Ausgangssituation:
Anforderung ist, auch interne (nicht nur ausgehende) E-Mails durch das SEPPmail Secure E-Mail Gateway mit einer zertifikatsbasierten S/MIME Signatur zu versehen.

 

Zweck einer internen E-Mail Signatur

In den meisten Fällen resultiert der Wunsch nach einer internen E-Mail Signatur dem Entgegenwirken von President-Fraud oder auch CEO-Fraud Attacken, also dem zuverlässigen Unterscheiden zwischen internen und externen Absendern von E-Mails.

 

Alternative zur internen E-Mail Signatur

Die einfache und genauso wirkungsvolle Alternative um zwischen internen und externen Absendern von E-Mails zu unterscheiden, ist das eindeutige Kennzeichnen von E-Mails externer Absender. In der Regel erfolgt dies durch das Setzen eines Schlüsselwortes wie zum Beispiel [EXTERN] am Anfang des Betreffs einer entsprechende E-Mail. Dies sollte möglichst bereits auf dem Mail Transport Agent (MTA) erfolgen, welcher den Übergang zum Internet bildet.
In Exchange Online beispielsweise kann das durch eine entsprechende Regel oder am SEPPmail Secure E-Mail Gateway durch einen entsprechende Custom Commands (siehe gegebenenfalls auch Markieren von E-Mails aus dem Internet) realisiert werden.

 

Voraussetzungen für eine interne E-Mail Signatur

Für das Signieren interner E-Mails durch das SEPPmail Secure E-Mail Gateway muss gewährleistet werden, dass auch der interne E-Mail Verkehr über das SEPPmail Secure E-Mail Gateway geroutet wird.

 

In on premises E-Mail Umgebungen

ist dies häufig nur schwer möglich, da der E-Mail Server interne E-Mails im Regelfall direkt zustellt. Nur E-Mails an externe Domänen werden direkt oder über einen Smarthost - wie eben das SEPPmail Secure E-Mail Gateway - weitergeleitet. Bietet der E-Mail Server die Möglichkeit, auch interne E-Mails an das SEPPmail Secure E-Mail Gateway weiterzuleiten, so muss auch gewährleistet sein, dass dieser E-Mails von internen Absendern über die Schnittstelle annimmt, über welche üblicherweise nur E-Mails externer Absender entgegengenommen werden (Spoofing Schutz).

Somit muss der Schutz vor Spoofing in jedem Fall bereits durch eine vorgelagerte Schutzkomponente (beispielsweise ein AntiSpam Gateway) gewährleistet sein. Ist dies nicht der Fall, so muss dieser Spoofing-Schutz auf dem SEPPmail Secure E-Mail Gateway selbst erfolgen (siehe gegebenenfalls Reject incoming mails with spoofed sender domain preventing processing of internal mails insbesondere die Warnung hierzu.

 

In online, beziehungsweise Cloud Umgebungen

wie „Microsoft 365 (M365)“ mit „Exchange Online (ExO)“ (siehe gegebenenfalls auch Anbinden von MS Office365 unter Beibehaltung von ATP /EOP, beziehungsweise insbesondere Interner E-Mail Fluss) wäre ein entsprechend komplexes Regelwerk erforderlich, welches aufgrund der zahlreichen Umgebungsparameter durch den M365 Kunden oder dessen Partner manuell erstellt werden müsste.

Das von SEPPmail bereit gestellte Modul für das geführte Erstellen des erforderlichen Regelwerks (siehe auch Exchange Online Konfiguration) wäre dann nur bedingt, beziehungsweise gar nicht einsetzbar.

 

Risiken einer internen E-Mail Signatur

•Die Verfügbarkeit des internen E-Mail Flusses hängt von wenigstens einer weiteren Komponente (SEPPmail Secure E-Mail Gateway) ab. Das heißt  eine eventuelle Nicht-Verfügbarkeit - zum Beispiel durch eine unterbrochene Netzwerkanbindung - verhindert somit auch den internen E-Mail Verkehr.
 

•Durch den generell komplexeren E-Mail Fluss wird dessen Nachvollziehbarkeit schwieriger. Bei einem Support-Fall sind somit mehr Optionen zu beachten, wodurch sich die Lösungsfindung in der Regel verlängert.
 

•Änderungen sowohl am SEPPmail Secure E-Mail Gateway, als auch allen anderen am E-Mail Routing beteiligten Komponenten des insgesamt fragilere Regelwerk beeinflussen. können das insgesamt fragilere Regelwerk negativ beeinflussen. So sind unerwünschte Nebeneffekte im Zusammenspiel mit anderen Regeln nicht auszuschlließen.
 

•Systemnachrichten wie zum Beispiel E-Mail Abweisungen (Bounces) sind in dieser Konstellation häufig nicht mehr einer eindeutigen Richtung (ein- oder ausgehend) zuzuweisen. Das kann dazu führen, dass diese E-Mails innerhalb des eigenen E-Mail Verbundes nicht mehr angenommen werden, wodurch insgesamt die Zuverlässigkeit des E-Mail Betriebs insgesamt abnimmt.
 

•Im E-Mail Fluss muss der Schutz vor Spoofing zu 100% gewährleistet sein, in der Regel bereits durch vorgelagerte Komponenten.

 

 

Soll bei mandantenfähigen Systemen dennoch die Signatur zwischen den Mandanten realisiert werden, so ist der Artikel Signieren von E-Mails zwischen Mandanten zu empfehlen.