37414
Apr 28, 2020 at 09:02:48 (UTC)
4370
7
0
Sind D-Trust-Zertifikate der Bundesdruckerei unbedingt erforderlich?
Hallo,
unser ehem. IT-Verantwortlicher hatte in unserem kleinen Unternehmen vor 2 Jahren D-Trust-Zertifikate der Bundesdruckerei beantragt für unseren Email-Verkehr.
Dabei haben wir die Version "Advanced Enterprise ID" gewählt.
Hier eine Erklärung dazu:
Die D-TRUST Advanced Enterprise ID dient primär einer Absicherung der E-Mail-Kommunikation persönlicher Postfächer (nach dem S/MIME-Standard) für offene Benutzergruppen mit Organisations-Zugehörigkeit. Die D-TRUST Advanced Enterprise ID kann auch für das Aufbringen einer nicht-qualifizierten Signatur auf Dokumenten oder für alternative Anmeldeverfahren eingesetzt werden.
Diese Zertifikate laufen nun aus und da der ehem. IT-Leiter nicht mehr hier arbeitet, wissen wir nun nicht so recht, ob wir diese Zertifikate neu beantragen sollen, bzw. müssen.
Wir nutzen für unseren Email-Verkehr MS Outlook 2016 und wir nutzen bei den Emails auch eine Signatur, die automatisch von Outlook unten jeder Mail angefügt wird.
Meine Frage ist nun, ob es unbedingt erforderlich ist, dass wir diese D-Trust-Zertifikate neu beantragen. Das ist nämlich ein recht aufwendiger Prozess und lt. Angabe des Supportes muss das jede/r Mitarbeiter-/in selbst machen... es gibt keine Möglichkeit, das global für alle MA zu machen.
Schöne Grüße,
imebro
unser ehem. IT-Verantwortlicher hatte in unserem kleinen Unternehmen vor 2 Jahren D-Trust-Zertifikate der Bundesdruckerei beantragt für unseren Email-Verkehr.
Dabei haben wir die Version "Advanced Enterprise ID" gewählt.
Hier eine Erklärung dazu:
Die D-TRUST Advanced Enterprise ID dient primär einer Absicherung der E-Mail-Kommunikation persönlicher Postfächer (nach dem S/MIME-Standard) für offene Benutzergruppen mit Organisations-Zugehörigkeit. Die D-TRUST Advanced Enterprise ID kann auch für das Aufbringen einer nicht-qualifizierten Signatur auf Dokumenten oder für alternative Anmeldeverfahren eingesetzt werden.
Diese Zertifikate laufen nun aus und da der ehem. IT-Leiter nicht mehr hier arbeitet, wissen wir nun nicht so recht, ob wir diese Zertifikate neu beantragen sollen, bzw. müssen.
Wir nutzen für unseren Email-Verkehr MS Outlook 2016 und wir nutzen bei den Emails auch eine Signatur, die automatisch von Outlook unten jeder Mail angefügt wird.
Meine Frage ist nun, ob es unbedingt erforderlich ist, dass wir diese D-Trust-Zertifikate neu beantragen. Das ist nämlich ein recht aufwendiger Prozess und lt. Angabe des Supportes muss das jede/r Mitarbeiter-/in selbst machen... es gibt keine Möglichkeit, das global für alle MA zu machen.
Schöne Grüße,
imebro
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 568069
Url: https://administrator.de/contentid/568069
Printed on: April 23, 2024 at 06:04 o'clock
7 Comments
Latest comment
Zitat von @37414:
Diese Zertifikate laufen nun aus und da der ehem. IT-Leiter nicht mehr hier arbeitet, wissen wir nun nicht so recht, ob wir diese Zertifikate neu beantragen sollen, bzw. müssen.
