• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

PDF Mail und manuell vergebenes Passwort - Auffälligkeit

M

mabu

Well-known member
Hallo.

Bei uns hat man sich entschieden, bei Nutzung von PDF Mail das Passwort in einer bestimmten Form beim Versand vorzugeben. Der Empfänger hat 2 Werte, die eigentlich nur er selbst wissen sollte und dies reicht dem Datenschutz, damit auch sensible Daten per Mail verschickt werden können. Hinweis dazu: Mailversand soll aber auch nur in dringenden Fällen für sowas genutzt werden.

Aufgrund einer internen Rückfrage ist mir aufgefallen, dass ein vom Absender manuell vergebenes Passwort unter PDF Mail auf jeden Fall genutzt wird, wenn es den Mindestanforderungen entspricht.

Entspricht das manuell vergebene Kennwort diesen Anforderungen aber nicht UND im Partner ist bereits ein Passwort hinterlegt, dann wird das Partnerpasswort genutzt.

So ist dies auch in der in der Outbound-Regel in der Aktion "Anhänge mit einem Passwort schützen" konfiguriert: (kann mich an diese Einstellungen überhaupt nicht mehr erinnern)
Outbound-Regel.jpg

Somit wird ein vom Absender bereitsgestelltes aber zu kurzes Passwort nicht genutzt und durch das vorhandene Partnerpasswort überschrieben. Für den Versand gut. In der Praxis hat Absender dem Empfänger aber schon irgendwie mitgeteilt, wie das Kennwort lauten wird (oder wie es aufgebaut ist). Und dann wird aber für die Mail doch ein anderes Passwort genutzt.

Ich bin mir da gerade ein wenig unsicher, ob ich das so okay finde. ==> was meint Ihr so dazu? Sollte Option 1 in dieser Auswahl nicht eher erzwungen sein und bei einem zu kurzen Kennwort dann eine Fehlermeldung auslösen?


Ich finde auch die 4. Option in der Auswahl "Nutze das vom Absender bereitgestelle PW und speichere es für die Nutzung mit der Partnradresse" recht interessant. Meiner Ansicht nach sollte sich aufgrund des bei uns vorgegebenen Aufbaus eines zu nutzenden PWs da auf Dauer eigentlich nichts ändern. Letztlich wird der Absender aber trotzdem jedes Mal manuell das Passwort eintragen, da dieser ja nicht einsehen kann, ob bereits ein PW hinterlegt ist oder nicht. Und dann wird es auch noch so sein, dass sich Empfänger ja auch nicht unbedingt an das Passwort erinnern werden.

Ist manchmal doch echt tricky, die Möglichkeiten letztlich für User sinnvoll in die Praxis zu integrieren.

Bin auf Eure Rückmeldungen gespannt.

Gruß
Martin
 
Dem Empfänger ein Passwort zu geben halte ich für nicht zielführend. Das Passwort muss mitgeteilt werden und der Empfänger hat ein Passwort "das er nicht will, weils ein zusätzliches Passwort ist".

Wir lassen ausschließlich die Empfänger selbst die Passwörter vergeben und schreiben die Komplexität vor (die relativ niedrig ist). Wenn der Empfänger dann ein Passwort verwendet, das er "überall" verwendet und das maximal einfach ist, ist das nicht mein Bier.

Bei der Entscheidung NSP zu nutzen war genau dieser Punkt einer der wesentlichen Punkte. Ich will dem Empfänger kein Passwort geben, das ist m.E. viel zu viel Aufwand und die Übertragung ist mir zu aufwändig. Auch wenn der Empfänger sein Passwort irgendwann mal "verlegt" hat fordere ich ihn dazu auf, sich ein Neues zu vergeben und ggf. Mails die er nun nicht mehr öffnen kann erneut bei uns anzufordern.
 
Bin ich ja auch der Meinung, dass es sinnvoller wäre, wenn Empfänger sich ein Kennwort selbst vergibt. Nur war es ein internes "Gremium" leider nicht.

Bei uns geht es um Sozialdaten und da fanden es die Entscheider zu unsicher, dass Empfänger zuerst eine Info bekommt "vergebe Dein Passwort selbst". Haben da auch nur das Minimum von 8 Zeichen aktiviert.

Diese interne Vorgabe gibt es seit knapp einem Jahr. Zuvor ohne feste Vorgabe wurde auch mit "Empfänger vergibt sich Passwort selbst" gearbeitet (aber auch nur, wenn Empfänger dem Mailversand absolut zugestimmt hat, da Mailversand und Sozialdaten nicht so wirklich verträglich sind). Gab dann aber auch des öfteren das Problem bei einer folgenden Mail "ach, das Kennwort hätte ich mir merken sollen?" Und somit wieder Arbeit für die IT.
 
Wir sind eine Steuerkanzlei und verschicken daher fast ausschließlich sensible Daten. :)

Die Vorlage die der Empfänger erhält mit der er aufgefordert wird, sich sein Passwort zu vergeben lässt sich anpassen, z.B. auch indem man hinzufügt "das Passwort ist und bleibt ihr Passwort. Sie werden damit die aktuelle und auch alle zukünftigen Mails öffnen können. Bitte halten Sie daher das Passwort für die Zukunft bereit."

Die Datei dazu heißt: "EncryptedMailNotificationTemplate.cshtml und liegt im Verzeichnis c:\Programme\Net at Work Mail Gateway\enQsig Webportal\App_Data\Templates
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

I
Passwort Anforderung falsch
Antworten
6
Aufrufe
543
ITZA
I
D
PDF Passwortgenerator Outlook Addin / Einstellungen
Antworten
0
Aufrufe
569
Dennis R
D
S
Trennung Dateien aus LargeFiles und Daten aus Inhaltsfilter
Antworten
3
Aufrufe
116
Sören
Sören
D
Datei kann nicht heruntergeladen werden
Antworten
12
Aufrufe
190
dimitri.k
D
I
Gelöst CDR PDF
Antworten
2
Aufrufe
163
ITZA
I
Zurück
Oben