• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

KeyServer via LDAP Fragen

ffischer

Moderator

Guten Morgen,
NoSpamproxy läuft soweit alles gut ...

Nun hatte ich den Fall, Ausgehend "All outbound mails" soll er vorzugsweise verschlüsseln wenn er ein Zert findet.

LDAP hat Server eingetragen, LDAP Test Tool ( leider kann man noch nicht innerhalb von NoSpamProxy prüfen ob LDAP Frage erfolgreich ist oder ob Adresse vorhanden ist)
bringt Adresse vorhanden.

Schicke ich nun eine Mail ohne dem System mitzuteilen Autoverschlüsselung - sollte er doch schauen ob es für die Adresse ein Zertfikat gibt ..
leider sehe ich nicht ob er eine LDAP Abfrage macht bzw ob er die Eingetragenen KeyServer nutzt.

Bei Autoverschlüsselung schickt er eine Einladungsmail an den Empfänger.

Wie kann ich sehen ob er überhaupt beim Versenden die Regel Outbound nutzt und im LDAP nach der Adresse sucht?

Grüße
 
ffischer schrieb:
Guten Morgen,
NoSpamproxy läuft soweit alles gut ...

Nun hatte ich den Fall, Ausgehend "All outbound mails" soll er vorzugsweise verschlüsseln wenn er ein Zert findet.

LDAP hat Server eingetragen, LDAP Test Tool ( leider kann man noch nicht innerhalb von NoSpamProxy prüfen ob LDAP Frage erfolgreich ist oder ob Adresse vorhanden ist)
bringt Adresse vorhanden.

Schicke ich nun eine Mail ohne dem System mitzuteilen Autoverschlüsselung - sollte er doch schauen ob es für die Adresse ein Zertfikat gibt ..
leider sehe ich nicht ob er eine LDAP Abfrage macht bzw ob er die Eingetragenen KeyServer nutzt.

Bei Autoverschlüsselung schickt er eine Einladungsmail an den Empfänger.

Wie kann ich sehen ob er überhaupt beim Versenden die Regel Outbound nutzt und im LDAP nach der Adresse sucht?

Grüße

Moin,

der einfachste Weg wäre natürlich wenn man weiß das dort ein Zertifikat liegt und dann den User anschreibt, danach sollte sich der Key im NSP in den Zertifikaten finden.
Etwas umständlicher: Wireshark installieren und einen Filter auf 389 setzen und schauen was da passiert, der Traffic ist ja nicht verschlüsselt.

Grüße
 
Hallo,
ja genau das ist das Problem.
Ich weiß es liegt da ein zertifikat da ich mit einem anderen LDAP Tool in dem KeyServer suchen kann und auc fündig werde.
Nur NSP nimmt es nicht .. weil er vielleicht nicht da drin sucht ..
Ich muss mal an der Firewall schauen ob da eine Anfrage auftaucht
 
ffischer schrieb:
Hallo,
ja genau das ist das Problem.
Ich weiß es liegt da ein zertifikat da ich mit einem anderen LDAP Tool in dem KeyServer suchen kann und auc fündig werde.
Nur NSP nimmt es nicht .. weil er vielleicht nicht da drin sucht ..
Ich muss mal an der Firewall schauen ob da eine Anfrage auftaucht

Wenn du das Tool vom NSP aus ausführst, dann kannst du die Firewall schon einmal ausschließen ;) 

Die Keys werden von der Gatewayrolle gesucht, also das Tool von dort aus ausführen oder wie gesagt, du schaust mal mit wireshark und setzt einen Filter auf 389.
 
also irgend was tut er ..

SVCLOG:
Looking up a cryptographic key on the Internet
Found 0 address keys and 0 domain keys for mailadresse.

LDAP Tool am gateway findet die Adresse.
 
ffischer schrieb:
also irgend was tut er ..

SVCLOG:
Looking up a cryptographic key on the Internet
Found 0 address keys and 0 domain keys for mailadresse.

LDAP Tool am gateway findet die Adresse.

findest du denn auch das Binary mit dem Tool und kannst es dann auch laden? Nicht das die Firewall den Content nicht mag....


du hast du die LDAP Suche so eingetragen?


[font=lato, HelveticaNeue,]LDAP Suche: Unbeschränkte Suche auf (mail=%e)[/font]

[font=lato, HelveticaNeue,]LDAP Felder: userCertificate;binary[/font]
 
Hallo,
also LDAP Suche ist beschränkt auf die passende DN
LDAP Feld passt auch ...

mit dem LdapAdmin kann ich Zert Anzeigen lassen.
 
ffischer schrieb:
Hallo,
also LDAP Suche ist beschränkt auf die passende DN
LDAP Feld passt auch ...

mit dem LdapAdmin kann ich Zert Anzeigen lassen.

Kurios!

Ist das ein öffentlicher LDAP und kannst du mir die Daten per PN zukommen lassen?

