zentrale Verteilung von SMIME Zertifikaten mit Exchange 2010

Moin,

Zitat

1. keine zentralisierte Überwachung der Zertifikatsverteilung (sprich der Benutzer hat einfach zu viel Macht)

Da könnte man einiges mit AD ermöglichen. Allerdings verstehe ich das Problem auch nicht so ganz, was hat der Benutzer "zu viel Macht"?

Zitat

2. keine Signierung von E-Mails beim mobilen Versand (z.B. über iPhone, iPad etc.)

Einige Geräte können signieren, die meisten aber eher nicht.

Zitat

3. Keine Möglichkeit automatische Disclaimer hinzuzufügen (mal ehrlich Mail im Anhang einer Mail sieht nicht professionell aus )

Das ist aber prinip-bedingt nicht anders möglich, außer der Disclaimer wird direkt in Outlook eingefügt.

Zitat

Kann man dem Exchange 2010 die persönlichen Zertifikate mitgeben so dass dann auf dem Server die E-Mails signiert werden?

Nein, wenn wirklich gewünscht, gibt es Zusatz-Programme, die das übernehmen - Signatur Gateways.

Aber Du musst Dir bewusst sein, dass das eigentlich nicht Sinn der Sache ist. Die Signatur ist eine Unterschrift, die sicherstellen soll, dass die Mail wirklich vom Absender kommt.

Jeder Vorgang, der dies an einer zentralen Stelle macht, ist eigentlich gegen dieses Prinzip - denn damit weiß ich, dass ein Gateway die Mail signiert hat, aber nicht, dass das der Mitarbeiter ist.

Stell Dir vor, Du sammelst von allen Deinen Mitarbeiter Blankounterschriften ein und bittest die Poststelle, jedes ausgehende Dokument mit der Unterschrift des Mitarbeiters zu versehen.

Nichts anderes sind Signatur Gateways.

Wenn man es wirklich richtig lösen will, gibt es keine andere Lösung, als dass der Anwender die Mails signiert.

Praktisch ist das nicht, das weiß ich allerdings auch.

Was hat PKI denn damit zu tun, dass der User dann keine Signatur drunterpappt? Die PKI stellt dir wie die Abkürzung schon sagt nur eine eigene Infrastruktur bereit, dass du dich nicht beim Trustcenter melden mußt wenn ein Zertifikat ausgestellt oder gesperrt werden soll. Das Problem bleibt also das Gleiche. Sowas kann man meiner Meinung nach dann nur regeln, indem man alle nichtsignierten Mails als unzustellbar an den Absender zurückschickt. Irgendwann wird der Mitarbeiter es tun, oder sich beim Admin melden.

Bye
Norbert

Zitat

ja mit "zu viel Macht" meine ich dass der User einfach die Möglichkeit hat nicht zu signieren. Also aus Unternehmersicht (Informationssicherhet etc.) wie soll ich sicherstellen dass der User signiert wenn er doch belibig die Signatur weglassen kann? Ist ja auch mühsam dem User ständig auf die Füße zu treten bis er endlich das Zertifikat einfügt und auch einschaltet. Wir sind ja knapp 30 Kollegen da gehts noch aber was macht einer bei 500? (wahrscheinlich ist hier die Antwort PKI)

die Antwort hier lautet genauso, wie für kleinere Firmen:
- Verteilung der Zertifikate per AD
- zwingendes Signierung mit GPO einschalten

GPO hilft aber auch nur begrenzt. Was ist mit OWA oder mobilen oder nicht Domain-Geräten?

Bye
Norbert

Da hilft: Get-Mailbox | Set-CasMailbox -ActiveSyncEnabled $false -OWAEnabled $false