PGP Emailverschlüsselung mit Stammzertifikat

Support
,
1

Hallo Zusammen,

leider habe ich ein Problem bei der E-Mail-Verschlüsselung - das erste Mal nun.

Ich habe eine verschlüsselte Mail aus dem Bezirksamt Tempelhof-Schöneberg erhalten (YEAH!). Dieses ist jedoch mit einem Stammzertifikat und -Schlüssel signiert und nicht für diese Mailadresse. Daher kann ich leider nicht verschlüsselt antworten. :pensive_face:

Auf der Seite des Bezirksamtes bin ich lediglich auf folgende Seite gestoßen:

https://www.berlin.de/ba-tempelhof-schoeneberg/allgemeine-infos/artikel.351008.php

Das Zertifikat dort kann ich jedoch enttäuschenderweise nicht für die Mailadresse ute.mustermann@ba-ts.berlin.de verwenden.
Wie kann ich also mit dem Bezirksamt verschlüsselt kommunizieren?

Ich verwende Thunderbird (am iMac-late2017 unter macOS 13.7.8 sowie am ThinkPad unter LinuxMint).

Eine Suche im Netz hat leider nichts gebracht…

Ich möchte mich schon einmal entschuldigen, weil ich nicht so ein richtiger Techniknerd bin. Daher brauche ich leider recht detailliertere Erklärungen.

2

Da gibt es auf dieser Seite zwei unterschiedliche Verschlüsselungsmethoden, die beide nix miteinander zu tun haben. Zum einen S/MIME, dass mit Zertifikaten funktioniert. Zum anderen PGP, bei dem lediglich öffentliche Schlüssel vorab ausgetauscht werden müssen, da gibt’s keine Zertifikate. Also „PGP Emailverschlüsselung mit Stammzertifikat“ gibt es so schon mal nicht. Was zeigt denn Thunderbird bei der erhaltenen Mail als verwendete Verschlüsselungsmethode an? S/MIME oder (Open)PGP?

3

Entschuldige bitte. Es klingt auf der Website des BA-TS so, als sei es der PGP-Schlüssel für eine gesamte Domain.
Die Mail, welche ich bekommen habe ist per PGP Verschlüsselt. Hier die entsprechenden Screenshots aus Thunderbird:

Bildschirmfoto 2026-04-19 um 19.34.57
Bildschirmfoto 2026-04-19 um 19.34.57812×648 63.7 KB

Die Angaben zu dem Schlüssel:

Bildschirmfoto 2026-04-19 um 19.35.28
Bildschirmfoto 2026-04-19 um 19.35.281668×1350 109 KB

Jedoch stimmen Absendeadresse und Angaben zu welcher Mailadresse der Schlüssel gehört nicht überein.

Laut Angaben auf der Seite des Bezirksamtes heißt es zum PGP-Schlüssel:

Bildschirmfoto 2026-04-19 um 19.39.29
Bildschirmfoto 2026-04-19 um 19.39.291994×768 91.7 KB

Ich kann diesen Schlüssel aber nicht verwenden, um “E-Mails an Empfänger des Bezirksamtes Tempelhof-Schöneberg verschlüsseln”, wie angegeben.

Wie kann ich also diesen PGP-Schlüssel verwenden, um “E-Mails an Empfänger des Bezirksamtes Tempelhof-Schöneberg verschlüsseln” zu können?

4

Da wird aus meiner Sicht PGP unsauber verwendet. Wenn E-Mail-Adresse und Schlüsseleigentümer nicht übereinstimmen, dann finden die Clients nicht den passenenden Schlüssel und Du kannst keine verschlüsselte E-Mail verschicken.

Ich wüsste jeden Falls keinen Weg, wie Du den auf der Webseite verfügbaren Schlüssel nutzen könntest:

https://www.berlin.de/ba-tempelhof-schoeneberg/allgemeine-infos/artikel.351008.php#pgp

Vielleicht soll der Schlüssel analog zum „Stammzertifikat des Bezirksamtes Tempelhof-Schöneberg (Root CA)“ für S/MIME nur ein Schlüssel zur Signatur von Benutzerschlüsseln sein.

Von der Beschreibung auf der Webseite her

PGP
Für den Versand von PGP-verschlüsselten E-Mails benötigen Sie unseren öffentlichen PGP-Schlüssel. Laden Sie diesen auf Ihren Computer und importieren Sie ihn in Ihren PGP-Schlüsselring. Dann können Sie Ihre
E-Mails an Empfänger des Bezirksamtes Tempelhof-Schöneberg verschlüsseln.

passt dieses jedoch nicht und deutet eher an, dass man den Schlüssel direkt verwenden soll.

Wie auch immer, ich könnte anhand der veröffentlichten Informationen auch keine verschlüsselten E-Mails an das Bezirksamt Tempelhof-Schöneberg verschicken. Wenn jemand hierfür eine Lösung hätte, würde mich das auch interessieren.

