Hallo.
Bin nicht sicher, ob ich das nachvollziehbar beschrieben bekomme. Ist etwas komplexer.
Wir haben vor der Standard-Inbound-Regel eine Kopie dieser Regel, in der die Prüfung der Zertifikatsliste deaktiviert ist. Also einzig "Stelle sicher, dass die Nachricht nicht verändert wurde" ist dort im Bereich des S/MIME-Zertifikats aktiviert.
In dieser Regel sind dann unter "Bereich" einige Einträge mit "Empfänger beliebig" und "Mail from" mit z.B. *@allianz.de (in Mail vom 14.05.24 immer noch notwendig) oder *@deutsche-rentenversicherung.de. Die Domänen nutzen nicht öffentliche Zertifizierungsstellen und daher haben wir aus der Historie heraus diese Regel hinzugefügt.
Nun ist vor kurzem eine neue Anforderung hinzugekommen. Eingehende Mails auf bestimmte Abteilungsmailadressen wie info@, beitraege@, pflege@ werden im späteren Prozess in eine Dunkelverarbeitung bei einem Dienstleister (unser Rechenzentrum) geschoben. Bei diesen Mails darf der Inhaltsfilter nicht ausgeführt werden (also keine Umwandlung in PDF oder Sperrung von Anhängen). Das RZ prüft diese Mail auch noch einmal auf deren Systemen auf Schadcode.
Dies haben wir über eine weitere Inbound-Regel gelöst. Und hier dann unter "Bereich" diesmal in der umgekehrten Variante wie oben - also "Mail from" ist beliebig aber Empfänger sind dann die jeweiligen Mailadressen von uns, für die die Dunkelverarbeitung vorgesehen ist.
Das klappt auch.
Und heute kam nun das Problem, dass eine Mail von extern an eine dieser Abteilungsadressen geschickt wurde, und die Zertifikatskette kann nicht überprüft werden.
Im Partner scheint es keine Möglichkeit zu geben, die Prüfung zu deaktivieren. Somit müssten wir nun wohl eine weitere Regel davorschalten. Aber aufgrund der Filterungen unter "Bereich" kann ich mir hier eine Umsetzung überhaupt nicht vorstellen.
Die CA, die das Zertifikat erstellt hat, ist übrigens "CN=SG UniPass User Encipherment 2016 CA, O=GROUPE SOCIETE GENERALE". Ich finde dazu in der Suche gar nichts. Auch über die Webseite des Unternehmens in der Suche kein Hinweis zu Zertifikatsdownloads.
Ein frustrierendes Thema
Bin nicht sicher, ob ich das nachvollziehbar beschrieben bekomme. Ist etwas komplexer.
Wir haben vor der Standard-Inbound-Regel eine Kopie dieser Regel, in der die Prüfung der Zertifikatsliste deaktiviert ist. Also einzig "Stelle sicher, dass die Nachricht nicht verändert wurde" ist dort im Bereich des S/MIME-Zertifikats aktiviert.
In dieser Regel sind dann unter "Bereich" einige Einträge mit "Empfänger beliebig" und "Mail from" mit z.B. *@allianz.de (in Mail vom 14.05.24 immer noch notwendig) oder *@deutsche-rentenversicherung.de. Die Domänen nutzen nicht öffentliche Zertifizierungsstellen und daher haben wir aus der Historie heraus diese Regel hinzugefügt.
Nun ist vor kurzem eine neue Anforderung hinzugekommen. Eingehende Mails auf bestimmte Abteilungsmailadressen wie info@, beitraege@, pflege@ werden im späteren Prozess in eine Dunkelverarbeitung bei einem Dienstleister (unser Rechenzentrum) geschoben. Bei diesen Mails darf der Inhaltsfilter nicht ausgeführt werden (also keine Umwandlung in PDF oder Sperrung von Anhängen). Das RZ prüft diese Mail auch noch einmal auf deren Systemen auf Schadcode.
Dies haben wir über eine weitere Inbound-Regel gelöst. Und hier dann unter "Bereich" diesmal in der umgekehrten Variante wie oben - also "Mail from" ist beliebig aber Empfänger sind dann die jeweiligen Mailadressen von uns, für die die Dunkelverarbeitung vorgesehen ist.
Das klappt auch.
Und heute kam nun das Problem, dass eine Mail von extern an eine dieser Abteilungsadressen geschickt wurde, und die Zertifikatskette kann nicht überprüft werden.
Im Partner scheint es keine Möglichkeit zu geben, die Prüfung zu deaktivieren. Somit müssten wir nun wohl eine weitere Regel davorschalten. Aber aufgrund der Filterungen unter "Bereich" kann ich mir hier eine Umsetzung überhaupt nicht vorstellen.
Die CA, die das Zertifikat erstellt hat, ist übrigens "CN=SG UniPass User Encipherment 2016 CA, O=GROUPE SOCIETE GENERALE". Ich finde dazu in der Suche gar nichts. Auch über die Webseite des Unternehmens in der Suche kein Hinweis zu Zertifikatsdownloads.
Ein frustrierendes Thema
