Wenn Ihre Organisation Nachrichten in einem anderen Dienst oder in einem anderen Verschlüsselungsformat hat, können Sie diese Nachrichten als Administrator als clientseitig verschlüsselte Nachrichten im Format S/MIME zu Gmail migrieren.
Migrierte Nachrichten mit digitaler Signatur und Verschlüsselung werden in Gmail sicher gerendert, wobei Inline-Bilder, Hyperlinks und Anhänge sichtbar sind.
Bei einigen Diensten können Nutzer S/MIME-Nachrichten ohne digitale Signatur erstellen und haben öffentlich bekannte Sicherheitslücken. Werden diese ausschließlich verschlüsselten Nachrichten in Gmail importiert, werden sie in einem sicheren Format angezeigt, das mögliche Exploits unterdrückt. Mit der clientseitigen Verschlüsselung (Client-side Encryption, CSE) von Gmail werden also keine Inline-Bilder, Hyperlinks oder Anhänge in der Benutzeroberfläche angezeigt, obwohl der gesamte Inhalt der zugrunde liegenden Nachricht erhalten bleibt.
S/MIME-verschlüsselte Nachrichten migrieren
Gmail-CSE unterstützt nativ das Standardformat für die S/MIME-Nachrichtenverschlüsselung, das auch von Microsoft und anderen E-Mail-Diensten verwendet wird. Wenn Sie verschlüsselte S/MIME-Nachrichten aus einem Microsoft-Dienst zu Gmail migrieren, können Sie verschlüsselte Nachrichten unverändert migrieren.
Damit die clientseitige Verschlüsselung in Gmail S/MIME-Nachrichten entschlüsseln und anzeigen kann, die zuvor in einem Microsoft-Dienst enthalten waren, müssen die Nutzerkonten mit Gmail mit denselben S/MIME-Nutzerzertifikaten konfiguriert sein, die in der Microsoft-Umgebung verwendet wurden. Außerdem müssen Sie die Gmail API und die clientseitige Verschlüsselung in Gmail für Ihre Nutzer einrichten. Verwenden Sie dazu dieselben Zertifikate wie im Microsoft-Dienst. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: Verschlüsselungsschlüssel für clientseitige Verschlüsselung hochladen.
Nachdem die Gmail-Konten mit den S/MIME-Zertifikaten konfiguriert wurden, können Sie Nachrichten aus dem Microsoft-Dienst zu Gmail migrieren. Weitere Informationen finden Sie im Hilfeartikel Daten in Google Workspace migrieren.
Nicht-S/MIME-Formate und Nur-Text-Archive migrieren
Wenn Ihre Organisation Nachrichten hat, die in einem Nicht-S/MIME-Format verschlüsselt sind, oder Nur-Text-Archive hat, die Sie vor der Migration verschlüsseln möchten, können Sie die Nachrichten mit dem Migrationsprogramm für die clientseitige Verschlüsselung in Gmail in das von Gmail-CSE verwendete S/MIME-Format konvertieren.
So übertragen Sie Ihre Nachrichten mit dem Migrationsdienstprogramm:
- Exportieren Sie die verschlüsselten Nachrichten von Ihrem Dienstanbieter.
- Falls die Nachrichten verschlüsselt sind, entschlüsseln Sie sie mit den Tools Ihres Anbieters für Nicht-S/MIME-Verschlüsselung in Klartext.
- Nachdem die Nachrichten in Klartext entschlüsselt wurden, können Sie Ihre Nachrichten mit dem Migrationsprogramm für die clientseitige Verschlüsselung in Gmail lokal verschlüsseln und zur clientseitigen Verschlüsselung in Gmail migrieren.
Wenn Sie Gmail verwenden
Wenn Sie Ihre Nachrichten mit dem Migrationsdienst übertragen möchten, exportieren Sie Ihre verschlüsselten Nachrichten mit Google Datenexport oder Google Workspace Vault aus Gmail. Entschlüsseln Sie die E-Mail-Nachrichten mit den Tools Ihres Anbieters für Nicht-S/MIME-Verschlüsselung in Klartext.
Das Migrationsprogramm für die clientseitige Verschlüsselung in Gmail verarbeitet Klartextnachrichten. Wenn Sie Nachrichten über Google Vault exportieren, müssen Sie für den Export das MBOX-Dateiformat verwenden. Die von Vault generierten PST-Dateien enthalten nicht genügend Informationen, um das erneute Einfügen der Nachricht in Gmail zu ermöglichen.
Für jede importierte Nachricht wird vom CSE-Migrationsprogramm von Gmail für die clientseitige Verschlüsselung zusätzlich zur ursprünglichen Nachricht eine S/MIME-verschlüsselte Kopie der Nachricht hinzugefügt. Jedes Nutzerkonto für Gmail muss über genügend freien Speicherplatz verfügen, damit Nachrichtenkopien eingefügt werden können.
Systemvoraussetzungen
- Windows 10/11 x86_64
- Linux x86_64
- macOS 12+ x86_64 oder M
Unterstützte Dateiformate
Das Migrationsprogramm für die clientseitige Verschlüsselung in Gmail verarbeitet Klartextnachrichten. Ihre Nachrichten müssen in einem der folgenden Dateiformate vorliegen:
- PST
- Mbox
Das Migrationsprogramm für die clientseitige Verschlüsselung in Gmail unterstützt das MSG-Dateiformat derzeit nicht. Weitere Informationen zu den unterstützten Formaten finden Sie in der Dokumentation zum Dateiformat.
Hinweise
Bevor Sie Ihre Nachrichten mit dem Migrationsdienstprogramm migrieren können, müssen Sie die Gmail API und die Gmail-CSE für Ihre Nutzer einrichten. Weitere Informationen finden Sie im Hilfeartikel Nur Gmail: Verschlüsselungsschlüssel für clientseitige Verschlüsselung hochladen.
Bei der Migration werden die Anmeldedaten für die Google-Dienstkonto-API wiederverwendet, die Sie bei der Einrichtung der clientseitigen Verschlüsselung in Gmail verwendet haben.
Migrationsprogramm für die clientseitige Verschlüsselung in Gmail herunterladen
- Laden Sie das Migrationsprogramm für die clientseitige Verschlüsselung in Gmail auf Ihr Gerät herunter.
Migrationsprogramm für die clientseitige Verschlüsselung in Gmail ausführen
Geben Sie den folgenden Befehl in ein Terminal oder eine Eingabeaufforderung ein, um das Migrationsdienstprogramm zu verwenden. Ersetzen Sie die Platzhalter durch Ihre Flags und Dateinamen.
Windows
> gmail-cse-migrate.exe [Optional flags] -api-credential=<filename> -input=<filename>
Wenn Sie z. B. E-Mails aus einer Datei namens „input.pst“ in die clientseitige Verschlüsselung in Gmail migrieren möchten, geben Sie den folgenden Befehl ein:
> gmail-cse-migrate.exe -api-credential=my-api-credential.json -input=input.pst
Linux, macOS
$ ./gmail-cse-migrate [Optional flags] -api-credential=<filename> -input=<filename>
Wenn Sie z. B. E-Mails aus einer Datei namens „input.pst“ in die clientseitige Verschlüsselung in Gmail migrieren möchten, geben Sie den folgenden Befehl ein:
$ ./gmail-cse-migrate -api-credential=my-api-credential.json -input=input.pst
Hinweise:
- Geben Sie beim Ausführen des Befehls die folgenden erforderlichen Flags an:
-api-credential=<filename> und -input=<filename> - Ausführliche Informationen zu den Funktionen der erforderlichen Flags erhalten Sie unter gmail-migrate.exe -help.
- Das Migrationsdienstprogramm kann sowohl mit einzelnen Eingabedateien als auch mit Verzeichnissen ausgeführt werden.
- Bei einem Eingabeverzeichnis durchsucht das Migrationsdienstprogramm rekursiv das Verzeichnis, um nach Dateien mit den Erweiterungen .pst und .mbox zu suchen.
- Sie können mehrere Eingabedateien und -verzeichnisse in einer einzigen Ausführung angeben.
Migration testen
Wir empfehlen dringend , einen Probelauf des Migrationsvorgangs durchzuführen, bevor Sie Nachrichten zum Gmail-Speicher hinzufügen. So können Sie potenzielle Probleme, die zum Fehlschlagen der Migration führen könnten, leichter identifizieren und beheben. Wenn Sie beispielsweise keine CSE-Schlüsselpaare konfiguriert haben, können einige Nachrichten während der Migration möglicherweise nicht verschlüsselt werden. Mit einem Probelauf können Sie dieses Problem identifizieren, bevor die Migration fehlschlägt.
Verwenden Sie für einen Probelauf das Flag -dryrun. Wenn sich der private Schlüssel Ihres Google-Dienstkontos beispielsweise unter c:\my_svc_acct.json2 befindet, geben Sie den folgenden Befehl ein:
gmail-migrate.exe -input user1.pst -input user2.pst -api-credential c:\my_svc_acct.json -dryrun
In diesem Beispiel wird ein Probelauf des Migrationsprozesses für die beiden Eingabedateien „user1.pst“ und „user2.pst“ ausgeführt. Beim Probelauf wird Folgendes überprüft:
- Die Nachrichten aus den Dateien können geparst werden.
