This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ausgehende Mails werden nicht signiert - UTM 9 - 9.506-2

Hallo zusammen,

 

ich habe hier ein kleines Problem mit unserer UTM 9 und hoffe jemand hat eine Idee dazu.

Momentan werden von einigen unserer Mitarbeiter verschlüsselte Mails an eine paar Kunden verschickt.

Dazu haben wir Zertifikate gekauft, im Outlook eingerichtet, Kundenzertifikate in den Kontakten eingerichtet und die Mails manuell digital signiert und verschlüsselt. Funktioniert soweit ganz gut.

Nun soll die digitale Signatur und die Verschlüsselung zentral über die Sophos laufen.

Dazu habe ich mal testweise meinen Account inkl. Zertifikat als interner Benutzer angelegt und auch das Root-CA des Ausstellers installiert. Wenn ich eine Testmail verschicke wird diese allerdings nicht digital signiert, obwohl ich als Standardrichtlinie den Haken gesetzt hab und auch im Benutzer bei Signieren auf "Ein" gestellt hab.

 

Wo könnte ich noch nachschauen?

 

Grüße

Matthias



This thread was automatically locked due to age.
  • Nur ne kleine Zwischenfrage.

     

    Schaltest du das Signieren und verschlüsseln im Outlook aktiv oder nutzt du das Sophos Outlook Plug-In ?

  • Hallo Marc,

     

    wenn ich das Signieren im Outlook aktiviere wird die Mail auch signiert. Aber genau das will ich ja von der Sophos machen lassen. Erstens weil dann keiner den Klick auf "Signieren" vergessen kann und zweitens weil ich die Mail-Zertifikate dann zentral in der Sophos pflegen kann und nicht bei jedem Mitarbeiter lokal auf dem PC bzw. im Outlook installieren muss.

    Gibt es für die "normale" Email-Encryption auch ein Outlook-Plug-In? Hab ich noch nicht gefunden...

    Ein Outlook Plug-In kenne ich nur von der SPX-Verschlüsselung. Damit habe ich auch schon etwas experimentiert. Funktioniert auch sehr gut, ist aber etwas unhandlich und wird in meinen Augen etwas stiefmütterlich behandelt. Die Bedienung könnte man etwas komfortabler machen. Eine Übersicht der bereits hinterlegten Mail-Adressen wäre eine große Hilfe.

     

    Gruß

    Matthias

  • Matthias Adam said:

     Wo könnte ich noch nachschauen?

     

    Du brauchst den Quelltext der Email am Empfängersystem, diverse Clients zeigen die S/MIME Signatur nicht an, obwohl sie in der Email vorhanden ist.

    Falls das nicht geht, temporär TLS Verschlüsselung deaktivieren und per tcpdump den WAN SMTP Traffic zum Empfangssystem dumpen, dann siehst du, was versendet wurde.

    [ Und auch warum TLS ne gute Idee ist ,-) ]

    Grüße

  • Moin,

     

    doofe Frage vielleicht, aber versendet Dein Mailserver überhaupt über die UTM?

  • Die Testmails hab ich an einen web.de Account geschickt.

    Ich hab mal Screenshots mit angehangen.

    Bei Test 1 hab ich die Signatur im Outlook hinzugefügt. Es gibt einen entsprechenden Button, und wenn man dort draufklickt erhält man alle Informationen zum öffentlichen Schlüssel: Ausgestellt für, Ausgestellt von, Fingerprint, Laufzeit etc.

    Bei Test 3 hab ich die Signatur nicht im Outlook hinzugefügt. Da erscheint dieser Button nicht. Also muss ich ja davon ausgehen, das die Signatur nicht mit dranhängt.

    Ich hab auch mal Screenshots der Konfiguration auf der Firewall angehangen:

     

    Hab ich da noch irgendwas vergessen oder übersehen?

    So wie ich das interpretiere sollten so eigentlich alle Mails, deren Mail-Adresse mit einem Zertifikat in den "internen Benutzern" hinterlegt sind, mit der Signatur rausgehen...

     

    Gruß

    Matthias

  • Frage ist berechtigt, aber die Mails laufen über die FW...

  • Hi,

     

    ich würde einen SMTP Debug Log empfehlen.

    https://community.sophos.com/kb/en-us/115325

     

    Gruß

    __________________________________________________________________________________________________________________

  • Die Einstellungen sollten so korrekt sein. Starte doch nochmal den Mailproxy.

  • Ich werden den Mail-Proxy mal neu starten und auch beide Firewalls (HA-Cluster) komplett neu starten. Mal schauen ob das was bringt.

     

    Als ich vor ein paar Wochen mit den Tests bzgl. Mail-Encryption angefangen habe konnte ich keine Root-Zertifikate hochladen. Der Sophos-Support hat "kaputte Objekte" in der confd gefunden und wohl auch bereinigt. Root-Zertifikate kann ich zwar jetzt hochladen, aber wie es aussieht gibt es wohl noch mehr Probleme.

    Da wird wohl Sophos noch mal selbst nach dem Rechten sehen müssen...

     

    Trotzdem vielen Dank für die Denkanstöße

     

    Grüße

    Matthias

  • Hallo Matthias,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    I wonder if this isn't related to the use of a certificate other than the one created by WebAdmin when you added the user.  I don't know if the SMTP Proxy needs the CA.  If you added the certificate to the UTM as a PEM, you might try deleting that and adding the certificate as a PKCS#12.  What does Sophos Support have to say about this?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA