OpenPGP mit Webmail und Mailvelope nutzen

Wie verwende ich OpenPGP mit einem Webmailer und dem Browser-Plugin Mailvelope?

Mailvelope einrichten

Falls Sie Ihr E-Mail-Postfach mittels eines Webmailers mit einem der Browser Firefox, Chrome, Edge oder Brave verwalten, dann haben Sie auch hiermit die Möglichkeit, Ihre E-Mails per OpenPGP digital zu signieren und zu verschlüsseln. Sie benötigen dazu das Browser-Plugin Mailvelope, dessen kostenlose Community-Version Sie über die Add-on-Verwaltung Ihres Browsers installieren können. Zum Einrichten sind die nachfolgend aufgeführten Schritte nötig. Beim erstmaligen Aufruf von Mailvelope gelangt man direkt in den Dialog zum Erstellen eines Schlüsselpaares.

Schlüssel generieren

Generieren Sie nun das Schlüsselpaar für Ihre persönliche @fau.de-Adresse und schützen Sie dabei den privaten Schlüssel mit einem möglichst sicheren Passwort.

Das Hochladen Ihres Schlüssels auf den Mailvelope-Schlüsselserver ist optional. Das erzeugte Schlüsselpaar wird Ihnen wie nachfolgend dargestellt angezeigt.

Das Schlüsselpaar kann nun exportiert werden, wobei der geheime Schlüssel sicher verwahrt werden muss.

Der öffentliche Schlüssel kann nun z.B. im FAU-Schlüsselverzeichnis publiziert werden, um ihn den E-Mail-Programmen Ihrer Kommunikationspartner auch per WKD-Protokoll zugänglich zu machen.

FAUMail und FAUGroupware bei Mailvelope autorisieren

Sie können die Mailvelope-Konfiguration so anpassen, dass Sie Mailvelope auch für die vom RRZE bereit gestellten Webmailer  (FAUMail-Webinterface, Outlook Web App) verwenden können. Im Hauptmenü von Mailvelope finden Sie unter Optionen >> Autorisierte Domains die vorkonfigurierten Webmailer. Hier klicken Sie auf Neuen Eintrag hinzufügen und geben bei Seite den Wert FAUMail ein, und bei Domänenmuster die Werte *.faumail.uni-erlangen.de und *.faumail.fau.de. Analog tragen Sie für die Seite FAUGroupware den Wert *.groupware.fau.de ein.

Schlüsselverzeichnisse festlegen

Unter Optionen >> Schlüsselverzeichnisse können Sie festlegen, wo Mailvelope nach Schlüsseln von Kommunikationspartnern suchen soll. Sinnvoll sind die nachstehend abgebildeten Einstellungen.

Diese Einstellungen wirken sich auf die Schlüsselsuche wie unter Schlüsselverwaltung nach Klick auf Suche ersichtlich wie folgt aus:

Mit FAUMail-Webinterface eine E-Mail signiert und verschlüsselt versenden

Öffnen Sie im FAUMail-Webinterface den Dialog zum Schreiben einer E-Mail. Sie sehen über der rechten oberen Ecke des Eingabefensters für den Inhalt der E-Mail das Mailvelope-Logo.

Wenn Sie dieses anklicken, sehen Sie rechts daneben den Text Sichere E-Mail schreiben und es öffnet sich ein entsprechendes Dialog-Fenster mit dem von Ihnen bei der Mailvelope-Einrichtung gewählten Hintergrund.

Wenn Sie die E-Mail-Adresse der gewünschten Adressatin ins Adressfeld eingeben, wird Ihnen im Falle, dass Sie deren öffentlichen Schlüssel bereits in Ihrer Mailvelope-Schlüsselverwaltung vorliegen haben oder dieser auf einem der konfigurierten Schlüsselserver gefunden wird, Name, E-Mail-Adresse und Schlüssel-Id sofort eingeblendet und Sie können die Angaben direkt übernehmen. Die Adresse der Empfängerin wird Ihnen dann in grün dargestellt, andernfalls in rot mit einem zusätzlichen Hinweis, dass der Versand einer verschlüsselten E-Mail an die Adressatin nicht möglich ist.

 

Wenn Sie nun auf die Schaltfläche Verschlüsseln klicken, dann wird Ihnen der Text der E-Mail PGP/INLINE-verschlüsselt dargestellt.

