37414
28.04.2020
4623
7
0
Sind D-Trust-Zertifikate der Bundesdruckerei unbedingt erforderlich?
Hallo,
unser ehem. IT-Verantwortlicher hatte in unserem kleinen Unternehmen vor 2 Jahren D-Trust-Zertifikate der Bundesdruckerei beantragt für unseren Email-Verkehr.
Dabei haben wir die Version "Advanced Enterprise ID" gewählt.
Hier eine Erklärung dazu:
Die D-TRUST Advanced Enterprise ID dient primär einer Absicherung der E-Mail-Kommunikation persönlicher Postfächer (nach dem S/MIME-Standard) für offene Benutzergruppen mit Organisations-Zugehörigkeit. Die D-TRUST Advanced Enterprise ID kann auch für das Aufbringen einer nicht-qualifizierten Signatur auf Dokumenten oder für alternative Anmeldeverfahren eingesetzt werden.
Diese Zertifikate laufen nun aus und da der ehem. IT-Leiter nicht mehr hier arbeitet, wissen wir nun nicht so recht, ob wir diese Zertifikate neu beantragen sollen, bzw. müssen.
Wir nutzen für unseren Email-Verkehr MS Outlook 2016 und wir nutzen bei den Emails auch eine Signatur, die automatisch von Outlook unten jeder Mail angefügt wird.
Meine Frage ist nun, ob es unbedingt erforderlich ist, dass wir diese D-Trust-Zertifikate neu beantragen. Das ist nämlich ein recht aufwendiger Prozess und lt. Angabe des Supportes muss das jede/r Mitarbeiter-/in selbst machen... es gibt keine Möglichkeit, das global für alle MA zu machen.
Schöne Grüße,
imebro
unser ehem. IT-Verantwortlicher hatte in unserem kleinen Unternehmen vor 2 Jahren D-Trust-Zertifikate der Bundesdruckerei beantragt für unseren Email-Verkehr.
Dabei haben wir die Version "Advanced Enterprise ID" gewählt.
Hier eine Erklärung dazu:
Die D-TRUST Advanced Enterprise ID dient primär einer Absicherung der E-Mail-Kommunikation persönlicher Postfächer (nach dem S/MIME-Standard) für offene Benutzergruppen mit Organisations-Zugehörigkeit. Die D-TRUST Advanced Enterprise ID kann auch für das Aufbringen einer nicht-qualifizierten Signatur auf Dokumenten oder für alternative Anmeldeverfahren eingesetzt werden.
Diese Zertifikate laufen nun aus und da der ehem. IT-Leiter nicht mehr hier arbeitet, wissen wir nun nicht so recht, ob wir diese Zertifikate neu beantragen sollen, bzw. müssen.
Wir nutzen für unseren Email-Verkehr MS Outlook 2016 und wir nutzen bei den Emails auch eine Signatur, die automatisch von Outlook unten jeder Mail angefügt wird.
Meine Frage ist nun, ob es unbedingt erforderlich ist, dass wir diese D-Trust-Zertifikate neu beantragen. Das ist nämlich ein recht aufwendiger Prozess und lt. Angabe des Supportes muss das jede/r Mitarbeiter-/in selbst machen... es gibt keine Möglichkeit, das global für alle MA zu machen.
Schöne Grüße,
imebro
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 568069
Url: https://administrator.de/contentid/568069
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
7 Kommentare
Neuester Kommentar
Zitat von @37414:
Diese Zertifikate laufen nun aus und da der ehem. IT-Leiter nicht mehr hier arbeitet, wissen wir nun nicht so recht, ob wir diese Zertifikate neu beantragen sollen, bzw. müssen.
Nun das müsst Ihr ja eigentlich am besten wissen, nur Ihr wisst mit wem Ihr korrespondiert und ob die Gegenseite solche Art Zertifikate zwingend von euch vorschreibt.Diese Zertifikate laufen nun aus und da der ehem. IT-Leiter nicht mehr hier arbeitet, wissen wir nun nicht so recht, ob wir diese Zertifikate neu beantragen sollen, bzw. müssen.
Wir nutzen für unseren Email-Verkehr MS Outlook 2016 und wir nutzen bei den Emails auch eine Signatur, die automatisch von Outlook unten jeder Mail angefügt wird.
Würde ich durch ein zentrales Mailgateway ersetzen dann sind keine Client-Anpassungen mehr nötig wenn die Zertifikate ablaufen.Meine Frage ist nun, ob es unbedingt erforderlich ist, dass wir diese D-Trust-Zertifikate neu beantragen.
Wie gesagt, wir kennen eure Korrespondenz und Kunden nicht. Wenn also einer eurer Kunden genau diese Art Zertifikate fordert dann werdet ihr wohl ober übel in den Apfel beißen müssen. Ist das nicht der Fall dann kann man sich ja bei den diversen anderen Anbietern eindecken.Das ist nämlich ein recht aufwendiger Prozess und lt. Angabe des Supportes muss das jede/r Mitarbeiter-/in selbst machen... es gibt keine Möglichkeit, das global für alle MA zu machen.
Für sowas gibt es wie oben erwähnt Secure Mail-Gateways wie z.B. NoSpamProxy oder Ciphermail usw. nur um ein paar zu nennen, dann muss man den Client nicht mehr anfassen und die Zuordnung und Generierung der Zertifikate zu den Mailboxen geschieht automatisch bzw. durch dich festgelegte Regeln am Mail-Gateway.Zitat von @37414:
Wir nutzen für unseren Email-Verkehr MS Outlook 2016 und wir nutzen bei den Emails auch eine Signatur, die automatisch von Outlook unten jeder Mail angefügt wird.
Wir nutzen für unseren Email-Verkehr MS Outlook 2016 und wir nutzen bei den Emails auch eine Signatur, die automatisch von Outlook unten jeder Mail angefügt wird.
Moin
bitte nicht eine S/MIME-Signatur mit der Outlook-Signatur mit Name, Abteilung, Telefon verwechseln, das hat nichts miteinander zu tun.
S/MIME-Zertifikate werden bei den meisten Providern für jeden Mitarbeiter einzeln verifiziert ( je nach Anbieter und Level von Bestätigungs-Link bis zum Post-Ident. Großanbieter wie SwissSign bieten dafür auch Schnittstellen zu Verschlüsselungs-Gateways an. (siehe Beitrag oben, neben NoSpamProxy und ciphermail kann ich noch das Compumatica-Gateway ins Rennen schicken).
Da man S/MIME-Zertifikate nicht verlängern kann, sollte man immer möglichst lange Laufzeiten wählen, das spart Geld und Aufwand.
Gruß
Bernhard
Moin,
ja das ist auch teilweise verwirrend weil für zwei verschiedene Dinge die gleiche Bezeichnung verwendet wird.
Euer CodeTwo setzt unter jede Mail ein Stück Text/HTML. Üblicherweise Firmenname, Anschrift, Telefon und oft noch ein Hinweis, dass diese Mail nur für den Empfänger bestimmt ist und man die Mail sofort löschen soll, wenn man diese Mail irrtümlicherweise bekommen hat.
Das Ganze hat nichts mit elektronischen Zertifikaten zu tun und ist unabhängig von der S/MIME-Thematik.
Eure D-Trust-Zertifikate sind S/MIME-Zertifikate, also ein Set von privatem und öffentlichen Schlüsseln mit denen Ihr als Absender ausgehende Mails elektronisch signiert. Der Empfänger sieht dann, dass der Absender der Mail von der Bundesdruckerei als Max Mustermann identifiziert wurde. In den Enterprise-Zertifikaten steht dann sogar noch drin, dass der Max Mustermann bei der Contoso GmbH arbeitet. Damit hat der Empfänger eine relativ große Chance, dass die Mail wirklich von dem Absender stammt und nicht gefaket ist. Zusätzlich wird (ganz einfach gesprochen) eine Prüfsumme über den Inhalt der Mail gebildet. So kann der Empfänger davon ausgehen, dass die Mail auf dem Transportweg nicht verändert wurde.
