• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Gelöst Geteilte Mailbox (shared mailbox) und S/MIME über NoSpamProxy

U

UlrichVossOB

Member
Registriert
26 Mai 2023
Beiträge
6
Reaktionspunkte
3
Hallo,

#neuhier II :) Neues Thema, neuer Thread. Sorry für die Wiederholung der Einleitung.

Einleitung:

Wir haben noch keine Lösung für unsere S/MIME-Einführung. NoSpamProxy ist in der engeren Auswahl. Leider schaffe es nicht, aus den Vertriebspartnern eine verlässliche Antwort auf meine Fragen herauszukitzeln ... Deshalb versuche ich es mal hier direkt an der Quelle ...

Unsere Umgebung:

Microsoft 365, also AD, Exchange, Office, alles direkt von Microsoft in der Cloud. Daher ist für uns auch nur NoSpamProxy Cloud interessant.

Unsere Frage:

Wie verhält sich NoSpamProxy in Zusammenhang mit "Shared Mailboxes/ Freigegeben Postfächern" im Office365 Universum (also Mailboxen, auf die mehrere Mitarbeitende Zugriff haben, die aber im strengen Sinn kein eigenständiger Account sind). Wir haben im Handbuch gesucht, aber nichts dazu gefunden.

Wenn jetzt ein Anwender im Namen dieser Mailbox (z.B. service@firmenname.de oder support@firmenname.de) Mails mit Verschlüsselung senden will, wie wird das gegenüber den Zertifikaten gemanaged?

Werden Shared Mailboxes direkt bei der Anbindung an NSP auch als "User" importiert und können ein eigenes Zertifikat in NoSpamProxy bekommen? Werden dann alle Mails (egal welche User die Mail verschicken) mit diesem Key verschlüsselt? Oder kann aus geteilten Mailboxen (sprich mit dem Absender "service@firmenname.de) gar nicht verschlüsselt gesendet werden?

(Die Frage ist eigentlich so basic, dass ich mich wundere, dass ich die Antwort nicht finde. Auch wenn sie garantiert schon irgendwo aufgeschrieben wurde ...)

Liebe Grüße
Ulrich Voß
 
Hallo Ulrich,

wilkommen im Forum =)

Dein Frage ist prinzipiell ganz simpel:
Wenn über das Postfach "service@firmenname.de" eine E-Mail verschickt wird kann für dieses ausgehend mit einem eigenen Zertifikat ("service@firmenname.de") signiert werden. Umgekehrt würde dann auch mit diesem Zertifikat verschlüsselt werden und im Postfach liegt dann die entschlüsselte E-Mail die jeder mit dem entsprechenden Zugriff lesen kann.
Das einzige was du dafür brauchst: NoSpamProxy Encryption und NoSpamProxy Managed Certificates.
Damit passiert dann alles voll automatisch, nach der Ersteinrichtung ;)
(NoSpamProxy Protection ist in der Cloud verpflichtend und ich möchte sie dir auch wärmsten empfehlen, ist aber hier erstmal nicht Thema)

Ein ABER möchte ich jedoch festhalten:
Du solltest sicher sein, dass dein Szenario von "Shared Mailboxen" handelt und nicht "Public Folder". Hier gibt es leider immer wieder Verwirrung und wir können prinzipiell mit beiden umgehen, die volle Automatisierung ist aber nur mit "Shared Mailboxen" möglich.
("Public Folder" sollten auch nicht mehr genutzt werden)

Falls ich dir noch weiter helfen kann gib Bescheid, gerne liefere ich auch noch mehr zur NoSpamProxy Protection ^.^

LG und schönes Wochenende,
Jan
 
OK, doch nicht zu 100% (vielleicht) beantwortet.

Brauchen wir für jede Shared Mailbox auch eine Lizenz? In Outlook365 kosten diese ja nicht extra (sondern nur die User), ist das bei NoSpamProxy auch so? (Wir nutzen das daher auch ziemlich exzessiv ...)

Liebe Grüße
Ulrich Voß
 
Guten Morgen Ulrich,

die Frage ist ebenfalls recht einfach zu beantworten:
Beim Server, also der On-Prem Variante, sind diese nicht zu lizenzieren.
In der Cloud jedoch schon, hier haben wir auch einen Abschnitt in der Dokumentation was zu lizenzieren ist =)

Beste Grüße und einen guten Start in die Woche,
Jan
 
Hallo in die Runde,

ich würde dieses Thema gern noch einmal aufgreifen, allerdings mit dem NSP on-prem.

