Eingehende Mail wird mit "digitale Signatur der E-Mail ist ungültig" abgelehnt

[mabu]

Hallo.

Wir haben eine Beschwerde von einem Kunden, der uns von seiner @protonmail.com-Adresse keine verschlüsselten Mails schicken kann. Die Mails werden immer vom NSP abgewiesen.

Der öffentliche Schlüssel des PGP-Zertifikates liegt im NSP vor (wurde wohl in der Vergangenheit oder bei diesen Mailversuchen eingelesen). Gültig seit 2017 und "läuft niemals ab".

Nun fällt mir unter "Aktivitäten" dieser Eintrag auf - "Nachricht wurde wahrscheinlich während der Übermittlung verändert" - hmm


Interpretiere ich so, dass die Nachricht signiert wurde. Beim Empfang und zeigt Überprüfung dann an, dass Hash-Wert nicht mehr übereinstimmt und der NSP geht von einer Veränderung nach dem Versand aus.

Unter "Zustellung" ist die Fehlermeldung ja "digitale Signatur der E-Mail ungültig".


Hat hier jemand Hinweise dazu für mich? Müssen uns beim Kunden melden und bin da aktuell nicht so sicher, ob "liegt an Ihrer digitalen Signatur - Gesprächsende" wirklich die sinnvolle Aussage wäre

Danke vorab für Antworten.

 

[JanJäschke]

Hallo Martin,

das wird kniffelig, aber du kannst ein paar Sachen machen um sicherzustellen, das der NSP erst einmal keine Schuld hat.

• Prüf in der eingehenden Regel einmal die PGP Signatur Option, wie scharf ist diese konfiguriert?
• Ist der PGP Schlüssel auch noch im Quarantäne Bereich im NSP? Falls ja: lösch ihn einmal und importiere ihn neu.
• Ich gehe erstmal davon aus, dass vor dem NSP keines eurer Systeme die E-Mail anfässt, falls doch: kannst du das testweise umgehen?
• Über das Troubelshooting könntest du die E-Mail von vor der Verarbeitung weg Dumpen. Damit kannst du also schauen was z.B. Thunderbird zur Signatur sagt. Die E-Mail ist dann nämlich noch so wie wir sie auf Netzwerkeebene empfangen.
  • Falls eine E-Mail nicht sensibel ist und du sie mit uns teilen kannst, können wir uns das dann ggf. auch näher anschauen.

Sollten diese Punkte kein anderes Verhalten zeigen, dann liegt es nicht am NSP ^^

Gruß
Jan

 

[mabu]

Hallo Jan.

Prüf in der eingehenden Regel einmal die PGP Signatur Option, wie scharf ist diese konfiguriert?

Unter "Entschlüsselungsrichtlinien" ist nichts aktiviert.

Ist der PGP Schlüssel auch noch im Quarantäne Bereich im NSP? Falls ja: lösch ihn einmal und importiere ihn neu.

Da ist er nicht drin. Muss früher schon mal gekommen sein.

Ich gehe erstmal davon aus, dass vor dem NSP keines eurer Systeme die E-Mail anfässt, falls doch: kannst du das testweise umgehen?

NSP-Gateway ist extern erstes System, was direkt Mails in Empfang nimmt. Da ist meiner Ansicht nach im RZ nichts mehr davor. Vermutlich doch eine Firewall, die aber die Ports entsprechend durchlässt. Bei Mails von z.B. Exchange Online zu uns kommt direkt nach Microsoft-Servern ja auch unser Securemail-FQDN.

Das mit dem Dump ist mir eigentlich zu aufwendig. Muss mir die Tage mal überlegen, was wir der Versicherten da nun mitteilen.

Danke Dir für die Infos.

 

[mabu]

Habe vielleicht doch eine Idee, warum die Mail mit diesem Grund ("wurde evtl. verändert") abgelehnt worden ist. Weiß aber nicht, ob der NSP dann so reagieren würde.

Der öffentliche PGP-Key für die Mailadresse, der im NSP liegt, ist gültig seit dem 08.11.2017 und er läuft nicht ab. Ich weiß nicht, seit wann wir diesen Schlüssel im NSP schon liegen haben.

Was ist denn, wenn der Absender aus welchem Grund auch immer einen neuen PGP-Schlüssel erzeugt hat und diesen nun für die Signatur der Mail nutzt? Der NSP kann hier ja nur mit dem vorhandenen PGP-Schlüssel gegenprüfen und das würde in dem Fall nicht mehr passen.

Denkbar?

Über https://mail-api.proton.me/pks/lookup?op=get&search=username@proton.me kann man PGP-Keys für Protonmail-Adressen abrufen. Und es ist der gleiche Key wie im NSP - Fingerabdruck stimmt überein.

Ich habe nun einfach mal den PGP-Key der Person im NSP entfernt. Dann sollte Ihre Mail ja vielleicht ankommen, weil laut Regel ja keine Prüfung erfolgt, wenn kein PGP-Key im NSP vorliegt.