• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Fehlende Stammzertifikate etc

ffischer

Moderator

Hallo,
durch Zufall in der Nachrichtenverfolgung gewesen und mal geschaut was konnte denn nicht Zugestellt werden.
Da sah ich eine Mail von der Telekom.

Die konnte nicht zugestellt werden weil es Fehler bei der Zertifikatskette hab.
Anhang anzeigen 9
ich habe dann Manuell auf die Suche gemacht.Anhang anzeigen 8

So nun musste ich mir hier wieder alle Zertifikate, einzeln anschauen und die jeweilige Kette zusammen suchen und Importieren.
Jetzt passt die Anzeige wieder.

Wie macht Ihr das?
Schaut Ihr den immer in die Verfolgung und prüft zertifiakte oder gibts vielleicht eine Möglichkeit per Mail benachrichtigt zu werden, wenn so ein Problem auftaucht?

Grüße
 

Anhänge

  • 17-05-_2021_11-51-13.jpg
    17-05-_2021_11-51-13.jpg
    96 KB · Aufrufe: 27
  • 17-05-_2021_14-03-09.jpg
    17-05-_2021_14-03-09.jpg
    55 KB · Aufrufe: 31
ffischer schrieb:
Hallo,
durch Zufall in der Nachrichtenverfolgung gewesen und mal geschaut was konnte denn nicht Zugestellt werden.
Da sah ich eine Mail von der Telekom.

Die konnte nicht zugestellt werden weil es Fehler bei der Zertifikatskette hab.

ich habe dann Manuell auf die Suche gemacht.

So nun musste ich mir hier wieder alle Zertifikate, einzeln anschauen und die jeweilige Kette zusammen suchen und Importieren.
Jetzt passt die Anzeige wieder.

Wie macht Ihr das?
Schaut Ihr den immer in die Verfolgung und prüft zertifiakte oder gibts vielleicht eine Möglichkeit per Mail benachrichtigt zu werden, wenn so ein Problem auftaucht?

Grüße

Hallo,

mich wundert das dies der einzige Post bezüglich Zertifikate sein soll. Leider ist die Signatur und Verschlüsselung ein sehr Stiefmütterlich behandeltes Thema bei einigen E-Mail Administratoren. Das System von NoSpamProxy funktioniert so lange wirklich hervorragend, bis der Administrator der Zertifikate die öffentlichen Zertifikate versteckt und eben nicht veröffentlicht. Auch ich suche für meine Kunden genau die angefragte Lösung, ob es nicht eine E-Mail Benachrichtigung geben kann, wenn eine Zertifikatsanfrage kommt, aber das dazu passende Zertifikat nicht gefunden wird. Leider wird nur der Absender benachrichtigt, der meistens mit dieser Meldung gar nichts anfangen kann. Es wäre wirklich Super, wenn es eine Benachrichtigung für den NoSpamProxy Admin geben würde, wenn genau dieser Fall auftritt.

Gruß
Christian
 
Hallo,
ja das wäre vielleicht eine Option, wenn CA nicht vorhanden, eine Mail an den Admin geht der das prüfen kann,
die CA hinzufügen kann und dann die Mail zugestellt wird.

Sprich solange ist die Mail auf Standby, wobei wenn die dann da ist, zählt das sicher als Zugestellt.

Vielleicht hilft dir dieses hier weiter
https://forum.nospamproxy.com/showthread.php?tid=435&pid=1576#pid1576
Da hatte ich mal was angepasst, einmal die Woche bekommt intern Absender mit Zertifikaten wo aufgrund der nicht vorhandenen CA abgelehnt worden sind.
Schau es dir mal an
Grüße
 
Hallo,
jetzt muss ich dieses Thema nochmal aufgreifen.
Eben wieder der Fall, Mail Protokoll mit der Info über Fehlendes Zertifikatskette.

Also alle Zertifikate mal wieder beschaffen, dieses mal Deutsche Bahn die eigene PKI wieder bereit stellt.
Da die nicht offiziell ist, und NSP die nicht kennt wird abgelehnt.
Ich kann doch nicht jeden Tag schauen, ob irgend welche Externen, eigene PKIs in Betrieb nehmen und dann den NSP damit "manuell" mit zu versorgen.
 
Moin
Generell finde ich es dreist von solchen Firmen "Ich hab das Sagen also komm klar damit" zu spielen und einem die eigenen PKIs, oft ohne Zugriff auf die Sperrlisten, aufzuzwingen. Wehren kann man sich dagegen nicht immer, da man auf die Kommunikation teilweise angewiesen ist und die Kontakte in den entsprechenden Firmen oft gar nicht wissen was man von ihnen will, weil es eben zentral gemanaged wird.

ich nutze für das Thema das Script "get-certificatesWithProblems.ps1" (https://forum.nospamproxy.com/showthread.php?tid=435), das ganz zufällig von dir stammt :D
Das rennt bei mir 1x die Woche durch und dann arbeite ich - falls nötig - nach.

@NSP Team
Ich fände es aber richtig gut, wenn man im NSP über das Regelwerk solche Mails gesondert behandeln könnte.
Quasi nach dem Motto: Zertifikatskette kaputt -> Bestimmte Regel ausführen
(zum Beispiel einen eingehenden Disclaimer als Info draufklatschen statt die Mail rigoros wegzuwerfen)

Denn letztlich kann man dagegen oft nichts tun und muss am Ende entweder dubiose PKIs installieren... oder diese Domains gesondert behandelt. Beides nicht so das beste Vorgehen.

Grüße
 
Moin Lukas,
ja das Script kenne ich :)

Sehe das auch so, da müsste NSP irgend eine Lösung finden mit den PKIs die sich da nun jeder ausdenkt.
Allianz, Bayern.de und noch viele weitere mehr.

Die könnten doch sicherlich ihre PKI also Root Certs vielleicht zertifizieren lassen das die offiziell wären, oder so ähnlich.
 
Zurück
Oben