Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Fehlende Stammzertifikate etc
#1
Hallo,
durch Zufall in der Nachrichtenverfolgung gewesen und mal geschaut was konnte denn nicht Zugestellt werden.
Da sah ich eine Mail von der Telekom.

Die konnte nicht zugestellt werden weil es Fehler bei der Zertifikatskette hab.
   
ich habe dann Manuell auf die Suche gemacht.    

So nun musste ich mir hier wieder alle Zertifikate, einzeln anschauen und die jeweilige Kette zusammen suchen und Importieren.
Jetzt passt die Anzeige wieder.

Wie macht Ihr das?
Schaut Ihr den immer in die Verfolgung und prüft zertifiakte oder gibts vielleicht eine Möglichkeit per Mail benachrichtigt zu werden, wenn so ein Problem auftaucht?

Grüße
Zitieren
#2
(17.05.2021, 12:09)ffischer schrieb: Hallo,
durch Zufall in der Nachrichtenverfolgung gewesen und mal geschaut was konnte denn nicht Zugestellt werden.
Da sah ich eine Mail von der Telekom.

Die konnte nicht zugestellt werden weil es Fehler bei der Zertifikatskette hab.

ich habe dann Manuell auf die Suche gemacht.

So nun musste ich mir hier wieder alle Zertifikate, einzeln anschauen und die jeweilige Kette zusammen suchen und Importieren.
Jetzt passt die Anzeige wieder.

Wie macht Ihr das?
Schaut Ihr den immer in die Verfolgung und prüft zertifiakte oder gibts vielleicht eine Möglichkeit per Mail benachrichtigt zu werden, wenn so ein Problem auftaucht?

Grüße

Hallo,

mich wundert das dies der einzige Post bezüglich Zertifikate sein soll. Leider ist die Signatur und Verschlüsselung ein sehr Stiefmütterlich behandeltes Thema bei einigen E-Mail Administratoren. Das System von NoSpamProxy funktioniert so lange wirklich hervorragend, bis der Administrator der Zertifikate die öffentlichen Zertifikate versteckt und eben nicht veröffentlicht. Auch ich suche für meine Kunden genau die angefragte Lösung, ob es nicht eine E-Mail Benachrichtigung geben kann, wenn eine Zertifikatsanfrage kommt, aber das dazu passende Zertifikat nicht gefunden wird. Leider wird nur der Absender benachrichtigt, der meistens mit dieser Meldung gar nichts anfangen kann. Es wäre wirklich Super, wenn es eine Benachrichtigung für den NoSpamProxy Admin geben würde, wenn genau dieser Fall auftritt.

Gruß
Christian
Zitieren
#3
Hallo,
ja das wäre vielleicht eine Option, wenn CA nicht vorhanden, eine Mail an den Admin geht der das prüfen kann,
die CA hinzufügen kann und dann die Mail zugestellt wird.

Sprich solange ist die Mail auf Standby, wobei wenn die dann da ist, zählt das sicher als Zugestellt.

Vielleicht hilft dir dieses hier weiter
https://forum.nospamproxy.com/showthread...76#pid1576
Da hatte ich mal was angepasst, einmal die Woche bekommt intern Absender mit Zertifikaten wo aufgrund der nicht vorhandenen CA abgelehnt worden sind.
Schau es dir mal an
Grüße
Grüße
Frank


- kein Mitarbeiter von nospamproxy -
V.14
Zitieren
#4
Hallo,
jetzt muss ich dieses Thema nochmal aufgreifen.
Eben wieder der Fall, Mail Protokoll mit der Info über Fehlendes Zertifikatskette.

Also alle Zertifikate mal wieder beschaffen, dieses mal Deutsche Bahn die eigene PKI wieder bereit stellt.
Da die nicht offiziell ist, und NSP die nicht kennt wird abgelehnt.
Ich kann doch nicht jeden Tag schauen, ob irgend welche Externen, eigene PKIs in Betrieb nehmen und dann den NSP damit "manuell" mit zu versorgen.
Grüße
Frank


- kein Mitarbeiter von nospamproxy -
V.14
Zitieren
#5
Moin
Generell finde ich es dreist von solchen Firmen "Ich hab das Sagen also komm klar damit" zu spielen und einem die eigenen PKIs, oft ohne Zugriff auf die Sperrlisten, aufzuzwingen. Wehren kann man sich dagegen nicht immer, da man auf die Kommunikation teilweise angewiesen ist und die Kontakte in den entsprechenden Firmen oft gar nicht wissen was man von ihnen will, weil es eben zentral gemanaged wird.

ich nutze für das Thema das Script "get-certificatesWithProblems.ps1" (https://forum.nospamproxy.com/showthread.php?tid=435), das ganz zufällig von dir stammt Big Grin
Das rennt bei mir 1x die Woche durch und dann arbeite ich - falls nötig - nach.

@NSP Team
Ich fände es aber richtig gut, wenn man im NSP über das Regelwerk solche Mails gesondert behandeln könnte.
Quasi nach dem Motto: Zertifikatskette kaputt -> Bestimmte Regel ausführen
(zum Beispiel einen eingehenden Disclaimer als Info draufklatschen statt die Mail rigoros wegzuwerfen)

Denn letztlich kann man dagegen oft nichts tun und muss am Ende entweder dubiose PKIs installieren... oder diese Domains gesondert behandelt. Beides nicht so das beste Vorgehen.

Grüße
Zitieren
#6
Moin Lukas,
ja das Script kenne ich Smile

Sehe das auch so, da müsste NSP irgend eine Lösung finden mit den PKIs die sich da nun jeder ausdenkt.
Allianz, Bayern.de und noch viele weitere mehr.

Die könnten doch sicherlich ihre PKI also Root Certs vielleicht zertifizieren lassen das die offiziell wären, oder so ähnlich.
Grüße
Frank


- kein Mitarbeiter von nospamproxy -
V.14
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste