Jump to content

MS Outlook - Nur interne Emails immer digital signieren


Recommended Posts

Hallo allerseits,

 

ich bin auf der Suche nach einer Möglichkeit, wie ich mit Outlook firmenintern versendete Emails immer digital signieren kann.

Wir haben eine interne PKI und nutzen die selbstsignierten Zertifikate in einem kleinen / definierten Kreis, um Emails zu verschlüsseln bzw. zu signieren.

Speziell das Thema signieren soll nun allerdings ein Stück weit weiter ausgerollt werden.

 

Outlook selbst bietet zwar im TrustCenter die Option, mit "ausgehenden Nachrichten digitale Signatur hinzufügen" genau das zu machen, allerdings betrifft das natürlich alle Emails (intern / extern).

Das wollen wir aber so eigentlich nicht.


Kennt von euch jemand eine Möglichkeit wie ich Outlook beibringen kann, dass diese Funktion nur aktiv sein soll, wenn die Empfängerdomain xyz.de ist?

 

 

Vielen Dank im Voraus

Link to post
vor 8 Minuten schrieb st3ffl:
 

Wir haben eine interne PKI und nutzen die selbstsignierten Zertifikate in einem kleinen / definierten Kreis, um Emails zu verschlüsseln bzw. zu signieren.

Du meinst sicherlich, ihr habt eine interne PKI und nutzt die von dieser signierten Zertifikate? Selbstsigniert ist etwas anderes.

vor 8 Minuten schrieb st3ffl:
 

Kennt von euch jemand eine Möglichkeit wie ich Outlook beibringen kann, dass diese Funktion nur aktiv sein soll, wenn die Empfängerdomain xyz.de ist?

In Outlook gibt es diese Möglichkeit nicht. Du könntest ein Makro schreiben, das beim Absenden feuert, schaut, an wen die Mail geht und dann signiert, falls intern.

Was machst Du, falls eine Mail sowohl interne als auch externe Empfänger hat?

 

Und habt ihr keine anderen Clients außer Outlook? OWA? Mobiltelefone? Mit denen wird alles, was Du für Outlook zusammengebastelt bekommst, nicht funktionieren...

 

Was wäre so schlimm daran, Mails generell zu signieren, außer dass manche Leute anfangen könnten, euch verschlüsselte Mails zu senden? Man müsste einen CDP öffentlich verfügbar machen, aber es ist ja nur ein Webserver, auf dem zwei bis drei Dateien liegen...

Edited by cj_berlin
Link to post
vor 28 Minuten schrieb cj_berlin:

Du meinst sicherlich, ihr habt eine interne PKI und nutzt die von dieser signierten Zertifikate? Selbstsigniert ist etwas anderes.

 

Richtig, wir nutzen die Zertifikate unserer eigenen PKI.

 

 

vor 22 Minuten schrieb NilsK:

Moin,

 

welches Ziel verfolgt ihr damit? Was ist die Anforderung, die ihr lösen wollt?

 

Gruß, Nils

 

 

Damit soll die Authentizität des Absenders besser nachvollziebar sein.

Es gab in der Vergangenheit mehrere Versuche, bei denen mittels Spoofing z.B. Überweisungen angestoßen werden sollten.

 

Unsere Anwender haben zwar alle super reagiert und es gab keinerlei Schaden o.ä., aber dennoch gibt es Überlegungen, wie wir es den Endanwendern leichter machen können, solche Fälle direkt zu erkennen.

Ein Gedanke ist eben grundsätzlich intern alles zu signieren. Wenn dann von Person XY eine Mail ohne Signatur kommt, dann sollen direkt die Alarmglocken schlagen.

Link to post
vor 6 Minuten schrieb st3ffl:

Ein Gedanke ist eben grundsätzlich intern alles zu signieren. Wenn dann von Person XY eine Mail ohne Signatur kommt, dann sollen direkt die Alarmglocken schlagen.

Was passiert mit internen Mails die nicht aus Outlook heraus initiiert werden?

