• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Domain-Zertifikat und Ermittlung externe Nutzung - Feature Request

Ermittlung der Absender, die mit meinem Domänenzertifikat Mails an mich verschlüsseln

  • wird benötigt

    Stimmen: 2 66.7%
  • unwichtig

    Stimmen: 1 33.3%

  • Umfrageteilnehmer
    3

mabu

Well-known member
Hallo.

Wir sind noch auf NSP 13.2. Hatte zu folgendem Thema auch schon eine Supportanfrage gestellt. Dazu gab es leider keine positive Rückmeldung.

Ich versuche hier mal das Thema zu schildern und bin auf Eure Resonanz gespannt.

Grundsätzlich nutzen wir für jeden User ein persönliches SwissSign-Zertifikat. Des Weiteren ist aber auch ein Domänenzertifikat von SwissSign im Einsatz.

Nun wurde dieses Zertifikat nach 3 Jahren erneuert und die Info an externe Nutzer steht an. Habe dazu einen Mailverteiler angelegt, in dem aber vermutlich nicht alle externen Empfänger eingetragen sind, die das neue Zertifikat bekommen müssten.

Im NSP sehe ich bei eingehenden verschlüsselten Mails in der Nachrichtenverfolgung ja nur, dass die Mail verschlüsselt war. Aber nicht, welcher private Key für die Entschlüsselung genutzt wurde. (scheint in NSP 14 auch weiterhin so zu sein)

Leider scheint es keine Option (auch nicht per Skript) zu geben, die eingehende Mails ermittelt, die mit dem Domainzertifikat verschlüsselt worden sind. Keine Ahnung, ob das technisch überhaupt machbar wäre. Vermute aber, dass dies bestimmt machbar ist.

Was meint Ihr dazu? Hättet Ihr Verwendung für eine Funktion, die die Absender ermittelt, die per Domänenzertifikat verschlüsselte Mails an Euch geschickt haben?
 
Hallo Martin,
um eine neutrale Diskussion zu haben, sind die Argumente des Supports erheblich. Möchtest du uns die Antwort und die Begründung des technischen Support posten?
Bitte nicht vergessen, Namen, etc. zu schwärzten bzw. zu überschreiben.


Gruß,
Daniel
 
Hallo Daniel.

Mitte November hatte ich als Info erhalten:

Antwort der Entwicklung: The Message Tracking is the only possible source for this information, but for PGP decryption the key info is not saved in the activity. We don't store the information requested by the customer.

Support erwähnte dazu dann: Somit gibt es also keine Möglichkeit hier eine Auswertung zu fahren welches Zertifikat / PGP Schlüssel zum Entschlüsseln verwendet wurde.

PGP und SMIME sind hier gleich zu betrachten, die Antwort gilt also für beides.

Den Änderungswunsch habe ich nochmal weiter gegeben. Ob und wann es kommt kann ich aber nicht sagen. Dies liegt nun in der Hand vom Produktmanagement.




Somit hört sich das für mich so an, dass die Information bisher einfach nicht hinterlegt wird. Keine Ahnung, wie aufwendig das Speichern dieser Info wäre. Irgendeiner der vorhandenen Schlüssel muss ja benutzt worden sein.

Wir haben seit heute unser neues Domänenzertifikat auf unserer Webseite veröffentlicht. Das alte läuft am 30.01.23 ab. Ich hoffe, dass ich den Großteil der externen Dienstleister etc., die das Nutzen (u.a. Medizinische Dienste), mit der Info zum neuen Zertifikat versorgt habe. Aber sicher bin ich mir nicht.

Nun ist das Domänenzertifikat online für jedn verfüg- und nutzbar. Da bekomme ich es so auch nicht mit, wer es nutzt. Zumindest ist durch die Veröffentlichung die Möglichkeit für Externe da, nach dem neuen Zertifikat zu schauen.
 
