st3ffl 11 Geschrieben 12. Juli 2021 Melden Teilen Geschrieben 12. Juli 2021 Hallo allerseits, ich bin auf der Suche nach einer Möglichkeit, wie ich mit Outlook firmenintern versendete Emails immer digital signieren kann. Wir haben eine interne PKI und nutzen die selbstsignierten Zertifikate in einem kleinen / definierten Kreis, um Emails zu verschlüsseln bzw. zu signieren. Speziell das Thema signieren soll nun allerdings ein Stück weit weiter ausgerollt werden. Outlook selbst bietet zwar im TrustCenter die Option, mit "ausgehenden Nachrichten digitale Signatur hinzufügen" genau das zu machen, allerdings betrifft das natürlich alle Emails (intern / extern). Das wollen wir aber so eigentlich nicht. Kennt von euch jemand eine Möglichkeit wie ich Outlook beibringen kann, dass diese Funktion nur aktiv sein soll, wenn die Empfängerdomain xyz.de ist? Vielen Dank im Voraus Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 12. Juli 2021 Melden Teilen Geschrieben 12. Juli 2021 (bearbeitet) vor 8 Minuten schrieb st3ffl: Wir haben eine interne PKI und nutzen die selbstsignierten Zertifikate in einem kleinen / definierten Kreis, um Emails zu verschlüsseln bzw. zu signieren. Du meinst sicherlich, ihr habt eine interne PKI und nutzt die von dieser signierten Zertifikate? Selbstsigniert ist etwas anderes. vor 8 Minuten schrieb st3ffl: Kennt von euch jemand eine Möglichkeit wie ich Outlook beibringen kann, dass diese Funktion nur aktiv sein soll, wenn die Empfängerdomain xyz.de ist? In Outlook gibt es diese Möglichkeit nicht. Du könntest ein Makro schreiben, das beim Absenden feuert, schaut, an wen die Mail geht und dann signiert, falls intern. Was machst Du, falls eine Mail sowohl interne als auch externe Empfänger hat? Und habt ihr keine anderen Clients außer Outlook? OWA? Mobiltelefone? Mit denen wird alles, was Du für Outlook zusammengebastelt bekommst, nicht funktionieren... Was wäre so schlimm daran, Mails generell zu signieren, außer dass manche Leute anfangen könnten, euch verschlüsselte Mails zu senden? Man müsste einen CDP öffentlich verfügbar machen, aber es ist ja nur ein Webserver, auf dem zwei bis drei Dateien liegen... bearbeitet 12. Juli 2021 von cj_berlin Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 12. Juli 2021 Melden Teilen Geschrieben 12. Juli 2021 Moin, welches Ziel verfolgt ihr damit? Was ist die Anforderung, die ihr lösen wollt? Gruß, Nils 1 Zitieren Link zu diesem Kommentar
st3ffl 11 Geschrieben 12. Juli 2021 Autor Melden Teilen Geschrieben 12. Juli 2021 vor 28 Minuten schrieb cj_berlin: Du meinst sicherlich, ihr habt eine interne PKI und nutzt die von dieser signierten Zertifikate? Selbstsigniert ist etwas anderes. Richtig, wir nutzen die Zertifikate unserer eigenen PKI. vor 22 Minuten schrieb NilsK: Moin, welches Ziel verfolgt ihr damit? Was ist die Anforderung, die ihr lösen wollt? Gruß, Nils Damit soll die Authentizität des Absenders besser nachvollziebar sein. Es gab in der Vergangenheit mehrere Versuche, bei denen mittels Spoofing z.B. Überweisungen angestoßen werden sollten. Unsere Anwender haben zwar alle super reagiert und es gab keinerlei Schaden o.ä., aber dennoch gibt es Überlegungen, wie wir es den Endanwendern leichter machen können, solche Fälle direkt zu erkennen. Ein Gedanke ist eben grundsätzlich intern alles zu signieren. Wenn dann von Person XY eine Mail ohne Signatur kommt, dann sollen direkt die Alarmglocken schlagen. