Форвардинг и шифрование

[vgo]

Бьюсь с непростой задачей пересылки шифрованных писем.

В целом задача формулируется так. Есть старый лотус с кучей пользователей. Естественно, для входящих из инета писем и отправки исходящих их адреса имеют вид имя@mydom.ru.

Часть пользователей перестает пользоваться Лотусом. При этом они хотят по-прежнему иметь тот же адрес и свободно переписываться с оставшимися в Лотусе коллегами. Эта задача решена. Появился вспомогательный домен mydom1.ru, для такого товарища в адресной книге указывается адрес форварда, скажем, pupkin@mydom1.ru а дальше внешний почтовый сервер делает все остальное, доставляя Пупкину его письмо на IMAP/SMTP сервер, причем Пупкин ни про какой mydom1 знать не знает, он по-прежнему для всех и для себя pupkin@mydom.ru. Обратная почта настроена сходным методом, все работает надежно.

Проблема в том, что пользователи любят шифровать почту. При этом отправка письма Пупкину сопровождается неприятными эффектами: то он получает зашифрованное письмо, которое не может прочитать, то письмо отправляется без шифрования.

Я умею делать сертификаты (когда известно, какие нужны) и налаживать шифрованную почту между клиентами IMAP/SMTP сервера, это все умеют.
Но как сделать, чтобы клиенты, оставшиеся в Лотусе, могли посылать Пупкину зашифрованное письмо, чтобы оно приходило зашифрованным и при этом читалось? И чтобы Пупкин мог отвечать лотусовым клиентам тоже шифрованным письмом?

Желательно также, чтобы это можно было сделать централизованно, не обходя всех клиентов и не делая на каждом настройки для каждого покинувшего Лотус адресата.

[Maxxx]

А никак. Дело в том, что ты можешь настроить шифрование по SMTP между доменами maydomen.ru и mydomen1.ru и тогда вся почта будет проходить по шифрованному каналу. Либо на каждом клиенте подгружать сертификат (причем выпущенный не для шифрования адрес-адрес, а домен-домен). Кажется так. Но опять же, могу и ошибаться (про домен-домен, т.е. один сертификат для всех)

[Maxxx]

О, придумал.
1. Создаем на Lotus Domino адресную книжку с адресами пользователей которые находятся в mydom1
2. Добавляем туда все адреса пользователей (как New Person) заполняем User Name как адрес с домена mydom1 и на вкладке certificates добавляем Internet Certificate выпущенный для этого адреса.
3. добавляем эту книжку в Directory Assitance и доступной всем для чтения.
Теперь шифрованные письма можно отправлять на mydom1
А пользователям с mydom1 прийдется подгружать сертификаты каждому

[vgo]

Спасибо, как-то это сложнее, чем я думал.
И это не совсем то, что я хотел.
Суть моего хитрого плана в том, что пользователи основного домена потихоньку утекают на SMTP, а другие переписываются с ними, как бы не замечая этого.

Тогда спрошу немножко другое. В адресной книге есть кучка сертификатов, не привязанных к конкретным клиентам. В том числе - сертификаты на e-mail адреса (там десяток- два адресов, про которые я никогда не слышал). Это для чего? Если туда поместить сертификаты на адреса в mydom1, это не поможет?

[vgo]

По ходу борьбы возникло несколько вопросов. Буду очень признателен за информацию по поводу.

• Из клиента Lotus захожу в Защита - Пользовательская защита - Ваша идентификация - Ваши сертификаты - Получить сертификаты - Импорт сертификатов интернета. Ну, сертификат из PKCS12 формата у меня вполне себе импортируется, но вот частный вопрос: в окошке просмотра сертификата перед импортом два поля почтового адреса. Как мне подготовить сертификат, чтобы он два и принял. Через запятую - точно не работает, еще несколько вариантов попробовал - тоже не получилось. RFC упорно читал, но только прочитал, что адресом может быть несколько. Где написано, как это должно формироваться - не нашел, очень пространные тексты и незнакомая мне нотация для описания синтаксиса.
• В той же пользовательской защите (окно Безопасность пользователя) заходим Почта - Опции почты в формате интернета - Конфигурация сертификата  только что введенный сертификат система готова использовать для подписи. Но в разделе "Сертификат шифрования" написано "Ошибка при обращении к сертификату интернета в каталоге Домино". Куда и каким образом надо в каталог Домино поместить этот сертификат?
• При редактировании Адресной книги есть кнопка "Remove X509 certificates". Где кнопка для их добавления?

[vgo]

О, придумал.
1. Создаем на Lotus Domino адресную книжку с адресами пользователей которые находятся в mydom1
2. Добавляем туда все адреса пользователей (как New Person) заполняем User Name как адрес с домена mydom1 и на вкладке certificates добавляем Internet Certificate выпущенный для этого адреса.
3. добавляем эту книжку в Directory Assitance и доступной всем для чтения.
Теперь шифрованные письма можно отправлять на mydom1
А пользователям с mydom1 прийдется подгружать сертификаты каждому

Вот, я вернулся к этому вопросу. И кое-что сделал, поднял свой интернет - сертификатор в Лотусе, шифрованные письма в Лотус идут.
И вот это, что написано - последнее, что осталось сделать.

Тупо бьюсь головой о пособие Киселева из учебного центра Интертраста, ничего не получается. Не могу проинтерпретировать пп. 1 и 2. Или что-то делаю не так. В то, что я сделал, не получается подгрузить сертификат. Хотя в принципе Лотус его принимает.

1. Из чего делается адресная книжка (какой шаблон)?
2. Чем туда подгружать сертификаты?