wiesi200
Goto Top

SMIME Domain Rollout

Hallo,

heute zum Freitag hab ich noch zumindest meiner Meinung nach eine etwas komplexere Frage und hoffe auf ein Paar zusätzliche Meinungen.

Gegeben ich eine normale Windows Domain mit Exchange 2013 und Outlook in verschiedenen Versionen und einer Hand voll Mobiler Endgeräte die erst mal nicht interessieren.
Mein Gedanke ist ob es Sinnvoll ist hier über eine Windows Zertifizierungsstelle einen S/MIME Rollout durchzufüren.

Sprich kann ich Outlook irgendwie zentral beibringen das E-Mail's pauschal mit automatisch generierten Benutzerzertifikaten von einer Windows Zertifizierungsstelle signiert werden ohne das ein Eingriff von einem Benutzer notwendig ist.

Und dann wie würden andere Firmen darauf reagieren. Da es sich um kein öffentliches Zertifikat handelt ist es ja bei Fremdfirmen nicht "gültig". Würdet ihr sowas akzeptieren oder sogar noch weiter gehen und ein Zertifizierungsstellen Zertifikat so einbinden das unsere Benutzerzertifikate als gültig betrachtet werden.

Oder ist mein Gedanke absoluter Schwachsinn?

Schon mal vielen Danke für eure Hilfe und Meinungen

Content-ID: 356027

Url: https://administrator.de/forum/smime-domain-rollout-356027.html

Ausgedruckt am: 24.12.2024 um 18:12 Uhr

emeriks
Lösung emeriks 24.11.2017 um 15:59:24 Uhr
Goto Top
Hi,
Sprich kann ich Outlook irgendwie zentral beibringen das E-Mail's pauschal mit automatisch generierten Benutzerzertifikaten von einer Windows Zertifizierungsstelle signiert werden ohne das ein Eingriff von einem Benutzer notwendig ist.
Meines Wissens nicht. Selbst wenn der Benutzer nur ein Zertifikat in seinem Speicher hat will Outlook dieses ja auch noch ausgewählt wissen. Hier müsste man also etwas scripten.

Und dann wie würden andere Firmen darauf reagieren. Da es sich um kein öffentliches Zertifikat handelt ist es ja bei Fremdfirmen nicht "gültig".
Ohne Ankündigung ganz gefährlich. Wenn, dann müsste man sowas bei allen Kunden und Dienstleistern lange vorher ankündigen, denen das öffentliche Stammzertifikat bereitstellen mit der Bitte, dies bei sich zu verteilen. Selbst wenn diese das alle tun würden, bleiben doch noch alle anderen Empfänger, welche nicht auf der Liste "normalen" der Kunden und Dienstleister stehen.

Oder ist mein Gedanke absoluter Schwachsinn?
Ich würde es so nicht tun. Nur mit Zertifikaten von bekannten, öffentlichen Zertifizirungsstellen.

E.
134464
134464 24.11.2017 aktualisiert um 17:00:14 Uhr
Goto Top
Das macht man heute effektiver mit S-MIME Gateway Lösungen wie diesen hier


Glaubs mir das ist 100 mal besser als das Client gebastel, damit wirst du nicht glücklich.
Dani
Lösung Dani 24.11.2017 um 17:50:59 Uhr
Goto Top
Moin,
Mein Gedanke ist ob es Sinnvoll ist hier über eine Windows Zertifizierungsstelle einen S/MIME Rollout durchzufüren.
Kann man machen... allerdings müsstest du dir deine PKI bestätigen lassen - siehe hier. Zudem müsstest du sicherstellen, dass die Sperrliste(n) jeder Zeit aus dem Internet erreichbar und abrufbar sind. Denn irgendwie muss die Gültigkeit des Zertifikats geprüft werden.

Würdet ihr sowas akzeptieren oder sogar noch weiter gehen und ein Zertifizierungsstellen Zertifikat so einbinden das unsere Benutzerzertifikate als gültig betrachtet werden.
Nein. Wer sagt mir dass du deine PKI nach den Richtlinien vorschriftsmäßig betreibst. Unabhängig davon entsteht durch die manuelle Einbindung ein gewisser (regelmäßiger) Pflegeaufwand, den ich dir in Rechnung stelle würde. Denn ich habe davon erstmal nichts außer Arbeit.

Oder ist mein Gedanke absoluter Schwachsinn?
Lass es und kaufe die notwendigen Zertifikate bei den einschlägigen Anbietern. Mit einer entsprechenden Sofwarelösung aus dem Kommentar von @specht ist das zeitnah implementiert. Vorallem benutzerfreundlich und vollständig automatisiert. Wir nutzen u.a. dafür inzwischen NoSpamProxy.


Gruß,
Dani
wiesi200
wiesi200 24.11.2017 um 18:46:35 Uhr
Goto Top
Alles klar ich hab's mir fast gedacht.

Danke
wiesi200
wiesi200 24.11.2017 um 19:01:41 Uhr
Goto Top
Vielleicht noch kurz zur Ergänzung.
Im Endeffekt geht's mir nicht mal um smime an sich.

Wenn ich zum Beispiel eine E-Mailadresse hab benutzer@domain.de und jemand extern registriert bei nem externen Provider die Adresse benutzer@provider.de.
Dann sendet er an unsere Firma eine E-Mail mit dem Absendernamen benutzer@domain.de sieht das in Outlook so aus: Benutzer@domain.de <benutzer@provider.de>

Wie kann ich nem Laien erkenntlich machen das er aufpassen muss
Dani
Dani 24.11.2017 um 19:17:48 Uhr
Goto Top
Moin,
Wie kann ich nem Laien erkenntlich machen das er aufpassen muss
Wir blocken solche E-Mail ohne Ausnahme!


Gruß,
Dani