5

Ich habe nun beim Bezirksamt angefangen zu arbeiten. Darum habe ich auch eine Mail an den Helpdesk geschickt.
Hinzugekommen ist inzwischen auch, dass meine Mailadresse geblockt wird. Jedenfalls erhalte ich folgende Rückmeldung nach dem Verschicken einer Mail:

Fehler bei der Nachrichtenzustellung an folgende Empfänger oder Gruppen:

XXX.XXX@ba-ts.berlin.de (hier steht natürlich die richtige Mailadresse, an welche ich geschickt habe)
Ihre Nachricht wurde vom E-Mail-System des Empfängers zurückgewiesen. Überprüfen Sie die E-Mail-Adresse des Empfängers, und senden Sie Ihre Nachricht erneut, oder wenden Sie sich direkt an den Empfänger.

Die folgende Organisation hat Ihre Nachricht abgelehnt: ssemail10.ba-ts.verwalt-berlin.de.

Also habe ich dem Helpdesk mitgeteilt, dass meine Emailadresse geblockt scheint, und dass die PGP-Verschlüsselung nicht korrekt zu sein scheint.
Ticket wurde nach zwei Tagen mit folgendem Hinweis geschlossen:

Guten Tag,
wie kommen Sie zu der Annahme, das ein PGP-Schlüssel nicht auf eine ganze Domäne anwendbar ist? Dies ist bei insbesondere in größeren Umgebungen eine übliche Praxis. Der auf berlin.de publizierte, öffentliche Schlüssel ist gültig, funktioniert und wird auch von anderen Kommunikationspartnern zur eingehenden Verschlüsselung verwendet. Ich vermute hier eher ein Fehler auf Ihrer Client-Seite.

Blockliste:
Von Ihrer Emailadresse „xxx@posteo.de“ ist das letzte Mal eingehend eine Email am 26.05.26 erfolgreich zugestellt worden. Danach gab es laut unserem Mailgateway keine Kommunikation in Verbindung mit dieser Emailadresse mehr.

Bitte schauen Sie bei Unzustellbarkeitsbenachrichtigungen, ob möglicherweise noch ein Grund mit angegeben wird. Sehr oft werden Emails durch nicht erlaubte Anhänge zurückgewiesen.

Ich habe jedoch am 26.05. die Antwort erhalten, dass meine Mail nicht zustellbar war. Daher habe ich extra eine andere Mailadresse verwendet. Dort erhielt ich nicht den Hinweis, dass die Mail unzustellbar sei.

Und wie schaut es nun mit PGP aus. Kann man hier eine Domainverschlüsselung einrichten? Wie geht das? Und noch wichtiger: Wie ich kann ich es nutzen, um dem Bezirksamt zu schreiben?
Ich nutze Thunderbird … während beim Bezirksamt natürlich Microsoft mit Outlook genutzt wird.

6

Steht doch genau in der Thunderbird-Meldung, was du machen musst.

thunderbird_0yxL8CehER
thunderbird_0yxL8CehER569×273 7.19 KB

https://support.mozilla.org/en-US/kb/openpgp-recipient-alias-configuration

7

An der Thunderbird-Anleitung sieht man schön, dass es zwar technisch möglich ist einen beliebigen PGP-Schlüssel für E-Mail-Adressen zu verwenden, aber das dieses Verfahren nicht grundsätzlich für die Nutzung durch einfache Anwender vorgesehen ist.

(Editieren eine zusätzlichen Textdatei zu Definition der Sonderregeln für PGP-Schlüsseln, anstatt das die notwendigen Daten in dem Schlüsselbund gespeichert werden.)

Mir ist diese Möglichkeit bisher auch noch nicht bei anderen Mailclients bekannt. Ich vermute eher, dass Verfahren wird vor allen bei Gateway-Lösungen zwischen Firmen angewendet und ist eigentlich nicht für Clients vorgesehen.

In jedem Fall solltest Du davon ausgehen, dass Deine PGP-Verschlüsselte E-Mail am Gateway der Domain ausgepackt und unverschlüsselt dem Anwender unverschlüsselt zugestellt wird, was die Frage auswirft an welchen Stellen der E-Mail-Kommunikation die PGP-Verschlüsselung einen zusätzlichen Schutz bietet.

8

Ich bin nun auch auf folgende Anleitung gestoßen: https://thomasheinz.net/openpgp-domainkeys-mit-thunderbird-nutzen/

Warum so kompliziert? Und warum kann das BA (Bezirksamt) nicht eine kleine Anleitung hierfür bereitstellen?

Nagut … aber jetzt geht es. Nur das meine Mailadresse weiterhin blockiert ist. Dieses geht also auch wieder an den Helpdesk.

Danke an alle (@bamf @Reklow ) für die Rückmeldungen und Anteilnahme :wink: