SEPPmail Benutzerhandbuch
Contents
1. 2015 SEPPmail AG2. Open Notepad Troubleshoot compatibility di Scannen mit Microsoft Security Essentials amp Wat is locking this file L Editwith Notepad 3 Addto archive Abb 1 2 Die Sicherheitsabfrage von Windows mit Ja beantworten um die Installation zu starten 3 Im folgenden erscheinen die folgenden Bildschirme auf denen der Benutzer Wahlm glichkeiten a zu den sp ter angezeigten Buttons D SEPPMAIL SWISS E MAIL SECURITY Please select the options that should be avallable within Outlook L i Button Encrypt V Button Add signature V Button Encrypt with read receipt C Button No encryption Abb 2 b zu den Standard Button Zust nden bei ffnen eines E Mail Fensters 2015 SEPPmail AG 107 D SEPPMAIL SWISS E MAIL SECURITY Start Outlook with buttons activated C Button Encrypt C Button Add signature C Button Encrypt with read receipt C Button No encryption Abb 3 c zum Ein Ausschalten einer Warnung beim Versand von unverschl sselten und unsignierten E Mails SWISS E MAIL SECURITY D SEPPMAIL V Waming message for unencrypted or unsigned outgoing e mails 2015 SEPPmail AG 108 6 4 2 Silent Installation Alternativ kann die Installation ber die Kommandozeile mit diversen Parametern gestartet werden Hinweis Die Kommandozeile muss als Administrator gestartet werden Beispiel msiexec q i SEPPmailOutlookA
3. Aufbau des Befehls pack mail e mail address domainsignature R ckgabewert positiv bei erfolgreichem Weiterleiten der GINA Anforderung an das GINA Relay System negativ bei fehlgeschlagenem Weiterleiten der GINA Anforderung an das GINA Relay System Parameter e mail address Definiert die E Mail Adresse unter welcher das GINA Relay System erreichbar ist domainsignature optional Durch diesen Parameter wird die an das GINA Relay System weitergeleitete E Mail zus tzlich mit einer Dom nensignatur ohne Pr fen des Absenders versehen Gepr ft wird auf Empf ngerseite siehe Unpack mail bs mittels Fingerabdruck des Dom nen Zertifikates M gliche Werte e true yes oder 1 e false no oder O default ist O Beispiel pen ara 0 Uert Ltb eene org yest q log 1 email successfully sent to remote GINA server else log 1 email could not delivered to remote GINA server drop 451 Die Nachricht konnte nicht verschluesselt werden Erkl rung In diesem Beispiel wird die ausgehende E Mail zur Weiterleitung an ein GINA Relay System gepackt welches unter der Pseudo E Mail Adresse gina relay customer org erreichbar ist und mit dem Domainzertifikat signiert Zeile 1 Erfolg beziehungsweise Misserfolg der Aktion wird protokolliert Zeile 2 und 4 Bei fehlschlagen der Aktion wird die E Mail mit dem tempor ren Fehler 451 und dem Hinweistext Die Nachricht konnte nicht verschluesselt werden
4. 2015 SEPPmail AG 189 o A Trust o D Trust o none o S Trust o SwissSign ber die Schaltfl che wird die Auswahl gesichert Configure MPKI Dieser Parameter taucht nur auf wenn eine CA ausgew hlt wurde also nicht ber die Schaltfl che Zi TE SV leie ei wird dann der Zugang und die Parameter f r die Schnittstelle konfiguriert Die entsprechenden Konfigurationsdaten stellt der CA Anbieter zur Verf gung ber die Schaltfl chen kann das Root CA Zertifikat also der ffentliche Schl ssel der CA heruntergeladen werden Dieser kann gegebenenfalls einem Kommunikationspartner zur Verf gung gestellt werden damit dieser Signaturen von E Mails welche mit Zertifikaten Ihrer Self Signed CA signiert wurden automatisiert pr fen kann ber kann der Private Schl ssel heruntergeladen und somit gesichert werden Die Schaltfl che R ES EN ART f hrt zum Untermen Request a new Certificate 191 wie es bereits aus dem Men SSL bekannt ist ber welches die CA als Self signed oder Sub CA eingerichtet wird 2015 SEPPmail AG 190 7 9 Administration Dieses Men beinhaltet Funktionen zur Verwaltung des Systems Sektion License and Registration Ist eine G ltige Lizenz vorhanden so wird in diesem Abschnitt die Meldung Valid License detected ausgegeben Andernfalls muss an dieser Stelle die Registrierung der Appliance vorgenommen werden im Normalfall geschieht das ber die Schaltfl che Regis
5. ber die Schaltfl che Edit siehe Untermen Edit Disclaimer 178 angepasst oder auch weitere Disclaimer ber die angelegt werden Disclaimer stehen immer sowohl im Text als auch im HTML Format zur Verf gung Beim E Mail Versand wird das passende Format anhand des E Mail Formats automatisch ausgew hlt Die Zuordung des jeweiligen Disclaimers zur jeweiligen Managed Domain ua in der Sektion GINA and Disclaimer Settings des Untermen s Edit NianagediDomain 38 aus Mail System Managed Domains Soll ein Disclaimer ber die Schaltfl che gel scht werden so ist vorher unbedingt zu berpr fen dass dieser keiner Managed Domain zugeordnet ist beziehungsweise gegebenenfalls in Custom Commands der Sektion Ruleset Generator dieses Men s verwendet wird Hinweis Sollen Disclaimer verwendet werden so ist unbedingt darauf zu achten dass diese noch auf dem Groupware System oder durch die SEPPmail Appliance gesetzt werden Werden Disclaimer bei ausgehenden E Mails durch ein nachgelagertes System angeh ntgt so wird bei durch die Appliance S MIME signierten E Mails diese Signatur zerst rt Sektion Edit Mail Templates E Mail Vorlagen Einstellungen Auswahl der zu bearbeitenden E Mail Vorlage Templates f r Bounce Mails E Mail Templates sind vordefinierte Nachrichten welche in definierten F llen automatisiert versendet werden Diese Templates k nnen innerhalb eines Custom Commands der Sektion Ruleset Generator dieses Men
6. Der Befehl deliver erm glicht es eine E Mail unmittelbar auszuliefern Hinweis e Alle nachfolgenden Befehle werden ignoriert e Dieser Befehl kann nicht die Bedingung einer if else Anweisung sein siehe Abschnitt KORtr llgtr kturen iese Anweisungen 220 Aufbau des Befehls deliver mailserver port lo0oop queueless R ckgabewert positiv immer Parameter Wird kein Parameter angegeben so wird die E Mail dem lokalen Mail Transport Agent MTA bergeben mailserver optional Gibt den E Mail Server an ber welchen die E Mail ausgeliefert werden soll Wird kein Parameter angegeben so wird die E Mail dem lokalen Mail Transport Agent MTA bergeben port optional Gibt den Port an auf welchem der angegeben E Mail Server E Mails empf ngt Standard ist Port 25 SMTP loop optional Die E Mail wird an den E Mail Server zur ckgegeben von welchem sie angenommen wurde queueless optional Diese Einstellung bewirkt dass E Mails an einzelne Empf nger w hrend der Verarbeitung nicht zwischengelagert werden Stattdessen wird die eingehende Verbindung erst quittiert wenn dieabgehende Verbindung quittiert wurde Wenn beim Versand an mehrere Empf nger die Annahme f r einige Empf nger nicht quittiert wird befinden sich diese E Mails kurzzeitig bis zur Quittierung durch die empfangenden E Mail Server auf der Appliance Hinweis Die Parameter e mailserver port e loop e queueless schliessen sich gegens
7. log 1 user account generated Erkl rung Das Beispiel wertet den R ckgabewert des Befehls authenticated aus Konnte der interne interne Absender der E Mail erfolgreich authentifiziert werden so ist der R ckgabewert true Nachdem f r diesen Fall keine weitere Anweisung definiert wurde wird ohne weitere Aktion im Programmablauf fortgefahren Schlug die Authentifizierung fehl das heisst der R ckgabewert ist false so kommt der unter else angef hrte Anweisungsblock zu tragen Im Beispiel w rde somit ein Benutzerkonto f r den Absender angelegt und ein openPGP Schl sselpaar erzeugt Beispiel 2 if authenticated header else createaccount CREATEGPGKEYS log 1 user account generated Erkl rung Dieses Beispiel wertet den R ckgabewert des Befehls authenticated aufgrund des FROM Feldes des Headers aus Konnte der interne interne Absender der E Mail aufgrund des Eintrags im EROM Feld erfolgreich authentifiziert werden so ist der R ckgabewert true Nachdem f r diesen Fall keine weitere Anweisung definiert wurde wird ohne weitere Aktion im Programmablauf 2015 SEPPmail AG 233 fortgefahren Schlug die Authentifizierung fehl das heisst der R ckgabewert ist false so kommt der unter else angef hrte Anweisungsblock zu tragen Im Beispiel w rde somit ein Benutzerkonto f r den Absender angelegt und ein openPGP Schl sselpaar erzeugt 2015
8. Eingabe der E Mail Dom ne der eigenen Organisation zum Beispiel ihredomain com und mit Enter best tigen Alle verf gbaren E Mail Server werden als mail exchanger angezeigt OS GoObh A O Servernamen hinter dem Begriff mail exchanger mit der geringsten MX Preference Nummer haben die h chste Priorit t bei der Namensaufl sung 2015 SEPPmail AG 63 4 4 Firewall Router einrichten F r eine korrekte Funktion der SEPPmail Appliance sind folgende Kommunikationswege zu gew hrleisten Wird f r Updates und Lizenz nderungen der Appliance sowie dem Managed Domain Service ben tigt Weiterhin das benutzerinitiierte ffnen update seppmail ch von Support Sitzungen erm glicht support seppmail ch Sollte der Zugriff ber Port 22 nicht m glich sein so besteht die M glichkeit die Verbindung ber einen Proxy Server herzustellen siehe auch System 115 Proxy Settings l e Wird f r die Synchronisation von Appliances im Appliauee Appliance Clusterverbund ben tigt E Mail Wird f r den Versand ausgehender E Mails vom 2 S Appliance internen E Mail Server an die SEPPmail erver OS Appliance ben tigt Wird f r den Versand eingehender E Mails von Appliance E Ma il Server der SEPPmail Appliance an den internen E Mail Server ben tigt TCP int rnet Wird f r den direkten Empfang von E Mails aus 25 l dem Internet ben tigt SMTP Appliance Smarthost Wird f r den Empfang von E Mails ber einen We
9. e Einstufen der Vertrauesnw rdigkeit von D I Sollte die Anlage von Benutzern siehe Mail Processinaan Ruleset generator User creation sowie der Bezug von Zertifikaten siehe M ilPr csssing 47 Ruleset generator Key Generation nicht automatisiert sein so fallen hierf r nat rlich weitere Aufgaben an 2015 SEPPmail AG 104 6 Microsoft Outlook Addin 6 1 Einleitung Das SEPPmail AddIn f r Microsoft Outlook kann auf PC Systemen mit Microsoft Outlook installiert werden Das Installieren kann sowohl interaktiv als auch im Silent Mode erfolgen Je nach gew hlter Installation stehen unterschiedliche Einstellungen Parameter zur Verf gung um die Funktionalit t des Addins zu beeinflussen Das Addin stellt im jedem Outlook Fenster zum Verfassen einer E Mail Neu Weiterleiten Antworten Schaltfl chen f r das Steuern der kryptographischen Aktionen der SEPPmail Appliance zur Verf gung Abh ngig von den bei der Installation gew hlten Einstellungen erscheinen unterschiedlich viele Schaltfl chen mit unterschiedlichen Standard Einstellungen gedr ckt nicht gedr ckt Die Zust nde der Schaltfl chen beim sp teren Versenden einer E Mail werden entweder e als Steuer Informationen in x header geschrieben e optional bei Verwendung des Subject Mode als Schl sselwort in die Betreffzeile der E Mail integriert Da es E Mail Server gibt welche x header abschneiden bietet der Subject Mode hierf r eine Alternative Die
10. unsrresnnnsnrennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 294 enee E 294 isspam CR EE 10 Vordefinierte Funktionen ererene00nenennnnnnnnnnnnnnnnnnnnnnnnnnn nn nn nn nn nnnnnnnnnnnnn EE 297 GOADDDISCLAIMERG e E E EEE E EE E EE eege dE EE de d r 297 ARCHIIVE snnahaHanminnniieneininnlalkuhenann 297 CREATEGPGOGKEYS ebe Seege eher td Eeer E dE EL 297 6REATEUSER 2 2 ns aka indie dee EENS 297 CREATESEPPMAILACCOUNT uuusussunnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnsnnnnnnnnnnnnnnnnnn 297 O KEYSERVER 2 na an aan iieHnann 298 Ol SiS le SEN EISEN e 298 REMOVELFMTAGS 2 2 sin ak heine null an 298 REMOVETAGDECRYPTED ununsuseannennnnunnnennnnnnnnennnnennnnnnnnensnnnnnnennnnnnnnnnnnunnnennnnensonnsnnennnnnennns 298 REMOVETAGSIGNED ns susseain nnsiaksennikrianieinien 299 REMOVETAGSIGNEDINVALID uunussusnsnnnnnnnnonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnsnnnnnnnnnnnnnnnnnn 299 TAGHEA DERENCRYPTED u snnssn nn ernten 299 em NEE CAE e RE 300 11 Anwendungsbeispiele f r das Regelwerk uunnssnnennesnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 301 Bounce von E Mails nicht authentifizierter Benutzer uuuenennnnnsanunennnnnnnnnnnunnnnnnnnnnnunnnnnnnnnnnnnunnnnnnnnnnnnn 301 GINA Verschl sselung Tagging zwischen Mandanten erzwingen ee 302 2015 SEPPmail AG 1 Vorwort Die SEPPmail AG beh lt sich vor am Inhalt dieses Dokuments jederzeit und unang
11. 2015 SEPPmail AG 210 7 14 GINA Accounts In diesem Men werden die auf der SEPPmail Appliance vorhandenen GINA Benutzer angezeigt Handelt es sich um ein mandantenf higes System so sind die Benutzer entsprechend der Mandanten aufgeteilt Die E Mail Adresse gew hrleistet bei SEPPmail Benutzern die Eindeutigkeit Account status Zeigt den Status des jeweiligen Benutzers an M gliche Status sind e enabled Soll Zustand enabled unregistered user Benutzer welcher nach Erhalt der initialen GINA E Mail den Registrierungsprozess noch nicht abgeschlossen hat locked temporarely Gesperrter Benutzer Nahere Details hierzu zeigt der Last message status locked temporarely unregistered user Benutzer welcher nach Erhalt der initialen GINA E Mail noch vor dem erfolgreichen Abschliessen des Registrierungsprozesses gesperrt wurde Nahere Details hierzu zeigt der Last message status Last message status Zeigt Informationen zur letzten Aktion des Benutzers an M gliche Status sind e Last succesful login MMM TT JJJJ hh mm ss Gibt Datum und Uhrzeit der letzten erfolgreichen Anmeldung an e X unsuccessful login attempts Gibt die Anzahl der fehlgeschlagenen Anmeldeversuche an Durch Klicken auf die E mail Adresse wird ein Untermen mit Details zum jeweiligen GINA Benutzer ge ffnet siehe Untermen BINA Benutzer Details 21 Sollen Benutzer manuell eingerichtet werden so erfolgt dies ber die Schaltfl che siehe Untermen
12. 2015 SEPPmail AG 273 8 7 2 2 Dom nen basiert 8 7 2 2 1 decrypt_domain_smime Der Befehl decerypt domain smime entschl sselt S MIME Dom nen verschl sselte E Mails Dieser Befehl versucht eingehende S MIME Dom nen verschl sselte E Mails zu entschl sseln die durch den Absender mittels ffentlichen S MIME Dom nen Schl ssel siehe Mail System Add Edit Managed Domain 12 S MIME Domain Encryption verschl sselt wurden Aufbau des Befehls decrypt domain smime R ckgabewert positiv wenn die E Mail entschl sselt werden konnte negativ wenn das Entschl sseln der E Mail fehlgeschlagen ist Parameter keine Beispiel if decrypt domain smime log email successfully S MIME domain decrypted else logi email could not be S MIME domain decrypted Erkl rung In diesem Beispiel wird eine S MIME Dom nen verschl sselte E Mail entschl sselt Zeile 1 Erfolg beziehungsweise Misserfolg des Entschl sselns wird protokolliert Zeile 2 und 4 2015 SEPPmail AG 274 8 7 2 2 2 domain_smime_keys_avail Der Befehl domain smime keys avail pr ft die Verf gbarkeit von ffentlichen S MIME Dom nen Schl sseln Zertifikaten Dieser Befehl pr ft die Verf gbarkeit von Dom nen Zertifikaten siehe Domain Certificates ba SMIME Domain Certificates beziehungsweise Managed Domain Certificates der Empf nger f r das Verschl sseln ausgehender E Mails Aufbau des Befeh
13. 36 3 3 Aufbau und Architektur 3 3 1 Appliance SEPPmail stellt Appliances sowohl in Form von hochstabiler Industrie Hardware als auch f r virtualisierte Umgebungen zur Verf gung Die Hardware ist bei den Modellen 3500B und 5000B mit redundanten Komponenten Netzwerkkarten Power supply und HDD ausgelegt 3 3 1 1 Hardwaremodelle e Empfohlen bis 100 Postf cher beziehungsweise 50 Verschl sselungs User Encrypt Lizenzen Dimensions HxWxD Desktop form factor 90 x 330 x 203 mm Processor Intel Atom D510 1 66Ghz Dual Core RAM_ 1GB SO DIMM DDR2 PC 667 SATADOM 8 GB Flash Modul SLC Storage 2x Intel 82574L Gigab PEN e Empfohlen bis 1000 Postf cher beziehungsweise 500 Verschl sselungs User Encrypt Lizenzen 19 1U short rack form factor 43 x 426 x 356 mm 2 GB DDR3 ECC PC 1333 class SATA hard disk drive RAM 4 GB DORI ECC PC 1333 Storage _ _ _ Natos Conwoler __ 3 Pont ital BZSFIER gab pph e Empfohlen bis 20000 Postf cher die maximale Anzahl von Verschl sselungs Usern ist im Einzelfall zu pr fen Dimensions HxWxD 19 2U rack form factor 87 x 446 x 699 mm SEPPmail 5000B 2x Intel Xeon E5 2630 2 3 GHz 6 Core We emm BAM 12 GB DDR3 ECC PC 1333 3x 300 GB SAS hard disk drive 15k RAID 1 HSP Network Controller 4 Port Intel 82571EB Gigabit LAN Power Supply 2x 460W Hot Plug PSU Durch die Kaskadierbarkeit der Systeme ber Cluster und eingebautem Load Balanci
14. Bind Password Passwort f r das authentisieren des unter Bind DN einegebenen Accounts External User externen LDAP Server Standard ist Search Base Suchpfad Gibt den Zweig der LDAP Datenbank an in welchem die zu authentisierenden Benutzer 2015 SEPPmail AG 138 gesucht werden sollen E Mail Attribute Angabe des Attributes der LDAP Datenbank unter Default mail welchem die E Mail Adresse des zu authentisierenden Benutzers in der angegebenen Search Base gespeichert ist Standard ist mail Funktionsweise Wird aufgrund oben genannter Konfiguration die E Mail Adresse des sich anmeldenden Benutzers GINA Accounts und somit dessen DN in der LDAP Datenbank gefunden so wird mit dieser DN und dem vom Benutzer im GINA Interface eingegebenen Passwort ein neuerlicher Bind versucht Ist dieser Bind erfolgreich so gilt die Authentifizierung am GINA Interface ebenfalls als erfolgreich Interaktion mit lokalen GINA Accounts Die Accounts m ssen weiterhin auf der SEPPmail Appliance angelegt werden Ebenso muss ein lokales Passwort gesetzt werden Dieses Passwort wird jedoch nicht f r die Authentisierung verwendet solange die externe Authentisierung aktiviert ist W hrend der Erstregistrierung des Accounts wird ein entsprechender Hinweis angezeigt Die SEPPmail Appliance f hrt einen eigenen Z hler f r falsche Passwort Eingaben Schl gt eine externe Authentisierung fter fehl als maximal zugelassen wird
15. template header valuel l header value R ckgabewert positiv immer Parameter recipient Angabe der Empf nger E Mail Adresse der Benachrichtigungs E Mail M gliche Werte e E Mail Adresse Sendet eine Benachrichtigung an die angegebene SMTP E Mail Adresse e sender Benachrichtigt den urspr nglichen Absender der E Mail e admin Benachrichtigt den lokalen SEPPmail Administrator Dieser wird im Men Mail System in der Sektion SMTP settings unter Postmaster address definiert template Dieser Parameter definiert die zu verwendende Vorlage f r diese Benachrichtigungsmail Die Vorlage kann im Men Mail Processing in der Sektion Edit Email Templates erstellt und verwaltet werden header value optional Angabe des zu schreibenden headers inklusive des zugeh rigen Wertes value M gliche Werte f r header return path date from sender reply to to cc bee subject beliebiger x header Hinweis Das Setzen mehrerer header beziehungsweise x header ist durch trennen mittels Semicolon m glich Beispiel 2015 SEPPmail AG 246 aoel y Bender bounce none rrome System Ac mla lt admin meinefirma ch gt subject Benachrichtigung x MyOwnHeader Test Erkl rung In diesem Beispiel wird eine Benachrichtigungs E Mail an den urspr nglichen Absender welcher ber die Variable sender zur Verf gung gestellt wird generiert Als Vorlage f r die E Mail wird das Standard Template bou
16. Die Bedeutung der einzelnen Teil Strings ist der der folgenden Tabelle beschrieben Angabe des LDAP Servers der abgefragt werden soll Als Eingabe wird der Hostname oder die IP Adresse aktzeptiert Es k nnen auch zwei mit Komma getrennte Werte angegeben werden In diesem Fall wird automatisch auf den zweiten Server zugegriffen wenn der erste nicht erreicht werden kann BindDN Eingabe des vollst ndigen Distinguished Name DN des read only Accounts welcher zur Suche des unter SearchBase in der LDAP Datenbank berechtigt ist Das Passwort des unter BindDN angegebenen Benutzers SearchBase Suchpfad Gibt den Zweig der LDAP Datenbank an in welchem das Attribute aus dem Parameter attr zu suchen ist Beispiel Idap gecepgpkeysitNdap cHrectoryndemaunn eld ou pkazcpartreipane de_ekar de domain dce tld Erkl rung Der LDAP Server welcher unter dem Fully Qualified Domain Naime FQDN Idap directory domain tld auf dem Standardport 389 erreichbar ist wird abgefragt Ein Benutzer BindDN mit Passwort Password zur Authorisierung der Abfrage ist nicht notwendig da es sich im Beispiel um einen ffentlichen LDAP Verzeichnisdienst handelt Der LDAP Pfad in welchem die ffentlichen openPGP Schl ssel abliegen lautet ou pki participant dc pki dc domain dc tlid 2015 SEPPmail AG 294 8 9 Befehle f r Content Management 8 9 1 iscalendar Der Befehl iscalendar pr ft eine E Mail auf das Vorhandensein
17. Dort hinterlegt er sein Passwort oder Schl sselmaterial Ein E Mail Ping best tigt seine Anmeldung D SEPPMAIL Die Aktivierungs E mail wurde an Ihre Adresse gesendet Bitte folgen Sie den Anweisungen in der E mail 3 Die harte Tour Jede vertrauliche E Mail wird per GINA und mit einem SMS Passwort versendet 2015 SEPPmail AG 33 3 2 5 1 Mobile Computing Support 3 2 5 1 1 Interne Nutzer von mobilen Endger ten Grunds tzlich gilt dass SEPPmail dem internen Netzwerk vertraut Somit sind alle E Mails im Intranet und am E Mail Server im Klartext verf gbar Da die internen mobilen Endger te sich die E Mails vom E Mail Server ziehen und dort abliefern ist von dieser Seite KEIN Problem zu erwarten Wie klassifiziert ein interner Nutzer auf seinem mobilen Endger t herstellerunabh ngig eine E Mail als VERTRAULICH Dies ist generell mit der Befehlsfunktion in der Betreffzeile m glich Der Verfasser f gt ein festgelegtes Kommando zum Beispiel confidential oder sign beziehungsweise ein vom Kunden individuell festgelegtes Befehlswort wie lt c gt in die Betreffzeile ein Die E Mail wird am E Mail Server angenommen ausgeliefert und die danach folgende SEPPmail Gateway Appliance reagiert auf diesen Befehl und f hrt das entsprechende Kommando f r Verschl sseln oder Signieren aus Blackberry hat mit der Version 10 3 1 erwartet f r Februar M rz 2015 eine E Mail Klassifizierungsfunktion in seinem E Mai
18. E Mail verfassen Der Sender verfasst in seinem Standard E Mail Client eine E Mail und klassifiziert diese als vertraulich indem er diese entweder e mit den E Mail Client Boardmitteln 1 als vertraulich markiert e Er kann auch im Betreff ein frei definierbares aber unternehmensweit vereinbartes Befehlswort 2015 SEPPmail AG 24 zum Beispiel 2 secure einsetzen Diese Methode greift auch f r sogenannte System User maschinelle Ansteuerung e oder er verwendet das kostenlose Outlook Addin von SEPPmail 3 Abb 1 Wichtige Informationen zu Ihrer Kenntnisnahme secure s A Calibr 11 ir AIS E Pose Feu U A Era Von esch seppmail ch Betreft Wichtige Informationen zu Ihrer E ooann 511234567 Hallo Herr Mustermann die vertraulichen Informationen finden sie in Mit freundlichen Gr en G nter Esch Abs Osch Des wenden SEPPmail AG Die bermittlung deser Nachncht best ngen Country Manager Germany amp Austria Das Lesen dieser Nachricht best tigen Abb 1 Dabei kann er w hlen zwischen a Verschl sseln Bezeichnung kann angepasst werden Dabei wird die E Mail am System mit den f r den die Empf nger zur Verf gung stehenden Technologien im Best Effort Verfahren verschl sselt und versendet b Verschl sseln mit Lesebest tigung Bezeichnung kann angepasst werden Dabei wird immer zwingend die GINA Technologie angezogen denn nur dadurch kann eine
19. IP 10 10 0 10 Secondary ausgehende E Mails eingehende E Mails Abbildung 4 2 Schematische Darstellung der dynamischen Aufteilung f r ein und ausgehende E Mails durch einen externen Loadbalancer unter Verwendung einer virtuellen IP Adresse f r Enhanced Secure Webmail 2015 SEPPmail AG 97 4 9 4 Geo Cluster Ein Geo Cluster auch Multisite System genannt dient dem Replizieren von Konfigurationsdatenbanken zwischen geographisch voneinander getrennten SEPPmail Systemen zum Beispiel zwischen verschiedenen Standorten eines Unternehmens Beispiel Ein Unternehmen ist weltweit t tig und betreibt aus diesem Grund mehrere Rechenzentren auf verschiedenen Kontinenten Die Unternehmensstandorte selbst sind alle durch ein VPN verbunden und haben in jedem Rechenzentrum einen Zugang zum Internet Innerhalb dieses internen Unternehmensnetzwerks besteht ein E Mail Transportsystem zum Beispiel auf Basis von Microsoft Exchange oder IBM Domino Die nach extern gesendeten E Mails k nnen je nach intern abgebildeter Richtlinie an verschiedenen Internetzug ngen des Unternehmens ins Internet versendet werden So k nnen beispielsweise bei Ausfall eines Internetzugangs an einem Standort die E Mails dieses Standortes ber den Internet Zugang eines Anderen Standortes versendet werden sofern die VPN Verbindung zwischen den Standorten von diesem Ausfall nicht betroffen ist In einem derartigen Konstrukt muss die notwendige kryptographisch
20. Inline Verfahren genutzt Optional kann zus tzlich mit dem privaten openPGP Schl ssel des Absenders siehe Users Benufzerdetails 20A signiert werden Stehen nicht f r alle Empf nger ffentliche openPGP Schl ssel bereit so werden zwei Gruppen gebildet Aufbau des Befehls eneryp pap siga I address i s R ckgabewert positiv f r die Gruppe der Empf nger f r die verschl sselt werden konnte unabh ngig ob das optionale Signieren erfolgreich war negativ f r die Gruppe der Empf nger bei denen das Verschl sseln nicht m glich gewesen ist Parameter sign Dieser Parameter entscheidet ob die E Mail mit dem privaten openPGP Schl ssel des Absenders signiert werden soll M gliche Werte e true yes oder e false no oder 0 default ist O address E Mail Adresse des Empf ngers dessen ffentlicher openPGP Schl ssel f r das Verschl sseln verwendet werden soll Wird kein Parameter angegeben so wird der ffentliche openPGP Schl ssel des jeweiligen Empf ngers verwendet Beispiel SEENEN PEYSS Eeer Eet toner Ore y Erkl rung In diesem Beispiel wird versucht alle Texte und Anlagen einer E Mail zu verschl sseln und zu signieren da der Parameter sign den Wert yes hat F r das Verschl sseln wird der ffentliche openPGP Schl ssel des durch den Parameter address spezifizierten Empf ngers verwendet Im Beispiel recipient customer org 2015 SEPPmail AG 272 8 7 2 S MIME 8 7 2 1 smime_encrypt
21. Managed Domain erfolgt in der Sektion GINA and Disclaimer Settings des Untermen s AadiEdit Managed Domain hs aus Mail System Managed Domains Soll ein GINA Webinterface ber die Schaltfl che gel scht werden so ist vorher unbedingt zu berpr fen dass dieses keiner Managed Domain zugeordnet ist Hinweis Die default GINA muss in jedem Fall konfiguriert werden da Sie als Basis f r gegebenenfalls weitere GINA Interfaces dient Unterbleibt dies so ist mit sporadischen Fehlern der Appliance zu rechnen Sektion GINA Settings Allgemeine Einstellungen der GINA Interfaces Password Length Die hier angebenene Passwort L nge bezieht sich auf das Initial GINA Passwort welches von der Appliance generiert wird Standard ist acht 8 Zeichen Wird die Passwort L nge auf null 0 gesetzt so ist f r die initiale GINA Anmeldung kein Passwort erforderlich 2015 SEPPmail AG 148 Hinweis Von der Einstellung null 0 wird aus Sicherheitsgr nden dringend abgeraten Auch ist ein Wert kleiner acht 8 Zeichen nicht zu empfehlen Use virtual hosting Werden mehrere GINA Webinterfaces verwendet so wird im Standard nur ein FQDN f r den Zugriff verwendet F r jedes GINA Webinterface wird ein eigener Ordner unterhalb dieses FODNs angelegt Dadurch wird auch bei der Verwendung von mehereren GINA Interfaces nur ein SSL Zertifikat siehe Men punkt SSEI173 f r den Zugriff aus dem Internet auf die jeweiligen
22. Smarthost ben tigt Internet Wird f r den direkten Versand von E Mails aus dem Internet ben tigt Sn Wird f r den V d E Mails ber ei ird f r den Versand von E Mails ber einen SSES Smarthost ben tigt Appliance Erm glicht die Namensaufl sung ber einen Planes Nameserver extern mehrere externe DNS Server Erm glicht die Namensaufl sung f r die Einstellung built in DNS Resolver TCP 80 2703 i Wird f r Updates des Protection Packs Virus upp Ppiance SPAM and Phishing Protection ben tigt 24441 internet Wird f r die Zeitsynchronisation mit Zeitservern im Internet ben tigt Appliance l Erm glicht die Namensaufl sung ber einen mehrere interne DNS Server Appli Wird f r die Zeitsynchronisation mit internen Zeitservern ben tigt Erm glicht LDAP Abfragen an LDAP Server im Appliance internet Internet welche zum Beispiel von vielen CAs zur Bereitstellung von ffentlichen Schl sseln betrieben werden 2015 SEPPmail AG Timeserver intern 64 es Erm glicht LDAP Abfragen an interne LDAP LDAP Server Server zur Abfrage von ffentlichen Schl sseln Gg intern interner Benutzer zum Beispiel f r Interne Mail LDAPS Verschl sselung IME Erm glicht LDAP Abfragen an den in die Appliance integrierten Keyserver zur Abfrage von ffentlichen Schl sseln interner Benutzer zum internes Beispiel f r Interne Mail Verschl sselung IME Netz oder zur Abfrage von auf der Appliance
23. Steht lokal kein DNS Server zur Verf gung welcher MX Eintr ge f r die anzubindenden Server bereit stellt so k nnen hierf r im Men System lokale pseudo Eintr ge definiert werden siehe auch SS DNS local zone und verwendet werden Load Balancing Cluster redundante interne und externe MTAs redundante externe E Mail Server redundante interne E Mail Server Cluster Member IP 10 10 0 9 vollautomatische Synchronisierung Cluster Member IP 10 10 0 10 Abbildung 8 Schematische Darstellung f r den Einsatz von redundanten internen und externen MTAs 2015 SEPPmail AG 101 4 10 Einrichten zus tzlicher Features Die SEPPmail Appliance bietet neben der Hauptfunktion des kryptographischen Behandelns von E Mails zus tzliche Features an um e die Sicherheit zu erh hen gt or gt ho e den Verwaltungsaufwand zu minimieren gt Self Service Password Management SSPM 10 gt e den Funktionsumfang zu erweitern gt Large File Management LFM foz Diese optionalen Features m ssen separat lizensiert werden 4 10 1 Protection Pack VSPP Das Protection Pack VSPP bietet zus tzlichen Schutz vor Spam E Mails und Viren Die f r das Einrichten erforderlichen Einstellungen sind in den Sektionen Antispam Blacklists und Manual Blacklisting Whitelisting des Men s Mail System siehe MailSyStEm 129 sowie im Men Mail Processing siehe Mail Processing unter der
24. e Die urspr ngliche Message ID wird aus den neu entschl sselten E Mails entfernt e Es wird keine Bounce E Mail an den Absender erzeugt e Alle nachfolgenden Befehle werden ignoriert e Dieser Befehl kann nicht die Bedingung einer if else Anweisung sein siehe Abschnitt Kepttrellstroktorer Hlelee Anwetegpgen 230 Aufbau des Befehls reprocess R ckgabewert kein Parameter keine Beispiel i compazelliitolzemeittchi 21 zeprocess Edecryor reprocess 1 log 1 reprocess recipient found Re injecting attached messages reprocess drop 220 message reprocessed else Erkl rung Sendet ein interner Benutzer eine verschl sselte E Mail s als Anhang in einer neuen nicht verschl sselten E Mail an die systemspezifische E Mail Adresse reprocess decrypt reprocess so werden die E Mails aus dem Anhang erneut verarbeitet Somit wird versucht diese anh ngenden E Mails zu entschl sseln F r den Vorgang werden entsprechende Log Eintr ge erzeugt Nach dem Ausf hren von reprocess wird die urspr ngliche neue E Mail mit drop gel scht 2015 SEPPmail AG 265 8 7 Befehle f r kryptographische Behandlung 8 7 1 openPGP 8 7 1 1 pgp_encrypted Der Befehl pgp encrypted pr ft ob eine E Mail openPGP verschl sselt ist Dieser Befehl pr ft ob eine E Mail openPGP verschl sselt ist Dabei spielt die Art der Verschl sselung Dom nen oder Benutzer basiert keine Rolle Aufb
25. glich Dabei werden die ersten beiden Parameter ausschliesslich f r die Integration des pem Formats die beiden letzteren Parameter f r die Integration des PKCS 12 Formates ben tigt Parameter Beschreibung X 509 Key In dieses Feld wird der Private Schl ssel aus der pem Datei eingef gt Note Remove password We EC n n o a Falls der dE e chl ssel durch ein Kennwort gesch tzt ist muss dieses zuvor entfern before uploading a key werden Im Anschluss wird ale Schl ssel dieser beginnt mit BEGIN PRIVATE KEY und endet mit END PRIVATE KEY das Eingabefeld kopiert Die Eingabe muss unbedingt mit einer Leerzeile abgeschlossen werden X 509 Certificate In dieses Feld wird der ffentliche Schl ssel aus der pem Datei and optional intermediate eingef gt Dieser ist unterhalb des Privaten Schl ssel in der pem Datei zu finden und beginnt mit BEGIN CERTIFICATE und endet mit END CERTIFICATE Unter Umst nden sind in der pem Datei weitere Zertifikate enthalten Dabei handelt es sich um Zwischen oder auch Intermediate Zertifikate welche unterhalb des ffentlichen Schl ssels in dieses Feld kopiert werden m ssen Zuletzt wird das Zertifikat der Root CA eingef gt Die Eingabe muss unbedingt mit einer Leerzeile abgeschlossen werden certificates Hinweis In dieses Eingabefeld sollten alle notwendigen Zwischenzertifikate f r eine vollst ndige Zertifikatskette eingef gt werden Eine unvollst ndige Zertifikatskette f hrt
26. gung um die zwei Faktoren Authentifizierung zu gew hrleisten a Passwortreset per SMS Steht ein SMS Dienst zur Verf gung so kann sich der GINA Benutzer nach dem Beantworten seiner pers nlichen Sicherheitfrage siehe GINA Webmail 25 ein Einmalpasswort bequem per SMS zusenden lassen b Passwortreset per E Mail Verifikation Steht kein SMS Dienst zur Verf gung oder verf gt der Benutzer ber keine Gelegenheit SMS zu empfangen so kann er sich nach dem Beantworten seiner pers nlichen Sicherheitfrage und Vergabe eines neuen Passwortes von der Appliance eine E Mail mit einem Verifikations Link an seine hinterlegte E Mail Adresse zusenden lassen Nach dem Best tigen des Links aus der E Mail ist das Anmelden am GINA Portal mit seinem neuen Passwort wieder m glich 3 5 4 Protection Pack VSPP Ein weiteres optionales Feature der SEPPmail Appliance ist das Protection Pack welches Virus Spam und Phishing Schutz bietet Ist die Appliance aus dem Internet direkt ohne vorgelagerte Schutzkomponenten per MX Record zu erreichen so empfiehlt sich der Einsatz dieser Komponente dringend um ein berlasten des SEPPmail sowie der nachgelagerten Systeme aufgrund von Spam Attacken zu vermeiden Selbst bei vorgelagerten Schutzkomponenten ist das Scannen von verschl sselten E Mails auf Viren nicht m glich Nachdem an der SEPPmail Appliance E Mails entschl sselt werden k nnen Sie dort auch auf Viren gepr ft werden Weiterhin kann durch Aktivieren d
27. header Angabe des zu protokollierenden Headers oder X Headers M gliche Werte return path date from sender reply to to CC bcc subject beliebiger x header Beispiel logheader Message ID Header der E Mail Deces Sri 05 Ave 2015 11 40 00 0200 From sender customer com To recipient customer de Subject Some Topic Content ype rene reen Message Id lt E0D4DE42 DCB5 11D7 gt Aufzeichnung im Log Aug 05 11 40 04 Message Id Erkl rung lt EODAD E42 DEB5 11D7 gt Die Zeichenkette aus dem Header Message ID wird wie aufgezeigt im System Log aufgezeichnet 2015 SEPPmail AG 243 8 3 11 logsubject Der Befehl Togsubject protokolliert den Inhalt der Betreffzeile einer E Mail im System Log Aufbau des Befehls logsubject R ckgabewert positiv immer Parameter keine Beispiel logsubject Header der E Mail Dares Sri 05 Ave 2015 11 40 00 0200 From sender customer com To recipient customer de Subject Some Topic Content Type text plain Message Id lt E0D4DE42 DCB5 11D7 gt Aufzeichnung im Log Aug 05 11 40 04 Message Subject is Some Topic Erkl rung Die Aufgezeichneten Log Meldungen k nnen im Men LOQS eingesehen werden Die Zeichenkette aus dem Header Subject wird wie aufgezeigt im System Log aufgezeichnet 2015 SEPPmail AG 244 8 3 12 normalize_header Der B
28. hlbarer Kommentar Creation info Systeminformationen zur Erzeugung des Mandanten Dieses Feld ist erst nach dem Erzeugen des Mandanten also im Editier Modus zu sehen Im Create Modus wird der Benutzer mittels Schaltfl che mit den angegebenen Daten angelegt Das System wechselt sodann in den Editier Modus Im Editier Modus werden vorgenommene nderungen ber die Schaltfl che bernommen Sektion Import Backup Diese Sektion erscheint nur im Create Modus und dient der Anlage neuer Mandanten durch den Import eines bereits bestehenden Mandanten Backups zum Beispiel f r den Umzug eines Mandanten auf eine andere Maschine erfolgen Die vorhandene Backup Datei wird ber die Schaltfl che Il u sra ll eingespielt Alle folgenden Men s sind nur im Editier Modus zu sehen Sektion Customer administrators Dient der Verwaltung von Mandanten Admins Mandanten Admins sind in der Lage sich interaktiv am System anzumelden und sehen die f r sie relevanten Men s Login 11 Mail Processing 14 Logs 198 und optional bei aktivierter Option LEM accounts 215 Dabei beschr nkt sich die Anzeige in den Men s ausschliesslich auf die Daten des jeweiligen Mandanten Bereits zugeordnete Mandanten Admins sind in der folgenden Tabelle zu sehen und k nnen dort verwaltet werden 2015 SEPPmail AG 225 Zeigt die Benutzer ID des Zeigt die E Mail Adresse des Beinhaltet die Schaltfl che jeweiligen Administrators wie jeweiligen Admi
29. ltige E Mail Adresse innerhalb der Firma unter der eine zust ndige Person erreicht werden kann Country C Land in dem die Organisation ihren Sitz hat Sektion Attributes Key size bits In der Regel ist die maximale Schl ssell nge zu w hlen um den aktuellen Sicherheitsstandards zu entsprechen F r das Anfordern eines Trusted SSL Device Certificate ist Create certificate signing request auszuw hlen Um ein Schl sselpaar zu erzeugen und den Antrag zur Signierung des ffentlichen Schl ssels certificte signing request kurz CSR zu erstellen ist auf die Schaltfl che ZU klicken In der Gr nen Statusleiste oben im Men erscheint danach Certificate request created Ganz unten im Men erscheint die Schaltfl che ber welche zun chst der CSR zu finden ist Nach dem Hochladen des CSR zur Trusted CA und dem anschliessenden Erhalt des Zertifikates kann dieses gegebenenfalls durch erneutes Klicken auf die Schaltfl che NT II e EHRE INT LESE RR Te sofern das Men zwischenzeitlich gewechselt wurde unter Import Certificate eingef gt und per Schaltfl che rien importiert werden Hinweis Falls im oberen Bereich des Men s die gelb hinterlegte Information Remember to import the signed certificate angezeigt wird so wurde zuvor bereits ein Zertifikatsantrag erstellt Das neu erstellte SSL Device Zertificate sollte zusammen mit den gegebenenfalls zus tzlich ben tigten Intermediate CA Zertifikate n und dem Zer
30. ne eingetragen Ausgehende E Mail versendet SEPPmail an den bestehenden Listener Siehe Ausgehenden E Mail Verkehr steuern 7 Outgoing Server D Use built in mail transport agent Use the following SMTP server Server name 192 168 1 xxx server requires authentication User ID Password Sektion Outgoing Server Hier ist die IP Adresse des Listeners anzugeben bzw wie oben ein Hostname welcher auf beide 2015 SEPPmail AG 85 Listener aufgel st wird F r beide IP Adressen der IronPort Systeme ist im SEPPmail System die Relay Berechtigung einzutragen Siehe IMa Relaying ze Relaying Relaying allowed Las2 168 all dass Relaying allowed aal 168 vide Add Relaying for A U A Aan Jl Sektion Relaying Die Konfigurationsbeschreibung f r die SEPPmail IronPort Anbindung wurde uns mit freundlicher Genehmigung zur Verf gung gestellt von AVANTEC AG Badenerstrasse 281 CH 8003 Z rich http www avantec ch info avantec ch 2015 SEPPmail AG 86 4 8 6 Steuern der Appliance Die von der Appliance durchzuf hrenden gew nschten Aktionen zum Beispiel Signieren und oder Verschl sseln k nnen als globale Aktion an der Appliance oder ber vordefinierte Merkmale individuell am Client ausgel st werden Steuerungsmerkmale sind Betreffzeilen Schl sselworte siehe Tabelle 1 welche bei Bedarf ver ndert werden
31. sselung Verschl sselungshierarchie ua22200020 0000000200n2000nnnnannnunnnnnnnnnnnnnunnnnnnnnnnnunnnnnnnnnnnnnunnnnnnnnnnnunnnnnnnn GINA Wep maii 2 eege dE ELE aao aee end ENEE dE ee dee deeg eebe Mobile C mp tng SUP OTE tee lege elei ie RL sde Interne Nutzer von mobilen Endger ten Externe Empf nger von verschl sselten E Mails auf mobilen EE Sie EE Baken Kompatibiolit tsmatrix f r Empf nger von GINA Web Mails 34 Administration und Management 35 MS OutlooK ll EE 35 Elektronische Signatufen nu n n a mem edd EAENEEN ee 35 3 Aufbau und Architektur en en 36 Appliance seen nn a en een wl UE ue E ET Virt lisierte Ee EE Softwa E re ioar Eed EE ieron euer Zentrales Regelwerk Rule Engine ssssssssennesennnunnnerennnunnrernnnnunnrernnnnnnneennnnnnnneennnnnnnenennnnnnnenennnnnnn Le TC Im vollen EE EE SEENEN Kleine Umgebungen 22mm E Gr ssere beziehungsweise komplexere Umgebungen ber spezielles Routing angesteuert schnittstellen EEN Hochverf gbarkeit Loadbalancing 2015 SEPPmail AG Part IV M lti Master LDAP a ee EES 42 Q e e Less Betrieb n n een a RAR Ae E Aaa 42 Cluster Multimaster LDAP amp Queue Less Betrieb 42 Fail Overund Loadbalancing t 2 2 a Hark eb Bea KOAA aa dn iaa 42 System Management ur TE T EE TE OT 44 le ul e EECH 44 leren Mee Mee Ee ee EHRE 44 5 6 Zus tzliche Features i 2 0s00uu 000 ege nn ana ara
32. zum Beispiel securemailgateway Der Domain Name entspricht der DNS Domain in welcher sich die Appliance befindet zum Beispiel ihrefirma local oder ihredomain com Diese Einstellungen sind die interne Sicht sie m ssen also nicht den Daten wie sie vom Internet her G ltigkeit h tten entsprechen In der Sektion DNS kann zwischen der Verwendung der Root DNS Server im Internet Use built in DNS Resolver oder eines explizit anzugebenden DNS Server gew hlt werden Use the following DNS Servers Wird die Einstellung Use built in DNS Resolver verwendet kann das Aufl sen von Namen unter Umst nden etwas l nger dauern wodurch die Performanz des Systems beeintr chtigt werden kann Bei Angabe eines DNS Servers Primary ist darauf zu achten dass dieser auch Dom nen Namen im Internet aufl sen kann Falsche Eintr ge k nnen zu einem sehr langsamen Antwortverhalten der Konfigurationsoberfl che sowie Problemen bei der Kommunikation mit Drittsystemen f hren ber die Eingabefelder Alternate1 und Alternate 2 k nnen bei Bedarf weitere alternative DNS Server eingegeben werden Dadurch w rde bei Ausfall des Primary Servers w rde der Alternate 1 bernehmen sollte auch dieser ausfallen der Alternate 2 In der Sektion Routing wird das zum Subnetz passende Default Gateway eingetragen Diese Eingabe wird ben tigt um Netze ausserhalb des Eigenen zu erreichen Eine detaillierte Beschreibung der einzelnen Sektionen ist im Men punkt System
33. 113 zu finden 4 6 1 4 Netzwerkkonfiguration pr fen Um sicherzustellen dass die vorgenommenen Netzwerkeinstellungen der SEPPmail Appliance korrekt sind ist in der Konfigurationsoberfl che unter dem Men punkt Administration im Punkt Update auf die Schaltfl che HZ S ie TEL zu klicken Falls eine der beiden folgenden Meldungen erscheint e You already have the latest version installed e There is a new version available Installed version is alteVersionsnummer latest version is neueVersionsnummer war die Netzwerkkonfiguration erfolgreich Erscheint die Meldung e ERROR unable to connect to update server Make sure that the device can make connections to the internet on port 22 ist eine Verbindung in das Internet ber Port TCP 22 SSH nicht m glich Die Netzwerkeinstellungen der SEPPmail Appliance sowie die Firewall bzw Router Einstellungen sind erneut zu pr fen siehe Firewall Router einrichten s3 Eine detaillierte Beschreibung zum Update ist unter Administration 19 zu finden 2015 SEPPmail AG 72 4 6 1 5 Das System registrieren Das Registrieren des SEPPmail Systems erfolgt im Web Administrationsportal unter dem Men punkt Administration License and registration durch w hlen der Schaltfl che RJB GAWS device Mit dem Registrieren der Appliance e bezieht das System eine 30 t gige Testlizenz e wird bei Eingabe des Activation code am Ende der Registrierungsseite eine Kauflizenz aktiviert Der
34. 202 Graph Farbe Beschreibung wm Zeigt die Gesamtzahl aller aufgrund des Greylistings abgewiesenen E Mails an Zeigt die Gesamtzahl der aufgrund der Realtime Blackhole List RBL Funktion abgewiesenen E Mails an wm Zeigt die Gesamtzahl der aufgrund der SPAM Erkennung abgewiesenen E Mails an am Zeigt die Gesamtzahl der empfangenen E Mails an Sektion CPU Usage Visualisation Die Grafiken dieser Sektion stellen die Prozessorauslastung der Appliance dar BEE eer KREE Sektion Memory Usage Visualisation Die Grafiken dieser Sektion stellen die Speicherauslastung der Appliance in Megabyte MB dar Graph Farbe Beschreibung an Zelten aktiv in Benutzung befindlichen Speloheran Zeigt den aktiv in Benutzung befindlichen Speicher an em Zeigt den belegten Speicher an Zeigt den belegten Auslagerungsspeicher an dunkelblau Zeigt die Gr sse des zur Verf gung stehenden Auslagerungsspeichers an schwarz Zeigt die freien Speicher Ressourcen an 2015 SEPPmail AG 203 7 13 Users In diesem Men werden die auf der SEPPmail Appliance vorhandenen Benutzer angezeigt Die Anlage von Benutzern kann automatisch oder manuell siehe Mail Processingh n Ruleset Generator UserCreation erfolgen Beschreibung Zeigt die User ID des jeweiligen Benutzers an Diese entspricht bei automatisch generierten Benutzern immer der E Mail Adresse Zeigt den Namen des jeweiligen Benutzers an Diese entspricht be
35. AG 195 7 10 Cluster Dieses Men bietet die M glichkeit mehrere Appliances zu einem Cluster zusammen zu f gen Das Verhalten des Clusters ist dabei stark von den vorgenommenen Systemeinstellungen siehe unter Anderem Men System Sektionen IP ALIAS Addresses und SMTP Loadbalancer Maschinen welche dem Cluster hinzugef gt werden bernehmen die Einstellungen der Basis Maschine Das heisst alle eventuell bereits vorgenommenen Einstellungen werden berschrieben Ausgenommen vom Clustering bleiben die Men punkte welche maschinenbezogene Daten enthalten wie System SSL CA Logs und Statistics Sektion Prepare for Cluster ber die Schaltfl che wird das Zertifikat f r die Herstellung der SSH Verbindung vom zuk nftigen Cluster Partner zur Basis Maschine heruntergeladen In der Regel heisst diese Datei clusterid txt Das heisst diese Aktion wird an der Maschine vorgenommen von welcher die Einstellungen bernommen werden sollen Sektion Add this device to existing cluster Diese Sektion erscheint nur dann wenn die SEPPmail Appliance nicht bereits in einem Cluster Verbund integriert ist und dient dem Hinzuf gen zu einem Cluster Achtung Alle Einstellungen welche nicht maschinenbezogen sind siehe Sektion Prepare for Cluster werden durch diese Aktion mit den Einstellungen der Basis Maschine berschrieben Sollten Unsicherheiten bez glich der Aktion bestehen empfiehlt sich dringend zuvor ein manuelles Backup zu ers
36. Activation Code entspricht der License ID xxxx xxxx xxxx auf dem SEPPmail License Certificate Erscheint die Meldung Registration successful so wurde der Registrierungsvorgang erfolgreich abgeschlossen Eine detaillierte Beschreibung der einzelnen Vorg nge ist im Kapitel Register this devi finden 4 6 2 Das System auf den neusten Stand bringen Im Unterpunkt Update des Men punktes Administration sind die verschiedenen Update Optionen zu finden Ist die SEPPmail Appliance bereits auf dem aktuellen Stand so ist die Meldung You already have the latest version installed zu sehen Andernfalls wird die aktuell auf der SEPPmail Appliance installierte sowie die auf dem Update Server bereitgestellte Version angezeigt There is a new version available Installed version is alteVersionsnummer latest version is neueVersionsnummer In diesem Fall ist die Appliance so oft ber die Schaltfl che zu aktualisieren bis die Meldung You already have the latest version installed erscheint siehe Administration 120 Durch erneutes Klicken auf die Schaltfl che wird gegebenenfalls der Update Fortschritt in angezeigt Nach jedem Update erfolgt ein Neustart der SEPPmail Appliance 2015 SEPPmail AG 73 4 6 3 Wichtige Sicherheitsmassnahmen In den kommenden Abschnitten werden folgende Sicherheitsmassnahmen beschrieben Festlegen des HTTPS Protokolls f r den sicheren Zugriff auf die Appliance 7 Erstellen eines Backup User
37. Anzeigenamen des Absenders sofern vorhanden Andernfalls wird auch hier die E Mail Adresse eingesetzt EE Zeigt die E Mail Adresse des Benutzers an Password Optional kann hier einem Benutzer ein Passwort vergeben werden Das Passwort muss den Passwort Regeln entsprechen siehe Untermen Password Policy 20 Hinweis Die Vergabe eines Passwortes ist f r das Nutzen der Appliance nicht notwendig Durch die Vergabe eines Passwortes wird es einem Benutzer erm glicht sich interaktiv an der Appliance also der Administrationsoberfl che anzumelden Hierf r muss der jeweilige Benutzer zus tzlich den entsprechenden Gruppen siehe Groups 213 zugeordnet werden Encryption May not encrypt Untersagt dem Benutzer E Mails zu verschl sseln Fordert der Settings mails Benutzer trotzdem Verschl sselung an so w rde die E Mail abgewiesen bounced werden May not sign mails Untersagt dem Benutzer E Mails zu signieren Fordert der Benutzer trotzdem Verschl sselung an so w rde die E Mail abgewiesen bounced werden Sind beide Optionen gew hlt so wird f r den Benutzer keine Userlicense in Anspruch genommen Dies bietet sich zum Beispiel bei technischen Benutzern an welche keine E Mails in das Internet versenden zum Beispiel Backup Benutzer Notification always receives An dieser Stelle kann f r jeden Benutzer individuell eingestellt Settings notification when werden ob er GINA Lesebest tigungen erhalten soll Ist diese
38. Bit Version Das Addin kommt als MSI Installationspaket und kann somit mit den blichen Software Verteil und Installationsmechanismen customized problemlos in grossen Umgebungen ausgerollt werden Weiterhin ist ein ADM Template f r die Konfiguration des Addins per Group Policies GPO vorhanden Eine detailierte Beschreibung der Konfigurationsm glichkeiten ist im Kapitel Edit GINA Settings 165 zu finden 3 2 6 Elektronische Signaturen Die SEPPmail Appliance beherrscht neben der Verschl sselung von E Mails auch die RFC konforme Signatur Eine Authentizit t und Integrit t der Daten bzw der versendeten E Mail ist durch das Anbringen einer elektronischer Signatur zu erreichen und m glich Zus tzlich wird mit der Signatur der ffentliche Schl ssel des Absenders verbreitet welcher f r das Verschl sseln von an den Absender gerichteten E Mails ben tigt wird Das f r die Signatur erforderliche Benutzerzertifikat siehe auch S MIME 0509 2 kann bei Bedarf ber eine MPKI siehe Managed PRI 201 automatisch durch die Appliance bezogen oder manuell f r den jeweiligen Benutzer importiert werden Das bedeutet Die dazu erforderlichen zentralen Funktionalit ten eingebaute PKI Konnektoren zu offiziellen CA s automatische Zuweisungsfunktion der Zertifikate zu den Usern sind in der SEPPmail standardm ssig vorhanden und werden mit der Verschl sselungslizenz dem Betreiber und Nutzer zur Verf gung gestellt 2015 SEPPmail AG
39. Certificate s zu finden 2015 SEPPmail AG 82 4 85 E Mail Datenfluss umstellen Um den sicheren E Mail Verkehr mit der SEPPmail Appliance zu erm glichen m ssen folgende nderungen am bestehenden E Mail Server vorgenommen werden In das Internet 1 SEPPmail Appliance als Smarthost definieren Die SEPPmail Appliance wird nach der Integration in die bestehende E Mail Umgebung die Rolle eines SMTP Gateways bernehmen Der E Mail Server bermittelt somit E Mails nicht mehr direkt nach extern beziehungsweise an das gegebenenfalls bereits vorhandene SMTP Gateway zum Beispiel Spam Filter sondern neu nun an die SEPPmail Appliance Um diese nderung vorzunehmen muss auf dem bestehenden E Mail Server der interne Hostname beziehungsweise IP Adresse der SEPPmail Appliance als Smarthost definiert werden arf der Appliance sind die Relaying einstellungen zu beachten siehe Abschnitt Mail Relaying 76 2 Autorisieren der SEPPmail Appliance f r den E Mail Versand a Ist die SEPPmail Appliance direkt mit dem Internet verbunden so sind die korrekten Firewall beziehungsweise Router Einstellungen zu gew hrleisten siehe Abschnitt irewall Router einrichten 63 b Ist der SEPPmail Appliance zum Internet hin noch ein weiterer Smarthost zum Beispiel ein Spam Filter vorgeschaltet so ist der interne Hostname beziehungsweise die IP Adresse der SEPPmail Appliance auf diesem Smarthost in die Liste der autorisierten E Mail R
40. Cluster besteht aus zwei oder mehr SEPPmail Appliances Jeder Member des Clusters oder jede Instanz ist Teil des Multi Master LDAP Verbundes Im LDAP sind alle f r den Betrieb einer Instanz notwendigen Daten abgelegt Der Einsatz von Multi Master LDAP erm glicht deshalb auf einfache und elegante Art allen Instanzen mit minimaler Verz gerung die gleiche Datenbasis zur Verf gung stellen Des Weiteren erlaubt das Verwenden von LDAP als Clusterprotokoll einen Cluster auch ber reine IP Netzwerke zwischen den Rechenzentren zu betreiben Layer 2 Netzwerke oder Spezialprotokolle zwischen den Netzwerken sind in aller Regel nicht notwendig 3 3 5 2 Queue Less Betrieb SEPPmail hat eine einzigartige Funktionsweise bei der E Mails nie in einer Queue und nie auf der Appliance zwischengespeichert werden Eine E Mail wird erst dann als empfangen quittiert wenn sie an den n chsten Server weitergereicht wurde Dadurch muss auf den Appliances kein Platz f r grosse Queues vorgehalten und berwacht werden Ein Backup der Queue ist ebenfalls nicht notwendig da keine Nutz Mails in Queues gelagert werden Dieses Verfahren f hrt zu einer erheblichen Erleichterung bei der Fehlersuche im E Mail System Haupts chlich aber kann damit eine Appliance bei Hardware Ausfall garantiert ohne Datenverlust ausgewechselt werden 3 3 5 3 Cluster Multimaster LDAP amp Queue Less Betrieb Durch das Verwenden des Queue Less Modus und den Einsatz GINA Technologie we
41. Eintrag recipient firmal ch URI ILDAP Idap firma local CN MaxMuster mask OU Users regexp OU Firma Advanced Options Re inject mails to sending Mit dem Aktivieren dieser Option werden bereits verarbeitete E Mails mailserver an den einliefernden E Mail Server zur ck gesendet Forwarding und Outgoing Server werden bei aktivierter Option ignoriert beziehungsweise als Fallback Einstellung verwendet Hinweis Durch das Aktivieren dieser Option kann unter Umst nden eine E Mail Schleife Loop erzeugt werden wenn das einliefernde E Mail System diese Funktion nicht unterst tzt oder falsch konfiguriert wurde Run in queueless mode Schaltet die Warteschlangen Funktion ab E Mails werden vom lt OEM PRODUCTNAME gt System erst dann an das abgebende System als angenommen gemeldet wenn die E Mail bereits vom 2015 SEPPmail AG 161 Beschreibung Completely disable GINA technology Completely disable user based S MIME and openPGP Use remote GINA server reachable under the following email address This is a remote GINA server Relay for domain Relay email address annehmenden System als angenommen gemeldet wurde Wird diese Option verwendet so kann bei einem Austausch der Appliance zum Beispiel bei einem Hardware Defekt sichergestellt werden dass keine E Mails verloren gehen Deaktiviert die GINA Technologie Als Folge w rden als zu verschl sselnd gekennzeichnete E Mails abgewiesen w
42. Format entspricht einer Bitmaske in Oktalnotation Wird der Parameter nicht angegeben so wird kein Schl sselmaterial erzeugt Die folgenden Werte stehe zur Verf gung Bit O openPGP Schl sselpaar generieren Bit 1 S MIME Zertifikat mit der eigenen CA generieren Bit 2 S MIME Zertifikat via CA Connector generieren NT Mack Bito openPGP_ 2 EEE f Bit 1 S MIME miteigener A It CBR smmewiacAComesor userlD optional Dieser Parameter gibt die eindeutige ID des Benutzers an Wird dieser Parameter nicht angegeben so wird f r das Generieren des Benutzers seine E Mail Adresse als userID verwendet name optional Dieser Parameter gibt des Namen des Benutzers an Wird dieser Parameter nicht angegeben so wird f r das Generieren des Benutzers der Anzeigename beziehungsweise wenn dieser nicht vorhanden ist seine E Mail Adresse als name verwendet Hinweis e F r userID und name k nnen Variablen benutzt werden die durch den Befehl Idap read gesetzt wurden e Sonderzeichen in userID und name werden automatisch ersetzt 2015 SEPPmail AG 255 8 4 2 member oft Der Befehl member ot pr ft die zugeh rigkeit eines Absenders zu einer Gruppe Als Gruppe wird eine lokale SEPPmail Gruppe bezeichnet Diese Gruppen werden im Men Groups verwaltet Aufbau des Befehls member of group R ckgabewert positiv wenn der Absender der angegebenen Gruppe zugeordnet ist negativ wenn der Absender nicht de
43. GINA Webinterfaces ben tigt Wird die Option Use virtual hosting verwendet so muss f r jedes GINA Webinterface ein eigener FQDN verwendet werden Dies hat zur Folge dass auch f r jedes GINA Webinterface ein eigenes Zertifikat ben tigt wird Das entsprechende Eingabefeld f r das individuelle Zertifikat wird in diesem Fall im Untermen Edit GINA Settings 165 angezeigt Secure GINA track Mit dieser Option werden ber den eingetragenen Link erweiterte access Informationen in einer GINA Lesebest tigung bereitgestellt Aktiviert wird diese Funktion durch eintragen der URL f r den Zugriff auf die Administrationsoberfl che der Appliance Dabei muss sichergestellt werden dass diese URL von jedem internen E Mail Client erreichbar ist Disallow insecure Diese Option ist im Standard deaktiviert wodurch der Zugriff auf das GINA ciphers Webinterface auch mit lteren Clients Browsern m glich ist RC4 aktiv Um das Sicherheitpotential der Appliance auszusch pfen sollte die Aktion aktiviert werden Die vorgenommenen nderungen werden ber die Schaltfl che gespeichert Sektion GINA password via SMS Einstellungen f r den automatisierten Passwort Versand via SMS Parameter Beschreibung Der GINA Passwort Versand via SMS ist deaktiviert Use cell phone Ist eine Hardware Appliance im Einsatz so kann an einen USB Anschluss der GSM modem Appliance ein Mobiltelefon oder GSM Modem angeschlossen werden ber attached to w
44. HTTP Protokoll auf die Konfigurationsoberfl che zu erm glichen Geben 2015 SEPPmail AG 124 Sie dazu einen entsprechenden TCP Port im Standard 8080 an Um Sicherheitsrisiken zu minimieren ist diese Option im Standard deaktiviert HTTPS Port Aktiviert den verschl sselten Zugriff via HTTPS Protokoll auf die Konfigurationsoberfl che zu erm glichen Geben Sie dazu einen entsprechenden TCP Port im Standard 8443 an Dies ist der Standard Zugriff auf die SEPPmail Konfigurationsoberfl che Admin GUI Session Zeit in Sekunden bis zum automatischen Logout aus der timeout Konfigurationsoberfl che bei Inaktivit t Sektion GINA https Protocol Definiert die Einstellungen f r den Zugriff auf das GINA Webinterface HTTP Port Aktivieren Sie diesen Parameter um den unverschl sselten Zugriff via HTTP Protokoll auf die Webmail Schnittstelle des SEPPmail Systems zu erm glichen Geben Sie dazu einen entsprechenden TCP Port im Standard 80 an Hinweis Verwenden Sie das HTTP Protokoll nicht f r einen Zugriff auf die Webmail Schnittstelle aus dem Internet oder aus einem anderen unsicheren Netzwerk Hierdurch w rde das Protokollieren von Webbrowserverbindungen zur Webmail Schnittstelles des SEPPmail durch unbefugte Dritte erm glicht Diese Einstellung wird in der Regel nur dann ben tigt wenn bereits eine vorgeschaltete Komponente den SSL Tunnel zum GINA Webinterface terminiert HTTPS Port Aktivieren Sie diesen Pa
45. In den meisten Umgebungen sollte der Medientyp auf dem Standardwert autoselect belassen bleiben F r jede physisch vorhandene Netzwerk Schnittstelle wird jeweils eine Schnittstellen Konfiguration angezeigt Die hier angezeigte Schnittstellen Nummer entspricht der folgenden Netzwerk Schnittstelle 2015 SEPPmail AG 120 D Interface 1 LAN1 bzw eth0 oder auch vice bei virtuellen Appliances Interface 2 4 Wie bei Interface 1 jedoch jeweils f r optional Interface 2 LAN2 bzw eth1 oder auch vic1 Interface 3 LAN3 bzw eth2 oder auch vic2 Interface 4 LAN4 bzw eth3 oder auch vic3 Team bond interfaces Durch Verwendung dieser Einstellung k nnen mehrere Interfaces optional geb ndelt und logisch wie eines verwendet werden Dabei gibt es unterschiedliche Verfahren e broadcast Ausfallsicherheit Nutzung meherer Switches gleichzeitig m glich failover Ausfallsicherheit Nur ein Interface ist aktiv bei Ausfall wird auf das n chste bergegangen Nutzung meherer Switches m glich lacp 802 3ad Lastverteilung Ausfallsicherheit B ndelung mehrerer Schnittstellen zur Erreichung h herer Bandbreiten Anbindung an nur einen Switch mit entsprechender Protokollunterst tzung m glich loadbalance Lastverteilung Jeder Gegenstelle im Netzwerk ein zu nutzendes Interface zugewiesen roundrobin Lastverteilung Ausfallsicherheit Verf gbare Interfaces werden in Senderichtung wechselweise genutzt in Empfangsrich
46. Interface master template editiert wird Durch Aktivieren dieser Option werden die Einstellungen aus der gew hlten Vorlage siehe Edit GINA Settings 165 Sektion Master Template verwendet Eventuell vorgenommene nderungen der weiteren Konfigurationspunkte dieser Sektion bleiben ohne Auswirkung Ist bereits ein Favoriten Icon importiert so wird dieses hier angezeigt ber die Browser Schaltfl che Datei ausw hlen kann ein Icon in den Formaten gif png jpeg und ico zum Upload ausgew hlt werden Die maximale Gr sse des Icons betr gt 16x16 Pixel ber die Schaltfl che wird das Logo Bild gel scht ber die Schaltfl che wird das ausgew hlte Bild gespeichert Ist bereits ein Bild vorhanden so wird dieses berschrieben 2015 SEPPmail AG 174 Sektion Footer Logo optional Use settings from Diese Option erscheint nur falls ein anderes als das default GINA Interface master template editiert wird Durch Aktivieren dieser Option werden die Einstellungen aus der gew hlten Vorlage siehe Edit GINA Settings We Sektion Master Template verwendet Eventuell vorgenommene nderungen der weiteren Konfigurationspunkte dieser Sektion bleiben ohne Auswirkung Ist bereits ein Fusszeilen Logo importiert so wird dieses hier angezeigt ber die Browser Schaltfl che Datei ausw hlen kann ein Logo im gif Format zum Upload ausgew hlt werden Die maximale Gr sse des Logos ist vom verwendeten Cascaded Style Sheet CS
47. Kunden Pflichtfeld Land des Kunden First Name Pflichtfeld Vorname des Ansprechpartners beziehungsweise der zust ndigen Abteilung beim Kunden Last Name Pflichtfeld Nachname des Ansprechpartners beziehungsweise der zust ndigen Abteilung beim Kunden Email Address Pflichtfeld E Mail Adresse des Ansprechpartners beziehungsweise der zust ndigen Abteilung beim Kunden Phone Number Pflichtfeld Telefonnummer in der Form lt L ndercode gt lt Vorwahl ohne null 0 gt lt Rufnummer inklusive Durchwahl gt des Ansprechpartners beziehungsweise der zust ndigen Abteilung beim Kunden Mobile Phone Optional Mobilfunknummer in der Form lt L ndercode gt lt Vorwahl ohne null 0 gt Number lt Rufnummer inklusive Durchwahl gt des Ansprechpartners beziehungsweise der zust ndigen Abteilung beim Kunden Sektion Reseller Information Eingabefeld f r die Daten des SEPPmail Partners Parameter Beschreibung Company Pflichtfeld Firmenname des Partners Address 1 Pflichtfeld Adresse des Partners 2015 SEPPmail AG 194 First Name Pflichtfeld Vorname des Ansprechpartners beziehungsweise der zust ndigen Abteilung beim Partners Last Name Pflichtfeld Nachname des Ansprechpartners beziehungsweise der zust ndigen Abteilung beim Partners Email Address Pflichtfeld E Mail Adresse des Ansprechpartners beziehungsweise der zust ndigen Abteilung beim Partners Phone Number Pflichtfeld Telefonnummer in der F
48. Managed Domain eingetragen werden siehe Mail System 12 Managed Domains Ebenso m ssen die Managed Domains des Basis Systems erfasst werden Die GINA Konfiguration und deren Zuordnung zu den Managed Domains erfolgt auf dem Satelliten J14 GINA domains Hier sind die Managed Domains des Basis Systems einzutragen siehe Mail System 125 Managed Domains Die Trennung der Domains erfolgt durch ein Pipe Zeichen Hier ist die gleiche Pseudo E Mail Adresse einzutragen wie auf dem Basis System unter Use remote GINA Server reachable under the 2015 SEPPmail AG 162 Beschreibung following email address Relay domain key fingerprint Enable internal encryption with user keys also enables Idap server on ports 388 387 and 635 User keys must be installed on appliance for proper function Enable Idap server on ports 388 387 and 635 to distribute collected S MIME certificates to internal users Hier sind die Fingerprints der Dom nen Zertifikate der unter Relay for Domain angegebenen Managed Domains jeweils durch ein Pipe Zeichen getrennt anzugeben siehe Add Edit Managed Domain 36 S MIME Domain Encryption Mit dieser Option wird die zertifikatsbasierte interne E Mail Verschl sselung aktiviert Im Anschluss m ssen die privaten Schl ssel der vorhandenen unternehmensinternen CA f r die Benutzer denen das Verschl sseln zu externen Kommunikationspartnern gestattet ist auf
49. R ckmeldung des Systems zum Zeitpunkt des aktiven Lesens der versendeten E Mail sichergestellt werden Diese Lesebest tigung ist vom externen Empf nger nicht abzuw hlen Sollte dieses Verfahren der Kundenanforderung nicht entsprechen kann das Addin auch entsprechend angepasst werden Das Addin ist Standardm ssig in den Sprachen Deutsch und Englisch verf gbar Bei Bedarf k nnen zus tzliche Sprachen realisiert werden Danach wird die E Mail versendet b Schritt 2 Sender Verschl sseln und Initialpasswort Die als vertraulich markierte E Mail wandert durch den E Mail Server und passiert danach die SEPPmail Die Appliance erkennt dass diese E Mail zu verschl sseln ist und leitet den unter A 2 2 5 beschrieben Vorgang zur Verschl sselung ein Sie sieht also nach ob der oder die Empf nger schon bekannt sind Sollten diese schon einmal eine S MIME signierte E Mail an einen beliebigen Mitarbeiter geschickt haben oder haben sich schon einmal via GINA Portal registriert bzw ein eigenes S MIME Zertifikat oder einen eigenen openPGP Key hochgeladen dann wird Die E Mail damit verschl sselt Wenn f r den die Empf nger keine Schl ssel hinterlegt sind oder diese g nzlich unbekannt sind kommt die patentierte GINA Technologie von SEPPmail zum Einsatz 2015 SEPPmail AG 25 Bei dieser wird zuerst ein AES256 Key erzeugt die vertrauliche E Mail damit symmetrisch verschl sselt und als HTML Anhang an eine Standard E Mail bei
50. System und somit das Platzieren ausserhalb der DMZ m glich Die Kommunikation zwischen dem Basis System und dem Satelliten System erfolgt dabei via SMTP Port 25 lila Pfeil in Abbildung 7 Zum Internet hin wird das GINA Web Interface meist getrennt durch eine Web Application Firewall WAF ber SSL Port 443 bereit gestellt Das Einrichten dieser speziellen Funktion erfolgt im Men Mail Processing siehe auch Matt Processing Ruleset Generator Advanced Settings Secure Webmail Satellite interner E Mail Server Cluster Member Primary IP Adresse 10 10 0 2 externer E Mail Relay Server vollautomatische Synchronisierung Cluster Member Secondary IP Adresse 10 10 0 3 virtuelle Cluster IP Adresse 10 10 0 1 Secure Webmail IP Adresse 10 10 0 8 ein und ausgehende E Mails Abbildung 7 Schematische Darstellung einer Secure Webmail Satellite Struktur 2015 SEPPmail AG 100 4 9 7 Unterst tzen externer redundanter Systeme Einsatz mit redundanten internen und externen MTAs Mail Transport Agent In der SEPPmail Konfiguration kann sowohl als externer MTA E Mail Relay siehe M il System n23 Outgoing Server Server name wie auch pro interner E Mail Dom ne E Mail Server siehe Add h3 Settings Forwarding Server IP or MX name jeweils nur ein Host angegeben werden Sollen mehrere Systeme angesprochen werden k nnen so muss dies ber DNS Mx Eintr ge geschehen
51. Verf gbarkeit von ffentlichen openPGP Schl sseln Dieser Befehl pr ft die Verf gbarkeit personenbezogener ffentlicher openPGP Schl ssel der Empf nger siehe OpenPGP public keys 210 f r das Verschl sseln ausgehender E Mails Aufbau des Befehls pgp_keys_ avail R ckgabewert positiv f r die Gruppe mit vorhandenem ffentlichen openPGP Schl ssel negativ f r die Gruppe ohne ffentlichen openPGP Schl ssel Parameter keine Beispiel if pgp_keys avail logqg 1 pgp key available it emeryoe sol log 1 email successfully pgp encrypted else log 1 email could not be pgp encrypted else log 1 ino pop key available Erkl rung In diesem Beispiel wird zun chst gepr ft ob ein passender Benutzer basierter ffentlicher openPGP Schl ssel f r das Verschl sseln zur Verf gung steht Zeile 1 Das Ergebnis dieser Abfrage wird protokolliert Zeile 2 und 9 Steht ein entsprechender Schl ssel zur Verf gung wird mit dem Verschl sseln fortgefahren Zeile 3 dessen Erfolg beziehungsweise Misserfolg ebenfalls protokolliert wird Zeile 4 und 6 2015 SEPPmail AG 271 8 7 1 3 3 encrypt_pgp Der Befehl encrypt pgp erm glicht es E Mails via openPGP zu verschl sseln und zu signieren Dieser Befehl verschl sselt alle Texte und Anlagen e einer a en E Mail mit dem ffentlichen openPGP Schl ssel des Empf ngers siehe openP lie keys p1 Dabei wird das openPGP
52. Verschl sselung wird AES f r die Authentifikation SHA als Algorithmus verwendet Enable SNMP Aktivieren und deaktivieren des SNMP Deamon auf dem SEPPmail System Nach Aktivierung des SNMP Protokols k nnen Sie mit SNMP Tools wie zum Beispiel snmpwalk Informationen Ihres SEPPmail Systems abrufen m Address IP Adresse zu der sich das SNMP Monitoring verbindet Dies ist in der GE IC die IP Adresse der SEPPmail Appliance snmp v1 2 Read only Passwort f r den Nur Lese Zugriff auf die SNMP Daten Community snmp v1 2 Read write Passwort f r den Schreib Lese Zugriff auf die SNMP Daten Community snmp v3 user Benutzername f r den SNMP v3 Zugriff snmp v3 password Passwort f r den SNMP v3 Zugriff Dieses muss mindestens acht Zeichen lang sein Download Mis ber diesen Link k nnen Sie Management Information Bases MIB des SEPPmail Systems als ZIP Datei herunterladen Sektion VMware Tools optional 2015 SEPPmail AG 128 Enable VMware tools Im Standard wird ein Kernel mit aktivierten VMware Tools verwendet Da restart to activate diese Tools in einigen wenigen Konstellationen mit ESX zu Problemen setting f hren k nnen besteht die M glichkeit diese zu deaktivieren Eine hier vorgenommene nderung wird erst nach einem Neustart der SEPPmail Appliance aktiv Die vorgenommenen nderungen werden ber die Schaltfl che gespeichert 2015 SEPPmail AG 129 7 5 Mail System Im Men punkt Ma
53. abgewiesen Zeile 5 8 7 3 3 unpack_mail Der Befehl unpack mail entpackt auf einem GINA Relay System die vom Basis System bermittelten GINA Anforderungen i 2s bermittelten GINA Mit diesem Befehl werden die vom Basis System mittels pach 2015 SEPPmail AG 285 Anforderungen angenommen vergleiche Mail Processing Ruleset Generator Advanced Options This is a remote GINA server Das weitere Verarbeiten der E Mail findet im Anschluss statt Aufbau des Befehls unpack mail R ckgabewert positiv immer Parameter keine 2015 SEPPmail AG 286 8 7 3 4 webmail_keys_avail Der Befehl webmail keys avail pr ft ob ein GINA Benutzerkonto vorhanden ist Aufbau des Befehls webmail keys avail R ckgabewert positiv f r die Gruppe mit vorhandenem GINA Benutzerkonto negativ f r die Gruppe ohne GINA Benutzerkonto Parameter keine Beispiel if webmail keys avail log 1 GINA account already exists else log 1 no GINA account available creating new account webmeiil Joss emt ash Erkl rung In diesem Beispiel wird zun chst gepr ft ob ein GINA Benutzerkonto vorhanden ist Zeile 1 Das Ergebnis dieser Abfrage wird protokolliert Zeile 2 und 4 Ist kein GINA Benutzerkonto vorhanden so wird ein neues angelegt Zeile 5 2015 SEPPmail AG 287 8 7 3 5 webmail_keys_gen Der Befehl webmail keys gen erstellt ein GINA Benutzerkonto Dieser Be
54. auch an dieser Stelle die E Mail Adresse zu verwenden da hierdurch die Eindeutigkeit gew hrleistet wird Hinweis Diese Eingabe kann in den Benutzerdet ils 20 nicht mehr ge ndert werden Zeigt den Namen des jeweiligen Benutzers an Diese entspricht bei automatisch generierten Benutzern immer der E Mail Adresse Zeigt die E Mail Adresse des Benutzers an Hinweis Diese Eingabe kann in den Benutzerdetails 20 nicht mehr ge ndert werden Optional kann hier einem Benutzer ein Passwort vergeben werden Das Passwort muss den Passwort Regeln entsprechen siehe Untermen Password Policy po Hinweis Die Vergabe eines Passwortes ist f r das Nutzen der Appliance nicht notwendig Durch die Vergabe eines Passwortes wird es einem Benutzer erm glicht sich interaktiv an der Appliance also der Administrationsoberfl che anzumelden Hierf r muss der jeweilige Benutzer zus tzlich den entsprechenden Gruppen siehe Groups 213 zugeordnet werden ber die Schaltfl che wird der Benutzer angelegt und kann im Anschluss weiter bearbeitet werden siehe Untermen Benufzerdeta ils bo4 bricht den Vorgang ab 2015 SEPPmail AG 209 7 13 3 Untermen Password Policy Sektion Password Settings for system not GINA accounts Die Vergabe eines Passwortes ist ausschliesslich f r die Anmeldung an der Administrationsoberfl che notwendig Die Berechtigungen f r Benutzer mit Passwort wird ber die Gruppenzugeh r
55. auf der SEPPmail Appliance angelegten Benutzer entspricht accounts in this User Lizenzen domain GINA encrypted Anzahl der versendeten E Mails welche mittels GINA Technologie mails sent verschl sselt wurden 2015 SEPPmail AG 141 openPGP encrypted Anzahl der versendeten E Mails welche mittels openPGP Technologie mails sent verschl sselt wurden openPGP encrypted Anzahl der empfangenen E Mails welche mittels Technologie verschl sselt mails received waren S MIME encrypted mails sent S MIME encrypted mails received S MIME signed mails sent S MIME signed mails received openPGP Domain encrypted mails sent openPGP Domain encrypted mails received S MIME Domain encrypted mails sent S MIME Domain encrypted mails received Anzahl der versendeten E Mails welche mittels S MIME Technologie verschl sselt wurden Anzahl der empfangenen E Mails welche mittels S MIME Technologie verschl sselt waren Anzahl der versendeten E Mails welche mittels S MIME Technologie signiert wurden Anzahl der empfangenen E Mails welche mittels S MIME Technologie signiert waren Anzahl der versendeten E Mails welche mittels openPGP Technologie dom nenverschl sselt wurden Anzahl der empfangenen E Mails welche mittels openPGP Technologie dom nenverschl sselt waren Anzahl der versendeten E Mails welche mittels S MIME Technologie dom nenverschl sselt wurden Anzahl der empfangenen E Mails welche mitt
56. bei der Zertifikatspr fung immer dann zu Problemen wenn der Gegenstelle diese nicht bereits bekannt ist Internet Tools wie zum Beispiel CheckKTLS zeigen dann einen falschen TLS Status an Nicht jede pem Datei enth lt die komplette Zertifikatskette In diesem Fall m ssen die ben tigten Zwischenzertifikate gegebenenfalls anderweitig besorgt werden Key and certificate in ber die Internet Browser Schaltfl che Datei ausw hlen wird die PKCS12 format PKCS 12 Datei diese hat die Endung p12 oder pfx ausgew hlt 2015 SEPPmail AG 81 Parameter Beschreibung Hinweis Auch hier muss darauf geachtet werden dass diese Datei die komplette Zertifikatskette also auch die Zwischenzertifikate enth lt Gegebenenfalls kann nach dem Import der PKCS 12 Datei ein Backup des Zertifikates siehe 551175 vorgenommen werden Die dadurch zur Verf gung stehende pem Datei kann mit einem Editor ge ffnet und anschliessend wie oben beschrieben wieder inklusive Zwischenzertifikate importiert werden PKCS12 password Nachdem eine PKCS 12 Datei den Privaten Schl ssel enth lt ist diese Passwort gesch tzt Das Passwort muss vor dem Import der oben ausgew hlten PKCS 12 Datei in dieses Eingabefeld eingegeben werden ber die Schaltfl che LER N STENL ART EI wird das SSL Zertifikat in die Appliance hochgeladen Aktiv wird das Zertifikat nach einem Neustart der Appliance Detaillierte Informationen sind unter Request a new
57. between hotline and Benutzer w hlen ob das neue Passwort per SMS an seine SMS Handynummer gesendet werden soll sofern diese bereits hinterlegt ist oder ob er eine Telefonnummer f r den R ckruf durch die Hotline eingeben will F r diese Option muss das Self Service Password Management SSPM lizensiert sein Minimum password Gibt die minimale Passwort L nge an M gliche Werte liegen zwischen length 4 und 16 Must contain at least Passwort muss mindestens einen Kleinbuchstaben enthalten one lower case letter Must contain at least Passwort muss mindestens einen Grossbuchstaben enthalten one upper case letter Must contain at least Passwort muss mindestens eine Ziffer enthalten one number 2015 SEPPmail AG 172 Must contain at least Passwort muss mindestens eine Sonderzeichen enthalten one special character Must not contain own Passwort darf nicht die eigene E Mail Adresse enthalten name or mail address Must be different from Passwort muss sich von den letzten n Passw rtern unterscheiden previous password s Must be changed at Passwort muss nach n Tagen ge ndert werden least every days Die vorgenommenen nderungen werden ber die Schaltfl che gespeichert Sektion Certificate Login Erm glicht die Anmeldung an GINA Portal mittels Zertifikat Hierf r muss das Rootzertifikat der CA welche die Login Zertifikate ausstellt in das Eingabefeld eingef gt werden Use settings from Di
58. den Anhang des GINA E Mails statt im HTML im ZIP Format erh lt Account status O locked Zeigt an ob der Benutzer gesperrt ist zum Beispiel nach mehrfacher falscheingabe des Passwortes beziehungsweise kann der Administrator den Benutzer durch Aktivieren des Zip Attachement Password S des Passwortes dieses beim n chsten Anmelden ndern muss Buttons sperren O enabled Zeigt an ob der Benutzer aktiv ist beziehungsweise kann der Administrator den Benutzer durch Aktivieren des Buttons wieder in den Staus Aktiv External UL Exclude this account from external authentication Authentication Ist die externe LDAP Authentisierung aktiviert siehe auch Add Edit Managed Domain n External Authentication so kann diese durch Anhaken dieser Option f r einzelne Accounts ausgehebelt werden Diese Option ist nur bei intern das heisst der Managed Domain welcher auch das entsprechende GINA Interface zugeordnet ist zugeordneten Benutzern zu sehen 2015 SEPPmail AG 212 Password Security Benutzer individuelle Einstellung f r das R cksetzverfahren des Passwortes Diese Einstellung berschreibt die globale Einstellung unter Edit GINA Settings 16 Sektion Security Mobile number Mobilfunknummer f r das Zur cksetzen des Passwortes via SMS Sektion User Logs Level Durch klicken der Schaltfl che Show user logs wird ein detailliertes Log bez glich der aktivit ten des jeweiligen GINA Benutzers angezeigt A
59. den Empf nger aus dem envelope zur ck header_cc liefert den Wert Empf nger Adresse des cc headers zur ck 2015 SEPPmail AG 229 Variable Beschreibung subject liefert den Betreff der E Mail aus den subject header zur ck liefert die eindeutige Message ID der E Mail aus dem header zur ck 2015 SEPPmail AG 230 8 2 _Kontrollstrukturen else Anweisungen Die if else Anweisungen sind Kontrollstrukturen und dienen innerhalb des Rulesets der Ablaufsteuerung Sie sind ein elementarer Bestandteil des Regelwerks Ist eine Bedingung erf llt wird eine Aktionen ausgef hrt sonst wird eine alternative Aktion ausgef hrt Die auszuf hrende Aktion kann immer nur ein Befehl sein Wenn als Aktion mehrere Befehle ausgef hrt werden sollen so k nnen diese einzelnen Befehle in einem Anweisungsblock zusammengefasst werden Ein Anweisungsblock wird innerhalb geschweifter Klammern geschrieben Mit i wird festgelegt welche Voraussetzung zur Ausf hrung einer Aktion erf llt sein muss Mit else wird eine alternative Aktion eingeleitet sollte die durch i geforderte Bedingung nicht erf llt sein Eine if else Anweisung muss nicht durch ein Semikolon abgeschlossen werden if else Anweisungen k nnen geschachtelt werden Jede if Anweisung muss mit einem else abgeschlossen werden Aufbau einer iflelse Anweisung if Bedingung Anweisungsblock 1 else oder if Bedingung Anweisungsblock
60. den Ruleset Generator erzeugt so steht in den ersten beiden Zeilen Datum und Uhrzeit der Erzeugung sowie die Version mit welcher das Ruleset erzeugt wurde In sehr grossen Unternehmen mit entsprechend umfangreichen individuellen Anforderungen besteht 2015 SEPPmail AG 163 die M glichkeit ein Ruleset mittels der 228 zu erstellen Dieses kann ber die Schaltfl che 7171 importiert und verwendet werden 2015 SEPPmail AG 164 7 6 1 Untermen Create new GINA Domain Sektion Create new GINA Domain Parameter Beschreibung Description Hier ist der Name einzugeben welcher im Auswahlmen Mail Processing 14 GINA Domains angezeigt werden soll Hostname Ist unter Mail Processing GINA Settings die Option Use virtual hosting aktiviert so ist hier der FQDN anzugeben unter welchem das Interface erreichbar sein wird zum Beispiel securemail meinkunde ch Andernfalls ist hier der Name des Unterverzeichnisses anzugeben in welchem das GINA Interface erzeugt werden soll zum Beispiel meinkunde Das neue GINA Interface wird dann im Unterverzeichnis des unter dem FQDN des default GINA Eintrages erreichbar sein zum Beispiel https securemail meinefirma ch meinkunde web app ber die Schaltfl che wird der Vorgang abgeschlossen 2015 SEPPmail AG 165 7 6 2 Untermen Edit GINA Settings In diesem Men k nnen die Einstellungen f r die gew hlte GINA Domain individuell vorgenommen werden Z
61. der YOEM PRODUCTNAME gt Appliance importiert werden siehe Administration ap Import Import S MIME keys Am E Mail Client m ssen in der Regel zwei LDAP Adressb cher erzeugt werden 1 zur Abfrage der unternehmensinternen CA welche das Schl sselmaterial f r die interne E Mail Verschl sselung bereit stellt zur Abfrage des ber diese Option aktivierten Key Servers der SEPPmail Appliance Hierzu ist es ausreichend die IP Adresse beziehungsweise den Hostnamen der SEPPmail Appliance sowie einen der Ports 387 oder 388 beziehungsweise 635 f r eine verschl sselte Verbindung anzugeben Eine Authentifizierung ist nicht notwendig Weiterhin wichtig ist dass dem X 509 Root Zertifikat der internen CA der SEPPmail Appliance siehe EA ss DENE an den Clients vertraut wird diese Option schliesst die folgende Option aus Durch aktivieren dieser Option wird die OEM PRODUCTNAME gt Appliance und stellt somit die ffentlichen S MIME Schl ssel per LDAP zur Verf gung diese Option schliesst die vorhergehende Option aus Use Incamail instead of Diese Option ist nur f r Teilnehmer des schweizer Dienstes Incamail local GINA interface relevant Die vorgenommenen nderungen werden ber die Schaltfl che SETZE KT EEE gespeichert Das Ruleset wird mit den vorgenommen Einstellungen generiert Sektion SMTP Ruleset ber die Schalfl che PIS JEM ARTS wird das Ruleset der OEM PRODUCTNAME gt Appliance angezeigt Wurde dieses ber
62. des Mime Type text calendar Der Befehl pr ft ob es sich bei einer E Mail um einen Kalendereintrag zum Beispiel Einladungen Termine Besprechungsanfragen handelt Diese Abfrage wird typischerweise f r das anschliessende Unterbinden kryptographischer Aktionen bei Kalendereintr gen verwendet da viele E Mail Clients damit nicht umgehen k nnen Aufbau des Befehls iscalendar R ckgabewert positiv wenn die E Mail den Mime Type text calendar beinhaltet negativ wenn die E Mail den Mime Type text calendar nicht beinhaltet Parameter keine 2015 SEPPmail AG 295 8 9 2 isspam Der Befehl isspam pr ft ob es sich bei einer E Mail um SPAM handelt Dieser Befehl ist nur bei aktiviertem Protection Pack verf gbar Er pr ft den SPAM Level einer E Mail und f hrt die entsprechend der eingestellten Schwellwerte definierte Aktion aus Markieren oder Abweisen siehe auch Mail Processing han Ruleset Generator Protection Pack Anti Spam Anti Virus Aufbau des Befehls isspam marlevel tag rejectlevel R ckgabewert positiv immer Parameter marklevel Dieser Parameter definiert den Punktwert ab welchem eine E Mail als SPAM E Mail markiert wird Wertebereich 0 5 9 5 Schrittweite 0 5 Markieren heisst dem Betreff einer E Mail wird ein entsprechendes Merkmal hinzugef gt Dieses Merkmal wird mittels dem Parameter tag definiert tag Dieser Parameter definiert einen Wortbestandteil tag der zur Markie
63. die Anweisung log 1 regex test successful ausgef hrt sonst wird die Anweisung Log 1 regex test not successful ausgef hrt 2015 SEPPmail AG 251 8 3 18 rmheader Der Befehl rmheader l scht eine Header oder X Header Zeile innerhalb einer E Mail Aufbau des Befehls rmheader header R ckgabewert positiv immer Parameter header Angabe des zu l schenden Headers oder X Headers an M gliche Werte return path date from sender reply to to CC bcc subject beliebiger x header Hinweis Falls mehrere Header mit dem unter header angegebenen Namen existieren werden alle zutreffenden Header gel scht Beispiel rmheader X Greylist Erkl rung In diesem Beispiel werden alle X Greylist Header entfernt 2015 SEPPmail AG 252 8 3 19 setheader Der Befehl setheader f gt eine Header Zeile innerhalb einer E Mail hinzu oder ver ndert eine vorhandene Aufbau des Befehls setheader header value R ckgabewert positiv immer Parameter header Angabe des Headers oder X Headers der hinzugef gt oder ge ndert werden soll M gliche Werte return path date from sender reply to to CC bcc subject beliebiger x header Hinweis Falls mehrere Header mit dem unter header angegebenen Namen existieren wird der jeweils erste gefundene Header angepasst value Angabe des Wertes den der Header annehmen soll Beispiel 1 setheader x smenc y
64. durch das Addin im Subject Mode hinzugef gten Schl sselworte sind auch im Gesendet Ordner des Absenders zu sehen Das versetzt diesen in die Lage auch sp ter nachzuvollziehen ob er eine E Mail kryptographisch behandelt oder unbehandelt versendet hat Das zentrale SEPPmail System ist bei Eingang der E Mail in der Lage beide Informationen auszuwerten Weiterhin steht eine optionale Schaltfl che f r den Aufruf einer Hilfe Seite im Standard Webbrowser zur Verf gung Ebenso kann bei Bedarf eine Warnung beim Versenden von unverschl sselten und unsignierten E Mails ausgegeben werden Die Anwendung ist mehrsprachig und passt sich der jeweiligen Sprache der Microsoft Outlook Oberfl che an Ist diese nicht verf gbar wird Englisch als Standardsprache f r das Addin verwendet Derzeit sind die Sprachen e Deutsch s Englisch e Franz sisch e Italienisch verf gbar Im Folgenden werden technische Details zu den System Anforderungen zur Installation und zu den Abl ufen in der Registry beschrieben 6 2 Download Das SEPPmail Add In f r Microsoft Outlook k nnen Sie auf der folgenden Webseite in der jeweils aktuellen Version herunterladen http di seppmail ch 2015 SEPPmail AG 105 6 3 _Systemanforderungen Das SEPPmail Add In f r Microsoft Outlook kann unter verschiedenen Betriebssystemen und Microsoft Outlook Versionen installiert werden Microsoft Windows Betriebssysteme e Windows Vista e Windows 7 3
65. durch den die urspr ngliche Absender E Mail Adresse im Envelope ersetzt wird Ist der Parameter subst mit angegeben so ist newsender die Zeichenkette die f r den Teil der E Mail Adresse eingesetzt wird auf den subst zutrifft subst optional Regul rer Ausdruck der auf die urspr ngliche Absender E Mail Adresse angewendet wird Beispiel 1 replace sender new sender customer com Erkl rung In diesem Beispiel wird die E Mail Adresse im Envelope der E Mail durch new_sender customer com ersetzt Beispiel 2 replace sender customer com customer org Erkl rung In diesem Beispiel wird der Teil die E Mail Adresse im Envelope der E Mail durch auf den regul ren Ausdruck customer org zutrifft durch customer com ersetzt 2015 SEPPmail AG 249 8 3 16 rmatch Der Befehl rmatch pr ft ob ein regul rer Ausdruck auf mindestens einen Empf nger im Envelope zutrifft Aufbau des Befehls rmatch regexp R ckgabewert positiv wenn der regul re Ausdruck regexp auf mindestens einen Empf nger zutrifft negativ wenn der regul re Ausdruck regexp auf keinen Empf nger zutrifft Parameter regexp Definiert den regul ren Ausdruck der verglichen werden soll Beispiel 1 i rmatch customer org norcity Sender imtoo send ams In else Erkl rung In diesem Beispiel wird berpr ft ob die E Mail Adresse mindestens eines Empf ngers einer E Mail den Domain Bestand
66. f r den Zugriff von extern nicht gew nscht sein so muss gegebenenfalls f r den Zugriff von intern ein eigenes GINA Interface Create new GINA Domain ch siehe Mail Processing GINA Domains TE ZI NE eingerichtet werden Die dritte und letzte M glichkeit erfordert das Verteilen von Schl sselmaterial auf den Client So werden E Mails intern direkt am E Mail Client mit den ihm zur Verf gung stehenden meist self signed S MIME Schl sseln verschl sselt Enth lt eine E Mail einen externen Empf nger so wird an 2015 SEPPmail AG 102 der SEPPmail Appliance nach dem Prinzip best effort umverschl sselt An der SEPPmail Appliance muss f r dieses Verfahren die Option Enable internal encryption with user keys also enables dap server on ports 388 387 and 635 User keys must be installed on appliance for proper function aus Mail Processing Ruleset Generator Advanced Options siehe M aktiviert werden 4 10 3 Self Service Password Management SSPM Das Self Service Passwort Management erlaubt es GINA Benutzern selbst ndig Ihr Passwort zur ckzusetzen wenn dieses verloren ging Ein Eingreifen des Administrators ist somit nicht notwendig BE F r das Konfigurieren des eigenst ndigen Zur cksetzens stehen Untermen Edit GINA Settinc welches ber Mail Processing GINA Domains 37 zu erreichen ist in der Sektion en die M glichkeiten zur R cksetzung e ber eine Best tigungs E Mail Reset by Email verification e per
67. jedem zu importierenden ffentlichen openPGP Schl ssel ber einen separaten Kanal der Fingerabdruck Hash des Schl ssels gepr ft werden SEPPmail hat ein umgedrehtes Verfahren realisiert Wenn der Empf nger eine GINA E Mail siehe GINA Webmail23 erh lt so wird ihm dar ber auch die M glichkeit gegeben den eigenen ffentlichen Schl ssel egal ob openPGP oder S MIME auf die 2015 SEPPmail AG 21 Appliance hochzuladen Durch die vorangegangene Authentifizierung des Empf ngers durch E Mail und Initial Passwort am GINA W eb Interface ist kein zus tzliches Validieren durch die Administration oder den Sender notwendig 3 2 2 3 LDAP Key Lookup f r S MIME und OpenPGP Eine LDAP Lookup Funktionalit t ist in der L sung integriert Beim Erfassen von Key Servern ist allerdings auf die Qualit t dieser zu achten H ufig wird ber ffentliche Key Server totes Schl sselmaterial verbreitet Verwendet der Absender dieses Material so kann der Empf nger die damit verschl sselte E Mail unter Umst nden mangels privatem Schl ssel nicht lesen 3 2 2 4 TLS SEPPmail nutzt im Normalfall opportunistisches TLS sprich TLS mit der jeweils h chstm glichen Verschl sselung wird benutzt wenn dies vom gegen berliegenden E Mail Server bzw MTA Mail Transfer Agent unterst tzt und angeboten wird Zus tzlich k nnen f r einzelne E Mail Dom nen und oder E Mail Server spezifisch TLS Level erfasst werden m
68. k nnen und durch welche die Unabh ngigkeit vom eingesetzten E Mail Client gew hrleistet wird Ebenso k nnen jedoch X Header f r das Ansteuern der Kryptographischen Aktionen ausgewertet werden ebenfalls Tabelle 1 TT ki mit diesem Kennzeichen durchlaufen nicht das Ruleset und werden somit kryptographisch unbehandelt versendet x smenc yes TT k Mail mit diesem Kennzeichen werden mittels GINA Technologie verschl sselt Stichwort mee bk Notwendigkeit der Eingabe eines Initialpasswortes bei GINA E Mails wird unterdr ckt Sicherheitstechnisch bedenklich Sn N e zur bertragung des funknummer gt Initialpasswortes einer GINA E Mail Standard im Ruleset definiert wurde im Ruleset definiert wurde E Aktiviert das Large File Management unabh ngig der E Mail Gr sse rl TR Empf nger Einer LFM Mail muss sich f r das Abholen des Large Files nicht authentifizieren Tabelle 1 Funktionen welche Zusatzllizenzen erfordern Um den Benutzerkomfort zu steigern steht f r Microsoft Outlook ein Addin Wor zum kostenfreien Download Verf gung Soll das Ansteuern der Appliance aus IBM Notes mittels X Header erfolgen so kann das ber eine angepasste Mailschablone realisiert werden F r Novell Groupwise ist das Verwenden von X Headern gegebenfalls ber eine Vorlage umzusetzen Weitere automatisierte Steuerungsm glichkeiten sind zum Beispiel auch ber LDAP Abfragen m glich siehe auch M il Processing wm Ruleset Genera
69. kleineren Umgebungen als zus tzliche Stufe zwischen E Mail Server und Internetzugang Router in den E Mail Strom gesetzt In dieser Konstellation wird f r die Appliance optional ein Protection Pack Virus Spam and Phishign Protection VSPP f r Spam Erkennung und Virenschutz angeboten lalstr om 2015 SEPPmail AG 40 3 3 4 1 2 Gr ssere beziehungsweise komplexere Umgebungen In gr sseren Umgebungen trifft man h ufig auf eine separate AntiSpam Antiviren L sung welche im Normalfall auch E Mail Routing Funktionen zur Verf gung stellt Dabei werden ausgehende E Mails am Spam Filter auf Viren gepr ft bevor sie gegebenenfalls an der Appliance verschl sselt signiert werden Eingehende verschl sselte E Mails werden zun chst zum Entschl sseln an die SEPPmail Appliance geleitet und anschliessend zur Virenpr fung zur ck an den Spam Filter geliefert Somit k nnen auch verschl sselte E Mails an zentraler Stelle auf Viren gepr ft werden Mail Client SR lalstrom ZA Mail Server m Mail Router Spam Filter Firewall AEAN SEPPmail Appliance 2015 SEPPmail AG 41 3 3 4 2 ber spezielles Routing angesteuert Im folgenden Szenario f llt die M glichkeit des zentralen Entscheidens ob und wie E Mails beim Versand verschl sselt signiert werden an der SEPPmail Appliance weg Dieses Steuern wird von der vorgeschalteten AntiSpam Komponente bernommen Hierf
70. komplett transparent Er erh lt seine E Mails unverschl sselt in seiner Mailbox und liest diese wie bisher ohne Zusatzaufwand Eingehende E Mails k nnen mit einer digitalen Signatur versehen sein Bestandteil dieser Signatur ist der ffentliche S MIME Schl ssel Zertifikat des Absenders Um den Verwaltungsaufwand zu minimieren speichert die SEPPmail Appliance diese S MIME Zertifikate nach erfolgreicher Pr fung automatisch wodurch sie im Anschluss f r das Verschl sseln von E Mails an die entsprechenden Kommunikationspartner bereit stehen F r den sicheren E Mail Versand w hlt die SEPPmail Appliance aus folgenden 5 Methoden die f r den Empf nger bestm gliche aus 1 S MIME Benutzerverschl sselung 2015 SEPPmail AG 13 Sofern auf der SEPPmail Appliance entsprechendes Schl sselmaterial vorhanden ist l uft die Verschl sselung mittels S MIME vollautomatisch ab F r das Erlangen ffentlicher Schl ssel der Kommunikationspartner werden diese automatisch aus den S MIME Signaturen eingehender E Mails eingesammelt Schl sselpaare f r interne Benutzer k nnen auf der SEPPmail Appliance selbst erstellt oder durch einen ffentlichen Zertifikatsanbieter ausgestellt werden In beiden F llen lassen sich die Zertifikate auch automatisiert erstellen Die SEPPmail Appliance unterst tzt zu diesem Zweck verschiedene Schnittstellen zu ffentlichen Zertifikatsanbietern CAs 2 openPGP Benutzerverschl sselung openPGP funkti
71. n chste Option ausgestellten Zertifikaten die issuer IssuerName Serialnumber ber den Wert value always Gibt eine Fehlermeldung aus wenn das angegebenen Informationen Kopieren der angegebenen Optionen fehlschl gt ber die ausstellende CA hinzu setting Gibt die Art des Fingerprints hash bildet einen Hash Wert gem ss RFC 3280 des ausgestellten Zertifikats an hex Ein vordefinierter Hex Wert wird dem Zertifikat angeh ngt nicht empfohlen settin A Erm glicht das Einbinden email E Mail Adresse weiterer Alternativnamen in das copy f gt automatisch eine Kopie der E Mail ausgestellte Zertifikat Adresse aus dem SubjectName hinzu URI uniform resource indicator DNS DNS domain name RID registered ID OBJECT IDENTIFIER IP IP Adress im v4 oder v6 Format dirName sollte auf einen distinguished name DN 2015 SEPPmail AG 188 Beschreibung WS EEGEN zeigen Mehrfach eingabe durch m glich Extension setting Extension setting Extension setting Extension setting Extension setting New Extension basicConstraints CA FALSE Zeigt auf ob es sich bei dem CA m gliche Werte sind TRUE oder FALSE Ausgestellten Zertifikat um ein pathlen optional bei CA TRUE gibt die maximale CA Zertifikat handelt Anzahl von CAs an welche Kommentareintrag f r das Frei w hlbarer Kommentar Zertifikat Gibt den Zertifikatstyp an client server email objsign reserved ssICA Netscape emailCA
72. proxy Connect through Telnet proxy Umweg ber einen Proxy Server ins Internet m glich ist Aktivieren Sie diese Option um SSH Verbindungen durch einen generischen SOCKS Proxy zu tunneln Diese Option kann verwendet werden wenn der direkte Zugang via SSH ins Internet reglemenitiert ist f r dass SEPPmail System aber die Verbindung ber einen SOCKS Proxy Version 4 ins Internet m glich ist Aktivieren Sie diese Option um SSH Verbindungen durch einen generischen SOCKS Proxy zu tunneln Diese Option kann verwendet werden wenn der direkte Zugang via SSH ins Internet reglemenitiert ist f r dass SEPPmail System aber die Verbindung ber einen SOCKS Proxy Version 5 ins Internet m glich ist Aktivieren Sie diese Option um SSH Verbindungen durch einen HTTP Proxy zu tunneln Diese Option kann verwendet werden wenn der direkte Zugang via SSH ins Internet reglementiert ist f r dass SEPPmail System aber die Verbindung ber einen HTTP Proxy ins Internet m glich ist Aktivieren Sie diese Option um SSH Verbindungen durch einen Telnet Proxy zu tunneln Diese Option kann verwendet werden wenn der direkte Zugang via SSH ins Internet reglementiert ist f r dass SEPPmail System aber die Verbindung ber einen Telnet Proxy ins Internet m glich ist Use port 80 instead of Aktivieren Sie diese Option wenn eine HTTP Verbindung direkt ins Sektion Time zone Internet m glich ist Die SSH Verbindung verwendet dann den Port TCP 80
73. r muss diese ebenfalls die individuell am E Mail Client via Schl sselw rter Outlook Addin IBM Notes Schablone oder Groupwise Vorlage getroffene Entscheidung interpretieren k nnen Mail client Kryptographisch zu behandelnder Mailverkehr m Besticher Mailverkehrr 2A Mail Server D Mail Router Spam Filter Firewall SEPPmail Appliance 3 3 4 3 Schnittstellen Eine Liste der zu gew hrleistenden Kommunikationswege ber welche die SEPPmail Appliances kommunizieren ist sowohl im Quick Install Guide http www seppmail ch uploads media SEPPmail Quick Setup Guide 02 pdf als auch im Handbuch http www seppmail ch uploads media SEPPmail mit Ruleset v7 0 2 01 pdf zu finden 2015 SEPPmail AG 42 3 3 5 Hochverf gbarkeit Loadbalancing Die Cluster und Loadbalancing Funktionalit t ist im Grundsystem der SEPPmail Appliance integriert Mit wenigen Schritten kann ein Cluster zwischen zwei und mehr Ger ten aufgebaut werden bei Bedarf auch ber verschiedene Standorte hinweg Dabei werden alle betriebsrelevanten Daten Systemparameter Nutzerdaten und Schl sselmaterial ber alle Systeme synchronisiert Die Systeme sind so ausgelegt dass bei einem Totalausfall eines Standortes der oder die verbleibenden Standorte den Betrieb reibungslos aufrechterhalten k nnen Sobald der Regelbetrieb wieder hergestellt ist werden wieder alle Systeme automatisch abgeglichen 3 3 5 1 Multi Master LDAP Ein SEPPmail
74. s verwendet werden Im Standard ist lediglich das Template bounce_noenc vorhanden Dieses sowie gegebenenfalls selbst erzeugte Templates k nnen nach entsprechender Auswahl ber das Drop Down Men ber die Schaltfl che angepasst werden Das Anlegen neuer Templates erfolgt ber die Schaltfl che IW TEE Abh ngig von spezifischen Einstellungen des Rulests siehe Ruleset Generator werden weitere Standard Templates verwendet bounce_noseckey bounce_noauth verwendet Diese sind in der Auswahl nicht zu sehen k nnen jedoch durch Erstellen mittels ebenfalls angepasst werden 2015 SEPPmail AG 152 Hinweis Bei der Anlage neuer Templates kann ber den Template Namen gesteuert werden ob die Original E Mail als Anhang angef gt wird oder nicht Wird im Template Namen attachmail gefunden so wird die urspr ngliche E Mail angef gt Soll ein Template ber die Schaltfl che gel scht werden so ist vorher unbedingt zu berpr fen dass dieses in Custom Commands der Sektion Ruleset Generator dieses Men s verwendet wird Sektion Miscellaneous Options Sonstige Einstellungen automatically Ist der Sektion Ruleset Generator dieses Men s unter Key Generation die send new Option automatically create openPGP keys for new users aktiv so wird durch openPGP public Aktivieren dieser Option der ffentliche Schl ssel des automatisch generierten keys to users Schl sselpares an den neu erzeugte Benutzer ge
75. sein zu den E Mail Adressen Ihres Unternehmens Weitere Informationen zur Verwaltung von E MailDom nen erhalten Sie im Kapitel Add Edit Managed Domain 38 Dieser Parameter bewirkt dass f r alle ber die Schaltfl che Add neu hinzugef gten E Mail Dom nen automatisch ein selbst signiertes X 509 S MIME Dom nen Zertifikat erzeugt und an einen zentralen Updateservice bertragen wird Dieses neu erzeugte S MIME Dom nen Zertifikat also ausschliesslich der ffentliche Schl ssel f r Ihre E Mail Dom nen wird danach automatisch an alle SEPPmail Systeme verteilt so dass alle Unternehmen die ein SEPPmail System betreiben ohne weiteren Aufwand E Mails ausschliesslich verschl sselt untereinander austauschen Dieser Service ist bereits in der Basis Lizenz enthalten und erfordert keine zus tzlichen Encryption Lizenzen Hinweis Die Genehmigung der Ver ffentlichung des S MIME Domainzertifikats muss bei SEPPmail nach Erstellung der Managed Domain nochmals explizit erteilt werden Soll nicht am Managed Domain Service teilgenommen werden so ist diese Option zu deaktivieren bevor die erste E Mail Dom ne angelegt wird Das S MIME Domain 2015 SEPPmail AG 130 Zertifikat wird dann nicht automatisch erzeugt Keeser Mail from Dieser Parameter bewirkt dass das im Benutzerkonto eingerichtete POP3 remote POP3 Konto durch SEPPmail jeweils in einem Zeitintervall von drei Minuten server abgeholt wird Die so abgeholten E Mails wer
76. so generierten Zertifikate betr gt immer zehn Jahre Sektion GINA and Disclaimer Settings ber die Auswahl Use GINA Settings k nnen die f r die angegebenen E Mail Dom ne zu verwendenden GINA Einstellungen ausgew hlt werden Diese k nnen ber das Men Mail Processing GINA Domains erzeugt und editiert werden Bei mandantenf higen Systemen muss hier zwingend die f r den Kunden eigens einzurichtende GINA ausgew hlt werden Durch die Auswahl Use Disclaimer l sst sich eine Fussnote f r ausgehende E Mails w hlen Fussnoten k nnen ber das Men Mail Processing Edit Disclaimer erzeugt und editiert werden Diese Einstellungen kommen nur dann zum Tragen wenn die Funktionen im Ruleset Generator des Men s Mail Processing aktiviert wurden Sektion TLS settings optional Soll zum nachgelagerten Groupware System siehe Forwarding Server eine TLS verschl sselte Verbindung aufgebaut werden so kann die TLS Verschl sselung an dieser Stelle konfiguriert werden 2015 SEPPmail AG 140 TLS Einstellung Beschreibung KS TLS Verschl sselung SE E Mails werden ber einen TLS verschl sselten Kanal versendet falls der empfangende E Mail Server TLS Verschl sselung unterst tzt Encrypt E Mails werden nur versendet falls der Versand mittels TLS Verschl sselung m glich ist Verify E Mails werden nur versendet falls der Versand via TLS Verschl sselung m glich und das SSL Zertifikat des empfangenden E Mail Servers g l
77. tempor re 30 t geige Testlizenz bezogen SR eine bereits vorhandene Kauflizenz aktiviert siehe Das jistrie Nach erfolgreichem Reoisttiorungspro2ess verschwindet die Meldung No valid license found Please obtain a valid license Bei Aufruf der Konfigurationsoberfl che im Webbrowser erschenit eine Warnung dass die Webseite unsicher sei Der Aufruf der Seite muss trotz dieser Meldung fortgesetzt werden Hinweis Die Meldung erscheint in der Regel nur bis ein g ltiges SSL Zertifikat installiert wurde siehe Men punkt SS v i 4 6 1 3 Netzwerkeinstellungen der SEPPmail Appliance Um die Netzwerkparameter der SEPPmail Appliance permanent zu konfigurieren m ssen diese in der Konfigurationsoberfl che unter dem Men punkt System eingetragen und gesichert werden In der Sektion IP Addresses ist f r das Interface 1 die IP Adresse und die zugeh rige Subnetzmaske gem ss des vorhanden Netzwerkes einzugeben Hnweis Die Definition der Netzmaske wird nach der Classless Inter Domain Routing CIDR Notation festgelegt e Die Netzmaske 255 255 255 255 entspricht 32 einzelne IP Adresse e Die Netzmaske 255 255 255 0 entspricht 24 Klasse C Netzwerk e Die Netzmaske 255 255 0 0 entspricht 16 Klasse B Netzwerk e Die Netzmaske 255 0 0 0 entspricht 8 Klasse A Netzwerk 2015 SEPPmail AG 71 In der Sektion Name sind die Felder Hostname und Domain zu f llen Dabei ist der Hostname ist frei w hlbar
78. virtuelle IP Adresse 10 10 0 2 f r alle eingehenden E Mails zust ndig Hier ist das Cluster Member System mit der IP Adresse 10 10 0 10 als Primary eingerichtet entgegengesetzt der vorherigen Darstellung und reagiert somit immer als erstes System 2015 SEPPmail AG 92 wenn die virtuelle IP Adresse 10 10 0 2 angesprochen wird Das Cluster Member System mit der IP Adresse 10 10 0 9 ist als Secondary eingerichtet und reagiert nur dann wenn der Cluster Member Primary also das System mit der IP 10 10 0 10 nicht verf gbar ist Das heisst f llt in diesem Konstrukt eine Maschine aus so bernimmt die jeweils andere Maschine deren Aufgabe Am Beispiel der Abbildung 2 w rde also bei Ausfall des Systems mit der physikalischen IP 10 10 0 9 welches prim r den ausgehenden E Mail Verkehr ber die virtuelle IP Adresse 10 10 0 1 annimmt ausfallen so w rde das secund r f r die virtuelle IP Adresse 10 10 0 1 konfigurierte System also das mir der IP 10 10 0 10 den ausgehenden E Mail Verkehr zus tzlich bernehmen Loadbalancing Um gegebenenfalls Lastspitzen abfangen zu k nnen bietet die SEPPmail Appliance in einer solchen Umgebung weiterhin die M glichkeit bei erreichen eines definierten Lastzustandes am Primary System Last an das Secondary System abzugeben siehe auch System ug SMTP Loadbalancing al Zusammenfassung Jedes einzelne SEPPmail System kann ber zwei verschiedene virtuelle IP Adressen angesproch
79. werden die Einstellungen aus der gew hlten Vorlage siehe Edit GINA Settings 1165 Sektion Master Template verwendet Eventuell vorgenommene nderungen der weiteren Konfigurationspunkte dieser Sektion bleiben ohne Auswirkung Disable Powered Deaktiviert das Hersteller Logo rechts unten auf der GINA Seite by Logo in GINA viewer Enable Header Aktiviert das Kopfzeilen Logo auf der GINA Anmeldeseite Dies setzt voraus logo on Login dass in der Sektion Header Logo auch ein Logo hochgeladen wurde page Enable Header Aktiviert das Kopfzeilen Logo auf allen weiteren GINA Seiten Dies setzt logo on all other voraus dass in der Sektion Header Logo auch ein Logo hochgeladen wurde pages Enable Footer Aktiviert das Fusszeilen Logo auf der GINA Anmeldeseite Dies setzt voraus logo on Login dass in der Sektion Footer Logo auch ein Logo hochgeladen wurde page 2015 SEPPmail AG 176 Enable Footer Aktiviert das Fusszeilen Logo auf allen weiteren GINA Seiten Dies setzt logo on all other voraus dass in der Sektion Footer Logo auch ein Logo hochgeladen wurde pages Enable Footer Aktiviert die Fussnote auf der GINA Anmeldeseite Dies setzt voraus dass in text on Login der Sektion Footer text aus dem Sub Men Edit Translations I1 7d auch ein page Fussnoten Text hinterlegt wurde Enable Footer Aktiviert die Fussnote auf allen weiteren GINA Seiten Dies setzt voraus dass text on all other in der Sektion Footer text au
80. with Outlook confidential flag set Always use GINA technology for mails with the following text in subject Always use GINA technology for mails with Outlook private flag set Create GINA users with empty password if the following text is in the subject Always use S MIME or openPGP if keys are available zum Beispiel nach einem externen SPAM Filter problemlos verf gbar Hinweis Durch Aktivieren dieser Aktion wird auch eine eventuell teilweise Ende zu Ende Verschl sselung zum Beispiel mittels Smart Card unterbunden Ist diese Option aktiv und das angegebene Schl sselwort wird im Betreff einer ausgehenden E Mail gefunden so wird diese verschl sselt Im Standard lautet das Schl sselwort confidential Bei aktiver Option wir der Sensitivity Parameter aus dem E Mail Header der ausgehenden E Mail ausgewertet Hat dieser den Wert confidential so wird die E Mail verschl sselt Ist diese Option aktiv und das angegebene Schl sselwort wird im Betreff einer ausgehenden E Mail gefunden so wird das Verschl sseln mittels GINA Technologie erzwungen Im Standard lautet das Schl sselwort priv Das Erzwingen der GINA Technologie ist immer dann sinnvoll wenn eine verl ssliche Lesebest tigung ben tigt wird Bei aktiver Option wir der Sensitivity Parameter aus dem E Mail Header der ausgehenden E Mail ausgewertet Hat dieser den Wert private so wird ebenfalls das Verschl sseln mittels GINA Te
81. zur Verf gung gestellt Dadurch werden diese widerum in de Lage versetzt S MIME verschl sselt mit dem Absender zu kommunizieren Weiterhin wird hierdurch die Herkunft der E Mails best tigt Do not S MIME sign Ist diese Option aktiv und das angegebene Schl sselwort wird im outgoing mails with the Betreff einer ausgehenden E Mail gefunden so wird ein eventuelles E Signieren in jedem Fall unterdr ckt Andere kryptographische allommgilextingsubjeot Aktionen Verschl sseln sind davon nicht betroffen Im Standard lautet das Schl sselwort nosign S MIME sign outgoing Ist diese Option aktiv und das angegebene Schl sselwort wird im mails with domain key with Betreff einer ausgehenden E Mail gefunden so werden alle ausgehenden E Mail egal von welchem Absender mit dem S DS un DS MIME Zertifikat und im Namen der angegebenen E Mail Adresse SES siehe Using Certificate S MIME signiert Im Standard lautet das Schl sselwort domainsign Hinweis Vom Verwenden dieser Option wird dringendst abgeraten Durch die f r diese Funktion notwendige Manipulation des Absenders aller ausgehenden E Mails resultieren zahlreiche Probleme So werden sogenannte Non Delivery Reports immer an diese Adresse und nicht an den urspr nglichen Absender gesendet Das heisst kommt eine E Mail nicht wie erwartet bei Empf nger an so wird der urspr ngliche Absender dar ber keine Information erhalten Tr gt der Empf nger den Absender
82. 0 Zu beachten ist an dieser Stelle das Realisieren des SSL Zugriffs f r Enhanced Secure Webmail gr n dargestellt Kann dieser nicht wie in Abbildung 4 1 dargestellt von einem externen Loadbalancer mit verarbeitet werden so besteht bei Bedarf die M glichkeit diesen Zugriff ber eine virtuelle Cluster IP Adresse siehe Abbildung 4 2 im Beispiel 10 10 0 1 zu realisieren In Abh ngigkeit der Cluster Member Priorit ten wird im Beispiel der Abbildung 4 2 das Cluster Member System mit der IP Adresse 10 10 0 9 antworten da dies mit der Priorit t Primary eingerichtet ist Ist dieses System nicht verf gbar so wird das Cluster Member System mit der IP Adresse 10 10 0 10 und der Priorit t Secondary die Funktion bernehmen Load Balancing Cluster externer Load Balancer interner E Mail Server externer E Mail Relay Server IP 10 10 0 9 vollautomatische Synchronisierung Load Balancer Load Balancer IP 10 10 0 10 Be ausgehende E Mails eingehende E Mails Abbildung 4 1 Schematische Darstellung der dynamischen Aufteilung f r ein und ausgehende E Mails durch einen externen Loadbalancer 2015 SEPPmail AG 96 Load Balancing Cluster externer Load Balancer virtuelle Cluster IP Adresse 10 10 0 1 interner E Mail Server externer E Mail Relay Server Primary IP 10 10 0 9 vollautomatische Synchronisierung Load Balancer Load Balancer
83. 0600 08 00 10 00 CPU Usage sot SEPPmail Daily Report for Device ID 0050 56a6 4706 NOTE There is a new version avallable Installed version is 7 1 1 dev Build 4944 latest version is 7 1 1 dev Build 4948 To get rid of this message log in to your appliance and click on X 509 Root Certificates Click on each entry with a and decide if you want to trust the certificate or not A good way to decide if you want to trust a certificate is to download it and to check if your PC trusts the certificate 14 00 16 00 18 00 20 00 22 00 B Received total 0 msgs avg nan msgs min max nan msgs min E Sent total 0 msgs avg nan msgs min max nan msgs min B Encrypted total 0 msgs avg nan msgs min max nan msgs min B DOecrypted total 0 msgs avg nan msgs min max nan msgs min Tue Jan 20 00 00 14 2015 14 00 16 00 18 00 20 00 22 00 B system Muser Wnice Tue Jan 20 00 00 15 2015 2015 SEPPmail AG 47 3 3 7 Mandantenf higkeit Public Private Cloud Implementierung SEPPmail Appliances sind grunds tzlich mandantenf hig Somit wird Unternehmensrechenzentren und Managed Service Providern erm glicht den Service Sichere E Mail auch f r eigenst ndige Unternehmenseinheiten und oder unterschiedliche kleinere oder gr ssere Kunden Mandanten anzubieten Dabei unterliegt der Betrieb der Appliance dem Provider Durch eine ebenfalls nach Mandanten getrennte Konfigurationsoberfl che kann ber optional jeweils ein
84. 1 else Anweisungsblock 2 Die i Anweisung bestimmt aufgrund des R ckgabewertes der Bedingung den weiteren Verlauf im Programmablauf Die Bedingung besteht aus einem einzelnen Befehl welcher mindestens einen R ckgabewert hat Anweisungsblock 1 wird nur dann ausgef hrt wenn der R ckgabewert positiv ist Anderenfalls wird falls vorhanden ausschliesslich Anweisungsblock 2 ausgef hrt Beispiel if authenticated else createaccount CREATEGPGKEYS log 1 user account generated Erkl rung Das Beispiel wertet den R ckgabewert des Befehls authenticated aus Konnte der interne interne Absender der E Mail erfolgreich authentifiziert werden so ist der R ckgabewert true Nachdem f r diesen Fall keine weitere Anweisung definiert wurde wird ohne weitere Aktion im Programmablauf fortgefahren Schlug die Authentifizierung fehl das heisst der R ckgabewert ist false so kommt der unter else angef hrte Anweisungsblock zu tragen Im Beispiel w rde somit ein Benutzerkonto f r den Absender angelegt und ein openPGP Schl sselpaar erzeugt 2015 SEPPmail AG 231 8 3 Allgemeine Befehle 8 3 1 add_rcpt Der Befehl add rcpt f gt der E Mail eine zus tzliche Empf nger E Mail Adresse im Envelope hinzu Aufbau des Befehls ace repr Tamt but Leer 3 R ckgabewert positiv immer Parameter e mail address Dieser Parameter definiert die E Mail Adresse welche dem Env
85. 167 Send copy to myself checked by default when writing GINA mails Sender always receives notification when recipient readsGINA mails Allow account self registration in GINA portal without initial mail Enable S MIME certificate openPGP key search and management in GINA Allow download of public domain keys domain certificates Allow unregistered users to search public keys certificates of internal users Allow GINA users to write new mails Do not allowGINA users to edit recipient when replying to e mails Allow GINA users to reply to external recipients of GINA messages Mit dieser Option wird der Haken im OEM WEBMAIL GINA gt Interface f r eine Kopie an den Sender bereits als Standard gesetzt Dadurch erh lt der GINA Benutzer beim Versenden einer E Mail diese ebenfalls als GINA Mail in Kopie und hat somit einen entsprechenden Nachweis Mit dem Setzen dieses Hakens wird die Anforderung einer Lesesbest tigung beim Versand von GINA Mails als Standard definiert Eventuell vom Absender definierte Einstellungen dadurch berschrieben Erlaubt Personen welche sich auf dasGINA Interface im Beispiel aus der Sektion Secure GINA Host https securemail meinefirma ch meinkunde web app verbinden eine Registrierung ohne initialer GINA Mail Somit wird einem externen Kommunikationspartner erm glicht eine sichere E Mail Kommunikation ber das GINA Interface initial zu starten Vorausset
86. 2 in PKCS12 format Datei diese hat die Endung p12 oder pfx ausgew hlt Hinweis Auch hier muss darauf geachtet werden dass diese Datei die komplette Zertifikatskette also auch die Zwischenzertifikate enth lt Gegebenenfalls kann nach dem Import der PKCS 12 Datei ein Backup des Zertifikates siehe SSL75 vorgenommen werden Die dadurch zur Verf gung stehende pem Datei kann mit einem Editor ge ffnet und anschliessend wie oben beschrieben wieder inklusive Zwischenzertifikate importiert werden PKCS12 password Nachdem eine PKCS 12 Datei den Privaten Schl ssel enth lt ist diese Passwort gesch tzt Das Passwort muss vor dem Import der oben ausgew hlten PKCS 12 Datei in dieses Eingabefeld eingegeben werden ber die Schaltfl che LE OTEHL ARTE wird das SSL Zertifikat in die Appliance hochgeladen Aktiv wird das Zertifikat nach einem Neustart der Appliance 7 7 1 1 Untermen Download and Import signed Certificate Sektion Request Das Eingabefeld enth lt den CSR wie er an die CA bermittelt werden muss Die geschieht h ufig ber ein Texteingabefeld auf der Webseite der CA Sektion Import Certificate Wird nach dem Hochladen des CSR zur CA von dieser das Zertifikat zur ckgeliefert so ist der Inhalt dieses Zertifikats in dieses Eingabefeld einzugeben Diese Zertifikat beginnt mit BEGIN CERTIFICATE und endet mit END CERTIEICATE Unter Umst nden werden von der CA weitere Zertifikate zur Verf gung ge
