DHL signiert mit SMIME

Es geschehen noch Zeichen und Wunder. Im Februar 2020 habe ich eine Versandmeldung von DHL bekommen, dass ein Paket zu mir unterwegs sei. Sehr viele Spammer und Phishing-Anbieter bedienen sich ja der Masche sich als Logistiker oder Versender (insbesondere Amazon) auszugeben um Zugangsdaten abzufischen und genauso oft frage ich nach, warum diese gefährdeten Absender nicht mit SPF, DKIM aber insbesondere auch SMIME ihre Aussendung besser qualifizieren. Anscheinend hat DHL dies nun geändert.

Anzeige im Posteingang

Schon in der Übersicht im Posteingang ist zu sehen, dass diese Mail signiert ist:

Das kleine rote Siegel am Ende der Mail zeigt direkt den Signaturstatus an. Verschlüsselt ist die Mail allerdings nicht. Das habe ich aber auch nicht erwartet, denn dazu müsste DHL ja meinen "Public Key" haben. Der ist zwar an verschiedenen Stellen öffentlich hinterlegt, z.B. "Open Keys" - Zentrale Quelle für SMIME-Zertifikate aber wir wissen ja nicht, welches System bei DHL im Einsatz ist.

Die Mail beim Anwender

Ich kann die rein signierte Mail natürlich öffnen und sehe auch hier den Signatur Status. Ein Klick auf das Symbol zeigt mir, dass die Mail von der Adresse "noreply@dhl.de" signiert wurde und die Signatur gütig ist.

Laut Protokoll wurde die Signatur am 21.2.2020 gegen 10:08 angeführt und die Mail ist noch in der gleichen Minute bei mir eingetroffen. Die Zertifizierungsstelle ist die "DPDHL User CA 13". Da interessiert mich dann doch mal die Chain:

Anscheinend betreibt die "Deutsche Post" eine eigene Subordinate CA für User-Zertifikate, die unter einer SubCA von GlobalSign und der RootCA von GlobalSign hängt. Interessant auch, dass das Zertifikat schon seit 9. Mai 2018 gütig ist aber ich vorher noch keine signierte Mail bekommen habe. Das Zertifikat selbst hat folgende Usages:

Clientauthentifizierung (1.3.6.1.5.5.7.3.2)
Sichere E-Mail (1.3.6.1.5.5.7.3.4)

Mailheader

Bei so einer Mail ist natürlich der Blick in den SMTP-Header interessant. Viel ist da aber nicht zu sehen. Es gibt den Body der Mails als TXT und HTML-Ausgabe und am Ende die digitale Signatur. Aber es gibt keine Spur auf den UserAgent oder ein eventuell eingesetztes Crypto-Gateway. Einzig der Hostname bei der MessageID endet auf "broadmail.live" und ein paar andere Header lassen auf episerver.com schließen.

Die Signatur ist aber ohne Umschweife gültig und mit dem passenden Spamflter könnten Sie nun z.B. Mails von dieser Adresse als Fälschung aussortieren, die nicht signiert sind.

Weitere Links