Ausgangssituation:

Mails zwischen zwei SEPPmail Managed Domains können auf der Empfängerseite nicht gelesen werden. Die Mails tragen «*** SEPPmail Domain Encrypted Message **» im Betreff und Microsoft Outlook meldet:

 

Your digital ID name cannot be found by the underlying security system.

(Der Name der digitalen ID kann im zugrunde liegenden Sicherheitssystem nicht gefunden werden.)

 

Die Mail ist für den Empfänger nicht lesbar.

 

Mögliche Ursachen:

a)Die Mail wurde eingehend nicht über das SEPPmail Secure E-Mail Gateway geroutet.

b)Die Regeln bei einer ExO Anbindung sind nicht vorhanden, fehlerhaft oder veraltet oder wurden so angepasst, dass bestimmte Mails nicht mehr zum SEPPmail Secure E-Mail Gateway geroutet werden.

c)Der private Schlüssel des zugehörigen Domainzertifikates befindet sich nicht (mehr) auf dem SEPPmail Secure E-Mail Gateway, das die Mail eingehend verarbeitet. Das kann nach dem Einspielen eines (älteren) Backup der Fall sein oder nach einer Migration, wenn der Key nicht mit übertragen wurde, oder der private Schlüssel ist einer anderen Domain zugehörig. Dies geschieht vor allem, wenn alte Mail-Domains abgelöst werden sollen, aber für eine gewisse Zeit noch Mails empfangen werden sollen. Innerhalb des Mailservers werden dann die Empfängeradressen der alten Domains umgeschrieben auf die neue Adresse, und zwar noch vor dem Durchlauf durch das SEPPmail Secure E-Mail Gateway. Dadurch passt das Zertifikat nicht mehr zur Domain und die Entschlüsselung scheitert.

 

Indizien:

zu a) Die Mail ist nicht im Log des SEPPmail Secure E-Mail Gateway bzw. nicht in der Nachrichtensuche der Cloud zu finden.

zu b) Das Message Trace in ExO ergibt, dass eine Regel trifft, die die Mail nicht an SEPPmail Secure E-Mail Gateway weiterleitet.

zu c) Das Log der Mail ist vorhanden, aber die Mail konnte nicht entschlüsselt werden (Log: «S/MIME encrypted, but could not decrypt with domain certificate»). Das Umschrieben der Adressen erkennt man an den Adressen im Envelop und im From Header. Diese sind in einem solchen Fall verschieden (meine-domain-alt.com --> meine-domain-neu.com)

INFO 14:29:00 Mail from: abcd@google.com to: some.name@meine-domain-alt.com

INFO 14:29:00 Message To is some.name@meine-domain-neu.com

 

Lösung:

a)Routing überprüfen und anpassen, so dass alle Mails eingehend über das SEPPmail Secure E-Mail Gateway laufen. Sollte das SEPPmail Secure E-Mail Gateway regulär nicht mehr im Mailstrom vorhanden sein, so muss die Domain bei uns abgemeldet werden (siehe auch Hinweis).

b)Setup der Regeln und deren Ausnahmen prüfen, Ursachen beseitigen (z.B. fehlerhafter SPF, erkennbar im Header einer Mail als spf=fail)

c)Wenn der private Schlüssel der Domain noch vorhanden ist, wird dieser bei der Domain importiert. Gleiches kann im Fall einer Umschreibung geschehen. Der Domain Key der alten Domain kann innerhalb der neuen Domain importiert werden.
Handelt es sich um eine gewollte Umschreibung der Domains, dann wird empfohlen, die alte Domain komplett abzuschalten und die noch eingehenden Mails mit Verweis auf die neue Domain abzuweisen.
Handelt es sich um eine Alias-Domain, hilft eventuell dieses Vorgehen.