sebase
Goto Top

Exchnage2003 mit SMIME, interne Mails werden falsch adressiert

Interne Mails werden falsch adressiert. Empfänger ist intern der CN statt die Emailadresse. Daher funktioniert die Email verschlüsselung nicht.

Hi,

wenn Emails intern verschlüsselt werden, kommt die Mail beim Empfänger an, dieser kann Sie aber nicht öffnen weil die digitale ID nicht gefunden werden konnte.

Das Problem selbst konnte ich schon identifizieren.
Der Exchnage stellt die interne Mail zwar zu, aber als Empfänger steht in der Mail dann nicht die Email Adresse sonder der CN des Benutzers.
Da die Zertifikate aber auf Email Adressen basieren kann der Empfänger diese Nachricht nicht entschlüsseln.
Externe Mails funktionieren einwandfrei. Bei diesen steht aber auch als empfänger die Emailadresse sauber drin.

Es ist ein Exchnage 2003 und Clients sind Outlook 2003

Das Problem tritt auch nicht bei allen Benutzern auf sondern im Moment nur bei zwei einzelnen.

Content-Key: 137856

Url: https://administrator.de/contentid/137856

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: ollembyssan
ollembyssan 10.03.2010 um 10:57:14 Uhr
Goto Top
Hallo Sebase,

wie wäre es einmal den Anzeigenamen auf dem DC zu ändern? face-wink

Gruß,

Ole
Mitglied: Sebase
Sebase 10.03.2010 um 11:11:44 Uhr
Goto Top
Hi Ole,

zu testen werde ich es einmal versuchen.
Aber ich würde ungern den Anzeigename dauerhaft auf die Emailadresse ändern.
Bei allen anderen Benutzern ist der Anzeigename auch gleich. (Nachname,Vorname)

Gruß Sebastian
Mitglied: Sebase
Sebase 10.03.2010 um 14:41:04 Uhr
Goto Top
Hi Ole,

das mit dem Anzeigename hat ganz gut funktioniert.
Es wird in den Mails jetzt richtig angezeigt.
Funktioniren tut es aber immer noch nicht, mir ist gerade aufgefallen dass das "from" komplett leer ist.
Ich habe schon im Outlook gesucht ob man dort etwas ändern kann, aber das Outlook ist direkt via Exchange Account angebunden.
Daher kann ich da nicht wirklich viel verändern.

Update:

Es ist wohl wirklich ein Problem mit dem Exchange Account im Outlook oder der verarbeitung auf dem Exchange.
Wenn ich den selben Account im Outlook als IMAP/SMTP Account einrichte statt direkt Exchange funktioniert die verschlüsselung einwandrei.
Auch auf dem Exchange sehe ich dann im Nachrichtenstatus als Absender die richtige Emailadresse.

Hat jemand eine Idee?
Mitglied: ollembyssan
ollembyssan 10.03.2010 um 16:14:10 Uhr
Goto Top
Hallo Sebase,

dann musst Du dir einmal das Zertifikat genauer betrachten.
Denn dieses ist auf die E-Mail Adresse und den Namen des Inhabers ausgestellt,
die Werte müssen übereinstimmen. Da du vorgibst, das Problem tritt nur bei 2 Usern auf,
denke ich, das Problem könnte hier gefunden werden oder aber:

Der Empfänger der Mail kann diese auch nur entschlüsseln, wenn er der Zertifizierungsstelle vertraut.
Handelt es sich hierbei um eine Interne PKI oder wurden die Zertifikate von einem externen Anbieter bzw. einer
externen Zertifizierungsstelle herausgegeben...? Ist der Aussteller vertrauenswürdig? Welche Fehlerquellen können ausgeschlossen werden?

Gruß,

Ole
Mitglied: Sebase
Sebase 10.03.2010 um 16:39:19 Uhr
Goto Top
Hi Ole,

also die Zertifikate sind in Ordnung und funktioniert auch sauber. Nur eben bei internen Geschichten nicht.

