Informationen zur E-Mail-Verschlüsselung
Verschlüsselte Kommunikation mit dm
dm legt hohen Wert auf den Schutz Ihrer Daten. Um Ihre Daten nicht nur innerhalb der Systeme von dm zu schützen, sondern sie auch während der Übertragung über das Internet abzusichern, unterstützt dm Techniken zur sicheren und verschlüsselten E-Mail-Kommunikation.
Wieso hängt an den dm-E-Mails eine digitale Signatur an?
Bei E-Mails ist es ähnlich wie bei Briefen möglich, eine falsche Absender-Adresse einzutragen. Diese Möglichkeit wird von Kriminellen genutzt, um unter falschen Identitäten sogenannte Spam- und Phishing-E-Mails zu versenden, die zB vorgeben von dm zu stammen, tatsächlich aber von unbefugten Dritten versendet werden.
Um dies zu verhindern, fügt dm seinen E-Mails eine digitale Signatur hinzu. Diese funktioniert ähnlich wie ein Siegel und bietet die Sicherheit, dass Absender und Inhalt einer E-Mail auf dem Weg nicht manipuliert wurden.
Wie kann ich feststellen, ob eine E-Mail wirklich von dm kam?
Bitte beachten Sie: Die folgenden Hinweise gelten ausschließlich für E-Mails die direkt durch Mitarbeiter von dm versendet werden, inklusive der E-Mails des dm-ServiceCenters. Ausgenommen sind dm-Newsletter, Marketing-E-Mails und andere Werbenachrichten - diese werden durch Partnerunternehmen versendet und sind nicht digital signiert.
dm nutzt für den Versand von E-Mails Adressen die auf @dm.at enden. Sollten Sie sich unsicher sein, ob eine E-Mail tatsächlich von dm stammt, prüfen Sie bitte im ersten Schritt, ob die Absender-Adresse auf @dm.at endet. Schauen Sie bitte genau hin, Betrüger könnten versuchen eine ähnlich aussehende Adresse wie zB @dn.at oder @dm-at.at zu verwenden.
Jede E-Mail mit einer Absender-Adresse von @dm.at wird darüber hinaus vor dem Versand mit einer digitalen Signatur versehen. Die meisten E-Mail-Programme prüfen diese digitale Signatur automatisch und Sie können sich mit einem kurzen Blick vergewissern, dass die E-Mail tatsächlich von dm kam. Unten finden Sie hierfür zu den am weitesten verbreiteten E-Mail-Programmen jeweils eine kurze Anleitung.
Manche E-Mail-Software, die keine digitale E-Mail-Signatur unterstützt, zeigen stattdessen eine angehängte Datei namens smime.p7s an. Diese Datei können Sie ignorieren.
Fehlt diese Signatur bei einer E-Mail welche vorgibt von dm zu kommen komplett, wurde diese E-Mail möglicherweise von jemandem verschickt, der sich unberechtigterweise als dm drogerie markt ausgibt. Sie sollten in diesem Fall besondere Vorsicht walten lassen und uns informieren, da es sich möglicherweise um einen Betrugsversuch handelt.
Möglichkeiten
Outlook
Outlook
Bei Nachrichten von dm muss neben der Absenderadresse der E-Mail ein Siegel-Symbol zu sehen sein. Bei einem Klick auf das Siegel-Symbol muss ein Fenster mit dem Text "Signiert von: ...@dm.at. Die digitale Signatur dieser Nachricht ist gültig und vertrauenswürdig" erscheinen.
Fehlt das Siegel oder erscheint eine "Signiert von" Angabe die nicht auf @dm.at endet, wurde die Nachricht nicht von dm signiert und stammt möglicherweise von einem unbefugten Dritten!
Thunderbird
Thunderbird
Bei Nachrichten von dm muss oberhalb der E-Mail ein versiegelter Briefumschlag zu sehen sein. Bei einem Klick auf den Briefumschlag muss ein Fenster mit dem Text "Diese Nachricht enthält eine gültige digitale Unterschrift. Die Nachricht wurde nicht verändert, seit sie gesendet wurde" erscheinen.
Fehlt der Briefumschlag, wurde die Nachricht nicht von dm signiert und stammt möglicherweise von einem unbefugten Dritten!
Outlook Web App / Outlook im Web / Office365 Outlook Weboberfläche
Outlook Web App / Outlook im Web / Office365 Outlook Weboberfläche
Bei Nachrichten von dm muss in der Nachrichtenliste neben dem Absender der E-Mail ein Siegel-Symbol zu sehen sein. Weitere Zertifikatdetails und die Vertrauenswürdigkeit können nur nach Installation eines Browser-Plugins geprüft werden, die Microsoft für den Internet Explorer, Edge und Chrome zur Verfügung stellt.
Technischer Hinweis: Die Vertrauenswürdigkeit der Zertifikate kann in diesem Fall nur überprüft werden, wenn der Exchange- bzw Office365-Administrator das Root-Zertifikat "SwissSign Silver CA - G2" importiert hat.
