Irgendwie passt das alles nicht so richtig zusammen.
Hat der User Zugriff auf seine Mail-DB, stimmt der öffentliche Schlüssel mit dem im Domino Directory überein. Lassen sich verschlüsselte Mails nicht öffnen, werden die Mails beim Versand mit einem anderen als dem im DD verschlüsselt. An der Stelle ist als erstes der Absender im Verdacht, den User als Kontakt im pers. Adressbuch mit einem "alten" Schlüssel zu haben.
Kann denn der User verschlüsselte Mails öffnen, die er sich selbst geschickt hat? Wenn ja, deutet das immer mehr in Richtung Absender.