SMIME Domain Rollout

Mitglied: wiesi200

wiesi200 (Level 5) - Jetzt verbinden

24.11.2017 um 15:52 Uhr, 2022 Aufrufe, 6 Kommentare

Hallo,

heute zum Freitag hab ich noch zumindest meiner Meinung nach eine etwas komplexere Frage und hoffe auf ein Paar zusätzliche Meinungen.

Gegeben ich eine normale Windows Domain mit Exchange 2013 und Outlook in verschiedenen Versionen und einer Hand voll Mobiler Endgeräte die erst mal nicht interessieren.
Mein Gedanke ist ob es Sinnvoll ist hier über eine Windows Zertifizierungsstelle einen S/MIME Rollout durchzufüren.

Sprich kann ich Outlook irgendwie zentral beibringen das E-Mail's pauschal mit automatisch generierten Benutzerzertifikaten von einer Windows Zertifizierungsstelle signiert werden ohne das ein Eingriff von einem Benutzer notwendig ist.

Und dann wie würden andere Firmen darauf reagieren. Da es sich um kein öffentliches Zertifikat handelt ist es ja bei Fremdfirmen nicht "gültig". Würdet ihr sowas akzeptieren oder sogar noch weiter gehen und ein Zertifizierungsstellen Zertifikat so einbinden das unsere Benutzerzertifikate als gültig betrachtet werden.

Oder ist mein Gedanke absoluter Schwachsinn?

Schon mal vielen Danke für eure Hilfe und Meinungen
Mitglied: emeriks
LÖSUNG 24.11.2017 um 15:59 Uhr
Hi,
Sprich kann ich Outlook irgendwie zentral beibringen das E-Mail's pauschal mit automatisch generierten Benutzerzertifikaten von einer Windows Zertifizierungsstelle signiert werden ohne das ein Eingriff von einem Benutzer notwendig ist.
Meines Wissens nicht. Selbst wenn der Benutzer nur ein Zertifikat in seinem Speicher hat will Outlook dieses ja auch noch ausgewählt wissen. Hier müsste man also etwas scripten.

Und dann wie würden andere Firmen darauf reagieren. Da es sich um kein öffentliches Zertifikat handelt ist es ja bei Fremdfirmen nicht "gültig".
Ohne Ankündigung ganz gefährlich. Wenn, dann müsste man sowas bei allen Kunden und Dienstleistern lange vorher ankündigen, denen das öffentliche Stammzertifikat bereitstellen mit der Bitte, dies bei sich zu verteilen. Selbst wenn diese das alle tun würden, bleiben doch noch alle anderen Empfänger, welche nicht auf der Liste "normalen" der Kunden und Dienstleister stehen.

Oder ist mein Gedanke absoluter Schwachsinn?
Ich würde es so nicht tun. Nur mit Zertifikaten von bekannten, öffentlichen Zertifizirungsstellen.

E.
Bitte warten ..
Mitglied: 134464
134464 (Level 2)
24.11.2017, aktualisiert um 17:00 Uhr
Das macht man heute effektiver mit S-MIME Gateway Lösungen wie diesen hier


Glaubs mir das ist 100 mal besser als das Client gebastel, damit wirst du nicht glücklich.
Bitte warten ..
Mitglied: Dani
LÖSUNG 24.11.2017 um 17:50 Uhr
Moin,
Mein Gedanke ist ob es Sinnvoll ist hier über eine Windows Zertifizierungsstelle einen S/MIME Rollout durchzufüren.
Kann man machen... allerdings müsstest du dir deine PKI bestätigen lassen - siehe hier. Zudem müsstest du sicherstellen, dass die Sperrliste(n) jeder Zeit aus dem Internet erreichbar und abrufbar sind. Denn irgendwie muss die Gültigkeit des Zertifikats geprüft werden.

Würdet ihr sowas akzeptieren oder sogar noch weiter gehen und ein Zertifizierungsstellen Zertifikat so einbinden das unsere Benutzerzertifikate als gültig betrachtet werden.
Nein. Wer sagt mir dass du deine PKI nach den Richtlinien vorschriftsmäßig betreibst. Unabhängig davon entsteht durch die manuelle Einbindung ein gewisser (regelmäßiger) Pflegeaufwand, den ich dir in Rechnung stelle würde. Denn ich habe davon erstmal nichts außer Arbeit.

Oder ist mein Gedanke absoluter Schwachsinn?
Lass es und kaufe die notwendigen Zertifikate bei den einschlägigen Anbietern. Mit einer entsprechenden Sofwarelösung aus dem Kommentar von @Specht ist das zeitnah implementiert. Vorallem benutzerfreundlich und vollständig automatisiert. Wir nutzen u.a. dafür inzwischen NoSpamProxy.


Gruß,
Dani
Bitte warten ..
Mitglied: wiesi200
24.11.2017 um 18:46 Uhr
Alles klar ich hab's mir fast gedacht.

Danke
Bitte warten ..
Mitglied: wiesi200
24.11.2017 um 19:01 Uhr
Vielleicht noch kurz zur Ergänzung.
Im Endeffekt geht's mir nicht mal um smime an sich.

Wenn ich zum Beispiel eine E-Mailadresse hab benutzer@domain.de und jemand extern registriert bei nem externen Provider die Adresse benutzer@provider.de.
Dann sendet er an unsere Firma eine E-Mail mit dem Absendernamen benutzer@domain.de sieht das in Outlook so aus: Benutzer@domain.de <benutzer@provider.de>

Wie kann ich nem Laien erkenntlich machen das er aufpassen muss
Bitte warten ..
Mitglied: Dani
24.11.2017 um 19:17 Uhr
Moin,
Wie kann ich nem Laien erkenntlich machen das er aufpassen muss
Wir blocken solche E-Mail ohne Ausnahme!


Gruß,
Dani
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Realistische Gehaltsvorstellung für eine "IT-Allroundkraft"
gelöst JiggyLeeVor 19 StundenFrageOff Topic17 Kommentare

Hallo an alle, ich hege momentan den Wunsch mich von der alten verstaubten Behörden Bürokratie und langweiliger Aufgaben los zu lösen und in einem ...

Windows 10
Windows 10 Geschwindigkeitprobleme trotz viel mehr Gb Ram
Matthes88Vor 1 TagFrageWindows 1036 Kommentare

Hallo ihr lieben aaaalso : Da mein neuer Arbeitsspeicher (32gb) von meiner alten Windows 7 version (max mit 8gb kompatibel) nicht angenommen wurde, habe ...

Humor (lol)
Tipp: Dinge, die man besser nicht klaut
altmetallerVor 20 StundenTippHumor (lol)10 Kommentare

Hallo, so wurde meiner Hündin z.B. heute der (eingeschaltete) GPS-Tracker mit Mobilfunkanbindung quasi "direkt vom Halsband weggefunden". Akku hatte noch 60% :-P Und ich ...

Switche und Hubs
Suche Deutsche Sprachdatei für D-Link DGS-1210-24 D1 Switch
gelöst Oggy01Vor 1 TagFrageSwitche und Hubs8 Kommentare

Hallo, ich habe einen D-Link DGS-1210-24 Vers. D1 Switch bekommen und suche für diesen eine Deutsche Sprachdatei. Die Firmware ist auf dem aktuellen Stand ...

Windows Server
GPU Passthrough HYPER-V 2019
bintesVor 1 TagFrageWindows Server8 Kommentare

Hallo, ich habe ein ein Problem mit der Bereitstellung einer Grafikkarte an eine virtuelle Maschine. Hardware: - HPE ProLiant DL380 Gen9 V4 Rack Server ...

Video & Streaming
Videoaufnahme funktioniert nur bis zum ersten Reboot (0x80040217)
IllusionFACTORYVor 1 TagFrageVideo & Streaming11 Kommentare

Ich nehme über eine Video-Software von einem USB-Hardware-Encoder Video auf. Das funktioniert exakt bis zum ersten Reboot - danach bekomme ich beim Starten der ...

Windows Server
Windows Admin Center DC
maximidVor 1 TagFrageWindows Server3 Kommentare

Hallo, ich hätte mal eine Frage zu Windows Admin Center und zwar schaue ich es mir aktuell etwas an da mir die zentrale Verwaltung ...

SAN, NAS, DAS
Synology DS213j - Volume nach HDD Austausch vergrößern
gelöst JasperBeardleyVor 1 TagFrageSAN, NAS, DAS4 Kommentare

Moin, ich hab meinem NAS zwei neue 8TB spendiert, da die 3TB Platten jetzt 6 Jahre alt sind. Da die beiden Platten im JBOD ...