This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

S/MIME certificates are not extracted

In Astaro 8.311, I have configured (under Mail security - Encryption - Options) automatic extraction of S/MIME certificates.
However, it never happens that S/MIME certificates get extracted and listed under Mail security - Encryption - S/MIME certificates. The list remains empty.
I have received several signed mails from external, where the user certificate (A) was signed by an intermediate certificate (B) and the intermediate certificate (B) was signed by a standard VeriSIgn certificate (C).
I have verified that C occurs among Mail security - Encryption - S/MIME CAs
I have also added B manually to that list and received signed mails after that. 
Still no success.
The way I understand this feature, an incoming mail signed with certificate A should cause A to appear under Mail security - Encryption - S/MIME certificates after a few minutes ...

What's wrong here? [:S]


This thread was automatically locked due to age.
Parents
  • Signed and encrypted mails are different. And for decrypting encrypted messages you need to use your own private key.

    Managing several Sophos firewalls both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

  • Signed and encrypted mails are different. And for decrypting encrypted messages you need to use your own private key.

    I am aware of the difference. My problem is not about decrypting mails and no private keys are involved at my side for receiving a signed mail or for sending an encrypted mail. 
    My problem is rather about incoming mails from external email addresses where the mail contains an S/MIME signature as attachment. In principle, this signature/certificate could be used afterwards for encryption of outgoing mails to that email address. Technically it should be possible for the Astaro to extract the S/MIME attachment from the mail, optionally verify the certificate validity against a given set of accepted certificate authorities, save it and henceforth automatically encrypt all outgoing mails to that address. And the way I understand the descrition of the automatic certificate extractions feature, this is precisely what should be happening (except that the optional verification is in fact mandatory, which is a good idea from the viewpoint of security).

    But it does not happen.

    For the record, here is the German description of the feature as found in the WebAdmin right next to the checkbox:
    Wenn diese Option aktiviert ist, liest das E-Mail-Verschlüsselungssystem automatisch S/MIME-Zertifikate aus eingehendem E-Mail-Verkehr aus, vorausgesetzt die Zertifikate wurden von einer gültigen S/MIME-Zulassungsstelle signiert.

    and the corresponding section from the help page
    Wenn diese Option gewählt ist, werden die an eingehende E-Mails angehängten S/MIME-Zertifikate automatisch extrahiert. Voraussetzung hierfür ist, dass dieses Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert wurde, das heißt, von einer CA, die auf dem Gerät vorhanden ist und deshalb unter Mail Security > Verschlüsselung > S/MIME-CAs angezeigt wird. Zudem muss die Zeit- und Datumsanzeige von Astaro Security Gateway innerhalb der Gültigkeitsdauer des Zertifikats liegen, da die automatische Extraktion der Zertifikate sonst nicht funktioniert. Erfolgreich extrahierte Zertifikate werden auf der Registerkarte Mail Security > Verschlüsselung > S/MIME-Zertifikate angezeigt. Beachten Sie, dass dieser Prozess ca. fünf bis zehn Minuten dauern kann. Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.

    and how I translate this to English
    When this option is enabled, the email encryption system automatically reads S/MIME certificates from incoming mail traffic, provided the certificates were signed by a valid S/MIME certificate authority.

    When this option is selected, S/MIME certificates attached to incoming mails are automatically extracted. Necessary condition for this is that this certificate was signed by a trustworthy certificate authority (CA), that is by a CA that is present on the device and therefore is displayed under Mail Security > Encryption > S/MIME CAs. Additionally, the time and date display of Astaro Security Gateway must lie within the validity interval of the certificate because otherwise the automatic extraction of certificates does not work. Successfully extracted certificates are displyaed on the Mail Security > Encryption > S/MIME certificates tab. Note that this process may take about five to ten minutes. Click apply to save your settings.

    Maybe I am simply misinterpreting these statements?
Reply
  • Signed and encrypted mails are different. And for decrypting encrypted messages you need to use your own private key.

    I am aware of the difference. My problem is not about decrypting mails and no private keys are involved at my side for receiving a signed mail or for sending an encrypted mail. 
    My problem is rather about incoming mails from external email addresses where the mail contains an S/MIME signature as attachment. In principle, this signature/certificate could be used afterwards for encryption of outgoing mails to that email address. Technically it should be possible for the Astaro to extract the S/MIME attachment from the mail, optionally verify the certificate validity against a given set of accepted certificate authorities, save it and henceforth automatically encrypt all outgoing mails to that address. And the way I understand the descrition of the automatic certificate extractions feature, this is precisely what should be happening (except that the optional verification is in fact mandatory, which is a good idea from the viewpoint of security).

    But it does not happen.

    For the record, here is the German description of the feature as found in the WebAdmin right next to the checkbox:
    Wenn diese Option aktiviert ist, liest das E-Mail-Verschlüsselungssystem automatisch S/MIME-Zertifikate aus eingehendem E-Mail-Verkehr aus, vorausgesetzt die Zertifikate wurden von einer gültigen S/MIME-Zulassungsstelle signiert.

    and the corresponding section from the help page
    Wenn diese Option gewählt ist, werden die an eingehende E-Mails angehängten S/MIME-Zertifikate automatisch extrahiert. Voraussetzung hierfür ist, dass dieses Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert wurde, das heißt, von einer CA, die auf dem Gerät vorhanden ist und deshalb unter Mail Security > Verschlüsselung > S/MIME-CAs angezeigt wird. Zudem muss die Zeit- und Datumsanzeige von Astaro Security Gateway innerhalb der Gültigkeitsdauer des Zertifikats liegen, da die automatische Extraktion der Zertifikate sonst nicht funktioniert. Erfolgreich extrahierte Zertifikate werden auf der Registerkarte Mail Security > Verschlüsselung > S/MIME-Zertifikate angezeigt. Beachten Sie, dass dieser Prozess ca. fünf bis zehn Minuten dauern kann. Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.

    and how I translate this to English
    When this option is enabled, the email encryption system automatically reads S/MIME certificates from incoming mail traffic, provided the certificates were signed by a valid S/MIME certificate authority.

    When this option is selected, S/MIME certificates attached to incoming mails are automatically extracted. Necessary condition for this is that this certificate was signed by a trustworthy certificate authority (CA), that is by a CA that is present on the device and therefore is displayed under Mail Security > Encryption > S/MIME CAs. Additionally, the time and date display of Astaro Security Gateway must lie within the validity interval of the certificate because otherwise the automatic extraction of certificates does not work. Successfully extracted certificates are displyaed on the Mail Security > Encryption > S/MIME certificates tab. Note that this process may take about five to ten minutes. Click apply to save your settings.

    Maybe I am simply misinterpreting these statements?
Children
No Data