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 12. Juli 2021 Melden Teilen Geschrieben 12. Juli 2021 vor 6 Minuten schrieb st3ffl: Ein Gedanke ist eben grundsätzlich intern alles zu signieren. Wenn dann von Person XY eine Mail ohne Signatur kommt, dann sollen direkt die Alarmglocken schlagen. Was passiert mit internen Mails die nicht aus Outlook heraus initiiert werden? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 12. Juli 2021 Melden Teilen Geschrieben 12. Juli 2021 (bearbeitet) Moin, okay, der Gedanke ist nachvollziehbar. Ich rate trotzdem von diesem technischen Ansatz ab, denn Technik ist fast nie die die richtige Antwort auf organisatorische Probleme - im benannten Szenario empfehle ich, mit anderen, organisatorischen Anforderungen zu arbeiten (z.B. Grenze, ab der auf einem anderen Kanal eine Bestätigung einzuholen ist) auch einen Signaturhinweis übersieht man leicht - besonders wenn er eben nicht da ist (vgl. Unmöglichkeit eines negativen Beweises) "interne" Signaturlösungen laufen regelmäßig auf Probleme, wenn der Zugriff mal nicht intern ist (z.B. aus dem Home-Office, von einer Dienstreise) insgesamt entsteht so trügerische Sicherheit das Schlüsselmanagement kann sich zum Alptraum entwickeln (Zugriff auf Mail über andere Rechner) und es gibt auch erhebliche Risiken, die sich aus dem Einsatz von Mail-Signaturen und -Verschlüsselung ergeben (Schlüsselverlust = Datenverlust) Ob es überhaupt möglich ist, "Nur intern" zu signieren, ist mir nicht bekannt, weil es aus meiner Sicht keine sinnvollen Einsatzbereiche dafür gibt. Gruß, Nils bearbeitet 12. Juli 2021 von NilsK ohne "nie" ist die Aussage des Satzes irgendwie nicht dieselbe Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 12. Juli 2021 Melden Teilen Geschrieben 12. Juli 2021 Ich habe etliche Kunden, bei denen bei externen Mails im Subject "EXTERN" eingesetzt wird. Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 12. Juli 2021 Melden Teilen Geschrieben 12. Juli 2021 vor 7 Minuten schrieb tesso: Ich habe etliche Kunden, bei denen bei externen Mails im Subject "EXTERN" eingesetzt wird. Das hilft aber nicht, wenn die Mail über den internen Connector reinkommt, aber nicht von dem angegebenen Absender stammt... Aber besser das als nichts. Vernünftige Mail-Gateways werden in der Regel eine vermeintlich interne Mail auf dem externen Bein gar nicht erst reinlassen. 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 12. Juli 2021 Melden Teilen Geschrieben 12. Juli 2021 vor 14 Minuten schrieb cj_berlin: Vernünftige Mail-Gateways werden in der Regel eine vermeintlich interne Mail auf dem externen Bein gar nicht erst reinlassen. Das "sollte" so sein, aber da Outlook ja den Displaynamen so schön prominent darstellt und die Mailadresse in grau auf hellgrau ist das sowieso in vielen Fällen egal, es gibt im Antispam auch keine 100%. Dieses "extern" habe ich nur bei unserem Personal- und Bewerbungspostfach aktiv. Die Leute die damit arbeiten, wissen aber auch genau, dass sie vorher fragen und nicht hinterher, da diese beiden Postfächer eben speziell nur dafür da sind. Wenn ich das global setzen würde, wäre das in meinen Augen auch nur "Gewohnheit". Das führt zu nix, außer falscher Sicherheit der Nutzer. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 12. Juli 2021 Melden Teilen Geschrieben 12. Juli 2021 Wenn die Überweisungsaufforderung von intern kommt hat die Umgebung aber andere Probleme. vor 6 Minuten schrieb NorbertFe: Wenn ich das global setzen würde, wäre das in meinen Augen auch nur "Gewohnheit". Das führt zu nix, außer falscher Sicherheit der Nutzer. Wenn der Kunde das haben will, bekommt er es halt. Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 12. Juli 2021 Melden Teilen Geschrieben 12. Juli 2021 vor 1 Minute schrieb NorbertFe: es gibt im Antispam auch keine 100%. In dieser Hinsicht schon. Als es den Symantec Mail Security Gateway noch gab, war die Standard-Einstellung im zweibeinigen Setup genau so: es gibt eine Liste interner SMTP-Domains es gibt ein externes und ein internes Bein Mails mit Absendern (From: Header und/oder MAIL FROM:) aus internen Domains auf dem externen Bein werden sofort verworfen Mails ohne From: Header werden sofort verworfen Natürlich hat es den Leuten nicht gefallen, funktioniert hat es aber. So ziemlich das einzig gute, was ich über dieses Produkt sagen kann. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 12. Juli 2021 Melden Teilen Geschrieben 12. Juli 2021 vor 2 Minuten schrieb cj_berlin: es gibt eine Liste interner SMTP-Domains Das dürfte wohl auf so ziemlich jedes SMTP Relay zutreffen, es sei denn es ist ein open relay. ;) vor 2 Minuten schrieb cj_berlin: Mails mit Absendern (From: Header und/oder MAIL FROM:) aus internen Domains auf dem externen Bein werden sofort verworfen Das hilft wie ich oben schrieb aber nur bedingt, wenn nicht auch noch der Displayname berücksichtigt wird. Warum man dafür dann allerdings zwei Interfaces benötigt, erschließt sich mir nicht unbedingt, denn das ginge ja auch mit nur einem. Mails ohne From Header kann man zwar blocken, aber dann muss man sich nur bedingt wundern, wenn Dinge wie OOF nicht funktionieren. ;) Ich denke du weißt worauf ich hinaus wollte mit meiner vorherigen Antwort. Bye Norbert Zitieren Link zu diesem Kommentar
st3ffl 11 Geschrieben 1. August 2021 Autor Melden Teilen Geschrieben 1. August 2021 Am 12.7.2021 um 16:07 schrieb NilsK: Moin, okay, der Gedanke ist nachvollziehbar. Ich rate trotzdem von diesem technischen Ansatz ab, denn Technik ist fast nie die die richtige Antwort auf organisatorische Probleme - im benannten Szenario empfehle ich, mit anderen, organisatorischen Anforderungen zu arbeiten (z.B. Grenze, ab der auf einem anderen Kanal eine Bestätigung einzuholen ist) auch einen Signaturhinweis übersieht man leicht - besonders wenn er eben nicht da ist (vgl. Unmöglichkeit eines negativen Beweises) "interne" Signaturlösungen laufen regelmäßig auf Probleme, wenn der Zugriff mal nicht intern ist (z.B. aus dem Home-Office, von einer Dienstreise) insgesamt entsteht so trügerische Sicherheit das Schlüsselmanagement kann sich zum Alptraum entwickeln (Zugriff auf Mail über andere Rechner) und es gibt auch erhebliche Risiken, die sich aus dem Einsatz von Mail-Signaturen und -Verschlüsselung ergeben (Schlüsselverlust = Datenverlust) Ob es überhaupt möglich ist, "Nur intern" zu signieren, ist mir nicht bekannt, weil es aus meiner Sicht keine sinnvollen Einsatzbereiche dafür gibt. Gruß, Nils Vielen Dank für deine Einschätzung. Deine Punkte haben uns jetzt tatsächlich etwas von unserer Idee Abstand nehmen lassen. Die Lösung (unabhängig ob Outlook das überhaupt kann) hat wohl doch zu viele Nachteile. Allerdings finden meine Kollegen und ich die Variante von tesso und NorbertFe nicht schlecht: Am 12.7.2021 um 16:15 schrieb tesso: Ich habe etliche Kunden, bei denen bei externen Mails im Subject "EXTERN" eingesetzt wird. Diese Lösung wäre ziemlich einfach und simpel umsetzbar und hat deutlich weniger Nachteile als unsere Idee. Da hätten wir auch selbst drauf kommen können Wir werden das Ganze jetzt beim ein oder anderen Key User umsetzen und mal längerfristig untersuchen. Vielen Dank nochmals an alle, die sich hier beteiligt haben. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.