email Verschlüsselung Firma XX an FIRMA ZZ und andersrum

    Guten Morgen zusammen,


    vor nicht all zu langer Zeit wurde ich mit dem Problem konfrontiert, dass wir mit einer bestimmten Firma eMails untereinander verschlüsseln/signieren sollen.

    FIRMA XX:
    2 x IBM Domino 8.5.1 (Cluster)
    1 x DMZ MailGateway IBM Domino 8.5.1


    FIRMA ZZ:
    Exchange Server (keine genaueren Angaben verfügbar)


    Mit S/MIME müsste das ja mittlerweile machbar sein. Die Firma ZZ verschlüsselt eMails an Firma XX mit dem Public Key von Firma XX. Diese eMail wird an Firma XX geschickt und der Server von Firma XX sollte die Mail dann entschlüsseln mit ihrem eigenen Private Key. (Das ganze natürlich auch andersrum)


    Firma XX möchte diesen Public/Private Key für den gesamten Server und nicht für einzelne Benutzer.


    In der Admin Help habe ich gelesen, dass man einen Internetzertifizierer in das Domino Adressbuch importieren kann, und diesen dann per Push (über Policy) an die Benutzer verteilen lassen.


    Der Internetzertifizierer sollte ein "ordentliches Zertifikat" sein, d.h. X.509 Standard und auf eine anerkannte Zulassungsstelle, z.B. Verisign usw..., zurückzuführen sein. Ich habe aber auch gelesen, dass man mit SUN's "keytool" eigene Zertifikate erstellen, importieren und natürlich diese dementsprechend nutzen kann. Die Verschlüsselung sollte erstmal nur mit FIRMA ZZ vollzogen werden.


    Frage: Kann man das erstmal ohne weiteres realisieren oder habe ich noch eventuell fehlerhafte Informationen?

    Also wenn es keine End-To-End-Verschlüsselung zwischen Absender und Empfänger sein soll, dann ist S/MIME definitiv nicht die richtige Wahl. In dem Fall sollte man wohl eher über eine dedizierte Verbindung der Mailserver z.B. über eine VPN-Strecke nachdenken.

    Hallo Grunz,


    damit ich Dich richtig verstehe, das würde bedeuten, das letztenendes jeder User, der verschlüsselte Mails an Firma ZZ schicken will, quasi sich das Internetzertifikat auf den Client import bzw. per Policy zugewiesen bekommt - diese wird ja dann auch in der ID des Users abgelegt.


    Ich meine wenn das so ein Weg wäre - hab ich prinzipiell nichts dagegen.

    Nein, das hast du leider komplett falsch verstanden.
    Du solltest Dich schon von diesem Punkt Deiner Anforderung verabschieden: "Firma XX möchte diesen Public/Private Key für den gesamten Server und nicht für einzelne Benutzer.
    "
    Wenn Du mit der (VPN-)Verschlüsselung auf Netzwerkebene arbeitest (Server-zu-Server bzw. Exchange-zu-Domino), kann das Deinen Benutzern total egal sein, denn die bekommen davon überhaupt nix mit und müssen auch gar nichts weiter dazu tun. Wenn Du eine End-to-End-Verschlüsselung (Benutzer-zu-Benutzer bzw. Outlook-zu-Lotus-Notes) haben willst, kommst Du um eine anständige S/MIME Implementierung incl. CA usw. nicht herum. D.h. jeder Benutzer der einem anderen Benutzer etwas verschlüsseltes schicken will, benötigt zunächst den Public-Key des jeweiligen Gegenübers.
    Wenn Du auf S/MIME und einem allgemeinen, nicht personalisierten Key bestehst, könnte man es bestimmt irgendwie hinfrickeln, dass alle Benutzer auf einer Seite den gleichen S/MIME-Key in Ihre Notes-ID aufnehmen. Problem wird nur sein, dass im Subject des zugehörigen Zertifikats auch die Absenderadresse drin steckt und die wird wohl kaum bei allen Benutzern identisch sein. D.h. Du kannst damit maximal den Punkt "Verschlüsselung", aber nicht den Punkt "Signatur" erledigen. So eine am Sinn der Sache vorbeigehende Bastelei kann man aber niemandem ernsthaft empfehlen.....

    Danke für die Info. Das mit dem VPN ist klar, ham ja paar Leitungen zu eigenen Servern und mit Firma ZZ wollen wir das nicht. Das ich mich von einer Serverweiten Public/Key Geschichte verabschieden muss, ist mir nach durchlesen der Links klar geworden, ist ohne Drittanbieter wohl nicht machbar.


    Aber S/MIME würde ich lassen dann bekommen eben die Benutzer die mit Firma ZZ schreiben müssen auch ihren eigenen Schlüssel, dieser wiederrum beinhaltet ja die richtige eMail Adresse.


    Für neugierige habe ich das gefunden:


    http://www.ibm.com/developerwo…brary/ls-SMIME/index.html


    und wenn man eine ne eigene CA machen will hier noch:
    http://www.ibm.com/developerwo…tion_Authority/index.html


    jedoch hänge ich beim letzten Link "Creating a server certificate request for the CA server" bei Punkt 12 - denn dort finde ich in der Certificate Authority Datenbank nicht diesen Punkt "Submit Server Certificate Request"

    Guten Morgen,


    wir verwenden für solche Anforderungen ein vorgeschaltetes Mailgateway. Da gibts mehrere gute Lösungen. Bspw. ICC Julia MailOffice oder Zertificon Z1.
    Sprich dein Dominoserver schickt die E-Mails an das Gateway, dieses schaut in seinem Regelsatz nach wie verschlüsselt werden soll (S/MIME oder PGP und mit welchen Zertifikat/Schlüssel) und schickt die Mail dann an den Empfänger weiter. Umgekehrt kommen alle eingehenden Mails beim Gateway an, das die Mails entschlüsselt und dann an Domino weiter reicht. Das funktioniert soweit ganz gut, sowohl mit einzelnen Zertifikaten als auch mit Team-Zertifikaten.
    Vorteil: Du kannst alles zentral administrieren und brauchst bei den Clients nichts zu machen. CLR-Prüfung wird auch vom Gateway erledigt und du kannst auch ein selbstausgestelles Zertifikat zentral als vertrauenswürdig einstufen.
    Der Nachteil dabei ist halt, dass du dafür einen eigenen Server brauchst. Die Kosten dürften sich im unteren 4stelligen Bereich belaufen.

    Hallo Armix,


    erstmal vielen Dank für Deine Information, das klingt auch sehr vielversprechend soweit. Wir haben neben unserem Domino Cluster noch einen Domino in der DMZ. Dieser nimmt alle Mails von extern entgegen, muss dann zusätzlich so ein Mail-Gateway ins DMZ oder kann man das dann direkt auf dem Domino in der DMZ zum laufen bringen - schliesslich nimmt der ja die Mails entgegen?


    [CLUSTER] -> [DOMINODMZ] -> internet


    [CLUSTER] -> [DOMINODMZ] -> [MAILGATEWAY] -> internet


    [CLUSTER] -> [DOMINODMZ & MAILGATEWAY] -> internet


    Vielen Dank schonmal vorab


    ps: hab mich mal bei Julia schlau gemacht die beschreiben, dass ja recht anschaulich.


    dann gibts eben nen PublicDMZ und da steckt dann der Mail Gateway

    Also wir haben hier eine Julia im Einsatz. Julia selbst ist linux-basierend - dass Julia direkt auf deinem DOMINODMZ läuft dürfte out-of-the-box nicht funktionieren. Wenn dein DOMINODMZ ein Linux-Domino ist könnte es möglich sein, dass du Julia über eine Konfigurationsdatei beibringen kannst, dass sie mit Domino anstatt Postfix arbeitet. Ob das aber geht ... da müsstest du wohl beim Hersteller nachfragen.


    Wir machen das so:
    Internet -> Mailcontrol-Cluster -> Firewall -> Julia -> Domino-Intern


    Wenn ihr im Haus einen Spam- & Virenfilter habt sollte das Julia-Gateway logischer Weise außerhalb des Filters stehen, damit die Nachrichten zuerst entschlüsselt werden. Anderenfalls dürfte sich der Filter schwer tun, den Inhalt zu scannen :)


    Für eine Lösung, die direkt auf dem Domino aufbaut, kannst du dir 'mal die iQ.Suite von Group Technologies ansehen.
    http://www.group-technologies.…encryption.php?thisID=520


    LG,
    Armin

    Hallo Armin,


    ok danke nochmals. Habe seid gestern endlich das s/mime und eine eigene trusted CA erfolgreich erstellt, aber wie Du schon beschrieben hattest einfach ne intensive Arbeit :( für 10-20 User ok aber für mehr einfach unüberschaubar.


    Das Julia System wie gesagt ist interessant aber es läuft wohl alles auf eine VPN Geschichte hin. Aber wenigstens erfolgreich eine trusted CA und einen Schlüssel für eine Person erstellt im Domino.


    Danke nochmals für Eure Tipps & Tricks.