welches Zertifikat für unternehmensweite E-Mail-Signierung/Verschlüsselung

eXTA

eXTA

Enthusiast
Thread Starter
Mitglied seit
19.10.2007
Beiträge
5.127
Ort
Rostock!
Ich stehe gerade etwas auf dem Schlauch. Ziel ist es, über das E-Mail Gateway (von McAfee) alle Mails der Mitarbeiter zu signieren.
zB hier gibt es verschiedene Zertifikatstypen, je nach Validierung und was am Ende im Zertifikat angezeigt wird: PersonalSign Zertifikate - SSL Digitale Zertifikate von GlobalSign
Hier gibt es direkt mal zig Variationen: https://www.psw-group.de/smime/

Aber am Ende soll ja keine Person oder einzelne Abteilung drin stehen, sondern das ganze Unternehmen als solches.
Welches Zertifikat muss ich dafür nehmen?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Möchtest Du einfach den Übertragung von Email-Gateway zu Gateway verschlüsseln?

In den Fall musst du einfach für TLS/SSL ein Zertifikat einbinden und den Gateway sagen, dass es falls möglich TLS Verschlüsseln soll. Damit hast du schonmal den Großteil aller Mails abgefackelt, da so ziemlich jeder TLS verschlüsslt mittlerweile..

Falls Du wirklich von Benutzer zu Benutzer verschlüsseln möchtest, dann benötigst Du mehr. (S/Mime,PGP)

Ich hab keine MEG, aber vllt hilft das:

https://kc.mcafee.com/corporate/index?page=content&id=KB76384&actp=null&viewlocale=en_US

https://kc.mcafee.com/corporate/index?page=content&id=KB74880
 
Zuletzt bearbeitet:
es geht hier explizit um das autom. Signieren von allen ausgehenden Mails. TLS ist schon aktiviert im Gateway und verschlüsselt werden sollen die Mails auch (noch) nicht automatisiert, weil das ja zu einigen Problemen führen kann.
Soweit ich das aber sehen kann, geht das Signieren bei McAfee eh nicht, müsste dann also über den Exchange direkt durchgeführt werden. Sollte ja irgendwie machbar sein.

Hier ist von einem Gatewayzertifikat die Rede.. MSXFAQ.DE:Zertifikatarten
SMIME Zertifikate sind ja soweit ich weiß immer auf eine Mail Adresse ausgestellt, nur bringt mir ja eine einzige Mail nicht viel.
Aber eigentlich müssten doch auch SSL Zertifikate für das Signieren verwendet werden können, ist ja schließlich dasselbe Konstrukt dahinter.

Vermutlich ließe sich aufm Exchange eine Zertifikatsrolle installieren und er stellt sich dann selbst ein Zertifikat aus, aber das wäre ja dann nicht "vertrauenswürdig".
 
eXTA schrieb:
es geht hier explizit um das autom. Signieren von allen ausgehenden Mails. TLS ist schon aktiviert im Gateway und verschlüsselt werden sollen die Mails auch (noch) nicht automatisiert, weil das ja zu einigen Problemen führen kann.
Soweit ich das aber sehen kann, geht das Signieren bei McAfee eh nicht, müsste dann also über den Exchange direkt durchgeführt werden. Sollte ja irgendwie machbar sein.
Zum Vergrößern anklicken....

Du solltest mach nachlesen ob du signieren, oder verschlüsseln möchtest, das ist ein Unterschied.
Und TLS Verschlüssung läuft absolut problemlos. Man darf es nur nicht für alle Domains auf mandatory stellen oder sogar mandatory + verify erzwingen.
 
signieren, soweit ich das aber gelesen habe, ist das so ohne weiteres gar nicht realisierbar. mist
 
TLS ist bereits konfiguriert
 
Hier wird nur gering aneinander vorbeigeredet und ich hoffe nicht das sich jemand vom fach meldet. Da versucht einer seine hausaufgaben über ein forum zu lösen. Der kollege soll seinen support oder vertriebspartner bemühen oder an seinen chef eskalieren und zugeben dass er überfordert ist oder einfach eine Testumgebung einfordern oder sich eine woche lang durch die knowledgebase von mcafee wühlen. Aber vielleicht gibt es ja inzwischen schon arbeitslose mail security spezialisten, die lieber in foren helfen als für ihren job bezahlt zu werden.