Guten Abend Martin,
ich habe den Beitrag jeden Tag gelesen und ich kann dir leider nicht ganz folgen:
  • Was verstehst du unter einem Domänen-Zertifikat? Gerne darfst du auch das entsprechende Produkt bei SwissSign verlinken.
  • Unabhängig davon ist mir noch nicht klar, weshalb ihr zweigleisig unterwegs. Weshalb zusätzlich ein "Domänen-Zertifikat"?
  • In wie weit kannst du bzw. eure Partner/Kunden Dienste wie z.B. Open Keys anbinden? Wobei ich dazu sagen muss, dass ich nicht weiß ob dort Domänen-Zertifikate unterstützt werden?!

Gruß,
Daniel
 
Hallo Daniel.

Im Bereich des Gesundheitswesen gibt es viele Player, die rein mit einem Domänenzertifikat arbeiten. Also bei uns ist das ein normales SwissSign Silver personal certifiate für eine securemail-Adresse, die es sonst so bei uns nicht gibt.

Dafür hatte ich manuell einen entsprechenden Unternehmensbenutzer im NSP angelegt. Anschließend das Zertifikat zum Domänenzertifikat hochgestuft.

Ansonsten haben bei uns alle User über die Anforderung kryptografischer Schlüssel automatisch ein SwissSign-Zertifikat. Das nutzen wir aber nicht für alle Sammelmailadressen. Hier kommt dann z.B. das Domänenzertifikat zum Einsatz.

Im Kontakt mit Medizinischen Diensten geht es von deren Seite immer um die Nutzung eines Domänenzertifikates. Etliche Krankenkassen veröffentlichen ihr öffentliches Domänenzertifikat auf deren Webseiten.

Somit ist das bei uns eine Anforderung. Glücklich bin ich da auch nicht drüber.

Ohne tiefes technisches Wissen für den Entschlüsselungsprozess beim Mailempfang im NSP zu haben: da kommt eine verschlüsselte Mail an. Die wird mit einem passenden Zertifikat entschlüsselt. Somit weiß der NSP doch eigentlich, was da genutzt wurde. Trotzdem steht in der Nachrichtenverfolgung nur eine sehr allgemein gehaltene Info dazu.

Und daher fände ich es extrem hilfreich, wenn ich diese info mit angezeigt bekomme. Hat dann auch den Nebeneffekt, dass per Skript auch die Absender ermittelt werden könnten, die das Domänenzertifikat genutzt haben. Das lasse ich dann einmal pro Woche laufen und sammle die Daten ein für Auswertungen.

Hoffe, dass ist so nachvollziehbar.
 
Hallo Martin,

in v14 wird dir die Seriennummer sowie der Fingerabdruck in der Nachrichtenverfolgung angezeigt. (eingehend welches Zertifikat zum entschlüsseln genutzt wurde)
Auf diese Daten kann dann auch per SQL oder PowerShell zugegriffen werden um eine entsprechende Auswertung zu machen.


@Daniel:
Kurz und knapp sind Domänen zertifikate S/Mime Zertifikate die auf eine E-Mail Adresse ausgestellt sind aber trotzdem zum Verschlüsseln aller ausgehender E-Mails an die entsprechende Domäne genutzt werden.
Dies funktioniert immer nur nach gegenseitiger Absprache da dies natürlich nicht korrekt ist und manuell konfiguriert werden muss.


LG
Jan
 
Hallo Jan,
danke dir für die Zusammenfassung. Warum auch einfach wenn es kompliziert geht. Das möchte man auf der einen Seite Signierung und Verschlüsselung und auf der anderen Seite muss es günstig und schnell gehen. Weshalb greift man immer auf solche **** Funktionen zurück?


Gruß,
Daniel
 
Leider ist die Antwort hier sehr einfach: Weil es geht.
Genau diese Mentalität ist jedoch gerade im Kontext von IT-Sicherheit nicht immer von Vorteil. :-(
Gruß Stefan
 
Zurück
Oben