Domain Zertifikat für E-Mail Verschlüsselung

[dormi98 15]

Hallo zusammen!

 

Ein Geschäftspartner verwendet ein E-Mail Gateway zur E-Mail Verschlüsselung. Allerdings verwenden Sie ein einziges Domain Zertifikat zur Verschlüsselung.

Wir selbst haben S/MIME Zertifikate pro Benutzer.

Wir können verschlüsselte E-Mails von dem Partner erhalten (natürlich nachdem man ein E-Mail mit seinem Zertifikat gesendet hat) - das E-Mail Gateway versteht also S/MIME Zertifikate.

 

Das Problem ist aber, dass ich es nicht schaffe Outlook bei zu bringen, das Zertifikat für alle Kontakte der Domain xy.com zum Verschlüsseln zu verwenden.

Natürlich kann ich das Domain Zertifikat zu den einzelnen Kontakten hinzufügen, aber auch dann lässt Outlook Zertifikat nicht zu, da ja die E-Mail Adresse im Zertifikat nicht übereinstimmt (ist ja ein Domain Zertifikat)

 

Kann man Outlook irgendwie beibringen das Zertifikat zu akzeptieren und die Nachricht mit dem öffentlichen Schlüssel zu verschlüsseln? Oder gibt es eine anderen Mailclient, der nicht prüft ob die E-Mail Adresse im Zertifikat stimmt.

Oder könnte ich vielleicht irgendwie den öffentlichen Teil des S/MIME Zertifikats für die jeweiligen Benutzer des Partners bei mir selbst erstellen? Den public key habe ich ja, ich bräuchte also nur ein Zertifikat mit der richtigen E-Mail Adresse und dem öffentlichen Schlüssel - kann man das irgendwie erzeugen?

 

 

Der Partner selbst geht übrigens davon aus, dass jeder ein eigenes Mailgateway hat, wo das Domain Zertifikat eingespielt wird.

 

Danke für eure Inputs

bearbeitet 21. Februar 2023 von dormi98

[cj_berlin 1.137]

vor 2 Stunden schrieb dormi98:

 

Der Partner selbst geht übrigens davon aus, dass jeder ein eigenes Mailgateway hat, wo das Domain Zertifikat eingespielt wird.

Ja, nur so funktioniert es auch mit den Domain-Zertifikaten, as defined in RFC3183.

[dormi98 15]

Das mag ja sein, aber wir sprechen hier von 10 Usern - da ist ein eigenes Mailgateway schon etwas, naja groß. 
 

Keine anderern Möglichkeiten?

[NilsK 2.785]

Moin,

 

das ist ja eins der großen Probleme mit der Mailverschlüsselung und einer der Gründe, warum sich das nie durchgesetzt hat: Es ist im Detail unglaublich aufwändig und fehlerträchtig. Und man ist abhängig von den wenigen Geschäftspartnern, die das einfordern und ihr Vorgehen durchsetzen. Richtig lustig wird es, wenn ihr dazu dann noch einen zweiten Partner habt, der Domain-Zertifikate für böse hält.

 

Viele Kunden versuchen ihre Partner zu überzeugen, dass sie auf das Gehampel verzichten können, das kann durchaus erfolgreich sein. Es gibt sowas aber auch in "kleinen" und preisgünstigen Fassungen oder als Managed Service.

 

Gruß, Nils

 

[NorbertFe 1.805]

vor 2 Minuten schrieb NilsK:

Richtig lustig wird es, wenn ihr dazu dann noch einen zweiten Partner habt, der Domain-Zertifikate für böse hält.

Womit er ja recht hat, wie man gerade sieht. Das Problem wäre ja ansonsten gar nicht vorhanden. ;)

[NilsK 2.785]

Moin,

 

ja, klar. Von meiner schönen Insel aus betrachtet, ist der Rest der Welt exotisch. 

 

Gruß, Nils

PS. erwähnte ich schon, dass Zertifikate grundsätzlich krank (und böse) sind?

 

[NorbertFe 1.805]

vor 14 Minuten schrieb NilsK:

Von meiner schönen Insel aus betrachtet, ist der Rest der Welt exotisch.

Naja... Also beim Emailzertifikat ist es halt prinzipbedingt Müll mit solchen Zertifikatstypen zu hantieren. ;) Im Allgemeinen haben die die das verwenden ja auch nur keinen Bock die Kosten zu tragen, sondern sie verlagern das dann wie man im Thread sieht schön auf die anderen, die das dann ja ohne entsprechende technische Lösung eben nicht hinbekommen "können". Keine Ahnung ob sich da andere Mailclients anders verhalten. ;)

 

vor 15 Minuten schrieb NilsK:

PS. erwähnte ich schon, dass Zertifikate grundsätzlich krank (und böse) sind?

 

 

Ach Quark. Und dein Fazit war ja auch, es gibt halt nix besseres. Und über PGP will ich lieber gar nicht erst nachdenken (müssen).

[NilsK 2.785]

Moin,

 

vor 37 Minuten schrieb NorbertFe:

Also beim Emailzertifikat ist es halt prinzipbedingt Müll mit solchen Zertifikatstypen zu hantieren. ;)

da bin ich ja deiner Meinung. Mit der Insel meine ich, dass mir diese Meinung in der Praxis wenig bringt. Ich habe keine Statistiken, aber zumindest dem Eindruck nach denke ich, dass unter denen, die "Mail verschlüsseln", die mit den Domain-Gateways die absolute Mehrheit stellen.

