OpenPGP ist ein standardisiertes Verfahren zum Austausch verschlüsselter Daten. Es stehen zahlreiche OpenPGP-Plugins für Mailclients zur Verfügung, mit deren Hilfe die Benutzer verschlüsselte Nachrichten senden und empfangen können. MDPGP ist eine in MDaemon integrierte OpenPGP-Komponente, die Ihren Benutzern Leistungsmerkmale für Verschlüsselung, Entschlüsselung und grundlegende Funktionen zur Schlüsselverwaltung zur Verfügung stellt, ohne dass die Benutzer hierzu Plugins in ihren E-Mail-Clients nutzen müssen.

MDPGP verschlüsselt und entschlüsselt Nachrichten nach einem asymmetrischen Verfahren mit öffentlichen und geheimen ("privaten") Schlüsseln. Will ein Benutzer mithilfe von MDPGP eine verschlüsselte Nachricht an einen Empfänger übermitteln, dann verschlüsselt MDPGP diese Nachricht mithilfe eines Schlüssels, den der Empfänger dem Absender zuvor zur Verfügung gestellt haben, und der in MDPGP importiert worden sein muss. Dieser Schlüssel wird als öffentlicher Schlüssel des Empfängers bezeichnet. Will ein externer Absender einem Empfänger auf dem MDaemon-Server eine verschlüsselte Nachricht übermitteln, so muss der Empfänger diesem Absender ebenfalls zuvor seinen öffentlichen Schlüssel zur Verfügung gestellt haben. Dieser Schlüsselaustausch ist Voraussetzung für die Verschlüsselung von Nachrichten durch OpenPGP. Eine Nachricht, die nur mit dem öffentlichen Schlüssel des Empfängers verschlüsselt ist, kann nur der Empfänger mit einem weiteren, nämlich seinem geheimen Schlüssel entschlüsseln. Dieser geheime Schlüssel bleibt beim Empfänger und darf dem Kommunikationspartner nicht bekannt gemacht werden. MDPGP verwaltet die geheimen Schlüssel der Benutzer auf dem MDaemon-Server und nutzt sie zum Entschlüsseln der eingehenden Nachrichten.

MDPGP unterhält zwei Schlüsselspeicher, um die Leistungsmerkmale zu Signatur, Verschlüsselung und Entschlüsselung zur Verfügung zu stellen. Diese Schlüsselspeicher werden auch als Schlüsselringe oder Schlüsselbunde bezeichnet. Ein Schlüsselbund enthält die öffentlichen Schlüssel, der zweite Schlüsselbund enthält die geheimen Schlüssel. MDPGP kann für die eigenen Benutzer automatisch Schlüssel erzeugen, sobald sie gebraucht werden. Schlüssel können auch manuell für bestimmte Benutzer erzeugt werden. Es lassen sich auch bereits bestehende Schlüssel importieren. MDaemon kann in Nachrichten, die von lokalen Benutzern stammen und in Verbindungen mit Echtheitsbestätigung übermittelt wurden, auch automatisch nach öffentlichen Schlüsseln suchen, etwa in Dateianlagen, und diese Schlüssel automatisch importieren. Die lokalen Benutzer können so beispielsweise ihre Kommunikationspartner zur Übermittlung derer öffentlicher Schlüssel per E-Mail auffordern und sich diese Schlüssel dann selbst per E-Mail zusenden. MDPGP importiert diese Schlüssel dann in den Schlüsselbund für öffentliche Schlüssel. MDPGP speichert jeden Schlüssel nur einmal, kann aber mehrere verschiedene Schlüssel für dieselbe Adresse speichern. Geht eine Nachricht für eine Adresse ein, zu der in einem Schlüsselbund ein passender Schlüssel vorhanden ist, so signiert, verschlüsselt oder entschlüsselt MDPGP die Nachricht je nach Bedarf und in Übereinstimmung mit den hier getroffenen Einstellungen. Liegen für eine Adresse mehrere Schlüssel vor, so verwendet MDPGP zur Verschlüsselung den als bevorzugt gekennzeichneten Schlüssel. Ist kein Schlüssel als bevorzugt gekennzeichnet, so nutzt MDaemon den ersten Schlüssel. Bei der Entschlüsselung nutzt MDaemon alle für die Adresse verfügbaren Schlüssel.

