Abfrage von mit S/MIME verschlüsselter Mails mit POP3

[Ben M]

Hallo zusammen,

die Forumssuche hat für mein spezielles Problem leider kein Ergebnis gebracht, vielleicht kann mir jemand weiterhelfen.

Folgendes Konstrukt:

Wir bekommen Mails, die mit S/MIME verschlüsselt sind in ein Notes-Postfach geschickt.
Wenn ich die Mail mit einem Notes-Client (LN 8.5.3FP6) öffne, kann ich die Mail lesen (nach dem ich das Absender-Zertifikat aktzeptiere).

Die Mails aus dem Postfach werden von einem speziellen E-Mail-Bearbeitungsprogramm per POP3 abgeholt.
Der Domino ist entsprechend konfiguriert und das Notes-Postfach hat auch die dafür benötigte Schablone.

Leider zeigt die Software die Mails verschlüsselt an, d. h. ich sehe Absender, Betreff und Eingangsdatum. Im Body der Mail steht aber nichts außer einem smime.p7m Anhang, den ich nicht öffnen kann.

Ich gehe jetzt davon aus, dass der Notes-Client bei der Anzeige der Mail um das Entschlüsseln kümmert und das E-Mail-Bearbeitungsprogramm das allerdings nicht kann.

Gibt es eine Möglichkeit die E-Mail ggf. mittels eines Lotus-Script-Agenten beim Maileingang zu entschlüsseln, so dass, wenn die Mail per POP3 abgeholt wird, die Entschlüsselung entfällt?

Im Voraus besten Dank!

Gruß, Ben

[Pfefferminz-T]

Das Entschlüsseln wird mit dem Zertifkat durchgeführt, welches sich in der ID-Datei des Users befindet. Deshalb kann die Mail mit dem Notes Client geöffnet werden, über POP3 bleibt die verschlüsselt. Da nur der User in seiner ID-Datei den privaten Schlüssel hat und dieser bei Eingang einer Mail nicht dem Server vorliegt, gibt es m.E. nach keine Möglichkeit für einen Agent. Wäre ja auch nicht im Sinne des Erfinders, wenn die Verschlüsselung so einfach ausgehebelt werden könnte.

[Keydins]

Das funktioniert meiner Meinung nach nur sauber, wenn die Schlüsselverwaltung durch ein entsprechendes Tool auf dem Domino Server erfolgt.

Wir verproben bei uns gerade eine Lösung (iQ.Suite Crypt), mit der wir auch den gesetzlichen Anforderungen hinsichtlich Archivierung entsprechen können. Durch die Abwicklung auf dem Notesserver liegt die Mail am Ende im jeweiligen Benutzerpostkorb unverschlüsselt vor und wird auch so ins zentrale Archivsystem übertragen.

In die andere Richtung funktioniert es genau so, die Mail wird erst beim Verlassen des Servers verschlüsselt.

Weiterer Vorteil dieser Lösung: Im Vertretungsfall (Urlaub / Krankheit) hat der Vertreter nicht das Problem, dass ihm der Zugriff auf die bisherige E-Mail Kommunikation mit dem Kunden fehlt bzw. er neue Mails des Kunden an den abwesenden Mitarbeiter nicht bearbeiten kann.


Gruß
Dirk

[Pfefferminz-T]

Klar, wenn ich ein Verschlüsselungs-Gateway einsetze, dann sind die Mails ja unverschlüsselt in der Maildatenbank und somit können die dann auch über POP3/IMAP problemlos abgerufen werden.

Es fehlt dann halt die Ende-zu-Ende-Verschlüsselung aber meiner Meinung nach für Unternehmen der einzige gangbare Weg um die Verwaltung von Zertifikaten in den Griff zu bekommen.

[Ben M]

Hallo zusammen,

ich habe jetzt noch einmal genauer geprüft. Die Mails liegen bereits unverschlüsselt in der Notes-Maildatenbank vor. Allerdings werden sie offenbar anders gespeichert als "echte" Notes-Mails, da im Feld Body z. B. nur der Anhang "smime.p7m" enthalten ist.

Leider bleibt das auch beim Abfragen der Mails mit POP3 so, d. h. der Client muss sich darum kümmern, dass er den Inhalt der Mail korrekt darstellt. Da die Lösung, die wir zum Abrufen und Bearbeiten der Mails benutzen kein SMIME kann, habe ich wohl leider Pech gehabt.

Das ist alles großer Mist. Somit ist wahrscheinlich auch der Einsatz einer zentralen Lösung für S/MIME nicht zielführen, da ich eigentlich gar nichts mehr entschlüsseln muss.

Oder hat noch jemand eine Idee?

Gruß, Ben

[Pfefferminz-T]

Wenn Du nur ein Attachment smime.p7m siehst und keinen Text, etc. dann ist die Mail noch mit SMIME verschlüsselt... (und nicht unverschlüsselt).

[Ben M]

Ganz so ist es nicht.

Im Notes-Client sehe ich Text und einen Anhang namens "smime.p7m".
Wenn man die Mail mit einem POP3-Client abholt, sieht man den Text nicht mehr sondern nur noch den Anhang.

Ich versuche das ganze jetzt mal mit IMAP.

[Keydins]

Hast du das im Client mal mit einem User getestet, der nicht über den notwendigen Schlüssel für die Mail verfügt?

Solange im Client ein Benutzer angemeldet ist, der in seinem Adressbuch einen gültigen Schlüssel für die Mail hat, wird diese automatisch durch den Client entschlüsselt.

Gruß Dirk

[Pfefferminz-T]

Oben hast Du geschrieben: "da im Feld Body z. B. nur der Anhang "smime.p7m" enthalten ist."

Da streikt dann natürlich meine Glaskugel und sagt mir nicht, dass der Text normal zu lesen ist, es aber nur einen Anhang mit dieser Dateiendung gibt.

Der Schlüssel im Adressbuch bringt leider nix, der User muss im Notes Client den privaten Schlüssel in seinem ID-File haben... dann sieht er den Text. Im Adressbuch befinden sich nur die öffentlichen Schlüssel anderer User.

[Keydins]

Ich sollte nach 18:00 Uhr nix mehr posten... wer weiß was da noch rauskommt, wenn ich schon öffentliche und private Schlüssel durcheinander bringe. 

[Ben M]

Ich habe die Abholung der Mail in das Mailbearbeitungssystem jetzt mal auf IMAP umgestellt und schaue, ob sich etwas ändert.

[koehlerbv]

Was sollte sich da ändern?

Bernhard

[Ben M]

Ok, es ändert sich durch die Abholung über IMAP nichts.

Noch mal zum technischen Hintergrund:

die eingehenden S-MIME-Mails nicht nicht verschlüsselt sondern nur signiert. Sie erhalten auch ein Body-Element, in dem der Mailinhalt als "Content-Type: text/plain;" verfügbar ist.

Offenbar geht dieser Teil aber bei der Abholung vom Domino verloren. So dass der "Mailclient" nur den S-MIME-Teil anzeigen kann.

Ich weiß jetzt auch nicht weiter. Ich vermute, dass dies eine Eigenart des POP3- bzw. IMAP-Tasks des Domino ist.