emeriks
Goto Top

Forbidden attachment type: PKCS 7 Signature

Hi,
bei einer unserer Mail-"Gegenstellen" werden unsere signierten Mails gefiltert, und landen erst dann beim Empfänger, wenn der Admin diese explizit freigibt. Ich habe das von einem derer Anwender/Empfänger erfahren. Die Empfänger erhalten bloß eine kurze Nachricht:

Betreff: Avira Exchange Security - SBE: attachment type 'PKCS #7 Signature' found

Avira Exchange Security - Small Business Edition
has detected:

Forbidden attachment type: PKCS #7 Signature

in the following email sent to you:

Subject: Blablabla
From: Blablabla@Blablabla1.de
To: Blablabla@Blablabla2.de
Date: 2016-03-21T11:20:55

Found attachment: smime.p7s
Category: Encryption

Unsere Zertifikate sind gültig und von einer öffentlichen, kommerziellen CA.

Ich habe nun keinen direkten Kontakt zu diesem Admin und will da nicht einfach anrufen und klugscheißern. Ich selbst kenne das "Avira Exchange Security - Small Business Edition" nicht und kann nicht beurteilen, ob er/sie da was falsch macht oder ob das ein gegebenes Verhalten der Software ist.

Kennt jemand dieses Szenario und könnte mir sagen, was ich diesem Admin empfehlen könnte?

E.

Content-Key: 299746

Url: https://administrator.de/contentid/299746

Printed on: July 25, 2024 at 19:07 o'clock

Member: Der-Phil
Der-Phil Mar 22, 2016 at 07:36:44 (UTC)
Goto Top
Hallo!

Ich will jetzt nicht so belehrend klingen, wie es teilweise hier üblich ist, aber im Endeffekt kann man dem Admin nur empfehlen, sich über Signaturen zu informieren und dass eine Signatur auf die Ausnahmeliste gehört...

Gruß
Phil
Mitglied: 114757
114757 Mar 22, 2016 updated at 08:34:06 (UTC)
Goto Top
Hallo @emeriks,
Im Handbuch Seite 51 steht folgendes zu diesen Mails

In order for Avira jobs to be able to process emails, the emails must be fully unpacked. Password- protected archives cannot be unpacked. Therefore, emails with such file attachments are by default blocked as "unscannable" by the virus scan job and are placed in the BADMAIL quarantine.  
To prevent this action, use the job Avira Protected Attachment Detection. This job reacts to emails with password-protected archives and executes the job actions configured in the Actions tab. Password-protected archives can thus be handled in a rule-based way. For example, such emails can be blocked for certain individuals/ groups, but delivered to others.
As the emails would be delivered unscanned in the latter case, the emails need to be scanned by a virus scan job before delivery. The Avira Scanning job therefore marks emails that contain password-protected archives. Due to this marking, a subsequent virus scan job handles these emails as "normal" emails and can ignore processing errors (DENIED) that occur without this job.  
Das das Avira-Teil Signaturen dazu zählt, versteht auch nur Avira face-wink

Gruß jodel32
Member: LordGurke
LordGurke Mar 22, 2016 at 09:13:27 (UTC)
Goto Top
Das ist eine ganz spezielle Windmühle, gegen die ich auch schon bei Behörden gekämpft habe.
Ein ganz verzweifelter Kriminalbeamter hat uns dann angewiesen wir sollten E-Mails bitte verschlüsseln, aber ausschließlich mit PGP und dann auch nur als Inline-Verschlüsselung. Dann wird die E-Mail als Text übertragen und wird vom Virenscanner nicht mehr blockiert.
Die .asc-Dateien bei PGP-MIME hat das Teil nämlich auch gefressen...
Ob man bei der Behörde nun davon abgerückt ist weiß ich nicht - der Beamte teilte telefonisch mit, dass er seine Dienstwaffe durchladen und den Admin zum wiederholten Male darauf aufmerksam machen wollte wie schwachsinnig es wäre, S/MIME- oder PGP-MIME-Signaturen zu blockieren.
Member: emeriks
emeriks Mar 22, 2016 at 09:29:12 (UTC)
Goto Top
der Beamte teilte telefonisch mit, dass er seine Dienstwaffe durchladen und den Admin zum wiederholten Male darauf aufmerksam machen ...
Gut, muss ich mal im Keller schauen, ob ich noch die alte, verrostete Flinte von Opa finde ...
lol
Member: AndiEoh
AndiEoh Mar 22, 2016 at 10:08:34 (UTC)
Goto Top
Hallo,

die Logik dahinter ist meines Wissens nach folgende:
Wenn du einem Empfänger eine E-Mail mit gültiger digitaler Signatur schickst ist dieser in der Lage dir verschlüsselte E-Mails zu schicken die den Virenscanner und eventuelle DLP (Data Leak Prevention) Systeme "blind" machen. Darum wird gerade bei misstrauischen Gegenstellen eher auf Verschlüsselung verzichtet bzw. diese verhindert, weil man den automatischen Scanner mehr vertraut als den Mitarbeitern.

Funktioniert zwar auch nicht wirklich aber wenigstens machen die Hersteller der Scanner damit Umsatz face-smile

Gruß

Andi
Member: AndiEoh
AndiEoh Mar 22, 2016 at 10:10:31 (UTC)
Goto Top
Du kannst die Gegenstelle auch darauf Hinweisen das genau dieses Problem mit einem S/MIME Gateway *vor* dem Scanner prima gelöst ist...
Member: emeriks
emeriks Mar 22, 2016 updated at 10:47:37 (UTC)
Goto Top
D.h. die Poststelle im Haus nimmt kein Paket für eine Abteilung an, weil sonst diese Abteilung durch dieses Paket auf die Idee kommen könnte, zukünftig an den Absender des Pakets nur noch Pakete mit Blei-Mantel zu senden, welche die eigene Poststelle im Haus nicht vor dem Versand durchleuchten könnte?
Member: AndiEoh
AndiEoh Mar 22, 2016 at 10:28:05 (UTC)
Goto Top
Ist nicht auf meinen Mist gewachsen, hab ich aber schon öfters gehört...
Verschlüsselung darf nur der Geschäftsführer, der weiß aber gar nicht was das ist face-wink