Mailsignatur auf MTA oder Client?

Servus,

gibt es gewichtige Gründe, die dagegen sprechen, für ein Unternehmen Mails nach aussen nicht auf den einzelnen Clients, sondern zentral auf einem Mailrelay mit einer digitalen Signatur zu versehen? Es geht mir nicht um Verschlüsselung, die muss zwingend in der Hand der Mitarbeiter und somit auf den Clients liegen.

Wenn ich aber zunächst lediglich sicherstellen will, dass alle ausgehende Mail signiert und somit die Herkunft beweiskräftig überprüfbar ist, scheint mir eine Serverlösung wesentlich eleganter als eine Clientlösung. Nur habe ich bei meiner Suche keine Projekte gefunden, die sich beispielsweise mit der Integration von GnuPG in ein Framework wie Amavis oder in einen MTA wie Postfix befassen - weil die Idee vielleicht doch blöde ist?

Wenn ich aber GnuPG auf dem Server einsetze (Woody, Amavis, Postfix), wie stelle ich das am sinnvollsten an? Möglichst ohne irgendwelche Scripte oder Konfigurationsdateien anpacken zu müssen, die bei einem evtl. Upgrade wieder überschrieben werden.

Gruss
Schorsch

Hallo,

gibt es gewichtige Gründe, die dagegen sprechen, für ein
Unternehmen Mails nach aussen nicht auf den einzelnen Clients,
sondern zentral auf einem Mailrelay mit einer digitalen
Signatur zu versehen?

Ja. Es beweist nicht wirklich viel (eine automatisierte Signatur wird vermutlich nicht wirklich ernstgenommen)

Es geht mir nicht um Verschlüsselung,
die muss zwingend in der Hand der Mitarbeiter und somit auf
den Clients liegen.

Eben.

Wenn ich aber zunächst lediglich sicherstellen will, dass alle
ausgehende Mail signiert und somit die Herkunft beweiskräftig
überprüfbar ist, scheint mir eine Serverlösung wesentlich
eleganter als eine Clientlösung.

Nein, das halte ich für grauslig. Welchen Sinn soll es haben daß alle ausgehende Mail signiert ist? Ich kann keinen erkennen.

Nur habe ich bei meiner Suche
keine Projekte gefunden, die sich beispielsweise mit der
Integration von GnuPG in ein Framework wie Amavis oder in
einen MTA wie Postfix befassen - weil die Idee vielleicht doch
blöde ist?

Ja das ist es. Und es macht am ehesten Dinge kaputt.

Wenn ich aber GnuPG auf dem Server einsetze (Woody, Amavis,
Postfix), wie stelle ich das am sinnvollsten an?

Garnicht.

Es ist zwar ein etwas anderes Thema aber Du solltest Dir http://www.goldmark.org/jeff/stupid-disclaimers/ mal zu Gemüte führen und die Ideen dahinter auf Dein Konzept überragen. Und es dann schnellstmöglich verwerfen.

Wer Mail signieren will, sollte das den Mitarbeitern überlassen. Oder habt ihr im Betrieb auch eine Unterschriftsmaschine, die alle in der Ausgangsbox liegenden Briefe automatich mit einer Unterschrift versieht und sie dann in den Briefkasten wirft?

Gruß,

Sebastian

gibt es gewichtige Gründe, die dagegen sprechen, für ein
Unternehmen Mails nach aussen nicht auf den einzelnen Clients,
sondern zentral auf einem Mailrelay mit einer digitalen
Signatur zu versehen?

Ja. Es beweist nicht wirklich viel (eine automatisierte
Signatur wird vermutlich nicht wirklich ernstgenommen)

[…]

Nein, das halte ich für grauslig. Welchen Sinn soll es haben
daß alle ausgehende Mail signiert ist? Ich kann keinen
erkennen.

Mein Hintergedanke war der, dass immer wieder Viren, möglicherweise (mir aber konkret noch nicht untergekommen) auch Spam im Namen meines Arbeitgebers versandt werden. Um im Zweifel zu beweisen, dass derartige Mails nicht von uns kommen, reichen die Logfiles natürlich bereits vollkommen aus. Mit der Signatur ist es aber auch ohne Kenntnis der Logfiles, also auch für Dritte möglich, zweifelsfrei festzustellen, ob eine Mail tatsächlich aus unserem Unternehmen stammt. Hier sehe ich schon einen erheblichen Unterschied zu den von dir weiter unten zitierten Disclaimern.

Und deine Bedenken mit der nicht ernstzunehmenden automatisierten Signatur - ob der Automat nun plugin für mutt, Outlook, pine oder postfix heisst, ist für den Empfänger zunächst wohl irrelevant.

Es geht mir nicht um Verschlüsselung,
die muss zwingend in der Hand der Mitarbeiter und somit auf
den Clients liegen.

Eben.

Hier hängt wohl, zumindest technisch, der grösste Haken. Hier gibts nur Entweder - Oder; eine Lösung, bei der der Anwender verschlüsselt, und der Server noch mal hinterhersigniert, ist wohl reichlich schwachsinnig.

Wer Mail signieren will, sollte das den Mitarbeitern
überlassen. Oder habt ihr im Betrieb auch eine
Unterschriftsmaschine, die alle in der Ausgangsbox liegenden
Briefe automatich mit einer Unterschrift versieht und sie dann
in den Briefkasten wirft?

Naja, mein Gedankengang war schon reichlich egoistisch. Im Bestreben, zwar nicht meinen Job, mir aber möglichst viel Arbeit wegzurationalisieren, setze ich nun mal gerne auf serverbasierte Lösungen. Und solange meine Anwender in der Wahl ihrer Mailclients weitgehende Wahlfreiheit haben (eine der wenigen Freiheiten, die ich ihnen lasse), bedeuten individuelle Installation und Konfiguration von GnuPG für jeden neu installierten Rechner nun mal einen nicht unerheblichen Zusatzaufwand.

Auf der anderen Seite - solange dies weder ein Thema für die GF ist, noch Anfragen der Mitarbeiter kommen, ist dieser Aufwand wirklich vernachlässigbar.

Gruss
Schorsch

Hallo,

Mein Hintergedanke war der, dass immer wieder Viren,
möglicherweise (mir aber konkret noch nicht untergekommen)
auch Spam im Namen meines Arbeitgebers versandt werden.

· Über Euren Mailserver? Falls ja, solltet ihr den korrekt konfigurieren. Das scheint aber nicht das Problem zu sein, also:

· wird der Spam über andere Mailserver versandt. Ein Blick in den Header reicht da dem Kundigen um zu erkennen, daß es nicht von Euch kam.

Wer das nicht kann ist erfahrungsgemäß nicht in der Lage, die Bedutung einer Signatur in irgendeiner Form abzuschätzen. Darüberhinaus: Wenn ich Spam bekommen würde mich beim (vermeintlichen) Absender beschweren würde und der antwortete „kann nicht von uns sein, ist nämlich nicht signiert“, dann würde ich ernsthaft an dem geistigen Zustand dieses Menschen zweifeln.

Gruß,

Sebastian

· wird der Spam über andere Mailserver versandt. Ein Blick in
den Header reicht da dem Kundigen um zu erkennen, daß es nicht
von Euch kam.

Stimmt. War nicht so ausgereift, mein Gedankengang. Ist halt Urlaub.

Darüberhinaus: Wenn ich Spam bekommen würde mich beim
(vermeintlichen) Absender beschweren würde und der antwortete
„kann nicht von uns sein, ist nämlich nicht signiert“, dann
würde ich ernsthaft an dem geistigen Zustand dieses Menschen
zweifeln.

Andersrum könnte ich an der (fehlenden) Signatur aber erkennen, ob’s wirklich von meinem Server kam. Wäre also ein Debugging-Werkzeug für mich. Aber dass es dafür hinreichend sinnvollere Alternativen gibt, ist ja inzw. geklärt.

Gruss
Schorsch

Hallo,

Morgen,

Wenn ich Spam bekommen würde mich beim (vermeintlichen)
Absender beschweren würde und der antwortete „kann nicht von
uns sein, ist nämlich nicht signiert“, dann würde ich ernsthaft
an dem geistigen Zustand dieses Menschen zweifeln.

Hm? Wer kann denn ausser mir noch mails versenden, die von mir signiert wurden? Wir reden hier doch ueber Signatur im Sinne von GnuPG, und nicht ueber

-------------------------------------------------------------------
Diese mail wurde Ihnen praesentiert vom webmailer ihres Vertrauens.

Gruss vom Frank.

Hallo,

Wenn ich Spam bekommen würde mich beim (vermeintlichen)
Absender beschweren würde und der antwortete „kann nicht von
uns sein, ist nämlich nicht signiert“, dann würde ich ernsthaft
an dem geistigen Zustand dieses Menschen zweifeln.

Hm? Wer kann denn ausser mir noch mails versenden, die von
mir signiert wurden?

Hoffentlich niemand.

Soweit ich Schorsch verstanden hatte, wollte er eine Mailserver-Signatur („Ich, der Mailserver bei Bruntzbach & Söhne, habe diesen Quatsch relayt, das bestätige ich mit meiner Mailserversignatur“". das ist denkbar, aber blödsinnig. Um nicht zu sagen: denkbar blödsinnig.

Gruß,

Sebastian

Soweit ich Schorsch verstanden hatte, wollte er eine
Mailserver-Signatur („Ich, der Mailserver bei Bruntzbach &
Söhne, habe diesen Quatsch relayt, das bestätige ich mit
meiner Mailserversignatur“". das ist denkbar, aber blödsinnig.
Um nicht zu sagen: denkbar blödsinnig.

Ne, es ging mir ausschliesslich um eine qualifizierte digitale Signatur. Mit Disclaimern oder den beliebten QOTDel-Signaturen hab ich nix am Hut.

Manchmal braust’s zwar ganz wirr bei mir im Köpfchen, so wirr aber nun auch nicht:wink:

Gruss
Schorsch