Hab gerade mal geschaut ob wir einen Bug haben in der LDAP Abfrage, aber das Zertifikat wurde bei mir direkt gefunden.

Grüße
Sören
 
Es wäre praktisch wenn man im NSP bei den Einstellungen zu den KeyServern noch ein Test Feld hätte wo man dann so eine E-Mail also den Versand "Simulieren" kann.

Sonst sucht man ja ewig nach dem Grund wen es nicht geht :)


jetzt bin ich verwirrt.
Getestet von einem anderen System ...
Nutzt die Standard Outbound Regel


Regel ist drin mit SMIME / PGP vorz. ausgehend ...
Verschl. Optionen:

Suche Nach Schlüsseln zuerst auf zuständigen; probiere die anderen danach ..
hatte auch schon Empfohlene Variante drin .. der sucht nicht im LDAP nach ..

Mail ist nur Signiert aber nicht verschlüsselt. - ich bin verwirrt.
Habe ich einen Fehler in den Regeln?
 
ffischer schrieb:
Es wäre praktisch wenn man im NSP bei den Einstellungen zu den KeyServern noch ein Test Feld hätte wo man dann so eine E-Mail also den Versand "Simulieren" kann.

Sonst sucht man ja ewig nach dem Grund wen es nicht geht :)


jetzt bin ich verwirrt.
Getestet von einem anderen System ...
Nutzt die Standard Outbound Regel


Regel ist drin mit SMIME / PGP vorz. ausgehend ...
Verschl. Optionen:

Suche Nach Schlüsseln zuerst auf zuständigen; probiere die anderen danach ..
hatte auch schon Empfohlene Variante drin .. der sucht nicht im LDAP nach ..

Mail ist nur Signiert aber nicht verschlüsselt. - ich bin verwirrt.
Habe ich einen Fehler in den Regeln?



Habe ich gerade geprüft, kann ich bestätigen. Es wird nur dann auf dem Server gesucht wenn das ausgewählt ist:

Suche nach Schlüsseln zuerst auf zuständigen Servern; probiere die anderen Server danach

Das Verhalten ist auch richtig, da du hier nichts hinterlegt hattest:

siehe Bild 1

du hattet, wie du schon selbst festgestellt hattest, dies hier ausgewählt ...und dann sucht der NSP da halt auch nicht ;)

siehe Bild 2
 

Anhänge

  • 1.png
    1.png
    22.6 KB · Aufrufe: 10
  • 2.png
    2.png
    80.4 KB · Aufrufe: 6
Wie ist den die Einstellung für suche zu erst Lokal dann auf allen hinterlegten LDAP Key Servern (eigene Einträge und openkeys)

Ich weiß ja nie wo jemand seine Zertifikate hat.
Die gängigsten sind ja per openkeys drin und die anderen über die Manuellen Eintrag.
 
ffischer schrieb:
Wie ist den die Einstellung für suche zu erst Lokal dann auf allen hinterlegten LDAP Key Servern (eigene Einträge und openkeys)

Ich weiß ja nie wo jemand seine Zertifikate hat.
Die gängigsten sind ja per openkeys drin und die anderen über die Manuellen Eintrag.

Ich verstehe die Frage nicht so ganz. Am sichersten bist du, wenn du dies hier auswählst wenn du einen eigenen LDAP Server eigetragen hast, dort aber nicht die Domains eingepflegt hast:

Suche nach Schlüsseln zuerst auf zuständigen Servern; probiere die anderen Server danach
 
Genau das.
ich weiß ja nie welche Domäne des Empgängers woher einen Schlüssel hat.
Daher soll erst lokal nach möglichen Schlüsseln gesucht werden und dann alle vorhandenen Schlüsselserver geprüft werden.
Prüfe das nachher nochmal mit einem Empfänger.

NSP sollte dann nach Zertifikaten des Users suchen, und lokal nichts finden ... dann aber die KeyServer durchgehen openekys und die von mir eingetragenenen LDAP Server.
Wenn er was gefunden hat soll er verschlüsseln wenn nicht geht die mail ohne Verschlüsselung raus.
 
ffischer schrieb:
Genau das.
ich weiß ja nie welche Domäne des Empgängers woher einen Schlüssel hat.
Daher soll erst lokal nach möglichen Schlüsseln gesucht werden und dann alle vorhandenen Schlüsselserver geprüft werden.
Prüfe das nachher nochmal mit einem Empfänger.

NSP sollte dann nach Zertifikaten des Users suchen, und lokal nichts finden ... dann aber die KeyServer durchgehen openekys und die von mir eingetragenenen LDAP Server.
Wenn er was gefunden hat soll er verschlüsseln wenn nicht geht die mail ohne Verschlüsselung raus.

Da ist die Beschreibung leider nicht eindeutig genug von uns, es wird immer erst lokal gesucht und dann auf OpenKeys sowie auf den hinterlegten LDAP Servern.
 
