email encryption - one external user, many internal

This is exactly what Astaro does.

The Astaro will encrypt an outbound email when it comes from an internal user configured in Encryption and is addressed to a Recipient for whom an S/MIME Certificate or GPG Public Key is available.  If the Sender is not configured in "Mail Security >> Encryption', the email won't be encrypted even if there is a cert or key available for the Recipient.  If there is no cert/key in the Astaro for the Recipient, the email will not be encrypted even if the Sender is configured as an internal user.

Certificates are preferred, so if both a cert and key are avaiable for a Recipient, the cert will be used for encryption.  Depending on the remote user's email client, the easiest probably is to have him set up his encryption inside his client.  If you use certs, he can send you a signed or encrypted email and the cert will be captured automatically by the Astaro, so you won't have to upload it manually.  You will need to send him the certs of your internal users so that his client can decrypt emails from your Senders.

Cheers - Bob
PS KnowledgeBase Article #235583 will give you detailed explanations and instructions.

Sounds like worth a test. One more question: Is it possible that I just set up that one external user in the "internal user" tab and use this certificate at his client side? I don't want to set up an authority myself and I don't really want to buy one either.

That's worth a try.  I don't know why it wouldn't work.  I'll be interested to see if that does work.  Before you upload his PEM file on the 'S/MIME Certificate' tab, I suspect you'll need to delete him as an internal user after you've downloaded the PEM and PKCS#12 files.

Cheers - Bob

okay, I tried this.

it works for outgoing mail, the external user can decrypt it with the certificate I exported from the astaro (and imported to the external certificats again - then deleted the user).
but when I answer from external account, astaro doesn't decrypt the message and just forwards it to the mailserver encrypted.

Try Voltage SecureMail and identity based encryption

Voltage SecureMail can easily send encrypted email to anyone.

Voltage SecureMail has Outlook plug-ins or you can use a web interface for sending encrypted email.  Messages are completely controlled by the sender and recipient in their sent folder and inbox.  No messages are stored on servers.

Recipients don't need any special software to decrypt and read their messages, just a browser.  And recipients don't need to pay to read their email.  In fact, they even get free support from Voltage.  It's much easier to use than PGP, S/MIME or other older solutions...and just as secure...which is probably why they can afford to offer free support to their customers and recipients...unlike those other solutions.

I've used PGP and SMIME for years and rarely got non-techies to jump through the hoops to get private keys and certificates.  Voltage SecureMail makes it a lot easier.

They have a free trial at:  www.voltage.com/vsn

Is it just me or does anyone else feel supported by a "marketing guy"...