Hallo Carpet,
ich habe mir lange überlegt, ob ich auf deinen Post antworten soll, da das, was du anfragst das Konzept einer Signatur/Verschlüsselung mit Zertifikaten unterminiert und somit eventuell nicht ernsthaft gefragt sein könnte. Da ich letzteres nicht annehme, möchte ich wie folgt antworten.
Das Konzept einer Signatur/Verschlüsselung mit Zertifikaten (S/MIME oder PGP/GPG) basiert auf einem privaten und öffentlichen Schlüssel. Dabei muss der private Schlüssel geheim bei EINER Person (keiner Gruppe) liegen.
Bei einer Signatur wird z.B. der Hashwert einer eMail mit dem privaten Key verschlüssel. Der Empfänger kann mit deinem öffentlichen Key den verschlüsselten Hashwert entschlüsseln und somit prüfen, ob deine Mail verändert worden ist. Da nur der Sender den privaten Key besitzt, ist ein erfolgreiches Entschlüsseln mit dem privaten Key auch ein Indiz, dass die Mail vom Sender stammt (digitale Unterschrift).
Beim Verschlüsseln einer Mail wird der öffentlichen Key des Empfängers verwendet. Dieser muss seinen geheimen privaten Key nutzen, um die Mail zu entschlüsseln. Dies bedeutet, der Empfänger muss einen eigenen privaten Key besitzen. Hat er diesen nicht, darf er keine verschlüsselte Mail erhalten.
Das Verhalten von Evolution ist somit korrekt und darf die von dir gewünschte Funktionalität nicht anbieten. Es ist eher "bedenklich" (security issue), dass dies mit TB möglich ist und sollte schleunigst korrigiert werden.
Die von dir beschriebene Möglichkeit der "group" bei GPG ist eine Vorgehensweise bei der Nutzung unterschiedlicher Accounts EINER Person. Niemals jedoch dürfen mehrere Personen im Besitz des gleichen privaten Keys sein. Sollte dieser Verdacht bestehen, müssten die betroffenen Keys gesperrt und aus dem Verkehr gezogen werden (Zertifikatsperrliste). Sollte dieser Zertifikatsmissbrauch auch das Firmenzertifikat betreffen, ist dieses ebenfalls zu sperren.
Um deine Aufgabe zu lösen, sollte mit dem Firmenzertifikat die Mitarbeiterzertifikate signiert werden und jedem Mitarbeiter ein Zertifikat zugeteilt werden, für das er die Verantwortung bei Missbrauch zu übernehmen hat (Urkundenfälschung ist sonst auch kein Kavaliersdelikt).
Der mit PGP/GPG mögliche "laxe" Umgang mit Zertifikaten hat in der Vergangenheit dazu geführt, dass einige Mail Systeme PGP/GPG nicht anbieten und nur S/MIME zulassen. Es gibt die Möglichkeit, Gruppenpostfächer auch mit Zertifikaten zu nutzen doch sind hier weitere Randbedingungen zu berücksichtigen.