Wir haben einen Office365 tenant, lokales AD mit EntraID synchronisiert, eine MPKI von Globalsign und den NSP Encryption on-prem.
Nun funktioniert die automatische Schlüsselanforderung ja nur für AD Benutzer. Diese haben wir aber nicht für freigegebene Postfächer. Erstellen wir on-prem Benutzer müssen wir die ja sonst kostenfreien freigegebenen Postfacher in Exchange Online lizensieren. Dies ist nicht gewollt.

Gibt es dazu eine Lösung oder einen Vorschlag?

Vielen Dank im Voraus!
Beste Grüße
Marcel
 
Hallo Marcel,

mir würden zwei Wege einfallen:
1. ein Skript welches Prüft ob ein Zertifikat vorliegt und ggf. ein neues beantragt
2. ihr nehmt eine kleine LDAP Applikation und fügt die Adressen so als einen zweiten Benutzerimport hinzu und profitiert von unserer automatischen Anforderung


Gruß
Jan
 
Hallo Jan,

Es tut mir leid dass es ruhiger um das Thema bei uns geworden ist.
Ich habe noch eine ergänzende Idee/Frage.

Wenn ich einen User mit der Mail Adresse des freigegebenen Postfachs im NSP erstelle und dann die Funktion Request cryptographic keys for selected users auswähle, dann kann ich ja NSP als Anbieter auswählen. Ist dass dann vergleichbar mit der automatischen Anforderung beim AD import?

Erneuert der NSP dann selbständig Zertifikate wenn diese ablaufen?

Gruß
Marcel
 
Hallo Marcel,
die Funktion als solche (das Anfordern des Zertifikats) ist dieselbe, allerdings wird das Zertifikat nicht automatisch erneuert. Die automatische Erneuerung passiert ausschließlich auf Basis einer AD oder AAD-Gruppenmitgliedschaft. Nur so wissen wir sicher, dass der Benutzer ein Zertifikat haben soll.
Gruß Stefan
 
markru schrieb:
Nun funktioniert die automatische Schlüsselanforderung ja nur für AD Benutzer. Diese haben wir aber nicht für freigegebene Postfächer. Erstellen wir on-prem Benutzer müssen wir die ja sonst kostenfreien freigegebenen Postfacher in Exchange Online lizensieren. Dies ist nicht gewollt.

Gibt es dazu eine Lösung oder einen Vorschlag?
Zum Vergrößern anklicken....

Hallo Marcel,

es gibt zwei Möglichkeiten, die wie beide bei unseren Kunden erfolgreich im Einsatz haben:

1) Du legst für die die Shared Mailboxen im AD einen Nutzer ein, synchronisierts diesen in die MS Cloud und weist dort temporär eine Lizenz zu, die einen Exchange Online Plan enthält. Danach klickst Du im Exchange Online Admincenter auf "in shared Mailbox umwandeln". Anschließend kannst Du die Lizenz wieder entfernen. Auf diese Weise kannst Du die Shared Mailbox wie einen normalen Nutzer im AD verwalten inkl. Aliase etc. und die Konten werden auch im NoSpamProxy angezeigt und können ein Zertifikat bekommen.

2) Du legst wie bisher die Shared Mailboxen online im MS 365 oder Exchange Online Admin Center an und stellst den NoSpamProxy so um, dass der automatische Benutzerimport nicht mehr aus dem AD erfolgt, sondern aus dem aus dem EntraID/Azure. Da Du ja ohnehin Deine Nutzer vom AD ins Entra synchronisierst, bekommst auf diese Weise auch alle Nutzer, Shared Mailboxen und Verteilergruppen in den NoSpamProxy.

Zertifikate kannst Du auf beiden Wegen für alle über die MPKI ausstellen lassen.

Grüße
Michael
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

U
Alte Zertifikate und Überführung in managed certificates
Antworten
2
Aufrufe
977
UlrichVossOB
U
J
S/Mime Verschlüsselung: E-Mails beim Empfänger nicht zu öffnen (Meldungen häufen sich)
Antworten
4
Aufrufe
1K
Jordan
J
M
Gelöst E-Mail wird umformatiert und S/MIME Signatur wird aufgrund dessen ungültig.
Antworten
4
Aufrufe
2K
Mueller
M
H
Anderer Kunde Problem mit antworten auf MAils
Antworten
3
Aufrufe
4K
ffischer
F
C
V13 DKIM Prüfung bestanden und gleichzeitig fehlgeschlagen
2
Antworten
24
Aufrufe
9K
ffischer
F
Zurück
Oben