dormi98 15 Geschrieben 21. Februar 2023 Melden Teilen Geschrieben 21. Februar 2023 (bearbeitet) Hallo zusammen! Ein Geschäftspartner verwendet ein E-Mail Gateway zur E-Mail Verschlüsselung. Allerdings verwenden Sie ein einziges Domain Zertifikat zur Verschlüsselung. Wir selbst haben S/MIME Zertifikate pro Benutzer. Wir können verschlüsselte E-Mails von dem Partner erhalten (natürlich nachdem man ein E-Mail mit seinem Zertifikat gesendet hat) - das E-Mail Gateway versteht also S/MIME Zertifikate. Das Problem ist aber, dass ich es nicht schaffe Outlook bei zu bringen, das Zertifikat für alle Kontakte der Domain xy.com zum Verschlüsseln zu verwenden. Natürlich kann ich das Domain Zertifikat zu den einzelnen Kontakten hinzufügen, aber auch dann lässt Outlook Zertifikat nicht zu, da ja die E-Mail Adresse im Zertifikat nicht übereinstimmt (ist ja ein Domain Zertifikat) Kann man Outlook irgendwie beibringen das Zertifikat zu akzeptieren und die Nachricht mit dem öffentlichen Schlüssel zu verschlüsseln? Oder gibt es eine anderen Mailclient, der nicht prüft ob die E-Mail Adresse im Zertifikat stimmt. Oder könnte ich vielleicht irgendwie den öffentlichen Teil des S/MIME Zertifikats für die jeweiligen Benutzer des Partners bei mir selbst erstellen? Den public key habe ich ja, ich bräuchte also nur ein Zertifikat mit der richtigen E-Mail Adresse und dem öffentlichen Schlüssel - kann man das irgendwie erzeugen? Der Partner selbst geht übrigens davon aus, dass jeder ein eigenes Mailgateway hat, wo das Domain Zertifikat eingespielt wird. Danke für eure Inputs bearbeitet 21. Februar 2023 von dormi98 Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 21. Februar 2023 Melden Teilen Geschrieben 21. Februar 2023 vor 2 Stunden schrieb dormi98: Der Partner selbst geht übrigens davon aus, dass jeder ein eigenes Mailgateway hat, wo das Domain Zertifikat eingespielt wird. Ja, nur so funktioniert es auch mit den Domain-Zertifikaten, as defined in RFC3183. Zitieren Link zu diesem Kommentar
dormi98 15 Geschrieben 22. Februar 2023 Autor Melden Teilen Geschrieben 22. Februar 2023 Das mag ja sein, aber wir sprechen hier von 10 Usern - da ist ein eigenes Mailgateway schon etwas, naja groß. Keine anderern Möglichkeiten? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 22. Februar 2023 Melden Teilen Geschrieben 22. Februar 2023 Moin, das ist ja eins der großen Probleme mit der Mailverschlüsselung und einer der Gründe, warum sich das nie durchgesetzt hat: Es ist im Detail unglaublich aufwändig und fehlerträchtig. Und man ist abhängig von den wenigen Geschäftspartnern, die das einfordern und ihr Vorgehen durchsetzen. Richtig lustig wird es, wenn ihr dazu dann noch einen zweiten Partner habt, der Domain-Zertifikate für böse hält. Viele Kunden versuchen ihre Partner zu überzeugen, dass sie auf das Gehampel verzichten können, das kann durchaus erfolgreich sein. Es gibt sowas aber auch in "kleinen" und preisgünstigen Fassungen oder als Managed Service. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 22. Februar 2023 Melden Teilen Geschrieben 22. Februar 2023 vor 2 Minuten schrieb NilsK: Richtig lustig wird es, wenn ihr dazu dann noch einen zweiten Partner habt, der Domain-Zertifikate für böse hält. Womit er ja recht hat, wie man gerade sieht. Das Problem wäre ja ansonsten gar nicht vorhanden. ;) Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 22. Februar 2023 Melden Teilen Geschrieben 22. Februar 2023 Moin, ja, klar. Von meiner schönen Insel aus betrachtet, ist der Rest der Welt exotisch. Gruß, Nils PS. erwähnte ich schon, dass Zertifikate grundsätzlich krank (und böse) sind? 