Wenn Sie einen schützenswerten Anhang beifügen möchten, dann müssen Sie diesen verschlüsselt beifügen, da Mailvelope in der kostenlosen Community-Version kein PGP/MIME unterstützt. Ein Werkzeug zum Signieren und Verschlüsseln von Dateien via OpenPGP liefert Mailvelope unter dem Hauptmenüpunkt Verschlüsseln mit, ein analoges Werkzeug zum Entschlüsseln von Dateien über den Hauptmenüpunkt Entschlüsseln.

Über die Schaltfläche Senden schicken Sie die E-Mail ab.

Mit FAUMail-Webinterface signierte und verschlüsselte E-Mail empfangen

Wenn Sie eine E-Mail, die wie im vorstehenden Abschnitt beschrieben an Sie gesandt wurde, im FAUMail-Webinterface öffnen, dann sehen Sie zunächst statt des Inhalts der E-Mail den in Mailvelope eingestellten Sicherheitshintergrund sowie darübergelegt ein helles Feld mit dem Mailvelope-Logo über dem Text Nachricht anzeigen.

Um den Inhalt der E-Mail zu entschlüsseln und deren Signatur zu prüfen, klicken Sie in dieses Feld. Es öffnet sich ein Dialogfenster, welches die Passphrase zum Entsperren Ihres privaten Schlüssels abfragt.

Nach erfolgreicher Entsperrung sehen Sie den entschlüsselten Inhalt der E-Mail sowie unterhalb des Inhaltsfensters bei erfolgreicher Signaturprüfung einen grünen Punkt neben dem Text Signiert und E-Mail-Adresse mit Schlüssel-Id des Signaturschlüssels.

Hinweis:

Mailvelope hat in der Version 4.6.1 einen Bug, aufgrund dessen trotz korrekter Signatur „Signatur unbekannt … Schlüssel … nicht gefunden“ angezeigt wird, wenn unter Optionen >> Allgemein als Backend OpenPGP.js verwendet wird. Dieses Problem sollte in der Nachfolgeversion behoben sein.

Kalenderberechtigungen

Wie kann ich Kalenderberechtigungen einsehen oder bearbeiten?

Sie können die Kalenderberechtigungen Ihres Kalenders einsehen oder bearbeiten, indem Sie in der Kalenderansicht mit Rechtsklick auf den entsprechenden Kalender gehen und anschließend die Einstellungen öffnen. Wechseln Sie hier zum Reiter Berechtigungen.

Die standardmäßige und gleichzeitig empfohlene Einstellung der Kalenderberechtigung für „Standard“ ist „Frei/Gebucht-Zeiten“ und für „Anonym“ ist diese „Keine“.

Bei „Standard“ handelt es sich um authentifizierte Benutzer (andere Exchange-Benutzer). Mit „Frei/Gebucht-Zeiten“ erlauben Sie diesen, Ihren Kalender zu öffnen und anzeigen zu lassen, wann Sie einen Termin haben. Betreff, Ort oder andere Informationen werden nicht angezeigt. Dadurch können andere Benutzer einfacher einen Termin mit Ihnen vereinbaren, da diese sehen können, zu welchen Zeitpunkt Sie aktuell keinen Termin haben. Gleichzeitig bleiben vertrauliche Informationen geheim.

Hinter „Anonym“ verbergen sich alle anderen Benutzer. Diese können standardmäßig keine Informationen aus dem Kalender einsehen.

Sie können auch bei „Standard“ die Berechtigung „Keine“ setzen. Dafür markieren Sie diesen und wählen bei Berechtigungsstufe Keine aus. Bestätigen Sie die Konfiguration mit OK.

Für „Standard“ und „Anonym“ empfehlen wir, keinesfalls eine höhere Berechtigungsstufe zu erteilen, da Sie sonst mehreren (teilweise unbekannten) Personen Zugriff auf Ihren Kalender geben und diesen ggf. sogar die Möglichkeit bieten, ihn zu bearbeiten.

Um Kalenderberechtigungen für bestimmte Personen zu vergeben, finden Sie dazu einen FAQ-Artikel unter Kalender für andere Nutzer freigeben.

Wenn Sie Ihren Kalender veröffentlichen möchten, z.B. um Termine (Veranstaltungen, Prüfungstermine, etc.) auf Ihrer Webseite einzubinden, finden Sie auch dazu ein FAQ-Artikel unter Kalender veröffentlichen (ICS-Feed).

Exchange-Postfach in Android einrichten

Wie kann ich Exchange-Postfach in Android einrichten?

