Первый вопрос, прикручиваете RSA ЭЦП или ГОСТ(для юр. значимости нужен ГОСТ)?
С RSA все проще, потому как он родной для виндовс.
Скорее всего нужна ГОСТ ЭЦП, тогда клиенту нужен ГОСТовский криптопровайдер, например http://www.cryptopro.ru/cryptopro/products/csp/default.htm (наиболее распространенный). На его машине, ну и на сервере где будет проходить верификация. ГОСТ криптопровайдеры все платные, а еще нужно получать ЭЦП в Удостоверяющем Центре, тоже стоит денег и желательно записывать ее на специальный ключевой носитель, например, Рутокен или e-Token, хотя бывает пишут в реестр или на дискету, но это не самый безопасный вариант и он противоречит требованиям ФСБ, вроде как.

Теперь по схеме, через почту теоретически можно, но я думаю предпочтительней это делать прям на страничке через СОМ обьекты http://msdn.microsoft.com/en-us/library/aa387722(v=VS.85).aspx или копайте в сторону http://www.cryptopro.ru/cryptopro/products/cades/sdk.htm или http://www.cryptopro.ru/cryptopro/products/jcp/default.htm в случае ГОСТ ЭЦП, либо другие решения конкурентов КриптоПро.

Если использовать почту, то если стоит Криптопровайдер и в систему установлен сертификат пользователя (и его мейл совпадает с прописанным в сертификате), то любой почтовый клиент сам умеет подписывать и проверять файлы. Проверять программно почтовые сообщения не пробовал, но думаю проблем не составит, можно готовую утилиту поискать которую можно было бы встроить.

ЭЦП бывают присоедененные и разделенные, обычны и усовершенствованные, все это можно почитать в ссылках, которые я дал.

PS: Сами планируем подобные схемы в своей системе реализовывать, хотя пока положительного опыта нет, просто изыскания проводили немного дольше, так что если у вас будет положительный опыт буду рад пообщаться :)