Es ist eine eigene aber externe PKI. Die PKI selbst ist in den vertrauenswürdigen Stammzertifizierungsstellen bekannt und auch die CRLs werden sauber heruntergeladen. Desweiteren wird das Zertifikat auch Fehlerfrei im Outlook angeziegt. Es ist geprüftl vertraut ud gültig.
Die Zertifikate werden mit verwendungszweck "Sichere E-Mail" erstellt und enthalten als Werte "Antragsteller: CN = CN und E = Emailadresse" sowie "Alternativer Antragstellername: RFC822-Name=Emailadresse".

So lange die Mails von extern kommen oder intern via SMTP verschickt werden funktioniert alles ohne Probleme da in den Email Headern ja sowohl Empfänger Email also auch Absender Email vorhanden sind.
Wird aber Outlook gegen den Exchange konfiguriert und die Mails auch über X400 übertragen funktioniert die Zustellung nicht mehr da der Absender leer ist und als Empfänger der CN aus dem AD eingetragen ist.

Das ganze passiert wie gesagt nicht bei allen, im Moment haben wir es nur bei einem Mitarbeiter und genau dieser hat einen Doppelnachnamen. (Vorname, von Nachname).
Vieleicht ist Outlook so schlau und indentifiziert auch mit dem CN und kommt nur mit Doppelnachnamen nicht zurecht.
Aber normal sollte das kein Problem sein denn s´mime sollte normal eh immer gegen die Emailadresse laufen und nicht gegen den CN.
Bei externen Anbietern wird sowieso nur die Emailadresse angegen und nicht der CN.

Die Werte der Zertifikate wurden auch mit einem Email Zertifikat eines externen anbieters verglichen und sind identisch. ( Bist auf die PKI natürlich. face-wink)
Mitglied: ollembyssan
ollembyssan 10.03.2010 um 16:49:57 Uhr
Goto Top
Hallo Sebase,

hast du auch schon überprüft, ob die Namen aus dem Cache gelöscht worden sind?
Einfach Outlook öffnen, eine neue E-Mail verfassen in die "Empfangszeile" die ersten Buchstaben des "Empfängers" eintragen und,
soblad der Name erscheint, diesen Namen per "ENTF-Taste" löschen.
Daraufhin den Namen des Empfängers neu & komplett eingeben -> user@domain.tld

Ok, nun ist der Strick um das Problem enger geworden, sodass es eben nur intern sitzen kann -> für das bessere Verständnis!
Ich denke, unterschiedliche Outlook Versionen sind auch nicht vorhanden!?

Ansonsten nach oben erklärten Schritt das Zertifikat aus dem Zertifikatsspeicher exportieren, falls noch nicht geschehen.
Outlook ohne Zertifikat starten -> Zertifikat neu einbinden/importieren.

Ich weiß auch, dass Outlook 2003 das ein oder andere Problem mit Zertifikaten aufweißt, nur bei dir ist das sozusagen ein Einzelfall und nicht zu verallgemeinern!

Gruß,

Ole
Mitglied: Sebase
Sebase 10.03.2010 um 17:04:38 Uhr
Goto Top
Hi Ole,

das mit dem Cache funktioniert leider nicht.
Denn dann bleibt immer noch das Problem dass der From teil im Header bei internen Mails leer ist.

Jap, sind alles Outlook 2003. Teils auch auf Terminal Servern.

Zertifikate sind auch schon mehrmals rausgeflogen.
Wir haben sogar schon ein neues System installiert und alles neu aufgesetzt. Aber selbes Problem.

Outlook ist auch UptoDate.

Ja, ich merks schon, ist doch etwas komplizierter.
Mitglied: ollembyssan
ollembyssan 11.03.2010 um 08:20:17 Uhr
Goto Top
Hallo Sebase,

das ist jetzt auch nur noch großer "drum herum raten", wie bei Wer wird Millionär...

Ich könnte Dir anbieten, einmal auf das System zu schauen -> am Server (und oder Client)

Falls das ein Angebot wäre, einfach eine PM schreiben.

Ansonsten überlege ich noch einmal in Ruhe bei Zeit und schaue selbst einmal auf einen E2003.

Gruß,

Ole