Beiträge von NoHopeNoFear

ich halte das mit der strongbox für eine gesetzeskonforme archivierung für extrem weit hergeholt. selbst bei den hier angesprochenen methoden (sammel postfach im david etc.) besteht immer noch die möglichkeit einer manipulation z.b. durch den admin selbst. abgesehen davon bietet die strongbox keine features um wirklich eine integrität sicherzustellen, wird mit einem neuen vollbackup überschrieben fehlen hinterher mitunter mails. also viel potenzial um sich selbst ins knie zu schießen. compliance protokolle etc. werden auch nicht geführt, audit funktionen sind nicht möglich.

mag sein dass man als 2 man laden bei einer eventuellen prüfung damit durchkommt, als admin könnte ich allerdings nicht ruhig schlafen wenn ich solch ein system der GF als gesetzteskonform verkaufen würde.

was mir dazu gerade noch einfällt: ist es eigentlich möglich nachträglich einzelne elemente aus der strongbox zu entfernen? das ist in dem moment relevant in dem daten archiviert wurden die nicht archiviert werden dürfen. das betrifft z.b. bewerbungen und unter umständen privaten email verkehr. die großen anbieter haben hier entsprechende lösungen die das löschen und die gleichzeitige protokollierung des vorgangs zulassen.

hab den fall damals nicht selbst bearbeitet aber soweit ich weiß wurde bei keiner prüfung ein gültiges zertifikat erkannt weil die kette bzw. das intermediate nicht mit übermittelt wurde. der fall liegt aber auch schon einige versionen zurück. ist ca. 1 1/2 jahre her.

Zitat von stylistics

der Postman hat sich auch mit "EHLO <CN aus dem Certifikat>" beim den Servern gemeldet?
Wenn der DNS Name nicht passt, passt das Cert nicht und wird nicht akzeptiert.

jo, alles eingerichtet wie immer bzw. wie es sein sollte. haben solche probleme auch nur mit david gehabt.

haben wir so gemacht, hat nie funktioniert... is halt die leidige thematik mit diversen versischerungen die nur per TLS kommunizieren wollen. in dem speziellen fall wurde das dann mit einer reddoxx gelöst.

hast du es hinbekommen ein unterschriebenes zertifikat für den postman zu verwenden? wir sind daran gescheitert da die kette nie korrekt übermittelt wurde. support von tobit war, wie üblich, auch nicht besonders hilfreich.

ja, allerdings....

bei der aussage dass selbst erstelle zertifikate sicherer sein sollen als signierte stehen mir die haare zu berge. demnach ist jegliche kommunikation im internet nicht vertrauenswürdig und VPNs dürften nur auf PSKs basieren... junge junge.

wozu denn ein VPN wenn sowieso SSL verwendet wird? bei selbst signierten zertifikaten erschließt sich mir ja der nutzen - aber bei korrekt konfiguriertem webserver + gültigem zertifikat? soll halt wer den traffic sniffen, aufgebrochen bekommt das nur ein geheimdienst. und dem is das vpn vermutlich auch egal.

sicher passieren fehler. aber solche fehler müssen vom hersteller gefixt und nicht ignoriert werden.
bezüglich der info politik stimme ich dir absolut zu. war einer der maßgeblichen gründe weshalb wir mittlerweile nicht mehr aktiv neue lizenz verkaufen.

also zusammengefasst:

tobit baut grob fahrlässigen mist der zu rechtlichen schwierigkeiten für die kunden führen kann und wälzt die verantwortung dafür ebenfalls auf die kunden ab.
das ist eigentlich unglaublich...

scroll mal hoch...

Zitat von stylistics

??? Wie soll ein Provider die Verschlüsselung aufheben können, das ist doch ohne Private Key nicht möglich, und der sollte im Lokalen Zertifikatsspeicher liegen.

Eine Signatur wird auch nicht für einen Server sondern für eine eMail Adresse ausgestellt, dabei gibt es mehrere Überprüfungsstufen des Inhabers/Antragsstellers.
Daher kann ich die Aussage nicht verstehen wieso eine so Verschlüsselte E-Mail Wertlos sein soll? Vielleicht hab ich da ja was falsch verstanden, dann bitte ich um genauere Infos und Quellen.

alles gut. so wie ich das sehe hat arno das prinzip noch nicht verstanden.
außerdem scheint er mit signaturen für emails und server zertifikaten durcheinander zukommen. eine technische erklärung dafür wie ein provider eine via S/MIME verschlüsselte email aufbrechen will würde ich ja gerne mal sehen.

ich befürchte dass du in dieser konstellation (verteile server, schlechte latenzen/bandbreite, mac clients, offline arbeiten) mit david langfristig nicht glücklich wirst.
EAS anbindung an macs geht soweit ich weiß nicht (auch nicht via mac outlook). wir haben alle kunden mit ähnlichen anforderungen mittlerweile auf andere produkte umgestellt. da tobit dinge wie facebook integration für wichtiger hält als eine gescheite synchronisierung / offline client wird sich hier in absehbarer zukunft vermutlich auch nicht viel bewegen.

ja

erstell eine neue email und schreib als erstes @@von diemaildieichnichmehrhinzufügenkann@domain.de rein

um das immer wieder zu verwenden kannst du dir entsprechende vorlagen oder textbausteine anlegen.

vorlagen mit @@von erstellen

du hast schon recht, dass die client regeln nicht zentral steuerbar sind ist unschön.
was allerdings einfach keinen sinn macht ist damit einen spamfilter bauen zu wollen. damit würdest du auch bei jedem anderen mailserver auf die nase fallen. wie soll das denn überhaupt funktionieren? ohne prüfung des absenders, ptr prüfung, spf prüfung, greylisting, smtp verzögerung und inhalts filter?

Q-100.429

die daten werden dabei (soweit ich das verstehe) nicht real dupliziert sondern lediglich eine archive.dat erstellt (im angegebenen verzeichnis) welche auf die files verweist.
das archiv kann dann per POP3 abgefragt werden. am ende vom tag ist das auch ne frickellösung, das tool von itacom macht aber im wesentlichen auch nichts anderes.

nachteil ist hier natürlich dass die email gelöscht werden kann bevor der POP3 abruf erfolgt. ich bleibe bei meiner aussage von vorher, korrekte archivierung sollte immer über ein SMTP gateway erfolgen. nur so lässt sich manipulation (der mails von/nach extern) vermeiden. alles was im nachgang via POP3/IMAP arbeitet kann nicht garantieren dass die email im original archiviert wird. dazu kommt dann noch das problem mit verschlüsselten mails im archiv, aber das ist ein anderes thema.

david hat auch eine journalfunktion. das duplog
ist halt im vergleich zu anderen system eher primitiv und umständlich zu konfigurieren. das hauptproblem ist eigentlich die bestandsdaten aus david zu übernehmen. dank dem maß der dinge was die speicherung der daten anbelangt geht das eigentlich nur über externe tools welche die daten über die API auslesen. IMAP import halte ich bei größeren datenmengen und der bekannten stabilität des MA servers für nicht durchführbar.

wenn die mails per MX angeliefert und von einem als gateway/relay arbeitendem archiv system angenommen werden entfällt die mögllichkeit die mail zu löschen oder zu verändern.
das wollte ich damit eigentlich sagen.