eGroupWare-Adressbuch und E-Mail-Zertifikat (S/MIME)

mzimmermann 2011-12-27 13:29:18 UTC #1

Hallo,

gibt es eine Möglichkeit E-Mail-Zertifikate zu einzelnen Kontakten zu speichern und diese dann über LDAP zu lesen?

Vielen Dank. Markus

KaiE 2011-12-28 10:15:41 UTC #2

Hallo Markus,

Da würde mich ja mal das Anwendungsbeispiel interessieren.

eGroupware kann ja in der Web-GUI eh kein S/MIME.
Welcher Mail-Cilent unterstützt denn S/MIME um Adressbuch und wo muss der Public-Key des Gegenüber denn da genau zu finden sein?

Wer sein eGroupware selber hostet, ist vlt. eh besser mit http://www.djigzo.com/ beraten. Das ist ein Java basierte OpenSource-Projekt, welches aus einer Administrationsoberfläche besteht, die man auf Tomcat deployed und die ein User nie zu sehen bekommt. Der Administrator kann die Zertifikate seiner User da einspielen und Regeln konfigurieren. Weiter gibt es einen Server, der in einem Java-Prozess läuft und den man per Postfix so konfiguriert, dass jede eingehende und ausgehende Mail durch diesen Server läuft. Als Datenbank kann man MySQL oder PostgreSQL nehmen. Ok, so eine Postfix-Konfiguration ist dann schon das komplexeste an der ganzen Sache.

Ich habe den dann so Djigzo dann so eingestellt, dass automatisch alle ausgehenden Mails signiert werden, sofern für die interne Mailadresse ein persönliches S/MIME-Zertifikat hinterlegt ist. Der Server sammelt dann jeden eingehenden PublicKey und sofern der Sender ein persönliches Zertifikat hat und für den Empfänger ein PublicKey hinterlegt ist, wird die Mail automatisch verschlüsselt. Bestätigungsmails, wenn eine Mail verschlüsselt wurde, gibt es auch. Es ist aber auch denkbar, dass nan nur Mails verschlüsselt, die einen bestimmten String, wie SECURE im Subjekt haben. Da kann man als Administrator eine REGEX konfigurieren. Eingehende, verschlüsselte mails werden dann auch automatisch entschlüsselt und nur das Zertifikat wird behalten, so dass Mailclients, die S/MIME-Zertifikate verarbeiten und prüfen können, ob das Zertifikat echt und auf wen es ausgestellt ist.

Der Vorteil hier ist, dass man Client-Unabhängig immer verschlüsseln kann auch wenn der Mailclient selber nicht mit S/MIME umgehen kann.

Viele Grüße
/Kai

mzimmermann 2011-12-29 12:34:58 UTC #3

Hallo Kai,

folgende Situation:

Outlook 2010 -> ical4OL (*DAV) -> eGroupware

eGroupWare ist so eingestellt, dass die Kontakte in der MySQL-Datenbank gespeichert und über LDAP gelesen werden können. Outlook kann die Zertifikate scheinbar aus einem LDAP-Kontakt holen.

Der Programmierer von ical4OL sagt mir, dass er mit seiner Software keine Möglichkeit sieht ein mit Outlook abgelegtes Zertifikat an das eGroupWare-Backend zu schieben. Es ist also momentan so, dass Outlook die Zertifikate für jeden User lokal in der *.pst-Datei zum jeweiligen Kontakt speichert.

Die von mir hinterlegten Zertifikate stehen so aber auch nur mir zur Verfügung. Schön wäre aber, wenn ich eine Lösung (ohne Exchange) finden würde, die dazu führt, dass ein einmal hinterlegtes Zertifikat von allen Usern genutzt werden kann.

Markus

KaiE 2011-12-29 13:35:12 UTC #4

Hallo Markus,

Also mit Outlook habe ich jetzt keine Erfahrungen, aber Djigzo kann definitiv die Public-Zertifikate für alle sammeln und man braucht danach auch zum Verschlüsseln kein Outlook mehr. Zusätzlich hat man dann auch den angenehmen Nebeneffekt, dass auch alle Mails von zum Beispiel Handys unabhängig vom genutzen Mail-Client verschlüsselt werden. Man muss dann nur aufpassen, dass solche Clients nur noch über SSL-Port für IMAP und SMTP nach Hause kommunizieren. Aber das sollte man ja eh immer machen.

Macht vlt. sogar mehr Sinn, da man ja dann firmenweit einstellen kann, dass externe Mails zu entsprechend wichtigen externen Mailadressen XY immer verschlüsselt werden sollen.

Viele Grüße
/Kai

KaiE 2011-12-29 13:42:35 UTC #5

Hallo Markus,

Wie geht das, dass ich alle Adressdaten in meiner MySQL-DB habe, was ich hier auch will, und ich trotzdem per LDAP auf sie readonly zugreifen kann? (Ich dachte es geht nur entweder oder.)

Viele Grüße
Kai

mzimmermann 2011-12-31 12:52:27 UTC #6

Vielen Dank.

Unser MTA ist Postfix, was sich nach meinen ersten Recherchen ja als ganz gut mit Djizgo integrieren soll. Ich werde mir das auf jeden Fall mal genauer ansehen. Sieht man beim Einsatz von Djizgo am Mail-Client, ob die betreffende Mail ver-/entschlüsselt wurde?

Markus

KaiE 2012-01-02 21:28:52 UTC #7

Hallo Markus,

Für ausgehende Mails kann man eine Bestätigung der Verschlüsselung als Mail erhalten.
Für eingehende Mails hängt das Zertifikat auch nach der Entschlüsselung noch dran, was den Absender zumindest überprüfbar macht. Sonst scheint das Deine Antwort zu sein, was wohl ein Nein ist, da die Frage im Dezember 2011 beantwortet wurde. Es sollte aber nicht so schwierig umzusetzen sein. Also vlt. ist es ja schon bald möglich.
http://lists.djigzo.com/pipermail/users/2011-December/000782.html
Weiterhin cool ist allerdings dass man Mails auch für Leute, die kein S/MIME haben mit Einmalpasswort verschlüsseln kann. Die Mail wird dann incl. Anhängen in ein PDF gepackt und Du erhältst eine Mail mit dem Passwort für diese Mail, das Du dann Deinem Gegenüber mitteilen kannst. Ein schöner, unkomplizierter Workaround.

/Kai