Jump to content

MS Outlook - Nur interne Emails immer digital signieren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo allerseits,

 

ich bin auf der Suche nach einer Möglichkeit, wie ich mit Outlook firmenintern versendete Emails immer digital signieren kann.

Wir haben eine interne PKI und nutzen die selbstsignierten Zertifikate in einem kleinen / definierten Kreis, um Emails zu verschlüsseln bzw. zu signieren.

Speziell das Thema signieren soll nun allerdings ein Stück weit weiter ausgerollt werden.

 

Outlook selbst bietet zwar im TrustCenter die Option, mit "ausgehenden Nachrichten digitale Signatur hinzufügen" genau das zu machen, allerdings betrifft das natürlich alle Emails (intern / extern).

Das wollen wir aber so eigentlich nicht.


Kennt von euch jemand eine Möglichkeit wie ich Outlook beibringen kann, dass diese Funktion nur aktiv sein soll, wenn die Empfängerdomain xyz.de ist?

 

 

Vielen Dank im Voraus

Link zu diesem Kommentar
vor 8 Minuten schrieb st3ffl:
 

Wir haben eine interne PKI und nutzen die selbstsignierten Zertifikate in einem kleinen / definierten Kreis, um Emails zu verschlüsseln bzw. zu signieren.

Du meinst sicherlich, ihr habt eine interne PKI und nutzt die von dieser signierten Zertifikate? Selbstsigniert ist etwas anderes.

vor 8 Minuten schrieb st3ffl:
 

Kennt von euch jemand eine Möglichkeit wie ich Outlook beibringen kann, dass diese Funktion nur aktiv sein soll, wenn die Empfängerdomain xyz.de ist?

In Outlook gibt es diese Möglichkeit nicht. Du könntest ein Makro schreiben, das beim Absenden feuert, schaut, an wen die Mail geht und dann signiert, falls intern.

Was machst Du, falls eine Mail sowohl interne als auch externe Empfänger hat?

 

Und habt ihr keine anderen Clients außer Outlook? OWA? Mobiltelefone? Mit denen wird alles, was Du für Outlook zusammengebastelt bekommst, nicht funktionieren...

 

Was wäre so schlimm daran, Mails generell zu signieren, außer dass manche Leute anfangen könnten, euch verschlüsselte Mails zu senden? Man müsste einen CDP öffentlich verfügbar machen, aber es ist ja nur ein Webserver, auf dem zwei bis drei Dateien liegen...

bearbeitet von cj_berlin
Link zu diesem Kommentar
vor 28 Minuten schrieb cj_berlin:

Du meinst sicherlich, ihr habt eine interne PKI und nutzt die von dieser signierten Zertifikate? Selbstsigniert ist etwas anderes.

 

Richtig, wir nutzen die Zertifikate unserer eigenen PKI.

 

 

vor 22 Minuten schrieb NilsK:

Moin,

 

welches Ziel verfolgt ihr damit? Was ist die Anforderung, die ihr lösen wollt?

 

Gruß, Nils

 

 

Damit soll die Authentizität des Absenders besser nachvollziebar sein.

Es gab in der Vergangenheit mehrere Versuche, bei denen mittels Spoofing z.B. Überweisungen angestoßen werden sollten.

 

Unsere Anwender haben zwar alle super reagiert und es gab keinerlei Schaden o.ä., aber dennoch gibt es Überlegungen, wie wir es den Endanwendern leichter machen können, solche Fälle direkt zu erkennen.

Ein Gedanke ist eben grundsätzlich intern alles zu signieren. Wenn dann von Person XY eine Mail ohne Signatur kommt, dann sollen direkt die Alarmglocken schlagen.

Link zu diesem Kommentar

Moin,

 

okay, der Gedanke ist nachvollziehbar. Ich rate trotzdem von diesem technischen Ansatz ab, denn

  • Technik ist fast nie die die richtige Antwort auf organisatorische Probleme - im benannten Szenario empfehle ich, mit anderen, organisatorischen Anforderungen zu arbeiten (z.B. Grenze, ab der auf einem anderen Kanal eine Bestätigung einzuholen ist)
  • auch einen Signaturhinweis übersieht man leicht - besonders wenn er eben nicht da ist (vgl. Unmöglichkeit eines negativen Beweises)
  • "interne" Signaturlösungen laufen regelmäßig auf Probleme, wenn der Zugriff mal nicht intern ist (z.B. aus dem Home-Office, von einer Dienstreise)
  • insgesamt entsteht so trügerische Sicherheit
  • das Schlüsselmanagement kann sich zum Alptraum entwickeln (Zugriff auf Mail über andere Rechner)
  • und es gibt auch erhebliche Risiken, die sich aus dem Einsatz von Mail-Signaturen und -Verschlüsselung ergeben (Schlüsselverlust = Datenverlust)

Ob es überhaupt möglich ist, "Nur intern" zu signieren, ist mir nicht bekannt, weil es aus meiner Sicht keine sinnvollen Einsatzbereiche dafür gibt.

 

Gruß, Nils

 

bearbeitet von NilsK
ohne "nie" ist die Aussage des Satzes irgendwie nicht dieselbe
Link zu diesem Kommentar
vor 7 Minuten schrieb tesso:

Ich habe etliche Kunden, bei denen bei externen Mails im Subject "EXTERN" eingesetzt wird. 

