Domino 9 und frühere Versionen > ND6: Administration & Userprobleme
Internet Zertifikat, SMIME Handling
datenbanken24:
Oder einfacher gefragt:
Ist es möglich aus einem webgetriggerten Agenten / periodischen Agenten
eine verschlüsselte Internetmail zu versenden ?
Es geht um nur Verschlüsselung, nicht um Signierung.
MartinG:
Bin gerade im Urlaub, wir testen derzeit aber das Crypt Modul von Group für SMTP. Dieses gibt es auch für den Dominoserver (kostet dort allerdings dann das dreifache an Lizenzgebühren).
Sobald mein Urlaub vorbei ist teste ich weiter, ich gehe aber im Moment davon aus das wir dieses dann kaufen werden. Ist zwar auch nicht die absolut perfekte Lösung, alle anderen zentralen Cryptlösungen sind aber m.E. einfach ziemlich überteuert...
CarstenH:
--- Zitat von: immanuel am 18.02.05 - 13:33:10 ---...
Habt ihr schon Erfahrungen mit der CA in Domino 6 gemacht und schon Internet Zertifikate erstellt? Können über die CA nicht konfortabel SMIME Zertifikate erstellt werden?...
--- Ende Zitat ---
Komfort ist genau das richtige Wort dafür - wer jemals mit R4 oder R5 Clientzertifikate erstellt (und verteilt) hat wird den CA-Prozeß dafür lieben. Angefangen vom automatischen Erstellen bis hin zur vollautomatischen Aufnahme in die UserID beim End-Nutzer läuft alles problemlos. Keine kryptischen URLs und CA-Datenbanken die beim Client früher mit dem Notes-Browser zu öffnen waren - alles Vergangenheit. Kann ich nur empfehlen mal auszuprobieren.
Etwas problematischer als die technische Seite ist die organisatorische - bisher hab ich noch keinen Kunden erlebt der tatsächlich beim Endnutzer MIME-Verschlüsselung haben wollte, angefangen von der Virenproblematik (kein Scannen möglich am Server) bis hin zur Vertreterregelung (und schwups schon darf die Sekretärin doch wieder mit der Kopie der Chef-ID arbeiten - ansonsten sieht sie einige Mails und Anhänge nur noch leer) gibts da einige Fallen. Auch die von Peter S. angesprochene zentrale Schlüsselverwaltung ist nicht ganz ohne, aber sicher lösbar. Fazit: mit etwas organisatorischem know-how eine Super Sache.
Ich persönlich würde aus vorgenannten Gründen allerdings die serverseitige Verschlüsselung mit einem Enterprise Crypt Modul vorziehen - damit erledigen sich so ziemlich alle Probleme, begonnen von der Schlüsselverwaltung (am besten nur mit Unternehmensschlüsseln - die sind nutzerunabhängig) bis hin zur Möglichkeit des Servers alle Mails scannen und separat regelbasiert intern verschlüsseln zu können (Stichwort Vertreterregelung).
Möchte man dagegen nur Daten mit bestimmten Partnern verschlüsselt übers Netz übertragen (alle Mails zwischen mir und Geschäftspartner X verschlüsselt übertragen) aber auf die verschlüsselte Speicherung oder Verteilung der Public Keys verzichten so bietet sich hier eine ganz andere Möglichkeit an: simpel ein VPN zwischen den Servern implementieren und schon kann keiner mehr meine "Postkarten" mitlesen. Bei sehr vielen Partnern dann allerdings etwas zu viel Aufwand.
--- Zitat von: datenbanken24 am 27.05.05 - 12:56:06 ---...Wir haben auch die dringende Anforderung, an spezielle Endkunden verschlüsselte Internet-Mails zu versenden.
Das Problem ist, daß diese Mails serverseitig im Backend generiert und versendet werden.
Da versagen die Domino Boardmittel ja kläglich.
