Signierte Internetmails via http lesbar machen

[maxritti]

Hallo zusammen,


bei uns kommen öfter Emails aus dem Internet an, welche von den Benutzer signiert wurden.

Nun ist es so, dass im Notesclient der Hinweis auf die Signatur kommt und man dieser dann vertrauen kann.
Danach kann die Mail in Lotus Notes auch gelesen werden. Allerdings öffnet diese sich nicht wenn ich via Browser auf das Postfach zugreife.
Sofern ein Benutzer dies versucht sehe ich auf dem Mailserver, dass

29.03.2017 14:35:43   Application Exception - Access to this resource requires an SSL connection which cannot be established due to a configuration error [/mail/......]
29.03.2017 14:35:43    - Unknown OS error [/mail/...] ...

Suche ich nach der Meldung, kommt von IBM ein Artikel, welcher von einer SSL Eigenschaft auf der domcfg.nsf handelt.
Die Option ist bei uns aber nicht gesetzt.

Habe ich via Browser auch die Möglichkeit diese Emails lesbar zu machen?

[Tode]

Erstmal: Es ist eine äußerst dumme Idee, iNotes überhaupt über http und nicht https verfügbar zu machen....

Jeder kann Benutzernamen und Kennwort ganz locker im Stream mitlesen, und auch wenn das nur intern benutzt wird: Willst Du, dass theoretisch jeder im Netz die Möglichkeit hat, das Internetkennwort jedes anderen mitzulesen und ggf. daraus auf Windows- Kennwörter oder Notes- Kennwörter zurückzuschließen?

Soviel gesagt ist es meiner Meinung nach eine hardcodierte Meldung: Verschlüsselte Mails / Zugriff auf die ID in der Vault oder eben hochgeladen in iNotes geht NUR mit https...

Also: Erstelle zumindest ein self- signed Zertifikat und binde das ein, aktiviere dann https, und alles ist erledigt. Alles andere ist sträflicher Leichtsinn!

[maxritti]

Selbstverständlich haben wir eine SSL Kommunikation, hatte im Betreff dies nicht explizit erwähnt.
Mea culpa.

Wenn ich die beiden letzten Punkte von Dir lese, müsste es mit SSL dann alles von alleine gehen.
Allerdings liegt da halt irgendwo ein Problem, welches ich suche.

ID-Vault nutzen wir und die IDs von dort werden via Policy ins Mailfile hochgeladen.
Dennoch lassen sich die signierten Emails nicht via Browser öffnen.

[Pfefferminz-T]

Ich bin mir nicht sicher, ob wir hier vom gleichen sprechen... es geht um SMTP-Mails, die bei euch von extern reinkommen und die vom Absender signiert wurden. Also nicht verschlüsselt an den Empfänger?

[maxritti]

Hi Thorsten,

ganz genau.
Per SMTP empfangene signierte Mails.

Im Notesclient kommt der Cross Certify Dialog und alles ist gut danach.
Halt nur nicht, wenn die gleiche Mail via https geöffnet werden soll.

[Pfefferminz-T]

Im iNotes sollte da eigentlich das Notes-Kennwort abgefragt werden und die Mail sollte sich dann öffnen lassen. Trennt man die Session und öffnet dieselbe Mail, dann muss erneut das Notes-Kennwort eingegeben werden.

Aber die Meldung im Log deutet ja darauf hin, dass eine Einstellung bzgl. der SSL-Verbindung nicht korrekt ist... verwendet ihr redirect bzw. einen Load-Balancer? Und ist in der domcfg.nsf eingestellt, dass SSL required ist?

[maxritti]

Ich fürchte ich muss nun doch noch etwas weiter ausholen

Also das Thema HTTP/HTTPS sieht bei uns so aus, dass wir unsere Dominowebserver mit Hilfe eines Apache Reverse Proxy nach folgendem Artikel zugreifbar gemacht haben.

https://www.ibm.com/developerworks/lotus/documentation/apacherproxy4inotes/

Die Zugriffe zum Reverse Proxy erfolgen via HTTPS, die Kommunikation vom Reverse Proxy zu den einzelnen Dominos dann allerdings nur via http.
Der Reverse Proxy kontaktiert dann erst mal einen zentralen Dominoserver und versucht dort die iwaredir.nsf zu öffnen.

Soweit der IST Zustand.

Dann fürchte ich mal, müssen wir da auch überall SSL einrichten?
Und zu guter letzt noch die domcfg mit SSL versehen?

Oder doch mal jemanden suchen, der sich damit auskennt ;-)

[Tode]

iNotes Security- Features (also alles, was mit der ID / Vault zu tun hat) gehen nur über https, und das muss dann am Server selbst aktiviert sein.

Meine Bedenken gelten im Übrigen auch und besonders für diese Konstellation: Jeder, der sich an der richtigen Stelle ins Netz hängt, kann Mailverkehr und Passwörter jedes beliebigen Nutzers mitlesen.
Die meisten Angriffe kommen aus dem inneren und nicht von externen Hackern, deshalb macht diese Einschränkung im iNotes durchaus Sinn

[maxritti]

Danke Dir Torsten und Dir Thorsten 

Ich mache dann hier erst mal dicht und wir werden SSL implementieren.