Lässt sich ja im nächsten Update korrigieren.
Vielleicht ist dann ja auch drin das man die Erreichbarkeit Testen kann :)
 
Wie trage ich eigentlich einen Server ein der per LDAPs erreichbar ist ?
Port angeben macht er nicht da sagt er mir LDAP nicht erreichbar wenn ich diesen per Mail Versand anspreche.

Port 389 geht
Port 636 geht nicht (ssl port)

oder probiert der NSP das Automatisch?

Code:
Failed to lookup cryptographic keys using the provider 'PKI BYBN'. The error returned by the provider was: Der LDAP-Server ist nicht verfügbar.


Message:
Der LDAP-Server ist nicht verfügbar.
Error type:
System.DirectoryServices.Protocols.LdapException

Error code: 2148734208
Program location:
  bei System.DirectoryServices.Protocols.LdapConnection.Connect()
  bei System.DirectoryServices.Protocols.LdapConnection.SendRequestHelper(DirectoryRequest request, Int32& messageID)
  bei System.DirectoryServices.Protocols.LdapConnection.BeginSendRequest(DirectoryRequest request, TimeSpan requestTimeout, PartialResultProcessing partialMode, AsyncCallback callback, Object state)
  bei InfiniTec.DirectoryServices.LdapConnectionExtension.SendRequestAsync(LdapConnection connection, DirectoryRequest request, CancellationToken token)
  bei InfiniTec.DirectoryServices.DirectorySearch.<SearchAsync>d__49.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
  bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
  bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
  bei Netatwork.NoSpamProxy.Cryptography.LdapConnectionProvider.<FindAsync>d__23.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
  bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
  bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
  bei Netatwork.NoSpamProxy.Cryptography.CryptographicKeyLookupService.<ExecuteFindRequest>d__13.MoveNext()
 
ffischer schrieb:
Wie trage ich eigentlich einen Server ein der per LDAPs erreichbar ist ?
Port angeben macht er nicht da sagt er mir LDAP nicht erreichbar wenn ich diesen per Mail Versand anspreche.

Port 389 geht
Port 636 geht nicht (ssl port)

oder probiert der NSP das Automatisch?

Code:
Failed to lookup cryptographic keys using the provider 'PKI BYBN'. The error returned by the provider was: Der LDAP-Server ist nicht verfügbar.


Message:
Der LDAP-Server ist nicht verfügbar.
Error type:
System.DirectoryServices.Protocols.LdapException

Error code: 2148734208
Program location:
  bei System.DirectoryServices.Protocols.LdapConnection.Connect()
  bei System.DirectoryServices.Protocols.LdapConnection.SendRequestHelper(DirectoryRequest request, Int32& messageID)
  bei System.DirectoryServices.Protocols.LdapConnection.BeginSendRequest(DirectoryRequest request, TimeSpan requestTimeout, PartialResultProcessing partialMode, AsyncCallback callback, Object state)
  bei InfiniTec.DirectoryServices.LdapConnectionExtension.SendRequestAsync(LdapConnection connection, DirectoryRequest request, CancellationToken token)
  bei InfiniTec.DirectoryServices.DirectorySearch.<SearchAsync>d__49.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
  bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
  bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
  bei Netatwork.NoSpamProxy.Cryptography.LdapConnectionProvider.<FindAsync>d__23.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
  bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
  bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
  bei Netatwork.NoSpamProxy.Cryptography.CryptographicKeyLookupService.<ExecuteFindRequest>d__13.MoveNext()

Einfach 636 eintragen... dann wird ldaps gemacht, siehe screenshot

Aber dafür das er zuvor komplett offen war, liefert der LDAP jetzt gar nichts mehr aus...
 

Anhänge

  • 2020-07-20 14_23_18-Window.png
    2020-07-20 14_23_18-Window.png
    31.4 KB · Aufrufe: 1
Was passiert denn wenn du einen Telnet auf den LDAP Server Port 636 machst oder einen LDAP Browser verwendest?
Kommt dann eine saubere Verbindung zu Stande?
 
Hallo,
ja die Verb. kommt zu stande.
Nutze LADPAdmin das klappte bisher immer.
Wie gesagt als ich im NSP umgestellt hatte von 636 auf 389 klappte es mit der Abfrage
 
ffischer schrieb:
Hallo,
ja die Verb. kommt zu stande.
Nutze LADPAdmin das klappte bisher immer.
Wie gesagt als ich im NSP umgestellt hatte von 636 auf 389 klappte es mit der Abfrage

Moin,

in der Tat ist LDAPS nicht supported oder besser noch nicht. Mittelfristig werden wir aber in der Komponente tiefgreifende Änderungen vornehmen die dann unter anderem auch den LDAPS Support bringen wird.

Bis dahin kann ich dich erst einmal nur bitten, LDAP über 389 zu nutzen.
 
Zurück
Oben