S.R. 14 Geschrieben 6. Dezember 2011 Melden Teilen Geschrieben 6. Dezember 2011 Hallo, momentan beschäftige ich mich mit der Implementation der S/MIME-Verschlüsselung und Signierung in die bestehende E-Mail-Infrastruktur (Exchange 2010 mit Outlook 2010). Zum Test habe ich mir zwei öffentliche Zertifikate von VeriSign organisiert und der Umgang mit Outlook 2010 funktioniert reibungslos. Nun bereitet mir nur noch die Implementierung von OWA Probleme. MSXFAQ.DE - SMIME mit OWA2010 Nach obiger Anleitung müsste es unter den Einstellungen eines Benutzerpostfaches den Reiter "S/MIME" geben - doch der erscheint bei mir am Client nicht - nur weiß ich nicht wieso... Aktuell verwende ich Windows 7 (inkl. aller ServicePacks und Updates) und nutze den Internet Explorer 9. Im Internet habe ich gelesen, dass der "/owa"-Zugriff über https erfolgen muss - diese Bedingung habe ich erfüllt, denn auf OWA greife ich problemlos über die Domain "https://exchange.meineDomain.de/owa" (verwende dazu ein öffentliches Zertifikat) zu. Gibt es weitere Voraussetzungen die ich erfüllen muss? Wenn ja welche? Oder muss ich auf Server-Seite noch etwas installieren, damit die Option am Client angezeigt wird? Oder kann man die owasmime.msi auch wo anders runterladen? Bin für jeden Tipp dankbar! Gruß Stefan Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 6. Dezember 2011 Melden Teilen Geschrieben 6. Dezember 2011 Moin, da S/MIME über ein ActiveX läuft, musst Du den Server eventuell noch eine Internet Zone verschieben, wo die Nutzung von ActiveX erlaubt ist. Zitieren Link zu diesem Kommentar
S.R. 14 Geschrieben 7. Dezember 2011 Autor Melden Teilen Geschrieben 7. Dezember 2011 Hi, vielen Dank für dein Feedback. Habe die Seite "https://exchange.meineDomain.de/owa" zu den vertrauenswürdigen Seiten des IE hinzugefügt und für diese Gruppe die Sicherheitsstufe auf "sehr niedrig" gestellt. Nur dass wir uns nicht missverstehen: Die S/MIME-Option wird gar nicht angezeigt, soll heißen, ich habe das MSI-Paket für die Installation noch gar nicht erhalten (bzw. kriege es nicht angezeigt) und noch nicht installieren können. Und wenn ich es richtig deute, dann wird dafür (also für den Download) doch gar kein ActiveX benötigt, oder? Danke und Gruß Stefan Zitieren Link zu diesem Kommentar
ara 10 Geschrieben 7. Dezember 2011 Melden Teilen Geschrieben 7. Dezember 2011 greifst du evtl. über einen Proxy darauf zu? Der Reiter wird nur bei Benutzung des IE angezeigt. Wenn nun evtl. irgendwas den User-Agent ändert ... Btw finde ich den Ansatz über ein Verschlüsselungs-Gateway (z.B. kostenlos Djigzo Open Source Email Encryption - Centrally managed open source email encryption at the gateway level and on mobile devices) besser. Damit müssen die Zertifikate nichtmehr auf dem Client installiert werden, du hast freie Browserauswahl für OWA, und auch keinen Aufwand Verschlüsselung für mobile Geräte wie Iphone und Blackberry zu bieten. Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 7. Dezember 2011 Melden Teilen Geschrieben 7. Dezember 2011 Dafür wäre es aber keine end-to-end Verschlüsselung. ;) Bye Norbert Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 7. Dezember 2011 Melden Teilen Geschrieben 7. Dezember 2011 Moin, und es würde mich interessieren, wie ich damit wirklich Verschlüsselung kann, denn dafür brauche ich den Schlüssel des EMPFÄNGERS. Und alle weltweit mögliche Empfänger mit ihren Keys wird die Software wohl nicht kennen (und intern brauche ich das eher nicht, dass macht dann AD alleine). Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 7. Dezember 2011 Melden Teilen Geschrieben 7. Dezember 2011 Es gibt Boxen, die strippen automatisch den public Key aller signierten Mails und können demzufolge ausgehend alle Mails an diesen Empfänger wieder verschlüsselt versenden. Dauert natürlich eine Weile, oder erfordert vorab administrativen Aufwand, die Schlüssel zu hinterlegen. Bye Norbert Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 8. Dezember 2011 Melden Teilen Geschrieben 8. Dezember 2011 Moin, klar, dass setzt aber voraus, dass die Empfänger, denen ich eine Mail schicken will, mir vorher eine signierte Mail geschickt haben. Ich bin ehrlich: In 11 Jahren Exchange habe ich bisher eine einzige Person gesehen, die standardmäßig ihre Mails signiert: Mich.... :( In der MVP-Maillingliste gibt es ein paar, aber bei keinen Kunden macht das niemand. Zitieren Link zu diesem Kommentar
ara 10 Geschrieben 9. Dezember 2011 Melden Teilen Geschrieben 9. Dezember 2011 klar, dass setzt aber voraus, dass die Empfänger, denen ich eine Mail schicken will, mir vorher eine signierte Mail geschickt haben. Natürlich, das ist bei Zertifikats-basierter Verschlüsselung immer so, egal ob das per Outlook/Exchange oder extra Gateway passiert. Was Djigzo (und andere Gateways) aber z.B. noch können ist die ganze Mail + Anhänge in ein verschlüsseltes PDF zu packen. Das Passwort teilt man dann natürlich nicht per Mail, sondern telefonisch, per SMS etc. mit. Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 9. Dezember 2011 Melden Teilen Geschrieben 9. Dezember 2011 Natürlich, das ist bei Zertifikats-basierter Verschlüsselung immer so, egal ob das per Outlook/Exchange oder extra Gateway passiert. Ja, aber WENN ich Benutzer habe, die in der Lage sind, ihr Mails zu signieren und zu verschlüsseln (sonst würde die Schlüsselfindung mit einem Gateway nicht funktionieren), warum brauche ich dann eine Gateway? Der Grund für den Einsatz dieser Gateway liegt ja darin, dass die Benutzer es nicht machen. Wenn es Leute aber nicht machen, kann es auch nichts lernen. Und auch für die Signatur halte ich Gateway ungeeignet. Oder um es an Anlehnung meiner Signatur mal zu sagen: Solche Gateways sind eine schlechte und eigentlich technische falsche Lösung für ein Verhaltensproblem. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.