Das hilft aber nicht, wenn die Mail über den internen Connector reinkommt, aber nicht von dem angegebenen Absender stammt... Aber besser das als nichts.

Vernünftige Mail-Gateways werden in der Regel eine vermeintlich interne Mail auf dem externen Bein gar nicht erst reinlassen.

Link zu diesem Kommentar
vor 14 Minuten schrieb cj_berlin:

Vernünftige Mail-Gateways werden in der Regel eine vermeintlich interne Mail auf dem externen Bein gar nicht erst reinlassen.

Das "sollte" so sein, aber da Outlook ja den Displaynamen so schön prominent darstellt und die Mailadresse in grau auf hellgrau ist das sowieso in vielen Fällen egal, es gibt im Antispam auch keine 100%. Dieses "extern" habe ich nur bei unserem Personal- und Bewerbungspostfach aktiv. Die Leute die damit arbeiten, wissen aber auch genau, dass sie vorher fragen und nicht hinterher, da diese beiden Postfächer eben speziell nur dafür da sind. Wenn ich das global setzen würde, wäre das in meinen Augen auch nur "Gewohnheit". Das führt zu nix, außer falscher Sicherheit der Nutzer.

Link zu diesem Kommentar
vor 1 Minute schrieb NorbertFe:

es gibt im Antispam auch keine 100%.

In dieser Hinsicht schon. Als es den Symantec Mail Security Gateway noch gab, war die Standard-Einstellung im zweibeinigen Setup genau so:

  • es gibt eine Liste interner SMTP-Domains
  • es gibt ein externes und ein internes Bein
  • Mails mit Absendern (From: Header und/oder MAIL FROM:) aus internen Domains auf dem externen Bein werden sofort verworfen
  • Mails ohne From: Header werden sofort verworfen

Natürlich hat es den Leuten nicht gefallen, funktioniert hat es aber. So ziemlich das einzig gute, was ich über dieses Produkt sagen kann.

Link zu diesem Kommentar
vor 2 Minuten schrieb cj_berlin:
  • es gibt eine Liste interner SMTP-Domains

Das dürfte wohl auf so ziemlich jedes SMTP Relay zutreffen, es sei denn es ist ein open relay. ;)

vor 2 Minuten schrieb cj_berlin:
  • Mails mit Absendern (From: Header und/oder MAIL FROM:) aus internen Domains auf dem externen Bein werden sofort verworfen

Das hilft wie ich oben schrieb aber nur bedingt, wenn nicht auch noch der Displayname berücksichtigt wird. Warum man dafür dann allerdings zwei Interfaces benötigt, erschließt sich mir nicht unbedingt, denn das ginge ja auch mit nur einem. Mails ohne From Header kann man zwar blocken, aber dann muss man sich nur bedingt wundern, wenn Dinge wie OOF nicht funktionieren. ;) Ich denke du weißt worauf ich hinaus wollte mit meiner vorherigen Antwort.

 

Bye

Norbert

Link zu diesem Kommentar
  • 3 Wochen später...
Am 12.7.2021 um 16:07 schrieb NilsK:

Moin,

 

okay, der Gedanke ist nachvollziehbar. Ich rate trotzdem von diesem technischen Ansatz ab, denn

  • Technik ist fast nie die die richtige Antwort auf organisatorische Probleme - im benannten Szenario empfehle ich, mit anderen, organisatorischen Anforderungen zu arbeiten (z.B. Grenze, ab der auf einem anderen Kanal eine Bestätigung einzuholen ist)
  • auch einen Signaturhinweis übersieht man leicht - besonders wenn er eben nicht da ist (vgl. Unmöglichkeit eines negativen Beweises)
  • "interne" Signaturlösungen laufen regelmäßig auf Probleme, wenn der Zugriff mal nicht intern ist (z.B. aus dem Home-Office, von einer Dienstreise)
  • insgesamt entsteht so trügerische Sicherheit
  • das Schlüsselmanagement kann sich zum Alptraum entwickeln (Zugriff auf Mail über andere Rechner)
  • und es gibt auch erhebliche Risiken, die sich aus dem Einsatz von Mail-Signaturen und -Verschlüsselung ergeben (Schlüsselverlust = Datenverlust)

Ob es überhaupt möglich ist, "Nur intern" zu signieren, ist mir nicht bekannt, weil es aus meiner Sicht keine sinnvollen Einsatzbereiche dafür gibt.

 

Gruß, Nils

 

 

Vielen Dank für deine Einschätzung. Deine Punkte haben uns jetzt tatsächlich etwas von unserer Idee Abstand nehmen lassen. Die Lösung (unabhängig ob Outlook das überhaupt kann) hat wohl doch zu viele Nachteile.

 

Allerdings finden meine Kollegen und ich die Variante von tesso und NorbertFe nicht schlecht:

 

 

Am 12.7.2021 um 16:15 schrieb tesso:

Ich habe etliche Kunden, bei denen bei externen Mails im Subject "EXTERN" eingesetzt wird. 

 

Diese Lösung wäre ziemlich einfach und simpel umsetzbar und hat deutlich weniger Nachteile als unsere Idee. Da hätten wir auch selbst drauf kommen können ;-)

Wir werden das Ganze jetzt beim ein oder anderen Key User umsetzen und mal längerfristig untersuchen.

 

 

Vielen Dank nochmals an alle, die sich hier beteiligt haben.

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...