S/MIME PGP Selektion

[Fabian_FD]

Hallo zusammen,

eigentlich setzen wir für die Signatur und Verschlüsselung S/MIME ein. Es gibt aber Partner welche PGP bevorzugen bzw. sogar Partner wo Person A PGP verwendet und Person B S/MIME.

Das führt dazu dass, einige Unternehmensbenutzer sowohl einen PGP als auch S/MIME Schlüssel im NSP hinterlegt haben. Grundsätzlich werden bei uns alle Nachrichten signiert, und falls möglich auch verschlüsselt.

Im Partner-Menü kann man Standardeinstellungen und Einstellungen je Partner vornehmen. Es gibt die Optionen:

• Automatisch entscheiden ob S/MIME oder PGP genutzt wird
• Nutze S/MIME falls möglich
• Nutze PGP falls möglich
• E-Mails nicht signieren oder verschlüsseln

Hierzu hätte ich folgende Fragen:

• Wenn beim Partner kein Schlüssel hinterlegt ist, wie wird automatisch bestimmt ob PGP oder S/MIME für die Signatur verwendet wird?
• Wenn ich eine der "falls möglich" Optionen auswähle, wird dann für den Fall, dass der Partner aber das andere Verfahren hinterlegt hat, ein Fallback durchgeführt?

Es gibt über die Keywords [Signiert] bzw. [Verschlüsselt] im Betreff die Möglichkeit eine Signatur zu erzwingen. Ich fände es sehr hilfreich wenn es zusätzlich die Möglichkeit gäbe das Verfahren zu wählen z.B. [Signiert][PGP] bzw. [Signiert][S/MIME]

Die S/MIME Zertifikate fordern wir über den automatischen Benutzerimport über die SwissSign MPKI an, dafür habe ich eine AD-Gruppe "SwissSign_Users" angelegt. Das funktioniert soweit gut. Ich habe jetzt zusätzlich eine Gruppe PGP_Users angelegt, und im Auto-Import-Menü "naiv" neben der SwissSign-Gruppe auch die PGP-Gruppe hinzugefügt, und als Anbieter den PGP-Provider von NSP ausgewählt. Danach habe ich manuell den Import gestartet, es wurde aber für die Nutzer der PGP-Gruppe kein Schlüssel angefordert. Geht das nur beim ersten Import? Gehen zwei Gruppen nicht? Oder sollte es funktionieren?

viele Grüße
Fabian

 

[JanJäschke]

Hallo Fabian,

da hast du aber viel auf einmal ^^
Ich hoffe ich vergesse nichts:
Derzeit ist das Verhalten noch so, dass wenn ein User ein Zertifikat hat kein PGP enrollment stattfindet. (Oder umgekehrt)
Das ließe sich durch ein temporäres entfernen der Zertifikate einmalig umgehen.

NoSpamProxy versucht immer die folgende Reihenfolge:
- S/Mime
- PGP
- PDF
Hängt natürlich von der konfig ab. Hast du nichts eingestellt wird genau diese Abfolge versucht.
Die Optionen im Partner sind „ausschließlich“. Wenn du also vom Standard weg gehst wird immer eine Variante verwendet, weil du es so festlegst.

Betreffkennzeichnung bin ich Zwiegestalten, ja für uns als Techniker ist das logisch und klar. Der 0815 Mitarbeiter ist aber in der Regel schon mit der normalen Betreffkennzeichnung überfordert.
Gibt es einen Grund nicht unser Add-In zu verwenden?

Gruß
Jan

 

[Fabian_FD]

Hallo Jan,

danke für die schnelle und ausführliche Antwort. Eigentlich mag ich keine Add-Ins, ich hab's jetzt testweise mal auf meinem Client installiert. Ich kann dann zwar einstellen dass ich für diese Mail den Unternehmensstandard nicht möchte, aber ein Wahl ob nun PGP oder S/MIME ist in dem Menü nicht vorhanden - die X-Header Optionen im NSP haben ja auch keine Unterscheidung zwischen PGP und S/MIME.

Das PGP-Zertifikat kann ich glücklicherweise auch für automatisch importierte Benutzer manuell Anfordern. Wie sich der User dann beim Renewal des SwissSign S/MIME verhält werden wir sehen ;-)

viele Grüße
Fabian

 

[JanJäschke]

stimmt da hast du recht
Da war ich gedanklich vorhin etwas falsch abgebogen

 

[Fabian_FD]

Kein Ding, ist ja auch schon nach Feierabend ;-)