Een S/MIME-versleutelde e-mail naar PDF converteren (zonder je sleutels af te geven)

Je opende de e-mail en las hem prima. Toen je hem naar PDF wilde converteren, weigerde de tool, of kreeg je een nutteloos smime.p7m-bestand. Het korte antwoord: je kunt een versleutelde e-mail niet zomaar uploaden, want het bestand bevat nog steeds de afgesloten envelop, niet de tekst die je op je scherm zag. Je maakt eerst een onversleutelde kopie door het bericht naar jezelf door te sturen met versleuteling uit, en converteert daarna die kopie. Je uploadt nooit je privésleutel naar wie dan ook.

Dat onderscheid is belangrijk voor advocaten, notarissen en iedereen die gevoelige correspondentie archiveert. Het ontsleutelen moet gebeuren op jouw machine, waar je sleutel al staat. Deze gids legt uit waarom, en loopt de veilige methode stap voor stap door.

Kort samengevat

• Een versleuteld e-mailbestand (smime.p7m) bevat een afgesloten envelop. Je e-mailprogramma ontsleutelt die alleen voor weergave, niet om op te slaan.

• "Opslaan als .msg" of de e-mail naar je bureaublad slepen bewaart die nog-versleutelde envelop, dus elke converter krijgt een onleesbaar bestand.

• De betrouwbare oplossing: open de e-mail, stuur hem naar je eigen adres door met versleuteling uit, en converteer de ontvangen kopie.

• Upload nooit een .pfx- of .p12-privésleutel naar een online dienst. Een .cer-certificaat is alleen de publieke sleutel en kan niets ontsleutelen.

• Ondertekende e-mails (smime.p7s) zijn volledig leesbaar en converteren zonder problemen. Alleen versleutelde e-mails (smime.p7m) worden geblokkeerd.

Wat betekent "S/MIME-versleuteld" eigenlijk?

S/MIME is de standaard die e-mail beveiligt met een paar cryptografische sleutels, vastgelegd in RFC 8551 (IETF, 2019). Elke deelnemer heeft een publieke sleutel, waarmee iedereen een bericht kan versleutelen, en een privésleutel, die alleen de eigenaar bezit. De twee zijn wiskundig verbonden maar niet uitwisselbaar.

Wanneer iemand je een versleutelde e-mail stuurt, sluit hij die af met jouw publieke sleutel. Vanaf dat moment kan alleen jouw privésleutel hem openen. De standaard verpakt het resultaat in een PKCS#7-envelop, het smime.p7m-onderdeel dat je soms als bijlage ziet.

Daarom toont je eigen Outlook of Apple Mail het bericht gewoon leesbaar. Je privésleutel zit al in dat e-mailprogramma, dus het ontsleutelt de envelop op het moment dat je de e-mail opent. Een losse dienst heeft die sleutel niet, en de wiskunde geeft hem geen sluiproute.

S/MIME sluit een e-mail af met de publieke sleutel van de ontvanger. Alleen hun privésleutel, die al in hun e-mailprogramma zit, kan hem openen.

Waarom kan PDFen (of welke online tool dan ook) mijn versleutelde e-mail niet gewoon openen?

Geen enkele online converter kan je versleutelde e-mail lezen, want ontsleutelen vereist je privésleutel, en geen verantwoorde dienst zal daar ooit om vragen. PDFen detecteert S/MIME-versleutelde e-mails bewust en slaat ze over, in plaats van te vragen om sleutels die het niets aangaan.

Hier gaat het bij veel mensen mis. Het "certificaat" dat je misschien deelt, een .cer- of .crt-bestand, is alleen de publieke sleutel. Het kan versleutelen, maar niet ontsleutelen. Het naar een dienst sturen doet niets om je mail te openen.

De privésleutel is iets anders. Die zit in een .pfx- of .p12-bestand, het PKCS#12-formaat beschreven in RFC 7292 (IETF). Dat bestand is je digitale identiteit. Wie het bezit, kan elk versleuteld bericht lezen dat je ooit hebt ontvangen en correspondentie ondertekenen als jou.

Voor een advocatenkantoor of notaris is het uploaden van dat bestand naar een webdienst een serieus aansprakelijkheidsrisico, geen gemak. Daarom kiest PDFen voor de tegenovergestelde aanpak. Als het een versleutelde e-mail aantreft, meldt het de reden en gaat het verder. De huidige melding luidt: "Deze e-mail is S/MIME-versleuteld en kan niet worden geconverteerd. Ontsleutel de e-mail eerst met uw e-mailprogramma en probeer het opnieuw."

Waarom levert "Opslaan als" alsnog een onleesbaar bestand op?

Een versleutelde e-mail opslaan bewaart de afgesloten envelop, niet de tekst op je scherm, want je e-mailprogramma ontsleutelt alleen voor weergave. Dit is de valkuil die de meeste mensen treft, en bijna geen gids legt het uit.