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 22. Februar 2023 Melden Teilen Geschrieben 22. Februar 2023 vor 14 Minuten schrieb NilsK: Von meiner schönen Insel aus betrachtet, ist der Rest der Welt exotisch. Naja... Also beim Emailzertifikat ist es halt prinzipbedingt Müll mit solchen Zertifikatstypen zu hantieren. ;) Im Allgemeinen haben die die das verwenden ja auch nur keinen Bock die Kosten zu tragen, sondern sie verlagern das dann wie man im Thread sieht schön auf die anderen, die das dann ja ohne entsprechende technische Lösung eben nicht hinbekommen "können". Keine Ahnung ob sich da andere Mailclients anders verhalten. ;) vor 15 Minuten schrieb NilsK: PS. erwähnte ich schon, dass Zertifikate grundsätzlich krank (und böse) sind? Ach Quark. Und dein Fazit war ja auch, es gibt halt nix besseres. Und über PGP will ich lieber gar nicht erst nachdenken (müssen). Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 22. Februar 2023 Melden Teilen Geschrieben 22. Februar 2023 Moin, vor 37 Minuten schrieb NorbertFe: Also beim Emailzertifikat ist es halt prinzipbedingt Müll mit solchen Zertifikatstypen zu hantieren. ;) da bin ich ja deiner Meinung. Mit der Insel meine ich, dass mir diese Meinung in der Praxis wenig bringt. Ich habe keine Statistiken, aber zumindest dem Eindruck nach denke ich, dass unter denen, die "Mail verschlüsseln", die mit den Domain-Gateways die absolute Mehrheit stellen. Man könnte auch argumentieren, dass Domain-Zertifikate nur sehr wenig Nutzen haben, seit sich TLS zwischen Mailservern durchgesetzt hat. Dass E-Mail über mehrere Hops geht, ist eher unüblich, und dann verschlüssele ich per Domain-Zertifikat ziemlich genau den Weg, den TLS dann noch mal verschlüsselt. vor 40 Minuten schrieb NorbertFe: Und dein Fazit war ja auch, es gibt halt nix besseres. Das ist das übergreifende Problem. Mangels praktischer Nutzbarkeit finde ich den Status Quo bei E-Mail aber noch viel schlimmer als bei Webseiten. Gruß, Nils PS. ja, ich gebe zu, diese Betrachtungen nützen dem TO ausgesprochen wenig. Womit wir wieder bei der Insel wären ... Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 22. Februar 2023 Melden Teilen Geschrieben 22. Februar 2023 (bearbeitet) vor 2 Stunden schrieb dormi98: Das mag ja sein, aber wir sprechen hier von 10 Usern - da ist ein eigenes Mailgateway schon etwas, naja groß. Keine anderern Möglichkeiten? Dem Partner erklären, dass ein Verfahren, das zwingend auf Gateway-to-Gateway-Verschlüssellung beruht, Murks und rausgeschmissenes Geld ist, denn: die Vertraulichkeit ist nicht besser als bei TLS (was vermutlich eh schon da ist): Innerhalb beider Mailsysteme liegt Kartext, dazwischen ist verschlüsselt die Authentizität (der Organisation, nicht des Absenders!) und die Integrität können mit DKIM gewährleistet werden, was die Mailsysteme möglicherweise bereits können vor 1 Stunde schrieb NilsK: das ist ja eins der großen Probleme mit der Mailverschlüsselung und einer der Gründe, warum sich das nie durchgesetzt hat: Es ist im Detail unglaublich aufwändig und fehlerträchtig. Es ist im Business-Umfeld auch vollkommen unklar, wofür das gut sein soll. Innerhalb der Mailsysteme möchte man explizit Klartext haben, weil Stellvertretung Archivierung DSGVO Antimalware und nach außen kommunizieren