SMIME Zertifikat Funktionspostfach

unbekannternr1
Goto Top
Hallo zusammen,

ich habe ein kleines Problem. Wir setzen Outlook ein, und haben jetzt von einen externen Partner ein Zertifikat für eine Funktionsadresse bekommen. Klar um verschlüsselte Mails zu senden und empfangen. Das Funktioniert auch prinzipiell soweit ganz gut. Nur leider muss bzw. müsste ich jetzt für jeden Benutzer der Zugriff auf das Postfach hat das Zertifikat manuell Importieren, die User sind dazu leider nur bedingt befähigt.
Ein Logon Script würde ich gerne vermeiden, das wir das eigl. nicht mehr einsetzen. Zudem kommt das Cmd Scripte bei uns durch AppLocker blockiert werden. Alles was ich bis jetzt gefunden habe basiert quasi immer auf Certutil allerdings immer nur als script. Und ich würde jetzt ungern dafür irgendwas über kompliziertes mit signierten Powershell script basteln wenn es ggf. noch eine andere Lösung gibt?

Ziel in kurz: Wie kann ich bei einer bestimmten Benutzergruppe eine PFX/P12 Datei in den Privaten Zertifikatsspeicher importieren? Ohne das die User davon etwas mitbekommen oder anklicken müssen.


Zertifikat liegt als P12 oder PFX vor.
Systeme sind alle Windows 10 Mit Office 2019 und Server 2019 als Domain Controller und Exchange On Premises

Content-Key: 1871068254

Url: https://administrator.de/contentid/1871068254

Ausgedruckt am: 02.07.2022 um 01:07 Uhr

Mitglied: OlliSe
OlliSe 09.02.2022 um 14:30:48 Uhr
Goto Top
Hi,
meine Idee wäre ein GPO? So habe ich das SSL Zertifikat für meinen Proxy verteilt.
Mitglied: UnbekannterNR1
UnbekannterNR1 09.02.2022 um 14:35:03 Uhr
Goto Top
Eine GPO lässt dich soweit ich es bis jetzt rausfinden konnte nur Öffentliche schlüssel verteilen, leider nicht den Privaten teil den ich ja gerade brauche.
Mitglied: ukulele-7
ukulele-7 09.02.2022 um 15:38:32 Uhr
Goto Top
Ist jetzt natürlich eine ziemliche Killer-Lösung aber Ich bin ein großer Freund von Gateways, so das die E-Mails intern dann unverschlüsselt in den Postfächern liegen und die Zertifikate alle auf dem Gateway. Das sollte man jetzt nicht wegen eines Zertifikates einführen, könnte dein Problem mit lösen aber auch neue schaffen.
Mitglied: UnbekannterNR1
UnbekannterNR1 09.02.2022 um 16:28:27 Uhr
Goto Top
Tatsächlich hatte ich auch diese Idee schon, und vielleicht wäre das eine gelegenheit das umzusetzen. Wir haben aktuell sowieso die Proxmox Mail Gateways im Einsatz aber ich könnte diese z.b. gegen ein sinnvolleres Mailgateway tauschen.

Habt @ukulele-7 hast Du zufällig ein Produkt das Du empfehlen kannst. irgendwas simples gerne Open Source oder Free bzw. wie immer für schmales Geld ace-sad"
Mitglied: OlliSe
OlliSe 09.02.2022 um 16:42:31 Uhr
Goto Top
Ich glaube NOSPAMPROXY erfüllt deinen Zweck auch.
Mitglied: C.R.S.
C.R.S. 09.02.2022 um 18:44:10 Uhr
Goto Top
Hallo,

das geht nur geskriptet. Ich sehe auch keinen Weg, das sicher gruppenbasiert zu tun, denn als SYSTEM kanns du das nicht in den User-Store importieren und als User kannst Du pfx und Passwort abrufen. Für Protect-CmsMessage brauchst du dann wieder Nutzerzertifikate, arbeitest effektiv also nicht gruppenbasiert.

Eine Möglichkeit wäre, den Nutzern Token/Smartcards mit dem Zertifikat auszuhändigen. Der Nachteil von Gateways ist, dass sie recht ineffizient sind, sofern man ein hohes Mail-Aufkommen/Bursts und geringen Verschlüsselungsbedarf hat, d.h. es läuft dann ein Milter mit, generiert Datenbankabfragen etc.

Grüße
Richard
Mitglied: Dani
Dani 09.02.2022 um 21:43:53 Uhr
Goto Top
Moin,
Ich glaube NOSPAMPROXY erfüllt deinen Zweck auch.
so ist es.

Eine Möglichkeit wäre, den Nutzern Token/Smartcards mit dem Zertifikat auszuhändigen.
Dann müsstest du in diesen Fall die Smartcard zentral plazieren, wo jeder der Nutzer des Funktionposfaches phykalischen Zugriff hat. Was wiederrum der Logik und dem Sinn wiedersprechen würde.

