• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

5.7.1 The certificate chain validation failed.

svda

Member
Hallo und guten Morgen,

seitdem ein städtischer Partner seine Zertifikate erneuern musste, ist keine eingehende Mailkommunikation möglich, vorher lief diese einwandfrei.
 
Der Administrator meint dazu:
[font=Arial, sans-serif]Das Problem liegt auf Ihrer Seite im Email System. Unsere an die E-Mail angehangene Signatur kann von Ihrem System nicht verifiziert werden. Hier fehlen in Ihrem System Stammzertifikate. Diese sende ich Ihnen hiermit. Bitte leiten Sie dies an Ihre IT-Abteilung weiter, damit die Stammzertifikate in Ihrem System hinterlegt werden. Danach funktioniert die E-Mail Kommunikation reibungslos.[/font]

[font=Arial, sans-serif]Leider finde ich keine Möglichkeit diese in der Cloud einzubinden, und, so denke ich, bis zum Exchange kommt er ja gar nicht, oder doch?[/font]

[font=Arial, sans-serif]Wo oder Wer muss die neuen Stammzertifikate einspielen? [/font]

[font=Arial, sans-serif]Vorab vielen dank.[/font]

[font=Arial, sans-serif]MfG, Marcus Koll[/font]
 
Hallo,
hab noch keine Cloud Instanz, bisher nur on premise.
Aber wo trägst du von Partnern die zertifikate ein?

Schon mal zertifikat angesehen im mail log ?
Wie sehen die aus also die Kette?

Grüße
 
Hallo Frank,

danke für deine Antwort/Anregung, ich kann eine Regel erstellen für:

Decryption Whitelist / Außnahme für Entschlüsslung

Diese Regel wird nur auf eingehende E-Mails angewandt.
This rule offers you the same protection as our default rule for inbound emails.
Additionally, it offers you the possibility to receive emails that cannot be decrypted.

Diese Regel bietet Ihnen den selben Schutz wie unsere Standardregel für eingehende E-Mails.
Sie bietet Ihnen zusätzlich die Möglichkeit, E-Mails zu empfangen, die nicht entschlüsselt werden können.

Bereich
Geben Sie an, für welche E-Mail-Adressen diese Regel verwendet werden soll.

Hier habe ich dann die betreffenden Domänen wohl eingefügt und die Zertifikate auf dem Exchange und an die Benutzer verteilt, aber ist das sauber?

Ich frage mich auch ob dann die Inhaltsfilterung und die MalWareprüfung ausgehebelt ist?

So genau wie on premise kann man in der Cloud nicht konfigurieren, aber für die paar Postfächer lohnt sich das auch nicht.

MfG, Marcus
 
Hallo Marcus,
hat die gegenseite beim zert. Austausch andere Zertifikate als vorher ?
Also andere CA ?
Oder vielleicht selbst ausgestellte ?

==> Hier habe ich dann die betreffenden Domänen wohl eingefügt und die Zertifikate auf dem Exchange und an die Benutzer verteilt, aber ist das sauber?

Wie meinst du das ?
Du musst doch nicht von der Gegenseite die Zertifikate am Exch. bekannt machen.
Die sollten nur dem NSP bekannt sein ..

Ich muss mir mal die Cloud Ed. besorgen zum "spielen" :D
Aktuelle Kunden habens nur onPremise
 
Hallo Frank,

das kann ich leider nicht beantworten, aber ich vermute es stark.
Vorher wurden keine Zertifikate an uns übergeben. Mit Inbetriebnahme des Exchange Servers, und der damaligen Spam/Viren/Malwarelösung hat alles geklappt. Auch der Wechsel zu NSP-Cloud lief einwandfrei. Erst nach Erneuerung, eher Neuausstellung der Zertifikate war der Wurm drin.

MfG, Marcus
 
Hallo,
ok aber die Gegenseite also die Externen/Partner haben neue Zertifikate bekommen oder ?

Gibt es in der Cloud Version die Nachrichtenverfolgung?
Wenn ja müsste es doch hier Aktivitäten angezeigt werden wie Verschlüsselt worden ist

Gibt es eine Übersicht der Zertifikate ?
Gern auch als PN wegen Datenschutz etc.
 
Hallo,
die kenn ich nicht, ist das dann eine eigene CA ?
Wenn ja dann kennt NSP diese nicht und kann daher die Zertifikate nicht prüfen.

Zeig doch mal so ein zertifiakt her , lässt sich doch in der Nachrichtenverfolgung sicher anzeigen.

Wie gesagt gern auch als PN
 
Hallo Marcus,

schick uns bitte einmal das CA Zertifikat dann können wir uns das anschauen.
Liege ich richtig, dass du kein Ticket dazu aufegmacht hast?
Ich habe zumidnest leider keins gefunden.

Gruß
Jan
 
Hallo Jan,

das Ticket habe ich bei dem Vertriebspartner, bei dem die Lizenzen erworben wurden eröffnet, in deren Ticketsystem. Ich war der Meinung in einem Supportfall mich an diesen wenden zu müssen. Sollte das der falsche Weg gewesen sein, muss ich mich für meine Gedanken ihnen gegenüber entschuldigen, Entschuldigung!

MfG, Marcus
 
Guten Morgen Marcus,

nein das ist natürlich der korrekte Weg.Dann werde ich mich einmal schlau machen ob wir von diesem schon etwas gehört haben.
Bisher ist mir zumindest zu dem Thema nichts zu Ohren gekommen.

Gruß
Jan
 
Ursache des Problems:
Das Zertifikat des Kommunikationspartners ist von der Procilon SMIME CA erstellt worden welche wiederum von der Procilon Root CA1 ausgestellt ist.
Diese beiden CAs sind per se nicht durch den NoSpamProxy oder Windows Server als vertrauenswürdig angesehen.

Dies werden wir in der NoSpamProxy Cloud nun ändern. Die Procilon CA ist durch den TÜV Zertifiziert wordurch wir hinreichend Vertrauen zu der CA als solches aufbauen können.
Wäre dies nicht der Fall und es wäre eine komplett eigene PKI genutzt worden hätte das Zertifikat nicht in unserer Cloud genutzt werden bzw. validiert werden können.

Gruß
Jan
 
Hallo Jan,
hallo Frank,

vielen lieben Dank für die Unterstützung die Ihr uns zukommen ließet. Nun klappt alles wieder hervorragend. Das fehlende Zertifikat wurde von netatwork eingespielt, und siehe da, alles läuft.

MfG, Marcus
 
Hallo Jan,
ah ok dann erklärt das einiges.
Gut - Dann allgemeine Frage, wenn wir schon dabei sind, wie kommen die CAs denn dazu?

Bsp. bei mir KD Behörde in Bayern, hat Zertifikate, die CA ist aber die eigene Bayern PKI und die gibt es in keinem Browser das muss man "händisch" hinzufügen, was echt nervt.
Haben die eine Chance ?
 
Hallo Frank,

die hätte derzeit keine Chance.
Wir arbeiten an einer UI die dies für jeden Cloud Kunden seperat ermöglichen soll. Bis diese abgeschlossen ist sind solche eigenen PKIs jedoch nicht umsetzbar.
 
Zurück
Oben