Nun das müsst Ihr ja eigentlich am besten wissen, nur Ihr wisst mit wem Ihr korrespondiert und ob die Gegenseite solche Art Zertifikate zwingend von euch vorschreibt.Diese Zertifikate laufen nun aus und da der ehem. IT-Leiter nicht mehr hier arbeitet, wissen wir nun nicht so recht, ob wir diese Zertifikate neu beantragen sollen, bzw. müssen.
Wir nutzen für unseren Email-Verkehr MS Outlook 2016 und wir nutzen bei den Emails auch eine Signatur, die automatisch von Outlook unten jeder Mail angefügt wird.
Würde ich durch ein zentrales Mailgateway ersetzen dann sind keine Client-Anpassungen mehr nötig wenn die Zertifikate ablaufen.Meine Frage ist nun, ob es unbedingt erforderlich ist, dass wir diese D-Trust-Zertifikate neu beantragen.
Wie gesagt, wir kennen eure Korrespondenz und Kunden nicht. Wenn also einer eurer Kunden genau diese Art Zertifikate fordert dann werdet ihr wohl ober übel in den Apfel beißen müssen. Ist das nicht der Fall dann kann man sich ja bei den diversen anderen Anbietern eindecken.Das ist nämlich ein recht aufwendiger Prozess und lt. Angabe des Supportes muss das jede/r Mitarbeiter-/in selbst machen... es gibt keine Möglichkeit, das global für alle MA zu machen.
Für sowas gibt es wie oben erwähnt Secure Mail-Gateways wie z.B. NoSpamProxy oder Ciphermail usw. nur um ein paar zu nennen, dann muss man den Client nicht mehr anfassen und die Zuordnung und Generierung der Zertifikate zu den Mailboxen geschieht automatisch bzw. durch dich festgelegte Regeln am Mail-Gateway.
Hallo und danke...
Der letzte von mir zitierte Punkt bezieht sich auf die komplexe Bestellung der neuen Zertifikate - nicht auf die Installation der Signaturen für Outlook. Aber danke für den Hinweis, dann hier stelle ich mir gerade die Frage, ob "CodeTwo" auch so ein Secure Mail-Gateway ist.
Dieses Programm ist nämlich auch auf einem unserer Server installiert und wir waren uns nicht sicher, ob wir das so weiter verwenden wollen. Problem bei "Code Two" ist nämlich, dass man bei einer ausgehenden Mail (über Outlook) die eigene Signatur nicht sieht und auch bei Bedarf nicht anpassen kann. Manche Mails möchten wir auch ohne Signatur versenden können, was mit einer in Outlook integrierten Signatur geht (man kann sie in Outlook abschalten oder unten einfach raus löschen).
Gruß,
imebro
Der letzte von mir zitierte Punkt bezieht sich auf die komplexe Bestellung der neuen Zertifikate - nicht auf die Installation der Signaturen für Outlook. Aber danke für den Hinweis, dann hier stelle ich mir gerade die Frage, ob "CodeTwo" auch so ein Secure Mail-Gateway ist.
Dieses Programm ist nämlich auch auf einem unserer Server installiert und wir waren uns nicht sicher, ob wir das so weiter verwenden wollen. Problem bei "Code Two" ist nämlich, dass man bei einer ausgehenden Mail (über Outlook) die eigene Signatur nicht sieht und auch bei Bedarf nicht anpassen kann. Manche Mails möchten wir auch ohne Signatur versenden können, was mit einer in Outlook integrierten Signatur geht (man kann sie in Outlook abschalten oder unten einfach raus löschen).
Gruß,
imebro
Zitat von @37414:
Wir nutzen für unseren Email-Verkehr MS Outlook 2016 und wir nutzen bei den Emails auch eine Signatur, die automatisch von Outlook unten jeder Mail angefügt wird.
Wir nutzen für unseren Email-Verkehr MS Outlook 2016 und wir nutzen bei den Emails auch eine Signatur, die automatisch von Outlook unten jeder Mail angefügt wird.
