131455
Goto Top

Wie stellt man am besten mit Exchange 2013 , Exchange 2016 verschlüsselten Emailverkehr sicher. Kein PGP ! User darf keine komplizierten Interaktionen haben

Hallo,

was ist so der Standardweg, um Exchange 2013 mit einem verschlüsselten Emailkommunikation sicher zu stellen.
User darf keine komplizierten Interaktionen wie bei PGP involviert sein. Das muss automatisch im Hintergrund laufen !
Gibt es da z.bsp Boardmittel ?


Gruss
Rainer

Content-Key: 333101

Url: https://administrator.de/contentid/333101

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: aqui
aqui 24.03.2017 aktualisiert um 09:05:41 Uhr
Goto Top
Hast du dir PGP oder GnuPG schonmal angesehen ?? Mit Enigmail z.B. als Applikation darauf muss ein User rein gar nix mehr machen außer die öffentlichen Schlüssel seiner Kommunikationspartner verwalten mit einem Mausklick. Jeder normal intelligente Dummie kann doch damit umgehen.
Wo ist also dein wirkliches Problem ?
Mitglied: 132692
132692 24.03.2017 aktualisiert um 09:08:55 Uhr
Goto Top
Mitglied: Kraemer
Kraemer 24.03.2017 um 09:07:43 Uhr
Goto Top
Mitglied: 131455
131455 24.03.2017 um 09:13:11 Uhr
Goto Top
Hallo, Enigmail muss sicher bei User installiert sein ? Auf userseite sollte nichts installiert sein. Alles was sein soll, soll am Exchange eingestellt sein.
Mitglied: 131455
131455 24.03.2017 um 09:13:41 Uhr
Goto Top
Hallo,

ok. Der Standardweg ist wohl "S;MIME" , werde das nachlesen

Gruss
Rainer
Mitglied: 131455
131455 24.03.2017 um 09:22:24 Uhr
Goto Top
Das Gateway ist sicher interessant.

https://www.ciphermail.info/

Wir haben Sophos im Einsatz als Mailgateway. Sicher müsste man den dann ersetzen. Interessant wäre, wenn Sophos auch so eine Funktion hätte. Oder die Frage ist halt. Wie löst man S Mime mit Windows Boardmitteln ?

Gruss
Rainer
Mitglied: Andrew01
Andrew01 24.03.2017 um 09:26:54 Uhr
Goto Top
Hallo,

die Sophos UTM können dass auf jeden Fall.

Gruss
Andreas
Mitglied: 131455
131455 24.03.2017 um 09:28:01 Uhr
Goto Top
Standardmässig scheint wohl am Exchange S mime sogar Aktiv zu sein


RunspaceId                                       : e97c49a2-0934-4673-9d97-e172aa74ff3c
OWACheckCRLOnSend                                : False
OWADLExpansionTimeout                            : 60000
OWAUseSecondaryProxiesWhenFindingCertificates    : True
OWACRLConnectionTimeout                          : 60000
OWACRLRetrievalTimeout                           : 10000
OWADisableCRLCheck                               : False
OWAAlwaysSign                                    : False
OWAAlwaysEncrypt                                 : False
OWAClearSign                                     : True
OWAIncludeCertificateChainWithoutRootCertificate : False
OWAIncludeCertificateChainAndRootCertificate     : False
OWAEncryptTemporaryBuffers                       : True
OWASignedEmailCertificateInclusion               : True
OWABCCEncryptedEmailForking                      : 0
OWAIncludeSMIMECapabilitiesInMessage             : False
OWACopyRecipientHeaders                          : False
OWAOnlyUseSmartCard                              : False
OWATripleWrapSignedEncryptedMail                 : True
OWAUseKeyIdentifier                              : False
OWAEncryptionAlgorithms                          : 6610
OWASigningAlgorithms                             : 8004
OWAForceSMIMEClientUpgrade                       : True
OWASenderCertificateAttributesToDisplay          :
OWAAllowUserChoiceOfSigningCertificate           : False
SMIMECertificateIssuingCA                        :
SMIMECertificatesExpiryDate                      :
SMIMEExpiredCertificateThumbprint                :
AdminDisplayName                                 :
ExchangeVersion                                  : 0.1 (8.0.535.0)
Name                                             :
DistinguishedName                                : CN=Smime Configuration,CN=Global Settings,CN=GRAS,CN=Microsoft
                                                   Exchange,CN=Services,CN=Configuration,DC=Gras,DC=king
Identity                                         : Smime Configuration
Guid                                             : 00000000-0000-0000-0000-000000000000
ObjectCategory                                   :
ObjectClass                                      : {msExchContainer}
WhenChanged                                      :
WhenCreated                                      :
WhenChangedUTC                                   :
WhenCreatedUTC                                   :
OrganizationId                                   :
Id                                               : Smime Configuration
OriginatingServer                                :
IsValid                                          : True
ObjectState                                      : New

