Zertifikat e-mail

Mitglied: planar

planar (Level 1) - Jetzt verbinden

25.02.2020 um 11:48 Uhr, 1319 Aufrufe, 8 Kommentare

Hallo,

ich bin gerade dabei mir einen Überblick zu verschaffen.
Es geht um Zertifikate um einen sicheren e-mail Verkehr mit Behörden oder ähnlichem zu gewährleisten.
Unser Mailverkehr läuft über Exchange.
Eine Behörde hat uns Zertifikate geschickt die wir in unserem System eingebunden haben und von uns aus per sicherem Mail Verkehr kommunizieren können. Das klappt auch.
Jetzt soll das andersherum auch geschehen, das heißt wir schicken der Behörde ein Zertifikat, so das Mails zu uns auch verschlüsselt versandt werden.

Das Zertifikat muss folgende Anforderungen erfüllen.

- X.509 V3 Standard
- erweiterte Schlüsselverwendung muss die Attribute "Schlüsselverschlüsselung" und "sichere E-Mail" enthalten
- die im Zertifikat (SubjectAltName) eingetragene E-Mail Adresse muss mit der eingeladenen Mail Adresse übereinstimmen

Es gibt ja Trustcenter die so etwas machen, gibt es auch freie Tools mit der man diese Zertifikate erstellen kann, bzw. könnt ihr etwas empfehlen.

Ich habe mich mit dem Thema bisher noch nicht auseinandergesetzt.


Vielen Dank Planar
Mitglied: 143127
143127 (Level 2)
25.02.2020, aktualisiert um 12:29 Uhr
Macht das am besten gleich zentral über ein "Secure Mail Gateway" und nicht auf den Clients

NoSpamProxy welches das auch gleich miterledigt kann ich z.B. wärmstens weiterempfehlenn (Nein das ist keine Werbung, und ich werde auch nicht dafür bezahlt, dies spiegelt nur meine eigene Erfahrung mit dem Produkt wieder).
Bitte warten ..
Mitglied: sabines
25.02.2020 um 12:35 Uhr
Yepp, so was lässt man ein Gateway erledigen bspw:
https://www.ciphermail.info/features.html
Bitte warten ..
Mitglied: StefanKittel
26.02.2020 um 07:15 Uhr
Hallo,

Zitat von planar:
Es gibt ja Trustcenter die so etwas machen, gibt es auch freie Tools mit der man diese Zertifikate erstellen kann, bzw. könnt ihr etwas empfehlen.

Grundsätzlich kannst Du intern eine CA aufsetzen und Zertifikate selber erstellen.
Das ist nur eigentlich sinnbefreit denn alle Clients werden diese Zertifikate ablehnen solange die nicht Deine CA importiert haben.

Die Idee ist, dass Du Zertifikate bei einem Trustcenter kaufst dem alle Clients schon vertrauen.
Zertifikate von dem TC werden von alle Clients automatisch als vertrauenswürdig akzeptiert.

Das mit dem sMIME GW kann man machen, muss aber nicht. Wenn es nur wenige Clients sind kann man es auch so machen.
Außerdem gibt es durch das GW keine Ende-Zu-Ende-Verschlüsselung.

Stefan
Bitte warten ..
Mitglied: sabines
26.02.2020 um 12:16 Uhr
Zitat von StefanKittel:
Außerdem gibt es durch das GW keine Ende-Zu-Ende-Verschlüsselung.


Wie meinst Du das?
Bitte warten ..
Mitglied: 143127
143127 (Level 2)
26.02.2020, aktualisiert um 12:21 Uhr
Zitat von sabines:

Zitat von StefanKittel:
Außerdem gibt es durch das GW keine Ende-Zu-Ende-Verschlüsselung.


Wie meinst Du das?
Er meint damit das die Mail bereits auf dem Gateway entschlüsselt wird statt erst auf dem Client durch den Benutzer.
Bitte warten ..
Mitglied: sabines
26.02.2020 um 12:24 Uhr
Das ist m.M. völlig ok und auch gut so, denn damit hast Du dann keine Probleme mehr mit den Mails im Haus.
Das Gateway liegt ja im Hoheisbereich des Unternehmens.

Das "andere" Szenario wäre jeder macht seine eigene Suppe und dann werden u.U. die Mails verschlüsselt gespeichert, dann kommt das PW/Zertifikat/User abhanden und keiner kann das noch lesen ;-) face-wink
Bitte warten ..
Mitglied: planar
28.02.2020 um 12:45 Uhr
Erstmal vielen Dank,

so ganz verstanden habe ich das noch nicht, wie gesagt es ist komplettes Neuland.

