BayernPKI mit der NSP Cloud

[hrx]

Hallo zusammen,

wir haben bereits einige Erfahrung mit dem NoSpamProxy Server, bisher jedoch nicht mit der Cloud-Variante. In der Dokumentation habe ich dazu keinen einzigen Hinweis fragen können, daher platziere ich die Frage hier.

Es handelt sich um eine Gemeinde in Bayern, die wir in der NSP Cloud "deployen" wollen. Hier ist uns noch unklar, wie man das Thema "BayernPKI" angeht, hinsichtlich des Abrufs von Zertifikaten.

@ffischer hat dazu zum NoSpamProxy Server bereits Entsprechendes geschrieben, z.B. https://forum.nospamproxy.com/threads/ca-bayern.640/ - kann uns hier jemand zur Cloud jemand Empfehlungen geben oder auch sagen, ob das Vorhaben überhaupt mit der NSP Cloud machbar ist ?

Lieben Dank für die Unterstützung!

 

[ffischer]

Hallo,
vor dem Problem stand ich auch schon. Stand vor etwa 4 Wochen, war es nicht möglich Externe LDAP Server an zu sprechen.
Sprich die Bayern PKI zu benutzen.
Da bleibt nur die onprem Version.
Es wäre super wenn so etwas gehen würde. Eine Kunden, möchten auf MS365 und die OnPrem vom Exchange ablösen.
Und der NSP bleibt dann auf der Strecke, weil ich da nichts mehr mit onprem machen kann.

Denn Mail Routing über WAN nach Landratsamt, nach Gemeinde und wieder zurück zu MS365 ist ja nonsens.


Grüße

 

[hrx]

Servus Frank,

danke für Deine Bestätigung. Da bleibt dann die Frage an die Jungs von Net at Work, wie hier die Planung entwicklungsseitig aussieht, das zu implementieren, oder welchen anderen Weg sie sehen würden.

Viele Grüße

 

[ffischer]

Hallo Hrx,
ja mal sehen. Sie lesen ja mit, vielleicht bekommen wir ja noch Antwort mit einer Idee.
In der onprem, läuft das ja super.

manchmal sogar viel zu gut

 

[JanJäschke]

Hallo ihr beiden,

geplant ist es, dass dies prinzipiell möglich wird. Derzeit ist das noch nicht ganz so einfach ^^
Ich werde aber mal intern am Mittwoch das Thema ansprechen, theoretisch könnten wir das in der Cloud ermöglichen.
Da dies aber ein paar Nebeneffekte haben kann muss ich erst klären ob das ok ist.
Wenn nicht, muss hier leider definitiv noch etwas gewartet werden

Gruß,
Jan

 

[ffischer]

Hallo,
sehr schön, halte uns hier doch bitte auf dem Laufenden.
Wenn ein Kunde von mir auf das MS365 möchte, möchte ich ungern auf NSP verzichten. Wäre super, wenn die Cloud Version die Einstellungsmöglichkeiten hätte wie die onprem

Da dies aber ein paar Nebeneffekte haben kann muss ich erst klären ob das ok ist.

Welche wären den das?

 

[JanJäschke]

Der Nebeneffekt wäre, dass der LDAP Server für ALLE Kunden aktiv wäre.
Dies sollte durch die Filterung auf die Empfänger Domäne nur bedingt negativ sein, aber es ist ein globaler Impact den wir immer sehr behutsam angehen. Nicht alles was für den einen als Gut betrachtet wird ist es am Ende auch für den anderen :S

 

[ffischer]

Das stimmt.
Stellte selbst schon fest, wenn es beim Kunden aktiviert ist, das viele Antworten kommen mit, wir können die E-Mail nicht lesen,
weil vergessen wurde das Zertifikat am PC/Mailer zu hinterlegen.

Müsste vielleicht so gemacht werden, dass der Tennant das vielleicht jeweils für sich aktivieren kann anstatt das es "global" für alle gilt.

 

[JanJäschke]

Das ist natürlich das Endziel, global wäre eine Zwischenlösung

 

[ffischer]

Frage mich dann nur, wie man beide Seiten der PKI erreicht.
Es gibt den öffentlichen LDAP Server der ist von überall erreichbar
und den Internen der ist nur über das Bybn Netzwerk für Behörden erreichbar.

 

[JanJäschke]

Den internen können wir selbst logischerweise nicht direkt abfragen

 

[ffischer]

Moin,
ja das ist klar
sollten wir dann nur so publizieren das es keine Missverständnisse gibt.

 

[hrx]

Hallo @JanJäschke,

danke Dir für ein wenig Einblick in den momentanen Status bei Euch hinsichtlich möglicher Entwicklung und Bewegung in Richtung "externe LDAP Server mit NSP Cloud abfragen". Hätten wir denn vielleicht eine andere Möglichkeit, unsere Anforderung mit der Cloudversion umsetzen zu können ?

Die Ausgangssituation ist ja glaube ich klar, beschreibe es hier trotzdem nochmal:
Die Mitarbeiter der Gemeinde erhalten von der BayernPKI signierte und verschlüsselte E-Mails und müssen damit eben einfach umgehen können.

Letztlich geht es ja nur darum, dem User unproblematisch zu den öffentlichen Keys zu verhelfen, damit die Entschlüsselung der Mails einfach zu handeln ist. Ist hier über das Outlook Plugin etwas machbar oder bleibt uns notfalls nur der Weg, jedem Outlook User den LDAP Lookup über Outlook selbst zu erledigen, indem wir eben den öffentlichen Schlüsselserver der BayernPKI als Adressbuch einbinden?

Viele Grüße und lieben Dank für die Unterstützung!

 

[ffischer]

Hallo,
Mitarbeiter der Gemeinden bekommen von dort die Zertifikate, idr. 3 Stück (ENC_, SIG_, SSL_)
Entschlüsselt wird nicht per LDAP, die Zertifikate der Mitarbeiter sind im NSP bekannt somit sind diese dann für Verschlüsselung zuständig und für Ausgehende E-mails die Signatur.

NSP schaut beim versenden, dann zu erst bei sich nach ob er vielleicht den öffentlichen Schlüssel hat und dann auf alle hinterlegten Schlüssel Servern. Wenn da der LDAP der BayernPKI Eingetragen ist und für die Empfänger Mail Adresse, dot gefunden wird, wird der öffentliche Schlüssel benutzt um die Mail zu verschlüsseln.

LDAP Eintrag im Adressbuch von Outlook kann man machen um die Adressen zu suchen, jedoch is das Handlich damit nicht so schön, auch kam es bei meinen Behördenkunden immer wieder dazu, das die sich aufgeregt hatten, weil Outlook so langsam wurde.

Über Outlook müsste hier dann verschlüsselt werden, und NSP eine Regel mitgegeben werden das er verschlüsselte Mails ausgehend ignoriert (wie in der onprem)