none
S/MIME Signierung/Verschlüsselung für (auch dynamische) Verteilergruppen als E-mail-Absender? Stichwort: DSGVO RRS feed

  • Frage

  • Hallo zusammen,

    bis jetzt fand ich absolut nichts zum Thema. Wir benutzen Exchange Server 2013 SP1 latest CU zusammen mit Outlook 2016/2019 und beabsichtigen S/MIME Signierung für die Emails einzuführen. Für die "normalen" Postfächer klappt alles wunderbar! Unsere User dürfen aber entscheiden, ob sie als die Verteilergruppe rausmailen, zu dem sie gehören, wenn sie den Empfängern ihre personenbezogenen Daten nicht preisgeben wollen (DSGVO). Wir würden aber in so einem Fall auch den Verteilergruppen S/MIMEs ausstellen, ist es überhaupt möglich? 

    Eine unschöne und aufwändige Lösung wäre, alle Verteilergruppen als Postfachfreigaben einzurichten, die Verteilergruppen zu löschen und für die Postfachfreigaben die S/MIME Zertifikate ausstellen zu lassen.

    Donnerstag, 30. Januar 2020 14:10

Antworten

  • Moin,

    S/MIME geschieht am Client. D.h. es ist völlig egal, ob Du für "Senden Als" eine Gruppe, eine Shared Mailbox oder ein fremdes Benutzerpostfach bemühst - welches Zertifikat dafür verwendet wird, ist Outlook überlassen.

    Es gibt dort sehr wohl die Möglichkeit, mehrere S/MIME-Identitäten einzurichten, die an unterschiedliche Zertifikate gebunden sind. Allerdings gibt es keinen Automatismus, der bewirkt, dass die Identität dem eingestellten Absender folgt. Somit gibt es durchaus ein Potential für Fehler (User antwortet als Gruppe, signiert aber mit seinem Zertifikat und nicht mit dem der Gruppe). Auf diesem Wege würde er dann wieder seine Identität preisgeben...

    Wenn das der häufigere Fall ist, könnt ihr euch auch eine Zertifikon-Appliance (oder etwas Ähnliches) überlegen. Dann würde der Mailverkehr innerhalb eurer Organisation unsigniert ablaufen, und gegenüber Externen würde ein Unternehmenszertifikat zum Einsatz kommen...


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert borislavs Freitag, 31. Januar 2020 13:45
    Donnerstag, 30. Januar 2020 14:28

Alle Antworten

  • Moin,

    S/MIME geschieht am Client. D.h. es ist völlig egal, ob Du für "Senden Als" eine Gruppe, eine Shared Mailbox oder ein fremdes Benutzerpostfach bemühst - welches Zertifikat dafür verwendet wird, ist Outlook überlassen.

    Es gibt dort sehr wohl die Möglichkeit, mehrere S/MIME-Identitäten einzurichten, die an unterschiedliche Zertifikate gebunden sind. Allerdings gibt es keinen Automatismus, der bewirkt, dass die Identität dem eingestellten Absender folgt. Somit gibt es durchaus ein Potential für Fehler (User antwortet als Gruppe, signiert aber mit seinem Zertifikat und nicht mit dem der Gruppe). Auf diesem Wege würde er dann wieder seine Identität preisgeben...

    Wenn das der häufigere Fall ist, könnt ihr euch auch eine Zertifikon-Appliance (oder etwas Ähnliches) überlegen. Dann würde der Mailverkehr innerhalb eurer Organisation unsigniert ablaufen, und gegenüber Externen würde ein Unternehmenszertifikat zum Einsatz kommen...


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert borislavs Freitag, 31. Januar 2020 13:45
    Donnerstag, 30. Januar 2020 14:28
  • Hallo Evgenij,

    danke Dir für die Aufklärung! Hab heute "ein wenig" mit Outlook 2019 getestet, der letzte sucht nach dem passenden Zertifikat im Benutzerzertifikatsspeicher und voila! Ich hatte es Outlook echt nie zugetraut... ;)

    Freitag, 31. Januar 2020 13:51