87. 2 64 bit e Windows 8 32 64 bit e Windows Terminal Server Microsoft Outlook Versionen e Outlook 2003 e Outlook 2007 e Outlook 2010 32 64 bit e Outlook 2013 32 64 bit NET Framework Das NET Framework muss in der Version 4 0 Client Profile oder neuer vorhanden sein Fehlt dieses versucht die Installationsroutine diese Komponente automatisch aus dem Internet zu beziehen und zu installieren 6 4 Installation Die Installation besteht aus zwei Dateien e Setup exe ist erforderlich um auf Windows Vista Windows 7 und Windows 8 bei eingeschaltetem UAC User Account Control Benutzerkontensteuerung per Rechtsklick Als Administrator ausw hlen zu k nnen Pr ft vor dem Ausf hren der msi Datei ob die Voraussetzungen f r die Installation zum Beispiel NET Framework vorhanden sind e SEPPmailOutlookAddInSetup msi f hrt die eigentliche Installation durch und kann auch direkt gestartet werden wenn entsprechende Rechte vorhanden sind zum Beispiel inaktives UAC und Admin Rechte beziehungsweise am Terminalserver bereits in den Install Mode gewechselt wurde 2015 SEPPmail AG 106 6 4 1 Interaktive Installation Beispiel 1 Rechtsklick auf setup exe und Als Administrator ausf hren bzw Run as administrator ausw hlen Open New folder Name Date modified Type Size fe SecureMailAddinSetup 1 2 6 msi 18 01 2012 11 52 Windows Installer 2 085 KB TS setup exe 18 01 2012 11 52 Application 483 KB
88. 20 unable to get local issuer certificate verify return O 250 HELP SHAl Fingerprint DD 9A EC 66 E2 43 81 B9 20 2B 75 DB 30 C8 67 CC 9B B0O D1 99 read errno 0 In der Ausgabe wird der ben tigte SHA1 Fingerprint angezeigt Dieser Wert kann nun in die Konfiguration bernommen werden 2015 SEPPmail AG 147 7 6 MailProcessing Im Men punkt Mail Processing wird das Regelwerk des SEPPmail Systems konfiguriert Dieses Regelwerk ist mit einem Workflow System vergleichbar und stellt das zentrale Element der SEPPmail Appliance dar Sektion GINA Domains Indiviuduelle Einstellungen zu den einzelnen GINA Interfaces Auswahl der zu bearbeitenden GINA Domain Im Standard ist an dieser Stelle eine default GINA vorhanden Sollte nur ein GINA Webinterface ben tigt werden so ist es ausreichend diese default Einstellungen individuell anzupassen Sollten mehrere Managed Domains auf dem System eingerichtet sein so k nnen ber die Schaltfl che weitere GINA Weebinterfaces eingerichtet werden siehe Untermen Create new GINA Domain ver Bei einer mandantenf higen Installation ist es zwingend erforderlich f r jeden Kunden wenigstens eine GINA Webinterface zu erstellen Das Einrichten erfolgt jeweils durch Auswahl der zu konfigurierenden GINA ber das Drop Down Men und klicken der Schaltfl che Editi siehe Untermen HptermenttGik cSettipnge n65 Die Zuordung des jeweiligen GINA Webinterfaces zur jeweiligen
89. 5 openssl x509 text noout depth 1 C US O Google Inc CN Google Internet Authority Certificate Subject C US ST California L Mountain View O Google Inc CN psmtp com x509v3 Subject Alternative Name DNS psmtp com Die Darstellung der Ausgabe wurde auf die wesentlichen Informationen reduziert Auslesen des SHA1 Fingerprint aus dem SSL Zertifikat des empfangenden E Mail Servers Einen Schritt zuvor wurde beschrieben wie das vom empfangenden E Mail Server verwendete SSL Zertifikat ausgelesen werden kann Dabei ist es nicht relevant ob es sich hierbei um ein Wildcard Zertifikat handelt oder nicht Der Fingerprint eines SSL Zertifikats kann relativ einfach mir dem Kommandozeilentool OpenSSL ausgelesen werden Beispiel kb openssl s client starttls smtp crlf connect xxx xxx xxx xxx 25 openssl x509 noout fingerprint Auch in diesem Beispiel steht xxx xxx xxx xxx f r die tats chliche IP Adresse des Zielservers welche alternativ durch den Hostnamen des Zielservers ersetzt werden kann kb openssl s client starttls smtp crlf connect postini com s8al psmtp com 25 openssl x509 noout fingerprint Die daraus resultierende Ausgabe sollte wie folgt aussehen kb openssl s client starttls smtp cilit connect postini com s8al psmtp com 25 openssl x509 noout fingerprint depth 1 C US O Google Inc CN Google Internet Authority 2015 SEPPmail AG 146 verify error num
90. 8 Befehle f r LDAP Zugriff auf externe Quellen 8 8 1 Idap_read Der Befehl Idap_ read liest einen Wert aus einem LDAP Verzeichnis aus und legt diesen in einer Variablen ab Dieser Befehl baut eine Verbindung zu einem LDAP Server auf liest den Wert eines Attributs aus und legt diesen in einer Variable ab Wird keiner der angegebenen LDAP Server erreicht so wird die E Mail mit einem tempor ren Fehler abgewiesen 420 could not bind to LDAP server Aufbau des Befehls Ldas zead Ilcdap Tengeel war R ckgabewert positiv wenn das Attribute attr gefunden und somit der Variablen var ein Wert zugewiesen werden kann negativ wenn der Variablen var kein Wert zugewiesen werden kann Parameter Idap Der Parameter ist wie folgt aufgebaut URI BindDN Password SearchBase Filter Die Bedeutung der einzelnen Teil Strings ist der der folgenden Tabelle beschrieben Angabe des LDAP Servers der abgefragt werden soll Als Eingabe wird der Hostname oder die IP Adresse aktzeptiert Es k nnen auch zwei mit Komma getrennte Werte angegeben werden In diesem Fall wird automatisch auf den zweiten Server zugegriffen wenn der erste nicht erreicht werden kann BindDN Eingabe des vollst ndigen Distinguished Name DN des read only Accounts welcher zur Suche des unter SearchBase in der LDAP Datenbank berechtigt ist Das Passwort des unter BindDN angegebenen Benutzers SearchBase Suchpfad Gibt den Zweig der LDAP Datenbank an in welc
91. Anmeldung mit Standard Benutzername admin Standard Kennwort admin wird zur Eingabe der IP Adresse in diesem Beispiel 172 16 161 50 aufgefordert KH EFF EFF FE FE FE F EFF EFF FF EFF FF FF FF FF FF HF FH HF FH KH FF HF FH HH HK HE You can non enter basic network settings These settings are HEE only temporary You must access the Web GUI and adjust them e under system to make them permanent e HEEE E EFEEF EEE FE EFF EFF FF FE FF EFF FF FH FF FF FH FF HF FH HF KH KH FH KH FH HH FH Enter an IP address e g 192 168 1 68 Weiterhin ist das Subnetz in diesem Beispiel 255 255 255 0 und Gateway Adresse in diesem Beispiel 172 16 161 1 einzugeben HEEE EEEE EEEE EEEIEE FH IF HF IF IK FF IF IF FH FE IF FF FE FF FF FE FE FE FF FF FE FF FF FE FF FF FE FF FF FF FF FE FF FF FE FF FF FF FF FF FF FF FF FH HF FH HH HH You can non enter basic network settings These settings are x only temporary You must access the Web GUI and adjust them wE under system to make them permanent Ba a 2 5 2 2 2 2 2 2 2 20 2 0 2 2 2 2020202 2 0 2 2 2 2 2 20 202 0 2 2 2 20 2 202 0 2 2 2 2 2 2 2 2 02 02 2 2 20 20 20 20 2 2 2 2 2 20202 2 2 2 2 2 20 2 2 2 2 2 2 2 2 2 2 2 2 202 Enter an IP address e g 192 168 1 68 172 16 161 58 Enter a network mask e g 255 255 255 8 255 255 255 8 Enter the default gateway e g 192 168 1 1 172 16 161 1_ Abschliessend wird die URL f r das Administrator Login a
92. Cluster Identifizierung Cluster Konfiguration von 10 10 0 9 replizieren herunterladen Replikationsziel und in 10 10 0 10 eis Ce Ionen Konfiguration Cluster Member Secondary physische IP 10 10 0 10 Abbildung 1 Einrichten eines Clusters Bei einem bestehenden Cluster synchronisieren alle Cluster Members ihre Konfigurationsdatenbanken ohne merklichen Zeitverlust Das heisst alle Cluster Members sind gleichberechtigt Konfigurations nderungen werden somit sofort bernommen egal an welchem Cluster Member sie vorgenommen werden siehe Abbildung 1 1 Replikation im Cluster Cluster Member IP 10 10 0 9 vollautomatische Synchronisierung Cluster Member IP 10 10 0 10 Abbildung 1 1 Replikation im Cluster 2015 SEPPmail AG 88 F r das Einrichten beziehungsweise den Betrieb eines Clusters gibt es mehrere Beweggr nde Je nach Zielsetzung unterst tzt die SEPPmail Appliance verschiedene Betriebsarten welche wie folgt unterschieden werden 1 Hochverf gbarkeits Cluster 89 l Diese Art des Clusters dient dem Gew hrleisten der Ausfallsicherheit 2 Poraba CSE e Ein Loadbalancing Cluster dient der Lastverteilung auf mehrere Maschinen Dabei k nnen unterschiedliche Verfahren zum Einsatz kommen 3 Beetigetetr e Repliziert Konfigurationsdatenbanken auf geographisch voneinander getrennten Sytemen 4 Ef htendiBackendlel ster er Bei Frontend Backend Clustern verf gt das Frontend Syst
93. Create new user account Goen Die Eingabefeld mit der Schaltfl che Filter dient der Suche nach GINA Benutzern 2015 SEPPmail AG 211 7 14 1 Untermen Benutzer Details Sektion User Data In diesem Untermen werden Detailinformationen zum GINA Benutzer angezeigt Weiterhin dient diese Men manuellen Passwort R cksetzungen zum Beispiel durch den Support siehe Edit GINA Settings hs Sektion Admin Creation Info Zeigt e wer gegebenenfalls die initiale GINA E Mail gesendet und somit den Benutzer generiert hat Anzeige der E Mail Adresse bei unregistrierten beziehungsweise Created by bei bereits registrierten Benutzern e ob es sich um einen selbstregistrierten Benutzer handelt Account Hat sich der Benutzer registriert so wird hier der von ihm bei der Registrierung eingetragene Name angezeigt Gest Zeigt die E Mail Adresse des Benutzers an Password Zeigt die vom Benutzer beim Registrieren angegebene Sicherheitsfrage f r reminder das Zur cksetzen des Passwortes an wichtig f r die Option Hotline in der Einstellung Edit GINA Settings ep Sektion Security beziehungsweise Password Security Level Vom Benutzer w hrend des Registrierens eingetragene Antwort zur Sicherheitsabfrage Password Eingabefelder f r das manuelle R cksetzen des Passwortes durch einen Administrator Must Change Legt fest ob der Benutzer nach einem manuellen R cksetzen Legt individuell f r den Benutzer fest ob dieser
94. D SEPPMAIL SWISS E MAIL SECURITY SEPPmail Version 7 2 Benutzerhandbuch mit Ruleset IT III SEPPmail AG Industriestrasse 7 CH 5432 Neuenhof 41 56 6482838 fon 41 56 6482839 fax info seppmail ch mail www seppmail ch Inhaltsverzeichnis Part I Vorwort 8 Part Il Einleitung 10 1 Dokumentationsvereinbarungen uusnresnonnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 11 2 Sichere E Mail Kommunikation durch Verschl sselung unsnssnneennnnnnnennenn 12 3 Digitale E Mail Signaturen nunsennnsnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnn anne 15 4 Zentrale Firmen E Mail Fussnote uurs40444404000nnnnnnnnnnnanannnnnnnnnnnnnanannnnn 16 5 Kompatibilit t zu anderen Secure E Mail Systemen uussnsssnnnnnnnnnnennnnennnnnn 16 6 Remote Administration mittels Web Portal ununrssnsnnnnnennnnnnnnannnnnnnnnnnn 16 Part Ill Die SEPPmail Appliance 17 1 SEPPmail AG Hersteller uusnnesnnsnnesnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nenn 17 2 Vorstellung und Verfahren nsuussrrsennnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nennen nnnnnnnnn 18 Produktphilosop hie He len nissen F nf generisch amp Prinzipien Eege Heil Verschl sselungstechnologien S MIME X 509 eg teg Stan Egeter Eet S ien ee Elie E H EE DODERER IE E A E A aAA LDAP Key Lookup f r S MIME und OpenPGP HUE EE Gateway to Gateway Dom nen Verschl
95. Danach versendet er die Nachricht wobei diese ber den gesicherten https Kanal auf die SEPPmail eingeliefert wird Der restliche Vorgang ist mit dem unter Kapitel Versenden von bergrossen Files via Standard E Mail Client identisch Die E Mail samt Anhang wird verschl sselt in einem gesonderten Datenbereich der Appliance abgelegt und es ergeht eine Aufforderung zur Abholung 2 an den oder die Empf nger Dieser meldet sich mit seinem Initialpasswort oder eigenem Passwort an und l dt die Dateien auf sein System 3 2015 SEPPmail AG 52 Empf nger Normale E Mail bertragung bertragung PCI konform Optional kann bei Bedarf f r LFM die Passwortabfrage individuell abgeschaltet werden LFM Antwort Dem Empf nger steht f r eine R ckantwort der gleiche Kanal zur Verf gung Er kann somit eine gesicherte E Mail bzw auch grosse vertrauliche Daten via dem GINA Webmail Client bermitteln Dazu bedient er sich der Antwortfunktion innerhalb des GINA Clients Der Prozess ist exakt invers zu der Versendung 2015 SEPPmail AG 53 3 5 2 Internal Mail Encryption IME Die SEPPmail Appliance bietet wir optional die M glichkeit der internen E Mail Verschl sselung Um jedem Kundenbedarf gerecht zu werden stehen hierf r drei Konzepte zur Verf gung Das erste Konzept basiert auf der GINA Technologie in Verbindung mit dem Outlook Addin Die folgende Graphik zeigt den funktionalen Ablauf
96. E IR A Durch klicken dieser Schaltfl che wird ein Schl sselpaar generiert Der ffentliche Schl ssel wird dabei durch die MPKI signiert und steht somit als trusted Zertifikat zur Verf gung Sektion openPGP In dieser Sektion werden die openPGP Dom nen Schl ssel angezeigt sofern vorhanden Zeigt die Key IDs der Zeigt die zur Key ID zugeh rige Ausstelldatu Ablaufdatum vorhandenen openPGP Keys an User ID an Diese entspricht der m des Keys des Keys E Mail Adresse des Benutzers TT MM JJJJ TT MM JJJJ ber die Schaltfl che eine ils kann ein bereits vorhandenes Schl sselpaar importiert werden siehe Mail System Untermen Add Edit Managed Domain Untermen Import OBEHPGPIKEY n4 ber die Schaltfl che E EE Ee wird ein neues Schl sselpaar auf der Appliance generiert Die Laufzeit sowie das automatische Aktualisieren der so erzeugten Schl ssels entspricht der unter CA internal CA Settings Validity in days siehe Men G ss eingegebenen Durch Klicken der Key ID wird ein Untermen mit Details zum Key ge ffnet Dieses bietet die M glichkeit den ffentlichen Schl ssel herunterzuladen beziehungsweise das Schl sselpaar zu l schen Sektion Remote POP3 Wurde unter Mail System 125 Managed Domains die Option Fetch Mail from remote POP3 server gew hlt so k nnen die POP3 beziehungsweise IMAP Zugangsdaten f r den jeweiligen Benutzer an dieser Stelle eingegeben werden Die SEPPmail Appliance wird alle drei Minu
97. ECRYPTEDG entfernt das in der Appliance ber den Ruleset Generator siehe Mail Processing Ruleset Generator Encryption Decryption Incoming e mails Add this text to message 2015 SEPPmail AG 299 subject after decryption festgelegte tag Betreffzeilen Kennzeichen welches nach erfolgreichem Entschl sseln gesetzt wird im Standard secure aus dem Betreff einer E Mail 8 10 10 REMOVETAGSIGNED Die Funktion QREMOVETAGSIGEDE entfernt das in der Appliance ber den Ruleset Generator siehe Mail Processing hun Ruleset Generator Signing Incoming e mails Add this text to message subject if S MIME signature check succeeds festgelegte tag Betreffzeilen Kennzeichen welches nach dem erfolgreichen Pr fen einer S MIME Signatur im Standard signed OK gesetzt wird aus dem Betreff einer E Mail 8 10 11 REMOVETAGSIGNEDINVALID Die Funktion QREMOVETAGSIGNEDINVALLID amp entfernt das in der Appliance ber den Ruleset Generator siehe M ilPr cessing 47 Ruleset Generator Signing Incoming e mails Add this text to message subject if S MIME signature check fails festgelegte tag Betreffzeilen Kennzeichen welches nach dem Pr fen einer S MIME signierten E Mail mit ung ltiger Signatur im Standard ist das signed INVALID gesetzt wird aus dem Betreff einer E Mail 8 10 12 TAGHEADERENCRYPTED Die Funktion QTAGHEADERENCRYPTEDE f gt dem Betreff einer E Mail das im Ruleset
98. Ener ana aaas Ean 50 Large File Management LEM nesas essen een idda Kaada dea uae it 50 Internal Mail Encryption ME u D Self Service Password Management SSPM u222220000000000202nnunnnnnnnnnnnnnnnnnnnnnnnnnunannnnnnnnnnnunnnnnnnnnnnennnn 56 Hrorechon Eoack NK EEE E E ees Eed ee ed geed NEEN 56 RE EE 57 Basissysteme und Lizenz nr en ri Seege REN Ee a G t dE EE dees Protection Pack VSPP Signatur und Verschl sselung Large File Management LEMN EE 58 Self Service Password Management SSPM u 58 Internal Mail Encryption ME j arei e eTe aaa ere araa aaaea AA AoAo nA e drei aA PaPa aare O nA eSEE Raiden OEA dE SE 58 Inbetriebnahme der Secure E Mail Gateway Appliance 59 Bevor Sie beginnen unsuunsnresnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nenn 59 2 Integration der SEPPmail Appliance in Ihre E Mail Umgebung Standard Konfiguration uusrressnennennnnnnnnnnnnnnnnnnnnnnnn nn 60 3 Ben tigte Informationen zur Inbetriebnahme nuuesnnnsnnnnnnnnnnnnnnnnnnnnnnnennnnnn 61 4 Firewall Router einrichten uunsrrssnnssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nennen 63 5 SEPPmail Appliance anschliessen uunus444400nnnnnnnnnnnnannnnnnnnnnnnnnnannnnnnnnn nn 65 6 Basiskonfiguration in wenigen Schritten unnsnennnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnn 66 Netzwerkeinstellungen und Systemregistrierung 20u4 4420044n0000nn
99. Erfolgt bei mandantenf higen Systemen der Import durch den Mandanten Admin so werden die mittels dieser Funktion importierten GINA Benutzer automatisch dem entsprechenden Mandanten zugeordnet Import ber die Schaltfl che ET ist das Importieren privater openPGP openPGP Schl ssel m glich Sollte f r die im Schl ssel vorhandene E Mail Adresse secret keys noch kein Benutzer auf der SEPPmail Appliance vorhanden sein so wird dieser automatisch durch diese Aktion angelegt Der Import ist sowohl ber eine Datei als auch durch Einf gen als Text m glich jeweils unter Angabe der passenden Passphrase m glich Durch das Aneinanderreihen von Schl sseln egal ob als Datei oder als Text ist auch ein Massenimport m glich Dies setzt allerdings voraus dass alle Schl ssel die selbe Passphrase haben ber die Schaltfl che SEE ist das Importieren von PKCS 12 S MIME keys Dateien diese haben die Endung p12 oder pfx welche den privaten S MIME 2015 SEPPmail AG 192 Beschreibung Schl ssel enthalten unter Angabe der passenden Passphrase m glich Sollte f r die im Schl ssel vorhandene E Mail Adresse noch kein Benutzer auf der SEPPmail Appliance vorhanden sein so wird dieser automatisch durch diese Aktion angelegt Der Import ist sowohl ber eine Datei als auch durch Einf gen als Text m glich jeweils unter Angabe der passenden Passphrase m glich Durch das packen mehrer PKCS 12 Dateien in eine unverschl ss
100. G Mail Client Sender SEPPmail Appliance Firewall Mail Client Empf nger Lon Kryptographisch zu behandelnder Mailverkehr m Rastlicher lailverkehr nterne Mailverschl sselung mn GINA Benachrichtigungsweg SSL Zugriff auf GINA Interface a Am E Mail Client 1 wird eine neue E Mail an einen oder mehrere interne und gegebenenfalls externe Empf nger erzeugt b Diese wird ber das Outlook Addin 2 als zu verschl sselnd und intern zu verschl sselnd markiert und modifiziert c Die modifizierte E Mail 3 wird an den E Mail Server 4 geleitet d Durch die vorgenommene Modifikation behandelt der E Mail Server 4 die E Mail an die internen Empf nger wie eine Internet E Mail 5 und leitet diese somit an die SEPPmail Appliance 6 weiter e Die SEPPmail Appliance 6 leitet die E Mails an die externen Empf nger 7 best effort verschl sselt in das Internet f F r die internen Empf nger generiert die SEPPmail Appliance sofern nicht bereits vorhanden neue interne GINA Benutzer und versendet an diese sowie an den Absender die bekannte GINA Mail 8 ber den internen E Mail Server 4 Wurde vom Absender die interne E Mail Verschl sselung gew hlt jedoch nur externe Empf nger adressiert so erh lt an dieser Stelle nat rlich nur er seine ausgehende E Mail als GINA Mail g Der interne E Mail Server stellt die GINA Mail s 9 10 f r den Absender 1 und den die Em
101. Generator siehe Mail Processing Ruleset Generator Encryption Decryption Incoming e mails Add this text to message subject after decryption eingetragene Schl sselwort f r entschl sselte E Mails an 2015 SEPPmail AG 300 8 10 13 TRIGGERTEXT Die Funktion TRIGGERTEXT gibt das im nueset Generator angegebene Betreffzeilen Schl sselwort f r das Verschl sseln siehe Mail P ing 147 Ruleset Generator Encryption Decryption Outgoing e mails Always encrypt mails SG the following text in subject aus 2015 SEPPmail AG 301 8 11 Anwendungsbeispiele f r das Regelwerk An dieser Stelle werden Beispiel Codes f r explizite Anforderungen bereitgestellt 8 11 1 Bounce von E Mails nicht authentifizierter Benutzer Wurde zum Beispiel unter Mail Processing Ruleset Generator User Creation die Option Manual User Creation gew hlt so werden im Standardverhalten der Appliance E Mails von Benutzern aus Managed Domains kryptographisch unbehandelt durchgeleitet wenn diese Absender keinen Benutzer Account siehe auch Users 203 auf der Appliance haben Sollen E Mails dieser Absender entgegen dem Standardverfahren abgewiesen bounced werden so kann dies ber einen Custom Command erreicht werden Konfigurationsvorschlag e Navigieren zu Mail Processing Ruleset Generator Custom Commands Custom commands for outgoing e mails BEFORE encryption e Anlegen des Templates bounce_no_user ber Mail Proc
102. HTTP statt TCP 22 SSH Auswahl der Zeitzone W hlen Sie im Auswahlmen die f r den Standort des SEPPmail Systems g ltige Zeitzone aus Der Wechsel zwischen Sommer und Winterzeit wird automatisch durchgef hrt Sektion Time and Date No time sync Automatically synchronize with an NTP server Mit dieser Einstellung wird ausschliesslich die interne Systemzeit verwendet Diese kann ber Set date and time manually entsprechend eingestellt werden Ein automatische Abgleich mit anderen Systemen findet nicht statt Bei dieser Option werden Datum und Uhrzeit gegen den unter Server angegebenen Zeitserver ber das Protokoll NTP Zielport TCP 123 synchronisiert 2015 SEPPmail AG 127 Hinweis Diese Option ist f r die Einrichtung eines Clusters auf allen Cluster Membern zwingend erforderlich Hostname oder IP Adresse eines Zeitservers Dieser kann sich in Ihrem Firmennetzwerk oder im Internet befinden a date and time Hier k nnen Sie die Werte f r das aktuelle Datum und die aktuelle Uhrzeit manually manuell eingeben Date o aktuelles Datum im Format dd mm yyyy Time aktuelle Uhrzeit im Format hh mm ss Sektion SNMP Daemon optional Die hier vorgenommenen nderungen werden erst nach einem Neustart der SEPPmail Appliance aktiv Wird weder bei snmp v1 2 Read only Community noch bei snmp v1 2 Read write Community eine Eingabe gemacht so wird SNMP v1 2 deaktiviert F r die SNMP v3
103. IME Technologie dom nenverschl sselt wurden Anzahl der empfangenen E Mails welche mittels S MIME Technologie dom nenverschl sselt waren received Anzahl der versendeten E Mails welche mittels openPGP Technologie dom nenverschl sselt wurden openPGP Domain encrypted mails sent Anzahl der empfangenen E Mails welche mittels openPGP Technologie dom nenverschl sselt waren openPGP Domain encrypted mails received Sektion Group Membership In dieser Sektion werden die Gruppenzugeh rigkeiten des Benutzers angezeigt siehe auch Groups zi Sektion S MIME Zeigt die ausstellende CA an Ausstelldatu Ablaufdatum m des Keys des Keys TT MM JJJJ TT MM JJJJ Zeigt die Seriennummern der Zertifikate an Durch Klicken des Fingerprints wird ein Untermen mit Details zum Key ge ffnet Dieses bietet die M glichkeit den ffentlichen Schl ssel Zertifikat herunterzuladen beziehungsweise das Schl sselpaar zu l schen 2015 SEPPmail AG 206 ber die Schaltfl che JS N ll kann ein bereits vorhandenes Zertifikat zum Beispiel ein gekauftes einer Trusted CA importiert werden siehe Mail System Untermen Add Edit Managed Domain Untermen Import SIE Keyhaa ber die Schaltfl che TI JE 33 Brest wird durch die integrierte CA ein neues Schl sselpaar auf der Appliance generiert Ist eine MPKI eingerichtet siehe Als External CA so erscheint entsprechend der verf gbaren CA die Schaltfl che NE
104. Log zeigt einen frei definierbaren Text description sowie eine Gewichtung severity des Eintrags Weiterhin wird dem Eintrag in Spitzklammern die Message ID aus dem E Mail Header hinzugef gt Die Aufgezeichneten Log Meldungen k nnen im Men LOS eingesehen werden Aufbau des Befehls log severity description R ckgabewert positiv immer Parameter severity Dieser Parameter gibt die Gewichtung des Log Eintrags an _severity Bedeutung 0 debug 6 aen description Beschreibung wie Sie im System Log aufgezeichnet werden soll Beispiel Jeer HN Hello Morile z Header der E Mail Dares Pri 05 Aug 20L5 1L 40 00 70200 From sender customer com To recipient customer de Subject Some Topic Content Type text plain Message Id lt EOD4DEA42 DCBS 11D7 gt Aufzeichnung im Log Aug 05 11 40 04 test gateway lt EOD4DEA42 DCB5S 11D7 gt Hello World Erkl rung Die Zeichenkette description Hello World wird mit der Gewichtung info im System Log aufgezeichnet 2015 SEPPmail AG 242 8 3 10 logheader Der Befehl Togheader schreibt den Inhalt des genannten Headers oder x header in das System Log Dieser Befehl dient im Regelfall dem Debuggen der Verarbeitung von E Mails durch die RuleEngine Die Aufgezeichneten Log Meldungen k nnen im Men Logs eingesehen werden Aufbau des Befehls logheader header R ckgabewert positiv immer Parameter
105. ME decrypted Erkl rung In diesem Beispiel wird eine Benutzer basiert S MIME verschl sselte E Mail entschl sselt Zeile 1 Erfolg beziehungsweise Misserfolg des Entschl sselns wird protokolliert Zeile 2 und 4 2015 SEPPmail AG 277 8 7 2 3 2 smime_keys_avail Der Befehl smime keys avail pr ft die Verf gbarkeit von ffentlichen S MIME Schl sseln Zertifikate Dieser Befehl pr ft die Verf gbarkeit personenbezogener Zertifikate der Empf nger siehe X 509 Certificates 217 f r das Verschl sseln ausgehender E Mails Aufbau des Befehls smime keys avail R ckgabewert positiv f r die Gruppe mit vorhandenem S MIME Zertifikat negativ f r die Gruppe ohne S MIME Zertifikat Parameter keine Beispiel if smime keys avail log 1 S MIME certificate available if encrypt smime log 1 email successfully S MIME encrypted else log l1 email could not be S MIME encrypted oO else logi no S Mima ELE te available 1 02 03 04 05 06 07 08 09 10 Erkl rung In diesem Beispiel wird zun chst gepr ft ob ein passendes Benutzer basiertes S MIME Zertifikat f r das Verschl sseln zur Verf gung steht Zeile 1 Das Ergebnis dieser Abfrage wird protokolliert Zeile 2 und 9 Steht ein entsprechender Schl ssel zur Verf gung wird mit dem Verschl sseln fortgefahren Zeile 3 dessen Erfolg beziehungsweise Misserfolg ebenfalls p
106. Mandanten zugeordneten GINA Benutzer angezeigt ber die Schaltfl che k nnen die GINA Benutzer des Mandanten verwaltet sowie gegebenenfalls nicht zugeordnete Accounts zugeordnet werden siehe Manage GINA accounts 220 2015 SEPPmail AG 226 Sektion Backup Die Schaltfl che startet das Herunterladen der Mandanten Backup Datei Diese Datei beinhaltet ausschliesslich Konfiguration und Schl sselmaterial des Mandanten der SEPPmail Appliance Voraussetzung f r den Download des Backups ist die Vergabe eines Backup Passwortes welches via gesetzt beziehungsweise ge ndert werden kann Soll ein Backup in die Appliance zur ckgespielt werden so erfolgt dies durch klicken von Backup Ee Hierf r wird das zum Zeitpunkt der Erstellung des Backups g ltige Backup Passwort ben tigt Hinweis Die in der Sektion Customer details unter Customer Admin E mail eingetragen Adresse erh lt t glich die Mandanten Sicherung per E Mail zugesandt Voraussetzung ist nat rlich ein gesetztes Backup Passwort 7 21 1 1 Manage GINA accounts Sektion Assigned GINA accounts Zeigt die dem Mandanten bereits zugeordneten GINA Benutzer an und bietet die M glichkeit einzelne GINA Benutzer von diesem Mandanten zu entfernen um diesen zum Beispiel einem anderen zuzuordnen Somit bleibt das Schl sselmaterial des GINA Benutzers trotz dem Wechsel zu einem anderen Mandanten identisch Creation info Remove from this customer Zeigt den Namen des Zeigt die E M
107. NS Server Das weitere Vorgehen ist im Punkt Login als Administrator od beschrieben 4 6 1 1 2 Virtuelle Appliance Bei einer virtuellen Appliance ist das Consolen Fenster des erstmalig gestarteten SEPPmail Images auf dem Host System zu ffnen Im Anschluss ist wie in Punkt Gomsoien Login 681 beschrieben vorzugehen 2015 SEPPmail AG 68 4 6 1 1 3 Consolen Login Ist die SEPPmail Appliance fertig hochgefahren so erscheint ein Login Prompt xxx Starting SEPPmail system za Constant subroutine Category Ruleset CONFBASE redefined at usr libdata per15 Exporter pm line 64 at usr local sepp GUl Category Ruleset pm line 38 Nologin Ifconf ig Hostname Route Nameserver Llock Syslog Cluster LDAP License Lom ment Templates Ruleset Proxy snmp Loadbalance Fetchmail GUI Statistics Backup Fi rmware Import ldif Restore CA ExternalCA Webmail Postfix Daemons DBMIG PGP do ne a 2 5 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 20 2 202 2 2 20202 2 2 202 2 2 2 2 2 202 2 2 2 2 2 202 2 202 202 2 2 20202 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 EEE xw INITIAL SETUP Login with admin admin to set a temporary IP address x ww Login with admin admin to set a temporary IP address e 2 2 5 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 0202 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 202 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 EEE OpenBSD i386 SECUREMAIL CttyCB login Nach der
108. PPMAIL E mail schreiben Abb 5a Dabei k nnen Anh nge mit beliebigem Format beigef gt werden Eine Kopie der eigenen Antwort wird dem externen Beantworter GINA verschl sselt zur ckgeliefert Abb 5a e Einstellungen Darin k nnen Passwort Mobilfunknummer und Sicherheitsfrage antwort ver ndert werden Abb 5b 2015 SEPPmail AG 28 fm SEPPMAIL Abb 5b e Untermen Schl ssel Zertifikate Der Externe Kommunikationspartner wird ber ein Zusatzmen in die Lage versetzt eigenes Schl sselmaterial dem SEPPmail Betreiber zur Verf gung zu stellen Dabei kann durch die vorhergegangene 2 Faktor Authentifizierung GINA Mail Initialpasswort per SMS den Schl sseln auch sofort getraut werden Ein Validieren durch den Administrator ist an dieser Stelle nicht notwendig Abb 5c e SEPPMAIL E mail lesen E mail schreiben Schl sselverwaltung Einstellunger lt te E malls werden Ihnen normalerweise mit sicher Schl ssel Zertifikate Ihre Verschl sselungs Zertifikate suchen f Durchsuchen A Suchen Ihre PGP Schl ssel Abb 5c Andererseits bekommt ein externer Kommunikationspartner ber die Schaltfl che Suchen optional auch das verf gbare Schl sselmaterial S MIME openPGP Dom nen Schl ssel zur Verf gung gestellt Abb 5d 2015 SEPPmail AG 29 Bm SEPPMAIL Eaa t ma trober Schl ssel Zertifikate suchen Abb 5d e Nachricht Beantworten ber diese Funk
109. Pmail AG 114 X 509 ffentliche S MIME X 509 Zertifikate von Kommunikationspartnern Certificates importieren und verwalten X 509 Root S MIME X 509 Root CA Zertifikate importieren und verwalten Certificates Domain keys openPGP und S MIME Dom nen Schl ssel importieren synchronisieren und verwalten Customers Aktivieren und Einrichten einer Multi Kunden Konfiguration Multitenancy Hierbei k nnen zum Beispiel E Mail Dom nen Benutzerkonten oder GINA Benutzerkonten dediziert einem zuvor definierten Kunden zugewiesen werden Referenz der Men punkte in der SEPPmail Konfigurationsoberfl che 2015 SEPPmail AG 115 7 2 Login Logout Der Men punkt Login erm glicht das Abmelden von der SEPPmail Konfigurationsoberfl che beziehungsweise den Kennwortwechsel des angemeldeten Benutzers In der folgenden Tabelle werden die einzelnen Parameter beschrieben Sektion Login User ID Eingabe der User ID zur Anmeldung an der Administrationsoberfl che Die Anmeldung an der AdminGU I ist prinzipiell f r jeden auf SEPPmail Appliance angelegten Benutzer m glich welchem ein Passwort zugewiesen wurde siehe Men Users 2o08 Ob und welche Men s f r den jeweiligen Benutzer sichtbar sind h ngt von dessen Gruppenzugeh rigkeit ab siehe Men Groups 215 Dient der Passwort Eingabe Sektion Change Password The password Gibt die Passwort St rke der vorgegebenen Konfiguration siehe Men must Bees 203
110. S abh ngig Im Standard betr gt diese 120x80 Pixel Das Fusszeilen Logo wird nur angezeigt wenn die Anzeige in den Extended Settings aktiviert wurde ber die Schaltfl che wird das Logo Bild gel scht ber die Schaltfl che wird das ausgew hlte Bild gespeichert Ist bereits ein Bild vorhanden so wird dieses berschrieben Sektion Bachkground Image optional Use settings from Diese Option erscheint nur falls ein anderes als das default GINA Interface master template editiert wird Durch Aktivieren dieser Option werden die Einstellungen aus der gew hlten Vorlage siehe Edit GINA Settings h65 Sektion Master Template verwendet Eventuell vorgenommene nderungen der weiteren Konfigurationspunkte dieser Sektion bleiben ohne Auswirkung Ist bereits ein Hintergrundbild importiert so wird dieses hier angezeigt ber die Browser Schaltfl che Datei ausw hlen kann ein Bild im gif Format zum Upload ausgew hlt werden Im Standard Cascaded Style Sheet CSS wird kein Hintergrundbild verwendet Soll dieses Eingebettet werden so ist das CSS in der Sektion GINA CSS entsprechend anzupassen ber die Schaltfl che wird das Logo Bild gel scht ber die Schaltfl che wird das ausgew hlte Bild gespeichert Ist bereits ein Bild vorhanden so wird dieses berschrieben Sektion GINA CSS 2015 SEPPmail AG 175 Use settings from Diese Option erscheint nur falls ein anderes als das default GINA Interface mast
111. SEPPmail AG 234 8 3 3 compare Der Befehl compare pr ft Werte in Headerfeldern auf einen zu definierenden Vergleichswert Dieser Befehl vergleicht den Inhalt eines Headers header field mit Hilfe eines Vergleichsoperators operator mit einem angegebenen Wert value Aufbau des Befehls compare header field operator value R ckgabewert positiv bei zutreffender Bedingung negativ bei nicht zutreffender Bedingung Parameter header field Gibt das Kopfzeilen Feld an dessen Inhalt gegen den Inhalt des Parameters value vergleichen werden soll Als Kopfzeilen Felder k nnen alle Header in einer E Mail verwendet werden M gliche Werte e return path date from sender reply to to CC bec subject beliebiger x header operator M gliche Werte e equal vergleicht auf Gleichheit e match pr ft auf das Zutreffen eines regul ren Ausdrucks e substitute ist gleich wie match entfernt aber den zutreffenden Teil von value aus header field Hinweis Codierte Felder werden vor dem Vergleich decodiert Die Sonderzeichen Tabulator Wagenr cklauf Zeilenvorschub und Seitenende werden vor einem Vergleich mit dem Operator equal entfernt value Gibt den Wert an gegen den Vergleichen werden soll Dieser Wert kann auch ein regul rer Ausdruck sein Beispiel 1 compare x smenc equal yes Erkl rung 2015 SEPPmail AG 235 Dieses Beispiel pr ft ob das Header Field x smenc exakt den Wert yes beinha
112. SEPPmail Installation und dient als Referenz der einzelnen Konfigurationsaspekte Es ist in folgende Teile gegliedert Teil l Teil Il Teil Ill Teil IV Teil V Teil VI Teil VII Teil VIII Vorwort Einf hrung in das Produkt Allgemeine Informationen zu kryptographischen Verfahren sowie wichtige Produktmerkmale der SEPPmail Appliance Beschreibung des Produkts An dieser Stelle wird das komplette Produkt inklusive der Funktionsweise sowie aller Features detailliert beschrieben Inbetriebnahme des SEPPmail Secure E Mail Gateways Dies beinhaltet das Integrieren der Appliance in das Netzwerk sowie das Anpassen der vorhandenen E Mail und Netzwerk Umgebung Administrative Aufgaben Beschreibt die regelm ssig anfallenden Aufgaben zur Wartung des SEPPmail Systems Microsoft Outlook Addin Beschreibt Einrichtung und Bedienung des zur Steuerung der Appliance kostenfrei zur Verf gung gestellte MS Outlook Addin Referenz der Men punkte Hier werden die Konfigurationsm glichkeiten innerhalb der Men Struktur detailliert beschrieben Referenz der Regelwerk Anweisungen Hier werden Befehle f r individuelle Regelwerk Anweisungen erkl rt wie sie gegebenenfalls zur Integration in komplexe Infrastrukturen ben tigt werden 2015 SEPPmail AG 11 2 1 Dokumentationsvereinbarungen Um die Dokumentation bersichtlicher zu gestalten werden unterschiedliche Schreibweisen und Symbole verwendet Eine bersicht der ve
113. SH Protokoll angegeben Hierdurch kann ein Backend Cluster ohne Verwendung von virtuellen IP 2015 SEPPmail AG 198 nn Adressen zur Verf gung stehen Connect ber die Schaltfl che Se wird die zus tzliche Backend Maschine hinzugef gt 2015 SEPPmail AG 199 7 11 Logs Dieses Men stellt Logs f r unterschiedliche Komponenten zur Verf gung Sektion Other Logs Sofern die GINA Technologie nicht deaktiviert wurde siehe Mail Processing wu Sektion Ruleset Generator Advanced Options Completely disable GINA technology wird eine entsprechende Log Datei gef hrt welche ber die Schaltfl che 4 einzusehen ist Bei lizensiertem Protection Pack und aktiviertem Black Greylisting siehe Maitzvstem 128 Sektionen Antispam Blacklists und Manual Blacklisting Whitelisting werden diese Vorg nge in einer entsprechenden Log Datei gef hrt Diese Log Datei kann ber die Schaltfl che Sl Z3J EIS E13 El Klee eingesehen werden Sektion Queue Control Sofern die E Mail Queue nicht deaktiviert wurde siehe Mail Processing 147 Sektion Ruleset Generator Advanced Options Run in queueless mode werden durch SEPPmail Appliance verarbeitete E Mails bei Bedarf zum Beispiel wenn das Zielsystem tempor r nicht erreichbar ist oder aufgrund eines Greylisting Filters die E Mail beim ersten Sendeversuch ablehnt in einer Warteschlange zwischengespeichert Das SEPPmail System wird in regelm ssigen Abst nden ver
114. SMS Reset by SMS e ber eine Auswahl durch den Benutzer Let user choose between hotline and SMS bereit Wird die M glichkeit des Zur cksetzens per SMS angeboten so ist ber das Men Mail Processing siehe MailProcessing n in der Sektion GINA password via SMS die Konfiguration des SMS Versandes vorzunehmen 4 10 4 Large File Management LFM Das Large File Management erm glicht mittels GINA Technologie die bertragung grosser Dateien ber das bliche E Mail Limit hinaus Diese zus tzliche Funktion wird im Untermen Edit GINA Settin hei welches ber Mail Processing GINADomains IT zu erreichen ist in der Sektion Large File Management aktiviert und konfiguriert 2015 SEPPmail AG 103 5 Administrative Aufgaben Administrative Aufgaben wurden durch das effektive Design der SEPPmail Appliance auf ein Minimum reduziert Sollten dennoch Aufgaben anfallen so werden die Mitglieder der Gruppen admin und statisticsadmin siehe Gf8Ups 13 dar ber benachrichtigt Weiterhin werden Benachrichtigungen ber Probleme des Systems per Watchdog Meldung an die Postmaster address siehe Brocessingn SMTP settings gesendet Je nach Konfiguration des Systems lassen sich so die administrativen Aufgaben auf folgende T tigkeiten beschr nken e Eingreifen bei Problemen Watchdog Meldung e Aktualisieren der Appliance siehe Administration ap Update e Erneuern des SSL Zertifikats bei Ablauf siehe SSL 173
115. Sektion Ruleset Generator im Punkt Protection Pack Anti SPam Anti Virus zu finden 4 10 2 Internal Mail Encryption IME Die Internal Mail Encryption dient dem Verschl sseln von E Mails innerhalb des eigenen Unternehmens E Mail Dom nen Diese Funktion wird in drei verschiedenen Auspr gungen angeboten Die erste Variante wird dabei ber das Microsoft Outlook Addi noA realisiert Dabei muss gegebenenfalls die Schaltfl che intern verschl sseln ber die entsprechenden Addin Einstellungen siehe h1 Tabelle 1 angezeigt werden Der Absender aktiviert dann im Ribbon von Microsoft Outlook den vom Addin bereit gestellten Schalter intern verschl sseln vor Versand der der E Mail Bei dieser Methode wird die E Mail zwar unverschl sselt bis zur SEPPmail Appliance bertragen jedoch GINA verschl sselt dem Empf nger zugestellt F r Variante zwei kommt ausschliesslich die GINA Technologie zum Einsatz Das heisst der Absender einer intern zu verschl sselnden E Mail meldet sich bereits f r den Versand dieser vertraulichen E Mail am GINA Web Portal an Damit sich der interne Benutzer als GINA Benutzer registrieren kann ist das Aktivieren der Optionen Allow account self registration in GINA portal without initial mail Allow GINA users to write new mails not reply aus dem Untermen Edit GINA Setting 1168 welches ber Mail Processing GINA Domains zu erreichen ist in der Sektion Extended Settings notwendig Sollten diese Optionen
116. Settings zugeordnet ist Durch das Aktivieren dieses Punktes wird nicht nur initialen E Mails sondern auch Antwort E Mails die jeweils zugeordnete Fussnote angeh ngt Diese Funktion erm glicht es einem Empf nger eine verschl sselte E Mail aus seinem Postfach erneut an die SEPPmail Appliance zur Entschl sselung zu senden Hierf r ist die Verschl sselte E Mail als Anhang in eine neue E Mail zu packen und an die Adresse reprocess decrypt reprocess zu senden Die urspr nglich verschl sselte Nachricht wird dadurch entschl sselt nat rlich vorausgesetzt der entsprechende Schl ssel ist der OEM PRODUCTNAME gt Appliance bekannt und zur ck gesendet Anwendungsbeispiele k nnten sein e Direktes Weiterleiten verschl sselter E Mails an den internen E Mail Server bei Ausfall der Appliance e Migration von lokalem Schl sselmaterial auf den Clients hin zur OEM PRODUCTNAME gt L sung bei gleichzeitigen zur ckbleiben von verschl sselten E Mails in den Postf chern der Empf nger Ebenso erm glicht dieser Befehl openPGP verschl sselte Dateien aus dem Datei System durch Senden als E Mail Anlage an diese Adresse zu entschl sseln Zeigt die Betreffzeilen von E Mails im E Mail Log der Appliance an Dies erleichtert oft die Fehleranalyse Sollte diese Anzeige jedoch aus revisionstechnischen Gr nden untersagt sein so ist das Ausblenden durch Deaktivieren dieser Option m glich Mit dieser Option k nnen Benutzer auf der Appliance
117. Signatur kann beim Einsatz Mobiler Endger te als E Mail Clients von Vorteil sein da diese h ufig nicht mit diesen Signaturen umgehen k nnen Ist diese Option aktiv werden eingehende signierte E Mails deren Signaturen durch die OEM PRODUCTNAME gt Appliance gepr ft und als defekt befunden wurden mit dem angegebenen Schl sselwort im Betreff gekennzeichnet Im Standard lautet das Schl sselwort signed sINVALID Entfernt die S MIME E Mail Signatur nach fehlgeschlagener Pr fung Das Entfernen der E Mail Signatur kann beim Einsatz Mobiler Endger te als E Mail Clients von Vorteil sein da diese h ufig nicht mit diesen Signaturen umgehen k nnen Allerdings ist dann auch 2015 SEPPmail AG 157 Beschreibung keine weitere Pr fung durch den E Mail Client und somit eine Analyse weshalb die Signatur als ung ltig eingestuft wurde m glich Outgoing e mails S MIME sign outgoing Ist diese Option aktiv und das angegebene Schl sselwort wird im mails with domain key with Betreff einer ausgehenden E Mail gefunden so wird diese S MIME signiert kees SE Im Standard lautet das Schl sselwort sign Sign all outgoing e mails Signiert alle ausgehenden E Mails von OEM PRODUCTNAME gt if S MIME certificate Benutzern mit g ltigem S MIME Zertifikat available Da mit der S MIME Signatur das ffentliche Zertifikat mitgesendet wird wird diese durch das Aktivieren dieser Aktion m glichst vielen Kommunikationspartnern
118. TCP gespeicherten ffentlicher Schl ssel von externen UDP Kommunikationspartnern zum Beispiel f r eine 388 387 End to End Verschl sselung Wird f r das Herstellen der SSL verschl sselten Kommunikation ber HTTPS zur SEPPmail Intemet Appliance Appliance ben tigt welche f r die Nutzung der GINA Technologie verwendet wird TCP 8080 Wird f r den Zugriff auf die web basierte HTTP Administrationsoberfl che ben tigt und oder Admin PC Appliance Es wird empfohlen nur die SSL verschl sselte TCP Verbindung HTTPS ber Port TCP 8443 8443 zuzulassen HTTPS TCP Wird wird von vielen SMS Gateways f r den SMS 5061 Appliance Internet Versand via Internet verwendet Im Bedarfsfall ist der korrekte Port direkt beim Anbieter zu erfragen Regeln zur Gew hrleistung der Netzwerkkommunikation der SEPPmail Appliance LDAP el Appliance Erm glicht LDAP Abfragen an den in die S TCP Appliance integrierten Keyserver zur Abfrage von UDP ffentlichen Schl sseln interner Benutzer 635 S LDAPS Internet HINWEIS Diese Freischaltung sollte aus Sicherheitsgr nden nicht vorgenommen werden da sie ein Address Harvesting erm glicht optional je nach Konfiguration der SEPPmail Appliance In einfachen Installationen wird keine Firewall zwischen der SEPPmail Appliance und dem internen Netz verwendet Die mit markierten Regeln entfallen dann 2015 SEPPmail AG 65 4 5 SEPPmail Appliance anschliessen Falls ei
119. Zum Anmelden an der Konfigurationsoberfl che w hlen Sie die Schaltfl che Log in New Password Dient dem Passwort Wechsel des angemeldeten Bunutzers Das Passwort muss zwei mal angegeben werden um eine fehlerhafte Eingabe zu vermeiden und den Vorgaben von The password must entsprechen Abmelden von der Konfigurationsoberfl che ils TEIL ndert das Passwort wie unter Change Password eingegeben 2015 SEPPmail AG 116 7 3 Home Das Men Home ffnet nach Anmeldung an der Konfigurationsoberfl che Es zeigt grundlegende Informationen zum SEPPmail System an Sektion System Status Diese Sektion zeigt den aktuellen Systemstatus der SEPPmail Appliance an Dieser sollte All systems are stable and running lauten Sollten Probleme auf dem System existieren so werden diese hier ebenso in rot angezeigt wie eventuell wichtige aber fehlende Konfigurationseintr ge Sektion License In dieser Sektion wird der Lizenzstatus wie lizensierte Komponenten deren Anzahll und Laufzeit angezeigt Wurde das System erfolgreich registriert und ist eine g ltige Lizenz vorhanden so wird hier der Status Valid License detected angezeigt License Type Hier werden Informationen zur System und Benutzerlizenz angezeigt Lizenznummer f r das SEPPmail System License Holder Eigent mer der SEPPmail Lizenz Ausstellungsdatum der Lizenz Zus tzliche Informationen zur Lizenz Encryption Signature Anzahl der erworbenen Benutzerl
120. abled ber die Schalfl che ZK ber die Schaltfl che ORINE ffnet das Men kann die jeweilige Sprachdatei German d Aktiviert Edit Translation 7 amp der heruntergeladen werden Wird oder jeweiligen Sprache ber welches diese im Anschluss angepasst so deaktiviert die Texte aller GINA kann Sie ber die default GINA Enfglish el die Komponenten individuell Einstellungen wieder jeweilige angepasst werden k nnen hochgeladen werden French f Sprache Italian i Spanish s Dutch n Polish p Wird das default GINA Interface editiert so k nnen ber die Schaltfl che Add new weitere Sprachen hinzugef gt werden F r das Erstellen einer neuen Sprachdatei ist der einfachste Weg eine bereits vorhandene ber die Schaltfl che siehe Tabelle oben herunterzuladen zu bersetzen und ber die Schaltfl che Add newl wieder hochzuladen Die vorgenommenen nderungen werden ber die Schaltfl che gespeichert Sektion Security In dieser Sektion werden die Passwort Kriterien sowie die M glichkeiten zur Passwort R cksetzung 2015 SEPPmail AG 171 angegeben Use settings from Diese Option erscheint nur falls ein anderes als das default GINA master template Interface editiert wird Durch Aktivieren dieser Option werden die Einstellungen aus der unter Master Template gew hlten Vorlage verwendet Eventuell vorgenommene nderungen der weiteren Konfigurationspunkte dieser Sektion bl
121. ail example tld angesprochen werden so lautet der im Feld Name or IP CN anzugebende Hostname securewebmail example tld Eine g ltige E Mail Adresse innerhalb der Firma unter der eine zust ndige Person erreicht werden kann Country C Land in dem die Organisation ihren Sitz hat Sektion Attributes Key size bits In der Regel ist die maximale Schl ssell nge zu w hlen um den aktuellen Sicherheitsstandards zu entsprechen F r das Erstellen eines selbs signierten Zertifikates ist Create self signed certificate auszuw hlen Um die Erstellung des SSL Zertifikats auszuf hren ist auf die Schaltfl che Yri iz Uli zu klicken Durch die Best tigung mit folgenden Zertifikatsdetails e die Seriennummer des Zertifikats Serial No 2015 SEPPmail AG 78 e die G ltigkeitsdauer Validity e den Fingerprint SHA1 Fingerprint ist der Vorgang abgeschlossen Hinweis Auch das Erstellen eines Wildcard SSL Zertifikats ist m glich Wildcard Zertifikate gelten nicht nur f r einen dedizierten Host sondern k nnen f r mehrere Hosts einer Dom ne verwendet werden Beispiel Ein SSL Zertifikat mit dem Namen ginatest testdomain net kann nur f r diesen einen Host verwendet werden Anderenfalls wird eine Zertifikatsfehlermeldung im Webbrowser angezeigt Ein Wildcard SSL Zertifikat k nnen Sie auf beliebigen Hosts einer Dom ne verwenden zum Beispiel ginatest testdomain net webmail testdomain net oder se
122. ail Zeigt Beinhaltet die jeweiligen GINA Adresse des e wer gegebenenfalls die Schaltfl che Benutzers den er bei jeweiligen GINA initiale GINA E Mail zum der Registrierung Benutzers gesendet und somit den Entfernen GINA eingetragen hat Benutzer generiert hat Benutzers Anzeige der E Mail Adresse bei unregistrierten beziehungsweise Created by bei bereits registrierten Benutzern ob es sich um einen selbstregistrierten Benutzer handelt Account Sektion Assign other GINA accounts GINA Benutzer welche aktuell keinem Benutzer zugeordnet sind werden hier in zwei Tabellen angezeigt Dabei zeigt die erste Tabelle diejenigen GINA Benutzer welche dem Mandanten zwar nicht zugeordnet sind jedoch von einem internen Benutzer der SEPPmail Appliance erzeugt wurden dessen E Mail Dom ne Managed Domain dem Mandanten zugeordnet ist In der Regel sollten solche GINA Benutzer dem Mandanten mittels Schaltfl che Assign zugeordnet werden 2015 SEPPmail AG 227 Creation info Assign to this customer Zeigt den Namen des Zeigt die E Mail Zeigt wer die initiale Beinhaltet die jeweiligen GINA Adresse des jeweiligen GINA E Mail gesendet Schaltfl che Assign Benutzers den er bei GINA Benutzers und somit den mit welcher der GINA der Registrierung Benutzer generiert hat Benutzer dem eingetragen hat Dies ist immer ein Mandanten zugeordnet interner Benutzer einer werden kann Managed Domain
123. ails zum Schl ssel angezeigt Ebenso wird die hierdurch die M glichkeit geboten den Key im ASC Format zu speichern oder zu l schen ber die Schaltfl che Import WIJ El JS besteht die M glichkeit Schl ssel weiterer Kommunikationspartner E Mail Dom nen aufzunehmen Sektion SMIME Domain Certificates Zeigt die Zertifikate aller E Mail Dom nen an zu denen hin mittels S MIME verschl sselt wird Diesen Dom nen sollte im Gegenzug das S MIME Zertifikatder durch diese SEPPmail Appliance verwalteten E Mail Dom ne n bekannt sein Zeigt E Mail Adresse RFC822 Name des Schl sselinhabers an E mail Address Pseudo E Mail Adresse f r die Dom nenverschl sselung Serial Number Seriennummer des Zertifikats iz Ausstelldatum des Zertifikats in der Form TT MM JJJJ 2015 SEPPmail AG 222 Ei Ablaufdatum des Zertifikats in der Form TT MM JJJJ ber die Schaltfl che Import M S N RE besteht die M glichkeit Zertifikate weiterer Kommunikationspartner E Mail Dom nen aufzunehmen Sektion Managed Domain Certificates Da SEPPmail Appliances im Standard siehe Mail System 25 Managed Domains Automatically create and publish S MIME domain keys for all domains am sogenannten Managed Domain Service teilnehmen findet zwischen SEPPmail Appliances immer eine Dom nenverschl sselung statt ohne explizit Schl sselmaterial austauschen zu m ssen Dies geschieht automatisch ber den SEPPmail Key Server Das auto
124. as eigene Passwort eingeben Abb 3 2015 SEPPmail AG 26 KR SEPPMAIL ren Se Dir eigenem Feet mach mich patt heben piben Se pe dp htsommot en m Se am Aire der Ma hee ar Sahe Passwort Login Sras peten Sie Dur Fame ein On Ce Abb 3 dm SEPPMAIL Neuen Benutzer registrieren Bitte geisen Se Pre Namen und E ere Arem or und seinen e Ma ee two Abb 4 d Schritt 4 Empf nger Lesen und sicher Antworten Danach wird die entschl sselte E Mail im Webmailer Abb 5 angezeigt Aus diesem kann verschl sselt geantwortet und die E Mail wenn gewollt als Klartext ins System gespeichert werden Der GINA Webmailer ist bewusst m glichst einfach gehalten um eine intuitive Anwendung zu erm glichen 2015 SEPPmail AG 27 m SEPPMAIL E mail lesen E mail schreiben Sichere E mail Fe 16 Now 2012 18 11 11 0000 Esch Guere lt esch sepomall ch guenter eschenwehr de lt guentereschenwehr de gt Wichtige Information Nachricht Sg Her Mustermann andai wie besprochen die vertrauliche Information Mit freundlichen Gr en G rer Esch SEPPmall AG Country Manager Germany Austria Mob 49 151 165 44228 Abb 5 e Funktionen im GINA Webmailer E Mail lesen Schaltfl che zur Darstellung der ge ffneten Originalmail Abb 5 e E Mail schreiben Neue E Mail verfassen die nur an einen Empf nger hinter der SEPPmail Appliance versendet werden kann 8 SE
125. au des Befehls pgp_encrypted R ckgabewert positiv wenn die E Mail openPGP verschl sselt ist negativ wenn die E Mail nicht openPGP verschl sselt ist Parameter keine Beispiel if pgp_encrypted log 1 e mail is pgp encrypted if decrypt domain pgp log 1 email successfully pgp domain decrypted else log email could not be pgp domain decrypted it decrypt Popi log 1 email successfully pgp decrypted else log 1 email could not be pgp decrypted log 1 e mail is not pgp encrypted Erkl rung In diesem Beispiel wird zun chst gepr ft ob eine E Mail openPGP verschl sselt ist Zeile 1 und ein entsprechender ein Log Eintrag geschrieben Zeile 2 und 14 Ist die E Mail openPGP verschl sselt so wird zun chst versucht die E Mail mit dem privaten openPGP Dom nen Schl ssel zu entschl sseln Zeile 3 und Erfolg beziehungsweise Misserfolg protokolliert wird Zeile 4 und 6 Konnte nicht mit dem privaten open PGP Dom nen Schl ssel entschl sselt werden so wird nun versucht mit einem Benutzer basierten privaten open PGP Schl ssel zu entschl sseln Zeile 7 Das Ergebnis dieser Aktion wird ebenfalls protokolliert Zeile 8 und 10 2015 SEPPmail AG 266 8 7 1 2 Dom nen basiert 8 7 1 2 1 decrypt_domain_pgp Der Befehl decerypt domain pgp entschl sselt openPGP Dom nen verschl sselte E Mails Dieser Befehl versucht eingehende openPGP Dom nen verschl
126. automatisch auf den zweiten Server zugegriffen wenn der erste nicht erreicht werden kann BindDN Eingabe des vollst ndigen Distinguished Name DN des read only Accounts welcher zur Suche des unter SearchBase in der LDAP Datenbank berechtigt ist Das Passwort des unter BindDN angegebenen Benutzers SearchBase Suchpfad Gibt den Zweig der LDAP Datenbank an in welchem das Attribute aus dem Parameter attr zu suchen ist Filter Angabe eines Attributes der LDAP Datenbank unter welchem das gesuchte Attribute aus dem Parameter attr im Zweig der SearchBase zu finden ist attr Attribut nach welchem im LDAP Verzeichnis gesucht werden soll value Wert welcher im abgefragten Attribut attr vorkommen soll Beispiel Die Zugeh rigkeit des Benutzers Peter M ller zur Gruppe MeineGruppe soll im LDAP gepr ft werden Die Anweisung sieht wie folgt aus ldap compare 192 168 10 10 CN Peter Mueller OU SBSUsers OU Users OU MyBusiness DC Firma DC local mypassword OU SBSUsers OU Users OU MyBusiness DC Firma DC local mail sender memberOF MeineGruppe 2015 SEPPmail AG 291 Erkl rung Der LDAP Server mit der IP Adresse 192 168 10 10 und dem Standardport 389 wird abgefragt Der DistinguishedName DN des Benutzers unter welchem die Abfrage ausgef hrt wird dieser muss die entsprechenden Berechtigungen besitzen lautet CN Peter Mueller OU SBSUsers OU Users OU MyBusiness DC Firma DC local Da
127. belle 2 Werden durch Aktivieren des subject mod statt der x header Betreffzeilen Schl sselworte verwendet so ist darauf zu achten dass die Schl sselworte der in der Appliance im Punkt Mail Processing Ruleset generator konfigurierten gleichen vn Fw T x smenc s smenc confidential s smplain plain Tabelle 3 2015 SEPPmail AG 112 6 6 Addin Verwaltung F r das zentrale Verwalten der AddiIn Einstellungen in Microsoft Netzwerken bieten wir zus tzlich ein ADM Template an Somit k nnen die Einstellungen bequem per per Group Policies GPO ausgebraucht werden Die Vorlage steht ebenfalls zum Download 10A zur Verf gung 2015 SEPPmail AG 113 7 Referenz der Men punkte 7 4 bersicht der Men punkte Die Konfigurationsoberfl che der SEPPmail Appliance ist in die in der folgenden Tabelle kurz beschriebenen Men s aufgeteilt Die Gliederung dieses Teils des Handbuchs folgt dieser Tabelle Login Logout Anmeldung an der Konfigurationsoberf che ndern des pers nlichen Kennworts f r die Konfigurationsoberfl che Anzeige administrativer Daten wie zum Beispiel Systemstatus System und Benutzerlizenz aktuelle Softwareversion statistische Daten zur Systemauslastung System Durchf hren grundlegender Netzwerkeinstellungen wie zum Beispiel IP Adresse Host und Domainname Routing System Datum und Uhrzeit Mail System Einrichtung des SEPPmail E Mail Systems E Mail Dom nen und E Mail Ro
128. below Dienst ist zu gew hrleisten siehe Firewall Router einrichten 63 Server address Den Server f r den Zugang zum HTTP Get Service stellt SMS Provider zur Verf gung HTTP Get String Den String f r den Zugang zum HTTP Get Service stellt SMS Provider zur Verf gung Es stehen die aus der XML Konfiguration bekannten Variablen zur Verf gung Weiterhin wird die Beispielkonfiguration f r den schweizer Dienst chrus angezeigt HTTP GET Example https www chrus ch mysmsthttp send php user xyz amp pwd xyz amp from Secmail amp to number amp msg sms Access to GINA ber diese Option wird der Zugriff auf den Passwort Versand Link der send password Appliance gesteuert form Disabled Damit wird der Passwort Versand Link deaktiviert Somit erscheint dieser auch nicht in der Passwort Mail welche beim initialen Versand einer GINA Mail an den Absender der E Mail gesendet wird Available via Aktiviert das Einf gen des Links f r den SMS Passwortversand in der GINA public GINA GUI Passwort Benachrichtigungs E Mail an den Absender Die vorgenommenen nderungen werden ber die Schaltfl che gespeichert Sektion Edit Disclaimer Fussnoten Einstellungen 2015 SEPPmail AG 151 Auswahl der zu bearbeitenden Fussnote Disclaimer Die Verwendung eines Disclaimers ist optional Sollen Disclaimer verwendet werden so k nnen vorhandene Disclaimer nach entsprechender Auswahl ber das Drop Down Men