 

Man könnte auch argumentieren, dass Domain-Zertifikate nur sehr wenig Nutzen haben, seit sich TLS zwischen Mailservern durchgesetzt hat. Dass E-Mail über mehrere Hops geht, ist eher unüblich, und dann verschlüssele ich per Domain-Zertifikat ziemlich genau den Weg, den TLS dann noch mal verschlüsselt. 

 

vor 40 Minuten schrieb NorbertFe:

Und dein Fazit war ja auch, es gibt halt nix besseres.

Das ist das übergreifende Problem. Mangels praktischer Nutzbarkeit finde ich den Status Quo bei E-Mail aber noch viel schlimmer als bei Webseiten.

 

Gruß, Nils

PS. ja, ich gebe zu, diese Betrachtungen nützen dem TO ausgesprochen wenig. Womit wir wieder bei der Insel wären ...

[cj_berlin 1.137]

vor 2 Stunden schrieb dormi98:

Das mag ja sein, aber wir sprechen hier von 10 Usern - da ist ein eigenes Mailgateway schon etwas, naja groß. 
 

Keine anderern Möglichkeiten?

Dem Partner erklären, dass ein Verfahren, das zwingend auf Gateway-to-Gateway-Verschlüssellung beruht, Murks und rausgeschmissenes Geld ist, denn:

• die Vertraulichkeit ist nicht besser als bei TLS (was vermutlich eh schon da ist): Innerhalb beider Mailsysteme liegt Kartext, dazwischen ist verschlüsselt
• die Authentizität (der Organisation, nicht des Absenders!) und die Integrität können mit DKIM gewährleistet werden, was die Mailsysteme möglicherweise bereits können

vor 1 Stunde schrieb NilsK:

das ist ja eins der großen Probleme mit der Mailverschlüsselung und einer der Gründe, warum sich das nie durchgesetzt hat: Es ist im Detail unglaublich aufwändig und fehlerträchtig.

Es ist im Business-Umfeld auch vollkommen unklar, wofür das gut sein soll. Innerhalb der Mailsysteme möchte man explizit Klartext haben, weil

• Stellvertretung
• Archivierung
• DSGVO
• Antimalware

und nach außen kommunizieren die Mailsysteme direkt miteinander oder durch Services, deren Geschäftsauftrag es ja ist, den Content zu untersuchen!

Integrität kann man mit DKIM genauso gut absichern wie mit S/MIME-Signatur.

Und gegen Wiretapping hilft TLS ausreichend gut.

bearbeitet 22. Februar 2023 von cj_berlin

[NorbertFe 1.805]

vor 10 Minuten schrieb NilsK:

die mit den Domain-Gateways die absolute Mehrheit stellen.

Schwierig. Also im Allgemeinen nur bei denen, die das nicht aus "Überzeugung/Verständnis" heraus implementieren, sondern weil irgendwer gesagt hat: "wir machen das jetzt so, und dann hat man weniger Aufwand." ;)

Ich würde sagen, ich habe mehr Kunden und Kontakte, wo ich auch Personenzertifikate sehe als die mit Domänenzertifikaten. Aber zufälligerweise hatte ich gerade gestern von einem Kunden obige Anfrage (des TO) erhalten, was man denn da mit Outlook tun kann. ;)

 

vor 17 Minuten schrieb cj_berlin:

Dem Partner erklären, dass ein Verfahren, das zwingend auf Gateway-to-Gateway-Verschlüssellung beruht,

Das ist eigentlich die richtige Lösung, nur wird das der mit dem Domänenzert nicht als Lösung akzpetieren. ;)

 

vor 18 Minuten schrieb cj_berlin:

Integrität können mit DKIM

:) Jetzt kommst du mit dem nächsten Ding, was kaum einer versteht. ;)

vor 19 Minuten schrieb cj_berlin:

Es ist im Business-Umfeld auch vollkommen unklar, wofür das gut sein soll.

Naja deine Argumente stimmen alle, aber:

Wenn der Businesskunde jetzt trotzdem einfach ein Mailzertifikat verwenden kann oder will, muss er sich um TLS, DKIM usw. gar nicht kümmern und kann sicherstellen, dass seine Mail korrekt ankommt und ihm vertraulich geantwortet werden kann. Das ist im Zweifel etwas, worauf man als User direkt Zugriff haben kann. Alles andere sind (natürlich wie die Gateway Lösungen) Dinge die administrativ geregelt sein müssen.

[cj_berlin 1.137]

vor 11 Minuten schrieb NorbertFe:

Naja deine Argumente stimmen alle, aber:

Drum mache ich den Kram auch nicht mehr. Enough is enough. Ich habe mir 25 Jahre lang den Mund in diversen Sachen fusselig geredet.  Habe neulich in den Archiven eine Mail-Konversation entdeckt, wo ich 2007 jemanden darauf hinwies, dass man auf DCs den Print Spooler deaktivieren sollte. Und, hat jemand drauf gehört? So ist es hier auch. 

[NorbertFe 1.805]

Naja zwischen Printspooler und S/Mime seh ich schon noch einen gewissen Unterschied, aber ja I hear you. ;)

[Nobbyaushb 1.359]

vor 2 Minuten schrieb cj_berlin:

Habe neulich in den Archiven eine Mail-Konversation entdeckt, wo ich 2007 jemanden darauf hinwies, dass man auf DCs den Print Spooler deaktivieren sollte…

Aber nur, wenn der DC nicht Pintserver ist… 

[NorbertFe 1.805]

Dann erst recht. :)

[MurdocX 904]

Ihr lacht. Ich muss so Konstrukte gerade migrieren…   Das Warum ist heute immer noch nicht geläufig.

 

Zum anderen Thema ist schon genug gesagt