Moin
bitte nicht eine S/MIME-Signatur mit der Outlook-Signatur mit Name, Abteilung, Telefon verwechseln, das hat nichts miteinander zu tun.
S/MIME-Zertifikate werden bei den meisten Providern für jeden Mitarbeiter einzeln verifiziert ( je nach Anbieter und Level von Bestätigungs-Link bis zum Post-Ident. Großanbieter wie SwissSign bieten dafür auch Schnittstellen zu Verschlüsselungs-Gateways an. (siehe Beitrag oben, neben NoSpamProxy und ciphermail kann ich noch das Compumatica-Gateway ins Rennen schicken).
Da man S/MIME-Zertifikate nicht verlängern kann, sollte man immer möglichst lange Laufzeiten wählen, das spart Geld und Aufwand.
Gruß
Bernhard
Hallo Bernhard. Danke für die weitere Aufklärung...
Handelt es sich bei unseren D-Trust-Zertifikaten auch um solche S/MIME-Zertifikate?
Und... müßten wir dann, wenn wir diese Zertifikate neu beantragt haben, die Signaturen auch weiterhin über dieses Programm "CodeTwo" einsetzen lassen, statt direkt in den jeweiligen Outlook-Einstellungen der Mitarbeiter-/innen?
Sorry, aber im Moment ist hier bei uns alles sehr chaotisch, da unser ehem. IT-Mitarbeiter ganz plötzlich nicht mehr hier arbeitet (möchte das nicht näher erklären). Wir sind nun dabei, alles zu entknoten, was IT-mäßig hier so auftaucht.
Gruß,
imebro
Handelt es sich bei unseren D-Trust-Zertifikaten auch um solche S/MIME-Zertifikate?
Und... müßten wir dann, wenn wir diese Zertifikate neu beantragt haben, die Signaturen auch weiterhin über dieses Programm "CodeTwo" einsetzen lassen, statt direkt in den jeweiligen Outlook-Einstellungen der Mitarbeiter-/innen?
Sorry, aber im Moment ist hier bei uns alles sehr chaotisch, da unser ehem. IT-Mitarbeiter ganz plötzlich nicht mehr hier arbeitet (möchte das nicht näher erklären). Wir sind nun dabei, alles zu entknoten, was IT-mäßig hier so auftaucht.
Gruß,
imebro
Moin,
ja das ist auch teilweise verwirrend weil für zwei verschiedene Dinge die gleiche Bezeichnung verwendet wird.
Euer CodeTwo setzt unter jede Mail ein Stück Text/HTML. Üblicherweise Firmenname, Anschrift, Telefon und oft noch ein Hinweis, dass diese Mail nur für den Empfänger bestimmt ist und man die Mail sofort löschen soll, wenn man diese Mail irrtümlicherweise bekommen hat.
Das Ganze hat nichts mit elektronischen Zertifikaten zu tun und ist unabhängig von der S/MIME-Thematik.
Eure D-Trust-Zertifikate sind S/MIME-Zertifikate, also ein Set von privatem und öffentlichen Schlüsseln mit denen Ihr als Absender ausgehende Mails elektronisch signiert. Der Empfänger sieht dann, dass der Absender der Mail von der Bundesdruckerei als Max Mustermann identifiziert wurde. In den Enterprise-Zertifikaten steht dann sogar noch drin, dass der Max Mustermann bei der Contoso GmbH arbeitet. Damit hat der Empfänger eine relativ große Chance, dass die Mail wirklich von dem Absender stammt und nicht gefaket ist. Zusätzlich wird (ganz einfach gesprochen) eine Prüfsumme über den Inhalt der Mail gebildet. So kann der Empfänger davon ausgehen, dass die Mail auf dem Transportweg nicht verändert wurde.
S/MIME-Signaturen kann man wahlweise im Outlook direkt einrichten (Trustcenter-Mail-Sicherheit) oder mit den schon angesprochenen Gateway-Lösungen. Wenn Ihr die Mails noch mit dem CodeTwo inhaltlich verändert, sollte bei Euch ein Gateway verbaut sein, auf dem Ihr dann auch die S/MIME-Zertifikate austauschen müsst bzw. die neuen hinzufügen (die alten behält man besser...)