Bedenk wat Outlook eigenlijk doet. Wanneer je een versleuteld bericht opent, ontsleutelt het de inhoud in het geheugen zodat je het kunt lezen. Maar het bericht op schijf blijft onveranderd. "Opslaan als .msg" of de e-mail naar je bureaublad slepen kopieert de oorspronkelijke smime.p7m-envelop, nog steeds afgesloten.

Dus je uploadt dat opgeslagen bestand in de verwachting van de leesbare e-mail, en de converter krijgt cijfertekst. Volgens Microsoft Support kan versleutelde en rechten-beschermde mail ook het afdrukken blokkeren, dus "Afdrukken naar PDF" mislukt soms om dezelfde reden. Het ontsleutelen is voor jouw ogen, niet voor export.

"Opslaan als" behoudt de afgesloten envelop, dus de converter krijgt cijfertekst. De e-mail naar jezelf doorsturen met versleuteling uit levert een kopie op die PDFen wél kan lezen.

Hoe converteer je een versleutelde e-mail veilig naar PDF?

Stuur de e-mail naar jezelf door met versleuteling uit, en converteer daarna de kopie die je ontvangt. Dit werkt in elke Outlook-versie, houdt je privésleutel op je machine, en geeft PDFen een schoon bestand om te verwerken.

Volg deze stappen in Outlook:

1. Open de versleutelde e-mail. Hij ontsleutelt automatisch op het scherm, omdat je privésleutel er al is.

2. Klik op Doorsturen, niet op Opslaan als. Bij doorsturen wordt het bericht opnieuw opgebouwd uit de ontsleutelde inhoud.

3. Zorg op het tabblad Opties dat Versleutelen UIT staat. Outlook neemt de oorspronkelijke versleuteling soms mee in het doorsturen, wat het doel onderuithaalt. Controleer dit elke keer.

4. Stuur het bericht naar je eigen e-mailadres.

5. Open de kopie die je ontvangt. Die is nu onversleutelde, gewone e-mail.

6. **Sla die kopie op als .eml of .msg**, en upload hem naar PDFen's e-mail-naar-PDF-tool.

Je privésleutel verlaat je computer nooit. Het ontsleutelen gebeurt precies waar het hoort, bij de eigenaar van de sleutel, en alleen het schone resultaat reist verder.

Apple Mail volgt dezelfde logica. Open het ontsleutelde bericht, en stuur het dan zonder S/MIME-versleuteling door of als omleiding naar jezelf. Exporteer de ontvangen kopie en upload die.

Waarom niet gewoon zelf naar PDF afdrukken? Dat kan, maar dan mis je wat PDFen toevoegt: geconverteerde bijlagen, volledige headers en metadata als bewijs, en nette PDF/A-archivering. De doorsturen-naar-jezelf-route geeft PDFen een complete, leesbare e-mail die het volledig kan verwerken.

Een .cer- of .crt-bestand is alleen de publieke sleutel en kan niets ontsleutelen. De privésleutel zit in een met wachtwoord beschermd .pfx- of .p12-bestand dat je machine nooit zou moeten verlaten.

Ondertekend vs. versleuteld: welke e-mails converteren wél?

Ondertekende e-mails converteren zonder enig probleem; alleen versleutelde e-mails worden geblokkeerd. Dit onderscheid is belangrijk omdat forumdraadjes de twee voortdurend door elkaar halen, en de oplossing volledig verschilt.

Een ondertekende e-mail draagt een smime.p7s-bijlage of gebruikt multipart/signed. De handtekening bewijst wie het bericht heeft verstuurd en dat het niet is gewijzigd, maar de inhoud blijft volledig leesbaar. PDFen converteert deze zonder klagen.

Een versleutelde e-mail draagt smime.p7m met enveloped-data, volgens RFC 8551 (IETF, 2019). De inhoud is afgesloten. Alleen dit type activeert de overslag van PDFen.

Je ziet de verwarring terug in echte draadjes. Een Microsoft Q&A-gebruiker kon PDF-bijlagen op zijn desktop openen, maar zag alleen smime.p7m op Outlook voor Android. Een melding op het EspoCRM-forum ging over een ondertekend, niet versleuteld, bericht waarbij de verwerking toch vastliep. Hetzelfde symptoom, een andere oorzaak.

En juridisch bewijs of forensische zaken?

Voor bewijswerk kan de e-mail-bewijs-modus van PDFen nog steeds een authenticiteitsrapport maken voor een versleutelde e-mail, ook al ontsleutelt het de inhoud niet. Het legt vast dat het bericht ondertekend of versleuteld was, wat op zichzelf al een feit is dat het bewaren in een dossier waard is.