Link to post

Moin,

 

okay, der Gedanke ist nachvollziehbar. Ich rate trotzdem von diesem technischen Ansatz ab, denn

  • Technik ist fast nie die die richtige Antwort auf organisatorische Probleme - im benannten Szenario empfehle ich, mit anderen, organisatorischen Anforderungen zu arbeiten (z.B. Grenze, ab der auf einem anderen Kanal eine Bestätigung einzuholen ist)
  • auch einen Signaturhinweis übersieht man leicht - besonders wenn er eben nicht da ist (vgl. Unmöglichkeit eines negativen Beweises)
  • "interne" Signaturlösungen laufen regelmäßig auf Probleme, wenn der Zugriff mal nicht intern ist (z.B. aus dem Home-Office, von einer Dienstreise)
  • insgesamt entsteht so trügerische Sicherheit
  • das Schlüsselmanagement kann sich zum Alptraum entwickeln (Zugriff auf Mail über andere Rechner)
  • und es gibt auch erhebliche Risiken, die sich aus dem Einsatz von Mail-Signaturen und -Verschlüsselung ergeben (Schlüsselverlust = Datenverlust)

Ob es überhaupt möglich ist, "Nur intern" zu signieren, ist mir nicht bekannt, weil es aus meiner Sicht keine sinnvollen Einsatzbereiche dafür gibt.

 

Gruß, Nils

 

Edited by NilsK
ohne "nie" ist die Aussage des Satzes irgendwie nicht dieselbe
Link to post
vor 7 Minuten schrieb tesso:

Ich habe etliche Kunden, bei denen bei externen Mails im Subject "EXTERN" eingesetzt wird. 

Das hilft aber nicht, wenn die Mail über den internen Connector reinkommt, aber nicht von dem angegebenen Absender stammt... Aber besser das als nichts.

Vernünftige Mail-Gateways werden in der Regel eine vermeintlich interne Mail auf dem externen Bein gar nicht erst reinlassen.

  • Like 1
Link to post
vor 14 Minuten schrieb cj_berlin:

Vernünftige Mail-Gateways werden in der Regel eine vermeintlich interne Mail auf dem externen Bein gar nicht erst reinlassen.

Das "sollte" so sein, aber da Outlook ja den Displaynamen so schön prominent darstellt und die Mailadresse in grau auf hellgrau ist das sowieso in vielen Fällen egal, es gibt im Antispam auch keine 100%. Dieses "extern" habe ich nur bei unserem Personal- und Bewerbungspostfach aktiv. Die Leute die damit arbeiten, wissen aber auch genau, dass sie vorher fragen und nicht hinterher, da diese beiden Postfächer eben speziell nur dafür da sind. Wenn ich das global setzen würde, wäre das in meinen Augen auch nur "Gewohnheit". Das führt zu nix, außer falscher Sicherheit der Nutzer.

Link to post

Wenn die Überweisungsaufforderung von intern kommt hat die Umgebung aber andere Probleme. 

 

vor 6 Minuten schrieb NorbertFe:

Wenn ich das global setzen würde, wäre das in meinen Augen auch nur "Gewohnheit". Das führt zu nix, außer falscher Sicherheit der Nutzer.

Wenn der Kunde das haben will, bekommt er es halt. 

Link to post
vor 1 Minute schrieb NorbertFe:

es gibt im Antispam auch keine 100%.

In dieser Hinsicht schon. Als es den Symantec Mail Security Gateway noch gab, war die Standard-Einstellung im zweibeinigen Setup genau so:

  • es gibt eine Liste interner SMTP-Domains
  • es gibt ein externes und ein internes Bein
  • Mails mit Absendern (From: Header und/oder MAIL FROM:) aus internen Domains auf dem externen Bein werden sofort verworfen
  • Mails ohne From: Header werden sofort verworfen

Natürlich hat es den Leuten nicht gefallen, funktioniert hat es aber. So ziemlich das einzig gute, was ich über dieses Produkt sagen kann.

Link to post
vor 2 Minuten schrieb cj_berlin:
  • es gibt eine Liste interner SMTP-Domains

Das dürfte wohl auf so ziemlich jedes SMTP Relay zutreffen, es sei denn es ist ein open relay. ;)

vor 2 Minuten schrieb cj_berlin:
  • Mails mit Absendern (From: Header und/oder MAIL FROM:) aus internen Domains auf dem externen Bein werden sofort verworfen

Das hilft wie ich oben schrieb aber nur bedingt, wenn nicht auch noch der Displayname berücksichtigt wird. Warum man dafür dann allerdings zwei Interfaces benötigt, erschließt sich mir nicht unbedingt, denn das ginge ja auch mit nur einem. Mails ohne From Header kann man zwar blocken, aber dann muss man sich nur bedingt wundern, wenn Dinge wie OOF nicht funktionieren. ;) Ich denke du weißt worauf ich hinaus wollte mit meiner vorherigen Antwort.

 

Bye

Norbert

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...