17
Exchange 2013 - Postfix - digitale Signatur
Hallo Zusammen,
als Mailserver haben wir einen Exchange 2013 mit aktuellen CU auf einem Windows Server 2008 R2. Als Mailrelay,
zum versenden von Mails, haben wir Postfix auf einem Debianserver. Wir haben zwar eine feste, öffentliche
IP aber wir versenden die Mails über unseren Hosts DomainFactory.
Da wir in unserer Branche mit großen, namenhaften Unternehmen zusammenarbeiten wurde uns seitens
deren die Anforderung gestellt unsere Emails, obgleich nur an die oder an alle Empfänger, digital zu
signieren.
Bislang habe ich noch nicht mit digitaler Emailsignatur gearbeitet. Was ich bereits recherchiert habe ist,
dass man natürlich über ein öffentlich ausgestelltes Zertifikat diese in Outlook entsprechend importieren kann
zur Nutzung. Jedoch würde ich gerne wissen und es, wenn möglich, auch gerne umsetzen, ob dies über den
Exchange bzw. Postfix zentralisiert zu realisieren ist.
Wenn noch Infos benötigt werden bitte Bescheid geben.
Vielen Dank!
als Mailserver haben wir einen Exchange 2013 mit aktuellen CU auf einem Windows Server 2008 R2. Als Mailrelay,
zum versenden von Mails, haben wir Postfix auf einem Debianserver. Wir haben zwar eine feste, öffentliche
IP aber wir versenden die Mails über unseren Hosts DomainFactory.
Da wir in unserer Branche mit großen, namenhaften Unternehmen zusammenarbeiten wurde uns seitens
deren die Anforderung gestellt unsere Emails, obgleich nur an die oder an alle Empfänger, digital zu
signieren.
Bislang habe ich noch nicht mit digitaler Emailsignatur gearbeitet. Was ich bereits recherchiert habe ist,
dass man natürlich über ein öffentlich ausgestelltes Zertifikat diese in Outlook entsprechend importieren kann
zur Nutzung. Jedoch würde ich gerne wissen und es, wenn möglich, auch gerne umsetzen, ob dies über den
Exchange bzw. Postfix zentralisiert zu realisieren ist.
Wenn noch Infos benötigt werden bitte Bescheid geben.
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 313420
Url: https://administrator.de/contentid/313420
Printed on: April 19, 2024 at 09:04 o'clock
17 Comments
Latest comment
Hallo,
die Mails signieren die Benutzer/Anwendungen selber über entsprechende Clientanwendungen.
PGP / SIME als Stichwörter.
Mit der Mailsignatur haben die Mailserver aber an sich nix zu tun, die übermitteln nur die Mails.
Wenn die Mails nur über SSL/TLS zwischen den Mailservern übertragen werden sollen, ist das was anderes als Mails zu signieren.
Gruß
Chonta
die Mails signieren die Benutzer/Anwendungen selber über entsprechende Clientanwendungen.
PGP / SIME als Stichwörter.
Mit der Mailsignatur haben die Mailserver aber an sich nix zu tun, die übermitteln nur die Mails.
Wenn die Mails nur über SSL/TLS zwischen den Mailservern übertragen werden sollen, ist das was anderes als Mails zu signieren.
Gruß
Chonta
Hi,
danke für deine Antwort schon mal.
genau das meinte ich. Die Benutzer bzw. Anwendungen signieren die Mails entsprechend selbst.
Mir kam der Gedanke, ob dies der Mailserver, ob Exchange oder Postfix, stellvertretend übernehmen kann.
Von der normalen Signatur war nicht die Rede.
Die Übermittlung zwischen den Mailservern, sowohl intern als auch extern, läuft über SSL.
Mir gings lediglich um die Email Signierung, ob man das zentralisiert machen kann.
Danke!
danke für deine Antwort schon mal.
genau das meinte ich. Die Benutzer bzw. Anwendungen signieren die Mails entsprechend selbst.
Mir kam der Gedanke, ob dies der Mailserver, ob Exchange oder Postfix, stellvertretend übernehmen kann.
Von der normalen Signatur war nicht die Rede.
Die Übermittlung zwischen den Mailservern, sowohl intern als auch extern, läuft über SSL.
Mir gings lediglich um die Email Signierung, ob man das zentralisiert machen kann.
Danke!
Hallo,
klar geht das... Mittlerweile übernimmt unsere Sophos den Job, vorher hatten wir Djigzo/Ciphermail im Einsatz: https://www.ciphermail.com
Beste Grüße!
Berthold
klar geht das... Mittlerweile übernimmt unsere Sophos den Job, vorher hatten wir Djigzo/Ciphermail im Einsatz: https://www.ciphermail.com
Beste Grüße!
Berthold
Moin,
Ich würde schauen, ob evtl. ein vorhandenes Produkt durch ein Upgrade diese Funktinalität bereitstellen kann.
Gruß,
Dani
Mir gings lediglich um die Email Signierung, ob man das zentralisiert machen kan
klar geht das... da gibt es diverse Produkte am Markt.Ich würde schauen, ob evtl. ein vorhandenes Produkt durch ein Upgrade diese Funktinalität bereitstellen kann.
Gruß,
Dani
Wir nutzen inzwischen NoSpamProxy Encryption für unsere Nutzer. Die Verwaltung der Zertifikate erfolgt über den Server. Der Nutzer kann aber über ein Outlook-Plugin selbst entscheiden, was signiert oder verschlüsselt werden soll. Das kann aber auch via Gruppenrichtlinien vorgegeben werden. Einfach mal testen...
Gruß,
dani
Gruß,
dani
Natürlich geht das - das Stichwort zur Recherche lautet Signaturserver.
Zunächst ist ja die Frage, ob PGP oder S/MIME - im Unternehmensumfeld normal letzteres.
Lösungen für das gibt es dann sowohl für Exchange als auch Postfix wie Sand am Meer, von umsonst und Opensource bis hin zu sündhaft teurer Löhnware, einfach so oder mit Smartcard.
Ohne Kenntnis das Budgets und ob das mit Exchange oder Postfix implementiert werden soll lässt sich schwer was empfehlen.
Zunächst ist ja die Frage, ob PGP oder S/MIME - im Unternehmensumfeld normal letzteres.
Lösungen für das gibt es dann sowohl für Exchange als auch Postfix wie Sand am Meer, von umsonst und Opensource bis hin zu sündhaft teurer Löhnware, einfach so oder mit Smartcard.
Ohne Kenntnis das Budgets und ob das mit Exchange oder Postfix implementiert werden soll lässt sich schwer was empfehlen.
@Dani
NoSpamProxy werde ich definitv mal ausprobieren. Leider finden sich auf der Homepage keine Preise.
Kannst du mir hier preislich was nennen?
@Gentooist
Das Budget ist hier erstmal zweitrangig. Da wir in irgendeiner Form was machen müssen kann das bei uns von ganz
oben kaum verneint werden.
Wie in meiner Ausgangsfrage geschrieben würde das für mich jetzt keine Rolle spielen, ob die Lösung für Exchange
ist oder für Postfix. In erster Linie sollte es praktikabel sein, preislich (wenn nicht Opensource) in einem preis-leistungsorientierten
Rahmen gehalten werden, angemessene Implementierung und vor allem sollte kein User hier etwas extra machen müssen, sprich,
am besten sollte für den User alles automatisiert sein und er eigentlich davon nichts wissen
NoSpamProxy werde ich definitv mal ausprobieren. Leider finden sich auf der Homepage keine Preise.
Kannst du mir hier preislich was nennen?
@Gentooist
Das Budget ist hier erstmal zweitrangig. Da wir in irgendeiner Form was machen müssen kann das bei uns von ganz
oben kaum verneint werden.
Wie in meiner Ausgangsfrage geschrieben würde das für mich jetzt keine Rolle spielen, ob die Lösung für Exchange
ist oder für Postfix. In erster Linie sollte es praktikabel sein, preislich (wenn nicht Opensource) in einem preis-leistungsorientierten
Rahmen gehalten werden, angemessene Implementierung und vor allem sollte kein User hier etwas extra machen müssen, sprich,
am besten sollte für den User alles automatisiert sein und er eigentlich davon nichts wissen
Guten Abend @NoobOne,
Wie soll bei Postfix eine Zuordnung erfolgen? Dieser dient hier nur als Relay und somit wird die Aufgabe wohl am Exchange hängen bleiben, da dort die Zuordnung erfolgen kann. Oder übersehe ich was?
Gruß,
Dani
Kannst du mir hier preislich was nennen?
darf ich leider nicht.Wie in meiner Ausgangsfrage geschrieben würde das für mich jetzt keine Rolle spielen, ob die Lösung für Exchange
ist oder für PostfixWie soll bei Postfix eine Zuordnung erfolgen? Dieser dient hier nur als Relay und somit wird die Aufgabe wohl am Exchange hängen bleiben, da dort die Zuordnung erfolgen kann. Oder übersehe ich was?
Gruß,
Dani
Also CipherMail ist kostenlos und OpenSource und übernimmt automatisch die Signierung und Verschlüsselung der Mails ohne Benutzereingriff.
Falls ihr zufälligerweise eine Sophos-Firewall einsetzt, könnte diese die Funktion auch mit übernehmen...
Das wäre zumindest softwareseitig kostensparend...
Falls ihr zufälligerweise eine Sophos-Firewall einsetzt, könnte diese die Funktion auch mit übernehmen...
Das wäre zumindest softwareseitig kostensparend...
Nabend...
warum nicht ?
ich finde es immer sehr seltsam wenn Firmen ein Geheimnis aus ihrer Preisgestaltung machen...
Wie soll bei Postfix eine Zuordnung erfolgen? Dieser dient hier nur als Relay und somit wird die Aufgabe wohl am Exchange hängen bleiben, da dort die Zuordnung erfolgen kann. Oder übersehe ich was?
Gruß,
Dani
Kannst du mir hier preislich was nennen?
darf ich leider nicht.ich finde es immer sehr seltsam wenn Firmen ein Geheimnis aus ihrer Preisgestaltung machen...
Wie in meiner Ausgangsfrage geschrieben würde das für mich jetzt keine Rolle spielen, ob die Lösung für Exchange
ist oder für PostfixWie soll bei Postfix eine Zuordnung erfolgen? Dieser dient hier nur als Relay und somit wird die Aufgabe wohl am Exchange hängen bleiben, da dort die Zuordnung erfolgen kann. Oder übersehe ich was?
Gruß,
Dani
Moin,
Joa, signieren von Mails ist eine schicke Sache. Die Frage ist erstmal, was du von der Mail signieren willst? Denn hier gibt es erstmal 2 Parts:
Header und Content.
Ersteres wird immer auf den Mailserver gemacht und funktioniert über DKIM. Hierzu findest du genug im Netz, oder kannst auch nochmal nachfragen, ich nehme einfach mal an, dass du eigentlich den Kontenz signieren willst.
Letzteres ist da etwas komplizierter. Da gibt es erstmal S/MIME und PGP. Während PGP in der OpenSource-Welt der Standard ist und auch sauber samt Verschlüsselung über Unternehmensgrenzen hinweg wirklich einfach funktioniert ist es natürlich eine tolle Sache. In einer Windows Umgebung allerdings alles andere als schön zu administrieren :/
S/MIME hingegen ist das genaue Gegenteil. Nutzt man S/MIME wird man in der Open Source Welt schräg angeschaut, während es in einer Windows Umgebung das Mittel der Wahl ist, da Outlook es nativ mitbringt und auch die Schlüsselverwaltung über das AD perfekt funktioniert.
Du wirst also vermutlich letzteres verwenden.
Um eine gültige S/MIME Signatur zu erhalten brauchst du Userzertifikate die von einer offiziellen CA trusted sind, oder du musst deine Mailempfänger dazu überreden die Signatur zu ignorieren oder dein CA zu importieren. Glaub mir, das macht niemand. Also erst mal Geld in die Hand nehmen und die eigene PKI in einen Trusted Zustand versetzen.
Jetzt hattest du ja die Idee, dass man am besten die Signierung am Server vornimmt. Ja, es gibt Lösungen um dies zu tun, die Frage ist: Warum sollte man dies tun wollen? Du zentralisierst hier etwas, was du wunderbar dezentral tun kannst. Einfach per Policy die signieren einstellung verteilen und deine Outlookuser signieren fortan ihre Mails. That's it. Davon abgesehen ist die Idee der Signatur ja sicher zu stellen, dass der Kontent seit dem Absenden nicht verändert wurde. Deswegen macht man das am Client, da sonst die Vertrauenskette schon auf dem Weg zwischen Client und Server zusammenbricht. Das will man nicht. Das heißt allerdings auch, dass ihr am Server keine Änderungen mehr an der Mail vornehmen könnt. Also Mail-Signaturen, Disclaimer und Co serverseitig einfrickeln wird serverseitig nichts.
So. Ich hoffe mal ich konnte etwas Klarheit schaffen. Du musst dir nun überlegen, wie du an den Trust status kommst, wenn dieser noch nicht vorhanden ist. Das ist eine reine Geld Frage. Der Rest ist im Handumdrehen erledigt.
