NorbertFe 2.034 Geschrieben 9. April 2018 Melden Teilen Geschrieben 9. April 2018 Und noch viel besser, wenn du ein Postfach hast, was kein Zertifikat hat, dann bekommst du immer wieder Fehlermeldungen. :) Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 9. April 2018 Autor Melden Teilen Geschrieben 9. April 2018 (bearbeitet) Es werden alle Postfächer die eingebunden sind mit Zertifikaten bestückt. Kostet ja auch nicht wirklich ne Lawine ($29/3J) und der Anzahl non-pers Postfächer ist sehr überschaubar. Die Lösung mit dem Gateway ist bei uns leider überhaupt nicht einsetzbar. EDIT: Aber ich sehe gerade Outlook legt automaitsch ein Profil an, wenn er das Zertifikat im Store findet... auch nicht schlecht. bearbeitet 9. April 2018 von kosta88 Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 9. April 2018 Melden Teilen Geschrieben 9. April 2018 vor 51 Minuten schrieb kosta88: Die Lösung mit dem Gateway ist bei uns leider überhaupt nicht einsetzbar. Warum das? :) Ja, in der Hoffnung, dass es dann eben auch alles so funktioniert, wie man es gern hätte. Kannst ja mal berichten. Bye Norbert Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 9. April 2018 Autor Melden Teilen Geschrieben 9. April 2018 Weil, wenn ich das richtig verstehe, das eine Lösung ist, die wir in unserer gehosteten Umgebung nicht verwenden können. Gerne. Mache sowieso zuerst Tests in einem engeren Benutzer-Kreis. Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 12. April 2018 Melden Teilen Geschrieben 12. April 2018 Am 6.4.2018 um 13:53 schrieb NorbertFe: Danke. Das wäre nett. Habe grade mit der Abteilung telefoniert und mit der neuen SEPPMail-basierten Verschlüsselung geht es, wie erwähnt, nicht mehr. Wenn man an bestimmte Empfänger (oder Domains) _immer_ verschlüsselt senden will, "muss man sich selber drum kümmern" (z.B. durch entsprechende Transportregel am Exchange). Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 12. April 2018 Melden Teilen Geschrieben 12. April 2018 vor 58 Minuten schrieb testperson: (z.B. durch entsprechende Transportregel am Exchange) Hattest du oben ja schon beschrieben. Wie regelt man das denn in Verbindung mit Datev? Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 12. April 2018 Melden Teilen Geschrieben 12. April 2018 vor 12 Minuten schrieb NorbertFe: Hattest du oben ja schon beschrieben. Wie regelt man das denn in Verbindung mit Datev? An welcher Stelle soll denn jetzt was geregelt werden? Irgendwie scheine ich den Faden verloren zu haben. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 12. April 2018 Melden Teilen Geschrieben 12. April 2018 Früher hat man serverseitig die Zertifikate (bei Datev) ja hinterlegt. Das scheint offenbar jetzt nicht mehr möglich zu sein. Also wie sollte der Exchange durch irgendeine Transportregel dafür sorgen, dass ein Mail zwangsweise verschlüsselt wird? Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 12. April 2018 Melden Teilen Geschrieben 12. April 2018 Vor lauter AAA vServer, Content Switch und Authentication Policies bin ich grade wohl ein wenig neben der Spur.. Aber jetzt habe ich es verstanden. :-D Z.B.: Durch eine Transportregel, die dem Betreff der Mail das Schlüsselwort [confidential], {gesichert} oder {si} hinzufügt. Die letzten beiden scheinen noch zu funktionieren, obwohl das eigentlich die "Schlüsselwörter" der alten E-Mail-Verschlüsselung waren. https://www.datev.de/dnlexom/client/app/index.html#/document/1001067 / https://www.datev.de/dnlexom/client/app/index.html#/document/1071313 Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 12. April 2018 Melden Teilen Geschrieben 12. April 2018 BEsten Dank, muß ich mal testen und werde berichten :) Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 14. April 2018 Melden Teilen Geschrieben 14. April 2018 