Fehlt das Siegel vollständig, wurde die Nachricht auf jeden Fall nicht von dm signiert und stammt möglicherweise von einem unbefugten Dritten!
Windows Live Mail
Windows Live Mail
Bei Nachrichten von dm muss oberhalb der E-Mail ein Siegel-Symbol zu sehen sein, neben dem Text "Digital signiert und überprüft". Darunter findet sich ein allgemeiner Hilfetext zu digital signierten Nachrichten, dieser kann durch einen Klick auf "Weiter" geschlossen werden.
Fehlt das Siegel, wurde die Nachricht nicht von dm signiert und stammt möglicherweise von einem unbefugten Dritten!
Outlook für Mac
Outlook für Mac
Bei Nachrichten von dm muss oberhalb des E-Mail-Textes ein Schloss zu sehen sein, neben dem Text "Diese Nachricht wurde digital signiert". Bei einem Klick auf "Details" muss ein Fenster mit dem Hinweis "Dieses Zertifikat ist gültig" erscheinen.
Fehlt das Schloss, wurde die Nachricht nicht von dm signiert und stammt möglicherweise von einem unbefugten Dritten!
Apple Mail
Apple Mail
Bei Nachrichten von dm muss oberhalb des E-Mail-Textes ein schwarzer Haken eingebettet in den Text "Sicherheit: Signiert" zu sehen sein. Bei einem Klick auf den Haken muss ein Fenster mit dem Hinweis "Dieses Zertifikat ist gültig" erscheinen.
Fehlt der Haken, wurde die Nachricht nicht von dm signiert und stammt möglicherweise von einem unbefugten Dritten!
iPhone / iPad Mail App
iPhone / iPad Mail App
Bei Nachrichten von dm muss nun neben dem Absender ein blauer Haken zu sehen sein. Beim Tippen auf den Absendernamen muss ein Fenster mit dem Text: "Signiert. Der Absender hat die E-Mail mit einem vertrauenswürdigen Zertifikat signiert" erscheinen.
Fehlt der Haken, wurde die Nachricht nicht von dm signiert und stammt möglicherweise von einem unbefugten Dritten!
Android GMail App
Android GMail App
Falls Sie auf Ihrem Android-Gerät die GMail-App nutzen und darüber auf ein GMail-Konto zugreifen, können Sie hiermit ebenfalls die digitale Signatur einer E-Mail prüfen. Tippen Sie dazu unterhalb des Absenders auf "Details einblenden". Bei Nachrichten von dm muss nun ein grüner Haken und der Text "Bestätigte E-Mail-Adresse" auftauchen.
Fehlt der Haken, wurde die Nachricht nicht von dm signiert und stammt möglicherweise von einem unbefugten Dritten!
E-Mail-Konten anderer Anbieter lassen sich zwar ebenfalls über die GMail-App abrufen, dort bietet die App aber nicht die Funktionalität um die digitale Signatur anzuzeigen.
Android MailDroid App
Android MailDroid App
Bei Nachrichten von dm muss oberhalb der E-Mail ein gelber Balken zu sehen sein mit dem Text "Signed. Click to verify". Bei einem Klick darauf erscheint ein Hinweisfeld mit dem Signierstatus. Darin muss der Hinweis "Signatur: OK, Pfad: OK" zu sehen sein.
Fehlt der gelbe Balken mit dem Text "Signed" oder ist der Signierstatus nicht "OK", wurde die Nachricht nicht von dm signiert und stammt möglicherweise von einem unbefugten Dritten!
Gmail / Google-Mail Weboberfläche
Gmail / Google-Mail Weboberfläche
Öffnen Sie die E-Mail und klicken Sie auf das kleine, nach unten zeigende Dreieck unterhalb der Absender-Adresse, wodurch sich ein Fenster öffnet. Bei Nachrichten von dm muss unterhalb der Absender-Adresse ein grüner Haken und der Text "Bestätigte E-Mail-Adresse" zu sehen sein.
Fehlt der Haken, wurde die Nachricht nicht von dm signiert und stammt möglicherweise von einem unbefugten Dritten!
Web.de Weboberfläche
Web.de Weboberfläche
Bei Nachrichten von dm muss oberhalb der E-Mail ein Stift zu sehen sein. Eine Überprüfung, ob es sich dabei um eine gültige Signatur handelt ist über die Weboberfläche nicht möglich.
Fehlt der Stift jedoch vollständig, können Sie sicher sein dass die Nachricht nicht von dm signiert wurde und möglicherweise von einem unbefugten Dritten stammt!
Wie kann ich verschlüsselte E-Mails an dm senden?
Voraussetzung hierfür ist, dass Sie Ihr E-Mail-Programm für die E-Mail-Verschlüsselung konfiguriert haben und über ein eigenes Zertifikat bzw einen eigenen Schlüssel verfügen.
dm unterstützt zur Verschlüsselung die Verfahren S/MIME und PGP. Sie können sich das öffentliche Zertifikat Ihres Kommunikationspartners bei dm auf der Seite https://securemail.dm.de/web.app?op=search-keys herunterladen. Tragen Sie hierfür einfach die gewünschte Empfänger-Adresse, an welche Sie die E-Mail verschlüsselt versenden wollen, in das Suchfeld ein, um sich das dazugehörige Zertifikat herunterladen zu können (zB kundenservice@dm.at). Die PGP-Schlüssel finden Sie auf der Seite "Domain-Schlüssel", sie gelten jeweils für alle E-Mail-Adressen der jeweiligen Domain.
