[10.8 Mountain Lion] Verschlüsselter Mailversand mit Zertifikat

[m_p]

Guten Tag,

jetzt ist der Moment gekommen, ich bin mit meinem Latein am Ende...

Ich habe einen OSX Server 2.2.1 für meine Firma laufen, geht alles super.
Für meine Mitarbeiter sind natürlich Benutzerkonten angelegt und somit Mailpostfächer und das ganze Gedöns, alles funktioniert, alle sind glücklich.

Jetzt hat sich aber einer meiner Kunden ausgedacht, dass der Mailverkehr zwischen uns/unserem Server und unserem Kunden nur noch verschlüsselt ablaufen soll.
Die grundlegende Funktionsweise, wie man so was macht, ist mir schon klar...es gibt ein Zertifikat, das haben wir und das hat der Kunde und die Server gucken immer, dass alles passt. Aber wir schreiben ja auch Mails mit anderen Menschen, die das Zertifikat nicht haben.

Also wie bringe ich meinem Server bei, dass alle ausgehenden Mails all meiner Mitarbeiter (sie müssen natürlich unseren SMTP-Ausgangsserver benutzen) an jeden Mitarbeiter unseres Kunden mit der Domain @unserkunde mit TLS/Zertifikat verschlüsselt werden müssen und alle anderen Mails, die nicht diese Domain haben, unverschlüsselt gesendet werden sollen.
Das Gleiche soll natürlich auch für den Posteingang so laufen, wenn also irgendwer von @unserkunde etwas schickt, muss das angenommen werden, genauso, wie die regulären Emails von allen anderen.

Vielen Dank für helfende Tipps

 

[stk]

Die grundlegende Funktionsweise, wie man so was macht, ist mir schon klar...

da bin ich mir nicht sicher …

Unterscheide Zertifikat des Servers und Mailzertifikat. Ersters brauchst Du wenn Du eine SSL-Verbindung von deinem Mailclient zum Server aufbauen willst. Nur auf dieser Strecke ist die Kommunikation dann verschlüsselt. Die eMail selbst ist nach wie vor Klartext lesbar.

Um auch dies in den Griff zubekommen (und darüber, denke ich, reden wir) brauchst Du pro Sender/Person/eMail-Adresse ein Zertifikat mit dem Du verschlüsselst. Das wiederum kann der jeweilige Benutzer individuell für jede seiner ausgehenden eMails nutzen - oder auch nicht.

Eine serverseitige Mac-Implementierung für letzteres kenne ich nicht. Vielleicht hilft Dir aber das hier etwas weiter: http://www.tecchannel.de/kommunikat...schluesselung_mit_e_mail_gateways/index3.html

Gruß Stefan

 

[m_p]

Hallo Stefan,

danke für die Antwort...

Das mit dem Zertifikat zwischen Client und Server ist mir schon klar, so läuft das ja auch bei uns innerhalb der Firma.

Man muss das auch generell machen können, also nicht für jeden Sender/Person/eMail-Adresse ein eigenes Zertifikat...dein Link war schon sehr hilfreich, jetzt weiß ich wenigstens wie das heisst, was ich suche. Auf den Folgeseiten dort ist das auch ganz gut beschrieben und dass das auf MS Exchange- Ebene funktioniert, weiß ich von einem Partnerunternehmen, die das mit unserem Kunden schon machen.
Was ich suche ist halt die Lösung für MAC-Server...denn an MS wollen wir gar nicht mehr ran, nein das wollen wir nicht!!!

Gruß S

 

[osx_nerd]

Guten Tag,


Die grundlegende Funktionsweise, wie man so was macht, ist mir schon klar...

Vielen Dank für helfende Tipps

Ich glaube nicht wirklich ...



Am Mac ist aber nur S/Mime möglich oder PGP .... Der Server selbst kann das was Exchange kann nicht .... und Exchange verschlüsselt auch Standardmäßig nur die Strecke nicht die Mail....

Deine Aufgabe ist es nun für die E-Mail Adressen Zertifikate zu erstellen , diese auf den Clients installieren und von da werden Signierte Mails verschickt akzeptiert der Empfänger das Zertifikat werden alle weiteren Mails verschlüsselt versendet....

http://www.microsoft.com/exchange/2010/de/de/advanced-security.aspx#vrtTab_ID0EAABAAABA_1_Content

 

[osx_nerd]

...

