• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

S/MIME Zertifikat Prüfung

S

Sattler_Armin

Member
Registriert
31 Juli 2020
Beiträge
13
Reaktionspunkte
1
Hallo zusammen, wir hatten einen Fall eines Lieferanten dessen Mail über NoSpamProxy abgelehnt wurde. Die Mail war mit einer digitalen Signatur für Vorname.Nachname@Domain1.de versehen, die Absenderadresse war dagegen Support@Domain2.de. Aus meiner Sicht ist es naheliegend, dass die Mail abgelehnt wurde. Der Lieferant meinte jedoch, dass dies nach seinem Verständnis zulässig sei, da in RFC8550 folgendes geschrieben steht: 

=== cut ===
  Receiving agents MUST check that the address in the
  From or Sender header of a mail message matches an Internet mail
  address in the signer's certificate, if mail addresses are present in
  the certificate.

Quelle: https://tools.ietf.org/html/rfc8550#section-3

"Eine Einschränkung dahingehend, dass die Domain von Sender und From gleich sein müssen, finde ich dort nicht. Insofern ist es meinem Verständnis nach zulässig, eine Mail, die laut From-Header von [font=Tahoma, Verdana, Arial, sans-serif]Support@Domain2.de[/font] kommt, mit dem Schlüssel des Senders [font=Tahoma, Verdana, Arial, sans-serif]Vorname.Nachname@Domain1.de [/font]zu signieren."
=== cut ===


Kann dies jemand verlässlich einschätzen ob das so richtig ist?

Danke für eine Rückmeldung und viele Grüße

Armin Sattler
 
Hallo,

das ist eine äußerst merkwürdige Auffassung der RFC bei dem Kommunikationspartner.
1) Dort steht sogar sehr deutlich, dass die Absenderadresse im Header mit einer E-Mail-Adresse im Zertifikat übereinstimmen muss. "to match" heißt "übereinstimmen". Übersetzt steht dann dort:
"Empfangene Agents MÜSSEN überprüfen, dass die Adresse im From oder Sender Header mit einer Internet mail adresse im Zertifikat des Signierenden übereinstimmt, wenn mail adressen im Zertifikat vorhanden sind."
Da gibt es für mich keinen Zweifel. Wenn Adressen im Zertifikat stehen, muss eine von ihnen (sofern mehrere dort aufgeführt sind) mit der Adresse im Header übereinstimmen.

2) Abgesehen von der Regulierung in der RFC halte ich es für äußerst fragwürdig, mit einem "völlig fremden" Zertifikat zu signieren. Es stimmt ja nicht einmal die Domain überein! Ich nehme doch auch nicht den Ausweis von meinem besten Kumpel wenn ich mich einem Polizisten gegenüber ausweisen muss. Dieses Vorgehen weicht die ganze S/MIME Thematik unnötig auf und torpediert jegliche Absicherungsversuche. Verantwortungslos!

Gruß Stefan

PS: Sorry für den Frust, aber das geht gar nicht.
 
Hallo Stefan,

vielen Dank für die Klarstellung und die Mühe!

Viele Grüße aus Frankfurt

Armin Sattler
 
:-) Sehr gerne. Falls Du da mal eine Rückmeldung bekommen solltest, würde ich mich sehr über ein Update freuen. Auch einer direkten Diskussion gehe ich nur ungern aus dem Weg.

Gruß an den Main

Stefan
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

L
Gelöst Umgang mit NDR und Anti-Spam beim Kunden
Antworten
4
Aufrufe
228
Fabian_FD
F
mroedeske
Mail an Verteilerliste zahlreiche unzustellbar benachrichtigungen
Antworten
1
Aufrufe
790
Sören
Sören
F
header contains a local address (Substring)
Antworten
6
Aufrufe
13K
tele110
T
P
Script: Ungültige S/MIME-Zertifikate finden/entfernen
Antworten
1
Aufrufe
6K
StefanCink
StefanCink
F
Script: Ausgabe der Zertifikate mit Fehlern
Antworten
1
Aufrufe
5K
StefanCink
StefanCink
Zurück
Oben