129. ben Zugriff auf das Men Statistics in der Konfigurationsoberfl che Zus tzlich erhalten alle Mitglieder dieser Gruppe einen t glichen System Report des jeweiligen Systems Der System Report wird t glich um 0 00 Uhr erzeugt und via E Mail an alle Mitglieder dieser Gruppe gesendet Alle Mitglieder dieser Gruppe haben Zugriff auf das Men System in der Konfigurationsoberfl che Alle Mitglieder dieser Gruppe haben Zugriff auf das Men Users in der Konfigurationsoberfl che Alle Mitglieder dieser Gruppe haben Zugriff auf das Men Webmail accounts in der Konfigurationsoberfl che Alle Mitglieder dieser Gruppe haben Zugriff auf das Men X 509 Certificates in der Konfigurationsoberfl che Alle Mitglieder dieser Gruppe haben Zugriff auf das Men X 509 GUI Access to X 509 Root Root Certificates in der Konfigurationsoberfl che Certificates Section 2015 SEPPmail AG 215 7 16 LFM accounts In diesem Men werden die auf der SEPPmail Appliance vorhandenen LFM Benutzer angezeigt Handelt es sich um ein mandantenf higes System so sind die Benutzer entsprechend der Mandanten aufgeteilt KSC E Mail Adresse desLFM Benutzers Account status Account last used Zeigt den Status des jeweiligen Benutzers an M gliche Status sind e inactive Interne Benutzer welche mehr als vier Wochen keine LFM Mail versendet haben werden in den Status inactive versetzt Hierdurch wird die bis dahin belegte LFM Lizenz wi
130. ber die Managed Public Key Infrastructure MPKI Connectoren bezogen werden Die Verwendung einer Self Signed CA ist an dieser Stelle ausser f r Testzwecke nicht zu empfehlen da die Signatur von mit Self Signed Zertifikaten signierten E Mails in der Regel vom Empf nger nicht automatisiert gepr ft werden kann Sektion Issued To Diese Sektion zeigt Informationen ber den Inhaber des CA Zertifikates Abh ngig vom Zertifikat m ssen nicht alle hier aufgef hrten Parameter vorhanden sein Name CN Gibt den Namen der eigenen CA an E Mail Address In der Regel der wird die E Mail Adresse des Verwalters der eigenen CA oder dessen Abteilung eingetragen Org Unit OU Organisationseinheit wie zum Beispiel ein Abteilungsname wie Sicherheit Organization O Gibt die Organisation an f r welche das Zertifikat ausgestellt wurde zum Beispiel Firma Locality L Standort zum Beispiel eine Stadt wie Neuenhof State ST Bundesland Kanton Provinz oder hnliches zum Beispiel AR f r Appenzell Ausserrhoden Country C Land zum Beispiel CH f r Schweiz Seriennummer des Zertifikats Sektion Issued By Diese Sektion zeigt Informationen ber den Aussteller des CA Zertifikates Root Zertifikat Abh ngig vom Aussteller m ssen nicht alle hier aufgef hrten Parameter vorhanden sein Name CN Name der ausstellenden CA E Mail Address In der Regel eine E Mail Adresse f r Supportanfragen an den Aussteller Org Unit OU Gi
131. ber die Schaltfl che einzugeben Dabei wird unter Domain Name der Name der E Mail Dom ne eingegeben Als Forwarding Server IP or MX name wird in der Regel der Groupware Server angegeben an welchen die E Mails intern weitergeleitet werden siehe auch Add Edif Managed Domain n 4 8 2 Ausgehenden E Mail Verkehr steuern Das Abgeben der ausgehenden E mails in das Internet wird im Men Mail System Sektion Outgoing Server gesteuert Soll die SEPPmail Appliance E Mails direkt an externe E Mail Empf nger im Internet abgeben so ist die Option Use built in mail transport agent zu w hlen Sollte an ein vorgelagertes System weitergeleiten werden so ist die Option Use the following SMTP server zu w hlen Dann ist unter Server name der entsprechde Name oder die IP Adresse dieses Systems einzutragen Erfordert dieses System eine Authentifizierung so ist der erforderlich Benutzername unter User ID und das Kennwort unter Password einzugeben siehe auch Mail System 1251 Outgoing Server Hinweis Bei Verwenden der Einstellung Use built in mail transport agent wird dringend empfohlen das optionale Protection Pack VSPP zu lizensieren und aktivieren sofern f r den eingehenden E Mail Verkehr nicht etwa ein externer AntiSpam Dienst vorgeschaltet ist Andernfalls ist mit erheblichen Beeintr chtigungen bis hin zum Erliegen des Mailflusses durch SPAM Attacken zu rechnen 4 8 3 Mail Relaying Damit das interne Groupware System in der Lage ist a
132. bs tze Schriftgr sse oder Schriftfarbe individuell angepasst werden 2015 SEPPmail AG 179 7 7 SSL Im Men punkt SSL wird das Zertifikat angezeigt welches f r den SSL Zugang auf das GINA beziehungsweise auf die Administrations Oberfl che verwendet wird Dieses Zertifikat wird auch f r die TLS Verschl sselung zu anderen Systemen verwendet Eine Ausnahme besteht bei Verwendung der Option Use virtual hosting aus der Sektion GINA Settings des Men s Mail Processing 47 da hier f r jede GINA Domain ein eigenes Zertifikat einzubinden ist Ist bereits ein Zertifikat eingebunden so wird dieses wie folgt angezeigt Andernfalls kann ber die Schaltfl che ein Zertifikat importiert oder gegebenfalls ein Self Signed Zertifikat erzeugt werden Das Verwenden eines Self Signed Zertifikat empfiehlt sich jedoch nur auf Test Systemen da hierdurch die Zertifikatspr fung des Internetbrowsers eines GINA Mail Empfangers beim Verbinden auf die Appliance fehlschlagen w rde ber die Schaltfl che SE Hilfe kann das vorhandene SSL Zertifikat im pem Format exportiert werden privater und ffentlicher Schl ssel sowie gegebenenfalls Zwischenzertifikate Sektion Issued To Diese Sektion zeigt Informationen ber den Inhaber des SSL Zertifikates Abh ngig vom Zertifikat m ssen nicht alle hier aufgef hrten Parameter vorhanden sein Name CN In der Regel beinhaltet dieses Feld den Dom nennamen ber welchen das GINA Interface z
133. bt eine Organisationseinheit des Ausstellers an Organization O Gibt die ausstellende Organisation an 2015 SEPPmail AG 186 Locality L Gibt den Standort des Ausstellers an State ST Gibt ein Bundesland Kanton Provinz oder hnliches des Ausstellers an Country C Gibt das Land des Ausstellers an Sektion Validity Gibt die G ltigkeit des eigenen CA Zertifikates an Bee Ausstelldatum des Zertifikates Erz Ablaufdatum des Zertifikates Sektion Fingerprint Gibt den Hash des eigenen CA Zertifikates an Hashalgorhytmus Der Fingerprint dient zur berpr fung eines Zertifikats Beispiel eines SHA1 des Zertifikates Fingerprints zum Beispiel SHA1 48 2D 99 B1 64 C1 14 9C B3 F2 C0 8D FA 7F 40 9F 22 F5 11 F5 Sektion Certificate Revocation List Wurde die interne CA konfiguriert so h lt diese eine Revocation List f r die von ihr ausgestellten Zertifikate vor Sollte ein Privater Schl ssel kompromittiert worden sein so kann dieser in der Benutzerkonfiguration siehe Benuftzerdetails 20 als ungiltig erkl rt werden und taucht dann in der Revocation List auf Diese kann ber die Schaltfl che SrA AT HIEER ER SIE heruntergeladen und somit abgefragt werden Sektion Internal CA Settings In dieser Sektion werden die Einstellungen f r die Self Signed beziehungsweise Sub CA eingegeben Die genannten Extension Settings sind die Standard Einstellung bei Einrichtung einer Self Signed CA Soll eine Sub CA Eing
134. ch integriert Diese k nnen beliebig erweitert oder deaktiviert werden Empf nger k nnen sich auch am Portal vorg ngig anmelden und so Ihre bevorzugte Verschl sselungsform Passwort oder Zertifikats Key w hlen i Unterschiedliche Registrierungsprozesse f r externe Kommunikationspartner 1 Spontaner Kommunikationsbeginn Der Sender verfasst eine E Mail klassifiziert dieses als Vertraulich und versendet diese Hat er die Mobilnummer des Empf ngers k nnte er diese im Betreff schon als Tag zum Beispiel SMS 00491511234567 mitgeben Die Appliance w rde dann mit dem Versenden der GINA Mail auch gleichzeitig das SMS ausl sen Ansonsten wird der Sender aufgefordert dem neuen Empf nger sein Initialpasswort auf parallelem Wege SMS Telefon Fax zu bermitteln 2 Vorbereitete Kommunikation a Der Sender versendet eine Einladungsmail ohne Initialpasswort an den zuk nftigen Kommunikationspartner Diese sollte OHNE vertraulichen Inhalt sein Der Empf nger ffnet 2015 SEPPmail AG 32 das HTML Attachment und der unter Schritt 3 Abb 4 beschriebene Registrierungsprozess startet Danach kann gesichert Kommuniziert werden Der Externe hat sein eigenes Passwort festgelegt oder schon sein Schl sselmaterial hochgeladen b Der Externe meldet sich ber die Webseite des SEPPmail Betreibers zur sicheren Kommunikation an Ein Link bringt den externen Kommunikationspartner auf das Registrierungsportal der SEPPmail Appliance
135. chnologie erzwungen Hinweis Diese Option kann zu Problemen f hren wenn als privat markierte Kalendereintr ge versendet werden da diese dann automatisch GINA verschl sselt w rden Mit Aktivieren dieses Punktes wird bei Auffinden des angegebenen Schl sselwortes im Betreff einer ausgehenden initialen GINA E Mail kein Initial Password ben tigt Im Standard lautet das Schl sselwort femptypw Bei aktiver Option werden ausgehende E Mails immer verschl sselt sofern der OEM PRODUCTNAME gt Appliance ein ffentlicher Schl ssel egal ob S MIME oder openPGP des Kommunikationspartners Empf ngers vorliegt Hinweis Es gilt zu beachten dass der Versender der E Mail auf der OEM PRODUCTNAME gt Appliance jeweils als Benutzer angelegt sein oder werden muss wenn er an einen entsprechenden Kommunikationspartner sendet 2015 SEPPmail AG 156 Beschreibung Always use GINA encryption if account exists and no S MIME or openPGP key is known Do not encrypt outgoing mails with the following text in subject Use AES256 for S MIME encryption Incoming e mails Add this text to message subject if S MIME signature check succeeds remove signature if S MIME signature check succeeds Add this text to message subject if S MIME signature fails remove signature if S MIME signature check fails Ist diese Option aktiv so werden ausgehende E Mails immer mittels GINA Technologie verschl
136. chrichtigungen des SEPPmail Systems ber eventuelle Probleme Watchdog Meldungen versendet werden k nnen ist die Eingabe einer entsprechenden E Mail Adresse f r den Empfang dieser Meldungen im Men Mail System unter der Sektion SMTP settings in das Feld Postmaster address erforderlich 2015 SEPPmail AG 75 4 7 Vorbereiten der GINA Technologie Um auch mit Kommunikationspartnern welche selbst ber kein Schl sselmaterial verf gen sicher kommunizieren zu k nnen kommt die GINA Technologie zum Einsatz F r das initiale Einrichten dieses Verfahrens ist zun chst die Erreichbarkeit der SEPPmail Appliance aus dem Internet in der Regel per SSL Port 443 siehe Firewall Router einrichten ss zu gew hrleisten Weiterhin sollte auf der Appliance ein g ltiges SSL Zertifikat einer vertrauensw rdigen Certification Authorothy CA eingebunden sein siehe 175 Letztendlich sind die GINA Einstellung ber 165 vorzunehmen 2015 SEPPmail AG 76 4 8 Integration in die bestehende E Mail Infrastruktur Die Basis Einrichtung der SEPPmail Appliance ist mit dem Abarbeiten der vorangegangenen Punkte abgeschlossen F r eine Minimalkonfiguration zum Austausch sicherer E Mails sind die in den folgenden Punkten beschriebenen weiteren Schritte notwendig 4 8 1 Zu verwaltende E Mail Dom nen einrichten Die E Mail Dom nen auf welche das neue SEPPmail System reagieren soll sind Men Mail System Sektion Managed Domains
137. cht zutreffender Bedingung Parameter attribute attribute kann die Variable connect from adressieren oder Variablen die mit Idap_read siehe Idap readbsb oder Set serattr siehe Sefusera ffr 256 geschrieben wurden operator M gliche Werte e equal vergleicht auf Gleichheit e match pr ft auf das Zutreffen eines regul ren Ausdrucks value Wert gegen den verglichen werden soll Beispiel i echparearer Connecte From egual 172 16 161 1Y A log 1 Message comes from 172 16 161 1 else log 1 Message does NOT come from 172 16 161 1 Erkl rung In diesem Beispiel wird berpr ft ob die zu verarbeitende E Mail von einem E Mail Server bestimmten Server kommt Es wird die Systemvariable connect from ausgewertet 2015 SEPPmail AG 237 8 3 5 comparebody Der Befehl comparebody pr ft den Nachrichtentext der E Mail auf Vorhandensein einer Zeichenkette Dieser Befehl durchsucht den Nachrichtentext einer E Mail nach dem angegebenen Wert value Aufbau des Befehls comparebody value R ckgabewert positiv sofern der Wert aus value wenigstens einmal im Nachrichtentext vorkommt negativ sofern der Wert aus value nicht im Nachrichtentext vorkommt Parameter value Der Parameter value definiert den Suchbegriff nach dem innerhalb der E Mail gesucht wird value hat das Format eines regul ren Ausdrucks Beispiel LE one NEL TEN AE Jeer Marl contains am IRE aekkz
138. cmail testdomain net Um ein Wildcard SSL Zertifikat zu erzeugen geben Sie den Hostnamen mit einem f hrenden Stern ein zum Beispiel testdomain net Zur Aktivierung des neuen SSL Device Certifikate ist ein Neustart der SEPPmail Appliance erforderlich siehe Administration System Reboot System beziehungsweise laminis tation hen Detaillierte Informationen sind unter Request a new Certificate hs zu finden 4 8 4 2 SSL Device Zertifikat von einer ffentlichen Zertifizierungsstelle anfordern F r den produktiven Betrieb der SEPPmail inklusive GINA Technologie empfiehlt sich dringend das Verwenden eines Trusted SSL Device Certificate f r den SSL gesicherten Zugriff auf das GINA Webmail System F r das Anfordern und anschliessende Einbinden eines gekauften Trusted SSL Device Certificate ist in das Men SSL zu wechseln und die Schaltfl che IS EHEN ARTE zu klicken Im erscheinenden Men sind die hier aufgef hrten Felder zwingend auszuf llen Sektion Issue To Name or IP CN IP Adresse oder Hostname unter der SEPPmail aus dem Internet erreichbar ist Bei einem selbstsignierten Zertifikat muss der hier angegebene Werte dem Namen in der URL entsprechen unter der SEPPmail angesprochen wird Beispiel Soll SEPPmail unter der URL https securewebmail example tld angesprochen werden so lautet der im Feld Name or IP CN anzugebende Hostname securewebmail example tld 2015 SEPPmail AG 79 Eine g
139. d Backend Cluster das Trennen der Datenbank vom E Mail verarbeitenden System Das heisst bei dieser speziellen Form eines SEPPmail Clusters existiert auf dem als Frontend konfigurierten System keine Konfigurationsdatenbank Die zur Laufzeit ben tigten Konfigurationsdaten werden ausschliesslich auf dem Backend System welches die Konfigurationsdatenbank und somit auch das Schl sselmaterial beherbergt vorgehalten und auf Anfrage vom Frontend System auf dieses im Push Verfahren geschoben lila Pfeile in Abbildung 6 Durch Abschluss der am Frontend System angeforderte Aktion zum Beispiel Ver oder Entschl sseln werden die hierf r angeforderten Konfigurationsdaten automatisch verworfen gel scht Frontend Backend Cluster interner E Mail Server Frontend System IP Adresse 10 10 0 10 Ohne lokale Datenbank Backend System IP Adresse 10 20 0 10 Beherbergt Datenbank Abbildung 6 Schematische Darstellung einer Frontend Backend Cluster Struktur 2015 SEPPmail AG 99 4 9 6 Secure Webmail Satellite Da E Mail Systeme blicherweise nur ber SMTP Port 25 kommunizieren ist unter Umst nden aufgrund einer vorhandenen DMZ DeMilitarisierte Zone Struktur die f r die GINA Technologie ben tigte Kommunikation ber SSL Port 443 nicht m glich Um dennoch die GINA Technologie Nutzen zu k nnen ohne die Sicherheits Infrastruktur aufweichen zu m ssen ist ein Abspalten dieser Technologie ber das GINA Satelliten
140. ddInSetup msi SMWarning false SMEncrypt true SMSign true SMWebmail true SMHelp tru SMEncryptSelected false MSignSelected false SMWebmailSelected false li log txt Msiexec Parameter Jo Installation ohne User Interface Installation eines MSI Paketes Ni log txt log txt mit Basis Informationen im aktuellen Verzeichnis erzeugen MSI Parameter von SEPPmailOutlookAddInSetup msi SMWarning Warnung falls die Schaltfl che verschl sseln nicht ausgew hlt wurde ein ausschalten SMEncrypt Schaltfl che Verschl sseln ein ausblenden SMSign Schaltfl che Signieren ein ausblenden SMWebmail Schaltfl che Verschl sseln mit Lesebest tigung ein ausblenden SMNoEncryption Schaltfl che Unverschl sselt ein ausblenden SMHelp Schaltfl che Hilfe ein ausblenden SMEncryptSelected SE Verschl sseln im Standard aktiv inaktiv setzen SMSignSelected SMWebmailSelected Schaltfl che Verschl sseln mit Lesebest tigung im Standard aktiv inaktiv setzen SMNoEncryptionSelected Su Unverschl sselt im Standard aktiv inaktiv setzen Tooltips Tooltips f r Buttons ein ausschalten LMonly Registry Werte nur in HKLM nicht in HCU speichern 2015 SEPPmail AG 109 6 4 3 Deinstallation Die Deinstallation des SEPPmail Add In f r Microsoft Outlook erfolgt interaktiv ber die Systemsteuerung im Men Programme und Funktionen Interaktiv am Beispiel Wind
141. den im Anschluss durch das SEPPmail System verarbeitet und an den entsprechenden Forwarding Server Server IP Address weitergeleitet Siehe auch Kapitel Benufzerdetails oz Verify recipient Dieser Parameter bewirkt dass die E Mail Adresse des Empf ngers vorab addresses using bei dem f r die E Mail Dom ne eingerichteten E Mail Server an den die E SMTP Lookups Mails weitergeleitet werden berpr ft wird Verl uft die Pr fung der Empf nger E Mail Adresse nicht erfolgreich wird die Annahme der E Mail vom SEPPmail System verweigert Hinweis Sollte der als Forwarding Server Server IP Address angezeigte Server nicht der E Mail Server sondern eine zwischengelagerte Komponente sein so ist bei Aktivieren dieses Parameters mit Problemen zu rechnen Sektion Outgoing Server Definiert die Art der Weiterleitung ausgehender E Mails Use built in mail Dieser Parameter bewirkt dass ausgehende E Mails in Richtung Internet transport agent direkt durch das SEPPmail System an den Ziel E Mail Server des E Mail Empf ngers zugestellt wird Die Appliance muss f r diese Einstellung direkt aus dem Internet per MX Record erreichbar sein Hinweis Bei Verwenden dieser Einstellung wird dringend empfohlen das optionale Protection Pack VSPP zu lizensieren und aktivieren sofern f r den eingehenden E Mail Verkehr nicht etwa ein externer AntiSpam Dienst vorgeschaltet ist Andernfalls ist mit erheblichen Beeintr chtigungen bis hin zum Er
142. der Account lokal tempor r deaktiviert Dabei findet keine Interaktion mehr mit dem externen Server statt die Deaktivierung ist also ausschliesslich lokal Somit kann ein SEPPmail Administrator einen deaktivierten GINA Account in der SEPPmail Administrationsoberfl che jederzeit wieder aktiveren oder dauerhaft deaktivieren Weiterhin besteht die M glichkeit einzelne GINA Accounts von der externen Authentisierung auszunehmen In diesem Fall wird jeweils wieder das lokale Passwort f r das Login verwendet siehe auch GINA Benutzer Details 21 User Data External Authentication Sektion openPGP Domain Encryption In dieser Sektion werden die openPGP Dom nen Schl ssel angezeigt sofern vorhanden Zeigt die Key ID Zeigt die zur Key ID zugeh rige User ID an Ausstelldatu Ablaufdatum des der openPGP Wurde der Key durch die Appliance generiert m des Keys des Keys Dom nen Key s an so lautet er in der Regel TT MM JJJJ TT MM JJJJ openPGP Domain Encryption lt domain confidentiality authority ihredomain ch gt Durch Klicken der Key ID wird ein Untermen mit Details zum Key ge ffnet Dieses bietet die M glichkeit den ffentlichen Schl ssel herunterzuladen beziehungsweise das Schl sselpaar zu l schen ber die Schaltfl che nn Je kann ein bereits vorhandenes Schl sselpaar importiert werden siehe Untermen Import openPGP Keyhat ber die Schaltfl che TIER G wird ein neues Schl sselpaar auf der Appliance generiert sieh
143. der E Mail in sein Adressbuch ein so ist auch hier zu erwarten dass er zuk nftig nicht den eigentlich gew nschten sondern den manipulierten Empf nger adressiert Using Certificate Angabe der E Mail Adresse wie sie im S MIME Zertifikat f r die Dom nensignatur enthalten ist Text before new FROM Einzuf gender Text vor dem manipulierten Absender Text after new FROM Einzuf gender Text nach dem manipulierten Absender 2015 SEPPmail AG 158 Beschreibung Key Generation automatically create openPGP keys for new users automatically create S MIME keys for new users automatically buy lt CA gt S MIME keys for new users Durch Ausw hlen dieser Option wird f r jeden neu generierten Benutzer automatisch ein openPGP Schl sselpaar erzeugt Durch Ausw hlen dieser Option wird f r jeden neu generierten Benutzer automatisch ein S MIME Schl sselpaar ber die interne CA erzeugt Durch Ausw hlen dieser Option wird f r jeden neu generierten Benutzer automatisch ein S MIME Zertifikat von der angegebenen CA bezogen Hinweis Das Schl sselpaar wird auf der Appliance generiert Nur der ffentliche Schl ssel wird zum Signieren bei der CA eingereicht Der private Schl ssel verl sst die OEM PRODUCTNAME gt Appliance nicht Diese Option erscheint nur dann wenn unter CA hs External CA eine entsprechende MPKI ausgew hlt wurde Protection Pack Anti Spam Anti Virus nur mit entsprechender Li
144. des Mandanten Die zweite Tabelle der Sektion zeigt diejenigen GINA Benutzer welche keinem Mandanten zugeordnet sind und a von einem internen Benutzer der SEPPmail Appliance erzeugt wurden dessen E Mail Dom ne Managed Domain nicht dem Mandanten zugeordnet ist b mittels Selbstregistrierung siehe generiert wurden In der Regel sollten GINA Benutzer welche von einem internen Benutzer der SEPPmail Appliance einer Managed Domain eines anderen Mandanten erzeugt wurden nicht zugeordnet werden Creation info Assign to this customer Zeigt den Namen des Zeigt die E Mail Zeigt ob es sich um Beinhaltet die jeweiligen GINA Adresse des jeweiligen einen selbst Schaltfl che EST Benutzers den er bei GINA Benutzers registrierten GINA mit welcher der GINA der Registrierung Benutzer handelt Benutzer dem eingetragen hat beziehungsweise wer Mandanten zugeordnet die initiale GINA E Mail werden kann gesendet und somit den Benutzer generiert hat Dies ist kein Benutzer einer Managed Domain des Mandanten 2015 SEPPmail AG 228 8 Referenz der Regelwerk Anweisungen 8 1 Allgemeine Informationen Syntax Abschluss von Befehlen Befehle m ssen grunds tzlich mit einem Semicolon abgeschlossen werden Parameter Parameter werden immer in durch einfache Anf hrungszeichen begrenzt Parameter in eckigen Klammern wie zum Beispiel oldrecipient sind optional und m ssen nicht angegeben werden Fehlt
145. des SEPPmail Outlook AddIns im Betreffzeilen Modus ist darauf zu achten dass bei 2015 SEPPmail AG 153 nderungen der Schl sselworte in der Appliance diese entweder als zus tzliche Werte hinzugef gt werden oder die Werte im Addin an die Werte der Appliance angepasst werden m ssen Beschreibung General Settings Do not touch mails with the following text in subject Add disclaimer to all outgoing emails Also add disclaimer to replies in reply to header set Reprocess mails sent to reprocess decrypt reprocess Show message subject in logs User Creation Manual user creation Only process outgoing mails from users with an account Ist diese Option aktiv und das angegebene Schl sselwort wird im Betreff einer ausgehenden E Mail gefunden so wird diese kryptographisch unbehandelt weitergeleitet Das Ruleset wird nicht weiter durchlaufen Im Standard lautet das Schl sselwort plain Dies ergibt unter Umst nden Sinn wenn all diese Voraussetzungen gegeben sind e Einstellung Always use S MIME or openPGP if keys are available an der OEM PRODUCTNAME gt Appliance aktiv e Absender weiss dass der Empf nger tempor r nur auf einem Mobilen Endger t empfangen kann e Inhalt der E Mail ist nicht vertraulich Mit dem Aktivieren dieser Funktion wird jeder ausgehenden initialen E Mail die Fussnote angeh ngt welche der jeweiligen Managed Domain siehe Men AddjEdit Ma d Domain zb GINA and Disclaimer
146. die OEM PRODUCTNAME gt Appliance eine E Mail sendet einen Benutzer egal ob Verschl sseln Signieren angefordert wurde oder nicht Diese Einstellung ist geeignet wenn die OEM PRODUCTNAME gt Appliance nicht direkt im E Mail Strom steht sondern bereits ber eine vorgelagerte Komponente entschieden wird welche E Mails kryptographisch zu behandelnd sind und nur diese an die OEM PRODUCTNAME gt Appliance bergibt Ein weiterer Anwendungsfall w re wenn alle E Mails eines Unternehmens grunds tzlich signiert oder gegebenenfalls verschl sselt werden sollen Ist diese Option aktiv werden eingehende durch die OEM PRODUCTNAME gt Appliance entschl sselte E Mails im Betreff mit diesem Schl sselwort gekennzeichnet Im Standard lautet das Schl sselwort secure Durch Aktivieren dieser Option wird bei eingehenden durch die OEM PRODUCTNAME gt Appliance entschl sselten E Mails den Header Sensitivity Confidential Bei aktiver Option werden eingehende verschl sselte E Mails abgewiesen bounced sofern sie durch die OEM PRODUCTNAME gt Appliance nicht entschl sselt werden konnten Da die OEM PRODUCTNAME gt Appliance eine E Mail einem eventuell vorgelagerten System erst dann als angenommen meldet wenn die E Mail ausgeliefert werden kann ist diese Funktion auch 2015 SEPPmail AG 155 Beschreibung Outgoing e mails Always encrypt mails with the following text in subject Always encrypt mails
147. die SEPPmail Appliance in einer DMZ platziert werden m ssen in welcher keine Datenhaltung in diesem Fall in erster Linie Schl sselmaterial erlaubt ist so kann ber diese Funktion eine Trennung zwischen dem Datenbanksystem Backend und dem E Mail verarbeitenden System Frontend vollzogen werden Der Frontend Server erh lt in diesem Fall jeweils nur die diejenigen Daten vom Backend Server welche aktuell zur Verarbeitung einer E Mail ben tigt werden Der Backend Server steht ausserhalb der DMZ und h lt die Daten in seiner Datenbank Frontend Server werden nicht in der Sektion cluster members der Backend Systeme angezeigt Cluster Identifier ber die Browserschaltfl che Datei ausw hlen wird das f r die SSH Verbindung ben tigte Zertifikat der Basis Maschine clusterid txt siehe Sektion Prepare for Cluster ausgew hlt 2015 SEPPmail AG 197 Existing Appliance IP An dieser Stelle wird IP Adresse der Backend Maschine ber welche die Cluster Kommunikation stattfinden soll sowie der zu verwendende Port im Standard Port 22 f r das SSH Protokoll angegeben Existiert ein Backend Cluster so kann an dieser Stelle eine virtuelle IP Adresse siehe System 115 Sektion IP ALIAS Addresses verwendet werden Es besteht aber auch die M glichkeit der Frontend Maschine weitere Backend Server im Nachhinein hinzu zu f gen siehe Sektion Add additional Backend falls keine virtuelle IP Adresse verf gbar ist ber di
148. diesem Fall wird automatisch auf den zweiten Server zugegriffen wenn der erste nicht erreicht werden kann BindDN Eingabe des vollst ndigen Distinguished Name DN des read only Accounts welcher zur Suche des unter SearchBase in der LDAP Datenbank berechtigt ist Das Passwort des unter BindDN angegebenen Benutzers SearchBase Suchpfad Gibt den Zweig der LDAP Datenbank an in welchem das Attribute aus dem Parameter attr zu suchen ist Beispiel lda gerccercs leap ee eege Comain tLe ol pen Bareieipenende okR dce domain dce tld Erkl rung Der LDAP Server welcher unter dem Fully Qualified Domain Naime FQDN Idap directory domain tld auf dem Standardport 389 erreichbar ist wird abgefragt Ein Benutzer BindDN mit Passwort Password zur Authorisierung der Abfrage ist nicht notwendig da es sich im Beispiel um einen ffentlichen LDAP Verzeichnisdienst handelt Der LDAP Pfad in welchem die Zertifikate abliegen lautet ou pki participant dc pki dc domain dc tlid 2015 SEPPmail AG 293 8 8 4 Idap_getpgpkeys Der Befehl Idap pgpkeys ruft ffentliche openPGP Schl ssel bei einem LDAP Verzeichnisdienst ab Dieser Befehl ruft f r jeden Empf nger einer E Mail ffentliche openPGP Schl ssel bei einem LDAP Verzeichnisdienst ab Aufbau des Befehls ldap getpgpkeys ldap R ckgabewert positiv immer Parameter Idap Der Parameter ist wie folgt aufgebaut URI BindDN Password SearchBase
149. dieser Parameter wird in der Regel ein vordefinierter Standardwert bzw Standardverhalten angewendet Eingabe Beispiele command optional required Eingabe command required oder command required command required optional optionall Eingabe command required oder command required oder command required optional Regul re Ausdr cke Innerhalb von Befehlen werden zum Teil regul re Ausdr cke regular expressions verwendet welche der Perl Systax entsprechen m ssen Zahlreiche Erkl rungen und Beispiele hierzu sind im Internet zu finden beispielsweise unter http de wikipedia org wiki Regqul C3 A4rer Ausdruck http wiki selfhtml org wiki Perl Regul C3 A4re Ausdr C3 BCcke Verwenden von Anf hrungszeichen in Strings Werden doppelte Anf hrungszeichen innerhalb eines Strings verwendet so sind diese innerhalb der einfachen Anf hrungszeichen zu schreiben also Sind einfache Anf hrungszeichen innerhalb eines Strings zu schreiben so sind diese durch doppelte Anf hrungszeichen zu begrezen also Variablen Grunds tzlich stehen innerhalb von Vorlagen folgende Variablen zur Verf gung header_ from from liefert den Wert Absender Adresse des from headers zur ck den Wert Absender Adresse des from headers zur ck from liefert den Absender aus dem envelope zur ck header_to liefert den Wert Empf nger Adresse des to headers zur ck liefert
150. domain Erkl rung In diesem Beispiel wird gepr ft ob eine E Mail von einer unter Managed Domains eingetragenen Absender E Mail Adresse gesendet wurde 2015 SEPPmail AG 240 8 3 8 incoming Der Befehl incoming bestimmt das Auslieferungsziel intern extern einer E Mail Dieser Befehl pr ft ob eine E Mail lokal ausgeliefert wird Sind nicht alle Empf nger der E Mail ausschliesslich lokal oder ausschliesslich extern so werden zwei Gruppen gebildet Aufbau des Befehls incoming R ckgabewert positiv f r die Gruppe der lokalen Empf nger negativ f r die Gruppe der externen Empf nger Hinweis Als lokale Empf nger werden diejenigen bezeichnet deren E Mail Dom nen auf der Appliance als Managed Domains definiert sind Alle anderen Empf nger werden als extern bezeichnet Parameter keine Beispiel if incoming Ruleset Anweisungen f r alle E Mails die lokal zugestellt werden k nnen Anweisungsblock 1 R ckgabewert positiv alee Ruleset Anweisungen f r alle E Mails die extern zugestellt werden m ssen Anweisungsblock 2 R ckgabewert negativ Erkl rung In diesem Beispiel wird f r eine eingehende E Mail der Anweisungsblock 1 ausgef hrt F r eine ausgehende E Mail wird der Anweisungsblock 2 ausgef hrt 2015 SEPPmail AG 241 8 3 9 log Der Befehl Tog Erzeugt eiunen Eintrag im System Log Der Eintrag im System
151. e E Mail Verarbeitung an allen Internetzug ngen gleichermassen funktionieren Um dies zu gew hrleisten m ssen die Konfigurationsdatenbanken sowie das Schl sselmaterial an allen Kryptographie Gateways SEPPmail Appliances identisch gehalten werden Dies wird durch die Geo Cluster Funktion des SEPPmail Systems realisiert so dass stets die konsistente Konfiguration aller Systeme gew hrleistet ist Geo Cluster MultiSite System Firmennetzwerk d hand Firmennetzwerk Datacenter om E SE raus Datacenter Standort A a8 Standort B Cluster Member Primary IP Adresse 10 10 0 2 Cluster Member Primary IP Adresse 20 20 0 2 interner E Mail Server interner E Mail Server vollautomatische Synchronisierung vollautomatische Synchronisierung Cluster Synchronisierung durch VPN Tunnel Cluster Member Secondary IP Adresse 10 10 0 3 Cluster Member Secondary IP Adresse 20 20 0 3 virtuelle Cluster IP Adresse 20 20 0 1 virtuelle Cluster IP Adresse 10 10 0 1 firmeninternes E Mail Transportnetzwerk via VPN Tunnel Abbildung 5 Schematische Darstellung einer Geo Cluster Struktur 2015 SEPPmail AG 98 4 9 5 Frontend Backend Cluster Ist aufgrund einer DMZ DeMilitarisierte Zone Struktur die Datenhaltung insbesondere die Schl sselverwaltung innerhalb des Netzwerk Standortes des E Mail verarbeitenden Systems nicht erlaubt so erm glicht der Fronten
152. e Password Management SSPM Die unter Self Ser rd Management Sp zg erl uterte Funktion des SSPM ist als einmalige optionale Erweilsrung der Signatur und Verschl sselungslizenz zu erwerben Dieses Modul erh ht nicht den j hrlichen Wartungsbeitrag der Care Packs Schritt 4 zur passenden Lizenz Auswahl von SSPM Lizenzen in der selben Anzahl wie Signatur und Verschl sselungslizenzen sofern dieses Modul gew nscht wird 3 6 5 Internal Mail Encryption IME Die unter Internat Mail Encryption IME 53 erl uterte L sungserweiterung zur internen Mail Verschl sselung IME ist wie dasSSPM Modul ebenfalls ohne j hrliche Wartung einmalig pro Signatur und Verschl sselungslizenz zu erwerben Schritt 5 zur passenden Lizenz Auswahl von IME Lizenzen in der selben Anzahl wie Signatur und Verschl sselungslizenzen sofern dieses Modul gew nscht wird 2015 SEPPmail AG 59 4 Inbetriebnahme der Secure E Mail Gateway Appliance 4 1 Bevor Sie beginnen Bitte berpr fen Sie den Verpackungsinhalt auf Vollst ndigkeit Der Lieferumfang besteht aus u Beschreibung SEPPmail Hardware Appliance bzw SEPPmail Virtual Appliance f r VMware ESX oder Microsoft Hyper V Server Quick Install Guide Kaltger tekabel 240V Sollte der Lieferumfang bei Ihnen unvollst ndig sein oder sollten bei der Installation der SEPPmail Appliance Probleme oder Fragen auftauchen kontaktieren Sie bitte SEPPmail oder Ihren SEPPmai
153. e Schaltfl che Sem wird die Maschine dem Cluster hinzugef gt Sektion Remote LDAP Server Diese Sektion erscheint nur dann wenn die SEPPmail Appliance als Frontend Server bereits Bestandteil eines Cluster ist In diesem Fall werden alle Backend Server mit den folgenden Daten gelistet IP Address Zeigt die IP Adresse der jeweiligen LDAP Backend Maschine an Das Entfernen eines LDAP Backend Servers erfolgt durch klicken auf die IP Adresse Hierdurch ffnet ein weiteres Men in welchem dann der Server ber die Schaltfl che BEA elei a entfernt werden kann Das Entfernen der lokalen Maschine als Frontend Server erfolgt wie in Sektion Detach from LDAP Server beschrieben Port Zeigt den Kommunikations Port an im Standard Port 22 f r das SSH Protokoll Arbeitet der Cluster korrekt so steht hier OK XXXX entries in remote database Sektion Detach from LDAP Server ber die Schaltfl che Detach wird die SEPPmail Appliance als Frontend Server entfernt Dabei wird eine leere Lokale Datenbank auf dem System angelegt Sektion Add additional Backend Sollen mehrere Backend Server aus einem Backend Cluster f r LDAP Anfragen herangezogen werden ohne dass eine virtuelle IP Adresse zur Verf gung steht so k nnen diese ber diese Option eingebunden werden Existing Appliance IP An dieser Stelle wird die physikalische IP Adresse einer weiteren Backend Maschine sowie der zu verwendende Port im Standard Port 22 f r das S
154. e Untermen Import S MIME Key 42 Die Laufzeit sowie das automatische Aktualisieren des so erzeugten Schl ssels entspricht der unter CA internal CA Settings Validity in days siehe Men G ss eingegebenen 2015 SEPPmail AG 139 Sektion S MIME Domain Encryption In dieser Sektion werden die S MIME Dom nen Schl ssel angezeigt sofern vorhanden Zeigt den die Fingerprint s des der S MIME Dom nen Keys an Ausstelldatu Ablaufdatum m des Keys des Keys Ist im bergeordneten Men Mail System Managed Domains TT MM JJJJ j TT MM JJJJ die Option Automatically create and publish S MIME domain keys for all domains aktiviert so ist hier mindestens ein Zertifikat zu sehen Durch Klicken des Fingerprints wird ein Untermen mit Details zum Key ge ffnet Dieses bietet die M glichkeit den ffentlichen Schl ssel Zertifikat herunterzuladen beziehungsweise das Schl sselpaar zu l schen ber die Schaltfl che les SAT kann ein bereits vorhandenes Schl sselpaar importiert werden Der Schl sselaustausch zwischen SEPPmail Systemen erfolgt bei aktivierter Option Automatically create and publish S MIME domain keys for all domains ber den Managed Domain Service automatisch Somit wird sichergestellt dass alle SEPPmail System untereinander Dom nen verschl sselt kommunizieren ber die Schaltfl che SEEKS wird durch die integrierte CA ein neues Schl sselpaar auf der Appliance generiert Die Laufzeit f r die
155. e der E Mail 2015 SEPPmail AG 201 7 12 Statistics In diesem Men werden diverse Messgr ssen grafisch dargestellt Dabei wird f r jede Sektion jeweils e die letzten 24 Stunden Today die letzte Woche Last Week der letzte Monat Last Month das letzte Jahr Last Year die letzten drei Jahre Last 3 Years dargestellt Sektion Throughput Visualisation Die Grafiken dieser Sektion stellen den E Mail Durchsatz dar Graph Farbe Beschreibung aw O Zeigt die Gesamtzahl der empfangenen E Mails an u Zeigt die Gesamtzahl der gesendeten E Mails an e Zeigt die Gesamtzahl der verschl sselten E Mails an wm Zeigt die Gesamtzahl der entschl sselten E Mails an Sektion Technology Visualisation Die Grafiken dieser Sektion stellen die H ufigkeit der verwendeten Verschl sselungstechnologien dar Graph Farbe Beschreibung u Zeigt die Gesamtzahl der mittels GINA Technologie verschl sselten E Mails an Zeigt die Gesamtzahl der mittels S MIME Technologie verschl sselten E Mails an S MIME signierte E Mails werden nicht dargestellt wm Zeigt die Gesamtzahl der mittels openPGP Technologie verschl sselten E Mails an Oo Zeigt die Gesamtzahl der mittels Domain Verschl sselung verschl sselten E Mails an Sektion Spam Visualisation Die Grafiken dieser Sektion stellen die Aktionen der SPAM Abwehrmassnahmen dar sofern das Protection Pack VSPP lizensiert und aktiviert wurde 2015 SEPPmail AG
156. e oder IP Adresse unter der Ihr bestehender interner E Mail Server im internen Netzwerk angesprochen werden kann E Mail Dom nen Dom nen der E Mail Adressen Ihrer Organisation an zum Beispiel firma ch firma com Postmaster Adresse An diese Adresse werden Systembenachrichtungen gesendet zum Beispiel Watchdog Meldungen Admin E Mail Adresse n Wird f r den Empfang von Passwort R cksetzungsanfragen von GINA Benutzern ben tigt Werden mehrere GINA Interfaces verwendet so ist unter Umst nden das Einrichten mehrerer Admins sinnvoll Standard Gateway IP Adresse Standard Gateway IP Adresse Ihrer Firewall oder Ihres Routers ber welche die SEPPmail Appliance die Verbindung mit dem Internet herstellen kann Ben tigte Informationen zum Einrichten der SEPPmail Appliance Die SEPPmail Appliance muss aus Internet als Webserver erreichbar sein und ben tigt deshalb eine von extern erreichbare IP Adresse Oft ist dies die Adresse der Firewall oder eines Reverse Proxies 2015 SEPPmail AG 62 Web Application Firewall In einfachen Installationen kann dazu die IP Adresse verwendet werden unter der Ihr Internet Router von extern erreichbar ist Diese Information sind wie folgt herauszufinden ffnen der Eingabeaufforderung auf einem Windows PC Eingabe des Befehls nslookup und mit Enter best tigen Es erscheint gt Zeichen Prompt Eingabe des Befehls set querytype mx und mit Enter best tigen
157. e zugeordneten IP Adressen in umgekehrter Reihenfolge SEPPmail meinefirma ch 1800 IN A 10 10 0 2 SEPPmail meinefirma ch 1800 IN A 10 10 0 1 zur ckgeben Da das Anfragende System in der Regel die jeweils zuerst gelieferte IP Adresse verwendet entsteht so eine zahlenm ssige Aufteilung der Anfragen und dadurch eine Lastverteilung Zusammenfassung Beim Versand von ein und ausgehenden E Mails ber das SEPPmail Cluster wird statt einer virtuellen Cluster IP Adresse ein Hostname im jeweiligen E Mail Server angegeben Dieser wird dann zur 2015 SEPPmail AG 94 Laufzeit in die zugeh rigen IP Adressen aufgel st So k nnen der interne und der externe E Mail Server ein und ausgehende E Mails wahlweise an eine dieser aufgel sten IP Adressen senden Durch den Einsatz virtueller Cluster IP Adressen reagieren die Cluster Member Systeme je nach Priorit t wodurch die Ausfallsicherheit gew hrleistet wird Durch die DNS Round Robin Funktion kann f r den ein und ausgehenden E Mail Datenfluss eine Lastverteilung erreicht werden Quelle Wikipedia http de wikipedia org wiki Lastverteilung per DNS Das Einrichten der virtuellen IP Adressen und das Zuweisen den Priorit ten des jeweiligen Cluster Member Systems ist im Men System siehe auch Systems IP ALIAS Addresses vorzunehmen Load Balancing Cluster DNS Round Robin Verfahren virtuelle Cluster IP Adresse 10 10 0 1 interner E Mail Server externer E Mail Relay S
158. eaktivierter Option Do not allowGINA users to edit recipient when replying to e mails nur bereits vorhanden Empf nger durch den GINA Benutzer entfernt jedoch keine weiteren hinzugef gt werden SMTP sender Da der Versand der E Mails an externe Empf nger mit einer existenten E Mail address for Adresse der lokalen E Mail Dom ne erfolgen muss Stichwort SPF Pr fung sending to external ist die Versender Adresse f r die oben genannten Antwort E Mails hier einzutragen recipients Hinweis Die hier angegebene E Mail Adresse erh lt gegebenenfalls Systembenachrichtigungen wie Bounce oder Non Delivery Report NDR E Mails Allow messages Mit Aktivieren dieser Option wird dem Empf nger einer GINA Mail im GINA to be downloaded Interface eine Schaltfl che zum Download der E Mail im msg Format also as Outlook Outlook angeboten Somit wird der Empf nger in die Lage versetzt die message msg urspr nglich GINA verschl sselte E Mail in Outlook im Klartext abzuspeichern files Hinweis Wird nach abspeichern der Nachricht im Klartext ber die Antworten Schaltfl che im Outlook geantwortet so geschieht dies unverschl sselt Allow messages Mit Aktivieren dieser Option wird dem Empf nger einer GINA Mail im GINA to be downloaded Interface eine Schaltfl che zum Download der E Mail im eml Format f r den as MIME eml Import in einen E Mail Client angeboten Somit wird der Empf nger in die Lage files versetzt die urs
159. ected s smptin Z SMSign signieren SMSign Selected s smsign SZ subject mod LMOnly 2015 SEPPmail AG setzt die Schaltfl che im Standard auf inaktiv aktiv sign subject mod Schl sselwort 0 1 blendet die Schaltfl che aus bzw ein urch Aktivieren des subject mo werden Betreffzeilen Schl sselworte statt x header zur Steuerung der Appliance verwendet 0 1 2 D Q 5 5 Q das Aktivieren von LMOnly deaktiviert das be nutzerbezogene Sie ol E E E z lt E z E E O O O ol O oO Oo O O D D ES a 2 D E D D O O O Ss O Ss O O 111 Tooltips DWORD de bzw aktiviert die Tooltips f r die Schaltfl chen Speichern von Einstellungen in HCU 0 1 Zeitstempel f r den Vergleich UsageTimeStamp 2014 4 8 16 51 27 HKLM HCU Z Webseite welche bei Anklicken der Web Site sz http www Hilfe Schaltfl che aufgerufen seppmail ch werden soll Tabelle 1 Davon werden folgende Werte gegebenenfalls in den Bereich HKEY_CURRENT_USER Software SEPPmail OutlookAddIn bernommen SMEnenpi DWORD verschl sseln SMEncryptSelecied DWORD verschl sseln mit SMWebmail DWORD Lesebest tigung SMWebmailSelected DWORD Se IntemalEnenptien DWORD verschl sseln InternalRecipient DWORD ime imepseudodomain local SMNoEneryoten DWORD unverschl sselt f SMNoEncryptionSelected DWORD SMSign DWORD signieren SMSignSelecied DWORD SMHelp DWOR UsageTimeStamp 2014 4 8 16 51 27 Ta
160. ed Der Befehl smime encrypted pr ft ob eine E Mail S MIME verschl sselt ist Aufbau des Befehls smime encrypted R ckgabewert positiv wenn die E Mail S MIME verschl sselt ist negativ wenn die E Mail nicht S MIME verschl sselt ist Parameter keine Beispiel if smime encrypted log 1 if decrypt domain smime else if decrypt smime else 0 0 0 0 0 0 0 0 0 1 O Le ee il ren nl da 6 ID I log 1 e mail is not S MIM Erkl rung In diesem Beispiel wird zun chst gepr ft ob eine E e mail is S MIME encrypted legl email successfully S MIME domain decrypted log 1 email could not be S MIME domain decrypted log 1 email successfully S MIME decrypted logd email could not be S MIME decrypted E encrypted Mail S MIME verschl sselt ist Zeile 1 und ein entsprechender ein Log Eintrag geschrieben Zeile 2 und 14 Ist die E Mail S MIME verschl sselt so wird zun chst versucht die E Mail mit dem privaten S MIME Dom nen Schl ssel zu entschl sseln Zeile 3 und Erfolg beziehungsweise Misserfolg protokolliert wird Zeile 4 und 6 Konnte nicht mit dem privaten S MIME Dom nen Schl ssel entschl sselt werden so wird nun versucht mit einem Benutzer basierten privaten S MIME Schl ssel zu entschl sseln Zeile 7 Das Ergebnis dieser Aktion wird ebenfalls protokolliert Z eile 8 und 10
161. eder frei e active Interne Benutzer mit aktiver LFM Lizenz Zeigt an wann der LFM Benutzer zuletzt eine grosse Datei versendet hat Bei aktiven Benutzern l sst sich daraus schliessen wann dieser auf inaktiv gesetzt wird und somit die Lizenz frei gibt sofern in der Zwischenzeit nicht eine weitere grosse Datei durch ihn versendet wird 2015 SEPPmail AG 216 7 17 OpenPGP public keys Sektion Local openPGP Keys In dieser Sektion werden die der Appliance bekannten ffentlichen openPGP Schl ssel von Kommunikationspartnern angezeigt Zeigt die Key IDs der Zeigt die dem Zeigt die zur Key ID Ausstelldatu Ablaufdatum vorhandenen Schl ssel zugeh rige User ID m des Keys des Keys openPGP Keys an zueordnete n E Mail an Diese entspricht TT MM JJJJ I TT MM JJJJ Adresse n der E Mail Adresse des Benutzers Durch Klicken der Key ID wird ein Untermen mit Details zum Key ge ffnet Dieses bietet die M glichkeit den ffentlichen Schl ssel herunterzuladen beziehungsweise das Schl sselpaar zu l schen Das Eingabefeld mit der Schaltfl che Filter dient der Suche nach nach entsprechenden Schl sseln anhand einer der in der Tabelle aufgef hrten Merkmale ber die Schaltfl che ll Kelle kann ein vorhandener Schl ssel eines Kommunikationspartners nach Pr fung Hash importiert werden Im Anschluss steht dieser Schl ssel f r das Verschl sseln bereit 2015 SEPPmail AG 217 7 18 X 509 Certifica
162. efehl normalize header ersetzt alle Sonderzeichen in einem X Header durch normale ASCII Zeichen Dieser Befehl ersetzt alle Sonderzeichen des angegebenen Headers header durch normale ASCII Zeichen Sonderzeichen k nnen zum Beispiel deutsche Umlaute wie o aber auch sein Aufbau des Befehls normalize header header R ckgabewert positiv immer Parameter header Angabe des zu bearbeitenden Headers oder X Headers an M gliche Werte return path date from sender reply to to CC bcc subject beliebiger x header Beispiel 1 normalize header subject Erkl rung In diesem Beispiel wird im Header Feld subject zum Beispiel aus der Zeichenkette Herr M ller die normalisierte Form Herr Mueller Beispiel 2 normalize header to Erkl rung In diesem Beispiel wird im Header Feld to aus der Zeichenkette lt Bernd H nsel gt bernd haensel customer com die normalisierte Form lt Bernd Haensel gt bernd haensel customer com 2015 SEPPmail AG 245 8 3 13 notify Der Befehl notify sendet eine E Mail Benachrichtigung an einen zu definierenden Empf nger bei Verarbeitung einer anderen E Mail Dieser Befehl erzeugt eine E Mail Benachrichtigung an einen zu definierenden Empf nger recipient unter Verwendung der Vorlage template Optional k nnen header beziehungsweise x header in diese Benachrichtigungs E Mail geschrieben werden Aufbau des Befehls notify recipient
163. egen einer neuen Managed Domain das heisst wenn das Men ber die Schalttfl che KEN EHER ET THEI aufgerufen wurde editierbar Hinweis Werden Subdom nen verwendet so m ssen dies separat aufgef hrt werden damit E Mail f r diese angenommen werden So werden beispielsweise durch den Eintrag meinefirma ch keine E Mails f r die Subdom ne tochter meinefirma ch angenommen Forwarding Angabe des E Mail Servers an welchen die f r den oben genannten Domain Name Server eingehenden E Mails nach Verarbeitung durch das SEPPmail System weitergeleitet IP or MX werden sollen name Als Eingabe wird folgendes aktzeptiert IP Adresse einzelne IP Adresse in eckige Klammern zu setzen Hostname wird ein Hostname verwendet so ist dieser in eckige Klammern zu setzen Namen ohne Klammern werden als MX Eintrag behandelt MX Name Mx lookup wird ausgef hrt Optional ist bei Angabe einer IP Adresse oder eines Hostnamens zus tzlich die Angabe eines individuellen Ports m glich Dieser wird direkt im Anschluss mit einem Doppelpunkt getrennt angegeben also IP Adresse Port oder Hostname Port Wird kein Port angegeben so wird der Standard SMTP Port TCP25 verwendet 2015 SEPPmail AG 137 Beschreibung Assigned to Zuordnung zu einem unter Customers bereits angelegten Kunden in einem Customer mandantenf higem System nur bei Mandanten Die Zuordnung zu einem Kunden ist nur beim Anlegen einer neuen Ma
164. ei Aktivierter Option den im Eingabefeld vorhandenen Code an from GINA der Stelle im Ruleset f r eingehende GINA E Mails ein Custom commands for User F gt bei Aktivierter Option den im Eingabefeld vorhandenen Code an 2015 SEPPmail AG 160 Beschreibung Creation der Stelle im Ruleset f r das Generieren neuer Benutzer ein Key Server ber Key Server wird das zus tzliche Abfragen ffentlicher Schl ssel von Kommunikationspartnern f r die Verschl sselung erm glicht Nach dem Speichern eines Key Server Eintrags wird jeweils ein weiteres Eingabefeld eingeblendet Hinweis ffentliche Key Server beherbergen h ufig totes Schl sselmaterial Das heisst f r die ber den Key Server bereitgestellten ffentlichen Schl ssel besitzen die Empf nger oft nicht mehr den privaten Schl ssel Somit sind diese nicht in der Lage die verschl sselten E Mails zu lesen Aus diesem Grund wird dringend von der Abfrage solcher Server abgeraten openPGP Key Server An dieser Stelle werden Eintr ge f r openPGP Key Server vorgenommen Hinweis Wird bei der Abfrage eines ffentlichen openPGP Schl ssels ein Schl ssel gefunden dessen Key ID identisch mit einem bereits vorhandenen Eintrag auf der SEPPmail Appliance ist so wird dieser Schl ssel auf der Appliance durch das Ergebnis der LDAP Abfrage berschrieben S MIME Key Server An dieser Stelle werden Eintr ge f r S MIME Key Server vorgenommen Beispiel Key Server
165. ei virtuelle IP Adressen eingerichtet um die beiden SEPPmail Systeme logisch zu jeweils einer Gruppe zusammenzufassen In Abbildung 2 sind diese virtuellen IP Adressen Gruppen farblich getrennt dargestellt Dabei wird die virtuelle IP Adresse 10 10 0 1 gr n vom internen E Mail Server f r das Versenden ausgehender E Mails angesprochen Da diese virtuelle IP Adresse von der Maschine mit der physikalischen IP 10 10 0 9 prim r bedient wird fliesst der gesamte ausgehende E Mail Verkehr im Normalbetrieb ber dieses System Die virtuelle IP Adresse 10 10 0 2 orange wird vom externen E Mail Server oder auch einem vorgelagerten E Mail Relay zum Beispiel Firewall f r das Empfangen eingehender E Mails angesprochen Da diese virtuelle IP Adresse von der Maschine mit der physikalischen IP 10 10 0 10 prim r bedient wird fliesst der gesamte eingehende E Mail Verkehr im Normalbetrieb ber dieses System In Abbildung 2 gr n dargestellt ist die virtuelle IP Adresse 10 10 0 1 f r alle ausgehenden E Mails zust ndig Hier ist das Cluster Member System mit der IP Adresse 10 10 0 9 als Primary eingerichtet und reagiert immer als erstes System wenn die virtuelle IP Adresse 10 10 0 1 angesprochen wird Das Cluster Member System mit der IP Adresse 10 10 0 10 ist als Secondary eingerichtet und reagiert nur dann wenn der Cluster Member Primary also das System mit der IP 10 10 0 9 nicht verf gbar ist In Abbildung 2 orange dargestellt ist die
166. eiben ohne Auswirkung Choose how the user Auswahl der Passwort R cksetzungs M glichkeiten des GINA can retrieve lost Benutzers passwords Die Passwort R cksetzung per SMS ist nur bei lizensiertem Self Service Password Management SSPM verf gbar default Standard Einstellung Diese entspricht der Opton Reset by Hotline Reset by Email Der GINA Benutzer direkt nach dem Beantworten seiner verification Sicherheitsfrage aufgefordert ein neues Passwort einzugeben Reset by hotline Der GINA Benutzer erh lt nach dem Beantworten seiner Sicherheitsfrage die Aufforderung zur Eingabe einer Telefonnummer f r den R ckruf durch die Hotline Reset by hotline no Der GINA Benutzer wird ohne Sicherheitsfrage zur Eingabe einer reminder question Telefonnummer f r den R ckruf durch die Hotline aufgefordert answer Dies funktioniert jedoch nur wenn das GINA Interface ber ber eine GINA Mail aufgerufen wurde also nicht durch die blosse Anmeldung Reset by SMS Dem GINA Benutzer wird nach dem Beantworten seiner Sicherheitsfrage seine hinterlegte Handynummer angezeigt An diese wird nach Best tigung durch den Benutzer eine Passwort SMS gesendet Ist f r den Benutzer keine Handynummer hinterlegt wird zur Eingabe einer Telefonnummer f r den R ckruf durch die Hotline aufgefordert F r diese Option muss das Self Service Password Management SSPM lizensiert sein Let user choose Nach dem Beantworten seiner Sicherheitsfrage kann der GINA
167. eige der ClamAV Virensignatur Version Signature Date Anzeige des ClamAV Virensignatur Datums Sektion Mail statistics Zeigt eine Kurz bersicht der verarbeiteten E Mail an Mails Processed Anzahl aller insgesamt vom System bertragenen E Mails empfangen gesendet Mails Processed Anzahl aller insgesamt via S MIME verarbeiteten E Mails entschl sselt S MIME verschl sselt 2015 SEPPmail AG 118 Mails Processed Anzahl aller insgesamt via openPGP verarbeiteten E Mails openPGP entschl sselt verschl sselt Mails Processed Anzahl aller insgesamt via Dom nen Verschl sselung verarbeitenten E DOMAIN Mails entschl sselt verschl sselt GINA Mails Anzahl aller insgesamt versendeten Secure Webmails ber das GINA Subsystem Mails currently in queue Anzahl aller E Mails in der Warteschlange Sektion Disk statistics Zeigt die Auslastung der einzelnen Systempartitionen an Zeigt die Auslastung des Datenbank Volumes im System Zeigt die Auslastung des E Mail Warteschlangen Volumes im System Zeigt die Auslastung des Volumes f r die Log Dateien im System Be Zeigt die Auslastung des Volumes f r tempor re Dateien im System LFM store Zeigt die Auslastung des Volumes f r die Large File Management Volume im System sofern dieses Feature lizensiert wurde 2015 SEPPmail AG 119 7 4 System Das Men System kann in zwei Ansichten betrachtet werden Die grundlegenden Basiseinstellung
168. ein Passwort erhalten dieses jedoch vergessen Setzen Sie sich bitte mit dem Absender dieses E Mails in Verbindung Wenn Sie das E mail im Internetbrowser beantworten wird Ihre Nachricht gleich verschl sselt zur ck gesendet Vous avez recu un E mail chiffre Vous pouvez voir le message en ouvrant le fichier en piece jointe dans un navigateur Internet ex Internet Explorer et v Beispiel einer GINA Nachricht 5 TLS SSL Transportverschl sselung TLS SSL bietet eine zus tzliche Sicherheit und erg nzt die bisher beschriebenen Verschl sselungsmethoden Die Kommunikation zwischen der SEPPmail Appliance und anderen E Mail Servern wird in der Standardkonfiguration immer ber einen TLS SSL gesicherten Kanal aufgebaut sofern die Gegenstelle dies unterst tzt 2015 SEPPmail AG 15 2 3 Digitale E Mail Signaturen Beim Einsatz digitaler E Mail Signaturen wird die verbindliche E Mail Kommunikation gew hrleistet indem die Authentizit t einer Nachricht verifiziert werden kann Somit wird sichergestellt dass eine Nachricht unver ndert beim Empf nger eintrifft und der angezeigte Absender auch dem tats chlichen Absender entspricht Das Secure E Mail Gateway SEPPmail kann E Mails entweder mit Benutzer oder mit Firmen Zertifikaten signieren Die beiden Verfahren werden im Folgenden kurz erl utert Digitale E Mail Signatur mit einem Benutzerzertifikat Das Signieren von E Mails mit einem S MIME Benutzerz
169. einer bekannten Maildom ne siehe Matt Sustem 129 Managed Domains stammt Zeile 2 Im n chsten Schritt wird gepr ft ob vom Absender ein Verschl sselungsmerkmal gesetzt wurde Zeile 3 15 27 Die folgenden zw lf Anweisungen auf die zuvor genannten Abfragen aus den Zeilen 3 15 und 27 sind identisch So wird der ausl sende Trigger protokolliert Zeile 4 16 28 und eventuell weitere vorhandene Betreffzeilen Schl sselworte und Kennzeichen entfernt Zeile 5 17 29 Der Absender der E Mail wird als Benutzer auf der Appliance angelegt sofern er noch nicht vorhanden ist Zeile 6 18 30 Ebenso wird der oder die Empf nger der E Mail als GINA Benutzer angelegt sofern diese nicht bereits vorhanden sind Zeile 7 19 31 Danach wird die E Mail GINA verschl sselt Zeile 8 20 32 Sollte die GINA Verschl sselung fehlschlagen Zeile 9 21 33 so w rde dies protokolliert Zeile 10 22 34 und die E Mail abgewiesen werden Zeile 11 23 35 Verwendete Befehle Variationen Wird der Anweisungsblock CREATESEPPMAILACCOUNT if encrypt webmail else log 1 webmail encryption failed drop 550 Mail not accepted jeweils durch die Funktion TAGHEADERENERYPTED 299 ersetzt TAGHEADERENCRYPTED so werden statt dem Erzwingen der GINA Technologie die entsprechenden E Mails lediglich als sicher gekennzeichnet Standardkennzeichen ist secure 2015 SEPPmail AG 304
170. eitig aus Beispiel 1 deliver relay customer com 587 Erkl rung In diese Beispiel wird die E Mail an den angegebenen E Mail Server mit dem Ziel Port TCP 587 gesendet Beispiel 2 deliver Erkl rung In diesem Beispiel wird die E Mail direkt ber den eigenen lokalen E Mail Transport Agent MTA 2015 SEPPmail AG 262 ausgeliefert 2015 SEPPmail AG 263 8 6 4 drop Der Befehl drop weist eine E Mail mit dem angegebenen SMTP Code und einen frei definierbarem Informationstext zur ck Hinweis e Alle nachfolgenden Befehle werden ignoriert e Dieser Befehl kann nicht die Bedingung einer if else Anweisung sein siehe Abschnitt Keptrellstroktoren Hlelee Anwetegpgen 23 Aufbau des Befehls drop IL eermrter eeke 1 Jpc Is R ckgabewert positiv immer Parameter smtp code optional Der smtp code gibt den Grund f r das Zur ckweisen einer E Mail an Default Wird dieser Parameter nicht angegeben so wird der Code 555 verwendet Die Bedeutung der Codes gliedert sich wie folgt 1XX Mailserver hat die Anforderung akzeptiert ist aber selbst noch nicht t tig geworden Eine Best tigungsmeldung ist erforderlich 2XX Mailserver hat die Anforderung erfolgreich ohne Fehler ausgef hrt 3XX Mailserver hat die Anforderung verstanden ben tigt aber zur Verarbeitung weitere Informationen 4XX Mailserver hat einen tempor ren Fehler festgestellt Wenn die Anforderung ohne jegliche nderung wiederholt
171. ek ndigt nderungen vorzunehmen Sofern nicht anders vermerkt sind Namen und Daten von Personen oder Unternehmen die in diesem Dokument als Anwendungsbeispiele verwendet werden frei erfunden Das Herstellen einer angemessenen Zahl von Kopien dieses Dokuments ist gestattet jedoch nur f r den internen Gebrauch Zu anderen Zwecken darf dieses Dokument weder kopiert noch reproduziert werden weder teilweise noch vollst ndig nicht elektronisch mechanisch oder auf irgendeine andere Weise ausser mit ausdr cklicher schriftlicher Genehmigung der SEPPmail AG Der Inhalt dieses Dokuments kann m glicherweise ver ndert worden sein falls Sie es nicht direkt von der SEPPmail AG erhalten haben Auch wenn dieses Dokument mit der gr ssten Sorgfalt angefertigt wurde bernimmt die SEPPmail AG keine Verantwortung f r etwaige Fehler oder Unvollst ndigkeiten Das Benutzen dieses Dokuments beinhaltet die Zustimmung zu dessen Gebrauch ohne Mangelgew hr und ohne jegliche Garantien Jeglicher Gebrauch der hier aufgef hrten Informationen erfolgt auf eigenes Risiko PGP und Pretty Good Privacy sind gesetzlich gesch tzte Warenzeichen der PGP Corporation g ltig in den USA und anderen L ndern Java und alle Java basierten Marken sind Warenzeichen Oracle Corporation g ltig in den USA und anderen L ndern UNIX ist ein eingetragenes Warenzeichen unter der Verf gung der X Open Company g ltig in den USA und anderen L ndern Microsoft Internet Explorer Wind
