Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
S/MIME Zertifikat Prüfung
#1
Hallo zusammen, wir hatten einen Fall eines Lieferanten dessen Mail über NoSpamProxy abgelehnt wurde. Die Mail war mit einer digitalen Signatur für Vorname.Nachname@Domain1.de versehen, die Absenderadresse war dagegen Support@Domain2.de. Aus meiner Sicht ist es naheliegend, dass die Mail abgelehnt wurde. Der Lieferant meinte jedoch, dass dies nach seinem Verständnis zulässig sei, da in RFC8550 folgendes geschrieben steht: 

=== cut ===
  Receiving agents MUST check that the address in the
  From or Sender header of a mail message matches an Internet mail
  address in the signer's certificate, if mail addresses are present in
  the certificate.

Quelle: https://tools.ietf.org/html/rfc8550#section-3

"Eine Einschränkung dahingehend, dass die Domain von Sender und From gleich sein müssen, finde ich dort nicht. Insofern ist es meinem Verständnis nach zulässig, eine Mail, die laut From-Header von [color=#333333][size=small][font=Tahoma, Verdana, Arial, sans-serif]Support@Domain2.de[/font][/size][/color] kommt, mit dem Schlüssel des Senders [color=#333333][size=small][font=Tahoma, Verdana, Arial, sans-serif]Vorname.Nachname@Domain1.de [/font][/size][/color]zu signieren."
=== cut ===


Kann dies jemand verlässlich einschätzen ob das so richtig ist?

Danke für eine Rückmeldung und viele Grüße

Armin Sattler
Zitieren
#2
Hallo,

das ist eine äußerst merkwürdige Auffassung der RFC bei dem Kommunikationspartner.
1) Dort steht sogar sehr deutlich, dass die Absenderadresse im Header mit einer E-Mail-Adresse im Zertifikat übereinstimmen muss. "to match" heißt "übereinstimmen". Übersetzt steht dann dort:
"Empfangene Agents MÜSSEN überprüfen, dass die Adresse im From oder Sender Header mit einer Internet mail adresse im Zertifikat des Signierenden übereinstimmt, wenn mail adressen im Zertifikat vorhanden sind."
Da gibt es für mich keinen Zweifel. Wenn Adressen im Zertifikat stehen, muss eine von ihnen (sofern mehrere dort aufgeführt sind) mit der Adresse im Header übereinstimmen.

2) Abgesehen von der Regulierung in der RFC halte ich es für äußerst fragwürdig, mit einem "völlig fremden" Zertifikat zu signieren. Es stimmt ja nicht einmal die Domain überein! Ich nehme doch auch nicht den Ausweis von meinem besten Kumpel wenn ich mich einem Polizisten gegenüber ausweisen muss. Dieses Vorgehen weicht die ganze S/MIME Thematik unnötig auf und torpediert jegliche Absicherungsversuche. Verantwortungslos!

Gruß Stefan

PS: Sorry für den Frust, aber das geht gar nicht.
Zitieren
#3
Hallo Stefan,

vielen Dank für die Klarstellung und die Mühe!

Viele Grüße aus Frankfurt

Armin Sattler
Zitieren
#4
:-) Sehr gerne. Falls Du da mal eine Rückmeldung bekommen solltest, würde ich mich sehr über ein Update freuen. Auch einer direkten Diskussion gehe ich nur ungern aus dem Weg.

Gruß an den Main

Stefan
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste