Zertifikate für Mailverkehr

[Gu4rdi4n 58]

Hi,

 

da es hier bedenken gibt, dass emails immer wieder gefälscht werden und das nicht nur von unbekannten Absendern, sondern auch von bekannten Kunden,  hab ich mir mal überlegt unsere Mails mit Zertifikaten zu versehen.

 

Kennt da jemand einen gute und relativ günstigen Anbieter, der sowas bereitstellt?

 

Mir würde es schon reichen, wenn der Kunde anhand des Zertifikats erkennen kann, dass die Mail von der richtigen Domain stammt und auch nicht manipuliert wurde

 

Gefunden hab ich sowas:

https://www.sslplus.de/ssl/zertifikate/quovadis/quovadis-secure-e-mail-pro-zertifikat.html

 

Sehe ich das richtig, dass das Zertifikat nicht pro person, sondern pro organisation bezahlt werden muss?

 

Kann mir da jemand infos zu geben?

 

[NorbertFe 2.035]

Ist halt die Frage, ob du sowas bis zum Enduser durchziehen willst/kannst. In Firmen ist das in den seltensten Fällen wirklich zu handhaben, da habe ich viele Gatewaylösungen gesehen, die sowas bieten. Die wickeln dann auch die Beschaffung der einzelnen Userzertifikate ab.

Und ja, das war einer der Gründe, warum ich bei uns darauf gedrungen habe, sowas zu implementieren - Authentizität. ;)

 

Bye

Norbert

[Gu4rdi4n 58]

Hi Norbert,

 

hast du schon erfahrungen mit dkim? (bevorzugt in O365)

bearbeitet 21. November 2018 von Gu4rdi4n

[NorbertFe 2.035]

Nein hab ich nicht. Wobei dir das aber auch nicht unbedingt bei sehr vielen helfen dürfte. Outlook soll das zwar irgendwo anzeigen, aber habe ich noch nirgends live gesehen.

[Gu4rdi4n 58]

vor 1 Minute schrieb NorbertFe:

Nein hab ich nicht. Wobei dir das aber auch nicht unbedingt bei sehr vielen helfen dürfte. Outlook soll das zwar irgendwo anzeigen, aber habe ich noch nirgends live gesehen.

Ah ok. Ja im Header solls drin stehen.

 

Darf man fragen was für ein Gateway du nutzt?

[NorbertFe 2.035]

Wir nutzen Z1 SecureMail Gateway https://www.zertificon.com/loesungen/email-verschluesselung-gateway

Ähnliche Lösungen gibts aber auch von https://www.nospamproxy.de/de/produkt/nospamproxy-encryption/ oder https://www.seppmail.de/produkte/secure-e-mail-gateway/

 

Die letzteren kenne ich nur vom Namen, aber ich vermute die bieten alle ähnliche Funktionalität. Irgendeiner meiner Kunden hatte auch mal was "preiswerteres" gefunden, aber da fehlten dann eben die Komfortfunktionen. ;)

 

Bye

Norbert

[testperson 1.680]

Preiswert? Graaaatis: https://www.ciphermail.com/gateway.html ;)

Aber keine Ahnung was das Teil alles kann.

[NorbertFe 2.035]

Ja genau. Das wars glaub ich. :)

[Gu4rdi4n 58]

Cool, danke! Werd ich mir alles mal ansehen. Hoch sicher musses nicht unbedingt sein. Soll halt nur dem Empfänger ein gültiges Zertifikat zeigen.

 

[NorbertFe 2.035]

Naja was heißt hochsicher? Es sollte den Zweck erfüllen den man an S/MIME (oder ggf. PGP) hat. 

[Gu4rdi4n 58]

Mit hochsicher meinte ich Verschlüsselungslösungen die einen Token oder ein Passwort erfordern um die Mail nachher lesen zu können.

 

[NorbertFe 2.035]

Das fällt zwangsweise mit ab. Liegt am zertifikatsprinzip. Die Passwortalternativen sind afaik bei allen zusatzoptionen. 

[Gu4rdi4n 58]

Hab nochmal ne Frage dazu.

 

Wie ist das denn bei dir im regulären betrieb?

Ich meine, die meisten Firmen setzen keine Verschlüsselung ein. Habt ihr viele Kunden die sich beschweren, dass das mit dem Passwortgeschützten PDF zu aufwändig ist?

Ich meine, mich persönlich würde es nerven, wenn ich jedes Mal das Passwort eingeben müsste. 

[NorbertFe 2.035]

Das ist ja erstens eine organisatorische Frage und zweitens auch kein Zwang.

Wenn organisatorisch festgelegt ist, dass Mails bestimmter Absender/Empfängerkombinationen zu verschlüsseln sind, dann ist das eben der Fallback, wenn der Empfänger kein s/mime Zertifikat hat.

Wenn der Empfänger kein s/mime Zertifikat nutzt, wie sollte ich ihm denn sonst eine gesicherte Kommunikation ermöglichen? Also "wasch mich, aber mach mich nicht naß" funktioniert auch hier nicht. ;)

Das Problem bei den PDF Mails (aller Hersteller) ist ja, dass die Empfänger ihre Passworte vergessen und dann ändern. Das gilt natürlich nicht für bereits empfangene Daten. :) Und da die aus dem PDF ja kaum einer exportiert, ist halt Dunkeltuten angesagt.

 

Bei weiteren Fragen gib Bescheid.

 

Bye

Norbert

[Gu4rdi4n 58]

Achso, also kann ich in der Z1 sehr wohl sagen, dass die mir die Mails nur Signieren statt verschlüsseln soll, wenn der Empfänger keine Verschlüsselung nutzt.

Das hat mir die Dame am Telefon anders erzählt.

 

Die sagte mir, dass meine Mails auf jeden Fall verschlüsselt werden. Wenn der Empfänger dann halt kein PGP oder S/MIME einsetzt wird zwangsläufig auf die PDF Verschlüsselung zurückgegriffen.

Das möchte ich aber ja nicht. 

 

Das beste Szenario wäre 

Wenn Empfänger = verschlüsselt -> sende verschlüsselt 

wenn Empfänger nicht verschlüsselt -> sende mail nur als signiert

 

Noch ne blöde frage oben drauf:

In den Videos von Zertificon wird suggeriert, dass das Gateway weiß ob der empfänger verschlüsselt.

Ist das tatsächlich so, oder muss ich dem gateway mitteilen, dass der empfänger verschlüsselt und vorallem auch wie? (PGP etc?)

bearbeitet 26. November 2018 von Gu4rdi4n