--- Ende Zitat ---
Das ist so nicht ganz richtig. Die Boardmittel arbeiten sogar genau richtig - allerdings muß man etwas genauer hinter die Kulissen schauen WARUM bestimmte Wege nicht funktionieren und genau da ansetzen.
Was passiert wenn ein Agent eine Mail (verschlüsselt oder nicht) ins Internet sendet?
1. Agent erzeugt Mail ohne Rücksicht auf Empfängerbesonderheiten - alle relevanten Felder der Mail sind Text bzw. RichText.
2. Router muß Mail für alle MIME-Empfänger konvertieren - er erzeugt also aus allen Feldern MIME.
3. MIME Mail geht ins Internet.
Schritt 2 ist das Problem - wenn die Mail in Schritt 1 verschlüsselt worden wäre dann müßte der Router über den Gegenschlüssel verfügen um den Inhalt der Mail umkodieren zu können. Da er den nicht hat = Big Problem.
Was macht ein Notes-Client anders damits aber anscheinend doch funktioniert? Er erzeugt simpel gleich alles im MIME - damit fällt Schritt 2 weg und die Mail geht korrekt (auf Wunsch verschlüsselt) raus.
Ergo - laß deinen Agenten einfach MIME erzeugen und (!) pack den Empfänger samt öffentlichen Schlüssel in ein Adreßbuch auf das der Agent beim Senden zurückgreifen kann (also per DA am sinnvollsten) und vergiß nicht doc.EncryptOnSend = True - es funktioniert tatsächlich auch für Internetempfänger (ich habs im produktiven Einsatz).
datenbanken24:
Hallo Carsten,
danke für Deinen Beitrag - das macht ja wieder etwas Hoffnung,
obwohl ich es noch nicht ganz verstehe...
Habe in den letzten Tagen alles durchgeforstet, was es an Dokus und Foren gibt.
Dort haben alle das gleiche Problem, aber ohne Lösung.
Die Property "EncryptOnSend" hat laut allen Aussagen und auch meinen Tests die Probleme:
1.) greift immer nur auf den NOTES Public Key zu, nicht auf den Internetkey
2.) verschlüsselt auch Internet-Mails mit dem NOTES Public Key,
der dann beim Internet-Empfänger nicht geöffnet werden kann
3.) funktioniert praktisch generell nur, wenn vom NotesClient gestartet
nicht serverseitig
Aus der Designer-Hilfe werde ich auch nicht ganz schlau:
Bei der Property "EncryptOnSend" steht nicht explizit, dass es in Webagenten nicht geht.
Bei der Cross-Referenz "@MailEncryptSentPreference" hingegen steht es explizit:
"You cannot use this function in Web applications."
Obwohl schier aussichtslos, machst Du mir wieder Hoffnung mit Deinen Sätzen
- "laß deinen Agenten einfach MIME erzeugen"
- "ich habs im produktiven Einsatz"
Jetzt muß ich erst mal nachsehen, wie ein Agent MIME erzeugen kann.
Würde das dann auch mit Dateianhängen gehen, die in $File und nicht in Richtext-Felder sind?
Vielleicht gibst Du mir noch ein paar Tipps.
Den Empfänger und den Schlüssel habe ich im Directory.
Hoffnungsvoller Gruß,
Uwe
MartinG:
Ich hab Dominoseitig auch schon einiges rumprobiert und prinzipiell funktioniert das schon alles, allerdings scheitert es zumeist an der organistorischen Seite und hier sehe ich "Spezialisten" wie JuliaMailOffice, das CryptModul von Group, Utimaco Secure E-Mail Gateway absolut vorne...
Mein persönliches Fazit ist: prinzipiell funktioniert es schon, in der Praxis ist aber kaum einsetzbar. Ich würde wenn irgendwie möglich auch auf Serverseitige Verschlüsselung mit einem Key setzen und das ganze in der DMZ terminieren, so das danach noch der Virenscanner und ContentFilter greifen kann...
Navigation
[0] Themen-Index
[*] Vorherige Sete
Zur normalen Ansicht wechseln