Der Nachteil von Gateways ist, dass sie recht ineffizient sind, sofern man ein hohes Mail-Aufkommen/Bursts und geringen Verschlüsselungsbedarf hat, d.h. es läuft dann ein Milter mit, generiert Datenbankabfragen etc.
Heutzutage mit der Virtualisierung fällt das kaum noch ins Gewicht. Die meiste Leistung bei Produkte wie NoSpaMproxy wird nicht durch Ver-/Entschlüsslung beeinträchtigt sondern maßgeblich durch die Zahl der aus-/eingehenden E-Mails.


Gruß,
Dani
Mitglied: C.R.S.
C.R.S. 09.02.2022 um 22:34:18 Uhr
Goto Top
Zitat von @Dani:

Dann müsstest du in diesen Fall die Smartcard zentral plazieren, wo jeder der Nutzer des Funktionposfaches phykalischen Zugriff hat. Was wiederrum der Logik und dem Sinn wiedersprechen würde.

Oder man gibt jedem Nutzer eine Smartcard mit diesem Zertifikat.

Heutzutage mit der Virtualisierung fällt das kaum noch ins Gewicht. Die meiste Leistung bei Produkte wie NoSpaMproxy wird nicht durch Ver-/Entschlüsslung beeinträchtigt sondern maßgeblich durch die Zahl der aus-/eingehenden E-Mails.

Ja, die eigentliche Verschlüsselung fällt nicht ins Gewicht, weil diese Gateways per se ineffizent sind. Wenn du den Verschlüsselungsgateway zusätzlich aufstellst, hast du den Mehraufwand in 1:1 in dem benötigten Host abgebildet. Wenn du ihn z.B. auf einer bestehenden Postfix-Infrastruktur integrierst, verschieben sich die Spezifikationen ganz erheblich. Und das in der Tat proportional zum Durchsatz und fast unabhängig davon, ob nun verschlüsselt wird oder nicht. Entsprechend lohnt es sich in der Regel nicht, diese Ressourcen einzusetzen, wenn der Anteil signierter/verschlüsselter Mails sehr gering ist.
Mitglied: Dani
Dani 09.02.2022 um 23:12:34 Uhr
Goto Top
Moin,
Oder man gibt jedem Nutzer eine Smartcard mit diesem Zertifikat.
Ich habe in unseren Account bei TeleSec und SwissSign nachgeschaut. Dort kann ich keine Stückzahl für die Fertigung angeben. Ist das nur bei bestimmten Anbietern möglich?


Gruß,
Dani
Mitglied: ukulele-7
Lösung ukulele-7 09.02.2022 um 23:20:49 Uhr
Goto Top
Ich nutze Ciphermail, ehemals Djigzo. Ist ein geiles Ding aber Support dafür ist selten. Man muss schon willens sein sich das anzutun, dafür halt free. Ich habe noch keine PKI angebunden, mache alles per Hand über die Whitelist. Ansonsten läuft das Ding aber viele Jahre stabil.
Mitglied: C.R.S.
C.R.S. 09.02.2022 um 23:41:56 Uhr
Goto Top
Zitat von @Dani:

Ich habe in unseren Account bei TeleSec und SwissSign nachgeschaut. Dort kann ich keine Stückzahl für die Fertigung angeben. Ist das nur bei bestimmten Anbietern möglich?

Das weiß ich nicht, habe ich so noch nicht gekauft. Denkbar, dass das nicht im Sinne der Anbieter ist, um sich nicht als Träger der Risiken daraus sehen zu müssen.
Der Fragesteller hat aber das Zertifikat ja als pfx, die er auf beliebig viele Karten schreiben kann.
Mitglied: UnbekannterNR1
UnbekannterNR1 10.02.2022 um 10:41:23 Uhr
Goto Top
Danke schonmal für die Antworten, ich werde wohl kurzfristig die PFX datei den Usern erstmal zur verfügung stellen zum selber importieren. Ggf. baue ich eine .exe datei mit autoIT oder so damit nicht jeder gleich an den Private Key kommt. Ich kann die Datei ja auch ein AD Gruppe begrenzen. Und mittelfristig werde ich mal Ciphermail testen. Das Mailaufkommen ist nicht so hoch daher perfomance kein Problem, aber verschlüsselung wird mehr werden und ich habe auch schon die nächste anfrage mit PGP, und ein extra Plugin will ich bei den Usern vermeiden.
Mitglied: ukulele-7
ukulele-7 10.02.2022 um 15:15:04 Uhr
Goto Top
Wir haben Ciphermail damals aufgetan als PDF-Verschlüsselung gewünscht war. Das hatten wir davor in sehr teuer und technisch deutlich schlechter von Utimaco, da war Ciphermail ein echter Traum.

Als Kommerzieller Anbieter scheint mir NoSpamProxy sehr gut und etabliert zu sein, habe ich aber noch nie genutzt. Die decken Funktionsumfang jenseits der Verschlüsselung mit ab (wie der Name suggeriert halt auch Spam-Filter) und laufen auf Windows, das ist schon eine etwas andere Ausrichtung.

Teste es, ich kann das ein oder andere beantworten. Es gab auch ein deutsches Unternehmen mit denen ich mal telefoniert habe die Support bieten, ist aber recht klein.