Wäre echt interessant das mit Boardmitteln zu lösen. Aber was man liest , ist das wohl die Gateways das Mass der Dinge sind.

http://www.msxfaq.de/signcrypt/clientssl.htm

Gruss
Rainer
Mitglied: 132692
132692 24.03.2017 um 09:28:04 Uhr
Goto Top
Wie löst man S Mime mit Windows Boardmitteln ?
Mit Bordmitteln gar nicht wenn du keine Zertifikate am Client hinterlegen willst.
Wenn du programmieren kannst dann ja, indem du dir einen Custom Transportagent programmierst und auf dem Exchange einbindest, aber dazu fehlt dir bestimmt das nötige Wissen.
Mitglied: 131455
131455 24.03.2017 aktualisiert um 10:01:52 Uhr
Goto Top
Hallo,

ok. Das ist ein gutes Argument : Mit Bordmitteln gar nicht wenn du keine Zertifikate am Client hinterlegen willst.
also wohl doch Richtung Gateway.
Ich lese mich mal ein. Chef wird dann wohl kommen. Nein , das kostet. Dann muss man wieder das intern lösen. Und wohl Certificate automatisch verteilen lassen. Etc.. Mal schauen, was der WEG sein wird.

Gruss
Rainer
Mitglied: GuentherH
GuentherH 24.03.2017 um 09:38:55 Uhr
Goto Top
Bitte einmal unterscheiden ob eine Server <-> Server Verschlüsselung oder Client <-> Client Verschlüsselung gewünscht wird.

Die Server <-> Server Versclüsselung ist beim Exchange per Default aktiviert, es muss nur ein Öffentliches Zertifikat hinterlegt sein.

LG Günther
Mitglied: 108012
108012 24.03.2017 aktualisiert um 09:59:03 Uhr
Goto Top
Hallo,

was ist so der Standardweg, um Exchange 2013 mit einem verschlüsselten Emailkommunikation sicher zu stellen.
PGP Gateway von Symantec auf dem Exchange Server und PGP Klient + Outlook auf dem Klient PC!

User darf keine komplizierten Interaktionen wie bei PGP involviert sein.
Dann das PGP Gateway für den Exchangeserver, wenn für den Empfänger oder Versender Schlüssel hinterlegt sind
(im Gateway was auf dem Exchange installiert wird) wird automatisch ent- und verschlüsselt.

Das muss automatisch im Hintergrund laufen !
PGP Gateway

Gibt es da z.bsp Boardmittel ?
Im Outlook Klienten dann nur noch auf Signieren, Verschlüsseln oder Signieren und Verschlüsseln klicken und der Rest
geschieht automatisch im Hintergrund.

Gruß
Dobby
Mitglied: 131455
131455 24.03.2017 um 10:04:28 Uhr
Goto Top
Hallo,

vermutlich Server zu Server. Ein Oeffentliches Zertifikat haben wir. Aber wenn man nun im Maileingang schaut, dann zeigt es ja die Mails nicht als verschlüsselt an. Aktiviere ich beim Outlook S Mime, dann heisst es , kein Zertifikat.

Gruss
Rainer
Mitglied: 132692
132692 24.03.2017 aktualisiert um 10:12:15 Uhr
Goto Top
Zitat von @131455:
vermutlich Server zu Server.
Vermutlich?? Du scheinst keinen Plan zu haben.
Server <> Server und Client <> Client sind zwei vollkommen separate paar Schuhe.