Sie können die Leistungsmerkmale für Signatur und Verschlüsselung in MDPGP auf automatischen oder manuellen Betrieb konfigurieren. Im automatischen Betrieb signiert und verschlüsselt MDaemon die Nachrichten, soweit dies möglich ist. Im manuellen Betrieb signiert und verschlüsselt MDaemon die Nachrichten, falls der Absender bestimmte Befehle in die Betreffzeile der Nachrichten aufnimmt. In beiden Betriebsarten werden Nachrichten aber nur dann signiert, verschlüsselt und entschlüsselt, wenn der betreffende Benutzer die Berechtigung hat, die Leistungsmerkmale von MDPGP zu nutzen.

Die Spezifikation für OpenPGP ist in den RFCs 4880 und 3156 in englischer Sprache beschrieben.

MDPGP aktivieren

MDPGP aktivieren

MDPGP ist per Voreinstellung aktiv. MDPGP signiert, verschlüsselt und entschlüsselt Nachrichten aber erst dann, wenn Sie Schlüssel erstellt oder bestehende Schlüssel in die Schlüsselbunde importiert haben, oder wenn Sie die Option Schlüssel automatisch erzeugen weiter unten aktivieren.

Dienste für Verschlüsselung und Signatur aktivieren

Nachrichten werden per Voreinstellung signiert und verschlüsselt, falls die erforderlichen Schlüssel in den Schlüsselbunden vorhanden sind. Falls Sie nicht wünschen, dass MDPGP Nachrichten signiert und verschlüsselt, deaktivieren Sie diese Option.

Nachrichten können auch dann signiert werden, wenn sie nicht verschlüsselt werden. Verschlüsselt MDPGP eine Nachricht, so signiert MDPGP die Nachricht aber immer.

Dienste für Entschlüsselung und Prüfung aktivieren

Eingehende Nachrichten werden per Voreinstellung entschlüsselt, falls der geheime Schlüssel des Empfängers verfügbar ist. MDPGP prüft außerdem die Signaturen eingehender unverschlüsselter Nachrichten. Diese Leistungsmerkmale sind aber nur aktiv, wenn Empfänger und Absender zur Nutzung der Dienste für Entschlüsselung und Prüfung berechtigt sind. Diese Berechtigung kann durch die Optionen Nutzung aller Dienste für alle lokalen MDaemon-Benutzer zulassen und Berechtigungen für Nutzung von MDPGP im Einzelnen festlegen weiter unten erteilt werden. Per Voreinstellung sind alle Benutzer entsprechend berechtigt. Falls Sie die Signaturen eingehender Nachrichten nicht prüfen lassen wollen oder eingehende Nachrichten nicht durch MDPGP entschlüsseln lassen wollen, deaktivieren Sie diese Option. Die Benutzer können dann eingehende Nachrichten in ihren Clients entschlüsseln und müssen hierzu möglicherweise besondere Plugins benutzen. Solange diese Option abgeschaltet ist, werden alle eingehenden verschlüsselten Nachrichten wie normale Nachrichten behandelt und in die Postfächer der Empfänger eingestellt.

Öffentliche Schlüssel aus DNS (pka1) abrufen und zwischenspeichern für [xx] Stunden

Diese Option bewirkt, dass MDPGP DNS-Abfragen nach den öffentlichen Schlüsseln von Nachrichten-Empfängern durchführt. Solche öffentlichen Schlüssel können in TXT-Einträgen des Formats PKA1 im DNS veröffentlicht sein. Diese Option erleichtert die Arbeit, weil sie den Abruf öffentlicher Schlüssel, die zum Verschlüsseln von Nachrichten benötigt werden, automatisiert. Ihre Benutzer müssen dann nicht zunächst die öffentlichen Schlüssel ihrer Kommunikationspartner selbst beschaffen und in den Schlüsselbund importieren, damit sie den Kommunikationspartnern verschlüsselte Nachrichten senden können. Alle Schlüssel-URIs, die im Rahmen der PKA1-Abfragen gefunden werden, werden sofort ausgewertet. Die entsprechenden Schlüssel werden abgerufen, geprüft und in den Schlüsselbund aufgenommen. Schlüssel, die in dieser Weise erfolgreich abgerufen wurden, werden in der Datei fetchedkeys.txt zwischengespeichert. Sie bleiben nur für die in dieser Option angegebene Dauer gültig. Ist für den PKA1-Eintrag selbst im Feld TTL (time to live, Gültigkeitsdauer) eine Gültigkeitsdauer bestimmt, so wird diese Gültigkeitsdauer ausgewertet. Unterscheiden sich die Gültigkeitsdauer aus dieser Option und die aus dem PKA1-Eintrag, so gilt die längere Gültigkeitsdauer. Der Gültigkeitszeitraum aus dieser Option stellt damit den Mindestzeitraum dar, für den der Schlüssel zwischengespeichert wird. Die Voreinstellung beträgt 12 Stunden. Der niedrigste zulässige Wert beträgt 1 Stunde.

Sie können auch eigene öffentliche Schlüssel im DNS veröffentlichen. Hierzu müssen Sie TXT-Einträge in einem bestimmten Format erstellen. Ein Beispiel hierzu: Für den Benutzer frank@example.com mit der Schlüssel-ID 0A2B3C4D5E6F7G8H erstellen Sie im DNS der Domäne "example.com" einen Eintrag des Typs TXT mit dem Inhalt "frank._pka.example.com" (Sie ersetzen das Zeichen @ aus der E-Mail-Adresse durch die Zeichenkette "._pka."). Die Daten für den TXT-Eintrag haben dann etwa folgendes Format "v=pka1; fpr=<vollständiger Fingerabdruck des Schlüssels>; uri=<Webmail-URL>/WorldClient.dll?view=mdpgp&k=0A2B3C4D5E6F7G8H". Dabei setzen Sie für den <vollständigen Fingerabdruck des Schlüssels> den vollständigen, aus 40 Zeichen (20 Byte) bestehenden, Fingerabdruck des Schlüssels ein. Den vollständigen Fingerabdruck der einzelnen Schlüssel können Sie in der Benutzeroberfläche von MDPGP einsehen. Klicken Sie dazu doppelt auf den gewünschten Schlüssel.

Öffentliche Schlüssel über HTTP austauschen (Webmail)

Diese Option gestattet es Ihnen, Webmail als einfachen Server für öffentliche Schlüssel zu verwenden. Webmail beantwortet dann Anforderungen nach den öffentlichen Schlüsseln Ihrer lokalen Benutzer. Um eine solche Anforderung zu senden, muss ein URL nach folgendem Muster verwendet werden: "http://<Webmail-URL>/WorldClient.dll?View=MDPGP&k=<Schlüssel-ID>". Dabei muss für den Platzhalter <Webmail-URL> der Pfad zu Ihrem Webmail-Server eingesetzt werden (beispielsweise "http://webmail.example.com"). Für den Platzhalter <Schlüssel-ID> muss die 16 Zeichen lange Schlüssel-ID des gewünschten Schlüssels eingesetzt werden (beispielsweise "0A1B3C4D5E6F7G8H"). Die Schlüssel-ID besteht aus den letzten 8 Byte des Fingerabdrucks des Schlüssels und enthält insgesamt 16 Zeichen.

Öffentliche Schlüssel während SMTP-Nachrichten-Übermittlung austauschen (MDaemon)

Diese Option ermöglicht die automatische Übermittlung öffentlicher Schlüssel während der Übermittlung von Nachrichten über SMTP. Ist sie aktiv, so befolgt der SMTP-Server von MDaemon den SMTP-Befehl RKEY. Übermittelt MDaemon eine E-Mail-Nachricht an eine Gegenstelle, die RKEY unterstützt, so bietet MDaemon dieser Gegenstelle an, den aktuellen und bevorzugten öffentlichen Schlüssel des Absenders der Nachricht zusätzlich zu der Nachricht selbst ebenfalls zu übermitteln. Die Gegenstelle antwortet dann entweder, dass der Schlüssel bereits bekannt ist und nicht erneut benötigt wird (Meldung "250 2.7.0 Key already known", Schlüssel schon bekannt), oder dass der Schlüssel benötigt wird. Im zweiten Fall übermittelt MDaemon den Schlüssel sofort im ASCII-Armored-Format (auf Meldung der Gegenstelle "354 Enter key, end with CRLF.CRLF", Schlüssel übermitteln, beenden mit CRLF.CRLF). Die Übermittlung entspricht dabei technisch der Übermittlung einer E-Mail-Nachricht. Schlüssel mit abgelaufener Gültigkeit und widerrufene Schlüssel werden keinesfalls übermittelt. Verfügt MDaemon über mehrere Schlüssel für den Absender, so bietet MDaemon immer den als bevorzugt gekennzeichneten Schlüssel an. Ist kein Schlüssel als bevorzugt gekennzeichnet, so bietet MDaemon den ersten gefundenen Schlüssel an. Sind keine gültigen Schlüssel verfügbar, so wird keine Übermittlung durchgeführt. Es werden nur Schlüssel angeboten, die lokalen Benutzern zugeordnet sind.

Die Übermittlung der öffentlichen Schlüssel erfolgt während der SMTP-Verbindung, über die auch die zugehörige Nachricht übermittelt wird. Öffentliche Schlüssel, die auf diesem Weg übermittelt werden, werden nur akzeptiert, falls die zugehörige Nachricht alle folgenden Voraussetzungen erfüllt: Die Nachricht muss mit einer gültigen DKIM -Signatur der Domäne versehen sein, zu der der Schlüsselinhaber gehört. Der Tag i= muss dabei die Adresse des Schlüsselinhabers enthalten, und diese Adresse muss genau der Adresse aus der Absenderkopfzeile From: entsprechen. Es darf nur eine Absenderkopfzeile From: vorhanden sein. Der Schlüsselinhaber wird dem Schlüssel selbst entnommen. Die Nachricht muss durch einen Host zugestellt werden, der in den SPF-Einträgen der Absenderdomäne enthalten ist. Der Schlüsselinhaber muss zur Nutzung von RKEY berechtigt sein. Hierzu müssen in der Regeldatei von MDPGP entsprechende Einträge entweder für den Schlüsselinhaber selbst oder für die gesamte Domäne enthalten sein (Anweisungen hierzu enthält die Datei selbst), die bestimmen, dass die Domäne für Zwecke des Schlüsselaustauschs vertrauenswürdig ist. Die Prüfung, ob die Voraussetzungen erfüllt sind, laufen automatisch ab, und hierzu müssen die DKIM und die SPF-Prüfung zwingend aktiv sein.

Das Protokoll für MDPGP weist die Ergebnisse und die Einzelheiten für alle Schlüssel aus, die importiert und gelöscht werden, und zwar auch für die während der SMTP-Verbindung übermittelten Schlüssel. Die eigentliche Übermittlung der Schlüssel während der SMTP-Verbindung wird im Protokoll für SMTP vermerkt.

Nutzung aller Dienste für alle lokalen MDaemon-Benutzer zulassen

Per Voreinstellung können alle lokalen MDaemon-Benutzerkonten alle MDPGP-Dienste nutzen, die Sie in diesem Konfigurationsdialog aktiviert haben, also Signatur, Verschlüsselung, Entschlüsselung und Prüfung. Falls Sie einzelnen Benutzern die Nutzung dieser Dienste nicht oder die Nutzung nicht aller Dienste gestatten wollen, können Sie diese Benutzer mithilfe der Schaltfläche "Berechtigungen für Nutzung von MDPGP im Einzelnen festlegen" weiter unten genau bestimmen. Falls Sie nur einzelnen bestimmten lokalen Benutzern die Nutzung der MDPGP-Dienste gestatten wollen, deaktivieren Sie diese Option, und legen Sie die einzelnen Berechtigungen mithilfe der Schaltfläche "Berechtigungen für Nutzung von MDPGP im Einzelnen festlegen" weiter unten fest.

Entschlüsselung und Prüfung für alle externen Benutzer zulassen

Per Voreinstellung kann jede für ein lokales Benutzerkonto eingehende Nachricht eines externen Absenders entschlüsselt werden, falls MDPGP den geheimen Schlüssel des lokalen Empfängers kennt. Darüber hinaus prüft MDPGP die Signaturen in eingehenden Nachrichten externer Absender.

Falls die die Nachrichten bestimmter externer Absender nicht entschlüsseln und prüfen wollen, können Sie diese externen Absender mithilfe der Schaltfläche "Berechtigungen für Nutzung von MDPGP im Einzelnen festlegen" weiter unten bestimmen. Falls Sie nur die Nachrichten einzelner bestimmter externer Absender durch MDPGP entschlüsseln und prüfen lassen wollen, deaktivieren Sie diese Option, und legen Sie mithilfe der Schaltfläche "Berechtigungen für Nutzung von MDPGP im Einzelnen festlegen" weiter unten die externen Absender fest, deren Nachrichten entschlüsselt und geprüft werden sollen.

Berechtigungen für Nutzung von MDPGP im Einzelnen festlegen

Durch Anklicken dieser Schaltfläche öffnet sich die Datei rules.txt, in der Sie für einzelne Benutzer die Berechtigungen zur Nutzung von MDPGP festlegen können. Mithilfe dieser Datei können Sie festlegen, wer Nachrichten signieren, verschlüsseln und entschlüsseln lassen darf. Sie können auch einzelne Benutzer von der Nutzung dieser Leistungsmerkmale ausschließen. Mithilfe des Eintrags "+*@example.com" können Sie beispielsweise allen Benutzern der Domäne example.com die Verschlüsselung von Nachrichten gestatten, dann aber mithilfe des Eintrags "-frank@example.com" den Benutzer frank@example.com von der Nutzung dieses Leistungsmerkmals gezielt ausschließen. Sie finden am Beginn der Datei rules.txt einen Hinweistext mit Beispielen und Erläuterungen.

Hinweise zur Datei Rules.txt und ihrer Syntax

Die Verschlüsselung kann nur für solche Nachrichten durchgeführt werden, die von Benutzern des eigenen MDaemon-Servers stammen und in Verbindungen mit SMTP-Echtheitsbestätigung übermittelt werden. Sie können auch externe Adressen angeben, die die Verschlüsselungs-Dienste nicht nutzen dürfen. Nachrichten an solche externen Adressen verschlüsselt MDPGP auch dann nicht, wenn der zugehörige öffentliche Schlüssel verfügbar ist.

Falls Einträge in der Datei rules.txt der globalen Option "Nutzung aller Dienste für alle lokalen MDaemon-Benutzer zulassen" widersprechen, gehen die Einträge und Einstellungen der Datei rules.txt vor.

Falls zwischen den Einträgen in der Datei rules.txt und der systemweiten Option "Entschlüsselung und Prüfung für alle externen Benutzer zulassen" Widersprüche bestehen, gehen die Einträge in der Datei rules.txt der systemweiten Option vor.

Zeilen, die mit # beginnen, werden nicht ausgewertet.

Trennen Sie mehrere E-mail-Adressen auf derselben Zeile durch Leerzeichen.

Jokerzeichen (* und ?) sind in E-Mail-Adressen zulässig.

MDPGP signiert zwar Nachrichten immer dann, wenn MDPGP sie auch verschlüsselt, die Berechtigung zur Nutzung der Verschlüsselung umfasst aber nicht auch die Berechtigung zum Signieren unverschlüsselter Nachrichten. Benutzerkonten können unverschlüsselte Nachrichten nur dann signieren, wenn sie über die Berechtigung zum Signieren verfügen.

Jeder E-Mail-Adresse muss eines der folgenden Steuerzeichen vorangestellt werden:

+ (Plus) - Die Adresse darf MDPGP zur Verschlüsselung nutzen.

- (Minus) - Die Adresse darf MDPGP nicht zur Verschlüsselung nutzen.

! (Ausrufezeichen) - Die Adresse darf MDPGP zur Entschlüsselung nutzen.

~ (Tilde) - Die Adresse darf MDPGP nicht zur Entschlüsselung nutzen.

^ (Caret) - Die Adresse darf MDPGP zum Signieren nutzen.

= (Istgleich) - Die Adresse darf MDPGP nicht zum Signieren nutzen.

$ (Dollar) - Die Adresse darf MDPGP zur Prüfung von Signaturen nutzen.

& (Und-Zeichen) - Die Adresse darf MDPGP nicht zur Prüfung von Signaturen nutzen.

Einige Beispiele hierzu:

+*@* — Alle Benutzer aller Domänen dürfen verschlüsseln.

!*@* — Alle Benutzer aller Domänen dürfen entschlüsseln.

^*@* — Alle Benutzer aller Domänen dürfen signieren.

^*@example.com — Alle Benutzer der Domäne example.com dürfen verschlüsseln.

+frank@example.com ~frank@example.com — Dieser Benutzer darf verschlüsseln aber nicht entschlüsseln.

+GROUP:VerschlüsselungsBenutzer — Die Mitglieder der MDaemon-Gruppe VerschlüsselungsBenutzer dürfen verschlüsseln.

^GROUP:Signatoren — Die Mitglieder der MDaemon-Gruppe Signatoren dürfen signieren.

Betriebsarten für Verschlüsselung und Signatur

Automatische Betriebsart

Mithilfe der Optionen im Abschnitt Einstellungen können Sie MDPGP so konfigurieren, dass Nachrichten berechtigter Benutzerkonten automatisch signiert und verschlüsselt werden. Versendet ein Benutzerkonto eine Nachricht in einer Verbindung mit Echtheitsbestätigung, und kennt MDPGP den erforderlichen Schlüssel, so wird die Nachricht in Abhängigkeit von den folgenden Einstellungen signiert oder verschlüsselt.

Im Abschnitt Manuelle Betriebsart weiter unten sind Steuerkodes für die Betreffzeile beschrieben. Diese Steuerkodes haben immer Vorrang vor den Einstellungen für die automatische Betriebsart. Sind also einzelne Optionen für die automatische Betriebsart deaktiviert, so können Benutzerkonten, die zum Signieren und Verschlüsseln von Nachrichten berechtigt sind, Nachrichten immer mithilfe der Steuerkodes signieren und verschlüsseln lassens.

Einstellungen

Nachrichten automatisch verschlüsseln, soweit für ihre Empfänger öffentliche Schlüssel vorhanden sind

Per Voreinstellung verschlüsselt MDPGP abgehende Nachrichten aller zur Verschlüsselung berechtigten Benutzerkonten, falls die geheimen Schlüssel der Empfänger bekannt sind. Falls Sie die Nachrichten nicht automatisch verschlüsseln lassen wollen, deaktivieren Sie diese Option. Berechtigte Benutzer können auch bei deaktivierter Option ihre Nachrichten mithilfe der unten beschriebene Steuerkodes verschlüsseln lassen.

Nachrichten automatisch signieren, falls geheimer Schlüssel des Absenders bekannt ist

Diese Option bewirkt, dass MDPGP abgehende Nachrichten aller zur Signatur berechtigten Benutzerkonten, deren geheime Schlüssel bekannt sind, automatisch signiert. Berechtigte Benutzer können auch bei deaktivierter Option ihre Nachrichten mithilfe der unten beschriebene Steuerkodes signieren lassen.

Nachrichten an Benutzer derselben Domäne verschlüsseln/signieren

Ist MDPGP zum automatischen Signieren und Verschlüsseln von Nachrichten konfiguriert, so bewirkt diese Option, dass MDPGP auch Nachrichten zwischen Benutzern derselben Domäne signiert und verschlüsselt, soweit die erforderlichen Schlüssel bekannt sind. Diese Option ist per Voreinstellung aktiv.

Nachrichten an Benutzer lokaler Domänen verschlüsseln/signieren

Ist MDPGP zum automatischen Signieren und Verschlüsseln von Nachrichten konfiguriert, so bewirkt diese Option, dass MDPGP auch Nachrichten zwischen Benutzern der lokalen MDaemon-Domänen signiert und verschlüsselt, soweit die erforderlichen Schlüssel bekannt sind. Werden auf dem MDaemon-Server beispielsweise die Domänen "example.com" und "example.net" betrieben, so werden Nachrichten zwischen den Benutzern dieser Domänen automatisch verschlüsselt oder signiert. Diese Option ist per Voreinstellung aktiv.

Nachrichten des Absenders an sich selbst verschlüsseln/signieren

Ist MDPGP zum automatischen Signieren und Verschlüsseln von Nachrichten konfiguriert, so verschlüsselt und signiert MDPGP auch Nachrichten, die der Absender an sich selbst sendet (z.B. frank@example.com an frank@example.com). Ist das betreffende Benutzerkonto zum Verschlüsseln und Entschlüsseln berechtigt (dies ist per Voreinstellung der Fall), so bedeutet dies, dass MDPGP die Nachricht entgegennimmt, verschlüsselt, sofort wieder entschlüsselt und in den Posteingang des Benutzers einstellt. Ist das betreffende Benutzerkonto nur zum Verschlüsseln, nicht aber zum Entschlüsseln berechtigt, so verschlüsselt MDPGP die Nachricht und stellt sie dann noch verschlüsselt in den Posteingang des Empfängers ein, der gleichzeitig der Absender ist. Diese Option ist per Voreinstellung aktiv.

Manuelle Betriebsart

Sie die oben beschriebenen Optionen Nachrichten automatisch signieren... und Nachrichten automatisch verschlüsseln... deaktiviert, so wird MDPGP in der manuellen Betriebsart betrieben. MDPGP signiert und verschlüsselt Nachrichten dann nur, wenn sie von berechtigten Benutzern in Verbindungen mit Echtheitsbestätigung übermittelt werden und die folgenden Steuerkodes in der Betreffzeile enthalten.

--pgps

Die Nachricht wird signiert, falls möglich. Der Steuerkode darf am Beginn oder Ende der Betreffzeile erscheinen.

--pgpe

Die Nachricht wird verschlüsselt, falls möglich. Der Steuerkode darf am Beginn oder Ende der Betreffzeile erscheinen.

--pgpx

Die Nachricht muss zwingend verschlüsselt werden. Falls die Nachricht nicht verschlüsselt werden kann, etwa, weil der öffentliche Schlüssel des Empfängers nicht bekannt ist, dann wird die Nachricht nicht zugestellt sondern an den Absender zurückgeleitet. Der Steuerkode darf am Beginn oder Ende der Betreffzeile erscheinen.

--pgpk

Dem Absender wird sein eigener öffentlicher Schlüssel zugesandt. Hierzu setzt der betreffende Benutzer den Steuerkode an den Beginn der Betreffzeile und sendet die Nachricht an sich selbst. MDPGP sendet dem Benutzer dann seinen öffentlichen Schlüssel per E-Mail.