 

[osx_nerd]

Ich würde dir emfehlen einen Admin zu kontaktieren, solltest du der Admin sein, dann ggf. eine externe Firma mit Known How

 

[QuickMik]

Deine Aufgabe ist es nun für die E-Mail Adressen Zertifikate zu erstellen , diese auf den Clients installieren und von da werden Signierte Mails verschickt akzeptiert der Empfänger das Zertifikat werden alle weiteren Mails verschlüsselt versendet....

so hätte ich das auch gesehen
wo bleibt der sinn, wenn SMTP zwischen servern NUR verschlüsselt funktionieren würde.
da könnte ja keiner mehr hin oder her mailen.
und wenn er es als option kann, stellt sich die frage, ob er das auch wirklich benutzt hat.
oder verstehe ich da was falsch?

ich kann schon verstehen, das jetzt viele die PRISM-panik bekommen.
aber hat sich schon jemand mal überlegt, wo die zertifikate herkommen?
dahingehend wäre zumindest z.z. ein selbstsigniertes zertifikat noch sicherer.....

 

[Bananenbieger]

dahingehend wäre zumindest z.z. ein selbstsigniertes zertifikat noch sicherer.....

Das gilt nur für kleine Systeme, in denen alle Empfänger sicher sein können, dass Zertifikat X wirklich von Person Y stammt. Beim generellen Internetverkehr sind die von ("mehr oder weniger") vertrauenswürdigen dritten Stellen ausgegebenen Zertifikate sicherer.

 

[osx_nerd]

Das gilt nur für kleine Systeme, in denen alle Empfänger sicher sein können, dass Zertifikat X wirklich von Person Y stammt. Beim generellen Internetverkehr sind die von ("mehr oder weniger") vertrauenswürdigen dritten Stellen ausgegebenen Zertifikate sicherer.

Da wäre ich mit nicht so sicher .... wir kennen derzeit nichtmal die Dpitze des Eisberges in Sachen PRISM / NSA ....

 

[QuickMik]

so ca. sehe ich das auch z.z.

 

[Bananenbieger]

Da wäre ich mit nicht so sicher .... wir kennen derzeit nichtmal die Dpitze des Eisberges in Sachen PRISM / NSA ....

Ich bin mir aber sicher. Denn es ist bekannt, wie das Zertifikatssystem funktioniert. Und da ist es eben so, dass dir die NSA im Internet einfacher ein selbstsigniertes Zertifikat unterjubeln kann.
Der Sinn und Zweck von Verisign und Co. ist es ja gerade, dieses Unterjubeln im Internet zu unterbinden.

In geschlossenen Benutzerkreisen kann eine lokale, private CA aber Sinn machen.

 

[osx_nerd]

Schon aber wer sagt das es bei den CAs nicht auch Türchen gibt?

 

[QuickMik]

also mit verlaub. bei diesem überwachungswahn werden sie zertifikate ausstellen, deren schlüssel sie nicht haben.
das kann ich mir nicht vorstellen. dann würde ich mal davon ausgehen, das sich die zertifikatsgeschichte z.z. ohnehin erledigt hat.
entweder sie haben den schlüssel oder sie können uns eines unterjubeln....bravo

 

[Bananenbieger]

Schon aber wer sagt das es bei den CAs nicht auch Türchen gibt?

Nur weil es da eventuell Hintertürchen geben könnte soll man also eine noch unsichere Variante bevorzugen?

 

[QuickMik]

Ot

ich denke, das es da jetzt stark an die glaubens oder philosophie fragen geht.
im endeffekt muß jeder wissen, was er macht.
ich sehe es für "sicherer" ein selbstsigniertes zertifikat zu haben, als eines von irgendeiner "behörde" die wahrscheinlich vollen PRISM zugriff erlaubt.
aber heutzutage über sicherheit zu disskutieren, ist ohnehin nicht mehr als spekulation.
wobei ich glaube, das nicht nur open source betriebssysteme NSA stacks impliziert haben und auf jeden fall mehrere unternehmen als google/apple/microsoft/ mit PRISM zusammenarbeiten müssen.
die frage ist, wie das ganze jetzt weitergeht. in ganz europa ist es offensichtlich egal, wenn uns die amis im "neuland" überwachen.
aber jetzt driften wir ein wenig ab...

 

[Bananenbieger]

ich sehe es für "sicherer" ein selbstsigniertes zertifikat zu haben, als eines von irgendeiner "behörde" die wahrscheinlich vollen PRISM zugriff erlaubt.

Wie oben schon erwähnt: Wenn es kein geschlossener Benutzerkreis ist (und das ist das Internet nicht), dann kann Dir die NSA supereinfach ein selbstsigniertes Zertifikat unterjubeln oder einfach für eine bestimmte Domain/eMail-Adresse sich ein entsprechendes Zertifikat von einer öffentlichen CA ausstellen lassen.

 

[QuickMik]

wie auch schon erwähnt....halte ich das für ungefählicher als ein signiertes zu haben.
da brauchen sie mir keines jubeln. das haben sie schon getan...

 

[Bananenbieger]

Prüfst Du denn jedes mal das Zertifikat händisch?