KeyServer via LDAP Fragen

[ffischer]

Guten Morgen,
NoSpamproxy läuft soweit alles gut ...

Nun hatte ich den Fall, Ausgehend "All outbound mails" soll er vorzugsweise verschlüsseln wenn er ein Zert findet.

LDAP hat Server eingetragen, LDAP Test Tool ( leider kann man noch nicht innerhalb von NoSpamProxy prüfen ob LDAP Frage erfolgreich ist oder ob Adresse vorhanden ist)
bringt Adresse vorhanden.

Schicke ich nun eine Mail ohne dem System mitzuteilen Autoverschlüsselung - sollte er doch schauen ob es für die Adresse ein Zertfikat gibt ..
leider sehe ich nicht ob er eine LDAP Abfrage macht bzw ob er die Eingetragenen KeyServer nutzt.

Bei Autoverschlüsselung schickt er eine Einladungsmail an den Empfänger.

Wie kann ich sehen ob er überhaupt beim Versenden die Regel Outbound nutzt und im LDAP nach der Adresse sucht?

Grüße

[S.Beiler]

Guten Morgen,
NoSpamproxy läuft soweit alles gut ...

Nun hatte ich den Fall, Ausgehend "All outbound mails" soll er vorzugsweise verschlüsseln wenn er ein Zert findet.

LDAP hat Server eingetragen, LDAP Test Tool ( leider kann man noch nicht innerhalb von NoSpamProxy prüfen ob LDAP Frage erfolgreich ist oder ob Adresse vorhanden ist)
bringt Adresse vorhanden.

Schicke ich nun eine Mail ohne dem System mitzuteilen Autoverschlüsselung - sollte er doch schauen ob es für die Adresse ein Zertfikat gibt ..
leider sehe ich nicht ob er eine LDAP Abfrage macht bzw ob er die Eingetragenen KeyServer nutzt.

Bei Autoverschlüsselung schickt er eine Einladungsmail an den Empfänger.

Wie kann ich sehen ob er überhaupt beim Versenden die Regel Outbound nutzt und im LDAP nach der Adresse sucht?

Grüße

Moin,

der einfachste Weg wäre natürlich wenn man weiß das dort ein Zertifikat liegt und dann den User anschreibt, danach sollte sich der Key im NSP in den Zertifikaten finden.
Etwas umständlicher: Wireshark installieren und einen Filter auf 389 setzen und schauen was da passiert, der Traffic ist ja nicht verschlüsselt.

Grüße

[ffischer]

Hallo,
ja genau das ist das Problem.
Ich weiß es liegt da ein zertifikat da ich mit einem anderen LDAP Tool in dem KeyServer suchen kann und auc fündig werde.
Nur NSP nimmt es nicht .. weil er vielleicht nicht da drin sucht ..
Ich muss mal an der Firewall schauen ob da eine Anfrage auftaucht

[S.Beiler]

Hallo,
ja genau das ist das Problem.
Ich weiß es liegt da ein zertifikat da ich mit einem anderen LDAP Tool in dem KeyServer suchen kann und auc fündig werde.
Nur NSP nimmt es nicht .. weil er vielleicht nicht da drin sucht ..
Ich muss mal an der Firewall schauen ob da eine Anfrage auftaucht

Wenn du das Tool vom NSP aus ausführst, dann kannst du die Firewall schon einmal ausschließen  

Die Keys werden von der Gatewayrolle gesucht, also das Tool von dort aus ausführen oder wie gesagt, du schaust mal mit wireshark und setzt einen Filter auf 389.

[ffischer]

also irgend was tut er ..

SVCLOG:
Looking up a cryptographic key on the Internet
Found 0 address keys and 0 domain keys for mailadresse.

LDAP Tool am gateway findet die Adresse.

[S.Beiler]

also irgend was tut er ..

SVCLOG:
Looking up a cryptographic key on the Internet
Found 0 address keys and 0 domain keys for mailadresse.

LDAP Tool am gateway findet die Adresse.

findest du denn auch das Binary mit dem Tool und kannst es dann auch laden? Nicht das die Firewall den Content nicht mag....


du hast du die LDAP Suche so eingetragen?


LDAP Suche: Unbeschränkte Suche auf (mail=%e)

LDAP Felder: userCertificate;binary

[ffischer]

Hallo,
also LDAP Suche ist beschränkt auf die passende DN
LDAP Feld passt auch ...

mit dem LdapAdmin kann ich Zert Anzeigen lassen.

[S.Beiler]

Hallo,
also LDAP Suche ist beschränkt auf die passende DN
LDAP Feld passt auch ...

mit dem LdapAdmin kann ich Zert Anzeigen lassen.

Kurios!

Ist das ein öffentlicher LDAP und kannst du mir die Daten per PN zukommen lassen?

Hab gerade mal geschaut ob wir einen Bug haben in der LDAP Abfrage, aber das Zertifikat wurde bei mir direkt gefunden.

Grüße
Sören

[ffischer]

Es wäre praktisch wenn man im NSP bei den Einstellungen zu den KeyServern noch ein Test Feld hätte wo man dann so eine E-Mail also den Versand "Simulieren" kann.

Sonst sucht man ja ewig nach dem Grund wen es nicht geht

---

jetzt bin ich verwirrt.
Getestet von einem anderen System ...
Nutzt die Standard Outbound Regel


Regel ist drin mit SMIME / PGP vorz. ausgehend ...
Verschl. Optionen:

Suche Nach Schlüsseln zuerst auf zuständigen; probiere die anderen danach ..
hatte auch schon Empfohlene Variante drin .. der sucht nicht im LDAP nach ..

Mail ist nur Signiert aber nicht verschlüsselt. - ich bin verwirrt.
Habe ich einen Fehler in den Regeln?

[S.Beiler]

Es wäre praktisch wenn man im NSP bei den Einstellungen zu den KeyServern noch ein Test Feld hätte wo man dann so eine E-Mail also den Versand "Simulieren" kann.

Sonst sucht man ja ewig nach dem Grund wen es nicht geht

---

jetzt bin ich verwirrt.
Getestet von einem anderen System ...
Nutzt die Standard Outbound Regel


Regel ist drin mit SMIME / PGP vorz. ausgehend ...
Verschl. Optionen:

Suche Nach Schlüsseln zuerst auf zuständigen; probiere die anderen danach ..
hatte auch schon Empfohlene Variante drin .. der sucht nicht im LDAP nach ..

Mail ist nur Signiert aber nicht verschlüsselt. - ich bin verwirrt.
Habe ich einen Fehler in den Regeln?

Habe ich gerade geprüft, kann ich bestätigen. Es wird nur dann auf dem Server gesucht wenn das ausgewählt ist:

Suche nach Schlüsseln zuerst auf zuständigen Servern; probiere die anderen Server danach

Das Verhalten ist auch richtig, da du hier nichts hinterlegt hattest:

siehe Bild 1

du hattet, wie du schon selbst festgestellt hattest, dies hier ausgewählt ...und dann sucht der NSP da halt auch nicht

siehe Bild 2