Hallo Karl-Heinz,
dieses Verhalten ist korrekt so. E-Mail-Verschlüsselung setzt voraus, dass ich den Öffentlichen Schlüssel von meinem Kommunikationspartner habe. Diesen bekomme ich zum Beispiel über eine signierte E-Mail von demjenigen. Die PKI in Eurem Netzwerk erstellt lediglich die Schlüsselpaare für Eure Mitarbeiter, bestehend aus dem privaten und dem öffentlichen Schlüssel. Der private Schlüssel wird auf der Workstation des Users installiert und verlässt den Rechner normalerweise nicht. Der öffentliche Schlüssel wird verteilt, zum Beispiel mit jeder signierten, ausgehenden E-Mail. Der Kunde nimmt dann den öffentlichen Schlüssel Eures Mitarbeiters und verschlüsselt die E-Mail damit. Der Mitarbeiter bei Euch hat den passenden privaten Schlüssel auf seiner Maschine installiert und kann daher die E-Mail entschlüsseln und lesen. WICHTIGE EINSCHRÄNKUNG: Er kann die E-Mail nur an der Workstation lesen, auf der der private Schlüssel installiert ist!
Wenn Du also an jemanden nicht verschlüsseln kannst, musst Du zunächst den öffentlichen Schlüssel des Gegenübers anfordern. Hat er keinen, weil er sich noch kein Zertifikat besorgt hat, kann auch keine Verschlüsselung stattfinden. Alternativen sind dann passwortgeschützte PDF - oder ZIP-Dateien. Um dies zu vereinfachen gibt es entsprechende Gateways, die das für Dich erledigen. Gateways können auch die komplette Verschlüsselung und Entschlüsselung übernehmen, so dass die Zertifikate nicht mehr auf den Clients liegen, sondern zentral auf dem Gateway. Der Benutzer bei Dir bekommt dann die E-Mail in entschlüsselter Form. Vorteil: Er kann sie an jeder Workstation lesen und auch problemlos mit Smartphones synchronisieren! Unter xxxxxxxx findest Du einige Informationen zu diesem Thema.
Gruß Stefan
Edit: Ich habe die Werbelinks entfernt. (Verstoß gegen unsere Foren-Regeln 
Werbung) Mod. graba