|
  
|
|
|
Ausgangssituation:
Alle ausgehenden E-Mails sollen generell S/MIME signiert werden. Jedoch soll aus Kostengründen hierfür nur ein Zertifikat – domänenübergreifend – verwendet werden.
Hintergrundinfo:
Zwar erscheint die Domänensignatur, also das Signieren aller ausgehender E-Mails mit nur einem S/MIME (Domänen-)Schlüssel, zunächst als günstige Alternative zum Signieren mit jeweils personalisierten S/MIME Schlüsseln. Tatsächlich wird dieses Verfahren jedoch über Kurz oder Lang zu Problemen beziehungsweise enormen Verwaltungsaufwänden führen.
Zur Funktionsweise:
Damit der Antragsteller eines Domänenzertifikats mit dem Absender der E-Mail übereinstimmt, und somit die Signaturprüfung beim Empfänger erfolgreich durchgeführt werden kann, muss der Absender der E-Mail bei jeder ausgehenden E-Mail manipuliert werden, so dass er mit dem Antragsteller des Domänenzertifikats übereinstimmt. Somit wird bei jeder E-Mail die eigentliche Absenderadresse (zum Beispiel max.mustermann@meinefirma.tld) in den „reply to“ Header geschrieben und Inhalt des „from“ Header (max.mustermann@meinefirma.tld) durch die Adresse des Antragstellers des Zertifikates (zum Beispiel signature@meinefirma.tld) ersetzt.
Antwortet der Empfänger einer solchen E-Mail direkt, so wird die Adresse des „reply to“ Headers verwendet und alles funktioniert wie erwartet.
Nimmt der Empfänger jedoch den Absender der E-Mail in sein Adressbuch auf (Max, Mustermann), so wird unter dessen Namen nicht wie erwartet die E-Mail Adresse (max.mustermann@meinefirma.tld) des angezeigten Absenders (max.mustermann@meinefirma.tld) in das Adressbuch übernommen, sondern die umgesetzte Adresse aus dem „from“ Header (signatur@meinefirma.tld). Sendet der ursprüngliche Empfänger nun eine E-Mail an den ursprünglichen Absender max.mustermann@meinefirma.tld, so wird diese an signatur@meinefirma.tld anstatt max.mustermann@meinefirma.tld gesendet.
Ebenso werden sogenannte Non Delivery Reports (NDR) immer an den tatsächlichen Absender einer E-Mail gesendet. Das heißt, erreicht die E-Mail eines Absenders aus der Domäne meinefirma.tld den externen Empfänger gar nicht, so wird der NDR statt an den ursprünglichen Absender an signatur@meinefirma.tld gesendet. Somit ist für den Absender nicht ersichtlich, dass seine E-Mail nicht zugestellt wurde.
Fazit:
Je länger mit einer Domänen Signatur gearbeitet wird, desto mehr und desto häufiger werden E-Mails – irrtümlich – an die Antragsteller Adresse aus dem Zertifikat gesendet. Das heißt auch, dieses Postfach muss in regelmäßigen, kurzen Abständen von einer Person überprüft und die falsch zugestellten E-Mails manuell an die richtigen Empfänger (sofern überhaupt möglich/erkennbar) weitergeleitet werden. Unterbleibt dies, können daraus nicht zuletzt rechtliche Nachteile entstehen.
Vom Verwenden dieser Option ist deshalb dringendst abzuraten!
Konsequenterweise wurde die entsprechende Option mit der Version 10.0 des SEPPmail Secure E-Mail Gateways aus der Administrationsoberfläche entfernt.
