• Bewerte uns auf OMR Reviews: Klick

  • 25Reports geht live, schaut es euch an: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagetracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

  • Zertifikate vom Deutschen Forschungsnetz beziehen (Harica CA)? Klick

PGP-Mails der internen Außenstelle trotz Ausnahme in Entschlüsselungsrichtlinie blockiert

J

joerg

Active member
Registriert
14 Februar 2024
Beiträge
42
Reaktionspunkte
5
Hallo zusammen,

wir betreiben einen zentralen Exchange-Server mit dem NoSpamProxy (NSP) als zentrales Mail-Gateway.

Unser Szenario:

  • Für die reguläre Verwaltung nutzen wir standardmäßig S/MIME über den NSP.
  • Unsere angeschlossene Außenstelle läuft über dieselbe Exchange- und NSP-Infrastruktur, nutzt extern für ihre Kommunikation allerdings GnuPG (PGP).
  • Da wir die PGP-Schlüssel der Leitstelle nicht auf dem NSP verwalten, müssen diese Mails das Gateway zwingend unbehandelt und unverändert passieren, während S/MIME für die Verwaltung normal weiterlaufen muss.
Das Problem & unsere bisherigen Einstellungen:In den Details der Nachrichtenverfolgung laufen wir bei eingehenden PGP-Mails für die Leitstelle in folgenden Fehler:

„OpenPGP-Entschlüsselung: Die E-Mail konnte nicht entschlüsselt werden. Der notwendige Entschlüsselungsschlüssel konnte nicht gefunden werden. Einer der Schlüssel mit der folgenden ID ist notwendig...“
Zum Vergrößern anklicken....
Wir haben daraufhin in den Krypto-Aktionen unter „Entschlüsselungsrichtlinien“ den Haken bei „Akzeptiere PGP-verschlüsselte E-Mails oder Anhänge, wenn der Entschlüsselungsschlüssel fehlt“ gesetzt. Bei den Überprüfungsrichtlinien für PGP wurden zudem alle Signatur-Prüfungen deaktiviert.

Trotz dieser gesetzten Haken bleibt der Fehler absolut identisch und die Mails werden nicht korrekt transparent durchgereicht. Es scheint, als würde der NSP die Mail dennoch blockieren oder fehlerhaft behandeln, weil er den PGP-Inhalt nicht auflösen kann.

Unsere Frage:Wie sieht der korrekte Best-Practice-Weg aus, um PGP-Traffic für bestimmte Empfänger (die Leitstelle) komplett an der Entschlüsselung vorbeizuleiten, ohne dass das S/MIME-Regelwerk für die restliche Verwaltung beeinträchtigt wird?Müssen wir hierzu eine eigene Mail Flow Regel mit höchster Priorität für die Leitstelle bauen, in der die Aktion „S/MIME- und PGP-Überprüfung sowie Entschlüsselung“ komplett fehlt, oder kollidiert das dann mit dem gewünschten S/MIME-Verkehr der Leitstelle?

Über eure Hilfe und einen konkreten Konfigurations-Tipp würden wir uns sehr freuen!
 

Anhänge

  • 4.png
    4.png
    47.1 KB · Aufrufe: 3
  • 3.png
    3.png
    66.2 KB · Aufrufe: 3
  • 2.png
    2.png
    59.1 KB · Aufrufe: 2
  • 1.png
    1.png
    91.5 KB · Aufrufe: 3
joerg schrieb:
Trotz dieser gesetzten Haken bleibt der Fehler absolut identisch und die Mails werden nicht korrekt transparent durchgereicht. Es scheint, als würde der NSP die Mail dennoch blockieren oder fehlerhaft behandeln, weil er den PGP-Inhalt nicht auflösen kann.
Zum Vergrößern anklicken....
als erstes würde ich mal sicherstellen ob die Regel überhaupt greift... geh mal ins Message Tracking such nach der Mail die abgewiesen wurde, wechsel in den Tab Überprüfung -> oben steht dann durch welche Regel die Mail verarbeitet wurde

joerg schrieb:
Mail Flow Regel mit höchster Priorität für die Leitstelle bauen, in der die Aktion „S/MIME- und PGP-Überprüfung sowie Entschlüsselung“ komplett fehlt, oder kollidiert das dann mit dem gewünschten S/MIME-Verkehr der Leitstelle?
Zum Vergrößern anklicken....
auf den ersten Blick würde ich sagen da kollidiert nichts, Mails die nicht entschlüsselt werden können, gehen dann einfach durch... und ja, die Regel braucht eine höhere Prio als die default Regel und natürlich den Scope innerhalb der Regel auf die internen Adressen
 
Guten Morgen,
  1. die Regel greift. Es ist wird die Richtige angewendet, welche ich für die Außenstelle erstellt habe.
  2. Prio habe ich bereits ziemlich weit nach oben geschoben.
Ich wüsste nicht, was sonst noch gemacht werden könnte...
 
joerg schrieb:
Ich wüsste nicht, was sonst noch gemacht werden könnte...
Zum Vergrößern anklicken....
Moin :)

ich ehrlich gesagt auch nicht, auf den ersten Blick hast du alles absolut richtig gemacht... am besten wäre es, wenn du mal ein Ticket aufmachst und die Kollegen sich das anschauen.

EDIT: ich sehe auch gerade, dass das Forum eine Mail an dich generiert hat. Die hat euer NSP abgewiesen weil die Mail an dich nicht entschlüsselt werden konnte. Daher bin ich der Meinung, da muss wirklich mal der Support ran und sich das anschauen.
 
Zuletzt bearbeitet:
Sören schrieb:
Moin :)

ich ehrlich gesagt auch nicht, auf den ersten Blick hast du alles absolut richtig gemacht... am besten wäre es, wenn du mal ein Ticket aufmachst und die Kollegen sich das anschauen.

EDIT: ich sehe auch gerade, dass das Forum eine Mail an dich generiert hat. Die hat euer NSP abgewiesen weil die Mail an dich nicht entschlüsselt werden konnte. Daher bin ich der Meinung, da muss wirklich mal der Support ran und sich das anschauen.
Zum Vergrößern anklicken....
Jetzt solltet ihr mir wieder senden können. ;-)
Da ich ein Domänenzertifikat eingeführt habe, hatte ich kurzzeitig meinen Schlüssel rausgenommen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

F
S/MIME PGP Selektion
Antworten
4
Aufrufe
648
Fabian_FD
F
T
aktuelles PGP-Zertifikat wird nicht eingelesen
Antworten
3
Aufrufe
285
JanJäschke
JanJäschke
W
SwissSign bestimmte Zertifikate widerrufen und erneuern
2 3 4
Antworten
60
Aufrufe
2K
StefanCink
StefanCink
R
Gelöst Probleme bei Einrichtung PGP
Antworten
12
Aufrufe
1K
Sören
Sören
M
Gelöst SwissSign und Veröffentlichung der Zertifikate in deren Directory
Antworten
3
Aufrufe
283
mabu
M
Zurück
Oben