📋 Intelligente E-Mail-Verschlüsselung: Richtlinien erstellen und konfigurieren
Direkt loslegen (Kurzfassung)
Navigieren Sie zu Administration > SecuMails > Intelligente E-Mail-Verschlüsselung und klicken Sie auf Neue Richtlinie. Vergeben Sie einen Namen und wählen Sie die zugewiesenen Gruppen.
Legen Sie anschließend Regel-Blöcke an: Pro Block legen Sie eine Sicherheitsstufe fest und konfigurieren eine oder mehrere Regeln mit Bedingung / Operator / Wert. Regeln innerhalb eines Blocks werden mit UND verknüpft (Zeile hinzufügen). Weitere Blöcke fügen Sie über Regel hinzufügen hinzu. Blöcke untereinander werden mit ODER verknüpft und von oben nach unten geprüft.
Passen Sie die Reihenfolge per Drag & Drop an. Spezifischere Regeln gehören nach oben. Optional können Sie einen letzten Block mit der Bedingung Alle E-Mails als Fallback anlegen. Klicken Sie abschließend auf Speichern.
Was ist die Intelligente E-Mail-Verschlüsselung?
Die Intelligente E-Mail-Verschlüsselung (IEE) entscheidet automatisch, mit welcher Sicherheitsstufe eine SecuMails-Zustellung erstellt wird. Die Entscheidung basiert auf Eigenschaften der ausgehenden E-Mail (Empfängerdomain, Größe, Betreff, Anhänge).
Statt dass jede:r Absender:in die Sicherheitsstufe manuell wählt, definieren Admins Richtlinien, die für bestimmte Benutzergruppen gelten. Trifft eine Regel zu, wird die zugehörige Sicherheitsstufe angewendet und die Zustellung entsprechend erzeugt.
Voraussetzung: Richtlinien greifen ausschließlich bei E-Mails, die über einen Mail-Client mit konfiguriertem FTAPI Gateway versendet werden. SecuMails, die direkt über die Weboberfläche erstellt werden, sind nicht betroffen. Dort wählen Absender:innen die Sicherheitsstufe weiterhin manuell.
Grundbegriffe
| Begriff | Bedeutung |
|---|---|
| Richtlinie | Ein benannter Regelsatz, der für eine oder mehrere Benutzergruppen gilt. Pro E-Mail gewinnt immer genau eine Richtlinie (die der/die Absender:in über seine/ihre Gruppe zugeordnet ist). |
| Regel-Block (If-Then Block) | Eine Gruppe von Bedingungen, die gemeinsam erfüllt sein müssen, und einer daraus folgenden Sicherheitsstufe. In der Oberfläche als „Wenn … dann …" sichtbar. |
| Regel (Bedingung) | Eine einzelne Prüfung innerhalb eines Blocks, z. B. „Empfänger-Domain ist gleich beispiel.de". Mehrere Regeln in einem Block werden mit UND verknüpft. |
| Sicherheitsstufe | Das Ergebnis eines Blocks. Bestimmt, wie die Zustellung erzeugt wird und wie der/die Empfänger:in sie erhält. |
Auswertungsreihenfolge (wichtigstes Konzept)
Regel-Blöcke werden von oben nach unten ausgewertet. Der erste Block, dessen Bedingungen alle zutreffen, gewinnt. Weitere Blöcke werden nicht mehr geprüft.
Innerhalb eines Blocks gilt UND: Alle Regeln müssen zutreffen. Zwischen Blöcken gilt ODER: Der erste zutreffende Block wird angewendet.
Tipp: Die Reihenfolge ist änderbar per Drag & Drop. Spezifischere Regeln gehören nach oben, allgemeinere („Fallback") nach unten.
Fallback
Ein Fallback-Block ist optional, aber empfohlen. Er wird typischerweise als letzter Block mit der Bedingung Alle E-Mails angelegt und bestimmt, was mit E-Mails passiert, die keiner spezifischen Regel entsprechen.
Ohne Fallback-Block (oder wenn keine Regel zutrifft) wird die E-Mail nicht über SecuTransfer zugestellt. Sie verlässt das System als reguläre, unverschlüsselte E-Mail. Wer das nicht möchte, sollte immer einen Fallback-Block mit einer expliziten Sicherheitsstufe anlegen.
Sicherheitsstufen
Die gewählte Sicherheitsstufe bestimmt, wie sich der Empfang für den/die Empfänger:in gestaltet.
Stufen 3 und 4 setzen voraus, dass der/die Empfänger:in einen SecuPass eingerichtet hat. Ist das nicht der Fall, erhält er/sie eine Aufforderung zur Einrichtung. Die eigentliche Nachricht bleibt bis dahin unzugänglich.