172. elay Systeme einzutragen Die Appliance ist entsprechend einzustellen siehe boat sgehenden E Mail Verkehr steuern Aus dem Internet 1 Umstellung des MX Eintrages War der E Mail Server bislang direkt mit dem Internet verbunden so muss der vorhandene MX Eintrag zuk nftig nicht mehr auf den Hostnamen beziehungsweise die IP Adresse des E Mail Servers sondern neu auf die SEPPmail Appliance zeigen 2 Umstellung des Smarthost Nimmt ein Smarthost die E Mails aus dem Internet entgegen und leitete diese bislang direkt an den E Mail Server weiter so muss dieser die E Mails zuk nftig an die SEPPmail Appliance abgeben ACHTUNG Mit dieser Anpassung wird die SEPPmail Appliance in den E Mail Datenfluss integriert Alle E Mails werden nach der Umstellung an die SEPPmail Appliance gesendet Das Umstellen des E Mail Datenflusses darf erst dann erfolgen wenn alle anderen Konfigurationsschritte der SEPPmail Appliance abgeschlossen sind Andernfalls ist eine Beeintr chtigung des E Mail Verkehrs nicht ausgeschlossen 2015 SEPPmail AG 83 4 8 5 1 IronPort Anbindung der SEPPmail Achtung Wichtig ist die aktuelle Policy des IronPort Systems zu verstehen bevor nderungen durchgef hrt werden Konfigurationsvorschlag Alle einkommenden E Mails werden von IronPort empfangen und auf SPAM und Viren gepr ft Alle soweit gepr ften E Mails werden an die SEPPmail Appliance weitergeleitet wo diese gegebenenfalls ent
173. elches SMS versendet werden k nnen Auf ausreichenden Empfang des appliance Mobiltelefons GSM Moderns ist zu achten Use Mail to SMS An dieser Stelle werden die Zugangsdaten f r den SMS Versand ber einen service Mail to SMS Dienst eingetragen Dies kann sowohl ein interner Dienst im configuration Netz des Kunden als auch ein externer Dienst im Internet sein Der Zugang below zu diesem Dienst ist zu gew hrleisten siehe Firewall Router einrichten s3 2015 SEPPmail AG 149 Parameter Use xml service configuration below Beschreibung Mail to SMS settings Mail from Angabe des gew nschten Absenders der in der SMS erscheinen soll zum Beispiel Ihre Firma Mail address prefix Mobilfunknummer ber welche die SMS versendet lt PREFIXMobile gt werden soll Diese Daten stellt der Betreiber des Dienstes zur Verf gung Bei der deutschen Telekom w re das zum Beispiel 017187654321 Gateway Domain Gateway Dom ne f r den SMS Versand lt Mobile gt Diese Daten stellt der Betreiber des Dienstes zur Verf gung Bei der deutschen Telekom w re das zum Beispiel t d1 sms de An dieser Stelle werden die Zugangsdaten f r den SMS Versand ber einen XML Dienst eingetragen Dies kann sowohl ein interner Dienst im Netz des Kunden als auch ein externer Dienst im Internet sein Der Zugang zu diesem Dienst ist zu gew hrleisten siehe Firewall Router einrichten s Server address Server Adre
174. ellt t glich automatisiert eine Sicherung F r die Funktion dieses Prozesses sind zwei Schritte notwendig 1 Backup Kennwort setzen Da die Backups der Appliance grunds tzlich verschl sselt werden ist die Eingabe eines Backup Kennwortes zwingend Das Setzen erfolgt unter dem Men punkt Administration in der Sektion Backup mittels der Schaltfl che HEME E siehe Administration uch Backup 2 Zuordnung eines Users zur Gruppe Backup Nach dem automatischen Erstellen des Backups wird dieses an alle Mitglieder der Gruppe Backup gesendet Das Zuordnen von Benutzern erfolgt ber den Men punkt Groups in der Sektion backup Backup Operator ber die Schaltfl che EKI siehe Eege 5 backup Backup Operator Soll f r diesen Zweck ein eigener Benutzer angelegt werden so ist darauf zu achten dass 2015 SEPPmail AG 74 dieser eine g ltige E Mail Adresse in der beziehungsweise einer der interne E Mail Dom nen besitzt Das ziehen einer Verschl sselungslizenz f r diesen Benutzer kann gegebenenfalls durch aktivieren der Optionen May not encrypt mails und May not sign mails unterbunden werden siehe BE i Ss Dor Da aufgrund des Aufbaus der Appliance lediglich die Maschinenkonfiguration sowie das Schl sselmaterial gesichert werden muss fallen die Backups extrem klein aus lt 1 MB Dies macht den Versand per E Mail unproblematisch 4 6 3 4 Eingabe der Postmaster Adresse f r den Empfang von Systemmeldungen Damit Bena
175. ellungen aus der unter Master Template gew hlten Vorlage verwendet Eventuell vorgenommene nderungen der weiteren Konfigurationspunkte dieser Sektion bleiben ohne Auswirkung Require new Nach Empfang der initialen GINA Mail wird der Empf nger beim users to accept Registrierungsprozess aufgefordert die Allgemeinen Gesch ftsbedingungen terms of use zu akzeptieren 2015 SEPPmail AG 170 Terms of use Eingabe der URL zu den Allgemeinen Gesch ftsbedingungen zum Beispiel URL https www ihrefirma ch agb Die vorgenommenen nderungen werden ber die Schaltfl che gespeichert Sektion Language Settings Spracheinstellungen des GINA Webinterfaces und dessen Benachrichtigungen Use settings from master Diese Option erscheint nur falls ein anderes als das default GINA template Interface editiert wird Durch Aktivieren dieser Option werden die Einstellungen aus der unter Master Template gew hlten Vorlage verwendet Eventuell vorgenommene nderungen der weiteren Konfigurationspunkte dieser Sektion bleiben ohne Auswirkung Default language ber das Auswahlmen wird die Standard Sprache f r das jeweilige GINA Interface gew hlt Diese Sprache fuss im folgenden Men punkt auch als Verf gbar Enabled markiert sein Available Languages Bei der Auswahl der Sprachen gilt zu beachten dass mit jeder weiteren Sprache die L nge der GINA Mail sowie bei initialen E Mails die L nge der Passwort Mails zunimmt En
176. elope als zus tzlicher Empf nger hinzugef gt werden soll Beispiel Ecel eene recipient Eet Cem eer A y Erkl rung In diesem Beispiel wird der Empf nger recipient customer org hinzugef gt Beim Empf nger erscheint die E Mail im Posteingang so als ob diese via BCC gesendet wurde Der urspr ngliche Empf nger wird nicht ver ndert 2015 SEPPmail AG 232 8 3 2 authenticated Der Befehl authenticated berpr ft den Identifikationsstatus des Absenders Der Identifikationsstatus des Absenders beinhaltet die Identit t und die Authentifizierung Aufbau des Befehls authenticated header R ckgabewert positiv sofern der Absender erfolgreich authentifiziert werden konnte negativ bei Fehlschlagen der Authentifizierung des Absenders Hinweis Authentifiziert bedeutet entweder dass sich der Benutzer via SMTP authentifiziert hat oder dass die E Mail von einem E Mail Server kommt der eine Relay Berechtigung hat Die Relay Berechtigung ist im Men Mail System 123 in der Sektion Relaying vorzunehmen Als Benutzer werden die lokalen Named User auf der Appliance bezeichnet siehe Users 203 Parameter header optional Wird header als Wert angegeben so wird der Benutzer erneut mittels der im FROM Feld des Headers der E Mail enthaltenen E Mail Adresse authentifiziert Im Standard wird die Adresse aus dem Envelope verwendet Beispiel 1 iii entree eer 1 else createaccount CREATEGPGKEYS
177. els S MIME Technologie dom nenverschl sselt waren Alle vorgenommenen nderungen werden ber die Schaltfl che gespeichert Das L schen einer Domain erfolgt ber BAGLA BIHE Hinweis Ist einer Dom ne g ltiges Schl sselmaterial zugeordnet so muss dieses vor dem L schen der Dom ne zur ckgewiesen revoked werden Andernfalls erscheinen zun chst entsprechende Warnmeldungen 7 5 1 1 Sektion Key Data Untermen Import openPGP Key Beschreibung Passphrase Eingabe f r die Passphrase mit welcher der private openPGP Schl ssel bei Export verschl sselt wurde 2015 SEPPmail AG 142 Beschreibung Key File ber die Schaltfl che Datei ausw hlen wird die openPGP Schl sseldatei ausgew hlt welche importiert werden soll Diese muss das komplette Schl sselpaar also privaten und ffentlichen Schl ssel enthalten or Key as string Alternativ zur Auswahl einer Schl ssel Datei kann der Schl ssel als Text in dieses Feld kopiert werden ber die Schaltfl che Import wird der Vorgang abgeschlossen 7 5 1 2 Untermen Import S MIME Key Sektion Certificate Data Beschreibung Passphrase Eingabe f r die Passphrase mit welcher der private S MIME Schl ssel bei Export in eine PKCS 12 Datei verschl sselt wurde PKCS 12 File ber die Schaltfl che Datei ausw hlen wird die S MIME Schl sseldatei ausgew hlt welche importiert werden soll Diese muss das komplette Schl sselpaar also privaten
178. elte ZIP Datei ohne Ordnerstruktur ist auch ein Massenimport m glich Dies setzt allerdings voraus dass alle Schl ssel die selbe Passphrase haben Import ber k nnen ffentliche S MIME S MIME Schl ssel zur Verschl sselung an Kommunikationspartner wie auch CA Zertifikate certificates f r die automatische S MIME Signaturpr fung importiert werden Durch das packen mehrerer Schl ssel Dateien in eine unverschl sselte ZIP Datei ohne Ordnerstruktur ist auch hier ein Massenimport m glich Sektion Establish Support Connection Sollten auf der SEPPmail Appliance unerwartet Probleme auftauchen so kann mittels eine Support Verbindung zum Hersteller aufgebaut werden Hierdurch wird eine SSH Verbindung TCP Port 22 zum SEPPmail Supportserver aufgebaut 2015 SEPPmail AG 193 7 9 1 Untermen Register this device Die Registrierungsdaten sollten sorgf ltig ausgef llt werden da unter anderen bei CERT Meldungen von welchen die SEPPmail Appliance betroffen ist die hier genannten Kontakte bei Bedarf informiert werden Werden mehrere Appliances f r den selben Kunden registriert so ist darauf zu achten dass die Eingaben identisch gemacht werden Sektion Customer Information Eingabefeld f r die Kundendaten Beschreibung Pflichtfeld Firmenname des Kunden Address 1 Pflichtfeld Adresse des Kunden Address 2 Optional Zus tzliches Adressfeld Pflichtfeld Stadt des Kunden Postal Code Pflichtfeld Postleitzahl des
179. em ber keine eigene Datenbank sondern wird bei Bedarf vom Backend System mit Daten gespeist Somit kann die Frontend Maschine in einer Demilitarisierten Zone DMZ betrieben werden in welcher keine Datenhaltung erlaubt ist 5 SEEHFEIWEBHIAIESEHEINEE Trennung der GINA Technologie vom E Mail verarbeitenden System Stichwort DMZ Struktur hob 6 Dabei sind auch Kombinationen aus den verschiedenen Betriebsarten m glich Die zumeist ben tigten virtuellen IP Adressen IP Alias Adressen f r das Ansprechen eines Clusters als logische Einheit ist im Men System siehe auch System 119 IP ALIAS Addresses vorzunehmen Hinweis Bei der Dimensionierung der Anzahl und Leistungsf higkeit der Systeme in einem Cluster ist immer darauf zu achten dass bei Ausfall eines Systems das oder die verbleibende n System e die dadurch entstehende Mehrlast verarbeiten kann k nnen 2015 SEPPmail AG 89 4 9 2 Hochverf gbarkeits Cluster Die Ausfallsicherheit des SEPPmail Systems kann durch die Bildung eines Clusters erh ht werden Das SEPPmail System besitzt eine integrierte Clusterfunktionalit t auf Basis des CARP Protokolls siehe auch http de wikipedia org wiki Common Address Redundancy Protocol Um einen Cluster zu bilden sind mindestens zwei SEPPmail Systeme erforderlich die sich gegenseitig berwachen F llt ein System aus bzw antwortet dieses nicht mehr auf berwachungsanfragen so bernimmt das zweite System de
180. en Virtuelle Switches in der Auswahl rechts der Registerkarte 4 Anw hlen des umzustellenden Switches 5 Anw hlen der Option Einstellungen bearbeiten durch Klick auf das Bleistift Symbol 6 Anw hlen Sicherheit in der Auswahl rechts des Fensters 7 Option Promiscuous Modus ber das Auswahlmen auf Aktzeptieren stellen und mit OK best tigen IP Alias 0 3 An dieser Stelle k nnen virtuelle IP Adressen definiert werden welche in der Regel bei Clusterconfigurationen zum Einsatz kommen siehe Men Hierzu ist es erforderlich f r jeden Alias 1 eine IP Adresse 2 die Netzwerkmaske 3 die VHID Virtual Host Identification 4 das Interface an welches der Alias gebunden werden soll 5 die Priorit t der Schnittstelle im Verbund Primary Secondary Backup anzugeben Angabe der zum Die VHID Angabe der Stellung der virtuellen Beispiel Virtual Host Netzwerk einzelnen IP Adresse 24 f r Identification Schnittstelle Maschine auf welche C muss bei siehe Sektion innerhalb die Klasse allen IP Addresses dieses Systeme Maschinen an welche die Verbundes gemeinsam welche virtuelle IP reagieren ebenfalls auf gebunden sollen die werden soll eingetragene virtuelle IP reagieren sollen gleich sein Sektion SMTP Loadbalancer optional Dient der Lastverteilung bei Betrieb eines Clusters Enable Load balancer Aktiviert die SMTP Loadbalancer Funktion Das SMTP Loadbalancing reicht ers
181. en sind in der Ansicht Normal View zu sehen Diese Ansicht ist die Standardansicht bei Aufruf des Men s Eine vollst ndige bersicht aller Einstellungen ist in der Ansicht Advanced View zu sehen Advanced View Durch bet tigen der Schaltfl che werden die erweiterten Parameter angezeigt Um die erweiterte Darstellung des Men punkts System wieder zusammenzufassen ist in der Erweiteren Darstellung die Schaltfl che zu bet tigen Normal View In diesem Men werden die wichtigsten Parameter der LAN Anbindung des SEPPmail Systems eingerichtet Die hier eingetragenen Daten dienen auch als Grundeinstellung f r viele weitere Einstellungen des SEPPmail Systems Die folgenden Tabellen beschreiben den Advanced View da dieser alle Einstellungen des Normal View beinhaltet Sektion Comment optional Eingabefelder zur Beschreibung beziehungsweise zur Identifikation des SEPPmail Systems Diese Parameter werden zum Beispiel als Betreff in der automatischen Datensicherung sowie von SNMP verwendet Ansonsten dienen Sie lediglich der Beschreibung Die Eintr ge sind frei w hlbar und jeweils optional System Description Kurzbeschreibung des Systems System Location Standort des Systems System Object ID Eigene ID des Systems System Contact Ansprechperson f r das System System Name Name des Systems Sektion IP Addresses Interface 1 Eingabemaske f r IP Adresse mit Subnetzmaske und den Medientyp der physischen Netzwerk Schnittstelle LAN1 bzw eth0
182. en werden und reagiert mit jeweils unterschiedlichen Priorit ten einmal als Primary und einmal als Secondary Dadurch ist der Betrieb beim Ausfall eines Cluster Member Systems weiterhin m glich Das verbliebene Cluster Member System bernimmt dann zus tzlich die Arbeit des nicht mehr verf gbaren Systems und wird alle ein und ausgehenden E Mails verarbeiten F r die Nutzung von Enhanced Secure Webmail kann eine virtuelle Cluster IP Adresse 10 10 0 1 angesprochen werden In Abh ngigkeit der Cluster Member Priorit ten wird im Beispiel in Abbildung 2 das Cluster Member System mit der IP Adresse 10 10 0 9 antworten da dies mit der Priorit t Primary eingerichtet ist Ist dieses System nicht verf gbar so wird das Cluster Member System mit der IP Adresse 10 10 0 10 antworten da dies mit der Priorit t Secondary eingerichtet ist Das Einrichten der virtuellen IP Adressen und das Zuweisen den Priorit ten des jeweiligen Cluster Member Systems ist im Men System siehe auch SYStem 119 4 IP ALIAS Addresses vorzunehmen Load Balancing Cluster statisch virtuelle Cluster IP Adresse 10 10 0 1 interner E Mail Server externer E Mail Relay Server Primary IP 10 10 0 9 IP 10 10 0 9 vollautomatische Synchronisierung Secondary IP 10 10 0 10 Primary IP 10 10 0 10 virtuelle Cluster IP Adresse 10 10 0 2 ausgehende E Mails eingehende E Mails Abbildung 2 Schematische Darstellung de
183. en alle Zertifikate von dr Appliance entfernt bei welchen das Expires on Datum berschritten ist Damit wird bei Bedarf auch gew hrleistet dass diese Zertifikate nicht mehr f r die Verschl sselung verwendet werden Im Standard verwendet die Appliance auch abgelaufene Zertifikate nat rlich nur wenn kein aktuelles zur Verf gung steht 2015 SEPPmail AG 218 7 19 X 509 Root Certificates In diesem Men wird die Vertrauensstellung zu den einzelnen Zertifizierungsstellen CA verwaltet Root Zertifikate welche nicht bekannt sind werden aus signierten E Mails eingesammelt und mit dem Status unbekannt gespeichert Eine Einstufung dieser Zertifizierungsstellen muss durch den Administrator vorgenommen werden Somit w chst das System dynamisch Angezeigt werden die Root Zertifikate wie folgt Trust State Zeigt die Vertrauensstellung an M gliche Status sind trusted vertrauensw rdig untrusted nicht vertrauensw rdig und unbekannt Bei unbekanntem Status ist ein Eingreifen des Adminstrators erforderlich Dieser muss entscheiden ob der CA vertraut werden soll oder nicht Sind Zertifikate mit dem Status vorhanden so werden diese dem Administrator siehe Men Groups 213 im t glichen Report gemeldet Durch Klicken auf den Vertrauensstatus des Zertifikates k nnen Details eingesehen und die Vertrauensstellung angepasst werden siehe Untermen Vertrauensstellung zt w eene EH ef ereechen Zeigt den Fing
184. en angegebenen X Header mit dem zugeordneten Wert f r alle E Mails welche durch die OEM PRODUCTNAME gt Appliance verschl sselt wurden all mails that have been encrypted Set header to value For Setzt den angegebenen X Header mit dem zugeordneten Wert f r alle E Mails welche durch die OEM PRODUCTNAME gt Appliance all mails that have been k entschl sselt wurden decrypted Archiving Send a copy of ALL emails Durch Aktivieren dieser Option wird eine Kopie aller ber die OEM to the following Address PRODUCTNAME gt Appliance transportierten E Mails an die angegebene E Mail Adresse gesendet Custom Commands ber Custom Commands k nnen ber den in den Regelwerk Anweisungen 22 definierten Befehlssatz spezifische Anforderungen an entsprechender Stelle im Ruleset eingef gt werden Custom commands for F gt bei Aktivierter Option den im Eingabefeld vorhandenen Code an incoming e mails BEFORE der Stelle im Ruleset f r eingehende E Mails VOR der decryption Entschl sselung ein Custom commands for F gt bei Aktivierter Option den im Eingabefeld vornandenen Code an incoming e mails AFTER der Stelle im Ruleset f r eingehende E Mails NACH der decryption Entschl sselung ein Custom commands for F gt bei Aktivierter Option den im Eingabefeld vornandenen Code an outgoing e mails BEFORE der Stelle im Ruleset f r ausgehende E Mails VOR der encryption Verschl sselung ein Custom commands for e mails F gt b
185. enfalls externe Benutzer adressiert und versendet c Die SEPPmail leitet die so erzeugten bekannten GINA Mails 5 an den internen E Mail Server 6 sowie f r eventuell adressierte externe Benutzer 4 in das Internet d Der Interne E Mail Server 6 leitet die GINA Mails an den die Empf nger 8 sowie den Absender 7 e Die Empf nger 9 sowie der Absender 1 k nnen die E Mail im E Mail Client ffnen und gelangen durch Offnen des verschl sselten HTML Anhanges ber die SSL verschl sselte Strecke 10 beziehungsweise 2 zum bekannten GINA Webmailer 3 mit dessen Hilfe die urspr ngliche E Mail aus dem HTML Anhang entschl sselt und gelesen werden kann Vorteil dieser L sung ist die absolute Unabh ngigkeit von den dazwischen eingesetzten Komponenten wie E Mail Client oder E Mail Server Das dritte Konzept macht es erforderlich Schl ssel an die Clients zu verteilen Diese k nnen a von einer Self Signed CA stammen Dabei m ssen den Usern ihre privaten Schl ssel zug nglich gemacht werden zum Beispiel per GPOs Auf der Appliance muss das Schl sselmaterial ebenfalls vorliegen Die ffentlichen Schl ssel werden intern ber die Key Server Funktion der SEPPmail Appliance f r die interne Verschl sselung bereitgestellt Wird eine E Mail sowohl an interne als auch externe Empf nger gesendet wird diese an der SEPPmail f r den externen Versand best effort umverschl sselt signiert Ein Addin ist hier nicht notwend
186. ent LFM Management aktiviert LFM ist eine Zusatzoption und muss somit auch separat lizensiert werden How long in Hier wird die Verweildauer in Tagen von LFM Mails angegeben Der days to store Empf nger bekommt das Verfallsdatum im Betreff der GINA Large Files Benachrichtigungs Mail mitgeteilt Die Einstellung 0 null bedeutet dass LFM Mails nie gel scht werden Es ist darauf zu achten dass gen gend Speicher auf dem System zur Verf gung steht anndernfalls w rden LFM Mails abgewiesen bounced Size in KB Gibt die Grenze in kB an ab wann eine E Mail als LFM Mail behandelt wird above which Dabei gilt zu beachten dass Anh nge in E Mails aufgrund der BASE 64 messages are Codierung bis um die H lfte gr sser sein k nnen als im Dateisystem treated as Large Files Maximum size Gibt eine Maximalgr sse f r LFM Dateien an Wird hier 0 null einegegeben in KB for LFM so wird kein Limit vorgegeben messages Limit Large Limitiert die Anzahl von LFM Mails die ein einzelner Benutzer pro Tag Files per day versenden darf Die Einstellung 0 null bedeutet kein Limit and user Die vorgenommenen nderungen werden ber die Schaltfl che gespeichert Sektion Terms of use Einstellungen bez glich Allgemeiner Gesch ftsbedingungen Use settings from Diese Option erscheint nur falls ein anderes als das default GINA Interface master template editiert wird Durch Aktivieren dieser Option werden die Einst
187. er Text beginnt mit der Wiederholung der Betreffzeile Im Anschluss wird der Text aus Textfeld eingef gt und am Schluss eine Zeile mit dem Passort in der Form Passwort lt Initialpasswort gt angef gt Mittels werden nderungen gespeichert ber KAAI E GEU wird der Standard Inhalt der der Sektion in der Sprachdatei wieder hergestellt Sektion Edit Translation file ber die Schaltfl che ffnet die Sektion Edit Translation file weiche den Umgang mit dem Editor beschriebt und weitere Syntax Hinweise aufgef hrt Das Eingabefeld des Editors beinhaltet bereits den Text der Standard Sprachdatei f r die gew hlte Sprache zur Anpassung an die individuellen Bed rfnisse Mittels werden nderungen gespeichert ber CC JE wird der Standard Inhalt der kompletten Sprachdatei wieder hergestellt ber die Schaltfl che wird zur vorherigen Ansicht zur ck gewechselt 2015 SEPPmail AG 178 7 6 3 Untermen Edit Disclaimer Wird der Standardtext angepasst oder ausgetauscht so hat dies in beiden Sektionen zu erfolgen Sektion Disclaimer as text Im Eingabefeld ist der Standardtext in deutsch und englisch bereits vorhanden Dieser kann den individuellen Bed rfnissen angepasst oder vollst ndig ersetzt werden Sektion Disclaimer as Html Im Eingabefeld ist der Standardtext im HTML Code in deutsch und englisch bereits vorhanden Bei Bedarf kann Aussehen und Text durch unterschiedliche HTML Tags zur Formatierung zum Beispiel A
188. er Version 2 der Apache Lizenz freigegeben http www spamassasin org ClamAV ist ein unter der GPL stehendes von der Sourcefire Inc http www sourcefire com entwickeltes Virenschutzprogramm http www clamav net Hinweise auf kommerzielle Produkte Verfahren oder Dienstleistungen durch Nennung des Produkt oder Herstellernamens oder auf beliebige andere Weise kommen nicht notwendigerweise einer Billigung Empfehlung oder Favorisierung durch die SEPPmail AG gleich Einfuhr Ausfuhr und Benutzung dieser und anderer Verschl sselungsprodukte sind m glicherweise gesetzlich eingeschr nkt In diesem Dokument vom Verfasser ge usserte Ansichten und Meinungen dr cken nicht notwendigerweise jene der SEPPmail AG aus und d rfen nicht zum Zweck der Werbung oder der Produktempfehlung benutzt werden Verweise auf Internetadressen sind vor der Drucklegung gr ndlich gepr ft worden Aufgrund des st ndigen Wandels der Internetinhalte kann die SEPPmail AG aber keine Garantie f r das Vorhandensein und den Inhalt der angegebenen Quellen bernehmen Sollten Sie in dieser Anleitung fehlerhafte Links finden teilen Sie uns dies bitte unter Angabe des 2015 SEPPmail AG betroffenen Links und der Versionsnummer dieser Anleitung an die Adresse info seppmail ch mit Druck March 1015 CH 5432 Neuenhof 2015 SEPPmail AG 10 2 Einleitung Willkommen zur Secure E Mail L sung SEPPmail Das vorliegende Handbuch unterst tzt bei der
189. er das DropDown Men einen Mandanten auszuw hlen und ber die Schaltfl che zu l schen oder ber Edit zu bearbeiten Weiter bietet die Schaltfl che die M glichkeit einen neuen Mandanten anzulegen Dabei existieren nach Anschalten der Mandantenf higkeit bereits zwei Standard Customers No Customer und Default Customer welche f r die interne Verwaltung ben tigt werden und keinesfalls gel scht werden d rfen Wird bei einer bereits bestehenden Installation mit bereits vorhandenen GINA Accounts nachtr glich die Mandantenf higkeit aktiviert so werden diese Accounts zun chst dem Default Customer zugeordnet Um das nachtr gliche zuordnen der Accounts zum richtigen Mandanten zu erleichtern wird angezeigt aus welcher Managed Domain der Account erzeugt wurde Der No Customer bietet die M glichkeit einzelne Accounts gegebenenfalls tempor r komplett aus der Mandantenf higkeit auszuschliessen Ist bei einem nachtr glichen Anschalten der Mandantenf higkeit das sofortige zuordnen zu einem Mandanten aus dem Default Customer heraus nicht erw nscht wenn der Account zum Beispiel einem sp ter noch einzuirichtenden Mandanten zugeordnet werden soll so kann dieser im No Customer quasi zwischengeparkt werden Sektion Notes F r einen Mandanten muss DEE ein eigenes GINA Interface angelegt werden siehe ew GINA D omainhe Sollte der Mandant mehrer aaae Domains inne Mail System 12 Managed Domains GINA Setti
190. er template editiert wird Durch Aktivieren dieser Option werden die Einstellungen aus der gew hlten Vorlage siehe Edit GINA Settings h Sektion Master Template verwendet Eventuell vorgenommene nderungen der weiteren Konfigurationspunkte dieser Sektion bleiben ohne Auswirkung GINA CSS Im Eingabefeld kann das Aussehen der GINA Seiten per Cascaded Style Sheet CSS an das jeweilige Firmen Design angepasst werden Dabei ist zu beachten dass f r den GINA Webmailer die individuell angepassten CSS erst nach den Standard Einstellungen geladen werden Das heisst bei gleichlautenden Definitionen berschreibt das individuell angepasste CSS das Standard CSS Bei einer GINA Mail wird bei Verwendung eines individuell angepassten CSS nur dieses geladen Somit werden hier keine Elemnte aus dem Standard CSS verwendet ber die Schaltfl che SYS KENT wird ein Beispiel der GINA Anmeldeseite unter Verwendung der vorgenommen Konfiguration angezeigt Die Schaltfl che generiert ein Beispiel f r das Aussehen einer GINA Mail unter Verwendung der vorgenommen Konfiguration Sollen die Standard SEPPmail Cascaded Style Sheet CSS wieder hergestellt werden so ist die Schaltfl che WS Ce SEES zu klicken Mittels SE werden die nderungen am CSS gespeichert Sektion Extended settings Use settings from Diese Option erscheint nur falls ein anderes als das default GINA Interface master template editiert wird Durch Aktivieren dieser Option
191. erden wenn keine andere Verschl sselungsmethode S MIME openPGP Domain verf gbar ist Hinweis Wird die GINA Technologie ber diese Option abgeschaltet so ist darauf zu achten dass alle Optionen aus Encryption Decryption welche diese Technologie ansteuern deaktiviert sind Ebenso darf kein Ansteuern dieser Technologie ber Custom Commands erfolgen Deaktiviert sowohl die Benutzer bezogene S MIME als auch die openPGP Technologie Diese Aktion wird meist in Verbindung mit Completely disable GINA technology verwendet um ausschliesslich Dom nen Verschl sselung anzuwenden Hinweis Wird diese Option gew hlt so ist darauf zu achten dass alle Optionen aus Encryption Decryption welche diese Technologie ansteuern deaktiviert sind Ebenso darf kein Ansteuern dieser Technologien ber Custom Commands erfolgen Muss aus revisionstechnischen Gr nden der GINA Teil in einer anderen Demiilitarisierten Zone DMZ als der SMTP verarbeitende Teil stehen so ist die Trennung ber diese Option m glich Alle GINA zu verschl sselnden E Mails werden dann ber die hier angegebene Pseudo E Mail Adresse zum Beispiel gina ginapseudodomain local an den GINA Satelliten geleitet Definiert den Gegenpart zur Option Use remote GINA server reachable under the following email address also den GINA Satelliten An der Satelliten Appliance muss die Pseudo Mail Dom ne im Beispiel oben ginapseudodomain local als zus tzliche
192. erheitshalber vor dieser Aktion tempor r der HTTP Port siehe System GUIProtocol HTTP Port f r den Zugriff auf die Administrationsoberfl che http lt Appliance gt 8080 freigegeben werden Sektion Issued To In dieser Sektion gibt der SSL Zertifikats Anforderer seine entsprechenden Informationen an Parameter Beschreibung Name CN In der Regel beinhaltet dieses Feld den Dom nennamen ber welchen das GINA Interface zu erreichen ist zum Beispiel securemail firma ch Wird ein sogenanntes Wildcard Zertifikat angefordert werden so w rde der Dom nenname 7 firma Chi lauten Bei Self Signed Zertifikaten kann hier zum Beispiel auch firma local oder auch eine IP Adresse zum Beispiel 10 0 0 10 stehen E Mail Address In der Regel der wird die E Mail Adresse des Antragstellers beziehungsweise des Verwalters des Zertifikates oder dessen Abteilung eingetragen Org Unit OU Organisationseinheit wie zum Beispiel ein Abteiluingsname wie Buchhaltung Organization O Gibt die Organisation an f r welche das Zertifikat ausgestellt wurde zum Beispiel Firma Locality L Standort zum Beispiel eine Stadt wie Neuenhof oder auch ein Teilgeb ude wie Werk2 State ST Bundesland Kanton Provinz oder hnliches zum Beispiel AG f r Aargau Country C Auswahl des Landes ber das Drop Down Men 2015 SEPPmail AG 182 Sektion Attributes Key size bits ber das Drop Down Men l sst sich die gew nsch
193. erichtet werden gibt in der Regel der Betreiber der Haupt CA entsprechende Werte vor 2015 SEPPmail AG 187 Beschreibung Static Subject Als Static Subject Part tauchen im Standard die bei der CA Erstellung Part eingegebenen Parameter f r Land Organisationseinheit und Organisation auf also zum Beispiel C CH OU Sicherheit O Firma Validity in Gibt die G ltigkeit der ausgestellten Zertifikate in Tagen an days Hinweis Diese Einstellung gilt auch f r die von der Appliance generierten openPGP Schl sselpaare Automatically renew Gibt an ob und wenn wieviele Tage vor dem Ablaufen ein Zertifikat erneuert expiring certificates werden soll Je fr her vor Ablauf dieses erneuert wird desto mehr Verbreitung wird das neue Zertifikat ber die E Mail Signatur bis zum Ablaufen des Vorg nger Zertifikates finden Dadurch steht das neue Zertifikat zuverl ssiger f r Kommunikationspartner zur Verschl sselung bereit if validity days left less than Hinweis Zertifikate werden nur f r diejenigen Benutzer neu generiert welche auch aktiv sind Das heisst sendet ein Benutzer innerhalb des angegebenen Zeitraums validity days left keine E Mail so wird auch kein neues Zertifikat generiert Hinweis Diese Einstellung gilt auch f r die von der Appliance generierten openPGP Schl sselpaare Extension name authorityKeyldentifier keyid issuer always settin 2 F gt den durch diese CA keyid subjectKeyldentifier siehe
194. erprint Hash des Zertifikates an Das Eingabefeld mit der Schaltfl che Filter dient der Suche nach nach entsprechenden Zertifikaten anhand einer der in der Tabelle aufgef hrten Merkmale ber die Schaltfl che ll S R REE kann ein vorhandenes Zertifikat einer Zertifizierungsstelle importiert werden Hier k nnen zum Beispiel auch Root Zertifikate einer Self Signed CA eines vertrauensw rdigen Kommunikationspartners eingetragen werden Somit werden auch dessen Self Signed Zertifikate als vertrauensw rdig eingestuft 2015 SEPPmail AG 219 7 19 1 Untermen Vertrauensstellung Sektion Issued To Diese Sektion zeigt Informationen ber den Inhaber des CA Zertifikates Abh ngig vom Zertifikat m ssen nicht alle hier aufgef hrten Parameter vorhanden sein Name CN Gibt den Namen der eigenen CA an E Mail Address In der Regel der wird die E Mail Adresse des Verwalters der eigenen CA oder dessen Abteilung eingetragen Org Unit OU Organisationseinheit wie zum Beispiel ein Abteilungsname wie Sicherheit Organization O Gibt die Organisation an f r welche das Zertifikat ausgestellt wurde zum Beispiel Firma Locality L Standort zum Beispiel eine Stadt wie Neuenhof State ST Bundesland Kanton Provinz oder hnliches zum Beispiel AR f r Appenzell Ausserrhoden Country C Land zum Beispiel CH f r Schweiz Fan 7 Seriennummer des Zertifikats Sektion Issued By Diese Sektion zeigt Infor
195. ert oder explizit zugelassen werden add acccess entry F r das Blockieren oder Zulassen wird das IP Netzwerk die Aktion und einen Kommentar in die entsprechende Eingabefelder eingetragen network action comment IP Adresse aktzeptiert Aussagekr ftiger Kommentar oder die weshalb die Regel eingetragen Netzwerk in Annahme wurden und wen diese betrifft der Whitelist angegebenen Form verweigert die Annahme Blacklist Beispiel Um alle E Mails die aus dem IP Netzwerk Bereich 186 56 148 x gesendet werden zu verwerfen geben Sie den IP Netzwerk Teil 186 56 148 ein und definieren Sie die Aktion reject 2015 SEPPmail AG 136 network action comment 186 56 148 Diese Testregel weist alle E Mails ab welche aus dem IP Adressbereich 186 56 148 0 24 kommen Die vorgenommenen nderungen werden ber die Schaltfl che gespeichert 7 5 1 Untermen Add Edit Managed Domain Sektion Settings Bei der Anlage einer neuen Managed Domain ber die Schaltfl che U IN EHERTZT EISEN ist nur diese Sektion zu sehen Beschreibung Domain Name der E Mail Dom ne f r welche durch das SEPPmail System E Mails Name angenommen und verarbeitet werden sollen Es k nnen mehrere E Mail Dom nen gleichzeitig eingetragen werden Diese m ssen durch Leerzeichen getrennt werden Die Appliance wird dadurch pro E Mail Dom ne eine Managed Domain mit identischen Einstellungen anlegen Diese Einstellung ist nur beim Anl
196. ertifikat erlaubt dem Empf nger die Authentizit t der E Mail mit seinem E Mail Client zu pr fen Damit wird sichergestellt dass der Absender authentisch ist und die E Mail w hrend und nach dem Versand nicht ver ndert wurde Bei dieser Methode wird f r jeden E Mail Absender ein eigenes S MIME Zertifikat ben tigt In der Regel k nnen nur Zertifikate offizieller Zertifikatsanbieter Trusted CA automatisiert vom Empf nger gepr ft werden Aus diesem Grund wird dringend das Verwenden solcher offiziellen Zertifikate empfohlen Die SEPPmail Appliance bietet mit ihren integrierten CA Connectoren die M glichkeit den Bezug von Zertifikaten einiger offizieller Zertifizierungsstellen zu automatisieren Alternativ ist das Signieren von E Mails auch im E Mail Client des jeweiligen Absenders m glich Das SEPPmail Secure E Mail Gateway wird diese E Mails dann nur noch verschl sseln Da sich viele S MIME Zertifikate zum Signieren und Verschl sseln von E Mails eignen kann es sinnvoll sein solche Zertifikate zus tzlich auf der SEPPmail Appliance zu installieren Dadurch k nnen E Mails bereits an der SEPPmail Appliance mit den entsprechenden Zertifikaten automatisch entschl sselt und somit zum Beispiel zentral archiviert oder auf Viren gepr ft werden Digitale E Mail Signatur mit einem Firmenzertifikat Das Signieren von E Mails mit einem S MIME Firmenzertifikat erf llt auf Unternehmensebene denselben Zweck wie das Signieren mit einem S MIME Benutzer
197. erver Secondary IP 10 10 0 9 IP 10 10 0 9 vollautomatische Synchronisierung Primary IP 10 10 0 10 Secondary IP 10 10 0 10 virtuelle Cluster IP Adresse 10 10 0 2 eingehende E Mails ausgehende E Mails DNS Round Robin Verfahren Abbildung 3 Schematische Darstellung der Lastverteilung durch das DNS Round Robin Verfahren f r ein und ausgehende E Mails 2015 SEPPmail AG 95 4 9 3 3 Nutzen eines externen Loadbalancers Bei Einsatz externer Loadbalancer sind diese f r das gleichm ssige Verteilen der Last an die SEPPmail Cluster Member Systeme verantwortlich siehe Abbildung 4 Ebenso m ssen diese externen Loadbalancing Systeme den Ausfall eines Cluster Member Systems erkennen und somit f r die Ausfallsicherheit des Gesamtsystems sorgen Im Detail Die Cluster Funktionalit t von SEPPmail wird in diesem Szenario lediglich f r die Synchronisation der Konfiguration zwischen den Cluster Member Systemen verwendet Das Entscheiden welches System auf ein und ausgehende E Mails reagiert wird durch vorgelagerte Loadbalancer getroffen Diese verteilen je nach Konfiguration und Lastsituation die E Mails wahlweise an ein bestimmtes Cluster Member System Hierbei wird jedes Cluster Member System im Gegensatz zu den anderen Cluster Varianten ber seine eigene physikalische IP Adresse angesprochen In Abbildung 4 1 sind dies die IP Adressen 10 10 0 9 und 10 10 0 1
198. erver name eingetragenen Server n TLS Verschl sselung eingerichtet werden Wurde die Option Use built in mail transport agent gew hlt so kann hier bei Bedarf zu beliebigen E Mail Servern im Internet ein TLS Verbindung konfiguriert werden sofern diese TLS unterst tzen Hinweis Wird hier keine Konfiguration vorgenommen so gilt die Einstellung may das heisst die SEPPmail Appliance wird zu allen Kommunikationspartnern eine TLS verschl sselte Verbindung aufbauen sofenr die Gegenstelle dies unterst tzt F r die TLS Verschl sselung wird das unter SSL eingebundene Zertifikat verwendet Parameter Beschreibung Domain Name Liste aller auf dem SEPPmail System angelegten E Mail Dom nen f r welche eine TLS Verbindung konfiguriert wurde auf Server IP Address Zeigt die IP Adresse den Hostnamen oder den MX Eintrag f r den jeweils oben genannten Domain Name an Server Port Zeigt den Port an welcher f r die TLS verschl sselte Verbindung zur oben genannten Server IP Address verwendet wird Im Standard ist das 25 TLS level Zeigt an welche Art der TLS Transportverschl sselung von der SEPPmail Appliance zum angegebenen E Mail Server f r die jeweilige E Mail Dom ne verwendet wird GINA Settings Zeigt das GINA Profil an welches f r diese E Mail Dom ne festgelegt wurde Um bestehende TLS Verbindungen zu verwalten ist auf den jeweiligen Domain Name zu klicken 2015 SEPPmail AG 132 Neue TLS Verbindunge
199. erwenden 80 E Ma il Datenfluss umstellen u n en 82 IronPort Anbindung der SEPPm ll 2 2 Mm 83 Steuern der Appltance en 9 Clustern mehrer Systeme d le Eu BEE 87 Hochverf gb rkeits Cluster e aer e ae see dE ee VEER See eet ee deg 89 Loadbalancing Cluster ensaessesnnnnnnnnnunnnnnnnnnnnn 91 Aufteilen des Ein und Ausgehenden Verkehrs nn 91 Nutzen des DNS Round Robin Vertabrens nn 93 Nutzen eines externen Loadbalancers rnn ntat EE EnannnEn nnanet n Ennn nnee na 95 E e E EE 97 Frontend Backend Cluster 222200020000202220n220000nnnnannnunnnnnnnnnnnnnnnnnnnnnnnnnunnnnnnnnnnnnnunnnnnnnnnnnunnnnnnnnnnnennnnnnnn 98 Secure Webmail Gatellte edd ENNEN ENEE dee ec Nee Ee dari dataa hen aaia iiaa daardie it 99 Unterst tzen externer redundanter Systeme uussnssnssnnnnnnnnnnununnnnnnnnnununnnnnnnnnnnunnnnnnnnnnnnnunnnnnnnnnnnunnnnn 100 10 Einrichten zus tzlicher Features uururur0000e00nenonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 101 Protection Pack NS Keess geed ee Nee EE 101 Internal Mail Encryption E DEEN 101 Self Service Password Management SSPM zeueuuannnnnnnennnnnnnnnnnunnnnnnnnnnnnnunnnnnnnnnnnunnnnnnnnnnnnnunnnnnnnnnnnen 102 Large File Management LFM Administrative Aufgaben 103 Microsoft Outlook Addin 104 Einleitung DEE 104 2 Download 222er an 104 3 Systemanforderungen zuuussrreennssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnsnnnnn nennen 105 4 Installation as nn 105 I
200. es Erkl rung In diesem Beispiel wird einer E Mail der zus tzliche Header x smenc mit dem Wert yes hinzugef gt Beispiel 2 setheader from info customer com Erkl rung In diesem Beispiel wird in einer E Mail das Header Feld from auf dem Wert info customer com ge ndert 2015 SEPPmail AG 253 8 3 20 tagsubject Der Befehl tagsubject f gt dem Betreff einer E Mail den zu definierenden Text hinzu Aufbau des Befehls tagsubject text R ckgabewert positiv immer Parameter text Der Parameter gibt den Text Zeichenkette an der am Ende der Betreffzeile angeh ngt wird Beispiel eees ubsleee era Erkl rung In diesem Beispiel wird an den Inhalt der Betreffzeile einer E Mail die Zeichenkette priv am Ende angeh ngt 8 3 21 tag_subject Der Befehl tag subject wurde durch Eagsubject siehe fagsubject 253 ersetzt und ist nicht l nger g ltig 2015 SEPPmail AG 254 8 4 Befehle f r die Benutzerverwaltung 8 4 1 createaccount Der Befehl createaccount erstellt neue Benutzerkonten Als Benutzerkonto wird ein lokales SEPPmail Benutzerkonto bezeichnet Dieses Benutzerkonto kann im Men Users eingesehen werden Aufbau des Befehls createaccount keys userID name R ckgabewert positiv immer Parameter keys optional Dieser Parameter gibt an welches Schl sselmaterial beim Erstellen der Benutzerkontos automatisch generiert werden soll Das
201. es Virenschutzes gegebenenfalls die Zweistufigkeit des selbigen gew hrleistet werden Realisiert wird der Schutz mittels Black White und Greylisting sowie der integrierten Komponenten SpamAssassin und ClamAV 2015 SEPPmail AG 57 3 6 Lizenzen 3 6 1 Basissysteme und Lizenz SEPPmail bietet die Basissysteme entweder als Hardware Appliance siehe Hardwarem delle lse oder als virtuelle Appliance an siehe Virtualisierte Versionen s Die eingesetzte Firmware ist auf beiden Systemen identisch Somit sind auch gemischte Cluster Systeme aus physikalischen und virtuellen Appliances m glich Mit dem Basissystem wird auch die Basislizenz erworben welche bereits die Dom nen Verschl sselung f r das gesamte Unternehmen beinhaltet Weiterhin zwingend erforderlich f r den Betrieb der SEPPmail Appliance ist ein j hrlicher Wartungsvertrag f r das Basissystem Lizenz 3 6 1 1 Protection Pack VSPP Optional kann f r jede Instanz SEPPmail Appliance das Protection Pack VSPP gew hlt werden Der j hrliche Betrag beinhaltet das Freischalten der integrierten AntiSpam sowie AntiVirus Funktionalit t Diese Funktionalit ten werden durch verschiedene Filtermechanismen sowie dem Einsatz der Produkte SpamAssassin und ClamAV realisiert deren Integration in den jeweils aktuellen Versionen gew hrleistet wird Hinweis F r Systeme welche ohne vorgelagerte Schutzkomponenten direkt mit dem Internet kommunizieren wird das Pro
202. es om SMIME Domain Certificates beziehungsweise Managed Domain Certificates so werden zwei Gruppen gebildet Aufbau des Befehls encrypt domain smime R ckgabewert positiv f r die Gruppe der Empf nger f r die verschl sselt werden konnte negativ f r die Gruppe der Empf nger bei denen das Verschl sseln nicht m glich gewesen ist Parameter keine Beispiel encerypt domain smime log 1 email successfully S MIME domain encrypted else logi email could not be S MIME domain encrypted Erkl rung In diesem Beispiel wird versucht eine E Mail mittels S MIME Dom nen Zertifikat des Kommunikationspartners zu Verschl sseln Zeile 1 Erfolg beziehungsweise Misserfolg der Aktion wird protokolliert Zeile 2 und 4 2015 SEPPmail AG 276 8 7 2 3 Benutzer basiert 8 7 2 3 1 decrypt_smime Der Befehl decerypt smime entschl sselt S MIME verschl sselte E Mails Dieser Befehl entschl sselt eingehende E Mails welche durch den Absender mittels des pers nlichen ffentlichen S MIME Schl ssel Zertifikat des Empf ngers siehe Users Benutzerdetails 204 verschl sselt wurden Aufbau des Befehls decrypt smime R ckgabewert positiv wenn die E Mail entschl sselt wurde negativ wenn das Entschl sseln der E Mail fehlgeschlagen ist Parameter keine Beispiel if decrypt smime log 1 email successfully S MIME decrypted else logd email could not be S MI
203. ese Option erscheint nur falls ein anderes als das default GINA Interface master template editiert wird Durch Aktivieren dieser Option werden die Einstellungen aus der unter Master Template gew hlten Vorlage verwendet Eventuell vorgenommene nderungen der weiteren Konfigurationspunkte dieser Sektion bleiben ohne Auswirkung Der zugreifende Benutzer muss sein entsprechendes Benutzer Zertifikat in seinem Browser installiert haben Sollte mehr als ein GINA Interface konfiguriert werden so ist f r diese Art des Logins die Option Use virtual hosting siehe Mail Processing 47 GINA Settings zu verwenden Weiterhin ist diese Option nicht mit der Einstellung System GINA https Protocol Enable local https proxy kompatibel Die vorgenommenen nderungen werden ber die Schaltfl che gespeichert 7 6 2 1 Untermen Edit GINA Layout Sektion Company Logo Use settings from Diese Option erscheint nur falls ein anderes als das default GINA Interface master template editiert wird Durch Aktivieren dieser Option werden die Einstellungen aus der gew hlten Vorlage siehe Edif GINA Settings ec Sektion Master Template verwendet Eventuell vorgenommene nderungen der weiteren Konfigurationspunkte dieser Sektion bleiben ohne Auswirkung 2015 SEPPmail AG 173 Ist bereits ein Logo importiert so wird dieses hier angezeigt ber die Browser Schaltfl che Datei ausw hlen kann ein Logo im gif Format zum Upload ausgew
204. eseii else Jeer Marl coss not cComrcain an IP aciress Erkl rung In diesem Beispiel wird innerhalb des Nachrichtentextes einer E Mail auf das Vorhandensein einer IP Adresse gepr ft Wird mindestens eine IP Adresse gefunden so wird der Log Eintrag Mail contains an IP address im System Logger geschrieben Wird keine IP Adresse gefunden so wird der Log Eintrag Mail does not contain an IP address im System Logger geschrieben 2015 SEPPmail AG 238 8 3 6 disclaimer Der Befehl disclaimer f gt einen Textanhang einer bestehenden E Mail hinzu Dieser Befehl f gt einen Textanhang aus dem angef hrten Vorlage template einer bestehenden E Mail hinzu Wird keine Vorlage angegeben so wird versucht anhand der Einstellungen der Managed Domains den richtigen Disclaimer zu w hlen Dazu werden die den jeweiligen E Mail Dom nen zugeordneten Disclaimer ausgewertet Aufbau des Befehls disclaimer template position force Dieser Befehl f gt einen Textanhang aus dem angef hrten template einer bestehenden E Mail hinzu Wenn eine leere Zeichenfolge als template angegeben ist wird versucht anhand der Einstellungen der Managed Domains den richtigen Disclaimer zu w hlen Dazu werden die den jeweiligen E Mail Dom nen zugeordneten Disclaimer ausgewertet R ckgabewert positiv immer Parameter template optional Definiert den Namen der Vorlage template welche als Textanhang verwendet werde
205. eser beginnt mit BEGIN PRIVATE uploading a key und endet mit END PRIVATE KEY in das Eingabefeld kopiert Die Eingabe muss unbedingt mit einer Leerzeile abgeschlossen werden X 509 Certificate In dieses Feld wird der ffentliche Schl ssel aus der pem Datei eingef gt and optional Dieser ist unterhalb des Privaten Schl ssel in der pem Datei zu finden und beginnt mit und endet mit intermediate CERTIFICATE certificates Unter Umst nden sind in der pem Datei weitere Zertifikate enthalten Dabei handelt es sich um Zwischen oder auch Intermediate Zertifikate welche unterhalb des ffentlichen Schl ssels in dieses Feld kopiert werden m ssen Zuletzt wird das Zertifikat der Root CA eingef gt Die Eingabe muss unbedingt mit einer Leerzeile abgeschlossen werden Hinweis In dieses Eingabefeld sollten alle notwendigen Zwischengzertifikate f r eine vollst ndige Zertifikatskette eingef gt werden Eine unvollst ndige Zertifikatskette f hrt bei der Zertifikatspr fung immer dann zu Problemen wenn der Gegenstelle diese nicht bereits bekannt ist Internet Tools wie zum Beispiel CheckTLS 2015 SEPPmail AG 183 zeigen dann einen falschen TLS Status an Nicht jede pem Datei enth lt die komplette Zertifikatskette In diesem Fall m ssen die ben tigten Zwischenzertifikate gegebenenfalls anderweitig besorgt werden Key and certificate ber die Internet Browser Schaltfl che Datei ausw hlen wird die PKCS 1
206. espeichert Sektion Extended settings Grundlegende Einstellungen f r die ber das GINA Webinterface zur Verf gung gestellten Funktionen Use settings from Diese Option erscheint nur falls ein anderes als das default GINA Interface master template editiert wird Durch Aktivieren dieser Option werden die Einstellungen aus der unter Master Template gew hlten Vorlage verwendet Eventuell vorgenommene nderungen der weiteren Konfigurationspunkte dieser Sektion bleiben ohne Auswirkung Default Forward Sollte die URL der GINA Seite ohne den Zusatz web app aufgerufen Page werden kann an dieser Stelle auf eine andere Seite zum Beispiel die Homepage des Unternehmens weitergeleitet werden Soll dennoch auf das GINA Interface weitergeleitet werden so ist die URL einzugeben wie sie oberhalb der Eingabezeile angezeigt wird Bleibt man beim Beispiel aus der Sektion Secure GINA Host w rde dort folgendes stehen Note If you want to show the GINA login page by default enter https securemail meinefirma ch meinkunde web app without the quotes Always zip HTML Bei aktiver Option wird der verschl sselte HTML Anhang der GINA Mail in eine attachments ZIP Datei gepackt Dies wird f r die Kompatibilit t zu lteren OWA Versionen when encrypting ben tigt F r einzelne E Mails kann die Steuerung dieser Funktion durch das mail with GINA Betreffzeilen Schl sselwort zip vorgenommen werden technology 2015 SEPPmail AG
207. essing Edit Mail Templates e Einf gen des folgenden Codes in das Eingabefeld if authenticated else bounce bovunce no uss Erus y log l user account Leister rs Beschreibung Zun chst wird hier gepr ft ob der Absender der E Mail einen Benutzer Account auf der Appliance besitzt Ist dies der Fall so wird das Standard Ruleset weiter ausgef hrt Andernfalls wird die E Mail abgewiesen gel scht und eine Bounce Mail an den Absender unter Verwendung der Vorlage bounce_no_user und mit dem Header der urspr nlichen ME Mail an den Absender gesendet Verwendete Befehle Funktionen keine Variationen l Anstelle des Befehls bouncef Ge kann die E Mail auch ber den Befehl drop zez abgewiesen werden 2015 SEPPmail AG 302 8 11 2 GINA Verschl sselung Tagging zwischen Mandanten erzwingen Ist die SEPPmail Appliance als mandantenf higes System siehe Customers mit der Anforderung eingerichtet alle E Mails mit einem Verschl sselungskennzeichen zwischen den Mandanten mittels GINA Technologie zu verschl sseln so kann dies zum Beispiel wie folgt realisiert werden Konfigurationsvorschlag e Navigieren zu Mail Processing Ruleset Generator Custom Commands Custom commands for incoming e mails BEFORE decryption e Einf gen des folgenden Codes in das Eingabefeld Start custom commands for incoming e mails BE a Log il GINA Deore ae era Ev JS Cnds Co ba kA TRIGG encry
208. fehl generiert ein GINA Benutzerkonto und schickt das Initial Kennwort an den Absender der urspr nglichen E Mail oder alternativ an eine optional anzugebende E Mail Adresse Aufbau des Befehls webmail keys gen recipient I password length no pw email if sms sent R ckgabewert positiv immer Parameter recipient optional Definiert die E Mail Adresse an welche die E Mail mit dem Initial Kennwort gesendet werden soll Wird keine E Mail Adresse angegeben so wird die Absender E Mail Adresse verwendet password_length optional Definiert die L nge des Initial Kennworts Dabei steht die 0 null f r ein leeres Kennwort Wird der Parameter nicht angegeben so wird der Standardwert der Konfigurationsoberfl che siehe Mail Processing han GINA Settings Password Length verwendet no_pw_email_if_sms_sent optional Mit dieser Option wird die E Mail mit dem Initial Passwort an den Absender unterbunden wenn dieses bereits per SMS bermittelt werden konnte siehe auch Schl sselwort SMS in Tabelle 1 des Kapitels Bteperrrgder pplbapeelod1 M gliche Werte e true yes oder 1 e false no oder O default ist O Beispiel webmail keys gem Y B Erkl rung In diesem Beispiel wird ein GINA Benutzerkonto erzeugt Der Absender der urspr nglichen E Mail erh lt eine E Mail Benachrichtigung mit dem Initial Kennwort Dieses Initial Kennwort hat 8 acht Zeichen 2015 SEPPmail AG 288 8
209. figuration und Schl sselmaterial weshalb die Gr sse der Sicherung selbst nach jahrelangem Betrieb der Appliance minimal bleibt Die Sicherungsdatei wird automatisch verschl sselt an den oder die BackupOperator gesendet Da auf den Appliances dank der GINA Technologie nie Nutzdaten gespeichert werden m ssen kann im Disasterfall trotz der geringen Gr sse des Backups die volle Funktionalit t des Systems innerhalb k rzester Zeit wiederhergestellt werden Der Restore einer einzelnen Maschine erfolgt durch das alleinige Einspielen der Backupdatei nach dem Neustart Der Restore einer Clustermaschine erfolgt automatisch per Replikation nach Aufnahme der neuen Maschine in den bestehenden Cluster 3 3 6 4 Systemupdate Das System sucht regelm ssig nach anstehenden Versionsupdates und Patches und zeigt anstehende Updates dem Administrator an Dieser entscheidet ob er das Update prefetchen oder sofort durchf hren m chte Dabei wird immer das gesamte Core System Firmware ausgetauscht d h keine Einzelkomponenten Erhalten bleiben hingegen alle Systemeinstellungen kundenspezifische Anpassungen und das Schl sselmaterial Bei einem Clusterbetrieb k nnen im Wartungsfall die Komponenten einzeln und im laufenden Betrieb einem Systemupdate unterworfen werden Ein Aufbrechen des Clusters ist m glich aber nicht notwendig Da die Software als echte Firmware ausgeliefert wird sind Systemupdates sehr gut planbar da nicht einzelne Komponenten
210. g SEPPmail mit SEPPmail nicht in der Relay Liste Incoming Contenffilter IncomingSEPPmail normalerweise nicht notwendig Receiving Listener IncomingMail AND Remote IP IS NOT IP von SEPPmail 1 AND Remote IP IS NOT IP von SEPPmail 2 optional falls Sie nur eine Ihrer Dom nen ber SEPPmail betreiben lassen wollen AND Envelope Recipient ends with securemailcustomer ch Action Send to Alternate Destination Host Cluster IP der beiden SEPPmail SEPPmail Das SEPPmail System ist so einzurichten dass eingehende E Mails an den Incoming SEPPmail Listener geschickt werden Men Mail System Siehe P verestenge E MattEem gereiogebten e Managed Domains Domain Name Server IP Address Server Port TLSlevel Secure Webmail Settings Disclaimer Setting maildomain ch 192 168 1 11 10025 may default E Automatically create and publish S MIME domain keys for all domains Fetch Mail from remote POP3 server _ Verify recipient addresses using SMTP Lookups Sektion Managed Domains Das Problem hier ist dass in der SEPPmail Konfiguration nur eine einzige IP Adresse angegeben werden kann wohin die eingehenden E Mails weitergeleitet werden also nicht beide Incoming IP Adressen Ihrer IronPorts Hierzu ist es notwendig einen fiktiven DNS Eintrag zu erzeugen welcher in beide IP Adressen der IronPorts aufgel st werden kann Dieser fiktive DNS Name wird als Server IP Address der E Mail Dom
211. gef gt Die E Mail wird immer vollst ndig ausgeliefert Auf der Appliance wird ausser den Empf ngerdaten nichts zwischengespeichert Beim erw hnten Anhang wird komplett auf aktiven Inhalt wie zum Beispiel JavaScript verzichtet Es wir nur plain HTML verwendet Der Key f r den Empf nger bleibt dauerhaft auf der Appliance und wird f r die erste wie f r alle anderen GINA Mails zum Ver und Entschl sseln f r diese Empfangsadresse verwendet Ein Initialpasswort wird erstellt und per E Mail dem Sender zur bermittlung an den Empf nger per SMS Abb 2 Telefon oder Fax zugestellt D SEPPMAIL Choose SMS message and language Enter recipient s mobile phone number Abb 2 Die f r den Anschluss an einen SMS Provider oder System notwendigen Schnittstellen sind in der L sung eingebaut und konfigurierbar c Schritt 3 Empf nger Anmelden und einmaliges Registrieren Der Empf nger ffnet den HTML Anhang und wird zur Eingabe seines Initialpasswortes aufgefordert Abb 3 Dabei kann er auch seine gew nschte Sprache festlegen Anschliessend erfolgt eine einmalige Registrierung am System Ein eigenes Passwort wird vergeben sowie eine Sicherheitsfrage Antwort festgelegt um ein Zur cksetzen seines Passworts zu erm glichen Abb 4 Optional kann eine Mobilfunknummer f r den automatisierten SMS Passwort Versand eingegeben werden Beim n chsten Lesen der E Mail oder bei einer neuen vertraulichen E Mail wird nur noch d
212. gert das Annehmen einer E Mail Dieser Befehl erzeugt eine Bounce E Mail und l scht die urspr ngliche E Mail Das Aussehen der Bounce E Mail wird durch eine Vorlage definiert Der Absender dieser Bounce E Mail ist admin Optional wird der Header der urspr nglichen E Mail der Bounce E Mail als Dateianlage angeh ngt Hinweis e Alle nachfolgenden Befehle werden ignoriert e Dieser Befehl kann nicht die Bedingung einer if else Anweisung sein siehe Abschnitt KORrallgtr kturen iese Anweisungen 220 Aufbau des Befehls bounce template attachheader R ckgabewert kein Parameter template Definiert die zu verwendende Vorlage Vorlagen werden ber die Administrationsoberfl che siehe Mail Processingh4 Edit Mail Templates definiert und verwaltet attach_header Dieser Parameter gibt an ob der Header der urspr nglichen E Mail der Bounce E Mail als Dateianlage angeh ngt werden soll true oder nicht False M gliche Werte e true yes oder e false no oder 0 default ist O Beispiel bounce bounce yes Erkl rung Die Auslieferung der E Mail soll verhindert werden Zugleich sollen dem Absender ber eine R ck Bounce E Mail Informationen zur Verf gung gestellt werden Der Inhalt dieser R ck E Mail ist in der Vorlage bounce definiert Weiterhin wird der Header der nicht ausgelieferten E Mail als Anlage angeh ngt Wert yes des Parameters attach header 2015 SEPPmail AG 261 8 6 3 deliver
213. gesonderten Datenbereich abgelegt Gleichzeitig wird eine Einladung 2 zum Download der bergrossen E Mail mittels GINA Technologie versendet Siehe Kapitel GINA Webmail 23 Der Unterschied zu einer verschl sselten E Mail liegt darin dass die Einladungsmail mit einem Ablaufdatum versehen ist und die Datei als solches nur wenige kByte gross ist Sobald der Empf nger den GINA Anmeldeprozess durchlaufen hat wird die E Mail samt Anhang auf der SEPPmail Appliance entschl sselt und steht zum Download ber die etablierte https Strecke und zum lokalen Speichern bereit 3 Die E Mail wird nach Erreichen der Verweildauer von der SEPPmail Appliance gel scht auch wenn der Download noch nicht stattgefunden hat 2015 SEPPmail AG 51 D d N SEN E Sender er eg ee Semer SEPPmail E h RE Versenden von Daten via internem GINA Web Mail Portal Da Storage teuer ist tendieren manche IT Abteilungen dazu auch den ausgehenden E Mail Verkehr von der Gr sse her zu limitieren Aber auch sensible Daten wie zum Beispiel Kreditkarteninformationen m ssen ber einen PCI konformen bermittlungsweg bertragen werden Fast alle E Mail Systeme sind daf r nicht ausgelegt SEPPmail kann in einem System beide Szenarien abbilden Der Anwender ffnet daf r den internen lt OEM WEBMAIL GINA gt Webmail Client ber seinen Browser und verfasst darin seine Nachricht und f gt die zu bermittelnden sensiblen Daten bei 1
