Das zu verwendende Mail-Programm muss die Verschlüsselung unterstützen. Die gängigen Programme und Apps tun das bereits von Haus aus.

Man muss einen gültigen öffentlichen Schlüssel des Empfängers haben. In der Regel erhält man diesen zuvor per E-Mail, z.B. weil der Empfänger eine digital signierte E-Mail geschickt hat. Diese enthält nämlich den öffentlichen Schlüssel - unter Umständen im Anhang.

Um verschlüsselte E-Mails erhalten zu können, muss man selbst auch ein S/MIME-Zertifikat haben. Das Zertifikat wird über das DFN-PKI-Portal online beantragt und wird anschließend unter Vorlage eines amtlichen Lichtbildausweises im Servicecenter von IT.SERVICES geprüft. Nach der Erzeugung des Zertifikats wird man per E-Mail benachrichtigt und kann unter dem dabei übermittelten Link das eigene Zertifikat speichern und in die erforderlichen Programme importieren. IT.Services haben ein Shortguide zur Beantragung, Ausstellung und Sicherung persönlicher Nutzerzertifikate erstellt.

Beim Online-Antrag wurde bereits der persönliche Schlüssel auf dem eigenen Rechner erzeugt.

Die Programme nutzen in der Regel ein Schloss-Symbol zum Hinweis auf die Verschlüsselung.

• standardmäßig für alle E-Mails:
  Konfiguration erfolgt in den Konten-Einstellungen des verwendeten Mailprogramms (z.B. Outlook: Optionen → Trust Center → Einstellungen für das Trust Center → E-Mail-Sicherheit | Thunderbird: Extras → Konten-Einstellungen → S/MIME-Sicherheit)
• für ausgewählte E-Mails:
  Beim Verfassen einer E-Mail ist im Reiter Optionen die Verschlüsselung zu aktivieren.
• als Antwort-Mail:
  Antworten auf verschlüsselten E-Mails werden von den meisten Mailprogrammen standardmäßig verschlüsselt. Über den Reiter Optionen kann die Verschlüsselung der Antwort gezielt abestellt werden.

• in einer digital signierten E-Mail des Empfängers:
  Als Antwort auf eine solche E-Mail kann man auch das Verschlüsseln einschalten. Um auch andere E-Mails an den Adressaten zu verschlüsseln, sollte das Zertifikat dem E-Mail-Kontakt des Adressaten hinzugefügt werden.
• in der Zertifikatssuche des DFN-PKI-Portal der RUB
• in der Globalen Adressliste (GAL) des RUB-Exchangeservers:
  Exchange-Nutzer können ihr Zertifikat zusätzlich in der GAL veröffentlichen. Mailprogramme suchen hier direkt nach passenden Zertifikaten.

Die Verschlüsselung von E-Mails ist in die gängigen Mailprogramme mittlerweile recht gut integriert. Dennoch gilt es immer wieder Hürden zu überwinden:

• nicht alle Adressaten haben ein Zertifikat für S/MIME:
  Verfügen diese Adressaten über einen PGP-Schlüssel, müsste man zwei E-Mails verschicken (vorausgesetzt, man hat die erforderlichen AddOns für PGP installiert). Ansonsten bietet sich die separate Verschlüsselung von Anhängen an. Auch hier müssen sich die Kommunikationspartner auf ein Verschlüsselungsverfahren einigen.
• das Mailprogramm kennt das Zertifikat eines Adressaten nicht:
  Im Idealfall hat der Adressat dieses Zertifikat zuvor in einer digital signierten Mail verschickt - dann hilft es häufig, die Kontakte/Adressbuch mit dem Zertifikat zu verknüpfen.
  Natürlich kann man den Adressaten um Übersendung des Zertifikats bitten.
  Sofern der Adressat der Veröffentlichung seines Zertifikats zugestimmt hat, kann man dieses über das PKI-Portal des ausstellenden Einrichtung suchen. RUB-User verwenden dazu das DFN-PKI-Portal der RUB.
  Zertifikate von Exchange-Nutzern sollten zusätzlich in der Globalen Adressliste des Exchange-Servers (GAL) veröffentlicht werden, da manche Mailprogramme ausschließlich dort nach Zertifikaten suchen (Outlook: Optionen → Trust Center → Einstellungen für das Trust Center → E-Mail-Sicherheit)

Da der Empfänger einer verschlüsselten E-Mail stets den privaten Schlüssel benötigt, mit dessen öffentlichem Gegenstück die Mail verschlüsselt wurde, gilt es auf diesen gut aufzupassen. Auch nach Ablauf oder Sperrung eines Zertifikats darf man dieses nicht deinstallieren, wenn man auf alte verschlüsselte Mails zugreifen will. Auch auf neuen IT-Geräten sollte man die alten Zertifikate installieren.