MailPlus MailPlus mit S/MIME Zertifikaten

[Typ_aus_Berlin]

Hallo Forum,
bin ganz neu in dieser "Branche", und baue gerade eine DS916+ auf. Zu den bisher zahlreich aufgetauchten Problemen gesellt sich gerade ein neues und für uns sehr wichtiges, da wir mit öffentlichen E-Mail Zertifikaten arbeiten müssen. Ich kann leider nichts entdecken wie man solche Zertifikate im MailPlus bzw. MailPlus Server einsetzen kann

Hab ich da was übersehen oder gibt es Lösungen von anderen Anbietern??

Falls nicht wäre das sehr schade, da wir nicht mehr mit dem Outlook Schrott arbeiten wollen.

Grüße an Alle
Typ aus Berlin

DS916+ 4 x 4TB

 

[Nanuk]

Bei S/Mime reden wir von Ende-zu-Ende-Verschlüsselung. Es geht also nur um die Client-Programme, nicht um die Server.

Als S/Mime-Clients, die mit Zertifikaten zurecht kommen, sind mir nur Thunderbird und Outlook (oder wie immer das gerade bei Microsoft heißt) bekannt. Auf Android soll Samsungs Standard-MailClient funktionieren. Erfahrung hab ich nur mit Thunderbird.

Gruß
Nanuk

 

[Frogman]

Auf Androiden kann bspw. auch K-9 Mail und Derivate mit S/MIME umgehen... Auf PC geht auch The Bat! und andere.

 

[Typ_aus_Berlin]

Hallo,

vielen Dank für Eure Infos. Ich werd mal sehen was die Clients bringen.

Hat jemand eine Ahnung oder Vorstellung, ob da in absehbarer Zeit noch was von Synology oder ThirdPart kommt um S/MIME zu nutzen. Leute der Datenklau geht um, da ist so ein Zertifikat immer wichtiger, wird hier seitens der Programmer die Realität vergessen. S/MIME ist kein Exot sondern immer wichtiger!

Viele Grüße an alle
TaB

 

[jahlives]

da es sich dabei um End2End-Verschlüsselung handelt kann Synology ja nicht wirklich viel machen. Sie stellen ja primär nur den Server und dem ist es herzlich egal ob s/mime, pgp oder Plaintext. Der schickt alles weiter. Höchstens bei der Mailstation (Webclient, Roundcube) können sie was machen. Dort ist aber s/mime erst auf der TODO Liste. Im letzten Release von Roundcube wurde jedoch der Support für (Open)PGP eingebaut, allerdings dürfte diese Version von RC noch nicht Teil der Mailstation sein

 

[Nanuk]

Bei Roundcube - das ja den Mail-Client auf der Synology darstellt - steht als "Planned feature": Support S/MIME encryption. Also irgendwann wird's was geben, das dann übernommen werden kann.

S/MIME ist kein Exot sondern immer wichtiger!

Das sehe ich auch so. Allerdings sehen die maßgeblichen Player das anders: Die Bundesregierung setzt auf de-Mail und hat die großen Mailprovider (United Internet [1&1, GMX, web.de] und Telekom) hinter sich. GMX und web.de bieten zudem eine Verschlüsselung mittels Mailvelope an.

Woran liegt das? Die Ende-zu-Ende-Verschlüsselung mit S/MIME erfordert ein aktives Mitwirken des Benutzers. Er muss sich ein Zertifikat besorgen und dies in einen Mailclient, der das auch unterstützt, richtig installieren. Das überfordert die Meisten.

Wer Interesse an einer Installationsanleitung für Thunderbird mit Nutzung eines globalen Zertifikats-Adressbuchs hat, kann mir eine PM schicken.

Gruß
Nanuk

 

[Fusion]

@Nanuk - wenn du so eine Anleitung schon fertig hast, dann poste sie doch einfach. Früher oder später findet sich immer jemand dem es nützt.

 

[Nanuk]

OK - hier ist sie.

 

[Frogman]

. S/MIME ist kein Exot sondern immer wichtiger!

Es war bisher ein "Exot" (jedenfalls außerhalb von Unternehmensauthentifikation) und daran wird sich vermutlich auch in Zukunft nichts ändern - denn die hierarchisch angelegte Vertrauenskette hat mehrfach gezeigt, dass sie systematisch anfällig ist. Stattdessen werden mit hoher Wahrscheinlichkeit DNS-basierte Vertrauensanker priorisiert - also bspw. DANE für die Verschlüsselung und Absicherung einer Signatur.