214. h geh rtet Die nicht ben tigten Libraries wurden entfernt und nur die Module eingebaut die f r die L sung erforderlich waren Die Firmware hat in der komprimierten Version Betriebssystem und Applikation eine Gr sse von ca 60MB Als MTA wird Postfix verwendet Das System ist so konzipiert dass damit auch PCI konforme Infrastrukturen aufgebaut werden k nnen Passwortregeln SIEM Samhain Integration verschl sseltes Dateisystem etc Schematischer Aufbau SEPPmai PGP Engine S MIME Engine Seng Engine SMTP Daemon Postfix Rule Engine Admin GUI herps 3 3 3 Zentrales Regelwerk Rule Engine SEPPmail hat mit seiner Rule Engine ein kleines Workflow System eingebaut Das Regelwerk kontrolliert den Fluss jeder einzelnen E Mail durch die Applikation und definiert welche E Mail wie behandelt wird signiert verschl sselt entschl sselt zur ckgewiesen Dar ber hinaus k nnen hier Pr fungen und Datenbankabfragen LDAP Lookups zum Beispiel an ein Microsoft Active Directory durchgef hrt und die retournierten Ergebnisse oder Parameter zur E Mail Steuerung und oder Verschl sselungssteuerung herangezogen werden Dieses einfache und doch effektive Werkzeug erm glicht die Definition eines Regelwerks welches eine genaue Abbildung der gew nschten Security Policy eines Unternehmens darstellt Die Rule Engine ist als einfache if else Skriptsprache aufgebaut Eine umfassende Dokumentation des Aufbaus der Befehle
215. he Unternehmen verlangen zudem Einblicke in den Sourcecode Dies k nnen wir aus sicherheitsrelevanten Gr nden nicht zulassen Die von der Lufthansa Systems durchgef hrte Pr fung auf PCI Compliancy ist unseres Erachtens 2015 SEPPmail AG 49 deutlich strenger und daher h her zu bewerten da diese neben einem normalen PenTest sehr harte Vorgaben bez glich Zugangsrechte und Protokoll der Administrationst tigkeit verlangt und pr ft Aktuelle Sicherheitsl cken oder Exploits SEPPmail reagiert falls betroffen auf bekannt werdende Sicherheitsl cken oder Exploits innerhalb k rzester Zeit mit einem Sicherheitsupdate welcher allen Kunden ber den normalen Update Mechanismus zur Verf gung gestellt wird Die k rzlich bekannt gewordenen Sicherheitsl cken wie Heartbleed oder Poodle betrafen die L sung nicht 2015 SEPPmail AG 50 3 5 Zus tzliche Features Die SEPPmail Appliance bietet zus tziche Features welche auf Wunsch beziehungsweise bei Bedarf lizensiert und verwendet werden k nnen 3 5 1 Large File Management LFM Einf hrung Das Problem der bergrossen E Mail Anh nge ist den Meisten bekannt Sobald eine bestimmte E Mail Gr sse berschritten wird wird die E Mail entweder schon vom eigenen oder aber vom E Mail Server des Empf ngers abgewiesen Danach beginnt die Suche nach einem geeigneten bermittlungsverfahren Zur Verf gung stehen dann fFTP Server diverse Web Angebote wie Zu
216. hem das Attribute aus dem Parameter attr zu suchen ist Filter Angabe eines Attributes der LDAP Datenbank unter welchem das gesuchte Attribute aus dem Parameter attr im Zweig der SearchBase zu finden ist attr Attribut nach welchem im LDAP Verzeichnis gesucht werden soll var Name der Variablen in welcher der Wert des Attributes attr abgelegt werden soll Beispiel Der Wert des Attributs name soll aus einem LDAP Verzeichnis ausgelesen werden Dieser soll in der Variable name abgespeichert werden Die Anweisung sieht wie folgt aus 2015 SEPPmail AG 289 ldap read 192 168 10 10 CN Peter Mueller OU SBSUsers OU Users OU MyBusiness DC Firma DC local mypassword OU SBSUsers OU Users OU MyBusiness DC Firma DC local mail sender name name Erkl rung Der LDAP Server mit der IP Adresse 192 168 10 10 und dem Standardport 389 wird abgefragt Der DistinguishedName DN des Benutzers unter welchem die Abfrage ausgef hrt wird dieser muss die entsprechenden Berechtigungen besitzen lautet CN Peter Mueller OU SBSUsers OU Users OU MyBusiness DC Firma DC local Das Passwort dieses Benutzers lautet mypassword Der LDAP Pfad in welchem nach dem Attribut name gesucht werden soll lautet OU SBSUsers OU Users OU MyBusiness DC Firma DC local Der Benutzer dessen Gruppenzugeh rigkeit festgestellt werden soll wird anhand der Absender E Mail Adresse I1dap Filter definiert Existiert das angegebene At
217. hierarchie 271 Diese kommt nur dann zum Einsatz falls kein geeignetes Schl sselmaterial des Empf ngers vorliegt oder vom Versender ganz bewusst f r den Erhalt einer verbindlichen Lesebest tigung gew hlt wird SEPPmail besteht aus nur einem Hauptprodukt welches allen Kunden zur Verf gung gestellt wird Einzelne Features welche von Kunden gew nscht werden und in das Gesamtkonzept in punkto Sicherheit und Benutzerkomfort passen werden kostenfrei von SEPPmail implementiert und kommen somit allen Kunden zu Gute Die L sung wird als komplette auf openBSD basierende Firmware geliefert Damit entf llt das aufwendige Installieren und Warten von Einzelkomponenten wie zum Beispiel Datenbanken oder Funktionsmodulen Das Update erfolgt auf Knopfdruck f r das gesamte System 3 2 1 1 F nf generische Prinzipien 1 Angemessenes Absichern der Gesch ftsdaten Das Absichern wird durch den Einsatz bew hrter Verschl sselungstechnologien S MIME openPGP TLS und GINA sowie durch eine geh rtete Appliance garantiert 2 Kosteneffizienter Betrieb Kosteneffizienz wird durch den Appliance Ansatz einen hohen Automatisierungs und Standardisierungsgrad und insbesondere einen sehr niedrigen Support Aufwand der GINA Technologie im Vergleich zu anderen Methoden PDF oder Webmailer erreicht 3 Hohe Anzahl von Kunden und Gesch ftspartnern erreichbar Den besten Beweis f r die Massentauglichkeit der patentiertenGINA Technologie erbri
218. hlt werden Die maximale Gr sse des Logos ist vom verwendeten Cascaded Style Sheet CSS abh ngig Im Standard betr gt diese 200x55 Pixel ber die Schaltfl che wird das Logo Bild gel scht ber die Schaltfl che wird das ausgew hlte Bild gespeichert Ist bereits ein Bild vorhanden so wird dieses berschrieben Sektion Header Logo optional Use settings from Diese Option erscheint nur falls ein anderes als das default GINA Interface master template editiert wird Durch Aktivieren dieser Option werden die Einstellungen aus der gew hlten Vorlage siehe EdiEGINASEktihds 165 Sektion Master Template verwendet Eventuell vorgenommene nderungen der weiteren Konfigurationspunkte dieser Sektion bleiben ohne Auswirkung Ist bereits ein Kopfzeilen Logo importiert so wird dieses hier angezeigt ber die Browser Schaltfl che Datei ausw hlen kann ein Logo im gif Format zum Upload ausgew hlt werden Die maximale Gr sse des Logos ist vom verwendeten Cascaded Style Sheet CSS abh ngig Im Standard betr gt diese 120x80 Pixel Das Header Logo wird nur angezeigt wenn die Anzeige in den Extended Settings aktiviert wurde ber die Schaltfl che wird das Logo Bild gel scht ber die Schaltfl che wird das ausgew hlte Bild gespeichert Ist bereits ein Bild vorhanden so wird dieses berschrieben Sektion Favourites Icon optional Use settings from Diese Option erscheint nur falls ein anderes als das default GINA
219. i automatisch generierten Benutzern dem Anzeigenamen des Absenders sofern vorhanden Andernfalls wird auch hier die E Mail Adresse angezeigt Zeigt die E Mail Adresse des Benutzers an openPGP Zeigt die Anzahl der f r den Benutzer vorhandenen openPGP Schl ssel an S MIME Zeigt die Anzahl der f r den Benutzer vorhandenen S MIME Schl ssel an Zeigt den Status des Benutzers an Im Regelfall ist dieses Feld leer Bei technischen Benutzern kann der Status auf inaktiv gesetzt werden siehe Untermen Benuftzerdetalls 204 User Data Encryption Settings Inaktive Benutzer sind nicht in der Lage zu verschl sseln oder signieren und ben tigen somit auch keine Benutzerlizenz Durch Klicken auf die User ID wird das Untermen Benufzerdstails 20 ge ffnet Sollen Benutzer manuell eingerichtet werden so erfolgt dies ber die Schaltfl che siehe Untermen Greate new user accounti eos ber die Schaltfl che HE Zl werden die Passwort Regeln f r SEPPmail Benutzer definiert siehe Untermen Password Policy 209 Die Eingabefeld mit der Schaltfl che Filter dient der Suche nach Benutzern 2015 SEPPmail AG 204 7 13 1 Untermen Benutzerdetails Sektion User Data Beschreibung Zeigt die User ID des jeweiligen Benutzers an Diese entspricht bei automatisch generierten Benutzern immer der E Mail Adresse Full Name Zeigt den Namen des jeweiligen Benutzers an Diese entspricht bei automatisch generierten Benutzern dem
220. ifer ben tigt daher beide Komponenten E Mail und Passwort Eine brute force Attacke ist nicht m glich da die SEPPmail Appliance standardm ssig nach 5 fehlerhaften Passworteingaben den Zugang sperrt h Zusammenfassung und Vorteile der patentierten GINA Technologie Keine zus tzlichen Technologie Layer bzw Konvertieren in PDF zip oder exe notwendig da diese nur zus tzliche Komplexit t und Fehlerm glichkeiten verursachen Empf nger ben tigt nur E Mail Client Browser und Internetzugang Keinen PDF Reader oder sonstige Verschl sselungsclients am Empf ngersystem Wird vom Sender eine Lesebest tigung gew nscht wird diese von der Appliance in dem Augenblick versendet wenn die E Mail zum Entschl sseln eingeliefert wird Diese kann vom Empf nger nicht unterbunden werden Die Leseaktion wird immer im Log mit protokolliert Das Zugriffspasswort kann jederzeit vom Empf nger ge ndert werden Spontane sichere Kommunikation in beide Richtungen m glich Die E Mails werden vollst ndig an Empf nger ausgeliefert somit werden auf der SEPPmail nur Anmeldedaten und Keys gespeichert F r den Betreiber des sicheren E Mail Gateways entf llt die Pflicht des Housekeepings Archivierung f r E Mails an Dritte Alle Texte in der GINA Oberfl che k nnen angepasst und das Aussehen per CSS Stylesheet ver ndert werden Im Auslieferungszustand sind die Sprachen Englisch Deutsch Franz sisch Italienisch Spanisch Niederl ndisch und Polnis
221. ig es reicht das S MIME Zertifikat auf allen Clients und die Angabe der SEPPmail als LDAP Adressbuch Es k nnen somit die eingebauten Verschl sselungsfunktionen des E Mail Clients benutzt werden 2015 SEPPmail AG 55 b von der SEPPmail Appliance ber den CA Connector bezogen werden und im Anschluss an den User verteilt werden Damit wird auch intern das Schl sselmaterial der Trusted CA verwendet Eine Umsignierung f r E Mails an externe Empf nger ist nicht mehr notwendig Die Umverschl sselung an externe Empf nger findet wieder an der Appliance nach dem best effort Prinzip statt Da das Umsetzen dieses Konzeptes stark von der Kunden Infrastruktur abh ngig ist wird an dieser Stelle auf eine schematisch Darstellung verzichtet Vorteil dieser L sung ist eine vollst ndige Integration in das Kundensystem Allerdings ist der Planungs und Realisierungsaufwand etwas h her Sollte hier eine gr ssere Infrastruktur mit eigener PKI und oder weiterer Sicherheitsmechanismen geplant sein kann gegebenenfalls einer unserer Partner ein entsprechendes Gesamtkonzept mit eigener PKI anbieten 2015 SEPPmail AG 56 3 5 3 Self Service Password Management SSPM Das Self Service Passwort Management kurz SSPM erm glicht es GINA Benutzern selbst ndig Ihr Passwort zur ckzusetzen Damit werden ressourcen und somit kostenintensive Hotline Anfragen gr sstenteils vermieden Dabei stehen zwei Varianten zur Verf
222. igkeit geregelt siehe Groups 213 Das heisst die hier definierten Passwort Regeln sind f r die interaktive Anmeldung an der Administrationsoberfl che g ltig Minimum password Auswahl der minimalen Passwort L nge 4 bis 16 Zeichen length Must contain at least Definiert ob ein Kleinbuchstabe im Passwort enthalten sein muss one lower case letter Must contain at least Definiert ob ein Grossbuchstabe im Passwort enthalten sein muss one upper case letter Must contain at least Definiert ob eine Ziffer im Passwort enthalten sein muss one number Must contain at least Definiert ob ein Sonderzeichen im Passwort enthalten sein muss one special character Must not contain own Definiert ob das Passwort den eigenen Namen oder E Mail Adresse name user name or e enthalten darf mail address Must be different from Definiert mit wie vielen vorangegangenen Passw rter bei einem previous password s Passwortwechsel keine bereinstimmung bestehen darf 1 bis 28 Must be changed at Definiert ob und nach wie vielen Tagen das Passwort ge ndert werden least every days muss Accounts are locked for Definiert nach wie vielen fehlgeschlagenen Fehlversuchen bei der minutes after Anmeldung falsche Passworteingabe f r wie lange in Minuten der failed login attempts Zugang gesperrt wird ber die Schaltfl che werden die angezeigten Einstellungen gesichert Mittels Bach wird das Men ohne Sicherung verlassen
223. igniert ist negativ wenn die E Mail nicht S MIME signiert ist Parameter keine Beispiel 1 smimeisTgnedi log l1 e mail is S MIME signed it wallicere smims sigl Jeer signature is stell else Jeer signature is invalle p 1 else log 1 e mail is not S MIME signed 01 02 03 04 05 06 07 08 09 10 Erkl rung In diesem Beispiel wird zun chst gepr ft ob eine E Mail S MIME signiert ist Zeile 1 und ein entsprechender ein Log Eintrag geschrieben Zeile 2 und 9 Ist die E Mail S MIME signiert so wird Signatur gepr ft Zeile 3 und Erfolg beziehungsweise Misserfolg protokolliert wird Zeile 4 und 6 2015 SEPPmail AG 280 8 7 2 3 5 validate_smime_sig Der Befehl validate smime sig pr ft die S MIME Signatur einer E Mail auf ihre G ltigkeit Aufbau des Befehls validate smime seen UU eebe E ere d H A R ckgabewert positiv wenn folgende Bedingungen erf llt sind e die E Mail ist unver ndert e der Signatur Schl ssel ist g ltig das heisst er o er stammt von einer als vertrauensw rdig eingestuften Certificate Authority CA o hat das Ablaufdatum noch nicht berschritten o ist auf keiner der Appliance bekannten Certificate Revocation List CRL aufgef hrt negativ wenn eine der Bedingungen nicht erf llt ist Parameter fetch certificate optional Dieser Parameter gibt an ob bei der in der Signatur enthaltene ffentliche Schl s
224. ihrem Subnetz jeweils unter Destination und das jeweils dort hin f hrende Gateway angegeben werden Diese statischen IP Routen haben Priorit t vor der Verwendung des Standard Routers Default Gateway Nach dem Speichern einer statischen Route wird jeweils ein weiteres Eingabefeld eingeblendet Sektion DNS Use built in DNS Bei diesem Parameter versucht das System die DNS Namensaufl sung Resolver immer mit Hilfe der DNS Root Nameserver im Internet Ist dieser Parameter ausgew hlt so kann die Aufl sung von DNS Namen ggf sehr lange dauern und die Reaktion des SEPPmail Systems dadurch verz gert werden 2015 SEPPmail AG 123 Use the following DNS DNS Anfragen f r Adressen f r welche die SEPPmail nicht selbst Servers zust ndig ist werden an bergeordnete DNS Name Server weitergeleitet Dazu sollte SEPPmail die DNS Anfrage zun chst an einen internen DNS Server im eigenen Netzwerk oder die DNS Server Ihres Internet Providers weitergeben die Sie hier spezifizieren k nnen Primary Gehen Sie hier den ersten DNS Name Server ein an den SEPPmail DNS Anfragen weiterleiten soll Alternate 1 Ist der prim re DNS Name Server nicht verf gbar oder antwortet nicht optional wird die DNS Anfrage an den hier eingetragenen alternativen DNS Name Server weitergeleitet Alternate 2 Sind weder der prim re noch der erste alternative DNS Name Server optional verf gbar so wird die DNS Anfrage an den hier eingetrage
225. il ch ber TCP Port 22 siehe Firewall Router einrichten 63 sowie Sektion Proxy Settings des Men punktes System 11 nicht m glich da es sich zum Beispiel um ein PCI geh rtetes oder ein DMZ abgeschottetes System handelt so kann eine Update Datei ber den Support angefordert werden Diese Datei wird ber hochgeladen Durch einem Neustart der SEPPmail Appliance wird die neue Firmware aktiv Hinweis In der Regel wird immer die aktuellste Firmware eingespielt In seltenen F llen ist jedoch das Update in mehreren Schritten notwendig wenn zum Beispiel Abh ngigkeiten bei den Konfigurationsdateien bestehen In diesem Fall muss die Appliance so oft aktualisiert werden bis Sie auf dem aktuellen Stand ist Meldung You already have the latest version installed Sektion Backup Die Schaltfl che startet das Herunterladen der Backup Datei Diese Datei beinhaltet ausschliesslich Konfiguration und Schl sselmaterial der SEPPmail Appliance Voraussetzung f r den Download des Backups ist die Vergabe eines Backup Passwortes welches via gesetzt beziehungsweise ge ndert werden kann Soll ein Backup in die Appliance zur ckgespielt werden so erfolgt dies durch klicken von Backup File Hierf r wird das zum Zeitpunkt der Erstellung des Backups g ltige Backup Passwort 2015 SEPPmail AG 191 ben tigt Hinweis Mitglieder der Gruppe backup siehe Groups az Sektion backup Backup Operator erhalten t glich die Sicherungsdatei
226. il System werden grundlegende Einstellungen des SEPPmail E Mail Systems vorgenommen Sektion Managed Domains Definiert die E Mail Dom nen welche verwaltet werden sollen Domain Name Server IP Address Server Port TLS level GINA Settings Disclaimer Settings optional Customer optional Add Domain Automatically create and publish S MIME domain keys for all domains Beschreibung Liste aller auf dem SEPPmail System angelegten E Mail Dom nen F r diese Dom nen werden E Mails angenommen und entsprechend verarbeitet Zeigt die IP Adresse den Hostnamen oder den MX Eintrag des internen Groupware Systems an an welches eingehende E Mails f r den jeweils oben genannten Domain Name weitergeleitet werden Zeigt den Port an auf welchem die jeweils oben genannten Server IP Address E Mails f r den zugeh rigen Domain Name annimmt Zeigt an welche Art der TLS Transportverschl sselung f r die jeweilige E Mail Dom ne verwendet wird Zeigt das GINA Profil an welches f r jeweilige E Mail Dom ne festgelegt wurde siehe auch Edit GINA Settings 16b Zeigt an welcher Disclaimer an ausgehende E Mails der jeweiligen E Mail Dom ne angef gt werden soll siehe auch Mail Processingh n Edit Disclaimer Name des Kunden dem diese E Mail Dom ne zugeordnet wurde siehe auch Egstemers 223 W hlen Sie diese Schaltfl che um weitere E Mail Dom nen hinzuzuf gen Diese E Mail Dom nen m ssen passend
227. ist aber eine unsch ne L sung 2 Sie konfigurieren einen speziellen Listener ber den die SEPPmail Appliance eingehende E Mails einliefert Auf diesem Listener darf das SEPPmail System nicht in der Relay Liste eingetragen sein Dieser Listener kann zum Beispiel auf der bestehenden IP Adresse 192 168 1 11 auf einen speziellen Port zum Beispiel 10025 gebunden sein oder auf einer weiteren IP Adresse im IP Netzwerk 192 168 1 0 24 Die Umleitung kann man auf zwei Arten Implementieren 1 per Content Filter 2 per Message Filter Der Unterschied zwischen Message Filter und Content Filter ist dass ein Message Filter immer auf die gesamte E Mail angewendet wird Hat eine E Mail zum Beispiel mehrere Empf nger so gilt die Aktion f r alle Empf nger Bei einem Content Filter kann man ber verschiedene Policy Eintr ge die E Mail aufsplitten Das sollte in unserem Fall keine Rolle spielen Ein weiterer Unterschied ist dass man im Message Filter erkennen kann ob eine E Mail verschl sselt oder signiert ist und somit nur diese E Mail zur SEPPmail Appliance umleiten kann Um die L sung einfach und bersichtlich zu gestalten empfehlen wir alle ausgehenden E Mails zur SEPPmail Appliance weiterzuleiten nicht nur die zu verschl sselnden oder signierenden E Mails und mit einem Content Filter zu arbeiten 2015 SEPPmail AG 84 Konfiguration IronPort e Bestehender Listener mit SEPPmail in der Relay Liste e Neuer Listener Incomin
228. it den Postfix typischen Stufen may verify secure fingerprint und bald auch dane TLS gezielt als Ersatz f r eine Verschl sselung von E Mails zu verwenden erscheint schwierig und zwar prim r aus folgenden Gr nden e Bei Verwenden von TLS wird maximal bis zum n chsten MTA verschl sselt Da immer mehr Firmen Cloud Dienste f r das Filtern von Spam E Mails verwenden reicht dies normalerweise nicht e Eigentlich darf TLS nur bei Einsatz der Sicherheitsstufe Fingerprint oder DANE als einigermassen sicher betrachtet werden Alle anderen Sicherheitsstufen sind zum Beispiel durch DNS Spoofing aushebelbar e Das Verwalten von TLS Verbindungen erzeugt hohen Administrationsaufwand Trotz dieser Nachteile erfreut sich TLS in letzter Zeit steigender Beliebtheit wahrscheinlich weil TLS als kleinster gemeinsamer Nenner auf praktisch jedem MTA verf gbar ist SEPPmail plant deshalb auch den TLS Support zu erweitern 3 2 3 Gateway to Gateway Dom nen Verschl sselung Eine Grundfunktionalit t aller SEPPmail Appliances ist der Managed Domain Service Dieser Service stellt sicher dass jeder SEPPmail Appliance jeweils die ffentlichen Dom nen Schl ssel aller anderen SEPPmail Appliances zur Verf gung stehen Somit kann zwischen den teilnehmenden Kunden das vollautomatische und transparente Verschl sseln des gesamten E Mail Verkehrs von Gateway zu Gateway Dom nen Verschl s
229. iter aktiv bleiben ist das nur durch das vollst ndige L schen des Users auf der SEPPmail Appliance m glich Wurde diesem User eigenes Schl sselmaterial self signed oder offizielle Zertifikate zugewiesen so werden diese zun chst revoziert und anschliessend gel scht ber das Revozieren der Zertifikate wird den externen Kommunikationspartnern in der Regel automatisiert das ein Verschl sseln an die entsprechende E Mail Adresse anders als beim blossen Stillegen nicht mehr m glich ist 2015 SEPPmail AG 58 Schritt 2 zur passenden Lizenz Auswahl der Anzahl ben tigter Signatur und Verschl sselungslizenzen pro sendender E Mail Adresse zuz glich dem zwingend erforderlichen j hrlichen SW Care Pack 3 6 3 Large File Management LFM LFM Lizenzen k nnen in unterschiedlichen Mengen zu den Signatur und Verschl sselungslizenzen bezogen werden Somit ist auch ein Betrieb der SEPPmail Appliance als alleinstehende L sung f r den sicheren Austausch von grossen Dateien m glich Bei LFM handelt es sich um concurrent Lizenzen Das heisst mit dem versenden eine bergrossen E Mail wird der Absender E Mail Adresse eine LFM Lizenz zugeteilt Versendet dieser Absender innerhalb 30 Tagen keine weitere LFM E Mail so wird die Lizenz automatisch wieder freigestellt Schritt 3 zur passenden Lizenz Auswahl der Anzahl gew nschter LFM Lizenzen zuz glich dem zwingend erforderlichen j hrlichen LFM Care Pack 3 6 4 Self Servic
230. izenzen In Klammern wird die Anzahl Licenses bereits verwendeter Benutzerlizenzen angezeigt Large File Management Anzahl der erworbenen Benutzerlizenzen f r die Funktion Large File LFM Licenses Management In Klammern wird die Anzahl bereits verwendeter Benutzerlizenzen angezeigt Multitenancy Anzahl der erworbenen Mandantenlizenzen Software Care Pack Anzeige des Ablaufdatums der Lizenz f r Software Updates Device Care Pack Anzeige des Ablaufdatums des Device Care Packs Protection Pack Anzeige des Ablaufdatums der Lizenz f r AntiVirus und AntiSPAM Anti spam Anti virus Internal Mail Encryption Lizenz f r interne Verschl sselung Active Inactive 2015 SEPPmail AG 117 Self Service password Lizenz f r Self Service passwort management Active Inactive management Sektion System Zeigt die Systemdaten der Appliance an Parameter Beschreibung Device ID Ger telizenznummer Appliance Type Typ der aktuellen Appliance zum Beispiel SEPPmail 5000 VMware Virtual Appliance Aktuell auf dem System installierte Softwareversion Laufzeit des Systems nach dem letzen Neustart Sektion Anti Virus Zeigt den Status des integrierten Virenscanners an inactive Falls das Protection Pack VSPP nicht lizensiert wurde ist dies die das Protection Pack VSPP nicht lizensiert wurde ist dies die einzige Anzeige der Sektion ClamAV Engine Anzeige der ClamAV Scan Engine Version Signature Version Anz
231. jedem Abruf gepr ft Im Gegensatz zum herk mmlichen E Mail Versand k nnen E Mail Zustellungen aufgrund der korrekten Authentifizierung des Empf ngers nachgewiesen werden Die nachfolgende Abbildung zeigt ein Beispiel einer GINA Nachricht r DA Masse test Nachricht HTML EEE iay Nachricht Entwicklertools d 3 23 In Ordner verschieben Ko Absender sperren am Kategorisieren E 33 In Ordi hieb fo Absend HG Kategori WS Regel erstellen E Listen sicherer Adressen Y Nachverfolgung Antworten Allen Weiterleiten L schen Suchen antworten 2 Andere Aktionen Keine Junk E Ma A Als ungelesen markieren Antworten Aktionen Junk E Mail Ta Optionen i a Von u3sec andreas berger webinit net Gesendet Fr 05 03 2010 19 59 An andy test2 swisssecure ch Ce Betreff test F secure email htmi 6 KB Sie haben ein verschl sseltes E Mail erhalten Sie k nnen die Nachricht anschauen indem Sie die angef gte Dateianlage in einem Internetbrowser z B Internet Explorer ffnen und das entsprechende Passwort eingeben Je nach Dateigr sse und Internetverbindung kann es eine Weile dauern bis das Anmeldefenster angezeigt wird Sollte dies das erste verschl sseltes E Mail sein das sie von uns erhalten wird Ihnen das Passwort vom Absender mitgeteilt Sie k nnen das Passwort nach Ihren W nschen ndern Zuk nftige Emails die Sie von uns erhalten ffnen Sie immer mit demselben Passwort Sie haben bereits
232. key available if encrypt domain pgp log 1 email successfully pgp domain encrypted else log 1 email could not be pgp domain encrypted else log 1 no pgp domain key available Erkl rung In diesem Beispiel wird zun chst gepr ft ob ein passender ffentlicher openPGP Dom nen Schl ssel f r das Verschl sseln zur Verf gung steht Zeile 1 Das Ergebnis dieser Abfrage wird protokolliert Zeile 2 und 9 Steht ein entsprechender Schl ssel zur Verf gung wird mit dem Verschl sseln fortgefahren Zeile 3 dessen Erfolg beziehungsweise Misserfolg ebenfalls protokolliert wird Zeile 4 und 6 2015 SEPPmail AG 268 8 7 1 2 3 encrypt_domain_pgp Der Befehl encrypt domain pgp verschl sselt E Mails mittels openPGP Dom nen Verschl sselung Dieser Befehl verschl sselt alle Texte und Anlagen ausgehender E Mails via openPGP Dom nen Verschl sselung Dabei wird das openPGP Inline Verfahren genutzt Sichen nicht f r alle Empf nger der E Mail Dom ne ffentliche openPGP Dom nen Schl ssel siehe nain Cerificats 22 openPGP Domain Keys f r das Verschl sseln bereit so werden zwei Gruppen gebildet Aufbau des Befehls encrypt domain pgp R ckgabewert positiv f r die Gruppe der Empf nger f r die verschl sselt werden konnte negativ f r die Gruppe der Empf nger bei denen das Verschl sseln nicht m glich gewesen ist Parameter keine Beispiel if encrypt domain
233. l Fachh ndler Eine Liste mit den Kontaktangaben der jeweiligen Fachh ndler auf der Webseite der SEPPmail AG http www seppmail ch zu finden 2015 SEPPmail AG 60 4 2 Integration der SEPPmail Appliance in Ihre E Mail Umgebung Standard Konfiguration In diesem Abschnitt wird ein einfaches Szenario beschrieben in dem die SEPPmail Appliance externe E Mails aus dem Internet direkt entgegennimmt und interne E Mails nach extern ins Internet versendet Je nach Aufbau Ihrer E Mail Infrastruktur k nnen weitere E Mail Server oder Gateways im E Mail Datenfluss vorkommen In diesem Szenario wird SEPPmail als SMTP Gateway zwischen dem Internet und dem internen E Mail Server installiert Dadurch ndert sich der E Mail Datenfluss in den folgenden zwei wesentlichen Punkten 1 E Mails aus dem Internet werden nicht mehr direkt an internen Ihren E Mail Server sondern neu an die SEPPmail Appliance gesendet 2 Der E Mail Server schickt seine E Mails nicht mehr direkt ins Internet sondern neu an die SEPPmail Appliance Die SEPPmail Appliance bernimmt somit eine Smarthost Funktion Die E Mail Infrastruktur f r den beschriebenen Aufbau ist in nachfolgender Abbildung zu sehen L a N AD Firewall E Mail Server E Mail Clients Mobile Devices r 2a 5 Ze Mobile 3 I an gt ac 2 B MS Outlook Thunderbird Eudora Android iOS Black Berry Windows SEPPmail App Mobile Typischer Aufbau einer E Mail Infrastrukt
234. l sselung GN E Mails werden ber einen TLS verschl sselten Kanal versendet falls der empfangende E Mail Server TLS Verschl sselung unterst tzt Encrypt E Mails werden nur versendet falls der Versand mittels TLS Verschl sselung m glich ist Verify E Mails werden nur versendet falls der Versand via TLS Verschl sselung m glich und das SSL Zertifikat des empfangenden E Mail Servers g ltig ist Server certificate not verified ausgegeben so ist Sie das SSL Zertifikat des empfangenden E Mail Servers auf die Verwendung E Mails werden nur versendet falls der Versand via TLS Verschl sselung m glich das SSL Zertifikat des empfangenden E Mail Servers g ltig ist und der Name des E Mail Servers gem ss Zertifikat erfolgreich berpr ft werden kann Diese Pr fung kann kann nicht bei der Verwendung von Wildcard SSL Zertifikaten eingesetzt werden Hier sollte alternativ die TLS Einstellung Fingerprint verwendet werden Wird beim Versenden einer E Mail via TLS Transportverschl sselung die Logmeldung status deferred eines Wildcard Zertifikats zu berpr fen Fingerprint E Mails werden nur versendet falls der Versand via TLS Verschl sselung m glich ist und das SSL Zertifikat des empfangenden E Mail Servers dem definierten Fingerprint entspricht Hinweis Wird hier keine Konfiguration vorgenommen so gilt die Einstellung may das heisst unterst tzt das nachgelagerten Groupware System TLS so wird die SEPPmail Ap
235. l Client angek ndigt Genauere Details dazu sind SEPPmail noch nicht bekannt Stand Jan 2015 F r die Standard E Mail Clients von iOS Android und Windows Phone sind keine integralen Funktionen f r das Klassifizieren von E Mails bekannt Sollten solche in zuk nftigen Versionen implementiert werden wird SEPPmail auch diese f r das Ansteuern der eigenen L sung nutzen Werden Klassifizierungs Plugins vom Kunden gew nscht kann SEPPmail Machbarkeitserhebungen dazu anstellen Nutzen und Aufwand absch tzen und eine Realisierung anstossen 2015 SEPPmail AG 34 3 2 5 1 2 Externe Empf nger von verschl sselten E Mails auf mobilen Endger ten Hersteller Zertifikats Bemerkung Betriebssystem Unterst tzung durch Vendor gegeben Android ja Eine Beispiel Anleitung zum Import bzw Installation auf OS Ger ten finden Sie hier https blog globalsignblog com de de zertifikate auf android ger C3 A4tenr installieren Windows Phone Keine Dokumentation im Netz vorhanden Blackberry ja nein Blackberry hat nach Auskunft des Supports bei signierten und 10 und h her verschl sselten ein grunds tzliches Problem welches so schnell auch nicht behoben werden kann Das Fehlerverhalten von zum Beispiel signierten E Mails auf BB Endger ten ist unterschiedlich und nicht vorhersehbar zum Beispiel bei einem Reply auf eine signierte E Mail vom BB Client verschwindet der Antworttext beim Empf nger Das Problem kann nicht gefixt werde
236. le 3 2015 SEPPmail AG 282 8 7 2 3 7 sign_smime Der Befehl sign _smime signiert eine E Mail Dieser Befehl signiert die ausgehende E Mail mit dem pers nlichen privaten S MIME Schl ssels des Absenders siehe Users Benutzerdetails 20A Aufbau des Befehls sign smime R ckgabewert positiv wenn die Nachricht erfolgreich signiert wurde negativ bei Fehlschlagen der Signatur Parameter keine Beispiel if has smime key log 1 S MIME key available trying to sign i eign emine i Jeer Jeton SUCCESSE gt else Jeer eignaimg relee s else logi no 9 MiMa key availeble o nort sica Erkl rung In diesem Beispiel wird zun chst gepr ft ob ein privater S MIME Schl ssel verf gbar ist Zeile 1 Das Ergebnis wird protokolliert Zeile 2 und 9 Ist ein privater S MIME Schl ssel vorhanden so wird versucht die E Mail zu signieren Zeile 3 und das Ergebnis dieser Aktion wird ebenfalls in das Log geschrieben Zeile 4 beziehungsweise 6 2015 SEPPmail AG 283 8 7 3 GINA 8 7 3 1 encrypt_webmail Der Befehl encrypt webmail verschl sselt eine E Mail unter Verwendung der GINA Technologie Dieser Befehl verschl sselt eine ausgehende Nachricht via GINA Technologie an die Empf ngeradresse Die Empf ngeradresse wird aus der aktuell verarbeiteten Nachricht entnommen Nach dem verschl sseln einer Nachricht mittels GINA Technologie sollte diese i
237. lgt 4 6 1 1 1 Hardware Appliance Zur erstmaligen Konfiguration der Netzwerkparameter der SEPPmail Hardware Appliance besteht die M glichkeit einen Bildschirm und Tastatur anzuschliessen und die IP Adresse tempor r an der Console auf den gew nschten Wert zu ndern Das weitere Vorgehen f r dies Methode ist im Punkt Consolen Login eg beschrieben Alternativ kann die SEPPmail Hardware Appliance ber ein Crossover Kabel oder ber einen Hub direkt mit einem Computer verbunden werden Hierf r m ssen sich beide Ger te im gleichen IP Subnetz befinden Gegebenefall muss hierf r die IP Adresse des Computers auf eine IP Adresse zwischen 192 168 1 1 24 192 168 1 254 24 Netwerkmaske 255 255 255 0 ge ndert werden Hinweis Die Adresse 192 168 1 60 ist bereits f r die SEPPmail Appliance reserviert Dies ist die Standard IP Adresse im Auslieferungszustand Beispiel einer entsprechenden Netzwerkeinstellung anhand der Windows Oberfl che 2015 SEPPmail AG 67 IP Einstellungen k nnen automatisch zugewiesen werden wenn das Netzwerk diese Funktion unterst tzt Wenden Sie sich andernfalls an den Netzwerkadministrator um die geeigneten IP Einstellungen zu beziehen IP Adresse automatisch beziehen Folgende IP Adresse verwenden IP Adresse Subnetzmaske Standardgateway DNS Serveradresse automatisch beziehen Folgende DNS Server dressen verwenden Bevorzugter DNS Server Alternativer D
238. liegen des Mailflusses durch SPAM Attacken zu rechnen Use the following M chten Sie ausgehende E Mails in Richtung Internet nicht direkt zustellen SMTP server empfielt sich das Verwenden eines E Mail Relay Servers Smart Host Alle ausgehenden E Mails werden an diesen E Mail Relay Server bertragen welcher dann Ihre E Mails in Richtung Empf nger weiterleitet Der E Mail Relay Server kann ein Interner Server aber auch ein Server bei Ihrem E Mail Provider sein Server name Als Eingabe wird folgendes aktzeptiert IP Adresse einzelne IP Adresse in eckige Klammern zu setzen 2015 SEPPmail AG 131 Hostname wird ein Hostname verwendet so ist dieser in eckige Klammern zu setzen Namen ohne Klammern werden als MX Eintrag behandelt MX Name MX lookup wird ausgef hrt Es wird der Port 25 SMTP verwendet Die Angabe eines alternativen Ports ist nicht zul ssig Server requires E Mail Relay Server bei einem Provider ben tigen vor dem bertragen von E authentication Mails meist eine Anmeldung Verwenden Sie hierzu die entsprechenden Anmeldedaten Geben Sie hier bitte den Benutzernamen zur Anmeldung ein Geben Sie hier bitte das Kennwort zur Anmeldung ein Sektion TLS settings optional An dieser Stelle werden TLS Verbindungen nach aussen aufgelistet beziehungsweise eingerichtet Wurde in der Sektion Outgoing Server die Option Use the following SMTP server gew hlt so kann hier zu dem oder den unter S
239. lle Konfiguration der Appliance und f r das Synchronisieren der Appliances untereinander blaue Pfeile Abbildung 3 verwendet In Abbildung 3 sind dies die IP Adressen 10 10 0 9 und 10 10 0 10 Zus tzlich werden zwei virtuelle IP Adressen eingerichtet um die beiden SEPPmail Systeme logisch zu jeweils einer Gruppe zusammenzufassen In Abbildung 3 sind diese virtuellen IP Adressen Gruppen farblich getrennt dargestellt Der interne und der externe E Mail Server sprechen f r den Versand von ein und ausgehenden E Mails an das SEPPmail Cluster System einen Hostnamen SEPPmail meinefirma ch statt virtueller IP Adressen an Wird eine Anfrage f r diesen Hostnamen an den DNS Server gestellt so wird der Hostname in alle eingerichteten IP Adressen aufgel st Im Beispiel entsprechen die aufgel sten IP Adressen den virtuellen Cluster IP Adressen wie in Abbildung 3 dargestellt Dabei sind die Rollen Primary und Secondary f r das Verarbeiten dieser virtuellen IP Adressen auf den beiden Systemen entgegengesetzt konfiguriert Stichwort Ausfallsicherheit Die virtuelle IP Adresse 10 10 0 1 gr n und die virtuelle IP Adresse 10 10 0 2 orange dargestellt werden dem Hostnamen SEPPmail meinefirma ch zugeordnet Wird dieser Hostname am DNS Server abgefragt so gibt dieser bei jeder ersten Anfrage SEPPmail meinefirma ch 1800 IN A 10 10 0 1 SEPPmail meinefirma ch 1800 IN A 10 10 0 2 zur ck Bei jeder zweiten Anfrage wird der DNS Server di
240. lle vorgenommenen nderungen werden ber Kee gespeichert Das L schen eines GINA Benutzers erfolgt ber BLAI L AZZ Hinweis Durch das L schen eines GINA Benutzers wird auch dessen Schl ssel unwiderruflich gel scht Somit kann er eventuell noch in seinem Postfach befindliche GINA E Mails nicht mehr lesen Der Inhalt dieser E Mails ist somit verloren 2015 SEPPmail AG 213 7 15 Groups In diesem Men sind bereits administrative Benutzergruppen vorgegeben siehe Tabelle Diese dienen der Wirkungsm glichkeiten einzelner Benutzer bei interaktiver Anmeldung an der Administrationsoberfl che siehe auch Benufzerdetails 204 User Data Password Weiterhin besteht ber die Schaltfl che weitere Gruppen zur Verwendung im Ruleset siehe Mail Processing 147 Ruleset Generator Custom Commands zu erzeugen ber die Schaltfl che Edit kann die jeweilige Gruppe editiert Gruppen Name und Beschreibung sowie Benutzer zugeordnet werden admin Administrator administrationadmin GUI Access to Administration Section backup Backup Operator caadmin GUI Access to CA Section clusteradmin GUI Access to Cluster Section domainkeysadmin GUI Access to Domain Keys Section groupsadmin GUI Access to Groups Section homeadmin GUI Access to Home Section Alle Mitglieder dieser Gruppe sind dem Standardbenutzer admin gleichgestellt und haben uneingeschr nkten administrativen Zugang zur Konfiguratio
241. ls domain smime keys avail R ckgabewert positiv f r die Gruppe mit vorhandenem S MIME Dom nen Zertifikat negativ f r die Gruppe ohne S MIME Dom nen Zertifikat Parameter keine Beispiel domain smime keys avail log 1 S MIME domain certificate available if encrypt domain smime log 1 email successfully S MIME domain encrypted else log 1 email could not be S MIME domain encrypted else log 1 S MIME domain certificate available Erkl rung In diesem Beispiel wird zun chst gepr ft ob ein passendes S MIME Dom nen Zertifikat das Verschl sseln zur Verf gung steht Zeile 1 Das Ergebnis dieser Abfrage wird protokolliert Zeile 2 und 9 Steht ein entsprechender Schl ssel zur Verf gung wird mit dem Verschl sseln fortgefahren Zeile 3 dessen Erfolg beziehungsweise Misserfolg ebenfalls protokolliert wird Zeile 4 und 6 2015 SEPPmail AG 275 8 7 2 2 3 encrypt_domain_smime Der Befehl enerypt domain smime verschl sselt E Mails mittels S MIME Dom nen Verschl sselung Dieser Befehl verschl sselt die komplette ausgehende E Mail via S MIME Dom nen Verschl sselung Davon ausgenommen sind lediglich E Mail Header da diese unter anderem f r den E Mail Transport ben tigt werden Stehen nicht f r alle Empf nger der E Mail Dom ne ffentliche S MIME Dom nen Schl ssel Zertifikate f r das Verschl sseln bereit siehe Domain Certificat
242. ltet Dies bedeutet nicht dass der Wert yes lediglich vorhanden ist sondern dass der Wert ausschliesslich yes beinhaltet Beispiel 2 LE Commarea ttot macen VEcusonary ccm 3 tagsubject nosign else Erkl rung Dieses Beispiel pr ft bei einer ausgehenden E Mail im Header Field to mit dem Operator match auf das Vorhandensein der Domain customer com innerhalb der Empf nger E Mail Adresse Wenn die E Mail Adresse des Empf ngers die Zeichenkette customer com enth lt dann ist der R ckgabewert von Compare true im Betreff wird das das Tag I Inosign hinzugef gt Je nach Basiskonfiguration des Rulesets wird dadurch das Signieren der E Mail unterdr ckt Beispiel 3 compare subject substitute s secure Erkl rung Dieses Beispiel pr ft den Betreff Header Feld subject einer E Mail auf das Vorhandensein der Zeichenkette secure als regul rer Ausdruck s secure Wird diese Zeichenkette innerhalb des Betreff gefunden so wird diese entfernt 2015 SEPPmail AG 236 8 3 4 compareattr Der Befehl compareattr pr ft Attribute Systemvariablen auf einen zu definierenden Vergleichswert Dieser Befehl vergleicht den Inhalt einer Variablen attribute mit Hilfe eines Vergleichsoperators operator mit einem angegebenen Wert value Aufbau des Befehls compareattr attribute operator value R ckgabewert positiv bei zutreffender Bedingung negativ bei ni
243. m Beispiel dropbox oder der Postweg f r die selbst gebrannte DVD SEPPmail nutzt die Basisfunktionalit t der Appliance und den Einladungsprozess der GINA Technologie um dieses Problem elegant und f r den User transparent zu l sen Dabei gibt zwei M glichkeiten bergrosse E Mails bei der SEPPmail Appliance einzuliefern e Standard E Mail Client e GINA Web Mail Client Auf der Appliance selbst sind nur vier Parameter einzustellen e Gr sse der E Mail in kB ab welcher de LFM Funktionalit t aktiv wird e Maximalgr sse einer LFM Mail e Verweildauer in Tagen nach welcher die E Mail von der SEPPmail Appliance gel scht wird e Anzahl der LFM Mails pro Nutzer Damit werden die Appliance Ressourcen geschont und Massenversendung von bergrossen E Mails unterbunden Versenden von bergrossen Files via Standard E Mail Client Wenn vom Betreiber des E Mail Systems f r den Sender keine Limitation der E Mail Gr ssen vorgegeben ist oder es keine sensiblen Daten sind die PCI compliant bermittelt werden m ssen steht der Nutzung des Standard E Mail Clients zum Versenden von bergrossen Daten nichts im Weg Der Anwender verfasst in seinem gewohnten E Mail Client eine E Mail und f gt seine zu bermittelnden Daten und Files als Anhang bei 1 Danach versendet er diese ohne weitere Markierung oder Aktion Sobald die gesamte E Mail das auf der SEPPmail eingestellte Volumen bersteigt wird diese verschl sselt und auf der Appliance in einem
244. mationen ber den Aussteller des CA Zertifikates Root Zertifikat Abh ngig vom Aussteller m ssen nicht alle hier aufgef hrten Parameter vorhanden sein 2015 SEPPmail AG 220 Sektion Validity Gibt die G ltigkeit des eigenen CA Zertifikates an DE Ausstelldatum des Zertifikates Boson Ablaufdatum des Zertifikates Sektion Fingerprint Gibt den Hash des eigenen CA Zertifikates an Hashalgorhytmus Der Fingerprint dient zur berpr fung eines Zertifikats Beispiel eines SHA1 des Zertifikates Fingerprints zum Beispiel SHA1 48 2D 99 B1 64 C1 14 9C B3 F2 C0 8D FA 7F 40 9F 22 F5 11 F5 Sektion Comment An dieser Stelle kann ein pers nlicher Kommentar zum Zertifikat eingegeben werden zum Beispiel weshalb die entsprechende Vertrauensstellung gew hlt wurde Mit SENT wird dieser Kommentar gespeichert ber die Schaltfl che besteht die M glichkeit das Zertifikat im CRT Format zu speichern Je nach Vertrauensstellung wird die Schaltfl che Trust this Certificate ber welche dem Zertifikat das Vertrauen best tigt wird oder Untrust this Certificatel durch welche das Vertrauen abgelehnt wird vorhanden ber wird das Zertifikat von der SEPPmail Appliance gel scht Wird im Anschluss eine E Mail empfangen welche mit einem Schl ssel dieser Zertifizierungsstelle signiert wurde so wird das Zertifikat wieder mit dem Truststatus in der Appliance gespeichert 2015 SEPPmail AG 221 7 20 Domai
245. matische Herunterladen der ffentlichen Schl ssel anderer Appliances erfolgt dabei ber die Option Auto Update SMIME Domain Certificates Im Bedarfsfall zum Beispiel bei Hinzukommen eines neuen bekannten Kommunikationspartners kann ein sofortiges Herunterladen neu hinzugekommenr Schl ssel ber die Schaltfl che forciert werden Die Anzahl der ber diesen Dienst verf genden E Mail Dom nen wird im Text darunter angegeben Um festzustellen ob ein Kommunikationspartner ebenfalls am SEPPmail Managed Domain Service teilnimmt bietet das Eingabefeld mit der Schaltfl che eine entsprechende M glichkeit nach dem E Mail Dom nennamen zu suchen Die Dom nen zu welchen in den letzten drei Monaten ber den Managed Domain Service verschl sselt kommuniziert wurde werden in der Tabelle dieser Sektion aufgef hrt Hinweis Die Dom nenverschl sselung ist bei der SEPPmail Appliance bereits in der Basis Lizenz enthalten Das heisst diese wird auch f r Absender verwendet welche ber kein Benutzerkonto siehe Sers 203 verf gen ohne Mehrkosten zu produzieren 2015 SEPPmail AG 223 7 21 Customers Ist eine Multitenancy Lizenz vorhanden so l sst sich in diesem Men die Mandantenf higkeit des Systems aktivieren beziehungsweise die Mandanten verwalten Sektion Multiple Customers ber die Schaltfl che Enable l sst sich die Mandantenf higkeit aktivieren Sollte diese bereits aktiv sein so bietet sich die M glichkeit b
246. mmer direkt mit deliver versendet werden Aufbau des Befehls encrypt webmail template R ckgabewert positiv immer Parameter template optional Definiert das angelegte GINA Profil beziehungsweise die GINA Domain Wird kein Parameter angegeben so wird die Vorlage anhand der E Mail Dom ne der Absenderadresse ausgew hlt siehe Matt Sustem ap Managed Domains GINA Settings Beispiel encrypt webmail log 1 email successfully GINA encrypted deliver else log 1 email could not be GINA encrypted drop 451 Die Nachricht konnte nicht verschluesselt werden Erkl rung In diesem Beispiel wird versucht eine E Mail mittels lt OEM WEBMAIL GINA Technologie zu Verschl sseln Zeile 1 Erfolg beziehungsweise Misserfolg der Aktion wird protokolliert Zeile 2 und 5 Bei erfolgreichem Verschl sseln wird die E Mail wie empfohlen direkt ausgeliefert Zeile 3 Andernfalls wird sie mit dem tempor ren Fehler 451 und dem Hinweistext Die Nachricht konnte nicht verschluesselt werden abgewiesen Zeile 6 2015 SEPPmail AG 284 8 7 3 2 pack mail Der Befehl pack mail erm glicht das Senden von GINA E Mails ber ein abgekoppeltes GINA Relay System Dieser Befehl erm glicht das Senden von GINA E Mails ber ein abgekoppeltes GINA Relay System vergleiche Mail Processingh n Ruleset Generator Advanced Options Use remote GINA server reachable under the following email address
247. n iOS Apple ja Eine Beispiel Anleitung zum Import bzw Installation auf iOS Ger ten finden Sie hier http wiki fernuni hagen de helpdesk index php Zertifikat in iOS einbinden 3 2 5 1 3 Kompatibiolit tsmatrix f r Empf nger von GINA Web Mails Hersteller Bemerkung Betriebssystem mit vollwertigem Browser zum Beispiel Firefox oder Chrome Blackberry nativ F r fr here Betriebssystem Versionen kann eine App zur 10 und h her Verf gung gestellt werden iOS Apple kostenlose Das iOS Sicherheitskonzept Sandbox erfordert eine einfach SEPPmail App zu handhabende App zum bergeben der verschl sselten im iTunes Daten aus dem E Mail an den Browser Store verf gbar 2015 SEPPmail AG 35 3 2 5 2 Administration und Management Eine komplette Managementoberfl che f r die Administration und das Management der GINA User ist integraler Bestandteil der L sung Auf diese Oberfl che ist ein rollenbasierter Helpdesk Zugriff m glich 3 2 5 3 MS Outlook Addin Das Outlook Addin ist absichtlich m glichst einfach gehalten Im Standard werden lediglich im E Mail x header f r das Steuern der Appliance gesetzt Eine direkte Kommunikation zwischen Addin und SEPPmail ist nicht notwendig Das von SEPPmail kostenfrei gelieferte Outlook Addin unterst tzt Microsoft Outlook 2007 2010 und 2013 jeweils in der 32 und 64 Bit Version auf den Plattformen Microsoft Windows und 8 1 sowie Terminal Server jeweils in der 32 und 64
248. n welche Aktion en durch das Klicken von OK ausgel st werden Mittels werden nderungen gespeichert ber CC JE wird der Standard Inhalt der der Sektion in der Sprachdatei wieder hergestellt 2015 SEPPmail AG 177 Sektion Greeting on Login page Beschreibung Das erste Eingabefeld definiert eine berschrift f r den im zweiten Eingabefeld folgenden Text Diese wird im Standard fett dargestellt Im zweiten Eingabefeld folgt die Beschreibung wie der Empf nger vorzugehen hat um die anh ngende Originalnachricht entschl sseln zu k nnen Mittels werden nderungen gespeichert ber RIEGEL wird der Standard Inhalt der der Sektion in der Sprachdatei wieder hergestellt Sektion Footer text Die Eingabe eines Fussnotentextes ist optional Das Aktivieren der Anzeige des Fussnotentextes muss unter Edit GINA Layout 172 in der Sektion Extended settings erfolgen Mittels werden nderungen gespeichert ber CC JE wird der Standard Inhalt der der Sektion in der Sprachdatei wieder hergestellt Sektion GINAPassword Notification Mail Beschreibung Die erste Zeile beinhaltet den Text welcher in der Betreffzeile der Passwort Benachrichtigungsmail enthalten sein soll Am Ende dieses Textes wird beim Versand der Password Benachrichtigungsmal ein Leerzeichen und die E Mail Adresse des Empf ngers der GINA Mail automatisch eingef gt Die zweite Zeile beinhaltet den E Mail Text der Passwort Benachrichtigungsmail Dies
249. n Certificates Dom nen Zertifikate werden f r die Dom nenverschl sselung also die E Mail Verschl sselung zwischen zwei Appliances ben tigt Da die Zertifikate in der Regel direkt durch die Administratoren ausgetauscht werden reichen an dieser Stelle im Normalfall Self Signed Zertifikate aus Aufgef hrt sind hier die ffentlichen Schl ssel der Kommunikationspartner zu denen Dom nenverschl sselt werden soll Die Schl ssel zu den intern in der SEPPmail Appliance verwalteten E Mail Dom nen sind unter Add Edit Managed Domain ab je nach Verschl sselungstechnologie in der Sektion openPGP Domain Encryption oder S MIME Domain Encryption zu finden Die ffentlichen Schl ssel f r diese Dom nen k nnen je nach GINA Konfiguration vom Kommunikationspartner auch ber das GINA Web Portal auf sicherem Wege heruntergeladen werden siehe Edit GINA Settings ek Extended Settings Enable S MIME certificate openPGP key search and management in GINA Sektion openPGP Domain Keys Zeigt die Schl ssel aller E Mail Dom nen an zu denen hin mittels openPGP verschl sselt wird Diesen Dom nen sollte im Gegenzug der ffentliche openPGP Key der durch diese SEPPmail Appliance verwalteten E Mail Dom ne n bekannt sein Gibt die E Mail Dom ne an f r Zeigt die Key IDs der Ausstelldatu Ablaufdatum welche der Schl ssel g ltig ist vorhandenen openPGP Keys an Im des Keys des Keys Durch klicken auf die Dom ne TT MM JJJJ TT MM JJJJ werden Det
250. n anderes als das default GINA Interface master template editiert wird Durch Aktivieren dieser Option werden die Einstellungen aus der unter Master Template gew hlten Vorlage verwendet Eventuell vorgenommene nderungen der weiteren Konfigurationspunkte 2015 SEPPmail AG 166 DE dieser Sektion bleiben ohne Auswirkung Admin E mail An die hier eingegebene E Mail Adresse werden Passwort Anfragen von GINA Benutzern des entsprechenden GINA Interfaces weitergeleitet Ebenso wird diese E Mail Adresse als Absender der GINA Passwort und Aktivierungs E Mails verwendet Bleibt dieses Feld leer so wird die Passwort Anfrage eines GINA Benutzers an den Internen Absender weitergeleitet der dem entsprechenden GINA Benutzer ber diese Technologie eine E Mail gesendet hat Als Absender der Passwort E Mails wird ebenfalls der interne Absender der GINA Mail verwendet Send password In speziellen Konstellationen k nnen bei leerer Admin E mail und den daraus reset e mails to resultierenden Versand von GINA Paswwort Aktivierungs E Mails im Namen original sender des internen Absenders Probleme auftreten In diesen F llen ist zwingend instead of Admin eine Admin E mail einzutragen Soll dennoch bei Passwort Reset Anfragen der E mail address urspr ngliche Absender anstatt des eingetragenen Admins benachrichtigt werden so ist an sieser Stelle der Haken zu setzen Die vorgenommenen nderungen werden ber die Schaltfl che g
251. n soll Fussnoten Disclaimer Vorlagen werden ber die Administrationsoberfl che siehe Mail Processing rn Edit Disclaimer konfiguriert und verwaltet Wird keine Vorlage angegeben so wird das default Disclaimer Template verwendet position optional M gliche Werte e top oberhalb des E Mail Body e bottom unterhalb des E Mail Body default ist bottom force optional Dieser Paramater erzwingt das Hinzuf gen eines Textanhangs an eine ausgehende E Mail Das heisst der Textanhang wird auch an Antwort E Mail angeh ngt M gliche Werte e true yes oder 1 e false no oder 0 default ist 0 Beispiel lte H H leegen seet Erkl rung In diesem Beispiel wird der Standard Textanhang anhand der Einstellungen innerhalb der Managed Domains ausgew hlt und am Ende jeder versendeten E Mail angeh ngt Es ist dabei unerheblich ob es sich um eine Antwort E Mail handelt oder nicht 2015 SEPPmail AG 239 8 3 7 from_managed_domain Der Befehl from managed domain pr ft ob eine E Mail von einem Absender einer Managed Domain stammt Aufbau des Befehls from managed domain R ckgabewert SS _ positiv sofern die E Mail von einem Absender einer Managed Domain siehe Mail Sustem 125 Managed Domains stammt negativ falls die E Mail von einer anderen E Mail Dom ne stammt Parameter keine Beispiel if from managed domain log 1 E Mail is from managed domain else log 1 E Mail isn t from managed
252. n werden ber die Schaltfl che Axs 6 mE S bis eingerichtet Weitere Informationen zur Verwaltung von TLS E Mail Dom nen erhalten Sie im Kapitel Add TES Domain AN Sektion SMTP settings Definiert spezifische Einstellungen f r das SMTP Protokoll max message size kb optional Postmaster address SMTP server HELO string optional SMTP bind address use with care optional Geben Sie in diesem Feld die maximale Gr sse einer E Mail in Kilobyte ein die durch das SEPPmail System bertragen werden darf E Mails die diese Gr sse berschreiten werden abgelehnt Wird hier eine Beschr nkung festgelegt so ist darauf zu achten wie diese gegebenenfalls mit dem Groupware Server beziehungsweise des optional zum Internet hin vorgeschaltenen Systems zusammenpasst Sollte die SEPPmail Appliance ber den MX Record im Internet direkt angesprochen werden ist der Eintrag eines Limits zwingend Dieses darf die angezeigte Grosse siehe Note cannot exceed xxxxx kB nicht berschreiten Geben Sie die E Mail Adresse des lokalen Administrators des SEPPmail Systems ein Alle vom SEPPmail erzeugten Statusmeldungen wie zum Beispiel Watchdog Meldungen werden an diese E Mail Adresse gesendet Hinweis Die Postmaster address muss gesetzt werden um Systembenachrichtigungen empfangen zu k nnen Festlegen welchen Namen SEPPmail beim Versand von E Mails im HELO EHLO Befehl verwenden soll Die Appliance wird sich im Normalfall mit dem u
253. naged f higen Domain das heisst wenn das Men ber die Schalttfl che U IN E Ee Ee Systemen aufgerufen wurde m glich Hinweis Alle folgenden Einstellungen sind nur zu sehen wenn das Men durch Klicken auf eine Managed Domain aus dem bergeordneten Men aufgerufen wurde Sektion External Authentication Wird die GINA Technologie auch intern eingesetzt zum Beispiel f r das Large File Management LFM oder Internal Mail Encryption IME so erm glicht diese Option die Authentisierung der Benutzer der jeweiligen Managed Domain gegen einen externen LDAP Server zum Beispiel Active Directory Authenticate Mit Anwahl dieser Option wird die externe LDAP Authentisierung aktiviert GINA users from this domain to external LDAP server eg Active Directory Angabe des LDAP Servers gegen welchen authentisiert werden soll Als Eingabe wird der Hostname oder die IP Adresse aktzeptiert Gibt den Port an auf welchem der externe LDAP Server Anfragen entgegen nimmt Standard LDAP Port ist 389 beziehungsweise 636 f r LDAPS siehe auch TLS required TLS required Wird diese Option aktiviert so wird das Verschl sseln der Verbindung zum LDAP Server mittels TLSv1 oder h her erzwungen LDAPS oder LDAPS STARTTLS Bind DN Eingabe des vollst ndigen Distinguished Name DN des read only Accounts welcher zur Suche des unter External User Attributes Search Base E Mail Attribute in der LDAP Datenbank berechtigt ist
254. nce noene verwendet Im header der Benachrichtigungs E Mail wird als Absender System Admin lt admin meinefirma ch gt und als Betreff Benachrichtigung gesetzt Weiterhin wird ein x header mit der Bezeichnung x MyOwnHeader und dem Wert Test geschrieben 2015 SEPPmail AG 247 8 3 14 replace_rcpt Der Befehl replace rcpt ersetzt den oder die Empf nger einer E Mail durch einen anzugebenden anderen Die Empf nger der zu verarbeitenden E Mail k nnen in Abh ngigkeit der verwendeten Parameter ver ndert werden Jeder Parameter entspricht einem regul ren Ausdruck der als Ergebnis eine E Mail Adresse oder einen Teil einer E Mail Adresse liefern muss Ebenfalls k nnen Teile der beiden Parameter als regul rer Ausdruck beschrieben werden So kann zum Beispiel nach dem Domainanteil innerhalb der Parameter gesucht werden und dieser durch einen neuen Wert ersetzt werden Mehrere Empf nger k nnen durch Semikolon getrennt eingegeben werden Aufbau des Befehls Teplace rept oledrecipient TnewrecipientY y R ckgabewert positiv immer Parameter oldrecipient optional Regul rer Ausdruck der die urspr gliche E Mail Adresse oder Teile davon beschreibt newrecipient Regul rer Ausdruck der die neue E Mail Adresse oder Teile davon beschreibt Beispiel 1 replace rcpt support customer com Erkl rung In diesem Beispiel wird der urspr ngliche Empf nger der E Mail durch den Empf nger support customer c
255. ndard Ruleset so anzupassen dass die unterschiedlichen Regelbed rfnisse pro Mandant in diesem abgebildet werden siehe auch Zentrales Regelwerk Rule Engine 29 2015 SEPPmail AG 48 3 4 Sicherheit Sicherheitkonzept des Betriebssystems openBSD SEPPmail hat das an sich als gut gesichert bekanntes Betriebssystem zus tzlich im Bottom up Verfahren geh rtet Dabei wurden alle nicht notwendigen Libaries entfernt und nur jene unbedingt notwendigen Funktionen behalten Bei der L sung handelt es sich um eine echte Firmware Bei einem Update wird das Gesamtsystem aktualisiert Damit ist dieses auch test und reproduzierbar Sicherheitskonzept Core Application Bei der Appliance handelt sich um eine gekapselte Applikation Alle Schnittstellen gegen aussen sind m glichst einfach gehalten und nur die absolut notwendigen wurden implementiert Die Firmware ist gepackt mit allen zugeh rigen Applikationen rund 60 MB gross Sicherheitskonzept GINA Das Webinterface wurde absichtlich sehr einfach gehalten und nur mit den absolut notwendigen aber ausreichenden Funktionen versehen Zur Eingabe werden nur genau vordefinierte Datenfelder akzeptiert Jedes Datenfeld wird beim Einliefern auf G ltigkeit gepr ft Der geh rtete Webserver l uft als unprivilegierter User Schutz der Daten e CA Schl ssel Private Schl ssel Session Schl ssel GINA Benutzer Schl ssel o Die Hauptmaschinen sind so gekapselt in der DMZ platziert das
