Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 3803 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Email Signing - one certificate is assigned to all users

Markus S.
Hi,

is just tested E-Mail Encryption.

When turning on E-Mail encryption and adding a internal user, E-Mail signing and email encryption works fine.

But when adding more internal users the mails of these users are signed with the certificate of the first internal user. So the reciptient will get an error because the sender name and sender email adress will not match.

What do I have to do?

Markus


This thread was automatically locked due to age.
Parents
  • 0
    Please show pics of your 'Global' and 'Internal Users' tabs.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi,

    in the Global tab you will only see that email encryption status in on.
    In internal user tab you will see that I activated only S/MIME for signing and encrypting. PGP is disabled.

    Mails from user "Hugo Mustermann" will be signed with the certificate from user givenname.name@domain.tld.  (names are modified for bulletin board)

    S/Mime CA Certificate from our ASG is installed on email recipient computer.

    Markus
  • 0 in reply to Markus S.
    Sorry, Markus, there's just not enough information to help you find your error.  Looking back at your first post, I wonder if you don't have a different problem.  In any case, you need to work through this with someone you feel you can trust with real information if you want to find your error.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,
     
    well that's crazy.
     
    If the email reciptient has not installed our CA, the mail client warns, that it will not trust the CA but the Email is signed correct.
     
    If our CA is being imported and the reciptient will trust it, only the signing of the adress of the first opened mail is displayed correct. All other following signed mails from different users of our domain are being displayed as signed with the mail adress from the adress of the first opened mail an so the mail client warns.
     
    I recognized this on windows thunderbird client and on linux thunderbird and evolution client.

    On an outlook client (reciptient) mails will be displayed correct after the ca is beeing trusted to.
     
    Any idea?
     
    Markus
  • 0 in reply to Markus S.
    I don't know enough about how this all fits together.  I still think there's something strange about your CA, like maybe it was generated with the email address of the first user instead of with the FQDN of the Astaro hostname, but I don't know.

    I'm having difficulty with understanding where the problem is seen.  Is the following correct:

    Location #1 : Astaro : Users "Max" and "Hugo" have certificates signed by your CA.
    Location #2 : Not Astaro : They have your CA

    In Location #2, emails signed by Max and Hugo are examined.

    If Outlook is used and the CA is installed, the signatures are attributed accurately to Max and Hugo, and are trusted.

    If a Thunderbird or an Evolution client is used without the CA installed, then the signatures are attributed accurately, but they are not trusted.

    Once your CA is installed in one of these other clients, the signature is correctly attributed and trusted on the first email read regardless of whether it was Max or Hugo.  Subsequent emails appear to be "signed" by whoever signed the first email read.

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    yes, you summarized it correct.

    Markus
  • 0 in reply to Markus S.
    Maybe there's someone here who knows how this all works, but I suggest you submit a support request to Astaro.

    Although this could be an Astaro problem, I tend to think that Outlook and Astaro developers are more likely to hew to standards.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to Markus S.
    Here is another short description of the problem:

    I am unable to import more than one s/mime user certificate created by our ASG  in thunderbird mail client V 2.0.0.21.

    Any hints?

    Markus
  • 0 in reply to Markus S.
    Why would the Thunderbird client need more than the CA for it to confirm a signature added by your ASG?  Is that the problem - importing a user cert instead of the CA?  I think it's something else though...

    I just noticed that the two emails from you to me were signed with PGP whereas the one from Hugo was signed with an S/MIME cert:

    You: Subject: Antw: Astaro (PGP: Plain, Unable to verify signature)
    Hugo: Subject: Astaro Encryption (S/MIME: Signed)


    However, the S/MIME cert that my Astaro stripped from Hugo's email has your email address and information.  It appears that you may have the Astaro configured correctly, but that your sending clients aren't.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0 in reply to Markus S.
    Why would the Thunderbird client need more than the CA for it to confirm a signature added by your ASG?  Is that the problem - importing a user cert instead of the CA?  I think it's something else though...

    I just noticed that the two emails from you to me were signed with PGP whereas the one from Hugo was signed with an S/MIME cert:

    You: Subject: Antw: Astaro (PGP: Plain, Unable to verify signature)
    Hugo: Subject: Astaro Encryption (S/MIME: Signed)


    However, the S/MIME cert that my Astaro stripped from Hugo's email has your email address and information.  It appears that you may have the Astaro configured correctly, but that your sending clients aren't.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Cookie Information Banner