Gruß
Chris
Joa, signieren von Mails ist eine schicke Sache. Die Frage ist erstmal, was du von der Mail signieren willst? Denn hier gibt es erstmal 2 Parts:
Header und Content.
Ersteres wird immer auf den Mailserver gemacht und funktioniert über DKIM. Hierzu findest du genug im Netz, oder kannst auch nochmal nachfragen, ich nehme einfach mal an, dass du eigentlich den Kontenz signieren willst.
Letzteres ist da etwas komplizierter. Da gibt es erstmal S/MIME und PGP. Während PGP in der OpenSource-Welt der Standard ist und auch sauber samt Verschlüsselung über Unternehmensgrenzen hinweg wirklich einfach funktioniert ist es natürlich eine tolle Sache. In einer Windows Umgebung allerdings alles andere als schön zu administrieren :/
S/MIME hingegen ist das genaue Gegenteil. Nutzt man S/MIME wird man in der Open Source Welt schräg angeschaut, während es in einer Windows Umgebung das Mittel der Wahl ist, da Outlook es nativ mitbringt und auch die Schlüsselverwaltung über das AD perfekt funktioniert.
Du wirst also vermutlich letzteres verwenden.
Um eine gültige S/MIME Signatur zu erhalten brauchst du Userzertifikate die von einer offiziellen CA trusted sind, oder du musst deine Mailempfänger dazu überreden die Signatur zu ignorieren oder dein CA zu importieren. Glaub mir, das macht niemand. Also erst mal Geld in die Hand nehmen und die eigene PKI in einen Trusted Zustand versetzen.
Jetzt hattest du ja die Idee, dass man am besten die Signierung am Server vornimmt. Ja, es gibt Lösungen um dies zu tun, die Frage ist: Warum sollte man dies tun wollen? Du zentralisierst hier etwas, was du wunderbar dezentral tun kannst. Einfach per Policy die signieren einstellung verteilen und deine Outlookuser signieren fortan ihre Mails. That's it. Davon abgesehen ist die Idee der Signatur ja sicher zu stellen, dass der Kontent seit dem Absenden nicht verändert wurde. Deswegen macht man das am Client, da sonst die Vertrauenskette schon auf dem Weg zwischen Client und Server zusammenbricht. Das will man nicht. Das heißt allerdings auch, dass ihr am Server keine Änderungen mehr an der Mail vornehmen könnt. Also Mail-Signaturen, Disclaimer und Co serverseitig einfrickeln wird serverseitig nichts.
So. Ich hoffe mal ich konnte etwas Klarheit schaffen. Du musst dir nun überlegen, wie du an den Trust status kommst, wenn dieser noch nicht vorhanden ist. Das ist eine reine Geld Frage. Der Rest ist im Handumdrehen erledigt.
Gruß
Chris
Guten Abend Chris,
Im Vergleich kostet ein Userzertifikat im Jahr ca. 100-200€.
Die Frage ist, wie viele User-Zertifikate kannst du kaufen bis du mit dieser Variante teurer unterwegs bis, wie mit einer Trusted PKI.
TrustedPKI gibt's z.B. bei GlobalSign, Trustcenter (DTAG) und SwissSign. Da könnt ihr spaßeshalber mal anfragen...
Gruß,
Dani
Du musst dir nun überlegen, wie du an den Trust status kommst, wenn dieser noch nicht vorhanden ist. Das ist eine reine Geld Frage. Der Rest ist im Handumdrehen erledigt.
Mit Geld allein wirst du nicht weitkommen. Neben den Kosten stehen noch vertragliche, technische und organisatorische Anforderungen im Raum. Diese werden in regelmäßigen Audits gerüft und müsse ggf. korriegiert werden. Da kommt eine hübsche Summe (Investitionkosten, evtl. zusätzliches Personal, Arbeitszeit, etc...) zusammen.Im Vergleich kostet ein Userzertifikat im Jahr ca. 100-200€.
Die Frage ist, wie viele User-Zertifikate kannst du kaufen bis du mit dieser Variante teurer unterwegs bis, wie mit einer Trusted PKI.
TrustedPKI gibt's z.B. bei GlobalSign, Trustcenter (DTAG) und SwissSign. Da könnt ihr spaßeshalber mal anfragen...
Gruß,
Dani
@BirdyB
Ich hab jetzt mal soweit den CipherMail Server eingerichtet.
