S/MIME certificates are not extracted

Send a signed message to my username here at the domain name in my signature.

Cheers - Bob

Signed and encrypted mails are different. And for decrypting encrypted messages you need to use your own private key.

Signed and encrypted mails are different. And for decrypting encrypted messages you need to use your own private key.

I am aware of the difference. My problem is not about decrypting mails and no private keys are involved at my side for receiving a signed mail or for sending an encrypted mail. 
My problem is rather about incoming mails from external email addresses where the mail contains an S/MIME signature as attachment. In principle, this signature/certificate could be used afterwards for encryption of outgoing mails to that email address. Technically it should be possible for the Astaro to extract the S/MIME attachment from the mail, optionally verify the certificate validity against a given set of accepted certificate authorities, save it and henceforth automatically encrypt all outgoing mails to that address. And the way I understand the descrition of the automatic certificate extractions feature, this is precisely what should be happening (except that the optional verification is in fact mandatory, which is a good idea from the viewpoint of security).

But it does not happen.

For the record, here is the German description of the feature as found in the WebAdmin right next to the checkbox:

Wenn diese Option aktiviert ist, liest das E-Mail-Verschlüsselungssystem automatisch S/MIME-Zertifikate aus eingehendem E-Mail-Verkehr aus, vorausgesetzt die Zertifikate wurden von einer gültigen S/MIME-Zulassungsstelle signiert.

and the corresponding section from the help page

Wenn diese Option gewählt ist, werden die an eingehende E-Mails angehängten S/MIME-Zertifikate automatisch extrahiert. Voraussetzung hierfür ist, dass dieses Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert wurde, das heißt, von einer CA, die auf dem Gerät vorhanden ist und deshalb unter Mail Security > Verschlüsselung > S/MIME-CAs angezeigt wird. Zudem muss die Zeit- und Datumsanzeige von Astaro Security Gateway innerhalb der Gültigkeitsdauer des Zertifikats liegen, da die automatische Extraktion der Zertifikate sonst nicht funktioniert. Erfolgreich extrahierte Zertifikate werden auf der Registerkarte Mail Security > Verschlüsselung > S/MIME-Zertifikate angezeigt. Beachten Sie, dass dieser Prozess ca. fünf bis zehn Minuten dauern kann. Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.

and how I translate this to English

When this option is enabled, the email encryption system automatically reads S/MIME certificates from incoming mail traffic, provided the certificates were signed by a valid S/MIME certificate authority.

When this option is selected, S/MIME certificates attached to incoming mails are automatically extracted. Necessary condition for this is that this certificate was signed by a trustworthy certificate authority (CA), that is by a CA that is present on the device and therefore is displayed under Mail Security > Encryption > S/MIME CAs. Additionally, the time and date display of Astaro Security Gateway must lie within the validity interval of the certificate because otherwise the automatic extraction of certificates does not work. Successfully extracted certificates are displyaed on the Mail Security > Encryption > S/MIME certificates tab. Note that this process may take about five to ten minutes. Click apply to save your settings.

Maybe I am simply misinterpreting these statements?

Hagman sent me a signed email, and our 9.105 also failed to strip his cert.  On the 17th of August, I got a signed email from another UTM user, and V8.309/10 correctly acquired that cert.

This appears to be a new bug.  I wonder if the code relative to "signed by a valid S/MIME certificate authority" wasn't adjusted recently...

Cheers - Bob

By the way, we have meanwhile updated from 8.311 to 9.105-9 and the problem is still there.

Time to raise it with support I reckon

Any news on this? We have the same issue. We tried 2 different senders (2 different CA Authorities) but the S/MIME certificates of the senders will not be extracted automaticially :-(

We use UTM 9.105.9

I tried this again with user apijnappels earlier this month, and his certificate was automatically stripped by our 9.106-17.

Cheers - Bob

I'm still having this problem with 9.106-17 - Any new ideas? For exmaple, any logging that might shed insights?

Bumping this thread: Meanwhile we have UTM 9.413-4 and the problem is still there, even after so many years.

I just tested the situation once more with an incoming mail,

• which was signed by a user certificate,
• which is signed by "COMODO SHA-256 Client Authentication and Secure Email CA" (not in list) as intermediate,
• and this again signed by "AddTrust External CA Root" (in the list of "global S/MIME CAs", verified by comparing fingerprints).

I also tested with another incoming mail,

• signed by a user certificate,
• this signed by "StartCom CA StartCom CC ICA" as intermediate (previously imported by me into the list of local CAs),
• this again signed by "StartCom CA StartCom Certification Authority ECC" as root CA (previously imported by me into the list of local CAs).

Neither of these mails triggered the automatic S/MIME certificate extraction. My list under "S/MIME certificates" is still empty.

I do not find any interesting lines in the smtp.log, either (or would I have to look elsewhere?)

It would be really great if this problem could be resolved, finally.

P.S.: I noticed some strangeness, but don't know if that is in any way related to the bug: The format how fingerprints are displayed differ between global and local CAs in that local CA fingerprints are displayed (via the info icon) as pure hex digit sequence (e.g., "Fingerprint: DA1D80BCF06499E616B8C51226A1C62D7ADAD751") whereas global CA fingerprints are grouped by colons (e.g., "Fingerprint: B5:61:EB:EA:A4:DE:E4:25:4B:69:1A:98:A5:57:47:C2:34:C7:D9:71").