--pgpk<E-Mail>

Dem Absender wird der öffentliche Schlüssel zu der angegebenen E-Mail-Adresse zugesandt.  Hierzu setzt der betreffende Benutzer den Steuerkode an den Beginn der Betreffzeile und sendet die Nachricht an sich selbst. MDPGP sendet dem Benutzer dann den öffentlichen Schlüssel zu der angegebenen Adresse per E-Mail.

Ein Beispiel hierzu:

Betreff: --pgpk<frank@example.com>

Schlüsselverwaltung

Die Optionen in der unteren Hälfte des Konfigurationsdialogs für MDPGP dienen der Verwaltung der öffentlichen und geheimen Schlüssel. Für jeden Schlüssel erscheint ein Eintrag. Durch Rechtsklick auf einen Eintrag öffnet sich ein Kontextmenü, aus dem Sie den Schlüssel exportieren, löschen, sperren und entsperren können. Wenn Sie den Schlüssel exportieren, wird er im Verzeichnis \MDaemon\Pem\_mdpgp\exports\ gespeichert, und Sie können den öffentlichen Schlüssel wahlweise auch an eine E-Mail-Adresse senden lassen. Mithilfe der Optionen Lokale/Externe Schlüssel anzeigen und Filtern können Sie bestimmte Adressen und Gruppen leichter auffinden.

Details über Verschlüsselungsfehler an Absender senden (Befehl --pgpe)

Diese Option bewirkt, dass ein Absender über Fehler bei der Verschlüsselung informiert wird, falls er den Befehl --pgpe verwendet hat und danach die Verschlüsselung fehlschlägt (etwa, weil kein öffentlicher Schlüssel des Empfängers vorliegt). Diese Option ist per Voreinstellung abgeschaltet, sodass per Voreinstellung auch keine Benachrichtigungen versandt werden.

Öffentliche Schlüssel auf Anforderung per E-Mail senden (Befehl --pgpk)

Diese Option bewirkt, dass externe Benutzer die öffentlichen Schlüssel interner Benutzer per E-Mail anfordern können. Sie können E-Mail-Nachrichten an das Systemkonto des MDaemon-Servers (z.B. MDaemon@example.com) senden, die in der Betreffzeile den Befehl "--pgpk<E-Mail-Adresse> enthalten (z.B. --pgpk<frank@example.com>). Falls der öffentliche Schlüssel für die angegebene E-Mail-Adresse vorhanden ist, sendet MDaemon diesen Schlüssel an den Absender zurück. Diese Option ist per Voreinstellung abgeschaltet.

Öffentliche Schlüssel echtheitsbestätigter Benutzer automatisch importieren

Diese Option bewirkt, dass MDPGP in E-Mail-Nachrichten, die Benutzer in Verbindungen mit Echtheitsbestätigung übermittelt haben, nach öffentlichen Schlüsseln sucht und sie in den Schlüsselbund importiert. Die Schlüssel müssen als Dateianlagen im Format ASCII armor vorliegen. Hierdurch können die Benutzer die öffentlichen Schlüssel ihrer Kommunikationspartner einfach in den Schlüsselbund importieren lassen, indem sie sich die öffentlichen Schlüssel selbst per E-Mail senden. Falls Sie den automatischen Import von Schlüsseln nicht wünschen, deaktivieren Sie diese Option. Diese Option ist per Voreinstellung aktiv.

Schlüssel automatisch erzeugen

Diese Option bewirkt, dass MDPGP automatisch für jeden MDaemon-Benutzer ein Schlüsselpaar mit öffentlichem und geheimem Schlüssel erzeugt. MDPGP erzeugt die Schlüssel nicht alle gleichzeitig, vielmehr erstellt MDPGP immer erst dann ein Schlüsselpaar, wenn eine Nachricht für den Benutzer verarbeitet wird. Diese Option ist per Voreinstellung abgeschaltet, um die Systemressourcen zu schonen und das unnötige Erzeugen von Schlüsseln für solche Benutzer zu vermeiden, die MDPGP möglicherweise gar nicht nutzen.

Schlüssellänge

Diese Option bestimmt die Schlüssellänge der Schlüssel in Bit, die MDPGP erzeugt. Sie können als Schlüssellänge 1024, 2048 und 4096 wählen. Die Voreinstellung beträgt 2048 Bit.

Ablauf in [x] Tagen (0=nie)

Diese Option legt die Gültigkeitsdauer für die durch MDPGP erzeugten Schlüssel fest. Nach Ablauf dieser Gültigkeitsdauer werden die Schlüssel ungültig. Der Wert 0 bewirkt, dass die Schlüssel unbefristet gültig sind. Der Wert beträgt per Voreinstellung 0.

