S/MIME entschlüsseln klappt nicht bei eigenen eMails

[ArminCM]

Hallo,

bei unserer OTRS 6.0.18 Installation nutzen wir S/MIME um auch verschlüsselte eMails zu senden/empfangen.
Im Grunde klappt das auch und die eigenen Zertifikate/Keys sind auch im OTRS hinterlegt.

Was aber nicht klappt, sind verschlüsselte eMails, die ursprünglich nicht über OTRS versendet wurden.
Beispiel: OTRS nutzt die Adresse support@example.com. Vor OTRS wurden eMails mit z.B. Thunderbird
verschickt. Wenn hier Verschlüsselung verwendet wurde, so wurde die ausgehende eMail auch mit dem
Zertifikat von support@example.com verschlüsselt und im "Sent" Folder abgelegt. Thunderbird kann die eMail
somit entschlüsseln. Das habe ich auch mit openssl geprüft.
Verschieben wir nun diese eMail ins OTRS (per IMAP abgeholt), dann zeigt OTRS nur
"- no text message => see attachment -" und den smime.s7m Anhang.
Warum entschlüsselt OTRS diese eMail nicht, obwohl die nötigen Zertifikate/Keys hinterlegt sind.
An support@example.com verschlüsselt eMails, werden auch korrekt entschlüsselt.
Ist das normal, oder haben wir etwas falsch eingestellt?

Vielen Dank
Armin

[ArminCM]

Hallo nochmal,

ich habe nun rausgefunden, daß OTRS die eMail durchaus entschlüsseln kann. OTRS
scheint aber den dazu gehörenden Key nur auf Basis der To: / CC: Adresse zu suchen und nicht
wie hier benötigt aus der From: Adresse.
Kann man irgendwo einstellen, daß auch nach der From: Adresse in den Keys geschaut wird?

Armin

[jojo]

im Standard nicht, aber gerne entwickeln wir Dir das

[ArminCM]

Einen großen Aufwand für diese Entwicklung sollte es aber doch nicht sein.
Im Grunde würde es doch ausreichend sein in
Kernel/System/PostMaster/Filter/Decrypt.pm
in der _DecryptSMIME Funktion für PrivateSearch auch die Adresse aus From: anzugeben.
Also vorher $IncomingMailAddress entsprechend zu füllen.

Gibt es denn eine Möglichkeit nachträglich eine verschlüsselte eMail zu entschlüsseln ohne sie nochmal
ins OTRS zu bringen? Z.B. wenn der nötige Key erst danach im OTRS abgelegt wurde?

Armin

[jojo]

die Entschlüsselung passiert im OTRS durch das 1. lesen des Artikels. Also im Frontend.

Im Postmasterfilter nur, wenn dies explizit so eingestellt

[ArminCM]

Also eine verschlüsselte eMail ist erstmal auch so im System gespeichert und wenn sie das erste Mal
geöffnet wird, wird sie entschlüsselt (falls möglich) und dann auch entschlüsselt gespeichert?

Die Option StoreDecryptedBody habe ich gesehen. Das klappt ansich. Aber die nun decrypted gespeicherte
eMail entspricht nicht dem original plain text. Laut Code wird hier nicht der original Content-Type
verwendet, sondern hart auf text/html gesetzt.

[ArminCM]

Habe das Problem gelöst. Damit auch die Zertifikate der eMail Adressen aus "From:"
berücksichtigt werden, reicht dieser Patch:

Code: Select all

--- Kernel/Output/HTML/ArticleCheck/SMIME.pm.orig	2019-09-05 09:49:39.388224341 +0200
+++ Kernel/Output/HTML/ArticleCheck/SMIME.pm	2019-09-05 09:49:57.016192046 +0200
@@ -152,7 +152,7 @@
 
             # get all email addresses on article
             my %EmailsToSearch;
-            for my $Email (qw(Resent-To Envelope-To To Cc Delivered-To X-Original-To)) {
+            for my $Email (qw(Resent-To Envelope-To To Cc Delivered-To X-Original-To From)) {
 
                 my @EmailAddressOnField = $ParserObject->SplitAddressLine(
                     Line => $ParserObject->GetParam( WHAT => $Email ),

Armin