Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Verschlüsselung & Zertifikate

Beste SMIME-Praxis für Unternehmensnetzwerke

Mitglied: istike2

istike2 (Level 2) - Jetzt verbinden

12.10.2011 um 00:24 Uhr, 3890 Aufrufe, 5 Kommentare

Hallo,

ich habe hier ein Unternehmen, das gerne die gesamte Mail-Kommunikation auf S/MIME-Basis benutzen würde.

Ziele:

- Jeder Absender müsste zertifiziert sein. Der Empfänger könnte als sicher sein, dass der Inhalt der Mail nicht geändert worden ist bzw. dass der Absender, der richtige Absender ist.
- der Inhalt der Mails müsste - optional - verschlüsselbar sein. Entschlüsselung sollte mittels Kennwort möglich sein.

So weit ich weiß sind beide Punkte möglich - ähnlich wie bei PGP - auch bei SMIME.

Meine Fragen:

- wie läuft es in der Praxis ab?

Erstellt man für jedes Unternehmen des Netzwerkes ein X509 Zert (z. B. von Start SSL) und diese Zertifikate werden in alle Outlooks importiert?

- sollte man eine zertifizierte Mail an jemanden senden, der keiner der Zertifikate importiert hat, wird diese Person die Daten der zertifizierten Absender erkennen?

- Ist Start SSL für den Alltag OK, oder würdet eher was "besseres" empfehlen?



Danke für eure Hilfe.

Gr. I.
Mitglied: dog
12.10.2011 um 01:09 Uhr
Erstellt man für jedes Unternehmen des Netzwerkes ein X509 Zert (z. B. von Start SSL) und diese Zertifikate werden in alle Outlooks importiert?

Nein.
Du brauchst pro Absenderadresse ein Zertifikat.

Wenn du E-Mails verschlüsseln willst musst du außerdem das öffentliche Zertifikat des Empfängers kennen.

- sollte man eine zertifizierte Mail an jemanden senden, der keiner der Zertifikate importiert hat, wird diese Person die Daten der zertifizierten Absender erkennen?

E-Mailprogramme die mit SMIME nicht klarkommen zeigen die Signatur schlicht als Dateianhang dar.
Alle anderen zeigen die Signatur korrekt an, wenn du das Zertifikat bei einem der bekannten Hersteller kaufst.

- Ist Start SSL für den Alltag OK, oder würdet eher was "besseres" empfehlen?

TrustCenter ist eine bekannte Alternative.
Bitte warten ..
Mitglied: StefanKittel
12.10.2011 um 01:11 Uhr
Zitat von istike2:
- Jeder Absender müsste zertifiziert sein. Der Empfänger könnte als sicher sein, dass der Inhalt der Mail nicht
geändert worden ist bzw. dass der Absender, der richtige Absender ist.
Check

Zitat von istike2:
- der Inhalt der Mails müsste - optional - verschlüsselbar sein. Entschlüsselung sollte mittels Kennwort möglich sein.
So geht das nicht. Zum verschlüsseln benötige ich den öffentlichen Schlüssel des Empfängers.
Er muß mir also erst eine signierte Mail senden, so daß mein Server oder Mailclient das Zertifikat speichern kann.

Erstellt man für jedes Unternehmen des Netzwerkes ein X509 Zert (z. B. von Start SSL) und diese Zertifikate werden in alle Outlooks importiert?
Das hängt davon ab
Es gibt sowohl Gateway- als auch Clientzertifikate.
Das hängt sowohl von der Anzahl der Nutzer, also auch den Strukturen und Software ab.

- sollte man eine zertifizierte Mail an jemanden senden, der keiner der Zertifikate importiert hat, wird diese Person die Daten der zertifizierten Absender erkennen?
? Du meinst wenn man eine signierte Email an Jemanden schickt der das Stammzertifikat nicht hat?
Besser wäre natürlich "öffentliche" Zertifikate zu verwenden. Dann würde jeder Client die Echtheit direkt bestätigen.
Sonst steht da halt "Technisch OK aber nicht vertrauenswürdig (oder noch schlimmer)".

- Ist Start SSL für den Alltag OK, oder würdet eher was "besseres" empfehlen?
Siehe "Öffentliches Zertifikat".

Empfehlung: TrustCenter (auch wenns Symantec ist)

Stefan

PS: Ich tipp zu langsam... Jeder Hund ist schneller als ich...
Bitte warten ..
Mitglied: istike2
12.10.2011 um 12:29 Uhr
Danke sehr für die Antworten.

Wir bräuchten also pro User eine Zert, und dann müsste in jedes OL die öffentliche Zertifikat jedes potenziellen Empfängers - durch signierte Mails - importiert werden, damit jeder Absender die Option hat ggfs. den Inhalt zu verschlüsseln.

Unter "öffentliche Zertifikate" meinst du (Stefan) wohl die Zerts bekannter Hersteller, oder? Ich schaue dann bei Trustcenter vorbei...

Was Client und Gatewaycertifikate betrifft ist es noch offen. Hier geht es um einen kleinen Beratungsdienstleister mit 5 Usern und Ihre Kunden. Sie möchten einfach ihre Mailkommunikation professionalisieren. Als Software wird OL 2010 und Exchange 2007 eingesetzt.

Danke nochmals.

Gr. I.
Bitte warten ..
Mitglied: AndiEoh
17.10.2011 um 09:55 Uhr
Richtig, S/MIME ist asymetrische Krytopgraphie also benötigt jeder der verschlüsseln/signieren will einen "private Key" und ein öffentliches Zertifikat das quasi ein öffentlicher Schlüssel ist der von einer CA (Certificate Authority) beglaubigt ist. Alle öffentlichen Schlüssel zu denen eine passende CA im Zertifikatsstore der Anwendung vorhanden ist wird erstmal "vertraut". Allerdings musst du keine öffentlichen Zertifikate "von Hand" improtieren, da alle Mailclients sich automatisch die Zertifikate aus signierten Mails abgreifen. Was du also machen kannst ist auf allen Arbeitsplätzen Zertifkate/Keys passend zur Mailadresse installieren und die Einstellung wählen das alle ausgehenden Mails signiert (digital Unterschrieben) werden. Damit kann nun jeder Empfänger der schon einmal eine signierte Mail erhalten hat an diese Absendern verschlüsselte Mails schicken. Um verschlüsselte Mails zu verschicken benötigen deine Kunden den öffentlichen Schlüssel des Empfängers, der üblicherweise ebenfalls durch eine signierte Mail ankommt.

Um das Ganze für den Endkunden zu vereinfachen sind auch S/MIME Gateways möglich, allerdings muss dann der Verwalter des Gateways wissen was Er/Sie tut.

Gateways gibt es z.B. hier, der letzte in der Liste sogare Open Source / Kostenlos
http://www.zertificon.com/e-mail-signatur-mit-z1_secure_mail_gateway.ph ...
http://www.iccsec.com/security/produkte/julia-mailoffice/
http://www.djigzo.com/gateway.html

Was man in jeden Fall berücksichtigen sollte ist die Wartung des Ganzen, da falsche/abgelaufene Zertifikate mehr Verwirrung stiften als helfen.

Gruß

Andi
Bitte warten ..
Mitglied: istike2
17.10.2011 um 17:11 Uhr
Danke sehr Andi für die Links und Kommentar.

Gr. I.
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Exchange 2010 - Relay für externe Adressen - beste Praxis
gelöst Frage von FA-jkaExchange Server1 Kommentar

Hallo, ich habe in meiner Teststellung einen Exchange-Cluster mit 4 Servern (Exchange 2010 - zweimal HTCAS und zweimal DAG). ...

Batch & Shell
SMIME Datei
gelöst Frage von mero59Batch & Shell4 Kommentare

Hallo liebes Forum, ich hab da mal folgendes Problem: ich überwache mit Powershell und EWS ein Funktionspostfach, d. h. ...

Switche und Hubs
Migration Unternehmensnetzwerk durch Einsatz von VLANs
Frage von AlexD1979Switche und Hubs2 Kommentare

Hallo, Ich stehe vor der Idee, ein Unternehmen, das komplett auf 192.168.x.x basiert und jetzt immer wieder an Grenzen ...

Netzwerke
Kleines Unternehmensnetzwerk mit 2 Standorten
Frage von FreshmaticsNetzwerke5 Kommentare

Moin erstmal! Zu mir: Bin recht neu in dem Bereich, habe IT-Systemelektroniker gelernt und noch keine nennenswerte Erfahrung im ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit12 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...