Dit telt voor juridisch personeel en notarissen die een verdedigbare keten nodig hebben in plaats van alleen een leesbare kopie. Het rapport legt structurele en authenticiteitsdetails vast zonder ooit je privésleutel aan te raken. Heb je ook de werkelijke inhoud nodig, gebruik dan eerst de doorsturen-naar-jezelf-methode, en haal de onversleutelde kopie daarna door de tool.

Voor alledaagse archivering is de gewone e-mail-naar-PDF-flow voldoende, zodra je een schoon, onversleuteld bestand hebt.

PDFen vs. Adobe Acrobat voor versleutelde e-mail

Beide kunnen een PDF maken, maar ze nemen een andere route. Acrobat is krachtig en desktopgebaseerd; PDFen is online en wil je sleutels nooit.

Als je sleutels al op je eigen desktop zijn ingesteld, kan Acrobat het bericht lokaal verwerken. PDFen kiest bewust om volledig buiten je sleutelopslag te blijven, wat past bij teams die geen privésleutel in de buurt van een webdienst kunnen brengen.

Veelgestelde vragen

Waarom zie ik alleen een smime.p7m-bestand in plaats van de e-mailinhoud?

Het smime.p7m-bestand is de versleutelde envelop. Je e-mailprogramma kon het niet ontsleutelen voor weergave, vaak omdat de privésleutel op dat apparaat ontbreekt. Het Microsoft Q&A-draadje laat dit gebeuren op Outlook voor Android terwijl de desktop hem prima opent.

Waarom komt mijn opgeslagen .msg van een versleutelde e-mail er nog steeds versleuteld uit?

Omdat "Opslaan als" de oorspronkelijke afgesloten envelop kopieert, niet de tekst op het scherm. Je programma ontsleutelt alleen voor weergave. Stuur de e-mail in plaats daarvan naar jezelf door met versleuteling uit, en sla daarna de ontvangen kopie op.

Kan ik de versleutelde e-mails gewoon als bijlage aan een nieuwe mail hangen en naar mezelf sturen?

Nee, en dit is dezelfde valkuil als "Opslaan als". Wanneer je een e-mail als bijlage meestuurt (erin slepen, of "Doorsturen als bijlage"), voeg je het opgeslagen berichtbestand toe, en dat is bij een versleutelde e-mail nog steeds de afgesloten smime.p7m-envelop. De buitenste mail die je verstuurt is onversleuteld, maar elk bijgevoegd bericht blijft afgesloten, dus PDFen pakt ze uit en stuit alsnog op versleutelde bestanden. Gebruik in plaats daarvan Doorsturen inline, met versleuteling uit, zodat je programma het bericht opnieuw opbouwt uit de ontsleutelde inhoud in de body.

Kan ik een versleutelde Outlook-e-mail naar PDF converteren zonder mijn privésleutel te uploaden?

Ja. Stuur de e-mail naar je eigen adres door met de optie Versleutelen uit, open de kopie die je ontvangt, sla hem op als .eml of .msg, en upload die. Je privésleutel verlaat je computer nooit.

Wat is het verschil tussen een ondertekende (smime.p7s) en een versleutelde (smime.p7m) e-mail?

Een ondertekende e-mail bewijst herkomst en integriteit maar blijft volledig leesbaar. Een versleutelde e-mail sluit de inhoud af zodat alleen de privésleutel van de ontvanger hem kan openen, volgens RFC 8551. Alleen versleutelde e-mails blokkeren de conversie.

Moet ik mijn .cer- of .pfx-certificaat naar een online dienst sturen om versleutelde mail te lezen?

Nee, en dat zou je niet moeten doen. Een .cer-bestand is alleen de publieke sleutel en kan niets ontsleutelen. Een .pfx- of .p12-bestand bevat je privésleutel, je volledige digitale identiteit, en het ergens uploaden is een beveiligingsrisico.

Waarom kan ik de e-mail wel op mijn desktop lezen maar niet op mijn telefoon?

Je privésleutel is geïnstalleerd op de desktop maar meestal niet op de telefoon. Zonder die sleutel toont Outlook voor Android of iOS de ruwe smime.p7m-envelop in plaats van het ontsleutelde bericht.

Converteer je e-mail zodra die ontsleuteld is

Zodra je een schone, onversleutelde kopie hebt, is converteren eenvoudig. Upload het .eml- of .msg-bestand naar PDFen's e-mail-naar-PDF-tool, en die verwerkt de inhoud, bijlagen en headers, met PDF/A-archivering.

Voor juridisch of forensisch werk voegt e-mail-bewijs een authenticiteitsrapport toe. Het legt vast of een bericht ondertekend of versleuteld was, zelfs wanneer het de afgesloten inhoud niet kan lezen, wat je een verdedigbaar dossier geeft.

Het principe blijft overal hetzelfde: ontsleutel waar je sleutel al is, en converteer de schone kopie. Je privésleutel heeft geen reden om ergens heen te reizen.

Daan van Tongeren, oprichter van PDFen.