Wie kann ich veranlassen, dass E-Mails von dm an mich verschlüsselt übertragen werden?
Wie oben ist hier Voraussetzung, dass Sie Ihr E-Mail-Programm für die E-Mail-Verschlüsselung konfiguriert haben und über ein eigenes Zertifikat bzw einen eigenen Schlüssel verfügen.
Falls es sich um ein S/MIME-Zertifikat einer allgemein anerkannten Zertifizierungsstelle handelt (zB SwissSign, Sectigo, D-Trust, GlobalSign, Actalis, QuoVadis, ...) ist es ausreichend eine digital signierte E-Mail an die Adresse Ihres Kommunikationspartners bei dm zu senden. Andernfalls können Sie Ihr Zertifikat oder Ihren PGP-Schlüssel jederzeit über https://securemail.dm.de hochladen (es ist eine einmalige Registrierung notwendig). In beiden Fällen werden anschließend alle E-Mails von dm an Ihre Adresse verschlüsselt versendet.
Weitere Informationen für Partnerunternehmen
Bietet dm Domain-Zertifikate für die Verschlüsselung aller E-Mail-Adressen einer Domain?
Ja, neben individuellen Verschlüsselungszertifikaten für einzelne E-Mail-Adressen bietet dm auch Domain-Zertifikate an, mit denen sich E-Mails an beliebige E-Mail-Adressen der jeweiligen Domain zu verschlüsseln lassen. Die Domain-Zertifikate können unter https://securemail.dm.de/web.app?op=search-domain-keys heruntergeladen werden. Sie eignen sich für Partnerunternehmen, die zur E-Mail-Verschlüsselung eine Gateway-Lösung einsetzen.
Unterstützt dm auch eine Transportverschlüsselung zwischen den E-Mail-Servern per TLS?
Ja. Alle E-Mail-Server von dm verfügen über gültige Server-Zertifikate und unterstützen alle gängigen Verschlüsselungsprotokolle.
Ebenso unterstützen die dm-Domains MTA-STS (Mail Transfer Agent Strict Transport Security). Falls Ihr E-Mail-System ebenfalls Unterstützung für MTA-STS bietet, wird darüber die TLS-Transportverschlüsselung zu den dm-E-Mail-Servern automatisch erzwingen (Forced TLS).
Kann eine TLS-Transportverschlüsselung die E-Mail-Verschlüsselung mit S/MIME oder PGP ersetzen?
Bei der Transportverschlüsselung per TLS wird nicht die E-Mail selbst verschlüsselt, sondern nur der Transport bis zum jeweils nächsten Server (Hop). Dort liegt die E-Mail wieder in lesbarer Form vor, bevor sie gegebenenfalls an den nächsten Server weitergeleitet wird. Diese Form der Transportverschlüsselung wird von den dm-Systemen wann immer möglich als zusätzliche Sicherheitsmaßnahme bei der Übertragung einer E-Mail eingesetzt, unabhängig davon ob die E-Mail selbst bereits verschlüsselt ist oder nicht.
Um eine TLS-Transportverschlüsselung darüber hinaus bei besonders schützenswerten E-Mails als vollständigen Ersatz für eine E-Mail-Verschlüsselung mit S/MIME oder PGP einzustufen, gelten folgende Voraussetzungen:
- Diese Option steht nur Partnerunternehmen von dm zur Verfügung
- Da bei einer Transportverschlüsselung nur die Verbindung bis zum nächsten Server verschlüsselt wird, wo die E-Mail wieder gelesen werden kann, muss dieser nächste Server exklusiv dem Partnerunternehmen zur Verfügung stehen. Dies schließt den Betrieb der E-Mail-Gateways durch Shared Hosting Provider bzw Hosted Email Security Services aus
- Alle beteiligten E-Mail-Server müssen jederzeit über gültige Zertifikate einer allgemein anerkannten Zertifizierungsstelle verfügen
- Die TLS-Transportverschlüsselung zwischen den beteiligten Servern muss erzwungen werden (Forced TLS), das heißt eine E-Mail darf nur noch nach erfolgreichem Aufbau einer verschlüsselten Verbindung übertragen werden
Welche Möglichkeiten bietet dm zur E-Mail-Verschlüsselung mit Partnerunternehmen?
dm bietet zur E-Mail-Verschlüsselung die im folgenden Dokument dargestellten Optionen an: Verschlüsselungsverfahren-dm. Für weitere Fragen und zur Einrichtung wenden Sie sich bitte an secure.email@dm.de (Für verschlüsselte Anfragen finden Sie hier das dazugehörige S/MIME-Zertifikat).