• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Zertifikat aus Signatur wird ausgehend nicht zum Verschlüsseln genutzt

mabu

Well-known member
Hallo.

Habe eine Verständnisfrage, da ich keine Idee, habe, warum der NSP das für eine bestimmte externe Mailadresse vorhandene Zertifikat nicht zum Verschlüsseln nutzt.

Unter Partner ist die betroffene Domäne abc.gmbh (also abc in echt was anderes) mit mehreren Benutzereinträgen inkl. Zertifikaten vorhanden.

Nun schaue ich in die Benutzereinträge und dort ist unter "Verschlüsseln" vermerkt "Verschlüsselung nicht unterstützt" (erklärt zumindest, warum Mail nicht verschlüsselt wird).

Schaue ich mir das Zertifikat selbst näher an:
  • noch nicht abgelaufen
  • Zertifikat ist für folgende Zwecke beabsichtigt: "Schützt E-Mail-Nachrichten"
  • ausgestellt von einer Unternehmens-CA, die vom Pfad her erfolgreich zu D-Trust auflöst
Warum sollte das Zertifikat nur für die Signatur der ausgehenden Mail nutzbar sein?

Kann es sein, dass der NSP ein Problem damit hat (evtl. durch die Domäne abc.gmbh)?

Danke vorab für Hinweise.


Es scheint doch eher was mit der Domäne abc.gmbh zu tun zu haben.

Ein von der gleichen CA ansonsten identisch ausgestelltes Zertifikat (also auch nur "Schützt E-Mail-Nachrichten") wird zum Verschlüsseln nach extern genutzt. Und in diesem Partner mit abc-test.com als Domänenname wird unter Benutzer auch wirklich angezeigt, dass "Schlüssel wird zu Verschlüsselung eingesetzt" aktiviert ist.

Somit sieht es für mich eher nach einem Bug im NSP aus.

Ich gebe das dann gleich mal an den Support weiter.
 
Hallo Martin,

es gibt durchaus  Unternehmen, die Verschlüsselungs- und Signaturzertifikate trennen. Ich vermute auch in Deinem Fall genau das. Ausschlaggebend ist nicht der Punkt "Schützt E-Mail Nachrichten" unter "Enhanced Key Usage", sondern der Eintrag unter "Key Usage". Dort muss zwingend "Key Encipherment, Data Encipherment" stehen, wenn Verschlüsselung möglich sein soll. Ich vermute mal ganz stark, dass in den jeweiligen Zertifikaten lediglich "Digital Signature" steht.

Gruß Stefan
 
Habe doch tatsächlich einen Unterschied gefunden. Die neueren Zertifikate wurden von einer CA mit "abc CA2 2013 XXI" ausgestellt und wollen nicht zum Verschlüsseln genutzt werden.

Die älteren "funktionierenden" sind von der CA "abc CA2 2013 XXIII" -> den Unterschied hatte ich zuerst echt übersehen. Ist aber auch eher zu übersehen.

Und Dein Hinweis ist dann natürlich auch der Richtige - da steht im neuen Zertifikat doch tatsächlich unter "Key usage" nur "Digitale Signatur, Zugelassen (c0)" wo vorher "Schlüsselverschlüsselung, Datenverschlüsselung (30)" stand.

So ein Schei...

Warum tut man sowas? Da fehlt mir doch aktuell noch das praktische Verständnis.

Damit lösche ich mal meine Mailanfrage an Euren Support. War noch am Formulieren.

Danke.
 
Hallo Martin,

ich kenne es durch die Zusammenarbeit in der EBCA zum Beispiel von Siemens oder EON. Dort sind die Zertifikate auf einer Smartcard, die gleichzeitig auch der Mitarbeiterausweis ist und für die Anmeldung am PC benötigt wird. Das Zertifikat für die Signatur ist nur auf der Karte des Besitzers hinterlegt. Verschlüsselungszertifikate werden im Rahmen der Stellvertreterregelung auch auf die Karten der Stellvertreter*innen kopiert. Somit kann der Stellvertreter zwar die Nachrichten des anderen entschlüsseln und lesen, nicht aber E-mails in seinem Namen signieren (unterschreiben). 

Das ist jedoch nur ein Beispiel.

Gruß Stefan
 
Morgen.

Genauso habe ich es gestern auch vom zuständigen MA eines der genannten Firmen erklärt bekommen. (Ohne persönliche Kontakte ein Ding der Unmöglichkeit, in so kurzer Zeit jemanden zu erreichen, der wirklich zuständig ist :-/ )

EBCA wurde mir auch als Keyserver mitgeteilt. Soll noch einen weiteren Keyserver per Mail bekommen, den ich mit einrichten soll. Dann probiere ich es noch mal aus.

PS: er teilte mir mit, dass es seit letztem Jahr wohl vermehrt Probleme mit EBCA geben soll (Zertifikate werden nicht gefunden).
 
Open Keys fragt den Schlüsselserver der EBCA sowieso schon ab. Es reicht also aus, Open Keys abzufragen. :)
 
Leider wird mir nur über die EBCA-Seite für die Mailadresse ein Ergebnis geliefert. Bei OpenKeys findet er für die Mailadresse nichts.

PS: vielleicht kann ich da am Nachmittag mal mit dem Support direkt sprechen? Bin telefonisch bisher nicht durchgekommen
 
Um welche Domain gehts denn hier? Wir haben gerade festgestellt, dass die Filterliste der EBCA nicht vollständig ist und haben ein Ticket eröffnet. Das heißt, sehr wahrscheinlich haben wir bei der EBCA nicht nachgefragt, weil die Domain der E-Mail-Adresse nicht auf der Filterliste steht. 

Gruß Stefan
 
Geht um epm.gmbh

Ist auf der online zu findenen ECBA-Filterliste auf jeden Fall mit genannt. Für uns sind die e.on Einträge eh am interessantesten - plus alle dazugehörigen Unternehmen.
 
Funktioniert jetzt.

Ist aber irgendwie für mich als Admin schwer nachzuvollziehen, warum das vorher nicht gegriffen hat. Auch irgendwie nicht gerade trivial, hier letztlich die Lösung zu bekommen.
 
Zurück
Oben