Eine vollständige Beschreibung aller vier Stufen finden Sie im Artikel Die FTAPI Sicherheitsstufen.
Verfügbare Bedingungen
Diese Bedingungen stehen bei der Konfiguration einer Regel zur Auswahl.
| Bedingung | Operator | Wert | Wirkung |
|---|---|---|---|
| Alle E-Mails | immer | (kein Wert) | Trifft immer zu. Für Fallback-Blöcke. |
| Anhang | existiert | (kein Wert) | Trifft zu, wenn die E-Mail mindestens einen Anhang hat. |
| Anhang | existiert nicht | (kein Wert) | Trifft zu, wenn die E-Mail keinen Anhang hat. |
| Anhang | ist größer als | Zahl in MB, z. B. 10 | Trifft zu, wenn die Gesamtgröße der Anhänge den Wert überschreitet. |
| Empfänger-Domain | ist gleich / ist nicht gleich | Genau eine Domain, z. B. beispiel.de | Prüft die Domain des/der Empfänger:in. Pro Regel genau eine Domain. Für mehrere Domains je einen eigenen Block anlegen. |
| Absender-Domain | ist gleich / ist nicht gleich | Genau eine Domain, z. B. meinefirma.de | Analog zur Empfänger-Domain, nur für den/die Absender:in. |
| Betreff | beginnt mit | Text, z. B. Rechnung | Prüft ob die Betreffzeile mit dem Text beginnt. Groß-/Kleinschreibung wird ignoriert. |
Validierungsgrenzen
Der Richtlinienname darf nicht leer sein. Pro Richtlinie muss mindestens eine Benutzergruppe zugewiesen sein. Jeder Block benötigt mindestens eine Regel.
Beispiele
Beispiel 1: Kundenkommunikation stark absichern, Rest als reguläre E-Mail
| Reihenfolge | Wenn … | dann Sicherheitsstufe |
|---|---|---|
| 1 | Empfänger-Domain ist gleich kunde-a.de | Vollständige Verschlüsselung (4) |
Wirkung: Jede E-Mail an kunde-a.de wird komplett verschlüsselt übertragen und erfordert Konto + SecuPass beim Empfänger. Alle übrigen E-Mails verlassen das System ohne FTAPI als reguläre, unverschlüsselte E-Mail (kein Fallback-Block definiert).
Beispiel 2: Große oder sensible Anhänge erzwingen Login
| Reihenfolge | Wenn … | dann Sicherheitsstufe |
|---|---|---|
| 1 | Anhang ist größer als 10 | Verschlüsselter Anhang (3) |
| 2 | Betreff beginnt mit Rechnung | Sicherer Login (2) |
| 3 | Alle E-Mails | Sicherer Link (1) |
Wirkung: E-Mails mit Anhang über 10 MB werden mit Ende-zu-Ende-Verschlüsselung zugestellt. Der/die Empfänger:in braucht Konto + SecuPass. E-Mails ohne großen Anhang, aber mit Betreff-Präfix „Rechnung", erfordern einen Login (Konto reicht, kein SecuPass nötig). Alles andere wird als sicherer Link zugestellt, ohne Kontozwang.
Beispiel 3: Externe Absender-Domains stärker schützen
| Reihenfolge | Wenn … | dann Sicherheitsstufe |
|---|---|---|
| 1 | Absender-Domain ist nicht gleich meinefirma.de | Vollständige Verschlüsselung (4) |
| 2 | Alle E-Mails | Sicherer Login (2) |
Wirkung: E-Mails von außerhalb der eigenen Domain (z. B. über verknüpfte Drittsysteme) werden grundsätzlich voll verschlüsselt. Interne Kommunikation fällt auf Stufe 2 zurück.
Häufige Fallstricke
Fallback fehlt: Ohne einen Block mit Alle E-Mails am Ende verlässt eine E-Mail, auf die keine Regel passt, das System als reguläre, unverschlüsselte E-Mail ohne FTAPI. Wer das nicht will, sollte einen expliziten Fallback-Block mit einer Sicherheitsstufe anlegen.
Zu breite Regel zuerst: Steht ein Block mit Alle E-Mails oben, gewinnt er immer zuerst und verdeckt alle nachfolgenden Blöcke.
Widersprüchliche Regeln: Da der erste Treffer gewinnt, kann ein tieferliegender, vermeintlich strengerer Block unwirksam werden. Beim Anpassen der Reihenfolge die Absicht neu durchdenken.
Mehrere Domains: Eine Regel akzeptiert genau eine Domain. Für mehrere Domains mit derselben Sicherheitsstufe je einen eigenen Wenn-Dann-Block anlegen.
Stufe 3/4 ohne SecuPass: Empfänger:innen ohne eingerichteten SecuPass können verschlüsselte Inhalte nicht öffnen, bis sie einen einrichten.