S/MIME-Signaturen kann man wahlweise im Outlook direkt einrichten (Trustcenter-Mail-Sicherheit) oder mit den schon angesprochenen Gateway-Lösungen. Wenn Ihr die Mails noch mit dem CodeTwo inhaltlich verändert, sollte bei Euch ein Gateway verbaut sein, auf dem Ihr dann auch die S/MIME-Zertifikate austauschen müsst bzw. die neuen hinzufügen (die alten behält man besser...)
Gruß
Bernhard
ja das ist auch teilweise verwirrend weil für zwei verschiedene Dinge die gleiche Bezeichnung verwendet wird.
Euer CodeTwo setzt unter jede Mail ein Stück Text/HTML. Üblicherweise Firmenname, Anschrift, Telefon und oft noch ein Hinweis, dass diese Mail nur für den Empfänger bestimmt ist und man die Mail sofort löschen soll, wenn man diese Mail irrtümlicherweise bekommen hat.
Das Ganze hat nichts mit elektronischen Zertifikaten zu tun und ist unabhängig von der S/MIME-Thematik.
Eure D-Trust-Zertifikate sind S/MIME-Zertifikate, also ein Set von privatem und öffentlichen Schlüsseln mit denen Ihr als Absender ausgehende Mails elektronisch signiert. Der Empfänger sieht dann, dass der Absender der Mail von der Bundesdruckerei als Max Mustermann identifiziert wurde. In den Enterprise-Zertifikaten steht dann sogar noch drin, dass der Max Mustermann bei der Contoso GmbH arbeitet. Damit hat der Empfänger eine relativ große Chance, dass die Mail wirklich von dem Absender stammt und nicht gefaket ist. Zusätzlich wird (ganz einfach gesprochen) eine Prüfsumme über den Inhalt der Mail gebildet. So kann der Empfänger davon ausgehen, dass die Mail auf dem Transportweg nicht verändert wurde.
S/MIME-Signaturen kann man wahlweise im Outlook direkt einrichten (Trustcenter-Mail-Sicherheit) oder mit den schon angesprochenen Gateway-Lösungen. Wenn Ihr die Mails noch mit dem CodeTwo inhaltlich verändert, sollte bei Euch ein Gateway verbaut sein, auf dem Ihr dann auch die S/MIME-Zertifikate austauschen müsst bzw. die neuen hinzufügen (die alten behält man besser...)
Gruß
Bernhard
Hallo imebro,
Nach deiner Beschreibung gehe ich davon aus, dass bei euch eines unserer Programme für E-Mail-Signaturen in Exchange im Einsatz ist: CodeTwo Exchange Rules oder CodeTwo Exchange Rules PRO. Wie BernhardMeierrose schon erwähnt hat, sind unsere Programme fürs Hinzufügen der E-Mail-Signaturen zuständig. Verschlüsselte und digital-signierte Nachrichten werden auch unterstützt (d. h. mit E-Mail-Signaturen versehen) vorausgesetzt, dass S/MIME- oder AD RMS-Standards verwendet werden. Mehr dazu findest du im Benutzerhandbuch der beiden Programme (in der „Other“-Tabelle):
https://www.codetwo.com/userguide/exchange-rules-family/system-requireme ...
https://www.codetwo.com/userguide/exchange-rules-pro/system-requirements ...
Wenn du eines dieser Programme nutzest, ist die Lizenz permanent. Daher musst du nichts bei uns verlängern und kannst weiterhin die E-Mail-Signaturen bequem und automatisch allen MA-E-Mails zentral hinzufügen. Zwar fehlt die Signaturvorschau-Funktion in diesen Versionen, aber die hinzugefügten Signaturen können dank dem Sent Items Update in Gesendeten Objekten eines jeden Benutzers angesehen werden (links: https://www.codetwo.de/exchange-rules-family/signatur-unter-gesendete-el ..., https://www.codetwo.com/userguide/exchange-rules-family/sent-items-updat ..). Die Signatur kann man beim Schreiben auch so ausschalten, dass man ein bestimmtes Kennwort in der Signaturregel definiert, das, wenn im E-Mail-Inhalt verwendet, die Signatur für diese Nachricht nicht einsetzt. Ähnlich kannst du mithilfe der Signaturregeln zum Beispiel unterschiedliche Signaturen für interne und externe Nachrichten einsetzen:
https://www.codetwo.de/exchange-rules-family/anwendersignatur
Mehr zur Signaturregel-Konfiguration:
https://www.codetwo.com/userguide/exchange-rules-family/rules-properties ...
https://www.codetwo.com/userguide/exchange-rules-pro/rules-properties.ht ...
Soweit ich richtig verstanden habe, ist unser Programm etwas Neues für dich. Du kannst viele nützliche Artikel und Medien auf unserer Webseite finden, die die Arbeit mit dem Programm näher bringen. Soll dies nicht helfen, bin ich über PN erreichbar
Grüße,
Adam
Nach deiner Beschreibung gehe ich davon aus, dass bei euch eines unserer Programme für E-Mail-Signaturen in Exchange im Einsatz ist: CodeTwo Exchange Rules oder CodeTwo Exchange Rules PRO. Wie BernhardMeierrose schon erwähnt hat, sind unsere Programme fürs Hinzufügen der E-Mail-Signaturen zuständig. Verschlüsselte und digital-signierte Nachrichten werden auch unterstützt (d. h. mit E-Mail-Signaturen versehen) vorausgesetzt, dass S/MIME- oder AD RMS-Standards verwendet werden. Mehr dazu findest du im Benutzerhandbuch der beiden Programme (in der „Other“-Tabelle):
https://www.codetwo.com/userguide/exchange-rules-family/system-requireme ...
https://www.codetwo.com/userguide/exchange-rules-pro/system-requirements ...
Wenn du eines dieser Programme nutzest, ist die Lizenz permanent. Daher musst du nichts bei uns verlängern und kannst weiterhin die E-Mail-Signaturen bequem und automatisch allen MA-E-Mails zentral hinzufügen. Zwar fehlt die Signaturvorschau-Funktion in diesen Versionen, aber die hinzugefügten Signaturen können dank dem Sent Items Update in Gesendeten Objekten eines jeden Benutzers angesehen werden (links: https://www.codetwo.de/exchange-rules-family/signatur-unter-gesendete-el ..., https://www.codetwo.com/userguide/exchange-rules-family/sent-items-updat ..). Die Signatur kann man beim Schreiben auch so ausschalten, dass man ein bestimmtes Kennwort in der Signaturregel definiert, das, wenn im E-Mail-Inhalt verwendet, die Signatur für diese Nachricht nicht einsetzt. Ähnlich kannst du mithilfe der Signaturregeln zum Beispiel unterschiedliche Signaturen für interne und externe Nachrichten einsetzen:
https://www.codetwo.de/exchange-rules-family/anwendersignatur
Mehr zur Signaturregel-Konfiguration:
https://www.codetwo.com/userguide/exchange-rules-family/rules-properties ...
https://www.codetwo.com/userguide/exchange-rules-pro/rules-properties.ht ...
Soweit ich richtig verstanden habe, ist unser Programm etwas Neues für dich. Du kannst viele nützliche Artikel und Medien auf unserer Webseite finden, die die Arbeit mit dem Programm näher bringen. Soll dies nicht helfen, bin ich über PN erreichbar
Grüße,
Adam