Gesendet von meinem SM-G900F mit Tapatalk
 
Hi,

fassen wir mal zusammen:

* Du willst keine eMail Signierung auf per eMail Adressenbasis -> SMIME
* Du willst keine TLS Verschlüsselung konfigurieren, die auf dem gesamten Transportweg zu nächsten Mailserver die Mails verschlüsselst.
* Du möchtest lediglich eine Möglichkeit haben, dass ALLE Mails die von deinem Server kommen, outbound mit EINEM Zertifikat signiert werden.


Und genau dafür ist DKIM gemacht. Und wisst ihr was das geile daran ist? Man braucht nicht mal ein kostenpflichtiges Zertifikat...
 
Zuletzt bearbeitet:
Ich habe nie nach TLS gefragt, das ist bereits konfiguriert :)

Ich wollte eine Lösung, bei welcher alle ausgehenden Nachrichten signiert werden. Dabei sollte an den Clients nichts extra konfiguriert werden. Soweit ich das durch meine Recherche in Erfahrung bringen konnte, funktioniert das nicht.
E-Mail-Signierung funktioniert NUR mit Zertifikaten, welche für jede E-Mail-Adresse seperat ausgestellt werden. Dabei muss natürlich an den Clients Outlook konfiguriert werden per Hand.
Zentrale Verschlüsselung ist machbar mit dem McAfee Email Gateway, allerdings hab ich aus den KB Artikeln nur entnehmen können, dass man ein S/MIME-Zertifikat importieren soll und auch auf der Weboberfläche selbst nachvollzogen. S/MIME ist ja auf eine E-Mail-Adresse ausgestellt -> verstehe ich nicht wirklich.

DKIM ist natürlich richtig, während meiner Recherche fragte ich mich auch, was nun der großartige Unterschied zwischen E-Mail seperat signieren und DKIM sei. Klar, seperat signieren wird über eine CA abgecheckt und bei DKIM funktionierten ja auch selbst generierte Schlüsselpaare einwandfrei.
 
DKIM wäre wirklich das, was du suchst.

Es lässt sich zum Beispiel in Exchange ohne weiteres einrichten: DKIM in Exchange Server 2007/2010/2013/2016 - Tutorial

Fraglich ist nur, wie viele eurer Mail Empfänger damit etwas anfangen können. Wenn ein Benutzer, also der Empfänger des E-Mails, nicht erkennen kann, dass die E-Mail signiert ist. erhöht das nicht das Vertrauen in eure Nachrichten.

Die übliche Signatur ist eben an die gesamte E-Mail-Adresse gebunden. Das macht auch Sinn, weil die Signatur ja sicherstellen soll, dass der Absender tatsächlich die Person ist, die er in der E-Mail behauptet zu sein. Outlook zeigt das dann mit einem kleinen Siegel an.

Wenn es um eine begrenzte Zahl von festen Geschäftspartnern geht, würde ich mit denen gleich die richtige Verschlüsselung vereinbaren. Solche Vorschläge sollten, zumindest bei kompetenten Geschäftspartnern, eigentlich auf offene Ohren stoßen und euren guten Ruf erhöhen.

Oder geht es deinem Chef um die Kosten für die Zertifikate?

Es ist Immer wieder erstaunlich, wie viel Geld für Zutrittskontrollsysteme und sonstige Gebäudesicherungen ausgegeben wird, aber ein paar Euro oder ein klein wenig Aufwand für digitale Sicherheit ist unerschwinglich.

Auch privat schleppt jeder Mensch ständig einen Schlüsselbund mit sich herum und überlegt sich genau, wem er einen Schlüssel aushändigt. Aber ein E-Mail Zertifikat einrichten – kommt nicht in die Tüte.
:wall:

Selbst hier im Forum endet der Gedanke der allermeisten offenbar bei der Transportverschlüsselung. Mein E-Mail Provider ist soooooo vertrauenswürdig, der liest meine E-Mails sicher nicht mit. Sicher. Wirklich. Ganz sicher.
 
Zuletzt bearbeitet:
Naja.. du vergleichst damit dann aber auch Äpfel mit Birnen..

Let's Encrypt ist zwar kostenlos, bietet aber immer nur 3 Monats Zertifikate( Was mich ausgesprochen nervt) Des weiteren ist aus dem Zertifikat nicht ersichtlich auf wen das Zertifikat ausgestellt ist.

Des weiteren hast du bei kostenpflichtigen Zertifikaten teilweise so etwas wie eine Versicherung, falls das Zertifikat geknackt wird, mit dabei.
 
Ich halt davon auch nichts, aber ich wollts nur gesagt haben :P
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh