E-Mails mit s mime direkt am gateway signieren

Hallo,

ich hätte ein paar Fragen bzgl. S/MIME und Zertifikaten, vl kann mir hier jemand weiterhelfen

Es geht darum, dass ein Unternehmen alle seine gesendeten E-Mails direkt am inHouse Exchange digitalen signieren möchte.
Dafür hätte ich diese Software für Exchange gefunden: https://www.emailarchitect.net/smime
Kennt die zufällig jemand?

Soweit, so root.
Ich hatte bis jetzt nur mit persönlichen s/mime zerts zu tun, die direkt in Outlook & auf Smartphone aktiviert wurden. Ist natürlich für mehr als 30 User recht unpraktikabel.

Also müsste es ja irgendwelche Wildcard Zertifikate geben, die am Gateway aktiviert werden,
bei dem der Gateway alle ausgehenden Mails der Domain, automatisiert, signiert.

Stelle ich mir das so mal richtig vor? Oder ist das mit den wildcard Zerfikaten eher ein Wunschtraum?

Welche Anbietern von s/mime Zertifkaten, verwendet ihr? Wichtig wäre mir hauptsächlich eine hohe Akzeptanz von Clients hat (wie eben zB Comodo).

Ich wäre soweit bei Comodo geblieben...:
https://sectigo.com/products/signing-certificates/email-smime-certificat ...

Danke für eure Unterstützung!

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 399283

Url: https://administrator.de/contentid/399283

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

8 Kommentare

Neuester Kommentar

Ich würde dir
https://www.nospamproxy.de/de/
als Mail-Proxy wärsmstens empfehlen.

Stelle ich mir das so mal richtig vor? Oder ist das mit den wildcard Zerfikaten eher ein Wunschtraum?

Nein, jeder Absender erhält sein eigenes Zertifikat, die werden vom Proxy verwaltet und entsprechend zugewiesen.
Es können Zertifikate auch automatisch von einer PKI für die User generiert werden, da gibt es diverse Möglichkeiten, lese mal das Manual hier, dann verstehst du es vielleicht besser.
https://service.nospamproxy.de/file/nospamproxyencryptionmanual#page43

Grüße Uwe

Ich empfehle dir ein SMTP-Proxy z.B. Z1 SecureMail Gateway, welcher den gesamten E-Mail-Verkehr eines Unternehmens zentral signiert und verschlüsselt.

Ich würde es auch nicht mit einem Zusatz auf dem Exchange machen, das wäre mir etwas zu heikel. Ich mag es nicht so sehr wenn die Dinge zu eng verzahnt sind, das bietet Potenzial für Unheil oder wie Microsoft es übersetzen würde: "falsche Benutzererfahrungen".

Ein Gateway kann soetwas sauber abhandeln, Vorschläge gibt es hier schon. Ich kann noch auf Ciphermail (ehm. Djigzo) verweisen. Linux, Open Source und die Software ansich erstmal kostenlos. Man muss sich da aber einfuchsen.

Damit ließe sich auch eine PKI umsetzen, hier wäre mir auch wohler wenn das Root Zertifikat auf einem eigenen System liegt. Die läßt sich selbst erstellen, funktioniert auch super. Hat nur keine globale Vertrauensstellung, dazu muss man ein entsprechendes Zertifikat kaufen. Das lohnt so ab ~60 Usern, kostet nämlich auch so um die 4.500 Euro pro Jahr wenn ich mich recht entsinne.

Das mit PKI fände ich super, die geschätzen 4500 EUR allerdings nicht mehr - habe jetzt mal eine Anfrage an Comodo gesendet.
Nospamproxy schaut auch gut aus, werde ich mir ansehen!

Vielen Dank euch allen!

@ukulele-7

Die läßt sich selbst erstellen, funktioniert auch super. Hat nur keine globale Vertrauensstellung, dazu muss man ein entsprechendes Zertifikat kaufen. Das lohnt so ab ~60 Usern, kostet nämlich auch so um die 4.500 Euro pro Jahr wenn ich mich recht entsinne.

Wie kommst du auf die Summe? Ein verifizierte PKI - egal von welchen Global Player - ist an viele, viele organisatorische Auflagen gebunden. Weil du damit die Möglichkeit hast, Zertifikat jeder Art auszustellen welche überall problemlos akzeptiert werden.

@rickstinson
Wir nutzen ebenfalls im ganzen Unternehmen NoSpamProxy und haben einen Account bei Swissign. Dort ruft die Applikation die notwendigen Zertifikate ab bzw. verlängert diese.

Gruß,
Dani

Danke, nospamproxy schaut wirklich gut aus. Werde da näher Infos einholen.

Wg Swisssign: Werden deren Zertifikate auch gut bei Clients (Outlook, Thunderbird, Android, Apple, MIcrosoft) angenommen? Ich denke da auch an Webmail wie outlook.com, gmail, etc. Habe mir gestern noch so ein comodo personal s/mime zertifkat geholt, gmail meckert da schon das die Signatur nicht passt ("Die Signatur verwendet einen nicht unterstützten Algorithmus. Die digitale Signatur ist ungültig."), Exchange OWA + Outlook sind aber damit glücklich.

Die Swisssign Website ist leider offline ("Wartungsarbeiten"), hm *g*

So ganz genau habe ich das nicht mehr in Erinnerung, ich glaube die 4.500 Euro waren für ein Domain Zertifikat mit dem man für E-Mail-Adressen in der einen Domain weitere Zertifikate ausstellen konnte. Aber nagelt mich nicht darauf fest ich weiß nur es wurde sehr schnell teuer, Notizen dazu habe ich leider nicht mehr.

Ein Comodo User Zertifikat liegt bei 15 Euro pro Jahr bzw. pro 1,25 Jahre, damit fährt man wohl erstmal besser. Ich muss das aber auch noch umsetzen.

PS: Wenn du mit denen in Kontakt getreten bist dann schreib mal was die ungefähr aufrufen. Interessiert mich natürlich auch.

Kurz hier noch mein Feedback, war wir uns nun für einen Anbieter entschieden haben.
Comodo/Setigo war nur mühsam, zwei Gespräche mit irgendeinen Pre-Sales Menschen, er hat gemeint, ca Preispanne von 2k-4k. Mehr Infos habe ich nicht bekommen. Es wollte mich dann noch ein anderer Sales Mensch kontaktieren, der hat allerdings immer erst zw 21:00-0:00 angerufen, da war ich dann doch nimma im Büro, meine Mails bzgl. bitte einer anderen Uhrzeit wurde nicht angekommen.

Haben uns jetzt für Swisssign entschieden, aber ohne PKI, nur Einzelzertifikate, ist zwar mehr Aufwand, aber deutlich kostengünstiger.

gelöst Frage Sicherheit Verschlüsselung, Zertifikate

Mehr von rickstinson

VPN Server mit MFA gesuchtrickstinson - 9 Kommentare

Windows Update via GPO deaktivierenrickstinson - 3 Kommentare

Yealink - Sommerzeit beginnt jetzt schonrickstinson - 27 Kommentare

Domain von Exchange Online blockiertrickstinson - 7 Kommentare

Heiß diskutiert