...und hat die großen Mailprovider (United Internet [1&1, GMX, web.de] und Telekom) hinter sich.

Eben das war nicht der Fall und ist es bis heute nicht. Die Provider haben zunächst ihre "email made by Germany"-Kampagne gefahren und haben nun - als sie gemerkt haben, dass das kein Erfolgsmodell wird - angefangen, über andere Lösungen zu arbeiten (PGP ist da ein wesentliches Stichwort). Die de-Mail-Zertifizierung von web.de (bzw. eigentlich die einer Tochter von Franktyp-Postalia, die sich web.de eingekauft hat) war lediglich eine PR-Aktion, um sich nicht abhängen zu lassen und am Markt zu partizipieren. Aufgrund der nicht bestehenden Ende-zu-Ende-Verschlüsselung bleibt das aber auf unbestimmte Zeit ein Rohrkrepierer.

 

[Fusion]

@Nanuk - besten Dank. Darf ich das in meinem Bekannten- und Verwandtenkreis weitergeben?

 

[Frogman]

OK - hier ist sie.

Nur am Rande: Ich hoffe, Du hast die Bildrechte an Mutti - ansonsten könnte es Ärger geben mit dem Copyright-Disclaimer...

 

[jahlives]

gute Infos, danke
Nur eine kleine Ergänzung bei der Verschlüsselung. Es wird nicht der Inhalt mit dem PubKey des Empfängers verschlüsselt, sondern die Verschlüsselung des Inhalts geschieht aus Performancegründen mittels symmetrischer Verschlüsselung. Erst der dabei verwendete Schlüssel wird dann mit dem Pubkey des Empfängers verschlüsselt ;-)

 

[Frogman]

...und das Ganze nennt sich dann 'Hybride Verschlüsselung'

 

[Typ_aus_Berlin]

unabhängig von Rohrkrepierern (hatten wir ja schon unzählige) sollten sich alle mal was überlegen, damit man Zertifikate (egal welche) einsetzen kann. Man sollte erstmal das einbauen was gerade funzt (S/MIME PGP) und schon haben wir ein Problem weniger. Besser erstmal das zu nutzen was halbwegs funzt, als den Kopf in den Sand stecken. Es werden sicherlich noch so einige Marketingideen kommen, bevor irgendwas mal wirklich TOP ist.

Also ran an das was wir haben.

 

[Frogman]

Naja, vorrangig geht es darum, die bestehende sichere Verschlüsselung so praktikabel umzusetzen, dass sie auch von wenig versierten Nutzern im normalen Workflow eingesetzt werden kann - sonst wird das eben kein Massenprodukt. Irgendwelche proprietäre Nischenlösungen, ob nun landesabhängig oder Provider-gebunden, sollte man tunlichst ignorieren.

 

[Frogman]

OK - hier ist sie.

Noch zwei Anmerkungen: in Kap. 8.2 heißt es

...Wie wir unter 2.3 und 4.3 bereits besprochen haben, gibt es verschiedene Klassen von Zertifikaten, die unterschiedliche Sicherheitsniveaus repräsentieren....

Das kann sehr missverständlich sein - das eigentliche Sicherheitsniveau der Klassen ist dabei identisch, man sollte hier besser von 'Vertrauensniveau' sprechen.

2.2 Entscheidend für den Benutzer ist aber, wer zu den exklusiven Anbietern gehört, die in den aktuellen Browsern und Mailprogrammen bereits als vertrauenswürdig anerkannt sind. Dies bestimmt das internationale Industriekonsortium „CA/Browser Forum“. Nur diese Herausgeber werden also bei der Prüfung einer Signatur oder Verschlüsselung auf Anhieb akzeptiert.

Das ist so leider nicht der Fall. Ein großes Problem der hierarchischen Vertrauensstruktur ist, dass es Quersignaturen gibt - viele Intermediates werden mehr oder weniger kontrolliert genutzt, um eine verzweigte Verankerung zu erzeugen, die nicht stringent sichtbar ist. Dadurch gibt es immer wieder den Fall, dass eine Software keine Warnung ausgibt, wenn über Quersignaturen sehr zwielichtige Zertifikate als valide durchgereicht werden, obwohl die Aussteller keine offizielle Root-CA darstellen.