Die verschlüsselte Kommunikation von uns zur Behörde geht ja. Da hat uns die Behörde die Zertifikate bereitgestellt.

Um das auch andersherum zu machen hat der Ansprechpartner uns einen Link gesendet, dieser Link führt auf eine Seite auf der wir unsere Kontaktdaten angeben müssen. Dort existiert auch eine Upload Link, mit dem wir unser Zertifikat hochladen können, was wir auch gemacht haben.
Das Zertifikat habe ich Testweise mal mit dem Programm xca erstellt.
Die Behörde hat das geprüft und freigegeben.

Nun kann der Mitarbeiter uns aber trotzdem keine verschlüsselten Mails schicken, mit anderen Partnern klappt das bei ihm problemlos.
Das heißt unser Zertifikat hat sicher ein irgendwo ein Problem.

Das wars auch schon mit meiner Weisheit.
Vielleicht hat ja jemand Erfahrungen mit dem Programm oder anderen. Da wir nur ein paar Leute sind würde ich das erstens halbwegs verstehen und zweitens eine eigene Lösung finden wollen.

danke
Bitte warten ..
Mitglied: 143127
143127 (Level 2)
28.02.2020, aktualisiert um 15:46 Uhr
Das heißt unser Zertifikat hat sicher ein irgendwo ein Problem.
Dann hat's du es wohl mit den falschen Attributen ausgestellt. Können wir hier ja leider nicht sehen was du dabei verbockt hast.
Außerdem müssen dann alle der CA vertrauen mit der du das Zertifikat ausgestellt hast und das kann schon ein Knackpunkt sein.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Wohin mit alter (Server)Hardware?
insidERRVor 1 TagFrageOff Topic36 Kommentare

Hallo zusammen. Nachdem unser Leasing nach 5 Jahren ausgelaufen ist, haben wir auf der Arbeit neue Server bekommen. Wieder sind es zwei Hosts für ...

Windows Netzwerk
Wie VPN in Zeiten von HomeOffice einfach gestalten
VizKyneticVor 1 TagFrageWindows Netzwerk12 Kommentare

Moin! Vermehrt kommen die Anfragen zu HomeOffice Arbeitsplätzen und der Möglichkeit Remote zu arbeiten. Wir haben verschiedene Lösungen im Einsatz, da diese Struktur über ...

Datenschutz
DSGVO-konforme Löschsoftware für Festplatten
alwayshungryVor 1 TagFrageDatenschutz27 Kommentare

Hallo zusammen, welche Software gibt es, damit man DSGVO-konform Festplatten löschen kann? Ich kenne zwar Blancco, aber gibt es denn da keine gesetzeskonforme Alternativen? ...

Windows 10
Windows 10 Anmeldezeitenbeschränkung für Kinder
gelöst bastian23Vor 1 TagFrageWindows 1016 Kommentare

Hallo, kennt jemand von Euch eine Lösung, um meine Kinder daran zu hintern ihre Notebooks nach z.B. 21 Uhr zu nutzen? Ein einfacher shutdown ...

TK-Netze & Geräte
Panasonic NS700 an S0 von Fritzbox
jensgebkenVor 1 TagFrageTK-Netze & Geräte38 Kommentare

Hallo Gemeinschaft, gibt es eine Möglichkeit meine gebrauchte NS700 mit einer Fritzbox zu verbinden, so dass ich auch raustelefonieren kann - hinter der NS ...

Microsoft
Druckerwarteschlange druckt nur 9999 Seite
WBPowerVor 1 TagFrageMicrosoft8 Kommentare

Hallo zusammen, ich habe folgende Problemstellung. Wir betreiben einen Printserver auf Basis Windows Server 2016 (ca. 100 Drucker unterschiedlichster Hersteller und Modelle). Die Kollegen ...

Rechtliche Fragen
Adobe Flash erneut aktivieren, IT-Sicherheit + Datenschutz
anteNopeVor 18 StundenFrageRechtliche Fragen14 Kommentare

Hallo zusammen, ich weiß es ist noch nicht Freitag aber mir ist hier gerade die Kinnlade bis in den Keller gefallen. Opel (ja der ...

Switche und Hubs
100Mbit per 4 Adern
geforce28Vor 1 TagFrageSwitche und Hubs5 Kommentare

Hallo zusammen, ich habe folgendes Szenario realisiert: Über 4 Adern (alte Telefonleitung, die in der Wand liegt mit, ca. 15m) ist eine 100Mbit Ethernet ...