die Mailsysteme direkt miteinander oder durch Services, deren Geschäftsauftrag es ja ist, den Content zu untersuchen! Integrität kann man mit DKIM genauso gut absichern wie mit S/MIME-Signatur. Und gegen Wiretapping hilft TLS ausreichend gut. bearbeitet 22. Februar 2023 von cj_berlin Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 22. Februar 2023 Melden Teilen Geschrieben 22. Februar 2023 vor 10 Minuten schrieb NilsK: die mit den Domain-Gateways die absolute Mehrheit stellen. Schwierig. Also im Allgemeinen nur bei denen, die das nicht aus "Überzeugung/Verständnis" heraus implementieren, sondern weil irgendwer gesagt hat: "wir machen das jetzt so, und dann hat man weniger Aufwand." ;) Ich würde sagen, ich habe mehr Kunden und Kontakte, wo ich auch Personenzertifikate sehe als die mit Domänenzertifikaten. Aber zufälligerweise hatte ich gerade gestern von einem Kunden obige Anfrage (des TO) erhalten, was man denn da mit Outlook tun kann. ;) vor 17 Minuten schrieb cj_berlin: Dem Partner erklären, dass ein Verfahren, das zwingend auf Gateway-to-Gateway-Verschlüssellung beruht, Das ist eigentlich die richtige Lösung, nur wird das der mit dem Domänenzert nicht als Lösung akzpetieren. ;) vor 18 Minuten schrieb cj_berlin: Integrität können mit DKIM :) Jetzt kommst du mit dem nächsten Ding, was kaum einer versteht. ;) vor 19 Minuten schrieb cj_berlin: Es ist im Business-Umfeld auch vollkommen unklar, wofür das gut sein soll. Naja deine Argumente stimmen alle, aber: Wenn der Businesskunde jetzt trotzdem einfach ein Mailzertifikat verwenden kann oder will, muss er sich um TLS, DKIM usw. gar nicht kümmern und kann sicherstellen, dass seine Mail korrekt ankommt und ihm vertraulich geantwortet werden kann. Das ist im Zweifel etwas, worauf man als User direkt Zugriff haben kann. Alles andere sind (natürlich wie die Gateway Lösungen) Dinge die administrativ geregelt sein müssen. Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 22. Februar 2023 Melden Teilen Geschrieben 22. Februar 2023 vor 11 Minuten schrieb NorbertFe: Naja deine Argumente stimmen alle, aber: Drum mache ich den Kram auch nicht mehr. Enough is enough. Ich habe mir 25 Jahre lang den Mund in diversen Sachen fusselig geredet. Habe neulich in den Archiven eine Mail-Konversation entdeckt, wo ich 2007 jemanden darauf hinwies, dass man auf DCs den Print Spooler deaktivieren sollte. Und, hat jemand drauf gehört? So ist es hier auch. 1 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 22. Februar 2023 Melden Teilen Geschrieben 22. Februar 2023 Naja zwischen Printspooler und S/Mime seh ich schon noch einen gewissen Unterschied, aber ja I hear you. ;) 1 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 22. Februar 2023 Melden Teilen Geschrieben 22. Februar 2023 vor 2 Minuten schrieb cj_berlin: Habe neulich in den Archiven eine Mail-Konversation entdeckt, wo ich 2007 jemanden darauf hinwies, dass man auf DCs den Print Spooler deaktivieren sollte… Aber nur, wenn der DC nicht Pintserver ist… 3 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 22. Februar 2023 Melden Teilen Geschrieben 22. Februar 2023 Dann erst recht. :) Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 23. Februar 2023 Melden Teilen Geschrieben 23. Februar 2023 Ihr lacht. Ich muss so Konstrukte gerade migrieren… Das Warum ist heute immer noch nicht geläufig. Zum anderen Thema ist schon genug gesagt 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.