDatei Geheime(n) Schlüssel aus Datei importieren . Und vergiss nicht, deinen privaten Schlüssel nach dem erfolgreichen Import vom USB-Stick zu löschen.
Wenn du den privaten Schlüssel verlierst, kannst du keine deiner verschlüsselten Mails mehr lesen!
Für den Fall, dass du deinen privaten Schlüssel verloren hast, kannst du anderen mitteilen, dass sie ihn nicht mehr verwenden sollen, indem du den Schlüssel widerrufst. Die Software macht dir das sehr leicht. Gehe einfach zu
Wenn du Schlüssel außerhalb deines E-Mail-Clients erzeugst, kannst du die entsprechenden Widerrufszertifikate auch in Thunderbird importieren:
PGP-Verschlüsselung in Webmail
Du kannst die PGP-Verschlüsselung auch in Webmail verwenden. Wie man die Verschlüsselung im Webmail Horde einrichtet, erfährst du auf der Webmail Beschreibungsseite.
Falls Probleme mit dem Empfang oder dem Versand von Emails in deinem Email-Client (z.B. Thunderbird) auftauchen, kontrolliere bitte zunächst die Servereinstellungen nochmal, vor allem jene vom Postausgang-Server. Hier findest du die nötigen Infos.
Falls immer noch Probleme auftreten so kann dies durch eventuell installierte Antivirusprogramme oder der Firewall verursacht werden.
Um dies zu überprüfen kann vorübergehend das Antivirenprogramm deaktiviert werden. Sollte anschließend der Versand funktionieren, so kann der Hersteller im Normalfall Auskunft geben, wie Ausahmeregelungen für den Email-Client hinzugefügt werden können.
Analog kann mit der Firewall vorgegangen werden. Hier die Befehle für die bekanntesten Betriebssysteme. Sollte sich die Firewall als Verursacher herausstellen so können Ausnahmeregeln zur Firewall hinzugefügt werden.
Ubuntu, Debian
sudo systemctl stop ufwUm zu sehen ob die Firewall aktiv ist oder nicht ist folgender Befehl zu nutzen.
sudo ufw status systemctl status firewalldFedora, CentOS
sudo systemctl stop firewalldUm zu sehen ob die Firewall aktiv ist oder nicht ist folgender Befehl zu nutzen.
sudo systemctl status firewalldWindows: Offizieller Windows Support
MacOS: Offizieller Apple Support
Sollten versehentlich alle E-Mails gelöscht worden sein, genügt eine einfache E-Mail an office@servus.at und wir stellen dein Mailkonto wieder her.