Jump to content
Sign in to follow this  
kosta88

Umgang mit Zertifikaten in Outlook

Recommended Posts

Es werden alle Postfächer die eingebunden sind mit Zertifikaten bestückt. Kostet ja auch nicht wirklich ne Lawine ($29/3J) und der Anzahl non-pers Postfächer ist sehr überschaubar.

 

Die Lösung mit dem Gateway ist bei uns leider überhaupt nicht einsetzbar.

 

EDIT: Aber ich sehe gerade Outlook legt automaitsch ein Profil an, wenn er das Zertifikat im Store findet... auch nicht schlecht.

Edited by kosta88

Share this post


Link to post
Share on other sites
vor 51 Minuten schrieb kosta88:

Die Lösung mit dem Gateway ist bei uns leider überhaupt nicht einsetzbar.

Warum das? :)

 

Ja, in der Hoffnung, dass es dann eben auch alles so funktioniert, wie man es gern hätte. Kannst ja mal berichten.

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Weil, wenn ich das richtig verstehe, das eine Lösung ist, die wir in unserer gehosteten Umgebung nicht verwenden können.

 

Gerne. Mache sowieso zuerst Tests in einem engeren Benutzer-Kreis.

Share this post


Link to post
Share on other sites
Am 6.4.2018 um 13:53 schrieb NorbertFe:

Danke. Das wäre nett.

Habe grade mit der Abteilung telefoniert und mit der neuen SEPPMail-basierten Verschlüsselung geht es, wie erwähnt, nicht mehr. Wenn man an bestimmte Empfänger (oder Domains) _immer_ verschlüsselt senden will, "muss man sich selber drum kümmern" (z.B. durch entsprechende Transportregel am Exchange).

Share this post


Link to post
Share on other sites
vor 58 Minuten schrieb testperson:

(z.B. durch entsprechende Transportregel am Exchange)

Hattest du oben ja schon beschrieben. Wie regelt man das denn in Verbindung mit Datev?

Share this post


Link to post
Share on other sites
vor 12 Minuten schrieb NorbertFe:

Hattest du oben ja schon beschrieben. Wie regelt man das denn in Verbindung mit Datev?

An welcher Stelle soll denn jetzt was geregelt werden? Irgendwie scheine ich den Faden verloren zu haben. :-)

Share this post


Link to post
Share on other sites

Früher hat man serverseitig die Zertifikate (bei Datev) ja hinterlegt. Das scheint offenbar jetzt nicht mehr möglich zu sein. Also wie sollte der Exchange durch irgendeine Transportregel dafür sorgen, dass ein Mail zwangsweise verschlüsselt wird?

Share this post


Link to post
Share on other sites

Vor lauter AAA vServer, Content Switch und Authentication Policies bin ich grade wohl ein wenig neben der Spur.. Aber jetzt habe ich es verstanden. :-D

 

Z.B.: Durch eine Transportregel, die dem Betreff der Mail das Schlüsselwort [confidential], {gesichert} oder {si} hinzufügt. Die letzten beiden scheinen noch zu funktionieren, obwohl das eigentlich die "Schlüsselwörter" der alten E-Mail-Verschlüsselung waren.

 

https://www.datev.de/dnlexom/client/app/index.html#/document/1001067 / https://www.datev.de/dnlexom/client/app/index.html#/document/1071313

 

Share this post


Link to post
Share on other sites

Hier mal noch eine Frage:

Angenommen wird setzen dann die öffentlichen Zertifikate ein, wie schon oben erwähnt, und verschlüsseln damit die Emails (bzw. empfangen verschlüsselte E-Mails).

Normalerweise werden gewisse E-Mails ja irgendwo im Outlook abgelegt, Archiv-Ordner oder was weiß ich - jeder wie er will, eigentlich. Dann liegen nämlich verschlüsselte E-Mails dort.

So lange das Zertifikat im System existiert, ist es ja kein Problem, damit kann man die E-Mails auch zukünftig entschlüsseln.

 

Aber, was wenn das Zertifikat nach 3 Jahren abläuft? Dann muss man ja ein neues Zertifikat erstellen und dieses überschreibt ja das alte Zertifikat im Zertifikats-Store, oder?? Damit lassen sich ja die alte E-Mails dann nicht mehr entschlüsseln.

 

Wie soll man damit vorgehen?

Share this post


Link to post
Share on other sites

Normalerweise erstellt man kein neues Zertifikat, sondern verlängert das bestehende. Dann bleibt der Private Key gleich und man kann auch die alten Mails noch entschlüsseln.

 

Aber die Thematik "verschlüsselte Daten im Backup/Archiv" ist trotzdem zu beachten. Hier haben Gateway-Lösungen den Vorteil, dass die Mails erst verschlüsselt werden, wenn sie das interne Netzwerk verlassen, und beim Empfang gleich entschlüsselt werden. Ist die Verschlüsselung auf dem Client terminiert, funktionieren auch diverse andere Sachen nicht: Exchange-Transportregeln, Gateway-Antivirus, DLP...

Share this post


Link to post
Share on other sites

Moin,

 

auch das gehört zu den Grundproblemen der Mailverschlüsselung, die eine Verbreitung der Technik effektiv verhindern.

Wie mwiederkehr schon sagt, kann man grundsätzlich das bestehende Zertifikat mit dem bestehenden Private Key verlängern - dann nutzt man dieses Zertifikat auch, um auf die "alten" Mails zuzugreifen. Es kann aber sein, dass man diese Form der Verlängerung nicht nutzen kann, weil z.B. die CA das nicht zulässt. In dem Fall muss man den privaten Schlüssel selbst archivieren, um ihn bei Bedarf zu nutzen. Dass das Zertifikat irgendwann abgelaufen ist, ist in dem Szenario nicht von Relevanz.

Den privaten Schlüssel zu archivieren, ist ohnehin notwendig, denn der kann ja vom System verloren gehen (Profil gelöscht, Rechner kaputt ...) - lösen muss man das Problem also ohnehin.

 

Sobald man Ende-zu-Ende verschlüsselt, wird es kompliziert und aufwändig. Das lässt sich nicht ändern. Daher prüfe man genau, ob man das wirklich braucht und baue vorher (!) die zugehörigen Prozesse auf.

Bei der Gateway-Verschlüsselung darf man übrigens berechtigt die Frage stellen, welchen Vorteil man gegenüber der reinen Transportverschlüsselung hat. Das hängt vom Szenario ab, aber auch hier sollte man den Bedarf prüfen.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Danke an euch beide.

 

Ich habe mittlerweile klären können, dass wir eine Gateway-Lösung eventuell implementieren können.

 

Zum Thema Zertifikat-Verlängerung:

Es wird mir geschrieben dass man das Zertifikat nicht verlängern kann, jedoch wenn man ein neues Zertifikat kauft, überschreibt dieses nicht das alte Zertifikat, und beide bleiben im System bestehen - und damit kann man die alte Emails entschlüsseln.

 

Zum Archivieren stimme ich ja zu: das muss man sich dann genau überlegen wie.

 

 

Edited by kosta88

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...