S/MIME signierte Mail wird anscheinend durch Proxmox verändert

G

Gunnar Lettow

Active Member
Oct 4, 2018
18
1
43
63
Hallo

wir haben eine Kunden der seine Mails mit S/MIME signiert. Auf unserem hinter dem Proxmox Server (v5.2.7) gelegenen Security Gateway wird die Mail geprüft und führt zu einem Fehler, da die Mail anscheinend verändert wurde. Empfange ich die Mail von dem Kunden auf einem privaten Postfach, ist die Signatur gültig.
Andere Kunden schicken auch signierte (ode auch S/MIME verschlüsselte Mails), die erfolgreuch von unserem Security Gateway geprüft werden.

In diesem Thread https://forum.proxmox.com/threads/smime-problem-with-pm6.58812/ geht es um ein ähnliches Problem. Soweit ich es verstanden habe, verändert spamassasin die Mail. Ich habe die Domain des Kunden auf die Mailproxy Whitelist genommen. Das Problem besteh aber weiterhin :-(

Wie kann ich sicherstellen, das die Mail von Proxmox nicht verändert wird ?

Gruß Gunnar
 
Beim verlinkten thread ging es soweit ich sehe um die DKIM signature (ist eine andere Sache und hat mit S/MIME nichts zu tun).

es wäre wohl interessant zu sehen wo/wie die mail verändert wurde:
* eine (s/MIME signierte) mail an 2 Empfänger schicken - einmal ohne PMG, einmal mit
* beim PMG eine Regel erstellen, dass diese eine Mail in die Quarantäne verschoben wird
* beide mails als eml downloaden und den Inhalt vergleichen.

was ist die genaue Meldung des hinter PMG liegenden Security Gateways?

ohne diesen Infos wird es schwierig zu sehen, ob sich das beheben lässt.
 
Das mit dem 2 Empfängern werde ich mal testen.
Die Meldung von dem Security Gateway ist

Signature Engine Response : error:21071065:pKCS7 routines:pKCS7_signatureVerify:digest failure

Gruß Gunnar
 
Uups, das mit den Smiley war keine Absicht.
So ist es wohl besser :

Signature Engine Response : error:21071065: PKCS7 routines: PKCS7_signatureVerify:digest failure
 
Gunnar Lettow said:
Uups, das mit den Smiley war keine Absicht.
Click to expand...
ist eine eigenheit der forensoftware - mit der zeit gewoehnt man sich dran ... :)

(sonst solche sachen einfach in [ code ] tags packen - dann werden sich auch gut lesbar dargestellt).

aber ja - das mit dem vergleichen ist eine gute idee
 
Das Resultat würde mich auch interessieren. Ich hatte dieses Phänomen schon mal mit der damaligen ESVA, jedoch mit dem PMG nicht mehr. Damals war es auch der SpamAssassin der die Zeilenlängen anders gewählt hatte und dadurch die Signaturen ungültig gemacht hatte (überprüft durch eine Zertificon), jedoch wie gesagt, mit PMG tauchte das Problem glücklicherweise bisher nicht auf.
 
Ich habe nun beide Varianten vorliegen.
Die eigentliche Mail ist fast identisch. Nur an einer Stelle ist in der Mail die über PMG ging, eine Leerzeile mehr.

In der funktionieren Mail ist sieht es so aus

Code: 
</body>
</html>

--_000_91bb06b29402429da1ac0ce4b14c1749XXXXXcom_--
--_015_91bb06b29402429da1ac0ce4b14c1749XXXXXcom_
Content-Type: image/png; name="image001.png"
Content-Description: image001.png

In der Mail über PMG ist eine Leerzeile zwischen den Begrenzern.
Code: 
</body>
</html>

--_000_91bb06b29402429da1ac0ce4b14c1749XXXXXcom_--

--_015_91bb06b29402429da1ac0ce4b14c1749XXXXXcom_
Content-Type: image/png; name="image001.png"
Content-Description: image001.png

Das würde erklären, warum die Signatur ungültig wird.
 
