locked
Digital Signierte Mail mit Anhang über TMG RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo alle zusammen …..

    Meine Konstellation …

    EXC2010 mit FPE for Exchange und EDGE /  TMG 2010 mit EDGE

    Nun meine Problembeschreibung:

    Ich versende Mail´s über Outlook 2010 die digital Signiert sind.

    Diese werden also über den EXC und dann mittels (Hub-Transport) EdgeSync zum TMG und von dort in die weite Welt gesendet.

    Soweit ist dann auch noch alles OK --- die digitale Signatur ist beim Empfänger OK

    Wenn ich jedoch digitale signierte Mail´s mit Anhang versende, kommen diese bei den Empfängen mit dem Hinweis an, dass die digitale Signatur ungültig oder nicht Vertrauenswürdig ist.

    Das passiert nur mit digt. Sign. Mail´s nicht wenn ich Mail´s nur verschlüsselt sende.

    Testweise habe ich mal einen Connector erstellt der die Mails vom EXC sofort in die weite Welt sendet.

    Und siehe da, nun funktioniert alles so wie es soll.

    Für mich sieht es also so aus, als ob mein TMG etwas an Mail´s die einen Anhang haben verändert.

    Ich habe alle Filter (Spam/Viren) auf dem TMG deaktiviert. Leider brachte das keine Änderung.

    Hat einer von Euch noch eine Idee, wo ich am TMG drehen oder suchen kann.  Danke Euch …. Bernd

    Freitag, 19. November 2010 05:33

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    fügst du per Transport-Regel zufällig am Edge der Mail die rechtliche Signatur hinzu?

    Gruß

    Christian

     

    Christian Groebner MVP Forefront
    Freitag, 19. November 2010 07:44
  • Question
    Anmelden
    0
    Anmelden

    Hi @all,

    ACK, ausser das Transport Rules da etwas modifizieren, kann ich mir auch nichts anderes vorstellen. FPE sollte davon unbeteiligt sein, sowie die Edge Rolle an sich!

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Freitag, 19. November 2010 08:12
  • Question
    Anmelden
    0
    Anmelden

    Hi Leutz ... danke erst einmal ... aber leider nein ..... ich füge nichts hinzu ......

    Ich habe die Mails genauestens untersucht .... ich meine einmal nur über den EXC gesendet (Sign. OK) und einmal über den TMG (Sign. nicht OK) ...

    Ich kann beim besten Willen kein Unterschied erkennen ....  aber was solls ...  das wollen wir ja so ... wäre ja langweilig wenn alles auf Anhieb funktioniert ...

    Bleibe dran und werde berichten .....  Danke  ... Bernd

     

    Freitag, 19. November 2010 16:50
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    kannst Du mal das SMTP Send Log vom Edge Server hier posten!

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Freitag, 19. November 2010 18:34
  • Question
    Anmelden
    0
    Anmelden

    Also .....   einmal eine Mail digt. Sig. ohne Anhang ... (weiter unten dann mit Anhang) ....