- Die Nachrichten können zur Vorbereitung auf die Migration verschlüsselt werden.
Migration abschließen
Geben Sie nach dem Probelauf den folgenden Befehl ein, um die Migration abzuschließen.
gmail-migrate.exe -input user1.pst -input user2.pst -api-credential c:\my_svc_acct.json
Migration prüfen
Wenn eine Nachrichtenmigration erfolgreich ist, wird eine S/MIME-verschlüsselte Kopie der Nachricht in das Gmail-Konto des Nachrichteninhabers eingefügt und die ursprüngliche Nachricht, die im Nicht-S/MIME-Format verschlüsselt ist, angezeigt. Die ursprüngliche Nachricht wird vom Migrationsdienstprogramm nicht gelöscht.
Wenn bei der Überprüfung des Nutzerkontos festgestellt wird, dass die S/MIME-Kopien über die clientseitige Verschlüsselung in Gmail verwendet werden können, können der Kontoinhaber oder der Administrator des Unternehmens die ursprünglichen Nachrichten löschen, die im Nicht-S/MIME-Format verschlüsselt wurden. Damit Sie diese Nachrichten leichter finden, fügt das Gmail-Dienstprogramm zur clientseitigen Verschlüsselung jeder Originalnachricht ein benutzerdefiniertes Nutzerlabel mit dem Namen „Gmail CSE Migration Source Messages“ hinzu.
Seien Sie vorsichtig, wenn Sie Nachrichten über die Gmail-Benutzeroberfläche löschen. Auf der Standardoberfläche werden Nachrichten in Threads oder Konversationen zusammengefasst. Wenn Sie eine einzelne Nachricht löschen, wird die gesamte Konversation gelöscht, einschließlich der unverschlüsselten Nachrichten und der eingefügten clientseitig verschlüsselten Nachrichten. Nutzer sollten zuerst die Konversationsansicht in den Gmail-Einstellungen deaktivieren, damit die Löschung nur für einzelne Nachrichten und nicht für Threads gilt.
Wenn die Migration fehlschlägt...
- So ermitteln Sie die Ursache des Fehlers:
- Prüfen Sie die Logdatei auf Fehlermeldungen.
- Stellen Sie sicher, dass der Migrator die erforderlichen Berechtigungen für den Zugriff auf die PST-Dateien und das Gmail-Konto hat.
- Prüfen Sie, ob die API-Anmeldedaten gültig sind.
- Vergewissern Sie sich, dass die PST-Dateien nicht beschädigt sind.
- Nehmen Sie die erforderlichen Änderungen vor, um die Ursache für die fehlgeschlagene Migration zu beheben.
- Führen Sie den Migrationsbefehl noch einmal aus.
Hinweis : Das Migrationsdienstprogramm überspringt Nachrichten, die beim vorherigen Versuch erfolgreich migriert wurden.
Migrator-Flags
Migrator-Flags können mit einem oder zwei führenden Bindestrichen angegeben werden, nicht mit Schrägstrichen. Unter Windows können Sie das Flag zum Anzeigen von Hilfeinformationen beispielsweise mit einer der folgenden Methoden angeben:
-help
--help
Flags, die ein Stringargument akzeptieren, können entweder mit einem Gleichheitszeichen oder einem Leerzeichen angegeben werden, um das Argument zu definieren. Die folgenden Flags sind beispielsweise gleichwertig:
-input=dateiname.pst
-input filename.pst
Hilfe-Flags
| Flag | Beschreibung |
|---|---|
| -version |
Gibt den Versionsstring aus. Wenn Sie sich an den Support wenden, geben Sie die Version an, mit der Sie Probleme haben. |
| -help | Gibt einen Nutzungsbildschirm aller Flags aus. |
| -logfile |
Gibt die Ausgabedatei für die Ausführungsprotokolle an. Wenn der Sondertext TIMESTAMP im Dateinamen vorhanden ist, |
Migrations-Flags
| Flag | Beschreibung |
|---|---|
| input <directory_or_file> | Pflichtangabe. Gibt das Eingabeverzeichnis oder die E-Mail-Datei an. |
| -api-credential <file> | Pflichtangabe. Gibt eine JSON-Datei mit dem privaten Schlüssel für ein Google-Dienstkonto an, das den domainweiten Zugriff delegiert hat. |
| -dryrun | Optional. Wird angegeben, um zu überprüfen, ob der Migrator die E-Mail-Nachrichtendateien verarbeiten und die Nachrichten für die Migration vorbereiten kann. |
