Ausgangssituation:

Das SEPPmail Secure E-Mail Gateway ist so konfiguriert, dass S/MIME Signaturen eingehender E-Mail geprüft werden.

 

Frage:

Was sind die Gründe für das Einstufen einer Signatur als ungültig?

 

Antwort:

Beim Überprüfen einer S/MIME E-Mail Signatur werden folgende Gegebenheiten überprüft:

 

1.Stammt das Zertifikat, mit welchem die Signatur ausgeführt wurde von einer vertrauenswürdigen CA?
Um dies überprüfen zu können muss die Signatur Kette bekannt sein, das heißt
 

a.das Root CA Zertifikat der ausstellenden CA im Menü X.509 Root Certificates gelistet sein und den Trust state trusted aufweisen.

 

b.gegebenenfalls benötigte Zwischen- oder auch Intermediate-Zertifikate bekannt sein
Laut RFC müssen diese Zwischenzertifikate ebenfalls bei signieren beigefügt werden. Ist dies dennoch nicht der fall, so kann die Kette dennoch ergänzt werden, sofern die Zwischenzertifikate ebenfalls unter X.509 Root Certificates (eingerückt) gelistet sind.
 

2.Stimmt der Antragsteller des Zertifikates (E=), beziehungsweise ein Alternativer Antragsteller (RFC822-Name=) mit dem Absender der E-Mail (in der Regel aus dem From-Header, gegebenenfalls aber auch aus dem Sender-Header, siehe auch Verwendeter Schlüssel bei Microsoft Vertreterregelung) überein?

 

3.Wurde die E-Mail nach dem Signieren verändert?
Mögliche Gründe hierfür sind

 

a.mutwillig durch einen Dritten

 

b.durch das Anhängen zum Beispiel eines Disclaimers nach dem Signieren

 

c.durch ein ungewolltes Umkodieren an einem zwischengelagerten E-Mail Server

 

 

Siehe gegebenenfalls auch Mail Processing Ruleset generator Signing Incoming e-mails Add this text to message subject if S/MIME signature check succeeds Hinweis, beziehungsweise Signatur: Unterschiedliche Prüfergebnisse.