Jump to content

Umgang mit Zertifikaten in Outlook


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Es werden alle Postfächer die eingebunden sind mit Zertifikaten bestückt. Kostet ja auch nicht wirklich ne Lawine ($29/3J) und der Anzahl non-pers Postfächer ist sehr überschaubar.

 

Die Lösung mit dem Gateway ist bei uns leider überhaupt nicht einsetzbar.

 

EDIT: Aber ich sehe gerade Outlook legt automaitsch ein Profil an, wenn er das Zertifikat im Store findet... auch nicht schlecht.

bearbeitet von kosta88
Link zu diesem Kommentar
Am 6.4.2018 um 13:53 schrieb NorbertFe:

Danke. Das wäre nett.

Habe grade mit der Abteilung telefoniert und mit der neuen SEPPMail-basierten Verschlüsselung geht es, wie erwähnt, nicht mehr. Wenn man an bestimmte Empfänger (oder Domains) _immer_ verschlüsselt senden will, "muss man sich selber drum kümmern" (z.B. durch entsprechende Transportregel am Exchange).

Link zu diesem Kommentar

Vor lauter AAA vServer, Content Switch und Authentication Policies bin ich grade wohl ein wenig neben der Spur.. Aber jetzt habe ich es verstanden. :-D

 

Z.B.: Durch eine Transportregel, die dem Betreff der Mail das Schlüsselwort [confidential], {gesichert} oder {si} hinzufügt. Die letzten beiden scheinen noch zu funktionieren, obwohl das eigentlich die "Schlüsselwörter" der alten E-Mail-Verschlüsselung waren.

 

https://www.datev.de/dnlexom/client/app/index.html#/document/1001067 / https://www.datev.de/dnlexom/client/app/index.html#/document/1071313

 

Link zu diesem Kommentar

Hier mal noch eine Frage:

Angenommen wird setzen dann die öffentlichen Zertifikate ein, wie schon oben erwähnt, und verschlüsseln damit die Emails (bzw. empfangen verschlüsselte E-Mails).

Normalerweise werden gewisse E-Mails ja irgendwo im Outlook abgelegt, Archiv-Ordner oder was weiß ich - jeder wie er will, eigentlich. Dann liegen nämlich verschlüsselte E-Mails dort.

So lange das Zertifikat im System existiert, ist es ja kein Problem, damit kann man die E-Mails auch zukünftig entschlüsseln.

 

Aber, was wenn das Zertifikat nach 3 Jahren abläuft? Dann muss man ja ein neues Zertifikat erstellen und dieses überschreibt ja das alte Zertifikat im Zertifikats-Store, oder?? Damit lassen sich ja die alte E-Mails dann nicht mehr entschlüsseln.

 

Wie soll man damit vorgehen?

Link zu diesem Kommentar

Normalerweise erstellt man kein neues Zertifikat, sondern verlängert das bestehende. Dann bleibt der Private Key gleich und man kann auch die alten Mails noch entschlüsseln.

 

Aber die Thematik "verschlüsselte Daten im Backup/Archiv" ist trotzdem zu beachten. Hier haben Gateway-Lösungen den Vorteil, dass die Mails erst verschlüsselt werden, wenn sie das interne Netzwerk verlassen, und beim Empfang gleich entschlüsselt werden. Ist die Verschlüsselung auf dem Client terminiert, funktionieren auch diverse andere Sachen nicht: Exchange-Transportregeln, Gateway-Antivirus, DLP...

Link zu diesem Kommentar

Moin,

 

auch das gehört zu den Grundproblemen der Mailverschlüsselung, die eine Verbreitung der Technik effektiv verhindern.

Wie mwiederkehr schon sagt, kann man grundsätzlich das bestehende Zertifikat mit dem bestehenden Private Key verlängern - dann nutzt man dieses Zertifikat auch, um auf die "alten" Mails zuzugreifen. Es kann aber sein, dass man diese Form der Verlängerung nicht nutzen kann, weil z.B. die CA das nicht zulässt. In dem Fall muss man den privaten Schlüssel selbst archivieren, um ihn bei Bedarf zu nutzen. Dass das Zertifikat irgendwann abgelaufen ist, ist in dem Szenario nicht von Relevanz.

Den privaten Schlüssel zu archivieren, ist ohnehin notwendig, denn der kann ja vom System verloren gehen (Profil gelöscht, Rechner kaputt ...) - lösen muss man das Problem also ohnehin.

 

Sobald man Ende-zu-Ende verschlüsselt, wird es kompliziert und aufwändig. Das lässt sich nicht ändern. Daher prüfe man genau, ob man das wirklich braucht und baue vorher (!) die zugehörigen Prozesse auf.

Bei der Gateway-Verschlüsselung darf man übrigens berechtigt die Frage stellen, welchen Vorteil man gegenüber der reinen Transportverschlüsselung hat. Das hängt vom Szenario ab, aber auch hier sollte man den Bedarf prüfen.

 

Gruß, Nils

 

Link zu diesem Kommentar

Danke an euch beide.

 

Ich habe mittlerweile klären können, dass wir eine Gateway-Lösung eventuell implementieren können.

 

Zum Thema Zertifikat-Verlängerung:

Es wird mir geschrieben dass man das Zertifikat nicht verlängern kann, jedoch wenn man ein neues Zertifikat kauft, überschreibt dieses nicht das alte Zertifikat, und beide bleiben im System bestehen - und damit kann man die alte Emails entschlüsseln.

 

Zum Archivieren stimme ich ja zu: das muss man sich dann genau überlegen wie.

 

 

bearbeitet von kosta88
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...