Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 43 subscribers
  • Views 14569 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ausgehende Mails werden nicht signiert - UTM 9 - 9.506-2

Matthias Adam

Hallo zusammen,

 

ich habe hier ein kleines Problem mit unserer UTM 9 und hoffe jemand hat eine Idee dazu.

Momentan werden von einigen unserer Mitarbeiter verschlüsselte Mails an eine paar Kunden verschickt.

Dazu haben wir Zertifikate gekauft, im Outlook eingerichtet, Kundenzertifikate in den Kontakten eingerichtet und die Mails manuell digital signiert und verschlüsselt. Funktioniert soweit ganz gut.

Nun soll die digitale Signatur und die Verschlüsselung zentral über die Sophos laufen.

Dazu habe ich mal testweise meinen Account inkl. Zertifikat als interner Benutzer angelegt und auch das Root-CA des Ausstellers installiert. Wenn ich eine Testmail verschicke wird diese allerdings nicht digital signiert, obwohl ich als Standardrichtlinie den Haken gesetzt hab und auch im Benutzer bei Signieren auf "Ein" gestellt hab.

 

Wo könnte ich noch nachschauen?

 

Grüße

Matthias



This thread was automatically locked due to age.
Parents
  • 0

    Matthias Adam said:

     Wo könnte ich noch nachschauen?

     

    Du brauchst den Quelltext der Email am Empfängersystem, diverse Clients zeigen die S/MIME Signatur nicht an, obwohl sie in der Email vorhanden ist.

    Falls das nicht geht, temporär TLS Verschlüsselung deaktivieren und per tcpdump den WAN SMTP Traffic zum Empfangssystem dumpen, dann siehst du, was versendet wurde.

    [ Und auch warum TLS ne gute Idee ist ,-) ]

    Grüße

Reply
  • 0

    Matthias Adam said:

     Wo könnte ich noch nachschauen?

     

    Du brauchst den Quelltext der Email am Empfängersystem, diverse Clients zeigen die S/MIME Signatur nicht an, obwohl sie in der Email vorhanden ist.

    Falls das nicht geht, temporär TLS Verschlüsselung deaktivieren und per tcpdump den WAN SMTP Traffic zum Empfangssystem dumpen, dann siehst du, was versendet wurde.

    [ Und auch warum TLS ne gute Idee ist ,-) ]

    Grüße

Children
  • 0 in reply to PeterRenchen

    Die Testmails hab ich an einen web.de Account geschickt.

    Ich hab mal Screenshots mit angehangen.

    Bei Test 1 hab ich die Signatur im Outlook hinzugefügt. Es gibt einen entsprechenden Button, und wenn man dort draufklickt erhält man alle Informationen zum öffentlichen Schlüssel: Ausgestellt für, Ausgestellt von, Fingerprint, Laufzeit etc.

    Bei Test 3 hab ich die Signatur nicht im Outlook hinzugefügt. Da erscheint dieser Button nicht. Also muss ich ja davon ausgehen, das die Signatur nicht mit dranhängt.

    Ich hab auch mal Screenshots der Konfiguration auf der Firewall angehangen:

     

    Hab ich da noch irgendwas vergessen oder übersehen?

    So wie ich das interpretiere sollten so eigentlich alle Mails, deren Mail-Adresse mit einem Zertifikat in den "internen Benutzern" hinterlegt sind, mit der Signatur rausgehen...

     

    Gruß

    Matthias

  • 0 in reply to Matthias Adam

    Frage ist berechtigt, aber die Mails laufen über die FW...

  • 0 in reply to Matthias Adam

    Hi,

     

    ich würde einen SMTP Debug Log empfehlen.

    https://community.sophos.com/kb/en-us/115325

     

    Gruß

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Die Einstellungen sollten so korrekt sein. Starte doch nochmal den Mailproxy.

  • 0 in reply to ThorstenSult

    Ich werden den Mail-Proxy mal neu starten und auch beide Firewalls (HA-Cluster) komplett neu starten. Mal schauen ob das was bringt.

     

    Als ich vor ein paar Wochen mit den Tests bzgl. Mail-Encryption angefangen habe konnte ich keine Root-Zertifikate hochladen. Der Sophos-Support hat "kaputte Objekte" in der confd gefunden und wohl auch bereinigt. Root-Zertifikate kann ich zwar jetzt hochladen, aber wie es aussieht gibt es wohl noch mehr Probleme.

    Da wird wohl Sophos noch mal selbst nach dem Rechten sehen müssen...

     

    Trotzdem vielen Dank für die Denkanstöße

     

    Grüße

    Matthias

Unfiltered HTML