Danke vielmals für den Vergleich - wirkt ein wenig unerwartet - wäre es möglich beide mails und das Log des PMG zu dieser mail zum testen zu erhalten?
(gerne auch per mail an s.ivanov _at_ proxmox.com)
Danke
 
Stoiko Ivanov said:
Beim verlinkten thread ging es soweit ich sehe um die DKIM signature (ist eine andere Sache und hat mit S/MIME nichts zu tun).

es wäre wohl interessant zu sehen wo/wie die mail verändert wurde:
* eine (s/MIME signierte) mail an 2 Empfänger schicken - einmal ohne PMG, einmal mit
* beim PMG eine Regel erstellen, dass diese eine Mail in die Quarantäne verschoben wird
* beide mails als eml downloaden und den Inhalt vergleichen.

was ist die genaue Meldung des hinter PMG liegenden Security Gateways?

ohne diesen Infos wird es schwierig zu sehen, ob sich das beheben lässt.
Click to expand...
Nein darum ging es nicht. Es ging um S/Mime und wir konnten das Problem bis heute nicht lösen :) Es ging übrigens nur für einen Kunden (bzw. um die gesamte Domain des KUnden) nicht mit dem wir in Kontakt sind, für andere funktioniert das ganze wunderbar.

Sobald wir Proxmox deaktivieren und direkt zum Exchange leiten, gibt es keine Probleme mehr.
 
Gunnar Lettow said:
Herr Ivanov, ich habe Ihnen die Mails zum Vergleich geschickt.
Click to expand...
hm - die mail hat es nicht in meine inbox (oder die Quarantäne) geschafft.

vl. wäre es robuster, die 2 mails zu zippen, und auf einen privaten share zu laden und mir einen link zukommen zu lassen?

s.ivanov _at_ proxmox.com

Danke nochmals!
 
Ich habe Mails zur Überprüfung mal übersandt. Ich habe das gleiche Problem. Signierte Mails werden invalide, die Signatur zerstört. Die Mails werden wahlweise über PMG an den Exchange geleitet, in Gegenvalidierung Nachrichten direkt an Exchange sind fehlerfrei. Ein Whitelisting hilft nichts, da vermutlich auch hier die Nachricht durch SpamAssassin läuft und umgeschrieben wird, was wohl auch zu dem Fehler führt. Eine verschlüsselte Nachricht geht problemlos durch und ist auch valide, hier kann aber auch wenig verändert werden.
 
Last edited:
Bob.Dig said:
Interessant, das wäre ja schade.
Click to expand...

Ich denke/hoffe/meine, dass Proxmox hier eine Lösung findet. Man müsste ja an sich nur eine Option einführen, dass man S/MIME-signierte Mails am PMG-SMTP-Filter vorbeischleusen kann. Im Zweifel ist das ein einzufügender Haken und das prüfen auf einen Anhang P7S. Verschlüsselte Mails (könnte ja ein Trigger sein ;-) ) gehen unproblematisch durch (da müsste man nach P7M prüfen). Ich mache mal einen Bugreport auf.
 
heutger said:
Ich mache mal einen Bugreport auf.
Click to expand...
Ich habe das gerade mal getestet mit Thunderbird unter Windows (en und de), da gab es keine Probleme.

Code: 
2023-12-08T14:13:46.232036+01:00 mx2 pmg-smtp-filter[123597]: 60F7F6573168991AD0: SA score=0/5
Clipboard01.png
Ich scanne aber nicht nach Viren.
 
Nur zur Info, ich habe bei S/MIME Signaturen hinter dem PMG auch noch keine Probleme festgestellt (Signatur bleibt gültig). Hab das erst jüngst wieder als Referenz für einen Test benutzt (weil es Probleme bei einem anderen Mailproxy gab). Auch Virenscan mit ClamAV und SophosAV ist aktiv.
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back