• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Prüfung CRL - nur einer von 5 Einträgen funktioniert

mabu

Well-known member
Hallo.

In Zertifikaten von bitmarck.de tauchen mehrere Einträge bei den Sperrlisten-Verteilpunkten auf. 

[1]Sperrlisten-Verteilungspunkt
    Name des Verteilungspunktes:
          Vollst. Name:
              URL=http://securemail.bitmarck.de:80/crl/RevokedCertificates_0x6C252354726CA96E.crl
              URL=http://securemail.bitmarck.de:80/crl/RevokedCertificates_0x6C252354726CA96E.crl
              URL=https://securemail.bitmarck.de:443/crl/RevokedCertificates_0x6C252354726CA96E.crl

Die ersten beiden (auch noch identischen) Einträge laufen in Timeout. Der https-Eintrag funktioniert sofort.

In der Vergangenheit (NSP bis 13.1) hatte ich bei Mails von bitmarck.de das Problem, dass diese wegen Fehler in CRL-Prüfung sofort abgewiesen worden sind. Da bin ich mir nun aber auch nicht sicher, ob die https-URL damals auch schon erreichbar war.

Meine Lösung ist bisher eine Inbound-Regel für diese Domäne, die die Prüfung der CRL deaktiviert. (Da habe ich mittlerweile auch schon weitere Domänen mit hinzufügen müssen.)

Frage ist nun, wie sich NSP bei der Prüfung verhält, wenn die CRL wie oben im Zertifikat stehen. Sollte Prüfung klappen, da ein Eintrag ja funktioniert? Oder geht es schon beim ersten Eintrag schief?

Ich setze mich die Tage dazu auch mit der Bitmarck in Verbindung. Dann können wir es evtl. auch in dem Moment mal mit deaktivierter Regel testen. Evtl. macht NSP 13.2 da ja nun was anders bei der CRL-Prüfung.
 
Hallo Martin,

die Einträge für die CRL sind die eine Geschichte. Es gibt aber möglicherweise noch einen OCSP Eintrag bei den AIA-Properties des Zertifikats. OCSP hat immer Vorrang vor CRL und ist ebenfalls eine HTTP-basierte Abfrage. Wenn CRL schon nicht über HTTP funktioniert, ist die Wahrscheinlichkeit hoch, dass OCSP auch nicht geht. Kannst Du das bestätigen?

Als Test außerhalb von NoSpamProxy kopier Dir mal den Public Key des Zertifikats auf die Festplatte und führe folgenden Befehl auf der Kommandozeile auf (natürlich auf dem Server mit der Gateway Rolle!):

certutil -url <Pfad zum Zertifikat>

Es öffnet sich ein Fenster und dort kannst Du von Hand checken, ob und wo es bei der CRL Prüfung hakt.

Mal abseits von den gerade genannten Dingen, ist es Unsitte, einen HTTPS Link bei den Sperrinformationen zu verwenden. Das kann schnell zu einer Prüf-Schleife werden! HTTPS ist durch ein Zertifikat abgesichert, das natürlich auch geprüft werden muss. Ist die Prüfung des Prüfzertifikats ebenfalls nur über HTTPS prüfbar........Du merkst das Problem selbst. Wenn Du also mit der Bitmarck sprichst, weise bitte auf das Problem hin. Das macht kein mir bekanntes TrustCenter.

Gruß Stefan
 
Hallo Stefan.

Zum Zertifikat und dem Test über certutil: also nur bei "Sperrlisten vom CDP" kommt was. Also die 5 Einträge, die ich auch direkt in den Eigenschaften des Zerts sehe. Und dort funktioniert nur der https-Eintrag.

Ich gebe diese Infos mal an meinen Kontakt von der Bitmarck weiter. Mal schauen, was die aus der Info machen.

Wäre es für Euch nicht trotzdem eine Option, hier die Prüfung auf CRL so zu erweitern, dass auch mehrere vorhandene Einträge überprüft werden, bevor die eingehende Mail wie in diesem Fall gleich mit Fehler abgewiesen wird?

Martin
 
Das tun wir ja schon. Jeder einzelne Eintrag wird von oben nach unten abgearbeitet, allerdings in Abhängigkeit von der Fehlermeldung die wir bekommen. Ist der Server nicht erreichbar, weil er nicht antwortet, nehmen wir den nächsten. Gleiches Szenario bei temporären Fehlern (4xx). Bekommen wir jedoch einen 5xx Fehler, dann gehts nicht weiter. Genau genommen machen wir den direkten CRL Check auch nicht wir, sondern die Crypto-API von Windows.