Moin, Frank Carius, unser Deutscher Exchange und Lync/S4B "Papst" hat sich auch dazu schon Gedanken gemacht: http://www.msxfaq.de/signcrypt/ende_zu_ende_verschluesselung.htm Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 17. April 2018 Autor Melden Teilen Geschrieben 17. April 2018 Hier mal noch eine Frage: Angenommen wird setzen dann die öffentlichen Zertifikate ein, wie schon oben erwähnt, und verschlüsseln damit die Emails (bzw. empfangen verschlüsselte E-Mails). Normalerweise werden gewisse E-Mails ja irgendwo im Outlook abgelegt, Archiv-Ordner oder was weiß ich - jeder wie er will, eigentlich. Dann liegen nämlich verschlüsselte E-Mails dort. So lange das Zertifikat im System existiert, ist es ja kein Problem, damit kann man die E-Mails auch zukünftig entschlüsseln. Aber, was wenn das Zertifikat nach 3 Jahren abläuft? Dann muss man ja ein neues Zertifikat erstellen und dieses überschreibt ja das alte Zertifikat im Zertifikats-Store, oder?? Damit lassen sich ja die alte E-Mails dann nicht mehr entschlüsseln. Wie soll man damit vorgehen? Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 17. April 2018 Melden Teilen Geschrieben 17. April 2018 Normalerweise erstellt man kein neues Zertifikat, sondern verlängert das bestehende. Dann bleibt der Private Key gleich und man kann auch die alten Mails noch entschlüsseln. Aber die Thematik "verschlüsselte Daten im Backup/Archiv" ist trotzdem zu beachten. Hier haben Gateway-Lösungen den Vorteil, dass die Mails erst verschlüsselt werden, wenn sie das interne Netzwerk verlassen, und beim Empfang gleich entschlüsselt werden. Ist die Verschlüsselung auf dem Client terminiert, funktionieren auch diverse andere Sachen nicht: Exchange-Transportregeln, Gateway-Antivirus, DLP... Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 17. April 2018 Melden Teilen Geschrieben 17. April 2018 Moin, auch das gehört zu den Grundproblemen der Mailverschlüsselung, die eine Verbreitung der Technik effektiv verhindern. Wie mwiederkehr schon sagt, kann man grundsätzlich das bestehende Zertifikat mit dem bestehenden Private Key verlängern - dann nutzt man dieses Zertifikat auch, um auf die "alten" Mails zuzugreifen. Es kann aber sein, dass man diese Form der Verlängerung nicht nutzen kann, weil z.B. die CA das nicht zulässt. In dem Fall muss man den privaten Schlüssel selbst archivieren, um ihn bei Bedarf zu nutzen. Dass das Zertifikat irgendwann abgelaufen ist, ist in dem Szenario nicht von Relevanz. Den privaten Schlüssel zu archivieren, ist ohnehin notwendig, denn der kann ja vom System verloren gehen (Profil gelöscht, Rechner kaputt ...) - lösen muss man das Problem also ohnehin. Sobald man Ende-zu-Ende verschlüsselt, wird es kompliziert und aufwändig. Das lässt sich nicht ändern. Daher prüfe man genau, ob man das wirklich braucht und baue vorher (!) die zugehörigen Prozesse auf. Bei der Gateway-Verschlüsselung darf man übrigens berechtigt die Frage stellen, welchen Vorteil man gegenüber der reinen Transportverschlüsselung hat. Das hängt vom Szenario ab, aber auch hier sollte man den Bedarf prüfen. Gruß, Nils Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 17. April 2018 Autor Melden Teilen Geschrieben 17. April 2018 (bearbeitet) Danke an euch beide. Ich habe mittlerweile klären können, dass wir eine Gateway-Lösung eventuell implementieren können. Zum Thema Zertifikat-Verlängerung: Es wird mir geschrieben dass man das Zertifikat nicht verlängern kann, jedoch wenn man ein neues Zertifikat kauft, überschreibt dieses nicht das alte Zertifikat, und beide bleiben im System bestehen - und damit kann man die alte Emails entschlüsseln. Zum Archivieren stimme ich ja zu: das muss man sich dann genau überlegen wie. bearbeitet 17. April 2018 von kosta88 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.