Schlüssel für bestimmten Benutzer erzeugen

Um ein Schlüsselpaar aus öffentlichem und geheimem Schlüssel für ein bestimmtes Benutzerkonto zu erstellen, gehen Sie wie folgt vor:

1.Klicken Sie auf Schlüssel für bestimmten Benutzer erzeugen.

2.Wählen Sie aus dem Dropdown-Menü das gewünschte Benutzerkonto aus.

3.Falls gewünscht: Aktivieren Sie das Kontrollkästchen Öffentlichen Schlüssel anschließend per E-Mail an den Inhaber senden..., falls Sie den Schlüssel dem betreffenden Benutzer als Dateianlage per E-Mail senden lassen wollen.

4.Klicken Sie auf OK.

Schlüssel importieren

Falls Sie eine Schlüsseldatei manuell in MDPGP importieren wollen, klicken Sie auf diese Schaltfläche, wählen Sie die Datei aus, und klicken Sie danach auf Öffnen. Beim Import eines geheimen Schlüssel müssen Sie den zugehörigen öffentlichen Schlüssel nicht gesondert importieren, da er bereits im geheimen Schlüssel enthalten ist. Ist der geheime Schlüssel durch eine Passphrase geschützt, so fragt MDPGP die Passphrase während des Imports ab. Ohne die Passphrase kann der geheime Schlüssel nicht importiert werden. Nach dem Import des geheimen Schlüssels ändert MDPGP die Passphrase des geheimen Schlüssels in die Passphrase, die MDPGP gerade verwendet.

Passphrase ändern

Geheime Schlüssel sind immer durch eine Passphrase geschützt. Um einen geheimen Schlüssel zu importieren, müssen Sie seine Passphrase angeben. Nach dem Export eines geheimen Schlüssels bleibt der Schlüssel durch die Passphrase geschützt und kann an anderer Stelle nur importiert werden, wenn die Passphrase bekannt ist. Die Standard-Passphrase, die MDPGP nutzt, lautet MDaemon. Aus Sicherheitsgründen sollten Sie diese Passphrase ändern, sobald Sie MDPGP eingerichtet haben. Jeder geheime Schlüssel, den MDPGP erzeugt oder importiert, wird mit dieser Passphrase gesichert; bestehende Passphprases werden beim Import entsprechend geändert. Sie können die Passphrase jederzeit durch Anklicken von Passphrase ändern im Konfigurationsdialog für MDPGP ändern. Nach einer Änderung wird jeder geheime Schlüssel im Schlüsselbund aktualisiert, und seine Passphrase wird auf die neue Passphrase geändert.

Datendateien sichern

Durch Anklicken dieser Schaltfläche erstellen Sie Sicherheitskopien der Datendateien, die die Schlüsselbunde enthalten, nämlich Keyring.private und Keyring.public. Per Voreinstellung werden die Sicherheitskopien in "\MDaemon\Pem\_mdpgp\backups" abgelegt; ihren Dateinamen werden Datum und Dateiendung .bak hinzugefügt.

Weitergeleitete Nachrichten werden nicht verschlüsselt.

Nachrichten von Autobeantwortern werden nicht verschlüsselt.

Schlüsselserver, Verzeichnisdienste und der Widerruf von Schlüsseln werden nur im Rahmen der Optionen "Öffentliche Schlüssel aus DNS (pka1) abrufen und zwischenspeichern für [xx] Stunden" und "Öffentliche Schlüssel über HTTP senden (WorldClient)" unterstützt..

Die Aktion Verschlüsseln des Inhaltsfilters wirkt nicht auf Nachrichten, die bereits verschlüsselt sind. Die Aktionen Verschlüsseln und Entschlüsseln werden nur bei entsprechender Berechtigung und MDPGP-Konfiguration wirksam.

Die Dropdown-Liste, in der die MDaemon-Benutzerkonten angezeigt werden, zeigt per Voreinstellung die ersten 500 Benutzerkonten. Um alle Benutzerkonten anzeigen zu lassen, können Sie in der Datei plugins.dat den Eintrag MaxUsersShown=0 setzen. Hierdurch kann sich bei sehr umfangreichen Benutzerlisten die Ladezeit erhöhen.

MDPGPUtil.exe steht als Befehlszeilenwerkzeug zur Verfügung und kann mithilfe von Befehlszeilenparametern entschlüsseln und verschlüsseln. Um Hilfe zu diesem Programm zu erhalten, führen Sie MDPGPUtil von der Befehlszeile aus ohne Parameter aus.