Was steht denn genau in CERTUTIL?

Gruß Stefan
 
Dies wird angezeigt: (inline reinkopieren scheint nicht zu klappen - s. Anhang)


Und bei den beiden anderen Optionen unte "Abrufen" dann nur "Keine URLs"

Ich bin gespannt, was die Bitmarck antwortet. Unser eigenes SwissSign hat auch nur http-Eintrag als Sperrliste (und dann noch OSCP). Scheint ja auch so in der RFC zu stehen. Aber wollte ich auch nicht im Detail durchgehen.

Ich bin gespannt.

Irgendwie muss ich immer an das "Simple" in SMTP denken :s :huh: :angel:

Martin
 

Anhänge

  • image1.png
    image1.png
    188.6 KB · Aufrufe: 9
Hm, also wenn ich mir das so anschaue, würde ich eine falsche Proxy-Konfiguration ausschließen. Der HTTPS Zugriff funktioniert ja. Ich schreibe mal ein paar unsortierte Gedanken auf:

- CERTUTIL läuft hier im Kontext des angemeldeten Benutzers. Wenn NoSpamProxy die Prüfung macht, läuft das im Maschinen-Kontext. Es tritt derselbe Fehler auf. Heißt: Der Zugriff über HTTP/HTTPS ist gleich eingerichtet, oder? Muss denn ein Proxy von der Maschine aus genutzt werden? Wenn ja, gilt die Konfig auch für HTTP? Man kann es ja trennen.

- Wenn ein Proxy dazwischen ist: Wird da evtl. der CRL Zugriff geblockt? Funkioniert der Check mittels CERTUTIL mit einem anderen Zertifikat, zb. mit einem SwissSign Zertifikat oder ähnlichem?

- Oder stört die Firewall ggfs. etwas beim Zugriff auf den Bitmarck-Server?

- Im Zweifel mal mit Netmon die Verbindung zum Server mitschneiden und reinschauen.

Gruß Stefan

PS: In diesem Fall gilt das S von S/MIME und das steht für "saukompliziert". :)
 
Der GW-Server in der DMZ nutzt keine Proxy - also direkte Internetzugriffe. Aber im RZ ist da noch eine Firewall dazwischen. Gestern auch mal Anfrage ans RZ gestellt, ob sie auf der Firewall von dem Server Auffälligkeiten sehen (auch mit genauen Zeiträumen, in denen die Tests fehlgeschlagen sind).

Mal schauen, was da als Antwort kommt. Ticket habe ich bei Euch hierzu ja nun auch schon geöffnet. Und dort war auch erste Info, dass wir das mit der FW erstmal klären sollen.

Bin gespannt. Melde mich

Martin
 
Alles klar. Bin gespannt was dabei herauskommt. Mein Bauchgefühl sagt mir, dass die Firewall ihre Finger da im Spiel hat. :)
 
Hallo zusammen

Hab gerade mit der gleichen CRL bei SecureMail.renk.biz das Problem bei einem Kunden.
- http://securemail.renk.biz/responsiveUI/ServiceHandler?service=createCRL&caId=1_2

Der Server geht über die FW ohne Proxy. Laut DL ist die FW OK. Anscheinend wird die Connection durch den Client
also in dem Fall NoSpam gedroppt.

Was ich bis jetzt feststellen konnte ist folgendes.
Nehme ich die URL bei mir am Client in den Edge Chromium oder IE geht der Download nicht.
Im Firefox funktioniert er.. 

Kann man den NoSpam umstellen / anpassen das er die CRL ignoriert ?

mfg Thomas
 
Hallo,

wenn ich eine Regel baue mit dem Absender und in S/Mime PGP Action
das Validate bei S/MIME und PGP Abschalte ? Geht die EMail dann durch?
Das Problem ist aktuell bei den Kunden das es sich um Bestellungen handelt und wir eine schnelle Lösung benötigen.

Mit dem IT Leiter der anderen Firma hab ich schon Kontakt, den interessiert das nicht wirklich :-(
 
Guten Morgen Thomas,

ja die E-Mail geht dann durch. In den Standardeinstellungen wird lediglich die Integrität der Nachricht überprüft nicht aber das zertifikat selbst.
Somit kann weiterhin festgestellt werden ob eine E-Mail unterwegs geändert wurde oder nicht.
Zur Sicherheit habe ich einmal einen Screenshot der eingehenden Regel angehangen.


Gruß
Jan

Anhang anzeigen 7
 

Anhänge

  • smime01.PNG
    smime01.PNG
    250.6 KB · Aufrufe: 7
Zurück
Oben