Ausgangssituation:
Interne Mitarbeiter bekommen Benachrichtigungen über ablaufende Zertifikate per E-Mail. Dies zieht vermehrt Support Anfragen nach sich.
Im SEPPmail Secure E-Mail Gateway ist die MPKI aktiviert und eine automatische Zertifikatserneuerung x Tage vor Ablauf eines Zertifikates eingestellt. Somit sind für die internen Benutzer stets gültige Zertifikate verfügbar.
Ursache:
a)Drittsysteme von Kommunikationspartnern versenden Benachrichtigungen, sofern auf diesen Systemen ablaufende Zertifikate interner Mitarbeiter gespeichert sind. Dies obwohl diese Systeme nicht feststellen können, ob der Zertifikatsinhaber - also der interne Mitarbeiter - inzwischen ein neues Zertifikat ausgestellt bekommen hat.
Individuelle Abhilfe:
Zunächst ist ein allgemeingültiges Alleinstellungsmerkmal dieser Benachrichtigungs-E-Mails zu ermitteln. Anhand dieses Merkmals sollten E-Mails via Custom commands abgewiesen werden. Dieses Abweisen muss in den Custom commands for incoming emails BEFORE decryption erfolgen. Das heißt diese Option muss aktiviert werden. Der Code für das Abweisen lautet beispielsweise
Zeile |
Code |
|---|---|
01 |
# Begin: custom commands for incoming e-mails BEFORE decryption |
02 |
log(1,'Begin: Custom commands for incoming e-mails BEFORE decryption'); |
|
|
03 |
if (compare('subjectX-Totemo_TrustMail_Notification_Name','equal','Recipient certificate renewal')) { |
04 |
drop('500','Mail rejected, cannot process automatically'); |
05 |
} |
|
|
06 |
log(1,'End: Custom commands for incoming e-mails BEFORE decryption'); |
07 |
# End: custom commands for incoming e-mails BEFORE decryption |
Beschreibung
Bei Eingang einer externen E-Mail wird noch vor dem eventuellen Ausführen kryptographischer Aktionen geprüft, ob die E-Mail den X-Header 'subjectX-Totemo_TrustMail_Notification_Name mit dem Wert Recipient certificate renewal hat (Zeile 03). Über diese Kombination werden die E-Mails über ablaufende Zertifikate eines Herstellers identifiziert, welcher bekanntermaßen solche E-Mails versendet. in Zeile 04 werden diese unerwünschten E-Mails mit dem Code 500 und dem Kommentar Mail rejected, cannot process automatically abgewiesen..
Verwendete
Befehle
b)Die CA, welche via MPKI angebunden ist generiert diese E-Mails. Am Beispiel SwissSign lautet die E-mail in etwa wie folgt:
Betreff: SwissSign – Your Certificate xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Has Expired
Dear customer,
The following SwissSign certificate has expired:
/CN=Secure Mail: SEPPmail Certificate
/Email=max.mustermann@meinefirma.tld<mailto:Certificate
/Email=max.mustermann@meinefirma.tld<mailto:Certificate
/Email=max.mustermann@meinefirma.tld%3cmailto:Certificate
/Email=max.mustermann@meinefirma.tld>>
The request ID is
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
If you bought your certificate in our webshop please visit our SwissSign Webshop<https://www.swisssign.com/en> again and request a new SwissSign Certificate. If you are a Managed PKI user please request a new certificate via your Managed PKI IT administrator.
If you have already renewed your certificate, you can ignore this message.
This is an automatically generated email. Please do not reply to this email. If you have any questions as direct customer of our SwissSign web shop please feel free to use our contact form<https://www.swisssign.com/contact>. If you are a Managed PKI customer please contact directly the helpdesk of your organization.
Best regards,
Your SwissSign Team
Individuelle Abhilfe:
Da - wie in der Ausgangslage erwähnt - das automatische Erneuern der Zertifikate aktiv ist, sind diese Benachrichtigungen obsolet und können ignoriert werden. Um die Benachrichtigungen der CA abzustellen sollte Kontakt mit dem CA-Anbieter aufgenommen werden.