Gruß
Bernhard
ja das ist auch teilweise verwirrend weil für zwei verschiedene Dinge die gleiche Bezeichnung verwendet wird.
Euer CodeTwo setzt unter jede Mail ein Stück Text/HTML. Üblicherweise Firmenname, Anschrift, Telefon und oft noch ein Hinweis, dass diese Mail nur für den Empfänger bestimmt ist und man die Mail sofort löschen soll, wenn man diese Mail irrtümlicherweise bekommen hat.
Das Ganze hat nichts mit elektronischen Zertifikaten zu tun und ist unabhängig von der S/MIME-Thematik.
Eure D-Trust-Zertifikate sind S/MIME-Zertifikate, also ein Set von privatem und öffentlichen Schlüsseln mit denen Ihr als Absender ausgehende Mails elektronisch signiert. Der Empfänger sieht dann, dass der Absender der Mail von der Bundesdruckerei als Max Mustermann identifiziert wurde. In den Enterprise-Zertifikaten steht dann sogar noch drin, dass der Max Mustermann bei der Contoso GmbH arbeitet. Damit hat der Empfänger eine relativ große Chance, dass die Mail wirklich von dem Absender stammt und nicht gefaket ist. Zusätzlich wird (ganz einfach gesprochen) eine Prüfsumme über den Inhalt der Mail gebildet. So kann der Empfänger davon ausgehen, dass die Mail auf dem Transportweg nicht verändert wurde.
S/MIME-Signaturen kann man wahlweise im Outlook direkt einrichten (Trustcenter-Mail-Sicherheit) oder mit den schon angesprochenen Gateway-Lösungen. Wenn Ihr die Mails noch mit dem CodeTwo inhaltlich verändert, sollte bei Euch ein Gateway verbaut sein, auf dem Ihr dann auch die S/MIME-Zertifikate austauschen müsst bzw. die neuen hinzufügen (die alten behält man besser...)
Gruß
Bernhard
Hallo imebro,
Nach deiner Beschreibung gehe ich davon aus, dass bei euch eines unserer Programme für E-Mail-Signaturen in Exchange im Einsatz ist: CodeTwo Exchange Rules oder CodeTwo Exchange Rules PRO. Wie BernhardMeierrose schon erwähnt hat, sind unsere Programme fürs Hinzufügen der E-Mail-Signaturen zuständig. Verschlüsselte und digital-signierte Nachrichten werden auch unterstützt (d. h. mit E-Mail-Signaturen versehen) vorausgesetzt, dass S/MIME- oder AD RMS-Standards verwendet werden. Mehr dazu findest du im Benutzerhandbuch der beiden Programme (in der „Other“-Tabelle):
https://www.codetwo.com/userguide/exchange-rules-family/system-requireme ...
https://www.codetwo.com/userguide/exchange-rules-pro/system-requirements ...
Wenn du eines dieser Programme nutzest, ist die Lizenz permanent. Daher musst du nichts bei uns verlängern und kannst weiterhin die E-Mail-Signaturen bequem und automatisch allen MA-E-Mails zentral hinzufügen. Zwar fehlt die Signaturvorschau-Funktion in diesen Versionen, aber die hinzugefügten Signaturen können dank dem Sent Items Update in Gesendeten Objekten eines jeden Benutzers angesehen werden (links: https://www.codetwo.de/exchange-rules-family/signatur-unter-gesendete-el ..., https://www.codetwo.com/userguide/exchange-rules-family/sent-items-updat ..). Die Signatur kann man beim Schreiben auch so ausschalten, dass man ein bestimmtes Kennwort in der Signaturregel definiert, das, wenn im E-Mail-Inhalt verwendet, die Signatur für diese Nachricht nicht einsetzt. Ähnlich kannst du mithilfe der Signaturregeln zum Beispiel unterschiedliche Signaturen für interne und externe Nachrichten einsetzen:
https://www.codetwo.de/exchange-rules-family/anwendersignatur
Mehr zur Signaturregel-Konfiguration:
https://www.codetwo.com/userguide/exchange-rules-family/rules-properties ...
https://www.codetwo.com/userguide/exchange-rules-pro/rules-properties.ht ...
Soweit ich richtig verstanden habe, ist unser Programm etwas Neues für dich. Du kannst viele nützliche Artikel und Medien auf unserer Webseite finden, die die Arbeit mit dem Programm näher bringen. Soll dies nicht helfen, bin ich über PN erreichbar
Grüße,
Adam
Nach deiner Beschreibung gehe ich davon aus, dass bei euch eines unserer Programme für E-Mail-Signaturen in Exchange im Einsatz ist: CodeTwo Exchange Rules oder CodeTwo Exchange Rules PRO. Wie BernhardMeierrose schon erwähnt hat, sind unsere Programme fürs Hinzufügen der E-Mail-Signaturen zuständig. Verschlüsselte und digital-signierte Nachrichten werden auch unterstützt (d. h. mit E-Mail-Signaturen versehen) vorausgesetzt, dass S/MIME- oder AD RMS-Standards verwendet werden. Mehr dazu findest du im Benutzerhandbuch der beiden Programme (in der „Other“-Tabelle):
https://www.codetwo.com/userguide/exchange-rules-family/system-requireme ...
https://www.codetwo.com/userguide/exchange-rules-pro/system-requirements ...
Wenn du eines dieser Programme nutzest, ist die Lizenz permanent. Daher musst du nichts bei uns verlängern und kannst weiterhin die E-Mail-Signaturen bequem und automatisch allen MA-E-Mails zentral hinzufügen. Zwar fehlt die Signaturvorschau-Funktion in diesen Versionen, aber die hinzugefügten Signaturen können dank dem Sent Items Update in Gesendeten Objekten eines jeden Benutzers angesehen werden (links: https://www.codetwo.de/exchange-rules-family/signatur-unter-gesendete-el ..., https://www.codetwo.com/userguide/exchange-rules-family/sent-items-updat ..). Die Signatur kann man beim Schreiben auch so ausschalten, dass man ein bestimmtes Kennwort in der Signaturregel definiert, das, wenn im E-Mail-Inhalt verwendet, die Signatur für diese Nachricht nicht einsetzt. Ähnlich kannst du mithilfe der Signaturregeln zum Beispiel unterschiedliche Signaturen für interne und externe Nachrichten einsetzen:
https://www.codetwo.de/exchange-rules-family/anwendersignatur
Mehr zur Signaturregel-Konfiguration:
https://www.codetwo.com/userguide/exchange-rules-family/rules-properties ...
https://www.codetwo.com/userguide/exchange-rules-pro/rules-properties.ht ...
Soweit ich richtig verstanden habe, ist unser Programm etwas Neues für dich. Du kannst viele nützliche Artikel und Medien auf unserer Webseite finden, die die Arbeit mit dem Programm näher bringen. Soll dies nicht helfen, bin ich über PN erreichbar
Grüße,
Adam
Vielen Dank für Eure weiteren Erläuterungen, die mir sehr weitergeholfen haben.
Wir werden nun die D-Trust-Zertifikate weiter nutzen... vor allem wegen der Verschlüsselung, die ja bisher auch damit gemacht wurde. Hier wäre dann ein Wechsel vielleicht problematisch.
Danke und Gruß,
imebro
Wir werden nun die D-Trust-Zertifikate weiter nutzen... vor allem wegen der Verschlüsselung, die ja bisher auch damit gemacht wurde. Hier wäre dann ein Wechsel vielleicht problematisch.
Danke und Gruß,
imebro
