Outlook 2010: Bei allen signierten Mails wird "Digitale Signatur: Ungültig" angezeigt: Roter Balken

[Jack Bauer 10]

 

Hallo,

 

wir haben das Problem, dass alle empfangenen und per S/MIME signierten E-Mails mit einem roten Balken angezeigt werden. Die Zertifikate sind gültig und die Zertifikatskette ist durchgängig.  Es wird angezeigt: "Signiert von: Probleme mit der Signatur. Klicken Sie auf die Signaturschaltfläche, um Details anzuzeigen." In diesen Details steht: "Fehler: Der Nachrichteninhalt wurde möglicherweise verändert.".

 

Ich gehe davon aus, dass von Firewall und/oder Virenscanner eine Änderung stattgefunden hat. Im Header der Mail wurde natürlich Informationen ergänzt, wie z.B. Received from/by/time unseres Mailservers und weitere Einträge der Firewall. Ergänzungen im Header sind imo erlaubt/erforderlich und können nicht als signaturrelevante Änderung angesehen werden.

 

Ich habe leider keine Idee, wie ich in diesem Thema weiterkomme. Habt ihr einen Tipp für mich?

 

Schöne Grüße

 

 Jack

 

 

 

[NorbertFe 2.035]

vor 4 Stunden schrieb Jack Bauer:

ch gehe davon aus, dass von Firewall und/oder Virenscanner eine Änderung stattgefunden hat. Im Header der Mail wurde natürlich Informationen ergänzt, wie z.B. Received from/by/time unseres Mailservers und weitere Einträge der Firewall. Ergänzungen im Header sind imo erlaubt/erforderlich und können nicht als signaturrelevante Änderung angesehen werden.

Das wird so sein. Da wirst du wohl oder übel der Reihe nach prüfen müssen, welches System auf dem Weg bis zum Postfach/Client die Mails alles anfaßt und was ggf. geändert wird. Ich hatte mal den Fall, dass die Attachmentfilterung den Content bei embedded images geändert hat und das macht dann natürlich die Signatur kaputt.

[v-rtc 88]

Ggf. bricht auch die Firewall oder andere Systeme den SSL Verkehr auf und signiert es neu?

Viel Erfolg.

[NorbertFe 2.035]

Sehr unwahrscheinlich. Es geht auch nicht um ssl sondern s/mime.

bearbeitet 11. April 2019 von NorbertFe

[MurdocX 952]

Manche Virenscanner hängen unten ihre Signatur dran wie z.B. "Geprüft durch Avast". Alles was den Inhalt der Mail verändert, bricht die Signatur. Das ist logisch und auch richtig so. Ich würde mal prüfen, ob eure Firewall/Gateway das signieren übernehmen kann.

[NorbertFe 2.035]

vor 2 Stunden schrieb MurdocX:

Ich würde mal prüfen, ob eure Firewall/Gateway das signieren übernehmen kann.

Das würde bei eintreffenden Mails eher wenig Sinn ergeben. ;)

[MurdocX 952]

Gerade eben schrieb NorbertFe:

Das würde bei eintreffenden Mails eher wenig Sinn ergeben. ;)

Richtig. 

 

Gateway prüfen schadet in keinem Fall :) 

 

[Sunny61 806]

Am 12.4.2019 um 10:22 schrieb NorbertFe:

Das würde bei eintreffenden Mails eher wenig Sinn ergeben. ;)

Würde mich nicht wundern, wenn es GF gibt, die genau das fordern, weil dafür hat man ja den teuren AV-Scanner auf dem Exchange gekauft. :) Über Sinn und Unsinn braucht man nicht zu diskutieren.

[testperson 1.677]

Am 12.4.2019 um 10:22 schrieb NorbertFe:

Das würde bei eintreffenden Mails eher wenig Sinn ergeben. ;)

Eingehende Mails könnten ja theoretisch dann beim Verlassen des Gateways neu signiert werden. Ob es Gateways mit einer solchen Funktion gibt und ob das Sinn macht, steht natürlich auf einem anderen Blatt.

[NorbertFe 2.035]

Ja gibt es. Ist aber sehr unwahrscheinlich. Nur zur Klarstellung, ich rede von digitaler Signatur und nicht von disclaimern.

Achso zum Thema. Ist das Zertifikat denn nachweislich prüfbar? Existiert das intermediate oder rootzertifikat am Client?