Ein Oeffentliches Zertifikat haben wir. Aber wenn man nun im Maileingang schaut, dann zeigt es ja die Mails nicht als verschlüsselt an. Aktiviere ich beim Outlook S Mime, dann heisst es , kein Zertifikat.
Das sind zwei verschiedene Dinge , wie @GuentherH schon geschrieben hat!!! Am Client siehst du nur wenn der Client verschlüsselt nicht wenn der Server eine Transport-Verschlüsselung (TLS) zu einem anderen Server aufbaut.

Das eine ist eine Inhaltsverschlüsselung und das andere eine Transport-Verschlüsselung.

Hier wären erstmal Grundlagen zum Mailversand angesagt!
Mitglied: 131455
131455 24.03.2017 um 10:12:18 Uhr
Goto Top
Hallo,

ok danke. Ziel ist es eine verschlüsselte Email Kommunikation zu haben. Das ist primär Server zu Server.
Aber im Outlook soll es wohl auch als "verschlüsselt" angezeigt werden.
Unser Zertifikat für Webmail ist wohl nicht das zum verschlüsseln.

Gruss
Rainer
Mitglied: 132692
132692 24.03.2017 aktualisiert um 10:31:32 Uhr
Goto Top
Zitat von @131455:
ok danke. Ziel ist es eine verschlüsselte Email Kommunikation zu haben. Das ist primär Server zu Server.
Und was machst du wenn mehrere Server an der Übermittlung beteiligt sind und einer von denen unverschlüsselt übermittelt?! Genau: Transport-Verschlüsselung bringt nur was wenn alle Server dir in einer bestimmte Kette beteiligt sind TLS machen. Also "Client-Verschlüsselung" nutzen wenn es universell sein soll!
Aber im Outlook soll es wohl auch als "verschlüsselt" angezeigt werden.
Client-Verschlüsslung => bedeutet User-Zertifikat am Client hinterlegen oder mit einem Mail-Gateway arbeiten das die User-Zertifikate verwaltet. Mit deinem Serverzertifikat kannst du kein S-MIME verschlüsseln!! Jeder User benötigt sein eigenes persönliches Zertifikat am Client, oder eben ein spezielles Gateway das die Mails entsprechend behandelt.

Du würfelst hier alles vollkommen durcheinander face-sad. Also lese die Grundlagen erst nochmal genauer.
Mitglied: 108012
108012 24.03.2017 um 10:22:58 Uhr
Goto Top
vermutlich Server zu Server. Ein Oeffentliches Zertifikat haben wir.
Das sollte so oder so der fall sein damit niemand die Verbindung Eures Exchange Servers zum Server des ISPs
belauschen kann und alles mitliest.

Aber wenn man nun im Maileingang schaut, dann zeigt es ja die Mails nicht als verschlüsselt an.
Die Verschlüsselung muss ja auch von irgend jemandem vorgenommen werden, also ohne da irgend was
zu unterstellen nur wir reden hier von zweimal Verschlüsselung, einmal Euer Exchange Server zu ISP Server
und einmal eMail Versender zu eMail Empfänger, wo man signieren oder verschlüsseln kann oder eben beides
verschlüsseln und signieren, ganz wie man möchte. Und so etwas wird in der Regel auf einen PGP Gateway
alles hinterlegt und muss sicherlich auch gepflegt werden! Und zwar von Dir als Admin, damit Eure Anwender
dann nichts mehr machen brauchen! Hat man also einen neuen Kontakt und der verschlüsselt braucht man
seinen öffentlichen Schlüssel und der wird dann immer auf dem Server hinterlegt genauso wie die beiden
Schlüssel von Euren Anwendern und wenn einen Mail rausgeht wird mit dem öffentlichen Schlüssel des
Empfängers vom Gateway verschlüsselt und dann vom Exchange versendet und wenn jemand aus Eurer
Firma eine eMail erhält (die wurde dann mit seinem öffentlichen Schlüssel verschlüsselt) und wird dann
vollautomatisch vom Gateway entschlüsselt und Ihm in sein Postfach (Exchange) zugestellt!

Wie gesagt alles vollautomatisch. Und wenn man das möchte, kommt ja auch auf die Firma, die
Firmenpolitik hinsichtlich der Handhabung mit Verschlüsselung an und vor allem Anderen auch
was sagt einem der Kunde und der Partner, der Verband und die Zulieferer zu diesem Thema!