Kurzanleitung zur Einrichtung eines Exchange-Postfachs unter Android.

Für diese Anleitung wurde der Mail-Client „Gmail“ in der Version 9 unter Android verwendet. Sie können jedoch jeden beliebigen anderen Mail-Client* verwenden. Das Aussehen könnte zwischen den verschiedenen Clients variieren, die Vorgehensweise ist jedoch in den meisten Fällen die gleiche.

*Mit Ausnahme von der Microsoft-Outlook-App für iOS und Android. Die Nutzung der App führt zu einer Speicherung der vertraulichen Logindaten (IdM-Kennung und Passwort) auf einem fremden Server im Ausland und wird auf dem Exchange Server blockiert. Weitere Informationen finden Sie unter Meldungen des FAUmac-Teams / Blogbeitrag.

In dieser Anleitung wird das Exchange-Postfach von Max Mustermann mit der Exchange-Benutzerkennung ex56hgaf eingerichtet.

Zunächst werden Sie gefragt, welche Art von Konto Sie einrichten möchten. Wählen Sie hier bitte Exchange aus.

Das Bild zeigt, dass Sie unter "E-Mail einrichten" den jeweiligen Anbieter auswählen können.

Geben Sie als nächstes Ihre persönliche E-Mail-Adresse ein und gehen direkt auf Weiter.

Das Bild zeigt, dass Sie bei "E-Mail-Adresse hinzufügen" Ihre Mailadresse eingeben.

Anschließend geben Sie das zugehörige Exchange-Kennwort ein. Dies ist bei eingeschalteter Passwort-Synchronisation Ihr IdM-Passwort.

Hinweis: Sollte bei der Passwortabfrage eine Fehlermeldung erscheinen, müssen Sie im vorherigen Schritt auf Manuell einrichten gehen und diesen Punkt überspringen.

Das Bild zeigt, dass Sie anschließend Ihr Passwort eingeben müssen.

Im nächsten Schritt kommen Sie zu den Einstellungen des Eingangsservers. In der Regel erscheint bei Domain\Nutzername die E-Mail-Adresse. Diese müssen Sie entfernen und durch fauad\<IdM-Kennung> ersetzen. Nachdem Sie Ihr Passwort (erneut) eingegeben haben, müssen Sie als Server groupware.fau.de eintragen. Der Port sollte 443 und als Sicherheitstyp SSL/TLS ausgewählt sein. Sind alle Einstellungen angegeben, können Sie mit Weiter die Einrichtung fortsetzten.

Manchmal werden die Punkte Domain und Benutzername getrennt abgefragt. In solchen fällen als Domain fauad.fau.de und als Benutzername Ihre IdM-Kennung eintragen.

Das Bild zeigt, dass Sie die benannten Angaben in die jeweils zutreffenden Felder eingeben sollen.

Eventuell müssen Sie die Remote-Sicherheitsverwaltung* noch akzeptieren.

*Diese Steuerungsfunktionen sind Teil des ActiveSync-Protokolls und können von uns nicht beliebig beeinflußt werden. Da dieses Protokoll ursprünglich aus dem Firmenumfeld kommt, liegt der Fokus hierbei auf einer rudimentären Form von Mobile Device Management. Wir können Ihnen daher nur zusichern, dass wir nicht vorhaben, mit Ihrem Gerät irgendetwas zu tun. Wenn Sie den Zugang über das ActiveSync-Protokoll nutzen möchten, müssen Sie diese Anfrage bestätigen.

Alternativ können Sie Ihr Exchange-Postfach auch mit IMAP einbinden, jedoch müssen Sie dann auf die Zugriffe wie Kontakte oder Termine verzichten. Unter Konfiguration von IMAP und SMTP für Exchange finden Sie die entsprechenden Einstellungen, um das Postfach mit IMAP zu verbinden.

Das Bild zeigt, dass Sie bei der Meldung "Remote-Sicherheitsverwaltung" auf "OK" klicken sollen.

Sobald Sie dies akzeptiert haben, können Sie den Kontonamen benennen. Dieser ist optional und kann beliebig gewählt werden. Der Kontoname wird beim Empfänger angezeigt!

Das Bild zeigt, dass Sie einen optionalen Kontonamen für Ihr Konto eingeben können.

Mit Weiter schließen Sie die Einrichtung ab und können Ihr Exchange-Postfach auf Ihrem Mobilgerät verwenden.