    #Software: Microsoft Exchange Server
    #Version: 14.0.0.0
    #Log-type: SMTP Send Protocol Log
    #Date: 2010-11-23T07:41:05.013Z
    #Fields: date-time,connector-id,session-id,sequence-number,local-endpoint,remote-endpoint,event,data,context
    2010-11-23T07:41:05.013Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,0,,85.158.138.147:25,*,,attempting to connect
    2010-11-23T07:41:05.044Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,1,192.168.2.10:26950,85.158.138.147:25,+,,
    2010-11-23T07:41:05.092Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,2,192.168.2.10:26950,85.158.138.147:25,<,220 server-5.tower-195.messagelabs.com ESMTP,
    2010-11-23T07:41:05.092Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,3,192.168.2.10:26950,85.158.138.147:25,>,EHLO bsprivat.de,
    2010-11-23T07:41:05.121Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,4,192.168.2.10:26950,85.158.138.147:25,<,250-server-5.tower-195.messagelabs.com,
    2010-11-23T07:41:05.121Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,5,192.168.2.10:26950,85.158.138.147:25,<,250-STARTTLS,
    2010-11-23T07:41:05.121Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,6,192.168.2.10:26950,85.158.138.147:25,<,250-PIPELINING,
    2010-11-23T07:41:05.121Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,7,192.168.2.10:26950,85.158.138.147:25,<,250 8BITMIME,
    2010-11-23T07:41:05.121Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,8,192.168.2.10:26950,85.158.138.147:25,>,STARTTLS,
    2010-11-23T07:41:05.161Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,9,192.168.2.10:26950,85.158.138.147:25,<,220 ready for TLS,
    2010-11-23T07:41:05.161Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,10,192.168.2.10:26950,85.158.138.147:25,*,,Sending certificate
    2010-11-23T07:41:05.161Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,11,192.168.2.10:26950,85.158.138.147:25,*,"CN=bsprivat.de, OU=PositiveSSL, OU=Domain Control Validated",Certificate subject
    2010-11-23T07:41:05.161Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,12,192.168.2.10:26950,85.158.138.147:25,*,"CN=PositiveSSL CA, O=Comodo CA Limited, L=Salford, S=Greater Manchester, C=GB",Certificate issuer name
    2010-11-23T07:41:05.161Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,13,192.168.2.10:26950,85.158.138.147:25,*,00D533A15241C1B506FD191828358D0E13,Certificate serial number
    2010-11-23T07:41:05.161Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,14,192.168.2.10:26950,85.158.138.147:25,*,6F69895904F315155EA98A1EA1DC62DB52A7EB3C,Certificate thumbprint
    2010-11-23T07:41:05.161Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,15,192.168.2.10:26950,85.158.138.147:25,*,bsprivat.de;www.bsprivat.de,Certificate alternate names
    2010-11-23T07:41:05.422Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,16,192.168.2.10:26950,85.158.138.147:25,*,,Received certificate
    2010-11-23T07:41:05.422Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,17,192.168.2.10:26950,85.158.138.147:25,*,8E445785918DFEE333C5C83C97DA2969EB8ED6CC,Certificate thumbprint
    2010-11-23T07:41:05.422Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,18,192.168.2.10:26950,85.158.138.147:25,>,EHLO bsprivat.de,
    2010-11-23T07:41:05.450Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,19,192.168.2.10:26950,85.158.138.147:25,<,250-server-5.tower-195.messagelabs.com,
    2010-11-23T07:41:05.450Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,20,192.168.2.10:26950,85.158.138.147:25,<,250-PIPELINING,
    2010-11-23T07:41:05.450Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,21,192.168.2.10:26950,85.158.138.147:25,<,250 8BITMIME,
    2010-11-23T07:41:05.450Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,22,192.168.2.10:26950,85.158.138.147:25,*,52,sending message
    2010-11-23T07:41:05.450Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,23,192.168.2.10:26950,85.158.138.147:25,>,MAIL FROM:<geändert_von@BS-BS>,
    2010-11-23T07:41:05.450Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,24,192.168.2.10:26950,85.158.138.147:25,>,RCPT TO:<geändert_von@BS-IR>,
    2010-11-23T07:41:05.615Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,25,192.168.2.10:26950,85.158.138.147:25,<,250 OK,
    2010-11-23T07:41:05.615Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,26,192.168.2.10:26950,85.158.138.147:25,<,250 OK,
    2010-11-23T07:41:05.615Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,27,192.168.2.10:26950,85.158.138.147:25,>,DATA,
    2010-11-23T07:41:05.643Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,28,192.168.2.10:26950,85.158.138.147:25,<,354 go ahead,
    2010-11-23T07:41:05.908Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,29,192.168.2.10:26950,85.158.138.147:25,<,250 ok 1290498066 qp 7454 server-5.tower-195.messagelabs.com!1290498065!41987030!1,
    2010-11-23T07:41:05.909Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,30,192.168.2.10:26950,85.158.138.147:25,>,QUIT,
    2010-11-23T07:41:05.937Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,31,192.168.2.10:26950,85.158.138.147:25,<,221 server-5.tower-195.messagelabs.com,
    2010-11-23T07:41:05.939Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FC,32,192.168.2.10:26950,85.158.138.147:25,-,,Local

     ... einmal eine Mail digt. Sig. mit Anhang ...