Gedacht wäre der Weg, dass der Exchange die Mails an Ciphermail schickt, der signiert die Mails und
leitet sie an mein Mailrelay (Postfix) weiter, der die entsprechend dann übers Internet versendet.
Auf dem Ciphermail hab ich soweit alle Einstellungen getätigt, eine CA angelegt, einen User (zum testen) mit Zertifikat angelegt.
CipherMail nimmt die Emails vom Exchange an und leitet sie auch an den Postfix (Mailrelay) weiter, der die Mails
versendet, jedoch werden die Mails nicht signiert. Woran liegt das?
Welche Einstellungen müssen hier getroffen werden? Könntest du mir hier auf die Sprünge helfen?
Ich hab jetzt mal soweit den CipherMail Server eingerichtet.
Gedacht wäre der Weg, dass der Exchange die Mails an Ciphermail schickt, der signiert die Mails und
leitet sie an mein Mailrelay (Postfix) weiter, der die entsprechend dann übers Internet versendet.
Auf dem Ciphermail hab ich soweit alle Einstellungen getätigt, eine CA angelegt, einen User (zum testen) mit Zertifikat angelegt.
CipherMail nimmt die Emails vom Exchange an und leitet sie auch an den Postfix (Mailrelay) weiter, der die Mails
versendet, jedoch werden die Mails nicht signiert. Woran liegt das?
Welche Einstellungen müssen hier getroffen werden? Könntest du mir hier auf die Sprünge helfen?
Hast du denn auch die Verschlüsselung aktiviert?
Schau mal hier: https://www.net-cry.de/unix/automatische-e-mail-ver-und-entschluesselung ... recht weit unten stehen die Einstellungen beschrieben.
Standardmäßig ist Ciphermail nämlich so konfiguriert erstmal nix zu tun...
Schau mal hier: https://www.net-cry.de/unix/automatische-e-mail-ver-und-entschluesselung ... recht weit unten stehen die Einstellungen beschrieben.
Standardmäßig ist Ciphermail nämlich so konfiguriert erstmal nix zu tun...
muss ich hier immer im Betreff etwas mit angegeben, dass Ciphermail erkennt, dass er
diese Mail signieren soll bzw. verschlüsseln? In erster Linie geht's hier nur ums Mail signieren
bei mir.
Muss ich zudem bei "Domains" alle ausgehenden Domänen angeben, an die die Signierung
greifen soll oder sollte das nicht automatisch bei jeder Domain gehen?
Steh ich hier auf dem Schlauch oder hab ich was nicht richtig verstanden?
diese Mail signieren soll bzw. verschlüsseln? In erster Linie geht's hier nur ums Mail signieren
bei mir.
Muss ich zudem bei "Domains" alle ausgehenden Domänen angeben, an die die Signierung
greifen soll oder sollte das nicht automatisch bei jeder Domain gehen?
Steh ich hier auf dem Schlauch oder hab ich was nicht richtig verstanden?
Zitat von @NoobOne:
muss ich hier immer im Betreff etwas mit angegeben, dass Ciphermail erkennt, dass er
diese Mail signieren soll bzw. verschlüsseln?
Du kannst einen Trigger angeben, du musst es aber nicht... Wenn du einen Trigger definierst, werden nur die Mails signiert/verschlüsselt, die den Trigger im Betreff haben.muss ich hier immer im Betreff etwas mit angegeben, dass Ciphermail erkennt, dass er
diese Mail signieren soll bzw. verschlüsseln?
In erster Linie geht's hier nur ums Mail signieren
bei mir.
Muss ich zudem bei "Domains" alle ausgehenden Domänen angeben, an die die Signierung
greifen soll oder sollte das nicht automatisch bei jeder Domain gehen?
Du musst nur dein Zertifikat / deine CA importieren und deine Domain angeben. Der Rest passiert automatisch. Ich habe gerade kein laufendes CipherMail-System mehr, daher kann ich das gerade nicht live nachsehen...bei mir.
Muss ich zudem bei "Domains" alle ausgehenden Domänen angeben, an die die Signierung
greifen soll oder sollte das nicht automatisch bei jeder Domain gehen?
Steh ich hier auf dem Schlauch oder hab ich was nicht richtig verstanden?
Wie gesagt: In den Grundeinstellungen erstmal die S/MIME-Signierung aktivieren und generell die Verschlüsselung einschalten.Dann sollte es erstmal funktionieren...
Schau dir unbedingt den untersten Teil des genannten Tutorials an.
