xaero1982
Goto Top

Smime-Verschlüsselung

Moin Zusammen,

vorneweg: Ich hab die ehrenwerte Aufgabe ein Problem zu lösen bei einem Thema mit dem ich nichts am Hut habe. Leider kann mir da auch sonst keiner helfen face-smile

Daher folgendes:

Firma A kommuniziert mit Firma B.

Firma A hat eine UTM mit einem Zertifikat für die Emailverschlüsselung von Firma B auf der Sophos UTM eingespielt
Firma B hat die Zertifikate von Firma A ebenfalls eingespielt.

Nun schickt Person 1 aus Firma B eine Email an Firma A

TO: x
CC: y, z

Die Email ist lesbar von x und y

Next try:

TO: y
CC: x, z

Lesbar nur von y

Next try:

TO: z
CC: x, y

Lesbar von y und z

Es ist also von y immer lesbar. Von x und z nur wenn sie im TO stehen und nicht wenn sie im CC stehen.

Dann habe ich mir die Header angesehen. Immer wenn eine Mail nicht lesbar ist steht im Header folgender Abschnitt:

Content-Language: de-DE
Content-Type: application/pkcs7-mime; smime-type=enveloped-data;
	name="smime.p7m"  
Content-Disposition: attachment; filename="smime.p7m"  
Content-Transfer-Encoding: base64

Wenn die Mail lesbar ist steht an dieser Stelle:

Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_0010_01D74197.D759D360"  
X-MS-Exchange-Organization-Network-Message-Id: ed73a2e0-e05c-4e3d-295f-08d90f9e3a0a
MIME-Version: 1.0

Ansonsten sind die Header nahezu identisch.

Hat da zufällig jemand eine Idee wo ich ansetzen kann?

Grüße

Content-ID: 666664

Url: https://administrator.de/contentid/666664

Ausgedruckt am: 19.12.2024 um 03:12 Uhr

148121
148121 12.05.2021 aktualisiert um 11:42:38 Uhr
Goto Top
Moin.
Erstmal zu klären wäre was du eigentlich betreibst. Ende zu Ende Verschlüsselung, also von User zu User mit personalisierten Zertifikaten auf den Clients oder eine Gateway- zu Gateway Verschlüsselung mit einem einzigen GW Zertifikat, oder ist die Sophos SMTP Proxy und hat alle Zertifikate der User?

https://www.msxfaq.de/signcrypt/zertifikatarten.htm

Gruß w.
Xaero1982
Xaero1982 12.05.2021 um 11:43:04 Uhr
Goto Top
Zitat von @148121:

Moin.
Erstmal zu klären wäre was du eigentlich betreibst. Ende zu Ende Verschlüsselung, also von User zu User mit personalisierten Zertifikaten oder eine Gateway-Verschlüsselung mit einem einzigen GW Zertifikat?
https://www.msxfaq.de/signcrypt/zertifikatarten.htm

Gruß w.

Moin,

Das ist eine User zu User Verschlüsselung mit personalisierten Zertifikaten.

Grüße
148121
148121 12.05.2021 aktualisiert um 11:46:55 Uhr
Goto Top
Dann pack die weiteren Empfänger mal stattdessen mal testweise ins BCC.
Xaero1982
Xaero1982 12.05.2021 um 11:51:54 Uhr
Goto Top
Muss ich Firma B kontaktieren. Könnte dauern face-smile
mbehrens
mbehrens 12.05.2021 um 11:53:32 Uhr
Goto Top
Zitat von @Xaero1982:

Das ist eine User zu User Verschlüsselung mit personalisierten Zertifikaten.

Scheinbar nicht, da die Zertifikate, zumindest teilweise, auf der UTM eingespielt und verwendet werden.
Xaero1982
Xaero1982 12.05.2021 um 13:01:18 Uhr
Goto Top
Zitat von @148121:

Dann pack die weiteren Empfänger mal stattdessen mal testweise ins BCC.

Firma B ist leider erst kommende Woche wieder erreichbar.
Ich habe ihm auch geschrieben, dass er die Zertifikate bitte vollständig entfernen soll und neu importieren möchte. We will see.

Danke
Xaero1982
Xaero1982 12.05.2021 um 13:02:37 Uhr
Goto Top
Zitat von @mbehrens:

Zitat von @Xaero1982:

Das ist eine User zu User Verschlüsselung mit personalisierten Zertifikaten.

Scheinbar nicht, da die Zertifikate, zumindest teilweise, auf der UTM eingespielt und verwendet werden.

mh und weil sie auf der UTM sind, können es keine Userzertifikate sein? ;)

Grüße
mbehrens
mbehrens 12.05.2021 um 13:09:17 Uhr
Goto Top
Zitat von @Xaero1982:

Zitat von @mbehrens:

Zitat von @Xaero1982:

Das ist eine User zu User Verschlüsselung mit personalisierten Zertifikaten.

Scheinbar nicht, da die Zertifikate, zumindest teilweise, auf der UTM eingespielt und verwendet werden.

mh und weil sie auf der UTM sind, können es keine Userzertifikate sein? ;)

Sicher, nur ist es keine Ende zu Ende Verschlüsselung zwischen zwei Kommunikationspartnern mehr.
Xaero1982
Xaero1982 12.05.2021 um 13:28:04 Uhr
Goto Top
Du meinst, weil der Weg zwischen Outlook und UTM dann nicht verschlüsselt ist?
mbehrens
mbehrens 12.05.2021 um 13:43:32 Uhr
Goto Top
Zitat von @Xaero1982:

Du meinst, weil der Weg zwischen Outlook und UTM dann nicht verschlüsselt ist?

Ja, die UTM terminiert laut Deiner Beschreibung die verschlüsselte Kommunikation.
mbehrens
mbehrens 12.05.2021 um 13:44:51 Uhr
Goto Top
Zitat von @Xaero1982:

Firma A hat eine UTM mit einem Zertifikat für die Emailverschlüsselung von Firma B auf der Sophos UTM eingespielt
Firma B hat die Zertifikate von Firma A ebenfalls eingespielt.

Was sagen die Logbücher der UTM hierzu? Sehen die das genau so?
Xaero1982
Xaero1982 12.05.2021 um 14:17:17 Uhr
Goto Top
Nun wenn zwischen UTM und Clientoutlook was abgefangen wird gibt es ganz andere Probleme face-smile

Die sagen, dass es bei allen gleich ist.

Ich muss jetzt abwarten bis die Gegenseite die Zertifikate getauscht hat bzw. erneuert hat und dann mal sehen.

Grüße
Xaero1982
Xaero1982 18.05.2021 um 08:51:06 Uhr
Goto Top
Moin,

also die Gegenstelle hat die Zertifikate nochmal entfernt und neu importiert und siehe da: Alle korrekt angekommen.

Grüße