• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

S/MIME Zertifikat Prüfung

Hallo zusammen, wir hatten einen Fall eines Lieferanten dessen Mail über NoSpamProxy abgelehnt wurde. Die Mail war mit einer digitalen Signatur für Vorname.Nachname@Domain1.de versehen, die Absenderadresse war dagegen Support@Domain2.de. Aus meiner Sicht ist es naheliegend, dass die Mail abgelehnt wurde. Der Lieferant meinte jedoch, dass dies nach seinem Verständnis zulässig sei, da in RFC8550 folgendes geschrieben steht: 

=== cut ===
  Receiving agents MUST check that the address in the
  From or Sender header of a mail message matches an Internet mail
  address in the signer's certificate, if mail addresses are present in
  the certificate.

Quelle: https://tools.ietf.org/html/rfc8550#section-3

"Eine Einschränkung dahingehend, dass die Domain von Sender und From gleich sein müssen, finde ich dort nicht. Insofern ist es meinem Verständnis nach zulässig, eine Mail, die laut From-Header von [font=Tahoma, Verdana, Arial, sans-serif]Support@Domain2.de[/font] kommt, mit dem Schlüssel des Senders [font=Tahoma, Verdana, Arial, sans-serif]Vorname.Nachname@Domain1.de [/font]zu signieren."
=== cut ===


Kann dies jemand verlässlich einschätzen ob das so richtig ist?

Danke für eine Rückmeldung und viele Grüße

Armin Sattler
 
Hallo,

das ist eine äußerst merkwürdige Auffassung der RFC bei dem Kommunikationspartner.
1) Dort steht sogar sehr deutlich, dass die Absenderadresse im Header mit einer E-Mail-Adresse im Zertifikat übereinstimmen muss. "to match" heißt "übereinstimmen". Übersetzt steht dann dort:
"Empfangene Agents MÜSSEN überprüfen, dass die Adresse im From oder Sender Header mit einer Internet mail adresse im Zertifikat des Signierenden übereinstimmt, wenn mail adressen im Zertifikat vorhanden sind."
Da gibt es für mich keinen Zweifel. Wenn Adressen im Zertifikat stehen, muss eine von ihnen (sofern mehrere dort aufgeführt sind) mit der Adresse im Header übereinstimmen.

2) Abgesehen von der Regulierung in der RFC halte ich es für äußerst fragwürdig, mit einem "völlig fremden" Zertifikat zu signieren. Es stimmt ja nicht einmal die Domain überein! Ich nehme doch auch nicht den Ausweis von meinem besten Kumpel wenn ich mich einem Polizisten gegenüber ausweisen muss. Dieses Vorgehen weicht die ganze S/MIME Thematik unnötig auf und torpediert jegliche Absicherungsversuche. Verantwortungslos!

Gruß Stefan

PS: Sorry für den Frust, aber das geht gar nicht.
 
:) Sehr gerne. Falls Du da mal eine Rückmeldung bekommen solltest, würde ich mich sehr über ein Update freuen. Auch einer direkten Diskussion gehe ich nur ungern aus dem Weg.

Gruß an den Main

Stefan
 
Zurück
Oben