Sorry, ein besserer Titel ist mir gerade nicht eingefallen…

Ich nutze S/MIME (neben PGP/GPG) schon seit vielen Jahren und finde mich da im Normalfall ganz gut zurecht.

Nun bin ich aber aktuell auf ein Problem gestoßen, für das ich bisher weder eine Lösung noch eine Erklärung finden konnte.

Folgendes Problem: Ich bekomme aktuell E-Mails von Mitarbeitern einer Bundesbehörde, die ebenfalls S/MIME nutzt, in diesem Fall Zertifkate von D-Trust (also der Bundesdruckerei). Diese certs sind gültig bis 25./26. Juni 2025.

Mein S/MIME cert kommt von GlobalSign und hat drei Jahre Gültigkeit (aktuell noch gültig bis 8. März 2025).

Nach der ersten 'signierten' Mail (in beide Richtungen) konnte ich danach bisher immer 'signiert & verschlüsselt' per S/MIME kommunizieren (also mit jeder Menge Privatpersonen als auch Firmen etc., die S/MIME nutzen, es werden zum Glück tatsächlich immer mehr). Und das klappt auch weiterhin problemlos.

Nur bei der Bundesbehörde verhält es sich anders: Da können die Mitarbeiter mir zwar mittlerweile 'signiert & verschlüsselt' E-Mails schicken, ich kann aber nach wie vor nur 'signiert' antworten, aber nicht 'signiert & verschlüsselt', wie das ja normalerweise möglich sein sollte… (es ist einfach ausgegraut in Apple Mail und somit auch nicht anklickbar).

Wie gesagt, mit allen anderen klappt das problemlos.

Die einzige Auffälligkeit, die ich bisher bemerkt habe ist, dass ich von diesen Mitarbeitern nicht nur das D-Trust cert im Schlüsselbund habe, sondern auch ein cert der "CA IVBB Deutsche Telekom AG 20", und diesem cert wird nicht vertraut.

Könnte es also sein, dass Apple Mail sich daran irgendwie 'verschluckt'?

Oder das die Mails eventuell doch gar nicht mit dem D-Trust cert signiert werden sondern mit diesem anderen?

Hatte ursprünglich auch GPG Mail in Verdacht, aber dessen Deaktivierung half leider auch nicht.

Wir kommunizieren nun zwar alternativ tatsächlich mittels GPG, aber ich würde diesem eigenartigen Verhalten von S/MIME gern auf die Schliche kommen bzw. gern verstehen, woran genau das ganze scheitert.

Herzlichen Dank also für Ideen & Lösungsvorschläge

PS: Oh je, irgendwie fast schon peinlich, aber ich habe die "Lösung" soeben selbst gefunden.

Ich habe mir von dieses S/MIME-Zwischenzertifikat "CA IVBB Deutsche Telekom AG 20" heruntergeladen und diesem dann in der Schlüsselbundverwaltung bei dessen Trust-Settings für 'Secure E-Mail (S/MIME)" auf 'always trust' umgestellt.

Und voila – ich kann 'signiert & verschlüsselt' antworten.

Trotzdem stellt sich mir da die Frage, warum die Mitarbeiter glauben, D-Trust certs für S/MIME zu nutzen (diese werden ja auch mitgesendet und landen automatisch im Schlüsselbund) und am Ende zeigt sich aber, dass deren Aussteller doch nicht wie angenommen D-Trust ist sondern die Deutsche Telekom (und dann noch zu finden auf der BSI-Seite).

Und das dies nicht Bestandteil von macOS ist und man es manuell installieren muss (und diesem dann auch noch manuell vertrauen muss), wiederspricht ja auch irgendwie der Idee von S/MIME, finde ich.

Oder will das BSI da eine Möglichkeit haben, mitlesen zu können?

Ach ist das wieder "schön" hier, man stellt eine Frage (in einem Tech-Forum) und ergänzt das Thema sogar noch mit einer Antwort/Lösung, und da gibt es dann Trolls, die nichts besseres zu tun haben als "Daumen runter" rauszuhauen…

Haters gonna hate!

Du armer Tropf…