    #Software: Microsoft Exchange Server
    #Version: 14.0.0.0
    #Log-type: SMTP Send Protocol Log
    #Date: 2010-11-23T07:43:21.103Z
    #Fields: date-time,connector-id,session-id,sequence-number,local-endpoint,remote-endpoint,event,data,context
    2010-11-23T07:43:21.103Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,0,,85.158.138.147:25,*,,attempting to connect
    2010-11-23T07:43:21.136Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,1,192.168.2.10:29485,85.158.138.147:25,+,,
    2010-11-23T07:43:21.171Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,2,192.168.2.10:29485,85.158.138.147:25,<,220 server-9.tower-195.messagelabs.com ESMTP,
    2010-11-23T07:43:21.171Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,3,192.168.2.10:29485,85.158.138.147:25,>,EHLO bsprivat.de,
    2010-11-23T07:43:21.203Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,4,192.168.2.10:29485,85.158.138.147:25,<,250-server-9.tower-195.messagelabs.com,
    2010-11-23T07:43:21.203Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,5,192.168.2.10:29485,85.158.138.147:25,<,250-STARTTLS,
    2010-11-23T07:43:21.203Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,6,192.168.2.10:29485,85.158.138.147:25,<,250-PIPELINING,
    2010-11-23T07:43:21.203Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,7,192.168.2.10:29485,85.158.138.147:25,<,250 8BITMIME,
    2010-11-23T07:43:21.203Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,8,192.168.2.10:29485,85.158.138.147:25,>,STARTTLS,
    2010-11-23T07:43:21.243Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,9,192.168.2.10:29485,85.158.138.147:25,<,220 ready for TLS,
    2010-11-23T07:43:21.243Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,10,192.168.2.10:29485,85.158.138.147:25,*,,Sending certificate
    2010-11-23T07:43:21.243Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,11,192.168.2.10:29485,85.158.138.147:25,*,"CN=bsprivat.de, OU=PositiveSSL, OU=Domain Control Validated",Certificate subject
    2010-11-23T07:43:21.243Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,12,192.168.2.10:29485,85.158.138.147:25,*,"CN=PositiveSSL CA, O=Comodo CA Limited, L=Salford, S=Greater Manchester, C=GB",Certificate issuer name
    2010-11-23T07:43:21.243Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,13,192.168.2.10:29485,85.158.138.147:25,*,00D533A15241C1B506FD191828358D0E13,Certificate serial number
    2010-11-23T07:43:21.243Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,14,192.168.2.10:29485,85.158.138.147:25,*,6F69895904F315155EA98A1EA1DC62DB52A7EB3C,Certificate thumbprint
    2010-11-23T07:43:21.243Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,15,192.168.2.10:29485,85.158.138.147:25,*,bsprivat.de;www.bsprivat.de,Certificate alternate names
    2010-11-23T07:43:21.496Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,16,192.168.2.10:29485,85.158.138.147:25,*,,Received certificate
    2010-11-23T07:43:21.497Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,17,192.168.2.10:29485,85.158.138.147:25,*,8E445785918DFEE333C5C83C97DA2969EB8ED6CC,Certificate thumbprint
    2010-11-23T07:43:21.497Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,18,192.168.2.10:29485,85.158.138.147:25,>,EHLO bsprivat.de,
    2010-11-23T07:43:21.524Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,19,192.168.2.10:29485,85.158.138.147:25,<,250-server-9.tower-195.messagelabs.com,
    2010-11-23T07:43:21.524Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,20,192.168.2.10:29485,85.158.138.147:25,<,250-PIPELINING,
    2010-11-23T07:43:21.524Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,21,192.168.2.10:29485,85.158.138.147:25,<,250 8BITMIME,
    2010-11-23T07:43:21.524Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,22,192.168.2.10:29485,85.158.138.147:25,*,53,sending message
    2010-11-23T07:43:21.524Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,23,192.168.2.10:29485,85.158.138.147:25,>,MAIL FROM:<geändert_von@BS-BS>,
    2010-11-23T07:43:21.525Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,24,192.168.2.10:29485,85.158.138.147:25,>,RCPT TO:<geändert_von@BS-IR>,
    2010-11-23T07:43:21.593Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,25,192.168.2.10:29485,85.158.138.147:25,<,250 OK,
    2010-11-23T07:43:21.593Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,26,192.168.2.10:29485,85.158.138.147:25,<,250 OK,
    2010-11-23T07:43:21.593Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,27,192.168.2.10:29485,85.158.138.147:25,>,DATA,
    2010-11-23T07:43:21.621Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,28,192.168.2.10:29485,85.158.138.147:25,<,354 go ahead,
    2010-11-23T07:43:21.897Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,29,192.168.2.10:29485,85.158.138.147:25,<,250 ok 1290498202 qp 21762 server-9.tower-195.messagelabs.com!1290498201!43851904!1,
    2010-11-23T07:43:21.899Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,30,192.168.2.10:29485,85.158.138.147:25,>,QUIT,
    2010-11-23T07:43:21.926Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,31,192.168.2.10:29485,85.158.138.147:25,<,221 server-9.tower-195.messagelabs.com,
    2010-11-23T07:43:21.927Z,EdgeSync - Default-First-Site-Name to Internet,08CD5756292B14FE,32,192.168.2.10:29485,85.158.138.147:25,-,,Local

    Nun bin ich ja gespannt was die Profis dazu sagen ... Danke schon mal ... Bernd

    Dienstag, 23. November 2010 07:55
  • Question
    Anmelden
    0
    Anmelden

    Nachtrag, habe gerade eine interessante Feststellung gemacht ......

    Wenn ich auf Mails antworte (egal ob diese als digt. Sig. gesendet waren oder nicht, und dann einen Anhang reinpacke, dann kommen diese auch mit einer Digt. Sig. an die OK ist.

    Bernd

    Dienstag, 23. November 2010 08:00
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    durchlaufen die Mails ueber den Edge server-9.tower-195.messagelabs.com? Kann es daran liegen? Die Jungs machen doch auch SPAM Check etc. Wenn Du die Mail direkt ueber den Exchange ohne Edge versendest, gehen die dann auch ueber Messagelabs?

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 23. November 2010 08:07
  • Question
    Anmelden
    0
    Anmelden

    Na ja ..... habe es gerade nochmal getestet ....  die gehen auch über Messagelabs  aber über server-8.tower-195.messagelabs.com .....

    Soll es das etwa sein .......  ich bleibe drann .... aber erst wieder morgen früh ......   Danke   Bernd

    Dienstag, 23. November 2010 08:32
  • Question
    Anmelden
    0
    Anmelden

    Also ... ich glaube nun, dass es nicht an Messagelabs liegt.

    Das gleiche Verhalten ist zu beobachten wenn ich das zu einer Mail-Adresse bei Berlin.de sende.

    Und hier gehen beide Mails (mit und ohne Anhang) nicht über Messagelabs.

    Fazit …..

    Signierte Mails ohne Angang … => Signatur immer OK

    Signierte Mails mit Angang über EXC direkt senden … =>  Signatur immer OK

    Signierte Mails mit Angang über EXC  zum TMG mittels Zugriffsregel senden  … =>  Signatur immer OK

    Signierte Mails mit Angang über EXC  zum TMG mittels EDGE senden  … =>  Signatur nicht OK

    Verschlüsselte Mails mit oder ohne Anhang => Signatur immer OK

    Verschlüsselte Mails mit digitaler Signatur mit oder ohne Anhang => Signatur immer OK

    Auf Mails Antworten mit digitaler Signatur und Anhang => Signatur immer OK

    Für mich sieht das immer noch so aus, als ob der EDGE auf dem TMG irgendwas an  „nur digital Signierten Mails mit Anhang“ verändert.

    Bis auf Weiteres werde ich nun also nicht über den TMG Edge versenden.

    Hat noch jemand eine Idee?   Danke … Bernd

    Mittwoch, 24. November 2010 07:05