Man kann es auch so hinterlegen dass dort gar keine Interaktion des Benutzers mehr statt findet
und immer nachgeschaut wird ob für einen eMail Empfänger ein Schlüssel hinterlegt worden ist
und das dann immer signiert, verschlüsselt oder gar beides gemacht wird, dann brauchen Eure
Mitarbeiter gar nichts mehr machen, halt wie jetzt einfach eine eMail schreiben und dann
versenden, das Gateway macht dann alles von alleine!

Symantec PGP Gateway

Aktiviere ich beim Outlook S Mime, dann heisst es , kein Zertifikat.
Ne da muss dann ja auch für jeden Anwender erst eines hinterlegt werden!

Gruß
Dobby
Mitglied: 131455
131455 24.03.2017 aktualisiert um 11:03:39 Uhr
Goto Top
Hallo,

wie ich sehe, ist das komplizierter. Gibt es ein Buch, das ihr empfehlen könnt ?
Oder gab es mal eine Abhandlung über die Administrator Zeitschrift ?

Gruss Rainer
Mitglied: 108012
108012 24.03.2017, aktualisiert am 25.03.2017 um 18:59:22 Uhr
Goto Top
wie ich sehe, ist das komplizierter.
Also den Server in den Einstellungen mittels der zur Verfügung stehenden Mittel auf verschlüsselt zu stellen
sollte auch mittels einer Anleitung gut funktionieren und welche Adressen, Ports und Protokolle sowie der
Verschlüsselung und Ihrer Einstellungen die benötigt werden gibt einem auch der ISP wo man seinen
Internet oder eMail Dienst gebucht hat. Daran kann man eh nichts ändern, denn das was der ISP vorgibt
muss dann eben auch zwingend auf Eurer Seite von Dir umgesetzt werden.

Gibt es ein Buch, das ihr empfehlen könnt ?
Ich würde mal so sagen, entscheide Dich erst einmal für ein Programm, einen Weg und dann sollte man
sich darum kümmern so viel wie möglich dazu heraus zu finden, dass dann auch zu Eurem Betrieb passt.
Als Suchwörter würden sichermeiner bescheidenen Meinung nach folgende Begriffe eignen.
- eMail Verschlüsselung mit Programm xyz
- Trustcenter und Zertifikate
- Public Key Encryption

Oder gab es mal eine Abhandlung über die Administrator Zeitschrift ?
Da sollte man einmal bei IT-Administrator.de nachfragen oder der iX oder bei dem Hersteller des Programms
was man benutzen möchte. (Wenn es sich bei der Nachfrage denn auch um die eMail Verschlüsselung handelt)

Was man sich privat einmal anschauen kann wäre das gpg4win Projekt, denn dort gibt es ein Kompendium
zur eMail Verschlüsselung, was sich zwar auf den privaten Gebrauch der Software bezieht, aber die Public
Key eMail Verschlüsselung, im allgemeinen, auch sehr gut be- und umschreibt. Also das lässt sich auch gut
für PGP oder Enigmail zusammen mit Outlook und/oder Thunderbird benutzen um zu verstehen was, wie und
wo abläuft.

Gruß
Dobby



P.S.

GPG4win Dokumentation ist für den Anfang und für den
Einstieg mit der "Public Key Encryption" für eMail gar nicht übel. Viel Spaß mit "Mallory".
Mitglied: 131455
131455 04.04.2017 um 13:54:47 Uhr
Goto Top
Hallo,

Emailverschlüsselung verschiebt sich bei uns. Habe nun erstmal Task Exchange 2013 zu Exchange 2016. Der ist ja Easy .)
Aber mit den Infos die ich hier erhalten habe, werde ich wenn Thema kommt , versuchen auf eine S-Mime Box zu gehen.

Gruss
Rainer
Mitglied: aqui
aqui 04.04.2017 um 14:31:26 Uhr
Goto Top
...wird dir dann aber nix nützen wenn du mit PGP basierten Partnern kommunizieren musst.
Mitglied: Kraemer
Kraemer 04.04.2017 aktualisiert um 14:55:04 Uhr
Goto Top
Zitat von @aqui:

...wird dir dann aber nix nützen wenn du mit PGP basierten Partnern kommunizieren musst.
selbst Phil Zimmermann nutz das nicht mehr... face-wink
Mitglied: aqui
aqui 04.04.2017 um 15:05:41 Uhr
Goto Top
Aber auch kein S-Mime face-wink