256. ndet Hinweis In der Regel sind hier die IP Adressen der Forwarding Server siehe Managed Domains beziehungsweise Kapitel Add Managed Domain 136 zu berechtigen Um ein sogenanntes open relay zu verhindern sollte hier keinesfalls der SMTP Server mit aufgelistet sein Add Relaying for Dieses Feld dient der Eingabe weiterer Relay Adressen beziehungsweise Subnetzen Nach dem Speichern werden jeweils weitere Eingabefelder eingeblendet Sektion Antispam Hinweis Die Antispam Optionen sind erst nach Erwerb des optionalen Protection Packs VSPP verf gbar Parameter Beschreibung Recommended Settings Use Greylisting Aktiviert das Greylisting auf dem SEPPmail System Durch diese Funktion werden eingehende externe E Mails d h E Mails welche von keiner unter Relaying eingetragener IP oder Subnetz kommen nicht mehr unmittelbar sondern zeitlich verz gert angenommen Dies bewirkt dass von SPAM Versendern verwendete Methoden zur direkten bertragung von E Mails erfolglos bleiben Der Empfang von gew nschten E Mails wird durch diese Funktion nicht verhindert sondern lediglich zeitlich verz gert Der E Mail Server des Absenders wird nach einer kurzen Zeit einen erneuten Zustellversuch unternehmen Die E Mail wird dann angenommen Hinweis Diese Funktion ist nur wirksam wenn das SEPPmail System eingehende E Mails direkt dem Internet direkt empf ngt Einstellung Outgoing ServerUse built in mail transport agent Berei
257. ne virtuelle SEPPmail Appliance erworben wurde so ist das Image in das Host System zu integrieren und anschliessend zu starten Virtuelle Abbilder stehen als OVF Image f r die Hostsysteme ESX VMware und RedHat HyperVisor sowie als VHD Image f r Microsoft Hyper V zur Verf gung Wurde eine Hardware Appliance erworben so sind folgende Schritte erforderlich 1 Verbinden der mit LAN1 oder eth0 gekennzeichnete Ethernet Schnittstelle der SEPPmail Appliance mit der Ethernet Schnittstelle eines Computers Je nach Hardwareausstattung und Einstellung der Schnittstellen beider Ger te muss f r diese Art der Verbindung gegebenenfalls ein gekreuztes RJ45 Patchkabel auch bekannt als Crossover Kabel verwendet werden Alternativ kann die Verbindung ber einen Ethernet Hub oder Switch mit normalen RJ45 Patchkabeln hergestellt werden 2 Anschliessen der Appliance mittels beiliegendem Stromkabel an das Stromnetz 2015 SEPPmail AG 66 4 6 Basiskonfiguration in wenigen Schritten Dieses Kapitel beschreibt wie in wenigen Schritten die Basis Konfiguration des SEPPmail Systems vorgenommen wird 4 6 1 Netzwerkeinstellungen und Systemregistrierung Nachfolgend wird das Integrieren der SEPPmail Appliance in die vorhandene Infrastruktur beschrieben Hierf r werden die in B ben tigt 6 gesammelten Informationen 4 6 1 1 Ren auch Virtu Administrationsoberfl che ber welche ausnahmslos die weitere Konfiguration erfo
258. nen zweiten alternativen DNS Name Server weitergeleitet Search Domains Geben Sie hier eine Suchliste mit Dom nen Namen an welche bei einer DNS Anfrage nacheinander abgefragt werden add local zone Lokale Zonen werden verwendet wenn jeweils mehrere Forwarding und optional oder SMTP Server angesprochen werden sollen f r das Aufl sen der hierf r ben tigten MX Records jedoch kein lokaler DNS Server zur Verf gung steht Nach dem Speichern werden jeweils ein weitere Eingabefelder eingeblendet In den unten dargestellten Beispiel Eintragungen w rde f r die Dom ne pseudo local vorrangig in maill pseudo local mit der IP Adresse 10 0 0 11 aufgel st da dieser die Pr ferenz 10 aufweist Sollte der Server mail1 pseudo local nicht erreichbar sein wird der Eintrag mit der Pr ferenz 20 also mail2 pseudo local mit der IP Adresse 10 0 0 12 verwendet Domain Pseudo Dom nen Name welcher intern in der SEPPmail name Appliance als MX Record aufgel st werden soll zum Beispiel pseudo local host Hostname mx Pr ferenz IP Adresse des ersten E zum zum Mail Servers zum Beispiel Beispiel Beispiel 10 0 0 11 mail 10 Hostname Pr ferenz IP Adresse des zweiten E zum zum Mail Servers zum Beispiel Beispiel Beispiel 10 0 0 12 mail2 10 Sektion GUI Protocol Definiert die Einstellungen f r den Zugriff auf die Adminoberfl che HTTP Port Aktivieren Sie diesen Parameter um den unverschl sselten Zugriff via
259. nen weitergegeben Dies funktioniert auch ber verteilte Standorte F r den Zugriff auf das Webportal GINA wird das Verwenden von virtuellen IPs und eventuell eine Web Application Firewall WAF empfohlen Da praktisch alle Installationen von SEPPmail mit einem Cluster arbeiten insbesondere bei Verwenden von Hardware Appliances ist die eingesetzte Technik praxiserprobt und extrem zuverl ssig 2015 SEPPmail AG 44 3 3 6 System Management 3 3 6 1 Administration Der administrative Zugriff erfolgt in der Regel ber eine SSL gesicherte Verbindung auf einen separaten Web Server 3 3 6 2 Rollenrechte Die SEPPmail Appliance hat ein integriertes Rollen Rechtesystem Dieses ist in der folgenden Tabelle abgebildet Systemrelevante Konfigurationseinstellungen Lizenz Update Backup Importfunktionen Boot badku Das Backup der Appliance wird t glich verschl sselt an die E Mail H Adressen aller Backup Benutzer gesendet casdmin Interne Certificate Authority CA und Managed Public Key Infrastructure MPKI Einstellungen Cluster Einstellungen domainkeysadmin Dom nen Schl ssel Verwaltung Gruppenverwaltung diese beinhaltet sowohl die hier beschriebenen groupsadmin Rollen wie auf optional selbst erstellte Gruppen zur Verwendung im RuleSet administrationadmin 2015 SEPPmail AG 45 3 3 6 3 Backup Restore Das System wird t glich automatisch gesichert Inhalt der Sicherung ist ausschliesslich Kon
260. nerator im Men Mail remember to Processing ai durchgef hrt activate in ruleset Require HELO Nach Aktivieren dieses Parameters pr ft die SEPPmail ob das HELO command Kommando vom absendenden E Mail Server gesendet wurde Wird das Kommando nicht gesendet so wird die Entgegennahme der E Mails verweigert PTR check SPAM Versender benutzen h ufig E Mail Server ohne g ltigen DNS Eintrag reverse DNS Wird diese Option aktiviert so werden E Mails von Servern zu deren IP lookup Adresse keinen g ltiger DNS Eintrag vorhanden ist abgewiesen Check if sender Mit dieser Option wird das berpr fen der Absender Dom ne der Teil hinter domain is valid dem der absendenden E Mail Adresse eingehender E Mails aktiviert Wird diese nicht per DNS aufgel st werden so wird die E Mail abgewiesen Require valid Ist diese Option aktiviert so werden nur E Mails von Servern angenommen hostname in welche sich im HELO Kommando mit einem g ltigen das heisst im DNS HELO command aufl sbaren Hostnamen melden Dies k nnte auch ein NetBIOS Name sein Require fully Durch Aktivieren dieser Option werden nur E Mails von Servern qualified angenommen welche sich im HELO Kommando mit ihrem vollst ndigen im hostname in DNS aufl sbaren FQDN Fully qualified domain name identifizieren Der HELO command FQDN erforder midestens eine Punkt also zum Beispiel seppmail ch Limit incoming Mit dieser Einstellung werden die parallelen Verbind
261. ng ist die Anzahl der User frei skalierbar Die angegebene Empfehlung basiert auf Durchschnittswerten f r E Mail Durchsatz und Gr ssen im Verh ltnis zur Anzahl der Postf cher und kann daher im Einzelfall stark abweichen 2015 SEPPmail AG 37 3 3 1 2 Virtualisierte Versionen Verf gbar f r die Virtualisierungsumgebungen e ESX VMware e Hyper V Microsoft e HyperVisor RedHat Systemanforderungen f r Virtualisierung SEPPmail VM500 Empfohlen bis 100 Postf cher beziehungsweise 50 Verschl sselungs User Encrypt Lizenzen e Anzahl vCPUs 1 e Arbeitsspeicher 1GB e Festplatte 2 GB SEPPmail VM1000 Empfohlen bis 1000 Postf cher beziehungsweise 500 Verschl sselungs User Encrypt Lizenzen e Anzahl vCPUs 2 e Arbeitsspeicher 2 GB e Festplatte 5GB SEPPmail VM3000 Empfohlen bis 7500 Postf cher beziehungsweise 5000 Verschl sselungs User Encrypt Lizenzen e Anzahl vCPUs 4 e Arbeitsspeicher 4GB e Festplatte 10 GB SEPPmail VM5000 Empfohlen bis 20000 Postf cher die maximale Anzahl von Verschl sselungs Usern ist im Einzelfall zu pr fen e Anzahl vCPUs 12 empfohlen e Arbeitsspeicher 4GB e Festplatte 20 GB 2015 SEPPmail AG 38 3 3 2 Software Die Software basiert auf dem Betriebssystem openBSD welches sich ber die Jahre als extrem zuverl ssig und widerstandsf hig gegen Angriffe erwiesen hat Dar ber hinaus wurde das Betriebssystem durch SEPPmail zus tzlic
262. ngeschr nkt werden Das Suchergebnis wird in der Sektion Mail Log last 500 angezeigt Sektion Mail Log last 500 2015 SEPPmail AG 200 Zeigt die letzten 500 maillog Eintr ge an Spate Beschreibung Laufende Nummer der Log Eintr ge Durch klicken auf die Nummer werden Details zum Log Eintrag angezeigt SourceiP Quell IP Adresse von welcher die E Mail eingeliefert wurde Datum und Uhrzeit des Vorgangs RT Absender E Mail Adresse To Empf nger E Mail Adresse Diese wird je Nach Status farbig angezeigt schwarz E Mail wurde noch nicht verarbeitet oder direkt ausgeliefert Dieser Status erscheint zum Beispiel auch bei als SPAM identifizierten E Mails siehe Mail Processing 14 Ruleset Generator Protection Pack Antivirus Antispam Check incoming mails for spam and redirect spam to leave empty to reject spam E Mail wurde erfolgreich ausgeliefert E Mail konnte nicht ausgeliefert werden und wurde in der Warteschlange bis zum n chsten Auslieferungsversuch abgelegt E Mail konnte nicht ausgeliefert werden und wurde zur ckgewiesen Eine Benachrichtigungsmail ber diesen Vorgang geht an den Absender Message ID Eindeutige Kennummer der E Mail Mittels dieser ID kann auch auf anderen Komponenten zum Beispiel Groupware Server oder AntiSpam Komponente die E Mail nachverfolgt werden Betreff der E Mail Dieser wird nur angezeigt wenn die Anzeige nicht ausgeblendet Show message subject in logs Gr ss
263. ngezeigt 2015 SEPPmail AG 69 IP Address for interface vic set to 172 16 161 58 255 255 255 8 gateway set to 172 16 161 1 JE JE JE JE JE JE JE JE JEJE JEJE JE JEJE JEJEJEJE RER RR RE RER RE ER RER JE ER RE ER RE RE JE JE RE RE IR RE RE IR IT ER RE RE ER JE FR JE FF FF FH FF FH FF JE FH HH NH HH HMM p access the device with your brouser https 7172 16 161 58 8443 JE JE JE JE JEJEJE JEJEJE JEJEJEJE JE JEJEJEJE RER RE RER RR RER RE RE RER RE RER RE RE RER RER RER RER RE RE RER RE RER RR RER RE RER RE RE RER RE RER FF FF FH FF FH FF FE HR OpenBSD i386 SECUREMAIL CttyCB login Nun ist das Web Administrationsportal der SEPPmail Appliance bis zum Reboot ber die angezeigte URL im Browser zu erreichen siehe 7 2015 SEPPmail AG 70 4 6 1 2 Login als Administrator S mtliche Verwaltungsm glichkeiten der SEPPmail Appliance stehen ber eine Webbrowser basierte Konfigurationsoberfl che zur Verf gung Im Auslieferungszustand kann die Konfigurationsoberfl che wie folgt erreicht werden e Hardware Appliance ber CrossOver Kabel oder Hub LAN1 https 192 168 1 60 8443 LAN2 https 192 168 2 60 8443 e virtuelle und Hardware Appliances bei welchen die IP Adresse ber die Console ge ndert wurde LAN1 ULEB ES SM Ee IP gt 8443 Der Standard Benutzername lautet admin Das Standard Kennwort lautet admin Hinweis Erst durch die Registrierung der SEPPmail Appliance wird eine
264. ngs werden Achtung AN Keinesfalls darf ein GINA Interface f r mehrere Mandanten verwendet werden Externe Empf nger welche mit mehreren Mandanten mittels GINA kommunizieren erhalten f r jeden Mandanlen ein eigenes GINA Konto mit den daraus resultierenden Einschr nkungen siehe Edit SINA Settings ep Extended settings ffentliche Schl ssel siehe DpenPGP public keys k1 und K 509 Gertifieatesp17 stehen grunds tzlich allen Mandanten f r die Verschl sselung zur Verf gung 2015 SEPPmail AG 224 7 21 1 Untermen Create new Edit Settings for customer Dieses Men dient der Anlage neuer beziehungsweise der Verwaltung bereits vorhandener Mandanten auf dem SEPPmail System Die Anlage neuer Mandanten kann manuell oder durch den Import eines bereits bestehenden Mandanten Backup zum Beispiel f r den Umzug eines Mandanten auf eine andere Maschine erfolgen Sektion Customer details Diese Sektion enth lt Informationen zum Mandanten und verh lt sich je nach Modus Create oder Edit unterschiedlich Customer Eingabe des System Namens f r einen neuen Mandanten Die Eingabe ist nur bei der Neuanlage m glich Im Editier Modus wird der Name lediglich angezeigt Anzeige Name des Mandanten Customer Admin E mail E Mail Adresse des Mandanten Admin welcher die Mandanten spezifischen Systemmeldungen erhalten soll Dieser User erh lt t glich automatisiert auch das Customer Backup Optionaler frei w
265. ngt der Dienst Incamail der Schweizerischen Post Uns ist kein Projekt bekannt bei der mit alternativen Methoden auch nur ann hernd so viele Kunden bedient bzw so viele E Mails verschl sselt werden Als stiller Champion stellt sich mehr und mehr die Dom nen Verschl sselung heraus siehe atew l 211 Ein nicht zu untersch tzender Anteil der E Mail Kommunikation zwischen Unternehmen wird mittlerweile mittels der v llig transparenten Dom nen Verschl sselung gesichert 2015 SEPPmail AG 19 4 Hoher Grad von Akzeptanz Auch hier m chten wir wieder auf die GINA Technologie verweisen Damit ist eine einfache Zwei Weg Kommunikation m glich Separate Kommunikationskan le PDF zum Kunden R ckweg ber ein Webportal sind nicht n tig 5 Erf llen der gesch ftlichen und rechtlichen Rahmenbedingungen Bei der GINA Technologie werden E Mails generell vollst ndig verschl sselt ausgeliefert Damit gelangt die E Mail in den 100 igen Einflussbereich des Empf ngers Rechtliche Probleme betreffend vollst ndiger Auslieferung von E Mails Wie dies bei einem normalen sicheren Webmail der Fall w re bestehen somit nicht 2015 SEPPmail AG 20 3 2 2 _ Verschl sselungstechnologien 3 2 2 1 S MIME X 509 Da die SEPPmail Appliance in der Regel im vollen E Mail Strom steht siehe auch Architekturen gt Im vollen E Mail Strom 291 lernt diese automatisch alle S MIME Public Keys die ber E Mail Signa
266. nistrators wie zum Entfernen des sie unter Sers 2o03 angezeigt sie unter Sers 203 angezeigt jeweiligen Mandantenadmins wird wird Die weitere Tabelle der Sektion dient dem Zuordnen weiterer Mandanten Admins Beherbergt das DropDown Men zur Auswahl ber die Schaltfl che Assign wird der unter des Benutzers der als Mandanten Admin Name ausgew hlte Benutzer als Mandanten zugeordnet werden soll Admin hinzugef gt Hinweis Mandanten Admins m ssen ber ein Passwort verf gen siehe Benufzerdet ils 20 User Data Password damit das Anmelden am System m glich ist Sektion Assigned managed domains In dieser Sektion werden die dem Mandanten zugeordneten Managed Domains angezeigt Die Zuordnung von Managed Domains zum Mandanten erfolgt in der Regel bereits bei der Anlage ber das Men AddlEdifNianagea Domain ha Domain name Remove from this customer and reassign to Default Customer Zeigt die zugeordnete n Managed Domain s Beinhaltet die Schaltfl che NE Remove zum Entfernen der jeweiligen Managed Domain Die folgende Tabelle wird nur dann angezeigt wenn nicht zugeordnete Managed Domains vorhanden sind Beherbergt das DropDown Men zur Auswahl ber die Schaltfl che Assign wird der unter der Managed Domain welche dem Mandanten Domain name ausgew hlte Benutzer als zugeordnet werden soll Mandanten Admin hinzugef gt Sektion Assigned GINA accounts In dieser Sektion wird die Anzahl der dem
267. nn Die Datenbank bleibt mit dem zuletzt synchronisierten Stand auf dem entfernten System erhalten Das Entfernen der lokalen Maschine aus dem Cluster Verbund erfolgt wie in Sektion Remove from cluster beschrieben IP Address Zeigt die IP Adresse des jeweiligen Cluster Partners an welche f r die Cluster Kommunikation konfiguriert wurde Zeigt den Kommunikations Port an im Standard Port 22 f r das SSH Protokoll Arbeitet der Cluster korrekt so steht hier OK XXXX entries in remote database XXXX entries in local Database wobei die Anzahl XXXX identisch sein sollte Comment Zeigt den f r den Clusterpartner definierten Kommentar an siehe System h19 Advanced View Sektion Comment Location Zeigt den f r den Clusterpartner definierten Standort an siehe S Advanced View Sektion Comment Sektion Remove from cluster Durch klicken der Schaltfl che Karn aa 41113 0 Syn gel lit wird die Maschine aus dem Cluster herausgenommen Die lokale Datenbank bleibt dabei erhalten und hat den Stand der letzten Synchronisierung im Cluster Sektion Add this device as frontend server no local database Diese Sektion erscheint nur dann wenn die SEPPmail Appliance nicht bereits in einem Cluster Verbund integriert ist und dient dem Hinzuf gen der Maschine als Frontend Server zu einer anderen Maschine oder einem Cluster Als Frontend Server wird ein Cluster Partner ohne lokale Datenbank bezeichnet Sollte aufgrund von Revisionsvorgaben
268. nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 66 Initialer elle e E te UE 66 BR aa aA Hardware Appliance ER 66 rn nn ET een EE 67 rer G nsolen l 0giN 4 22 2 er Hair ele TEE el Le EE 70 Netzwerkeinstellungen der SEPPmail Appliance sseeessseieeeeeseintseeetiirnstaeinrnnntnirnrnnntstrnnrnnnenent 70 Netzwerkkonfiguration DrOifen 71 Das Systemiregistriefen n 2 22a ak ing 72 Das System auf den neusten Stand bringen 72 Wichtige Sicherheitsmassnahmen uuuuuuununnnnnnununnnnnnnnnnnunnnnnnnnnnnununnnnnnnnnnnunnnnnnnnnnnnnunnnnnnnnnnnunnnnnnnnnnnn 73 Administrator Kennwort andem 73 Festlegen des HTTPS Protokolls f r den sicheren Zugriff zum Gvstem 73 B ack p Benutzer erstellen 2 4 222 Ra Ei EE Ee EE 73 Eingabe der Postmaster Adresse f r den Empfang von Systemmeldungen een 74 7 Vorbereiten der GINA Technologie 2015 SEPPmail AG Part V Part VI Part VII 8 Integration in die bestehende E Mail Infrastruktur nsuurserssnsnnnnnnennnnn 76 Zu verwaltende E Mail Dom nen einrichten uuusssuunnnnnnnnunnnnnnnnnnnununnnnnnnnnnnunnnnnnnnnnnnnunnnnnnnnnnnunnnnnnnnnnnn 76 Ausgehenden E Mail Verkehr steuern 5 Mail Relaying irisaren nie SSL Zertifikat eND Nde Nasara aaa eeraa se nenne aaa aaae asiaa SSL Device Zertifikat selbst erstellen AA SSL Device Zertifikat von einer ffentlichen Zertifizierungsstelle antordem nn 78 Bestehendes SSL Device Zertifikat v
269. nnnnnnnunnnnnnnnnnnnnunnnnnnnnnnnunnnnn 10 CIUS e n r 2 Bra RR RSR ENEE RENE NN EOS EE EE EE E TEE Untermen Benutzerdet lls u nn REN A aad aiaa gia Taa adada Untermen Create new user account Untermen Password Policy nenne nansld gedd Ee e 14 OTT Untermen Benutzer Detail evescexseeteseseekkegeseEEREeEEEEREEEEEEEEEERNEEKENESEEEEESESEEENEEEEEEKEEEEENEEREERNEEEENeSeEeeg 211 UW E EE 213 16 LFM accounts ame anne neueren 215 17 OpenPGP public Keys 2 u 2 ee nern 216 18 X D09 en EE 217 19 X 509 Root Certificates u u u200000000000n0nnnnnnnnnnnnnnnnnnnnnnnnn nn nn nn nn nn nn nnnn anann a 218 Untermen Vertrauensstellung u222240220000000200nn0000nnnnnnnnnnnnnnnnnnnnnunnnnnnnnnnnunnnnnnnnnnnnnunnnnnnnnnnnunnnnn 219 20 Domain Certificates 2 a 221 KA We TE 2 Ge ernennen nunree he u rennndeee 223 Untermen Create new Edit Settings for Cusiomer ee 224 Manage GINA accounmts tetett ttnn tatt E EEES AAEEEE EEAS EAEEEEEEEANEEEEEEEEAEEEEEEEEEAEEEE EEEE ES EEEE EE EEn 226 Referenz der Regelwerk Anweisungen 228 1 Allgemeine Informationen uuurssssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 228 2 Kontrollstrukturen iflelse Anweisungen uunuesnnnsneennnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 230 3 Allgemeine Befehle Fe je 5 IKEI 6 VE authenticated COompatel ee eewer RE et 49 0X 105 61016 hA 0 EE disclaime
270. nsoberfl che mit allen Berechtigungen Weiterhin erhalten Mitglieder dieser Gruppe die gleichen Informationen wie der statisticsadmin zugesandt Hinweis Sollten administrative Aufgaben anfallen so werden die Mitglieder dieser Gruppe dar ber informiert Somit sollte der Administrator der SEPPmail Appliance unbedingt Mitglied dieser Gruppe sein Alle Mitglieder dieser Gruppe haben Zugriff auf das Men Administration in der Konfigurationsoberfl che Dieser Gruppe ist eine Sonderbedeutung zugeordnet Sie unterscheidet sich von den Systemgruppen f r den Zugriff auf die Konfigurationsoberfl che dadurch dass kein Zugriff auf die Konfigurationsoberfl che erfolgt Alle Mitglieder dieser Gruppe erhalten das Systembackup des jeweiligen Systems einmal t glich via E Mail Das Systembackup wird t glich um 0 00 Uhr erzeugt und via E Mail an alle Mitglieder dieser Gruppe gesendet Alle Mitglieder dieser Gruppe haben Zugriff auf das Men CA in der Konfigurationsoberfl che Alle Mitglieder dieser Gruppe haben Zugriff auf das Men Cluster in der Konfigurationsoberfl che Alle Mitglieder dieser Gruppe haben Zugriff auf das Men Domain keys in der Konfigurationsoberfl che Alle Mitglieder dieser Gruppe haben Zugriff auf das Men Groups in der Konfigurationsoberfl che Alle Mitglieder dieser Gruppe haben Zugriff auf das Men Home in der Konfigurationsoberfl che 2015 SEPPmail AG 214 logsadmin GUI Access to Log
271. nter System 15 Name eingegebenen Namen melden Handelt es sich hierbei um einen aus dem internet nicht erreichbaren Namen zum Beispiel Dom ne local so kann es erforderlich sein hier den aus dem Internet erreichbaren Namen FQDN einzutragen Somit wird gew hrleistet dass Mailserver welche mit der Einstellung Require fully qualified domain name in HELO command arbeiten E Mails von der SEPPmail Appliance auch annehmen Das heisst die Einstellung ist meist nur dann relevant wenn in der Sektion Outgoing Server dieses Men s die Einstellung Use built in mail transport agent aktiv ist Festlegen der IP Adresse einer Netzwerk Schnittstelle ber die alle E Mails empfangen werden normalerweise nicht notwendig Die SEPPmail Appliance bindet im Normalfall alle vorhandenen Netzwerk Interfaces Sind mehrere Interfaces aktiv jedoch nur eines davon soll f r SMTP Verbindungen zur Verf gung stehen so kann dessen IP Adresse hier eingetragen werden Hinweis F llt das Interface der hier eingetragenen IP Adresse aus so ist die Appliance per SMTP nicht mehr erreichbar Somit w rde auch der E Mail Verkehr unterbrochen 2015 SEPPmail AG 133 Sektion Relaying Definition der f r den Versand von E Mails in das Internet berechtigten Systeme Relaying allowed Geben Sie hier die IP Adresse oder das Subnetz an von welcher m das SEPPmail System annehmen soll Nach dem Speichern werden jeweils ein weitere Eingabefelder eingeble
272. nteraktive UE E 106 silent Installation a sassssssscessssenesten ege ans edesn Eee ar EES ne Frans see rennen 108 REENEN PRSERSSCFRRIERE EEE Er EEE EERERE ER ERENEEOREHERERERUERERFEUUEHEESEHERRETGEEEEREUGEEFERERHENTEREEFESURHFEFERRERELGEREEGTCRERE 109 5 Registry 6 Addin Verwaltung uuussrresnnssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnnnnnnnnnnnnnnn 112 Referenz der Men punkte 113 1 bersicht der Mentpunkte ENEE EEEEEE ENEE 113 2 Be UE e TE 115 e lu E 116 EN EL 03 EE 119 5 Mail System 2 0 ae anna nn anna na nn nn a na 129 Untermen Add Edit Managed Domain 136 Untermen lmport penPGP Key n u nn r en ran 141 2015 SEPPmail AG Part VIII Untermen Import S MIME key Untermen Add TS Dommen edd eeekEdNedeNRCdAE EENS EE e AEEEAEENe ee EENNANEE gedoe d 6 MailProcessing 22 2 Hausa ana EANA NENN nn nd EE NARRET NAERAA airaa nenne Untermen Create new GINA Domain Untermen Edit GINA Setlingsau er aan ann aaa Aaaa aata Untermen Edit GINA Laut ee rir a a a ne Untermen Edit Translation Ssa inaa a aaie Rn ar ER allein Untermen Edit Disclaimer snonserensnnerensanennnnnerennn iaa rianan onen een annehmen era Untermen Request a new Certificate Untermen Download and Import signed Certificate 9 Administration 4 22 H 22 Untermen Register this device uuuuunnannsannnunnnnnnnnannennnnnnnnnnnnnunnnnnnnnnnnunnnn
273. ntos ist die E Mail Adresse weshalb diese auch nicht ge ndert werden kann 2015 SEPPmail AG 257 8 5 Befehle f r die Zertifikatsverwaltung 8 5 1 attachpgpkey Der Befehl attachpgpkey h ngt den openPGP Public Key des Absenders User an eine E Mail an Dieser Befehl h ngt den openPGP Public Key des Absenders interner Benutzer in der Appliance aus dem Men Users an eine E Mail als Dateianhang an um diesen dem Empf nger bereit zu stellen Aufbau des Befehls attachpgpkey R ckgabewert positiv immer Parameter keine 8 5 2 has_smime_key Der Befehl has smime key pr ft ob der Benutzer einen g ltigen privaten S MIME Schl ssel besitzt Dieser Befehl pr ft ob ein Benutzer interner Benutzer in der Appliance aus dem Men Users einen g ltigen privaten S MIME Schl ssel besitzt Aufbau des Befehls has smime key R ckgabewert positiv wenn der Benutzer einen g ltigen privaten S MIME Schl ssel besitzt negativ wenn der Benutzer e keine oder nur abgelaufene S MIME Schl ssel besitzt e auf den Status may not encrypt gesetzt ist e auf den Status may not sign gesetzt ist Parameter keine 2015 SEPPmail AG 258 8 5 3 smime_create_key Der Befehl smnime create key erstellt ein S MIME Zertifikat f r einen internen Benutzer durch die lokale CA Aufbau des Befehls St Um Create Leen subjectis R ckgabewert positiv immer Parameter subject optional Definie
274. nur manuell angelegt werden 2015 SEPPmail AG 154 Beschreibung automatically create accounts for new users if user tries to sign encrypt automatically create accounts for all users Encryption Decryption Incoming e mails Add this text to message subject after decryption Set confidential flag after decryption Reject mails if S MIME decryption fails Hinweis Wird diese Einstellung gew hlt so ist sicherzustellen dass kein Absender welcher in der OEM PRODUCTNAME gt Appliance nicht bereits als Benutzer angelegt ist Merkmale zur kryptographischen Behandlung Schl sselwort Addin Header verwendet In dieser Konstellation w rde die Anforderung ignoriert und somit die E Mail ohne die gew nschte kryprtographische Aktion versendet Dieses Verhalten kann bei Bedarf durch einen Custom Command dahingehend ge ndert werden dass E Mails in dieser Konstellation abgewiesen werden siehe Bounce von E Mails nicht authentifizierter Benutzern 80 Durch Aktivieren dieser Option wird ein Absender der ber ein entsprechendes Merkmal eine E Mail als zu verschl sselnd oder zu signierend markiert automatisch als Benutzer auf der OEM PRODUCTNAME gt Appliance angelegt werden sofern er nicht bereits vorhanden ist Bei Verwenden dieser Option ist darauf zu achten dass gen gend freie Benutzerlizenen vorhanden sind siehe Home 116 License Encryption Signature Licenses Kreiert f r jeden Absender der ber
275. objCA name keyUsage value InonRepudiation digitalSignature keyEncipherment Gibt den die erlaubten digitalSignature Digitale Signatur Verwendungszweck e f r das nonRepudiation Nachweisbarkeit Zertifikat an keyEncipherment Schl ssel Verschl sselung dataEncipherment Datenverschl sselung keyAgreement Schl sselvereinbarung keyCertSign Zertifikatssignatur cRLSign Revocation List Signatur encipherOnly nur Verschl sselung decipherOnly nur Entschl sselung cerlDistributionPoints URI https lt IhreCA gt certs crl F gt den Pfad zur Revocation URI Pfad zur Revocation List Mehrere URLs List der CA an das Zertifikat an werden kommagetrennt eingegeben diese Einstellung muss bei Bedarf manuell hinzugef gt werden An dieser Stelle k nnen bei Bedarf weitere Einstellungen vorgenommen werden Nach dem Speichern einer weiteren Extension kommt erscheint jeweils eine weitere Eingabezeile Sektion External CA An dieser Stelle wird die Entscheidung getroffen ob und wenn welche CA f r den teil Jautomatischen Bezug von Trusted CA Zertifikaten zur Verf gung gestellt werden soll Hinweis Wird das automatische Erneuern von Zertifikate in den MPKI Einstellungen aktiviert so werden nur f r diejenigen Benutzer neue Zertifikate generiert welche auch aktiv sind Das heisst sendet ein Benutzer innerhalb des angegebenen Zeitraums validity days left keine E Mail so wird auch kein neues Zertifikat generiert
276. om ersetzt W re beispielsweise der urspr nglich Empf nger der E Mail admin customer com so w rde dieser entfernt und durch den neuen Empf nger newrecipient support customer com ersetzt Somit wird die E Mail an den neuen Empf nger support customer com gesendet Beispiel 2 replace rcpt mydomain com customer ch Erkl rung In diesem Beispiel wird im Parameter oldrecipient der Domainanteil der urspr nglichen E Mail Adresse des der Empf nger s von mydomain com in den Wert des Paramaters newrecipient customer ch ge ndert Der Bestandteil der E Mail Adresse vor dem bleibt dabei unver ndert Falls oldrecipient angegeben wird wird nur dieser Empf nger bzw der Bestandteil des Empf ngers angepasst Falls mehrere E Mail Empf ngeradressen vorhanden sind w rden alle Empf ngeradressen von mydomain com zu mydomain ch ge ndert werden 2015 SEPPmail AG 248 8 3 15 replace_sender Der Befehl replace_sender ver ndert den Absender im Envelope einer E Mail Dieser Befehl ersetzt den urspr nglichen Absender einer E Mail im Envelope durch einen Anderen newsender Der Wert des Headers from wird dadurch nicht ver ndert Weiterhin k nnen auch Teile der Absenderadresse ber regul re Ausdr cke Parameter subst manipuliert werden Aufbau des Befehls replace sender newsencer I eubert e R ckgabewert positiv immer Parameter newsender Dieser Parameter ist der Wert
277. oniert nach dem gleichen Grundprinzip wie S MIME Auch die openPGP Schl ssel werden auf der SEPPmail Appliance verwaltet und E Mails entsprechend automatisch ver und entschl sselt sofern das ben tigte Schl sselmaterial vorhanden ist Im Gegensatz zu S MIME werden die Schl ssel bei openPGP in der Regel immer selbst erzeugt Dies liegt in der Tatsache begr ndet dass openPGP im Gegensatz zu S MIME nicht hierarchisch aufgebaut ist Aus diesem Grund ist auch ein automatisiertes Einsammeln von ffentlichen Schl sseln ist im Gegensatz zu S MIME nicht m glich 3 E Mail Dom nen Verschl sselung Die SEPPmail Appliance bietet Ihnen die M glichkeit den E Mail Verkehr permanent zwischen mehreren E Mail Dom nen zu verschl sseln Auch hierf r kommen unterschiedliche Verfahren zum Einsatz a S MIME zwischen der SEPPmail Appliance und Secure E Mail Gateways andererer Hersteller Dabei stellen sich die Kommunikationspartner gegenseitig jeweils Ihren ffentlichen S MIME Dom nen Schl ssel zur Verf gung Da hierf r lediglich jeweils ein Zertifikat ben tigt wird und eine vorab Kommunikation der beiden Administratoren notwendig ist kann in der Regel ein Self Signed Certificate verwendet werden b openPGP zwischen der SEPPmail Appliance und Secure E Mail Gateways andererer Hersteller Dabei stellen sich die Kommunikationspartner gegenseitig jeweils Ihren ffentlichen openPGP Dom nen Schl ssel zur Verf gung c per Managed Dom nen Ser
278. orm lt L ndercode gt lt Vorwahl ohne null 0 gt lt Rufnummer inklusive Durchwahl gt des Ansprechpartners beziehungsweise der zust ndigen Abteilung Partners Mobile Phone Optional Mobilfunknummer in der Form lt L ndercode gt lt Vorwahl ohne null 0 gt Number lt Rufnummer inklusive Durchwahl gt des Ansprechpartners beziehungsweise der zust ndigen Abteilung Partners Sektion Activation Code Beschreibung Enter the Ist bereits das SEPPmail License Certificate der Kauflizenz vorhanden so ist die device ID of this darauf befindliche Device ID in dieses Feld in der Form XXXX XXXX XXXX virtual einzutragen Somit werden die erworbenen Lizenzen auf die Appliance bertragen Wird dieses Feld leer gelassen so zieht die Appliance automatisch eine 30 t gige appliance from Testlizenz your license document Hinweis Leave empty to Wurde eine Testlizenz bezogen und soll diese im Anschluss in die get a test Produktion bernommen werden so ist bei der Bestellung license unbedingt die Device ID aus der Sektion System des Men s Home siehe Home une mit anzugeben Hinweis Wurde die Device ID eines SEPPmail License Certificate bereits einmal verwendet so l sst sich dieses zum Beispiel nach einer Neuinstallation kein zweites mal Verwenden In diesem Fall ist der Support zu kontaktieren ber das klicken der Schaltfl che Send wird der Registrierungsprozess abgeschlossen 2015 SEPPmail
279. ows Windows NT Windows 2000 Windows XP Windows Vista Windows 7 Windows 8 und Windows 10 sind entweder eingetragene Warenzeichen oder gesetzlich gesch tzte Warenzeichen der Microsoft Corporation g ltig in den USA und anderen L ndern Netscape und Netscape Navigator sind gesetzlich gesch tzte Warenzeichen der Netscape Communications Corporation g ltig in den USA und anderen L ndern Google Chrome sind gesetzlich gesch tzte Warenzeichen der Google Inc g ltig in den USA und anderen L ndern Alle etwaigen anderen hier aufgef hrten Warenzeichen sind Eigentum ihrer jeweiligen Besitzer und werden hier ohne die Absicht der Markenverletzung verwendet OpenBSD ist ein Betriebssystem das unter dem Berkeley Copyright vertrieben wird www openbsd org LibreSSL ist eine vom OpenBSD Team von nicht ben tigten Bestandteilen befreite Abspaltung von OpenSSL und wird unter der OpenBSD Lizenz vertrieben www libressi org Der Apache Webserver und Apache Tomcat werden unter dem Apache Software Foundation Copyright entwickelt www apache org OpenLDAP ist eine Implementierung des LDAP die als freie Software unter der BSD Lizenz hnlichen OpenLDAP Public License ver ffentlicht wird www openldap org GnuPG ist Software die unter der GNU Public License vertrieben wird www gnupg org SpamAssassin ist ein Filterprogramm mit dem unerw nschte E Mails Spam automatisch aussortiert werden k nnen und ist als freie Software unter den Bedingungen d
280. ows 7 8 Rechtsklick auf den Eintrag SEPPmail Outlook Add In gt Deinstallieren f Alle Systemsteuerungselemente Programme und Funktionen Programme und Funktionen durchsuc D Datei Bearbeiten Ansicht Extras Startseite der Systemsteuerun e e Pr 5 3 Programm deinstallieren oder ndern Installierte Updates anzeigen W hlen Sie ein Programm aus der Liste aus und klicken Sie auf Deinstallieren ndern oder WW Windows Funktionen Reparieren um es zu deinstallieren aktivieren oder deaktivieren Organisieren Deinstallieren ndern Reparieren E Name Herausgeber Installiett am Gr e I sEPPmail Outlook Add In SEPPmail AG 11 04 2012 440 MB 1 2 6 Deinstallieren SEPPmail AG Produktversion 1 2 6 EPPmail Outlook Add In Gr e 4 40 MB 1 Element ausgew hlt Deinstallation Outlook Add In Weiterhin ist die Deinstallation auch Silent per MSI ber den Befehl MsiExec exe x A5B1FA06 7E16 4645 AFC1 0OA7CDAFATTES3 Jon oder ber das Addin Setup setup s v x A5B1FA06 7E16 4645 AFC1 0A7CDAFATT7ES qn m glich Dabei ist zu beachten dass diese Befehle mit Administrator Rechten ausgef hrt werden m ssen 2015 SEPPmail AG 110 6 5 Registry Das Addin macht im Standard sowohl maschinenbezogene Eintragungen in den Registry Hive HKEY_LOCAL_MACHINE HKLM wie auch in die benutzerbezogenen Hives HKEY_CURRENT_USER HCU Um zum Beispiel unternehmensweit S
281. p La t tatakatakata ta vo AO bs GAHit3 20 21 22 DEDED U vs CA VS vs GA GA GA GO GO GO GO GO GO GOb b b b k OO oO J OO GAb HOVC OO JO A Es w N else if com r log if from managed domain pare x smenc equal yes 1 Encryption requested by plugin encrypt with RE MOVETAGS HCH HCH E e FATEUSER FATESEPPMAILACCOUNT encerypt webmail lse log 1 webmail encryption failed drop 550 Mail not accepted else if com ERT EXT log pare subject substitute i a 1 Encryption requested by tag TRIGGE t with GINA RE MOVETAGS HCH HCH IIE e else EATEUSER FATESEPPMAILACCOUNT encerypt webmail lse log 1 webmail encryption failed drop 550 Mail not accepted if compare sensitivity equal i companyconfiden log era J 1 Encryption requested by sensitivity flag encrypt with GINA RE MOVETAGS HCH HCH IE e FATEUSER FATESEPPMAILACCOUNT encerypt webmail lse log 1 webmail encryption failed leen HS OLM no aC eepe cci else 2015 SEPPmail AG 303 Beschreibung Zun chst wird hier gepr ft ob die E Mail von
282. per E Mail zugesandt Voraussetzung ist nat rlich ein gesetztes Backup Passwort Sektion System startet das System neu Es erscheint ein Dialog zur Eingabe eines Sicherheitscodes wodurch ein versehentlicher Neustart verhindert wird f hrt das System herunter Es erscheint ein Dialog zur Eingabe eines Sicherheitscodes wodurch ein versehentliches Herunterfahren verhindert wird Sektion Database and System Settings Klin BESch ces setzt das System auf Werkszustand zur ck Es erscheint ein Dialog zur Eingabe eines Sicherheitscodes in umgekehrter Schreibweise um ein ungewolltes Zur cksetzen zu verhindern Sektion Import In dieser Sektion werden zahlreiche Massen Importfunktionen zur Verf gung gestellt Beschreibung Import ber die Schaltfl che k nnen Encryption Signature Benutzer mittels csv Users CSV Datei mit dem Aufbau USERID NAME EMAIL PASSWORD importiert werden Dabei ist die Vergabe eines Passwortes optional siehe Users p03 Bei Benutzern welche durch die SEPPmail Appliance automatisch generiert wurden entsprechen USERID NAME EMAIL jeweils der E Mail Adresse des Benutzers was die Einmaligkeit garantiert Import ber die Schaltfl che k nnen GINA Benutzer mittels csv Datei mit dem GINA Users Aufbau EMAIL PASSWORD NAME MOBILE importiert werden Die Angabe einer CSV Mobilfunk Nummer ist dabei optional Denkbar w re die Eingabe einer Kundenliste deren jeweiliges Initialpasswort die Postleitzahl ist
283. pf nger 11 bereit h Das Addin 2 entfernt die noch unverschl sselte E Mail aus dem Gesendet Ordner des Absenders 1 Dieser erh lt an deren statt die GINA verschl sselte E Mail 9 i Der Absender 1 sowie die Empf nger 11 verbinden sich durch ffnen des in der GINA Mail befindlichen html Anhangs mit dem GINA Portal 12 der SEPPmail Appliance 6 wo die E Mail nach Anmelden mit den pers nlichen Zugangsdaten gelesen werden kann Der Vorteil dieser L sung liegt zum Einen in der Outlook Integration zum Anderen erleichtert Sie das Realisieren von Vertreterregelungen da die intern verschl sselten E Mails auch verschl sselt im Outlook abgelegt bleiben und somit nur vom origin ren Empf nger mit dessen Passwort entschl sselt 2015 SEPPmail AG 54 und somit gelesen werden k nnen Das zweite Konzept basiert allein auf unserer GINA Technologie wobei sich der Versender bereits f r den Versand der E Mail am GINA Portal anmeldet BS SEPPmail Appliance Firewall Mail Server Mail Client Sender D 9 Za Kryptographisch zu behandelnder Mailverkehr mn GINA Ben chrichtigungsweg 55L Zugriff auf GINA Interface N Mail Client Empf nger Ee l n a e a Am E Mail Client 1 wird eine SSL Verbindung 2 zum GINA Webinterface der SEPPmail Appliance 3 aufgebaut b Nach Anmelden am GINA Webinterface wird im Webmailer direkt eine E Mail an interne und gegeben
284. pgp log 1 email successfully pgp domain encrypted else logd email could not be pgp domain encrypted Erkl rung In diesem Beispiel wird versucht eine E Mail mittels ffentlichen openPGP Dom nen Schl ssel des Kommunikationspartners zu Verschl sseln Zeile 1 Erfolg beziehungsweise Misserfolg der Aktion wird protokolliert Zeile 2 und 4 2015 SEPPmail AG 269 8 7 1 3 Benutzer basiert 8 7 1 3 1 decrypt_pgp Der Befehl decerypt pgp entschl sselt openPGP verschl sselte E Mails Dieser Befehl versucht alle openPGP verschl sselten Texte und Anlagen einer eingehenden E Mail zu entschl sseln die durch den Absender mittels des pers nlichen ffentlichen openPGP Schl ssels des Empf ngers siehe Users Benutzerdetails bor verschl sselt wurden Aufbau des Befehls decerypt_pgp R ckgabewert positiv wenn mindestens ein Text oder eine Anlage entschl sselt werden konnte negativ wenn das Entschl sseln fehlgeschlagen ist Parameter keine Beispiel if decrypt pgp log 1 email successfully pgp decrypted else log 1 email could not be pgp decrypted Erkl rung In diesem Beispiel wird eine Benutzer basiert openPGP verschl sselte E Mail entschl sselt Zeile 1 Erfolg beziehungsweise Misserfolg des Entschl sselns wird protokolliert Zeile 2 und 4 2015 SEPPmail AG 270 8 7 1 3 2 pgp_keys_avail Der Befehl pgp keys avail pr ft die
285. pliance eine TLS verschl sselte Verbindung dort hin aufbauen F r die TLS Verschl sselung wird das unter SSL eingebundene Zertifikat verwendet Die vorgenommenen nderungen werden ber die Schaltfl che gespeichert Erkl rende Anmerkungen berpr fen des empfangenden E Mail Servers auf die Verwendung eines Wildcard SSL Zertifikats Ob ein E Mail Server ein Wildcard SSL Zertifikat verwendet kann sehr einfach mit dem Kommandozeilentool OpenSSL durchgef hrt werden Beispiel openssl s client starttls smtp crlf connect xxx xxx xxx xxx 25 Im Beispiel steht xxx xxx xxx xxx f r die tats chliche IP Adresse des Zielservers Alternativ kann der Hostname des Zielservers verwendet werden 2015 SEPPmail AG 145 openssl s client starttls suto erli connect postini com s8al psmtp com 25 Das Ergebnis der Abfrage wird wie unten dargestellt aussehen Anhand des Zertifikats Subject im Parameter CN kann festgestellt werden ob es sich um ein Wildcard SSL Zertifikat handelt Im Beispiel wurde in der Antwort der Wert CN psmtp com zur ckgegeben Somit handelt es sich um ein Wildcard Zertifikat welches f r alle Hosts der Domain psmtp com verwendet werden kann Ebenfalls interessant ist der Parameter X509v3 Subject Alternative Name Als Wert wird hier DNS psmtp com zur ckgegeben In diesem Feld k nnen noch weitere Domains enthalten sein openssl g client starttls suto crlf connect postini com s8al psmtp com 2
286. pr nglichGINA verschl sselte E Mail in seinem E Mail Client im Klartext abzuspeichern Hinweis Wird nach abspeichern der Nachricht im Klartext ber die Antworten Funktion des E Mail Clients geantwortet so geschieht dies unverschl sselt When encrypting Versendet GINA Mail im Text statt im HTML Format mail with GINA Dies kann gegebenenfalls notwendig sein wenn ein Empf nger den Empfang technology use von HTML Mails nicht zul sst text only emails Die vorgenommenen nderungen werden ber die Schaltfl che gespeichert Sektion Large File Management Einstellungen f r die bertragung grosser Dateien Diese Option steht nur zur Verf gung wenn Large File Management LFM lizensiert und aktiviert wurde 2015 SEPPmail AG 169 Use settings from Diese Option erscheint nur falls ein anderes als das default GINA Interface master template editiert wird Durch Aktivieren dieser Option werden die Einstellungen aus der unter Master Template gew hlten Vorlage verwendet Eventuell vorgenommene nderungen der weiteren Konfigurationspunkte dieser Sektion bleiben ohne Auswirkung Enable Large File Mit dem Betreffzeilen Schl sselwort Ifm nocrypt kann der Absender bei Messages without aktivierter Option steuern dass der Empf nger zur Abholung des LFM authentication Anhangs kein Passwort am GINA Webinterface eingeben muss Enable Large File Mit dem Anhaken dieser Option wird das Large File Managem
287. r from_managed_dom inf euuesuuannnnnnnunnnnnnnnnnnunannnnnnnnnnnunnnnnnnnn incoming 2015 SEPPmail AG ters 18 0 101 DEE 243 normalize le ER DEET 244 le EE 245 replace FRI D 247 UE Ee I EEN 248 UR 249 Ee NEO DEE 250 UL D RE 251 SEINBAUEN RE 252 Els 51H 0 gt 10 EE 253 tz te ET RE 253 4 Befehle f r die Benutzerverwaltung neesnssnresnnnennnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 254 EIKE ee Lt BEE 254 UU ee E 255 GL RE 256 5 Befehle f r die Zertifikatsverwaltung uussnnssnnssnnnonnnennnnnnnnnnnnnnnnnnnnnnnnn nennen 257 GIE eet RE 257 EE E EE 257 smime icreate DEE 258 6 Befehle f r das Handhaben von Nachrichten u444444000nnnnnnn nn 259 le VE EE 259 lire NEE 260 en D E 261 lee LA PRO RFBET TEN rn rinn aa a i a e a aara A aes 263 lee le EE 264 7 Befehle f r kryptographische Behandlung nrssunssnnesnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 265 ll 265 ele ee OT EE 265 Dom nen basiert seign raniad d Arrr aa Ea a EEN ia AEAEE A R EA E rE Asa GEA E Eadie 266 Streng nana E T A EHI 272 Rule EE 273 ee EE 283 le TR 284 ines TUDE 284 2015 SEPPmail AG webm il Keys aV ill 2 2 2 REES elf 286 WwW bmail ET EE 287 8 Befehle f r LDAP Zugriff auf externe Quellen uennssnsennnennnennnnnnennnnnnnnnnn 288 EI WR nnsnonsnen ee 288 dap Wil EE 290 EI Wee TA E 292 fl We te ele EE 293 9 Befehle f r Content Management
288. r angegebenen Gruppe zugeordnet ist Parameter group Definiert den Namen der Gruppe auf dessen Mitgliedschaft die E Mail Adresse des Absenders gepr ft werden soll Beispiel LE memosr of stpport At i setheader x smenc yes else Erkl rung In diesem Beispiel wird gepr ft ob der Absender Mitglied der Gruppe support ist Falls ja dann wird als R ckgabewert true geliefert und der Befehl setheader wird ausgef hrt Falls nein wird als R ckgabewert false geliefert 2015 SEPPmail AG 256 8 4 3 setuserattr Der Befehl setuserattr f gt einem Benutzerkonto Attribute hinzu oder ndert diese Das Benutzerkonto kann im Men Users eingesehen werden Aufbau des Befehls Sserugeracer acc value i s R ckgabewert positiv immer Parameter ATTR und VALUE Folgende Systemattribute attr stehen mit den jeweiligen Werten value gem ss folgender Tabelle zur Verf gung accountOptions Bit 0 User darf nicht verschl sseln Bit 1 nicht belegt Bit 2 User darf nicht signieren o Bit 0 User darf nicht verschl sseln x x Bi E niertvee O SA Bit 2 User darf nicht signieren x x Name des Benutzers Hinweis e F r value k nnen Variablen benutzt werden die durch Idap read 0 gesetzt wurden u e Es k nnen alle Attribute von InetOrgPerson benutzt werden e Die Attribute k nnen in der Administrationsoberfl che angezeigt werden Das Alleinstellungsmerkmal eines SEPPmail Benutzerko
289. r erg nzen Disclaimer werden sowohl im Text wie auch HTML Format unterst tzt Zentrale Firmendisclaimer k nnen verwendet werden um einheitlichen Text wie zum Beispiel Adresse und Firmeninhaber an E Mails anzuh ngen Beispiel im Textformat Firma AG Musterstrasse 1 1234 Musterstadt www meinefirma ch 2 5 Kompatibilit t zu anderen Secure E Mail Systemen Aufgrund des Verwendens genormter Techniken und Protokolle l sst sich SEPPmail transparent in jede E Mail Infrastruktur integrieren Alle anerkannten und sicheren Standard Verschl sselungstechniken sind implementiert Die Kompatibilit t zu den g ngigen E Mail Systemen ist damit sichergestellt und die Installation zus tzlicher Softwarekomponenten entf llt F r Empf nger die keine S MIME Zertifikate oder openPGP Schl ssel besitzen kann die GINA Technologie f r das sichere bertragen von E Mails genutzt werden 2 6 Remote Administration mittels Web Portal S mtliche Verwaltungsm glichkeiten des SEPPmail Secure E Mail Gateways stehen ber eine Webbrowser basierte Konfigurationsoberfl che zur Verf gung Die Verbindung zwischen Webbrowser und dem SEPPmail Secure E Mail Gateway ist zus tzlich SSL verschl sselt HTTPS 2015 SEPPmail AG 17 3 Die SEPPmail Appliance 3 1 SEPPmail AG Hersteller Das in der Schweiz ans ssige international t tige und inhabergef hrte Unternehmen SEPPmail ist Hersteller im Bereich Secure Messaging Dessen pa
290. r statischen Aufteilung f r ein und ausgehenden E Mails 2015 SEPPmail AG 93 4 9 3 2 Nutzen des DNS Round Robin Verfahrens In der Konfiguration des internen und externen E Mail Servers wird nicht mehr eine virtuelle Cluster IP Adresse f r den E Mail Versand angegeben sondern jeweils ein Hostname zum Beispiel SEPPmail meinefirma ch der bei ein und ausgehenden E Mails angesprochen wird Im DNS ist es m glich zu jedem Hostnamen mehrere IP Adressen anzugeben Dadurch kann eine einfache Lastverteilung erreicht werden Fragt nun zum Beispiel der interne E Mail Server den f r den E Mail Versand angegebenen Hostnamen SEPPmail meinefirma ch des SEPPmail Clusters beim DNS Server an so werden immer alle diesem Hostnamen zugeordneten IP Adressen also 10 10 0 1 und 10 10 0 2 zur ckgeliefert dies aber jedes Mal in unterschiedlicher Reihenfolge Der interne E Mail Server wird im Normalfall die erste vom DNS Server gelieferte IP Adresse f r den Versand der E Mail verwenden Durch das verwenden virtueller IP Adressen in diesem Aufbau wird die Ausfallsicherheit gew hrleistet da in diesem Fall bei ausfall einer Maschine die verbleibende Maschine beide virtuelle IP Adressen bedienen wird Abbildung 3 zeigt eine logische Darstellung des Szenarios Im Detail Jedes SEPPmail System hat eine eigene physikalische IP Adresse ber welche nur dieses System angesprochen werden kann Diese Adresse wird in der Regel f r die individue
291. rameter um den verschl sselten Zugriff via HTTPS Protokoll auf die Webmail Schnittstelle des SEPPmail Systems zu erm glichen Geben Sie dazu einen entsprechenden TCP Port im Standard 443 an Enable local https Aktivieren Sie diesen Parameter um den Zugang zum Webmail proxy redirect Subsystem GINA Webinterface nicht mehr direkt sondern ber den unknown requests to lokalen SEPPmail Reverse Proxy zu aktivieren Alle nicht f r das optional Webmail bestimmten Anfragen werden dadurch an die eingetragene URL weitergeleiten Hierdurch kann zum Beispiel der Zugang zu einem internen OWA Server Outlook Web Access gew hrleistet werden Ebenfalls k nnen ActiveSync Verbindungen zum internen MS Exchange Server durch den Reverse Proxy weitergeleitet werden Sektion Console Login optional Definiert die Einstellungen f r den Zugriff auf die Console der Appliance 2015 SEPPmail AG 125 Disable console root Aktivieren Sie diesen Parameter so wird der Konsolenzugang am login SEPPmail System gesperrt Hinweis Bitte beachten Sie beim Aktivieren dieses Parameters dass in diesem Fall ein gewollter Zugang zum System im Fehlerfall ebenfalls nicht mehr m glich ist Sektion Syslog Settings optional Erm glicht die Weiterleitung von Log Eintr gen an einen Syslog Server Forward maillog and Hostname oder IP Adresse eines Syslog Servers im LAN an welchen die authlog to this syslog SEPPmail die Mail und Auzuthentifizie
292. rden keinerlei E Mails in den Appliances gelagert und m ssen deshalb auch nicht zwischen den Ger ten zur Ausfallsicherheit synchronisiert werden Die Datenmenge die zwischen den Instanzen ausgetauscht werden muss ist deshalb sehr klein Es m ssen nur Konfiguration und Schl ssel Material synchronisiert werden 3 3 5 4 Fail Over und Loadbalancing Mit wenigen Schritten kann ein Cluster zwischen zwei und mehr Ger ten aufgebaut werden dies auch verteilt ber verschiedene Standorte Der Multimastercluster ben tigt dabei einzig eine TCP Verbindung zwischen den Ger ten Fail Over kann in mehreren Stufen realisiert werden e Durch das Verwenden von MX Records f r das Ansprechen der Systeme e Durch das Definieren von lokalen oder allgemein verf gbaren DNS Eintr gen mit MX 2015 SEPPmail AG 43 Records f r den n chsten Hop e Durch Definition von virtuellen IPs wobei die IPs eines ausfallenden Systems automatisch von einem der verbleibenden Ger te bernommen wird Load Balancing kann in mehreren Stufen realisiert werden e Durch Aufteilen des E Mail Stroms auf verschiedene virtuelle IPs zum Beispiel ein und ausgehender E Mail Verkehr getrennt e Durch Definition von MX Records mit gleicher Priorit t auf virtuelle IP Adressen oder DNS Round Robin e Zus tzlich hat jede SEPPmail einen integrierten Loadbalancer Wenn eine Maschine berlastet ist werden Aufgaben automatisch an vordefinierte andere Maschi
293. recipient reads Option bereits global in den GINA Domain Settings siehe Edit GINA mail GNA Settings Extended Settings Sender always receives notification when recipient reads GINA mails ausgew hlt so ist dieser Punkt ausgegraut Usage Zeigt die Nutzungsstatistik des Benutzers an Statistics Last outgoing Zeitpunkt der letzten ausgehenden E Mail mail S MIME encrypted Anzahl der versendeten E Mails welche mittels S MIME mails sent Technologie verschl sselt wurden S MIME encrypted Anzahl der empfangenen E Mails welche mittels S MIME mails received Technologie verschl sselt waren S MIME signed Anzahl der versendeten E Mails welche mittels S MIME 2015 SEPPmail AG 205 Beschreibung mate sent Technologie signiert wurden S MIME signed Anzahl der empfangenen E Mails welche mittels S MIME mails received Technologie signiert waren openPGP encrypted mails sent openPGP encrypted mails received Webmail encrypted mails sent Webmail encrypted mails received S MIME Domain encrypted mails sent S MIME Domain encrypted mails Anzahl der versendeten E Mails welche mittels openPGP Technologie verschl sselt wurden Anzahl der empfangenen E Mails welche mittels Technologie verschl sselt waren Anzahl der versendeten E Mails welche mittels GINA Technologie verschl sselt wurden Anzahl der mittels GINA Technologie empfangenen E Mails Anzahl der versendeten E Mails welche mittels S M
294. rotokolliert wird Zeile 4 und 6 2015 SEPPmail AG 278 8 7 2 3 3 encrypt_smime Der Befehl encrypt smime verschl sselt E Mails mittels S MIME Dom nen Verschl sselung Dieser Befehl verschl sselt die komplette ausgehende E Mail via S MIME Verschl sselung Davon ausgenommen sind lediglich E Mail Header da diese unter anderem f r den E Mail Transport ben tigt werden Stehen nicht f r alle Empf nger der E Mail personenbezogene ffentliche S MIME Schl ssel Zertifikate f r das Verschl sseln bereit siehe X 509 Certificates 217 so werden zwei Gruppen gebildet Aufbau des Befehls encrypt_ smime R ckgabewert positiv f r die Gruppe der Empf nger f r die verschl sselt werden konnte negativ f r die Gruppe der Empf nger bei denen das Verschl sseln nicht m glich gewesen ist Parameter keine Beispiel irc lenciyprt smime 4 log 1 email successfully S MIME encrypted else log l1 email could not be S MIME encrypted Erkl rung In diesem Beispiel wird versucht eine E Mail mittels Benutzer basiertem S MIME Zertifikat des Kommunikationspartners zu Verschl sseln Zeile 1 Erfolg beziehungsweise Misserfolg der Aktion wird protokolliert Zeile 2 und 4 2015 SEPPmail AG 279 8 7 2 3 4 smime_signed Der Befehl smime signed pr ft ob eine E Mail S MIME signiert ist Aufbau des Befehls smime signed R ckgabewert positiv wenn die E Mail S MIME s
295. rt das Subject f r das zu erzeugende S MIME Zertifikat Innerhalb der subject Zeichenkette steht die Variable sender zur Verf gung welch in die E Mail Adresse des Absenders aufgel st wird Wird kein Parameter angegeben so wird als subject der Static Subject Part aus der internen CA siehe G ss Internal CA Settings Static Subject Part und die E Mail Adresse des Absenders eingetragen Beispiel smime create key C CH OU Department O Company emailAddress sender Erkl rung In diesem Beispiel wird ein S MIME Zertifikat ber die lokale CA generiert in welchem das optionale subject mitgegeben wird 2015 SEPPmail AG 259 8 6 Befehle f r das Handhaben von Nachrichten 8 6 1 archive Der Befehl archive kopiert die E Mail und stellt sie einen zus tzlichen Empf nger zu Die E Mail wird innerhalb der Verarbeitung kopiert und in einem neuen Envelope der zus tzlich angegebenden E Mail Adresse 6 mail amp ddr amp ss zugestellt vergleiche Matt Processima ww Ruleset Generator Archiving Aufbau des Befehls archive e mail address R ckgabewert positiv immer Parameter e mail address optional E Mail Adresse des zus tzlichen Empf ngers Beispiel archive recipient customer com Erkl rung In diesem Beispiel wird die gerade verarbeitete E Mail zus tzlich an den Empf nger recipient customer com gesendet 2015 SEPPmail AG 260 8 6 2 bounce Der Befehl bounce verwei
296. rung einer E Mail als SPAM an den Betreff angeh ngt wird rejectlevel Dieser Parameter definiert den Punktwert ab welchem eine E Mail als SPAM E Mail abgewiesen wird Wertebereich 0 5 9 5 Schrittweite 0 5 Beispiel sepan 2 5V SBAM YA BYNS Erkl rung In diesem Beispiel wird eine E Mail auf SPAM berpr ft Wird der SPAM Level von 2 5 erreicht bleibt jedoch unter 4 5 so wird die E Mail im Betreff mit dem Hinweis SPAM gekennzeichnet Ab Erreichen des Schwellwertes 4 5 wird die E Mail abgewiesen rejected 2015 SEPPmail AG 296 8 9 3 vscan Der Befehl vscan pr ft die gesamte E Mail auf Viren Dieser Befehl ist nur bei aktiviertem Protection Pack verf gbar Er pr ft eine E Mail auf Viren und sendet eine Benachrichtigung an eine zu definierende E Mail Adresse siehe auch Mail Processing ar Ruleset Generator Protection Pack Anti Spam Anti Virus Aufbau des Befehls vscan notification e mail address Der Befehl muss mit einem Semikolon abgeschlossen werden Dieser Befehl pr ft alle Dateianlagen sowie E Mail Text und Betreff einer E Mail auf bekannte Viren Wird ein Virus gefunden dann wird eine E Mail Benachrichtigung an E Mail Addr f r Benachrichtigung gesendet Ein nachfolgender Ruleset Befehl muss diese E Mail weiter behandeln Der R ckgabewert ist immer dann positiv wenn das Ergebnis mindestens einer Pr fung der Dateianlagen einer E Mail positiv Virenfund ist sons
297. rungs Log Protokolle zus tzlich server senden soll Als Zielport wird UDP 514 verwendet Forward GUI audit log to Hostname oder IP Adresse eines Syslog Servers im LAN an welchen die this syslog server SEPPmail die Log Protokolle der Aktionen aus der AdminGUI zus tzlich senden soll Als Zielport wird UDP 514 verwendet Sektion Log Cleanup optional Automatically delete L scht Log Archive automatisch nach der eingestellten Anzahl von Tagen log archives older Minimum sind 30 Tage Maximum 3640 Tage 10 Jahre than days Durch das automatische l schen der Log Archive kann ein vollaufen der Log Partition vermieden werden Sektion Proxy Settings optional Hier m ssen nur dann entsprechende Einstellungen vorgenommen werden wenn ein direkter Zugriff der Appliance per SSH TCP Port 22 in das Internet nicht m glich ist Proxy Server Hostname oder IP Adresse des Proxy Servers ber welchen die SSH Kommunikation geleitet werden soll Proxy Port Ziel Port des Proxy Servers zum Beispiel 8080 oder 8081 Proxy User Benutzername f r die Anmeldung am Proxy Server sofern diese optional notwendig ist 2015 SEPPmail AG 126 Proxy Password optional Kennwort f r die Anmeldung am Proxy Server Use direct connection Aktivieren Sie diese Option wenn eine SSH Verbindung direkt und ohne on port 22 outgoing preferred Connect through SOCKS 4 proxy Connect through SOCKS 5 proxy Connect through HTTP
298. rwendeten Symbole und Schreibweisen f r zum Beispiel Programmiercode Men punkte oder Schaltfl chen ist in der folgenden Tabelle dargestellt Hinweis auf m gliche Fehlerquellen oder Abschnitte in denen besondere Sorgfalt bei der Konfiguration notwendig ist Wichtiger Hinweis Kapitelverweis Verweis auf ein Kapitel in dieser Dokumentation Men punkt mme rs clusertid txt Spezielle Eingabefelder Eingabewerte oder Ausgabewerte Dateien Schaltfl che 2015 SEPPmail AG 12 2 2 Sichere E Mail Kommunikation durch Verschl sselung Grunds tzlich unterscheidet man zwischen symmetrischer und asymmetrischer Verschl sselung Dabei hat jedes Verfahren seine Vor und Nachteile Symmetrisch Bei der symmetrischen Verschl sselung wird mit einem Schl ssel verschl sselt Der Kommunikationspartner muss f r das Entschl sseln im Besitz des gleichen Schl ssels sein Das heisst jedoch f r jeden Kommunikationspartner muss ein eigener Schl ssel verwendet werden Problematisch dabei ist der sichere Austausch der Schl ssel sowie das Verwalten der Schl ssel bei vielen Kommunikationspartnern Diese Art des Verschl sselns ist wenig rechenintensiv und somit schnell und Ressourcen schonend Asymetrisch Bei der asymmetrischen Verschl sselung werden zwei Schl ssel verwendet ein ffentlicher Teil public key und ein privater Teil private key oder secret key Dabei gleicht der ffentliche Schl ssel einem Vorh ngeschloss der pri
299. s Section mailprocessingadmin GUI Access to Mail Processing Section mailsystemadmin GUI Access to Mail System Section multiplecustomersadmin Admin access to Customer settings in multitenant deployments openpgpkeysadmin GUI Access to openPGP Keys Section readonlyadmin Read only GUI Access to all sections ssladmin GUI Access to SSL Section statisticsadmin GUI Access to Statistics Section systemadmin GUI Access to System Section usersadmin GUI Access to Users Section webmailaccountsadmin GUI Access to Webmail Accounts Section x509certificatesadmin GUI Access to X 509 Certificates Section x509rootcertificatesadmin Alle Mitglieder dieser Gruppe haben Zugriff auf das Men LOgS in der Konfigurationsoberfl che Alle Mitglieder dieser Gruppe haben Zugriff auf das Men Mail Processing in der Konfigurationsoberfl che Alle Mitglieder dieser Gruppe haben Zugriff auf das Men Mail System in der Konfigurationsoberfl che Alle Mitglieder dieser Gruppe haben Zugriff auf das Men Customers in der Konfigurationsoberfl che Alle Mitglieder dieser Gruppe haben Zugriff auf das Men openPGP public keys in der Konfigurationsoberfl che Alle Mitglieder dieser Gruppe haben ausschliesslich lesenden Zugriff auf alle Men s der Konfigurationsoberfl che Alle Mitglieder dieser Gruppe haben Zugriff auf das Men SSL in der Konfigurationsoberfl che Alle Mitglieder dieser Gruppe ha
300. s Hochverf gbarkeitsclusters Das Cluster selbst wird von anderen Systemen zum Beispiel einem internen E Mail Server oder einem vorgelagerten E Mail Relay Server Gateway ber die eingerichtete n virtuelle n IP Adresse n angesprochen Im Beispiel oben ist das die IP Adresse 10 10 0 1 Wird das Cluster selbst ber seine Cluster IP Adresse angesprochen so reagiert immer das Cluster Member System mit der h chsten Priorit t auf die angesprochene virtuelle Cluster IP Adresse Alle anderen Cluster Member Systeme mit niedrigerer Priorit t reagieren nicht auf die virtuelle Cluster IP Adresse solange ein Cluster Member System mit einer h heren Priorit t verf gbar ist 2015 SEPPmail AG 90 F llt das Cluster Member System mit der h chsten Priorit t aus so bernimmt automatisch ein Cluster Member System mit der n chst niedrigeren Priorit t die virtuelle Cluster IP Adresse inclusive der Funktion des ausgefallenen Cluster Member Systems Die Priorit ten sind in der folgenden Reihenfolge geordnet 1 Primary 2 Secondary 3 Backup Das Einrichten der Priorit t des jeweiligen Cluster Member Systems ist im Men System siehe auch System 1b IP ALIAS Addresses Priority vorzunehmen 2015 SEPPmail AG 91 4 9 3 Loadbalancing Cluster Ein Loadbalancing innerhalb eines Clusters kann durch mehrere Verfahren erreicht werden Dabei bietet SEPPmail ein in die Appliance integriertes Verfahren an Ebenso kann eine Las
301. s Passwort dieses Benutzers lautet mypassword Der LDAP Pfad in welchem nach dem Attribut memberOF gesucht werden soll lautet OU SBSUsers OU Users OU MyBusiness DC Firma DC local Der Benutzer dessen Gruppenzugeh rigkeit festgestellt werden soll wird anhand der Absender E Mail Adresse Idap query Filter definiert Mindestens ein Wert des Attributes memberOF muss MeineGruppe lauten damit der R ckgabewert positiv ist Werden mehrere Eintr ge value gefunden so wird nur der erste ausgewertet Sollten mehrere Attribute attr vorhanden sein so werden alle Attribute ausgewertet multi value Wird keiner der angegebenen LDAP Server erreicht so wird die E Mail mit einem tempor ren Fehler abgewiesen 2015 SEPPmail AG 292 8 8 3 Idap_getcerts Der Befehl Idap getcerts ruft ffentliche S MIME Schl ssel Zertifikate bei einem LDAP Verzeichnisdienst ab Dieser Befehl ruft f r jeden Empf nger einer E Mail ffentliche S MIME Schl ssel Zertifikate bei einem LDAP Verzeichnisdienst ab Aufbau des Befehls ldap re Greet eener A y R ckgabewert positiv immer Parameter Idap Der Parameter ist wie folgt aufgebaut URI BindDN Password SearchBase Die Bedeutung der einzelnen Teil Strings ist der der folgenden Tabelle beschrieben Angabe des LDAP Servers der abgefragt werden soll Als Eingabe wird der Hostname oder die IP Adresse aktzeptiert Es k nnen auch zwei mit Komma getrennte Werte angegeben werden In
302. s dem Sub Men Edit Translations 78 auch ein pages Fussnoten Text hinterlegt wurde ber die Schaltfl che werden die Einstellungen gespeichert 7 6 2 2 Untermen Edit Translations In den folgenden Sektionen sind in den Eingabefeldern jeweils bereits die Standardtexte der gew hlten Sprache enthalten Diese Texte k nnen nach Bedarf angepasst oder ersetzt werden Sektion Customization Diese Sektion beinhaltet Syntax Hinweise f r das Bearbeiten der Sprachdatei Weiterhin sind folgende Variablen zul ssig e email E Mail Adresse des Empf ngers der GINA Mail e sender Absender der GINA Mail e subject urspr nglicher Betreff der zu versendenden E Mail Sektion Text in GINA In dieser Sektion wird der Textk rper f r der GINA Mail an den Empf nger definiert Beschreibung Das erste Eingabefeld definiert eine berschrift f r den im zweiten Eingabefeld folgenden Text Diese wird im Standard fett dargestellt Im zweiten Eingabefeld folgt die Beschreibung wie der Empf nger vorzugehen hat um die anh ngende Originalnachricht entschl sseln zu k nnen Mittels werden nderungen gespeichert ber CC JE wird der Standard Inhalt der Sektion in der Sprachdatei wieder hergestellt Sektion Open hint in GINA Das hier zur Verf gung stehende Textfeld definiert die Beschreibung welche nach dem ffnen des HTML Anhangs secure email html unterhalb der Schaltfl che OK angezeigt wird Die Beschreibung sollte aufzeige
303. s ein des Zertifikates SHA1 Fingerprints zum Beispiel SHA1 48 2D 99 B1 64 C1 14 9C B3 F2 C0 8D FA 7F 40 9F 22 F5 11 F5 2015 SEPPmail AG 181 7 7 1 Untermen Request a new Certificate An dieser Stelle kann ein Self Signed Zertifikat in der Regel nur f r Testzwecke oder ein sogenannter Certificate Signing Request CSR erstellt werden Wird ein CSR erstellt so wird das Schl sselpaar auf der Appliance generiert und nur der ffentliche Schl ssel in eine csr Datei geschrieben welche bei einer CA zur Signierung eingereicht und als Zertifikat zur ckgegeben wird Ist bereits ein passendes SSL Zertifikat vorhanden so kann dieses in der Sektion Upload existing key importiert werden Hinweis Falls im oberen Bereich des Men s die gelb hinterlegte Information Remember to import the signed certificate angezeigt wird so wurde zuvor bereits ein Zertifikatsantrag erstellt Das neu erstellte SSL Device Zertificate sollte zusammen mit den gegebenenfalls zus tzlich ben tigten Zwischen oder auch Intermediate CA Zertifikate n und dem Zertifikat der Root CA selbst in der Reinhenfolge 1 Public Key des eigenen SSL Device Zertifikats 2 Public Key von einer oder mehreren Intermediate CA Zertifikaten 3 Public Key der Root CA eingef gt werden Im Fehlerfall ist das SSL Device Zertifikat nicht zu nutzen Ebenfalls kann dies zu Problemen beim Zugriff auf die Konfigurationsoberfl che f hren F r diesen Fall sollte sich
304. s keinerlei direkter Zugriff von aussen m glich ist o Sollte der Wunsch Forderung bestehen dass die PKI Daten ausschliesslich im Intranet abgelegt werden kann die L sung aufgetrennt werden Dabei werden f r den Web Zugriff GINA eigene Maschinen Satelliten ohne eigene Datenhaltung in der Internet DMZ verwendet o In der Regel macht das Sicherheitskonzept der Appliance in Kombination mit den vorhandenen berwachungsm glichkeiten SamHain Audit Log SNMP etc ein HSM unn tig Sollte dennoch ein zus tzliches Sicherung von privaten Schl sseln gew nscht sein ist das Anbinden einer HSM zum Beispiel durch Thales oder Safenet m glich e Pin Passw rter o Passw rter dienen dem Zugriff eines externen Empf ngers auf seine GINA E Mail bzw nachgelagert dem AES256 Schl ssel auf der Appliance zum Entschl sseln seiner E Mail Letzterer verl sst die gut gesch tzte SEPPmail Appliance niemals Zertifizierungen Die Appliance kann auch f r den Betrieb in PCI konformen Umgebungen konfiguriert werden Zum Beispiel hat die Lufthansa Systems ein PCI konformes Gesamtsystem mit einer SEPPmail Appliance als Kernsystem aufgebaut Im Oktober 2014 wurde das System mit positivem Abschluss gepr ft Aus unserer Sicht ist es derzeit aus unterschiedlichen Gr nden fraglich ob und welche standardisierten Zertifizierungen sinnvoll sind Der Markt der Sicherheitszertifizier w chst schnell und ist un bersichtlich Einige ausl ndisc
305. s zur regelm ssigen Sicherung der Appliance Eingabe der Postmaster Adresse f r den Empfang von Systemmeldungen 77 4 6 3 1 Administrator Kennwort ndern Aus Sicherheitsgr nden sollte das Kennwort des Benutzers admin unbedingt ge ndert und auf einen entsprechend komplexen Wert gesetzt werden Das ndern des Passwortes kann sowohl ber das Men Login im Punkt Change Password siehe Men punkt E lihh15 als auch den Benutzerdetails des Benutzers admin im Men Users siehe Benutzerdetaits 204 User Data Password erfolgen 4 6 3 2 Festlegen des HTTPS Protokolls f r den sicheren Zugriff zum System Im Men punkt System sind nach dem Klicken der Schaltfl che weitere Konfigurationsoptionen sichtbar In den Sektionen GUI protocol und GINA https protocol werden die Zugriffsoptionen auf die Appliance HTTP oder HTTPS eingestellt Aus Sicherheitsgr nden wird empfohlen die Option HTTP zu deaktivieren und sowohl f r die Konfigurationsoberfl che GUI protocol wie auch f r GINA https protocol nur HTTPS zuzulassen Das ungesicherte HTTP Protokoll sollte nur dann Verwendung finden wenn bereits eine vorgelagerte Komponente den SSL Tunnel terminiert und die Verbindung zwischen dieser Komponente und der SEPPmail Appliance ber ein gesichertes Netzwerk stattfindet Eine detaillierte Beschreibung der einzelnen Sektionen ist im Men punkt System 13 zu finden 4 6 3 3 Backup Benutzer erstellen Der Backup Prozess der SEPPmail Appliance erst
306. schl sselt und zur IronPort zur ck gesendet werden Dort werden alle E Mails jetzt auch die entschl sselten nochmals Viren und SPAM gepr ft und an das interne Groupware System zum Beispiel MS Exchange oder Lotus Notes weitergeleitet Alternativ kann das IronPort System veranlasst werden verschl sselte und oder signierte E Mails zu erkennen und nur diese an die SEPPmail Appliance umleiten Alle anderen E Mails werden direkt an das interne Groupware System weitergeleitet Ausgehende E Mails schickt das interne Groupware System zu IronPort Dieses leitet ausgehende E Mails in jedem Fall zu SEPPmail weiter Dort wird das Regelwerk gepflegt welche E Mails signiert und verschl sselt werden sollen Anschliessend werden die ausgehenden E Mails vom SEPPmail System zur ck zum IronPort System geleitet welches als einziges System E Mails in Richtung Internet versendet Das Problem bei dieser Konfiguration ist dass das SEPPmail System in der Relayliste des IronPort Systems stehen muss da das SEPPmail System ausgehende E Mails in Richtung Internet versenden will F r alle Hosts in der Relay Liste von IronPort gilt automatisch immer die Outgoing Mail Policy Nach der akutellen Outgoing Policy findet dort keine Virenpr fung statt so dass die SEPPmail Anbindung so keinen Zusatznutzen bringt Dazu gibt es zwei L sungen 1 Die Outgoing Mail Policy auf dem IronPort System wird so umgebaut dass sie hnlich aussieht wie die Incoming Policy Das
307. sel Zertifikat des Absenders gespeichert werden soll siehe X509 Certificates 217 Gespeichert werden nur Zertifikate deren Zertifikatskette bekannt ist siehe X 509 Root Certificates 218 Dies unabh ngig davon ob die E Mail ver ndert wurd oder nicht M gliche Werte e true yes oder 1 e false no oder O default ist O Beispiel ii validere cmime sic iY d Jeer signature is yali GL else Jeer Vezenmsrtzoe is invali p Erkl rung In diesem Beispiel wird die S MIME Signatur einer E Mail gepr ft Zeile 1 und Erfolg beziehungsweise Misserfolg protokolliert wird Zeile 2 und 4 2015 SEPPmail AG 281 8 7 2 3 6 delete_smime_sig Der Befehl delete smime sig erm glicht es die S MIME Signatur einer E Mail zu l schen Dieser Befehl l scht eine Signatur aus der signierten E Mail Hinweis Die G ltigkeit der S MIME Signatur wird nicht gepr ft Aufbau des Befehls delete smime sig R ckgabewert positiv wenn die E Mail S MIME signiert war negativ wenn die E Mail nicht S MIME signiert war Parameter keine Beispiel ir validate emime sie d Jeer ut eignature is stell delete smime sig 1 else logi eignatcure is Meessel z Erkl rung In diesem Beispiel wird die S MIME Signatur einer E Mail gepr ft Zeile 1 und Erfolg beziehungsweise Misserfolg protokolliert wird Zeile 2 und 5 Wurde die Signatur als g ltig eingestuft so wird sie gel scht Zei
308. selung gew hrleistet werden Durch den manuellen Austausch der ffentlichen Dom nen Schl ssel l sst sich die Dom nen Verschl sselung auch mit Gateways anderer Hersteller realisieren Die beiden Verschl sselungstechnologien TLS und Gateway to Gateway sind Bestandteil der SEPPmail Appliance Grundlizenz und m ssen nicht per User lizensiert werden 2015 SEPPmail AG 22 3 2 4 Verschl sselungshierarchie Das von SEPPmail initial zur Verf gung gestellte Standard Ruleset gibt f r E Mails die folgende Vorgehensweise vor Wurde eine E Mail als zu verschl sselnd markiert so wird diese best effort behandelt Dabei wird nach folgender Wertigkeit vorgegangen Gepr ftes S MIME Zertifikat des Empf ngers Gepr fter ffentlicher openPGP Schl ssel des Empf ngers Gepr ftes S MIME Dom nen Zertifikat des Empf ngers Gepr fte ffentlicher openPGP Dom nen Schl ssel des Empf ngers AON Sollte aufgrund fehlenden Schl sselmaterials des Empf ngers keines der vorangegangenen Standard Verfahren verf gbar sein so wird 5 GINA mit hinterlegtem Empf ngerpasswort 6 GINA mit Initialpasswort Es gilt zu beachten dass die Verschl sselungsverfahren der Punkte 3 und 4 auch bei nicht als zu verschl sselnd markierten E Mails zum Einsatz kommt sofern diese Verfahren verf gbar sind Standard Verschl sselungsmerkmale sind Betreffzeilen Schl sselworte Sensitivity Parameter Vertraulichkeitsmarkierung so
309. sendet when a key is Dadurch wird dieser Benutzer in die Lage versetzt seinen ffentliche created Schl ssel selbst an Kommunikationspartner weiterzugeben Diese werden dadurch wiederum in die Lage versetzt openPGP verschl sselt mit diesem Benutzer zu kommunizieren Hinweis Dieser Parameter wird nicht im Cluster synchronisiert Das heisst in einem Cluster Umfeld muss der Parameter auf jedem Cluster Teilnehmer einzeln konfiguriert werden Die vorgenommenen nderungen werden ber die Schaltfl che gespeichert Sektion Ruleset Generator Mit dem Ruleset Generator wird quasi ein Workflow System f r eingehende und ausgehende E Mails definiert Die in dieser Sektion vorhandenen Eingabefelder f r Betreffzeilen Schl sselworte text in subject sind mit Regular Expressions zu bef llen Das heisst Sonderzeichen m ssen mit einem Backslash als solche gekennzeichnet werden Gruppierungen sind durch Eingrenzen mit runden Klammern vorzunehmen Eine Aneinanderreihung mehrerer Schl sselwort ist durch das Trennen mit dem Pipe Zeichen m glich Beispiel Soll als Betreffzeilen Schl sselwort lt abc gt verwendet werden so ist diese wie folgt einzugeben lt abc gt Soll sowohl das Betreffzeilen Schl sselwort lt abc gt als auch def verwendet werden so ist diese wie folgt einzugeben lt abc gt def Gross Kleinschreibung wird bei der Eingabe des Schl sselwortes in der Betreffzeile ignoriert Bei Verwenden
310. set Generator Key Generation definiert wurde Beispiel createaccount CREATEGPGKEYS 8 10 4 CREATEUSER Die Funktion CREATEUSERE generiert einen neuen Benutzer siehe S amp f8 208 gem ss der Einstellungen wie sie in der Administrationsoberfl che unter Mail Processinaan Ruleset Generator User Creation definiert wurden sofern dieser nicht bereits vorhanden ist 8 10 5 CREATESEPPMAILACCOUNT Die Funktion QCRBATESEBPMATLACCOUNTE generiert einen neuen GINA Benutzer siehe GINA Secous 21 gem ss der Einstellungen wie sie in der Administrationsoberfl che unter Mail Brocsssingl 4n GINA Settings definiert wurden sofern dieser nicht bereits vorhanden ist 2015 SEPPmail AG 298 8 10 6 KEYSERVER Die Funktion KEYSERVER sucht auf den unter MaillProcessing 147 Ruleset Generator Key Server eingetragenen Schl ssel Servern nach ffentlichen Schl sseln egal ob openPGP oder S MIME f r das Verschl sseln an externe Kommunikationspartner Beispiel EYSERVER if Go keves avail log 1 pgp key available i encryort pgo 1 log 1 email successfully pgp encrypted else log 1 email could not be pgp encrypted else log 1 no pop key available Erkl rung In diesem Beispiel wird ber KEYSERVER definiert dass ffentliche Schl ssel egal ob S MIME oder openPGP nicht nur lokal auf der Appliance
311. sonder auch auf den in der Administrationsoberfl che angegebenen Schl ssel Servern siehe Mail Processing Ruleset Generator Key Server gesucht werden soll Zeile 1 Der Befehl pgp keys avail pr ft somit sowohl lokal auf der Appliance als auch auf den in der Administrationsoberfl che angegebenen Schl sselservern ob ein passender Benutzer basierter ffentlicher im Beispiel openPGP Schl ssel f r das Verschl sseln zur Verf gung steht Zeile 2 Das Ergebnis dieser Abfrage wird protokolliert Zeile 3 und 10 Steht ein entsprechender Schl ssel zur Verf gung wird mit dem Verschl sseln fortgefahren Zeile 4 dessen Erfolg beziehungsweise Misserfolg ebenfalls protokolliert wird Zeile 5 und 7 8 10 7 REMOVETAGS Die Funktion REMOVETAGSE entfernt alle von der Appliance verwendeten tags Betreffzeilen Schl sselworte und Kennzeichen aus einer E Mail siehe auch Tabelle 1 des Kapitels Steuern der Appliance og in welcher die Standard Schl sselworte gelistet sind Dabei werden die im Ruleset Generator siehe Mail Processing ur Ruleset Generator vorgenommenen nderungen der Standard tags ber cksichtigt 8 10 8 REMOVELFMTAGS Die Funktion REMOVELEFMTAGS entfernt alle von der Appliance f r LFM verwendeten tags Betreffzeilen Schl sselworte aus einer E Mail also LFM und LFM nocrypt siehe auch Tabelle 1 des Kapitels Steuern Ex 8 10 9 REMOVETAGDECRYPTED Die Funktion QREMOVETAGD
312. sse des Dienstanbieters Diese Daten stellt der Betreiber des Dienstes zur Verf gung xml template Diese Daten stellt der Betreiber des Dienstes zur Verf gung EinBeispiel hierf r findet dich unten in diesem Abschnitt Weiterhin werden die zur Verf gung stehenden Variablen angezeigt Placeholders sms Text message zu bermittelnder Nachrichtentext number cell number including Mobilfunkrufnummer incl Landesvorwahl country code xx xx countrycode country code e Landesvorwahl zum Beispiel 49 f r g 49 Deutschland localnumber cell number Mobilfunkrufnummer OHNE without country code Landesvorwahl sowie eine Beispielkonfiguration XML Example https IxmI1 aspsms com 2015 SEPPmail AG 150 Parameter Beschreibung lt xml version 1 0 encoding UTF 8 gt lt aspsms gt lt Userkey gt xyz lt Userkey gt lt Password gt xyz lt Password gt lt Originator gt Secmail lt Originator gt lt FlashingSMS gt 1 lt FlashingSMS gt lt Recipient gt lt PhoneNumber gt number lt s PhoneNumber gt lt Recipient gt lt MessageData gt lt CDATA sms gt lt MessageData gt lt Action gt SendTextSMS lt Action gt lt aspsms gt Use HTTP GET An dieser Stelle werden die Zugangsdaten f r den SMS Versand Dienst per service HTTP Get eingetragen Dies kann sowohl ein interner Dienst im Netz des configuration Kunden als auch ein externer Dienst im Internet sein Der Zugang zu diesem
313. sselt sofern der OEM PRODUCTNAME gt Appliance kein ffentlicher Schl ssel weder S MIME noch openPGP bekannt ist jedoch ein OEM PRODUCTNAME gt Account f r den Kommunikationspartner Empf ngers vorliegt Ist diese Option aktiv und das angegebene Schl sselwort wird im Betreff einer ausgehenden E Mail gefunden so wird ein eventuelles Verschl sseln in jedem Fall unterdr ckt Andere kryptographische Aktionen Signieren sind davon nicht betroffen Im Standard lautet das Schl sselwort noenc Durch das Aktivieren dieser Option wird f r das S MIME Verschl sseln von E Mail der AES256 Algorithmus verwendet Dieser Algorithmus wird von WindowsXP Maschinen sowie in Outlook Versionen vor 2007 nicht unterst tzt Ist diese Option aktiv werden eingehende signierte E Mails deren Signaturen durch die OEM PRODUCTNAME gt Appliance gepr ft und als in Ordnung befunden wurden mit dem angegebenen Schl sselwort im Betreff gekennzeichnet Im Standard lautet das Schl sselwort signed sok Hinweis Damit eine S MIME E Mail Signatur als in Ordnung befunden wird a darf diese E Mail auf dem Weg vom Absender bis zum Empfang und Pr fung durch die OEM PRODUCTNAME gt Appliance nicht ver nder worden sein b muss das Signatur Zertifikat des Absenders von einem vertrauensw rdigen Aussteller Stammen siehe X 509 Root Certificate ks Entfernt die S MIME E Mail Signatur nach erfolgreicher Pr fung Das Entfernen der E Mail
314. sselten Texte und Anlagen einer E Mail zu entschl sseln die durch den Absender mittels ffentlichen openPGP Dom nen Schl ssel siehe Mail System Add Edit Managed Domain 135 openPGP Domain Encryption verschl sselt wurden Aufbau des Befehls decrypt domain pgp R ckgabewert positiv wenn mindestens ein Text oder eine Anlage entschl sselt werden wurde negativ wenn das Entschl sseln fehlgeschlagen ist Parameter keine Beispiel decrypt domain pgp log 1 email successfully pgp domain decrypted else log 1 email could not be pgp domain decrypted Erkl rung In diesem Beispiel wird eine openPGP Dom nen verschl sselte E Mail entschl sselt Zeile 1 Erfolg beziehungsweise Misserfolg des Entschl sselns wird protokolliert Zeile 2 und 4 2015 SEPPmail AG 267 8 7 1 2 2 domain_pgp_keys_avail Der Befehl domain pgp keys avail pr ft die Verf gbarkeit von ffentlichen openPGP Dom nen Schl sseln Dieser Befehl pr ft die Verf gbarkeit ffentlicher openPGP Dom nen Schl ssel siehe Domain Gertificates Dom openPGP Domain Keys der Empf nger f r das Verschl sseln ausgehender E Mails Aufbau des Befehls domain pgp keys avail R ckgabewert positiv f r die Gruppe mit vorhandenem ffentlichen openPGP Dom nen Schl ssel negativ f r die Gruppe ohne ffentlichen openPGP Dom nen Schl ssel Parameter keine Beispiel domain pgp keys avail Joel pgp domain
315. ssen Funktion Ist das ausgefallene System wieder verf gbar bzw es antwortet wieder auf berwachungsanfragen so bernimmt es wieder seine urspr ngliche Aufgabe Diese Funktion kann mit bis zu neun SEPPmail Systemen abgebildet werden wodurch eine sehr hohe Ausfallsicherheit erreicht werden kann Das Hochverf gbarkeitscluster kann sowohl mit SEPPmail Systemen auf Hardware Basis wie auch auf Basis von virtualisierten Appliances abgebildet werden Ein Mischbetrieb beider Systeme ist ebenso m glich Funktion eines Hochverf gbarkeits Clusters Bei diesem Verfahren werden einem Cluster eine oder mehrere virtuelle IP Adresse n mit verschiedenen Priorit ten zugeordnet Jedes Cluster Member System hat unabh ngig von der zugewiesenen virtuellen Cluster IP Adresse eine jeweils eigene eindeutige IP Adresse ber diese eigene eindeutige IP Adresse kann jedes Cluster Member System explizit angesprochen werden Beispiel In der folgenden Abbildung ist die virtuelle Cluster IP Adresse des Clusters 10 10 0 1 Die Cluster Member Systeme haben in unserem Beispiel die IP Adressen 10 10 0 9 und 10 10 0 10 Hochverf gbarkeitscluster interner E Mail Server Cluster Member Primary IP 10 10 0 9 externer E Mail Relay Server vollautomatische Synchronisierung Cluster Member Secondary IP 10 10 0 10 virtuelle Cluster IP Adresse 10 10 0 1 ein und ausgehende E Mails Abbildung 2 Schematische Darstellung eine
316. stellt Dabei handelt es sich um Zwischenzertifikate welche unterhalb des ffentlichen Schl ssels in dieses Feld kopiert werden m ssen Die Eingabe muss unbedingt mit einer Leerzeile abgeschlossen werden Hinweis In dieses Eingabefeld sollten alle notwendigen Zwischenzertifikate f r eine vollst ndige Zertifikatskette eingef gt werden Eine unvollst ndige Zertifikatskette f hrt bei der Zertifikatspr fung immer dann zu Problemen wenn der Gegenstelle diese nicht bereits bekannt ist Internet Tools wie zum Beispiel ChecKTLS zeigen dann einen falschen TLS Status an Nicht jede CA liefert automatisch die komplette Zertifikatskette In diesem Fall m ssen die ben tigten Zwischenzertifikate gegebenenfalls anderweitig 2015 SEPPmail AG 184 besorgt werden ber die Schaltfl che le Ale wird der Vorgang abgeschlossen Im Anschluss muss die Appliance neu gestartet werden das SSL Zertifikat in die Appliance hochgeladen Die Schaltfl che EI SI KR IH ERST bricht den Vorgang ab Nach dem Abbruch besteht keine M glichkeit mehr das zum CSR passende Zertifikat einzubinden Die Appliance kann durch schlichten Wechsel in ein anderes Men weiter konfiguriert werden ohne den Vorgang abzubrechen 2015 SEPPmail AG 185 78 CA Die SEPPmail Appliance beinhaltet eine vollst ndige CA Diese kann als Self Signed CA aber auch als Sub CA konfiguriert werden Alternativ k nnen Trusted CA Zertifikate automatisiert
317. suchen die E Mails der Warteschlange auszuliefern Kann eine E Mail trotz mehrmaliger Auslieferungsversuche nicht zugestellt werden so wird der Absender dar ber benachrichtigt und die E Mail verworfen Der Inhalt dieser Warteschlange ist ber die Schaltfl che einzusehen Ein erneuter Auslieferungsversuch der zwischengespeicherten E Mails kann ber die Schaltfl che Retry Ell forciert werden Sektion Log Archive In dieser Sektion wird das maillog verwaltet Die SEPPmail Appliance lagert dabei jeweils ab erreichen von 30 MB in Archiv Dateien aus ber die Schaltfl che wird die aktuelle Log Datei sowie alle vorhandenen Archiv Dateien in einem Stream in eine Datei maillog txt heruntergeladen ber die Schaltfl che werden lediglich alle Archive heruntergeladen Somit k nnen Die Archive im Anschluss von der Appliance via gel scht werden Die ist zum Beispiel dann erforderlich wenn der Speicherplatz der Log Partition knapp wird siehe Homeh18 Sektion Disk statistics Logs Ein automatisches L schen des maillog kann ebenfalls eingestellt werden siehe System 119 Sektion Log Cleanup Automatically delete log archives older than days Sektion Filter ber das Eingabefeld kann ein regul rer Ausdruck regular expression eingegeben werden nach welchem durch klicken der Schaltfl che im gesamten maillog aktuelles sowie alle Archive gesucht wird ber die beiden Drop Down Men s kann die Suche auf einen bestimmten Zeitraum ei
318. t ist er negativ Der Befehl hat 1 Parameter Parameter notification_e mail_address Definiert die E Mail Adresse an welche bei Virenfund eine Benachrichtigung gesendet wird Beispiel vscan antivirus admin customer com Erkl rung In diesem Beispiel wird eine E Mail Benachrichtigung an antivirus admin customer com gesendet wenn ein Virus gefunden wurde 2015 SEPPmail AG 297 8 10 Vordefinierte Funktionen Vordefinierte Funktionen beinhalten gegebenenfalls eine Abfolge von Befehlen welche f r das Realisieren einer bestimmten Funktion von N ten sind Dabei werden vor allem variable Werte aus dem Ruleset Generator siehe M illProcessing 7 Ruleset Generator bernommen Dadurch kann die Ruleset Programmierung dynamisch auf nderungen variabler Werte reagieren und wird somit vereinfacht verk rzt und bersichtlicher 8 10 1 ADDDISCLAIMER Die Funktion QADDDISCLATMER h ngt die Fussnote an welche gem ss der Managed Domain siehe Mai Sustem 25 Managed Domains Spalte Disclaimer Setting der angezeigten Tabelle zur E Mail Dom ne des Absenders passt 8 10 2 ARCHIVE Die Funktion ARCHTVER archiviert E Mails unter Verwendung der unter Mail Processing ua Ruleset Generator Archiving eingetragenen E Mail Adresse 8 10 3 CREATEGPGKEYS Die Funktion QCREATEPGPKEYSE erzeugt f r den Absender einer E Mail ein Schl sselpaar so wie es in der Administrationsoberfl che siehe Mail Processing un Rule
319. t nach erreichen eines hohen Auslastungsgrades Ausl ser ist die Anzahl 10 der gleichzeitigen Verbindungen E Mails an die eingetragenen Clusterpartner weiter Hierdurch wird die Fehleranalyse erleichtert da eine Sichtung der Logs im Regelfall auf der Hauptmaschine ausreiichend ist 2015 SEPPmail AG 122 Distribute load to the An dieser Stelle werden die IP Adressen der Clusterpartner f r das following cluster members Loadbalancing eingegeben Die IP Adressen werden im Eingabefeld durch ein Leerzeichen getrennt Sektion Name Der Name des Systems setzt sich aus dem Hostnamen und der Dom ne zusammen zum Beispiel securemail seppmail ch Diese Einstellungen sind die interne Sicht sie m ssen also nicht den Daten wie sie vom Internet her G ltigkeit h tten entsprechen Hostname Eingabe des Hostnamens des SEPPmail Systems ein zum Beispiel securemail Eingabe der Dom ne des SEPPmail Systems ein zum Beispiel seppmail ch Sektion Routing Default Gateway Angabe der Gateway Adresse passend zum Netzwerksegment IP und Netzmaske wie sie unter IP Addresses eingegeben wurden An dieses Gateway werden alle Datenpakete weitergeleitet welche an Zieladressen ausserhalb des lokalen Netzwerksegments gesendet werden sollen Static Routes Sollten Verbindungen zu Netzen hergestellt werden m ssen welche nicht optional ber das Default Gateway erreichbar sind so k nnen an dieser Stelle die entsprechenden Netze mit
320. t werden Mit Auswahl dieser Option werden als SPAM klassifizierte E Mails an die angegebene Adresse umgeleitet beziehungsweise bei freilassen des Eingabefeldes abgelehnt bounced Basis f r die SPAM Erkennung ist der angegebene Spam level siehe n chste Option Auswahl des Schwellwertes f r die SPAM Erkennung Je niedriger dieser Wert gesetzt wird desto strenger sind die Kriterien f r die 2015 SEPPmail AG 159 Beschreibung SPAM Erkennung Im Standard ist der Wert 8 gew hlt Bei niedrigen Werten erh ht sich das Risiko von Falscherkennungen so dass legitime E Mails als SPAM erkannt und umgeleitet beziehungsweise abgelehnt bounced werden Header tagging Durch das Header tagging wird das Setzen eines erweiterten sogenannten X Headers und einen zugeh rigen Wert f r unterschiedliche Situationen siehe folgende Optionen durch die OEM PRODUCTNAME gt Appliance erm glicht Diese erweiterten Informationen k nnen durch nachgelagerte Komponenten ausgewertet werden Ein Beispiel f r so eine zus tzliche nachgelagerte E Mail verarbeitende Komponente k nnte ein Data Loss Prevention DLP System sein Set header to value For Setzt den angegebenen X Header mit dem zugeordneten Wert f r all incoming mails alle eingehenden E Mails Set header to value For Setzt den angegebenen X Header mit dem zugeordneten Wert f r all outgoing mails alle ausgehenden E Mails Set header to value For Setzt d
321. tandard Vorgaben der Schaltfl chen Einstellungen zu erzwingen l sst sich das Speichern Benutzer bezogener Einstellungen HCU optional abschalten Die Schaltfl chen Einstellungen werden bei neuen Benutzern aus den Maschineneinstellungen HKLM in die Benutzereinstellungen HCU bernommen Ebenso werden nderungen der Maschineneinstellungen bei bestehenden Benutzern bernommen Folgend werden die Registry Werte f r das Addin im Bereich HKEY_CURRENT_USER Software SEPPmail OutlookAddiIn bei 32 bit Maschinen beziehungsweise HKEY_CURRENT_USER Software Wow6432Node SEPPmail OutlookAddin bei 64 bit Maschinen und Ihre jeweilige Funktion beschrieben SMEncerypt DWORD 0 1 Oo die Schaltfl che aus bzw verschl sseln SMEncrypt 0 1 setzt die Schaltfl che im Standard Selected auf inaktiv aktiv Sz confidential subject mod Schl sselwort S SMWebmail IDWORD 0 1 blendet die Schaltfl che aus bzw verschl sseln ein mit SMWebmail 0 1 setzt die Schaltfl che im Standard Lesebest tigung Selected auf inaktiv aktiv SZ subject mod Schl sselwort intern Encryption verschl sseln Recipient priv 0 1 blendet die Schaltfl che aus bzw ime imepseudo gibt die Pseudo Empf ngeradresse domain local f r IME an SMNoEncryption DWORD 0 1 ga die Schaltfl che aus bzw ou setzt die Schaltfl che im Standard auf inaktiv aktiv plain subject mod Schl sselwort 0 1 blendet die Schaltfl che aus bzw unverschl sselt SMNoEncryption Sel
322. te Signing Request CSR automatisch an die jeweilige CA bermittelt In der Appliance werden diese den Usern zugeordnet und zur Signatur herangezogen Der Bezug von Zertifikaten f r die E Mail Konten ist daher flexibel und individuell konfigurierbar Bei Anlage eines neuen Benutzers dies kann wahlweise automatisch zum Beispiel durch Anfordern von Verschl sselung oder Signatur oder manuell erfolgen kann gew hlt werden ob ein E Mail Zertifikat automatisch ausgestellt werden soll Dieses kann dann von der internen Sub CA oder ber die MPKI Schnittstelle bezogen werden Bei Bedarf sind auch beide Varianten parallel m glich Wird das Zertifikat ber die MPKI bezogen so wird das Schl sselpaar auf der SEPPmail Appliance generiert und nur der ffentliche Schl ssel zum Signieren an die Trustet CA bermittelt Der sensible private Schl ssel verl sst zu keiner Zeit die Appliance und liegt dort wie das gesamte Schl sselmaterial in einem gesicherten Bereich ab Auch das Erneuern der Zertifikate ist vollautomatisiert m glich Der Zeitraum wieviele Tage vor Ablauf des alten Zertifikates ein neues generiert werden soll ist dabei frei w hlbar 3 2 2 2 OpenPGP Zur nachteiligen Natur von openPGP Schl sseln geh rt dass diese bevor sie f r das Verschl sseln herangezogen werden k nnen zuerst validiert werden m ssen Somit ist ein automatisiertes Pr fen nicht m glich Prinzip web of trust Theoretisch m sste daher bei
323. te Schl ssell nge f r das Angeforderte Zertifikat einstellen In der Regel ist hier die l ngste Schl ssell nge zu w hlen um dem jeweils aktuellen Sicherheitsstandard zu entsprechen ber das Drop Down Men l sst sich ausw hlen ob ein Self Signed Zertifikat oder ein CSR generiert werden soll Wird ein Self Signed Zertifikat erzeugt so wird dieses umgehend implementiert und nach einem Neustart aktiv Wird ein CSR erstellt so erscheint unten im SSL Men die Schaltfl che BZA LALF Te Te Bil Leite Le KT liter ic Diese F hrt zum Folgemen Download and Import signed Certificata hss welches den CSR zur weiterleitung an die CA ber die Schaltfl che TEE 12323 ganz unten im Men wird die unter Signature gew hlte Aktion gestartet Sektion Upload existing key Ist bereits ein SSL Zertifikat vorhanden so kann dieses auf zwei Arten abh ngig vom vorliegenden Zertifikats Format pem oder PKCS 12 also p12 oder pfx hochgeladen werden Dabei werden die ersten beiden Parameter ausschliesslich f r die Integration des pem Formats die beiden letzteren Parameter f r die Integration des PKCS 12 Formates ben tigt X 509 Key In dieses Feld wird der Private Schl ssel aus der pem Datei eingef gt Hierf r Note Remove wird die pem Datei mit einem Editor ge ffnet Falls der Private Schl ssel password before durch ein Kennwort gesch tzt ist muss dieses zuvor entfernt werden Im Anschluss wird der Private Schl ssel di
324. tection Pack dringend empfohlen Andernfalls gilt es den gegebenenfalls durch Spam E Mails zus tzlichen Ressourcenverbrauch beim Dimensionieren des SEPPmail Systems zu beachten Schritt 1 zur passenden Lizenz Auswahl der gew nschten Appliance s f r das Basissystem und die dazugeh rige j hrliche Wartung Optional kann pro Basissystem das j hrlich f llig werdende Protection Pack VSPP erworben werden 3 6 2 Signatur und Verschl sselung Soll das kryptographische Behandeln von E Mails an der SEPPmail Appliance auf Benutzerebene stattfinden so ist f r jede SENDENDE E MAIL ADRESSE unabh ngig vom kryptographischen Verfahren eine User Lizenz zu erwerben Das impliziert nat rlich dass auch nur diese Nutzer verschl sselte E Mails ber die SEPPmail Appliance entschl sseln k nnen Denn nur f r diese Benutzer wird auf der Appliance das ben tigte benutzerbezogene Schl sselmaterial gespeichert Diese benutzerbezogenen Lizenzen sind fest an die E Mail Adresse des Benutzers gebunden und werden nur dann wieder freigestellt wenn die E Mail Adresse stillgelegt wird zum Beispiel wenn der Mitarbeiter das Unternehmen verl sst Werden E Mails von einer auf der Appliance stillgelegten E Mail Adresse versendet so werden diese weder signiert noch verschl sselt auch nicht ber die Dom nen Verschl sselung Sollte aber diese E Mail Adresse und damit auch die allgemein g ltige Dom nen Verschl sselung ohne S MIME openPGP und GINA we
325. teil customer org hat Ist dies der Fall dann wird eine E Mail Benachrichtigung an den Absender gesendet 2015 SEPPmail AG 250 8 3 17 rmatchsplit Der Befehl rmatch pr ft ob ein regul rer Ausdruck auf mindestens einen Empf nger im Envelope zutrifft und teilt die Mail in zwei Gruppen ber diesem Befehl wird im Envelope einer E Mail auf das Vorhandensein eines regul ren Ausdrucks regexp gepr ft Eine E Mail wird bei Bedarf in zwei Gruppen aufgeteilt Eine Gruppe mit Empf ngern welche dem dem regul ren Ausdruck entsprechen und eine weitere Gruppe dessen Empf nger den regul ren Ausdruck nicht enthalten Somit wird der Befehl rmatchsplit klassisch innerhalb der if else Kontrollstruktur verwendet Aufbau des Befehls rmatchsplit regexp R ckgabewert positiv f r die Gruppe deren Empf nger den regul ren Ausdruck regexp enthalten negativ f r die Gruppe deren Empf nger den regul ren Ausdruck regexp nicht enthalten Parameter regexp Dieser Parameter definiert den regul ren Ausdruck auf dessen Vorhandensein innerhalb der E Mail gepr ft wird Beispiel if rmatchsplit sales customer comlinvoice log 1 regex test successful else log 1 regex test not successful Erkl rung In diesem Beispiel wird die E Mail auf das Vorhandensein des Ausdrucks sales customer com oder invoice gepr ft Wird einer dieser Textbestandteile innerhalb des Envelope der E Mail gefunden so wird
326. tellen siehe Administration 19 Sektion Backup Cluster Identifier ber die Browserschaltfl che Datei ausw hlen wird das f r die SSH Verbindung ben tigte Zertifikat der Basis Maschine clusterid txt siehe Sektion Prepare for Cluster ausgew hlt Cluster Member IP An dieser Stelle wird die physikalische IP Adresse kein Alias also virtuelle Adresse der Basis Maschine ber welche die Cluster Kommunikation stattfinden soll sowie der zu verwendende Port im Standard Port 22 f r das SSH Protokoll angegeben IP address of this An dieser Stelle wird die physikalische IP Adresse kein Alias also virtuelle device Adresse siehe System h19 Sektion IP Addresses dieser Maschine ber welche die Cluster Kommunikation stattfinden soll sowie der zu verwendende Port muss identisch mit dem unter Cluster Member IP eingegebenen sein angegeben ber die Schaltfl che wird die Maschine dem Cluster hinzugef gt Sektion cluster members Diese Sektion erscheint nur dann wenn die SEPPmail Appliance bereits Bestandteil eines Cluster ist In diesem Fall werden alle Clusterpartner mit den folgenden Daten gelistet 2015 SEPPmail AG 196 Device ID Zeigt die Device ID des jeweiligen Cluster Partners an Das Entfernen eines entfernten Cluster Partners kann durch klicken auf die Device ID erfolgen Hierdurch ffnet ein weiteres Men in welchem dann der Server ber die Schaltfl che 11117 71 5 geint entfernt werden ka
327. ten E Mails abholen Dabei wird POP3S beziehungsweise IMAPS pr feriert Beschreibung User ID Eingabe der User ID zur Anmeldung am POP3 IMAP Konto In der Regel entspricht die User ID der E Mail Adresse Zur User ID geh riges Passwort POP3 beziehungsweise IMAP Server von welchem E Mails abgeholt werden sollen 2015 SEPPmail AG 207 Sektion Customer Diese Sektion erscheint nur bei mandantenf higen Systemen siehe Men punkt Customers 223 Sie erm glicht die Zuordnung des Benutzers zu einem Mandanten Hinweis Die Zuordnung von Benutzern zu den jeweiligen Mandanten erfolgt normalerweise automatisch anhand der in der E Mail Adresse enthaltenen E Mail Dom ne der E Mail Adresse Von nderungen ist deshalb im Normalfall abzusehen Eine erneute automatische Zuordnung kann ber die Auswahl Reset angestossen werden Alle vorgenommenen nderungen werden ber die Schaltfl che gespeichert Das L schen eines Users erfolgt ber PASCAU Hinweis Ist einem Benutzer g ltiges Schl sselmaterial zugeordnet so muss dieses vor dem L schen des Benutzer gel scht werden Andernfalls erscheint zun chst eine entsprechende Warnmeldung 2015 SEPPmail AG 208 7 13 2 Untermen Create new user account Sektion User Data Beschreibung User ID Full Name E Mail Password Eingabe einer Eindeutigen User ID f r den neuen Benutzer Es empfiehlt sich wie bei automatisch generierten Benutzern
328. tentierte mehrfach pr mierte Technologie f r den spontanen sicheren E Mail Verkehr GINA verschl sselt elektronische Nachrichten und versieht diese auf Wunsch mit einer digitalen Signatur Die Secure E Mail L sungen sind weltweilt erh ltlich und leisten einen nachhaltigen Beitrag zur sicheren Kommunikation mittels elektronischer Post Dadurch maximiert SEPPmail die Kommunikationssicherheit von hunderttausenden von Benutzern Das Unternehmen wurde 2001 gegr ndet und verf gt demnach ber eine mehr als zehnj hrige Erfahrung im sicheren Versenden digitaler Nachrichten Die Produktphilosophie gr ndet sich auf zwei Hauptmerkmale ein H chstmass an Sicherheit in Kombination mit hohen Benutzerkomfort Zu letzterem z hlen insbesondere einen hochverf gbaren Betrieb mit hoher Stabilit t und geringen Administrationsaufw nde SEPPmail AG hat mit seinem CEO Herrn Stefan Klein den Erfinder dieser L sung on board der seit 2001 die Entwicklung dieses Produktes betreut und begleitet Dabei stellte er sicher dass die Produktphilosophie ber all die Jahre beibehalten wurde So reifte das Produkt mit den Kundenanforderungen wobei die individuellen Anforderungen immer dem Gesamtprodukt beigef gt und somit allen Kunden zug ngig wird SEPPmail AG Industriestrasse 7 CH 5432 Neuenhof http www SEPPmail ch 2015 SEPPmail AG 18 3 2 Vorstellung und Verfahren 3 2 1 Produktphilosophie Die Produktphilosophie gr ndet sich a
329. ter this device welche das Untermen Registerthistdeviee hod ffnet Ist der Zugang zum SEPPmail Lizenzserver update seppmail ch beziehungsweise support seppmail ch ber TCP Port 22 siehe Firewall Router einrichten 63 sowie Sektion Proxy Settings des Men punktes System 11 nicht m glich da es sich zum Beispiel um ein PCI geh rtetes oder ein DMZ abgeschottetes System handelt so kann die Registrierung ber vorgenommen werden Sektion Update ber die Schaltfl che wird die komplette Versions Historie sowie Inhalte verf gbarer und geplanter Updates der SEPPmail Appliance ngezeigt Sollten bei einem Update Nacharbeiten in seltenen F llen muss zum Beispiel das Ruleset neu generiert werden notwendig sein so ist auch dies in roter Schrift zu sehen Weiterhin kann durch klicken dieser Schaltfl che ein Abgleich mit dem SEPPmail Lizenzserver erzwungen werden wodurch zum Beispiel kurzfristig angeforderte Lizenz nderungen sofort bernommen werden startet bei verf gbarem Update den Download der Firmware vom SEPPmail Updateserver und startet das System im Anschluss mit der neuen Firmware Durch erneutes Klicken dieser Schaltfl che w hrend des Downloads wird jeweils der Fortschritt in ausgegeben startet bei verf gbarem Update den Download der Firmware vom SEPPmail Updateserver Diese wird beim n chsten manuellen Reboot bernommen Ist der Zugang zum SEPPmail Lizenzserver update seppmail ch beziehungsweise support seppma
330. tes In diesem Men werden die f r die S MIME Verschl sselung zur Verf gung stehenden Zertifikate wie folgt angezeigt REH Fingerprint Zeigt den Fingerprint Hash des Zertifikates an an Ausstelldatum des Zertifikats in der Form TT MM JJJJ en Ablaufdatum des Zertifikats in der Form TT MM JJJJ Durch Klicken auf die E Mail Adresse werden Details zum Zertifikat angezeigt Dieses bietet die M glichkeit den ffentlichen Schl ssel Zertifikat herunterzuladen beziehungsweise das Schl sselpaar zu l schen Das Eingabefeld mit der Schaltfl che Filter dient der Suche nach nach entsprechenden Zertifikaten anhand einer der in der Tabelle aufgef hrten Merkmale ber die Schaltfl che 1 ein SR it kann ein vorhandenes Zertifikat eines Kommunikationspartners importiert werden Im Anschluss steht dieses Zertifikat f r das Verschl sseln bereit auch wenn die Zertifikatskette nicht gepr ft werden kann siehe auch X 509 Root Certificates 218 In der Regel werden die Zertifikate von Kommunikationspartnern aus deren E Mail Signaturen automatisch eingesammelt Dies funktioniert allerdings nur dann wenn der Aussteller des Zertifikates 509 Root Certificates 21 eingetragen ist und eine entsprechende Vertrauensstellung Trusted vorhanden ist Das heisst die Zertifikatskette muss f r die SEPPmail Appliance nachvollziehbar sein Die Schaltfl che STE He EEE entfernt eventuell doppelt vorhandenen Zertifikate ber die Schaltfl che werd
331. tifikat der Root CA selbst in der Reinhenfolge 1 Public Key des eigenen SSL Device Zertifikats 2 Public Key von einer oder mehreren Intermediate CA Zertifikaten 3 Public Key der Root CA eingef gt werden Im Fehlerfall ist das SSL Device Zertifikat nicht zu nutzen Ebenfalls kann dies zu Problemen beim Zugriff auf die Konfigurationsoberfl che f hren F r diesen Fall sollte sicherheitshalber vor dieser Aktion tempor r der HTTP Port siehe System GUIProtocol HTTP Port f r den Zugriff auf die Administrationsoberfl che http lt Appliance gt 8080 freigegeben werden Zur Aktivierung des neuen SSL Device Certificate ist ein Neustart der SEPPmail Appliance erforderlich siehe Administration System Reboot System beziehungsweise Administration n Detaillierte Informationen sind unter Request a new Certificate s zu finden 2015 SEPPmail AG 80 4 8 4 3 Bestehendes SSL Device Zertifikat verwenden F r den produktiven Betrieb der SEPPmail inklusive GINA Technologie empfiehlt sich dringend das Verwenden eines Trusted SSL Device Certificate f r den SSL gesicherten Zugriff auf das GINA Webmail System F r das Einbinden eines gekauften Trusted SSL Device Certificate ist in das Men SSL zu wechseln und die Schaltfl che TS Eh N ARE zu klicken Im erscheinenden Men ist in der Sektion Upload existing key das Einbinden auf zwei Arten abh ngig vom vorliegenden Zertifikats Format pem oder PKCS 12 also p12 oder pfx m
332. tig ist E Mails werden nur versendet falls der Versand via TLS Verschl sselung m glich das SSL Zertifikat des empfangenden E Mail Servers g ltig ist und der Name des E Mail Servers gem ss Zertifikat erfolgreich berpr ft werden kann Diese Pr fung kann kann nicht bei der Verwendung von Wildcard SSL Zertifikaten eingesetzt werden Hier sollte alternativ die TLS Einstellung Fingerprint verwendet werden Wird beim Versenden einer E Mail via TLS Transportverschl sselung die Logmeldung status deferred Server certificate not verified ausgegeben so ist Sie das SSL Zertifikat des empfangenden E Mail Servers auf die Verwendung eines Wildcard Zertifikats zu berpr fen Fingerprint E Mails werden nur versendet falls der Versand via TLS Verschl sselung m glich ist und das SSL Zertifikat des empfangenden E Mail Servers dem definierten Fingerprint entspricht Hinweis Wird hier keine Konfiguration vorgenommen so gilt die Einstellung may das heisst unterst tzt das nachgelagerten Groupware System TLS so wird die SEPPmail Appliance eine TLS verschl sselte Verbindung dort hin aufbauen F r die TLS Verschl sselung wird das unter SSL eingebundene Zertifikat verwendet Vergleiche auch Untermen Add TES Domain un Sektion TLS Settings Sektion Domain Statistics In dieser Statistik werden nur diejenigen Kryptographie Technologieen angezeigt welche auf der SEPPmail Appliance bereits zum Einsatz kamen Number of Anzahl der
333. tionen kann eine sichere E Mail Antwort erstellt und versendet werden Eine Kopie davon wird verschl sselt an den externen Sender zur ckgesendet Abb 5e Ge SEPPMAIL Emai aen Emal viregten Sichere E mail Abb 5e e Speichern als E Mail kann im Klartext gespeichert und in beliebigen Ordner verschoben werden Entweder als eml Standard E Mail Format oder im msg Format Outlook e Logout Schaltfl che zum Verlassen des GINA Web Mailers Dabei wird der Cache des Browsers und der SEPPmail Appliance ger umt Somit verbleibt einzig die verschl sselte Original GINA Mail im System des Empf ngers Ausgenommen der Empf nger hat sich eine Klartext Kopie dazu abgelegt f Zusatzmodul SSPM Self Service Passwort Management 2015 SEPPmail AG 30 Sollte der GINA Mail Empf nger sein eigenes Passwort vergessen besteht die M glichkeit dieses zur ckzusetzen Abb 6 In der Grundversion bewirkt dieses einen Call beim Administrator oder Helpdesk der den Empf nger kontaktiert und nachdem dieser sich authentifiziert hat wird ihm sein neues Passwort mitgeteilt Ist das SSPM Modul aktiv dann hinterlegt der GINA Mail Empf nger beim Registrieren eine Sicherheitsfrage und antwort Abb 6a Beim Passwort Reset wird Ihm dann nachdem der GINA Mail Empf nger seine selbst vergebene Sicherheitsfrage positiv beantwortet hat das neue Passwort per SMS auf die hinterlegte Mobilnummer zugesendet Durch diesen automatisierten Vorgang
334. tor Custom Commands welche an dieser Stelle nicht n her er rtert werden Diese Basis Steuerungsm glichkeiten sind bereits vordefiniert Eine genaue Beschreibung der Konfigurationsm glichkeiten zur Steuerung der Appliance ist unter Mail Processing hr Ruleset Generator zu finden 2015 SEPPmail AG 87 4 9 Clustern mehrer Systeme Dieses Kapitel beschreibt die grunds tzliche Funktionsweise von Clustern sowie und zeigt die M glichkeiten des Einbindens von SEPPmail Appliances auf Die SEPPmail Appliance verf gt ber alle notwendigen Funktionen f r ein eigenst ndiges Clustering und Loadbalancing Nat rlich ist das Einbinden in Infrastrukturen mit bereits vorhandenen externen Loadbalancern beziehungsweise Loadbalancing Verfahren ebenso m glich 4 9 1 Allgemein Ein Cluster bezeichnet einen Rechnerverbund aus mehreren vernetzten Computersystemen Diese miteinander vernetzten Computersysteme sind zwar physisch getrennt werden aber logisch als eine Einheit betrachtet So ist es m glich dass ein Cluster als ein einziges logisches System angesprochen werden kann tats chlich aber aus mehreren physikalischen Systemen besteht Das Einrichten beziehungsweise das Hinzuf gen von Manz zu einem Cluster erfolgt wie in Abbildung 1 dargestellt im Men Cluster siehe auch Cluster Replikation der Clusterkonfiguration Cluster Member Primary Replikationsquelle physische IP 10 10 0 9 mit bestehender Konfiguration
335. tribut attr oder der gesuchte Eintrag nicht so wird der Variable var ein leerer Wert zugewiesen Werden mehrere Eintr ge Objekte im Attribut attr gefunden so wird nur der erste ausgewertet Sollten mehrere Attribute attr vorhanden sein so werden alle Attribute ausgewertet multi value Wird keiner der angegebenen LDAP Server erreicht so wird die E Mail mit einem tempor ren Fehler abgewiesen 2015 SEPPmail AG 290 8 8 2 Idap_compare Der Befehl Idap compare vergleicht einen in einem LDAP Verzeichnis abgelegten Wert mit einem angegebenen Attribut Dieser Befehl baut eine Verbindung zu einem LDAP Server auf und pr ft den Wert eines Attributs Wird keiner der angegebenen LDAP Server erreicht so wird die E Mail mit einem tempor ren Fehler abgewiesen 420 could not bind to LDAP server Aufbau des Befehls leo ease H lee aewcz vwalue R ckgabewert positiv wenn der Wert value f r das angegebene Attribute attr im LDAP Suchstring Idap SearchBase gefunden wurde negativ wenn kein entsprechender Wert gefunden wurde Parameter Idap Der Parameter ist wie folgt aufgebaut URI BindDN Password SearchBase Filter Die Bedeutung der einzelnen Teil Strings ist der der folgenden Tabelle beschrieben Angabe des LDAP Servers der abgefragt werden soll Als Eingabe wird der Hostname oder die IP Adresse aktzeptiert Es k nnen auch zwei mit Komma getrennte Werte angegeben werden In diesem Fall wird
336. ts von einem anderen E Mail Server empfangene und weitergeleitete SPAM E Mails k nnen durch diese Funktion nicht vermieden werden 2015 SEPPmail AG 134 Hinweis zum Greylisting Greylisting ist eine Methode zur Bek mpfung von SPAM E Mails Bei dieser Funktion wird davon ausgegangen dass E Mail Server und E Mail Clients sich an den RFC Standard f r SMTP halten SPAM Versender halten sich meist nicht an den RFC Standard Sie werten in der Regel das tempor re Abweisen nicht aus wodurch eine weiterer Zustellversuch unterbleibt Da sich selbst per E Mail verbreitende Viren sogenannte W rmer nach dem Gleichen Prinzip arbeiten bietet Greylisting auch hier entsprechenden Schutz Um eventuelle Einschr nkungen durch berm ssiges einmaliges Abweisen gew nschter E Mails zu vermeiden wird empfohlen die Option Greylist learning only no mail rejection aus den optional Settings f r zwei bis vier Wochen zu aktivieren Hierdurch wird die SEPPmail Appliance bez glich des Greylistings in einem Lernmodus und weist keine E Mails tempor r zur ck Use Antispam Dieser Parameter aktiviert den SPAM Filter auf dem SEPPmail System Die Engine Note Konfiguration des SPAM Filters wird im Ruleset Generator im Men remember to Mail ProcessinghsA durchgef hrt activate in ruleset Use Antivirus Dieser Parameter aktiviert den Virenscanner auf dem SEPPmail System Die Engine Note Konfiguration des Virenscanners wird im Ruleset Ge
337. tung kann max die Geschwindigkeit einer einzelnen Interface genutzt werden Custom hosts file Zum Durchf hren einer lokalen Namensaufl sung muss in diesem Feld entries eine Kombination von IP Adressen und Hostnamel n eintragen werden optional Format 62 2 145 228 update seppmail ch support seppmail ch 193 239 220 29 pool ntp org Sektion IP ALIAS Addresses optional Werden mehrere SEPPmail Appliances in einem Clusterverbund betrieben so k nnen diese gemeinsam ber eine oder auch mehrere virtuelle IP Adressen angesprochen werden Die Stellung der einzelnen Maschine innerhalb dieses Verbundes wird ber die Priorit t Priority definiert Hinweis Um die Funktion des CARP Protokolls welches die Basis f r das Bereitstellen virtueller IP Ardressen bildet zu gew hrleisten m ssen bei virtuellen Appliances gegebenenfalls folgende Einstellungen vorgenommen werden e Microsoft Hyper V Option Spoofing von MAC Adressen aktivieren in der Konfiguration der virtuellen Netzwerkkarte aktivieren Diese Option ist in den Hyper V Einstellungen der virtuellen Maschine unter ltere Netzwerkkarte gt Erweiterte Features zu finden e ESX promiscous mode in der Konfiguration der virtuellen Netzwerkkarte aktivieren Diese Option ist in den ESX Einstellungen wie folgt vorzunehmen 1 Im vSphere Web Client zum entsprechenden Host navigieren 2015 SEPPmail AG 121 2 Anw hlen der Registerkarte Verwalten 3 Anw hl
338. turen eingeliefert werden Sind diese von einer der SEPPmail bekannten CA Certificate Authority ausgestellt k nnen diese gepr ft und akzeptiert werden vollautomatischer Vorgang Ist die CA nicht bekannt wird dies bemerkt und dem Administrator zur Pr fung vorgelegt halbautomatischer Vorgang Erfahrungsgem ss nimmt dieser Aufwand nach einer Einschwingphase des Systems merklich ab da die meisten Signaturen gelernt und Root Zertifikate gepr ft wurden Wird eine als vertraulich gekennzeichnete E Mail an einen externen Empf nger versendet pr ft das System erstrangig ob ein freigegebener S MIME Public Key des Empf ngers existiert Die E Mail wird transparent verschl sselt und versendet Wenn ein intelligentes E Mail Routing System beim Kunden vorhanden ist welches signierte und oder verschl sselte E Mails erkennen kann so k nnen auch gezielt nur die n tigen E Mails ber die Appliance empfangen werden Die Appliance muss dann nicht in den vollen E Mail Strom integriert werden 3 2 2 1 1 Managed PKI Die SEPPmail Appliance hat ein vollst ndiges PKI System eingebaut und verwaltet User Schl ssel bzw Zertifikate zentral im System E Mail Zertifikate k nnen von beliebigen CAs eingespielt werden Zu den wichtigsten CAs hat SEPPmail jedoch Konnektoren geschrieben e SwissSign e S Trust DSV e D Trust Bundesdruckerei e A Trust ber diesen Konnektor werden die Zertifikate f r die User automatisch erstellt und der Certifica
339. tverteilung auf die einzelnen Cluster Member eines SEPPmail Clusters durch externe Loadbalancer oder Loadbalancing Verfahren erfolgen Die g ngigsten werden an dieser Stelle aufgef hrt Aufteilen des Ein und Ausge he naen Verkenrs auf je ein Cluster Member System Das Abgeben von E Mails an den Cluster Partner tritt dabei erst bei Erreichen eines entsprechenden Lastzustandes in Kraft Das Failover Verhalten des Clusters wird durch diese Konfigurationen nicht ver ndert 4 9 3 1 Aufteilen des Ein und Ausgehenden Verkehrs Das Aufteilen des ein und ausgehenden E Mail Datenflusses erfolgt wie in Abbildung 2 dargestellt durch eine statische Konfiguration in welcher neben den physikalischen IP Adressen der Appliances mit zwei weiteren virtuellen IP Adressen IP Alias Adresses gearbeitet wird Dabei existieren zwei SEPPmail Systeme die mit entgegengesetzter Priorit t auf die zwei virtuellen IP Adressen reagieren Dadurch erh lt jeweils das eine System alle eingehenden und das andere alle ausgehenden E Mails Im Detail Ausfallsicherheit Jedes SEPPmail System hat eine eigene physikalische IP Adresse ber welche nur dieses System angesprochen werden kann Diese Adresse wird in der Regel f r die individuelle Konfiguration der Appliance und f r das Synchronisieren der Appliances untereinander blaue Pfeile Abbildung 1 verwendet in Abbildung 2 sind dies die IP Adressen 10 10 0 9 und 10 10 0 10 Zus tzlich werden zw
340. u erreichen ist zum Beispiel securemail firma ch Wird ein sogenanntes Wildcard Zertifikat verwendet so w rde der Dom nenname firma ch lauten Bei Self Signed Zertifikaten kann hier zum Beispiel auch firma local oder auch eine IP Adresse zum Beispiel 10 0 0 10 stehen E Mail Address In der Regel der wird die E Mail Adresse des Antragstellers beziehungsweise des Verwalters des Zertifikates oder dessen Abteilung eingetragen Org Unit OU Organisationseinheit wie zum Beispiel ein Abteilungsname wie Buchhaltung Organization O Gibt die Organisation an f r welche das Zertifikat ausgestellt wurde zum Beispiel Firma Locality L Standort zum Beispiel eine Stadt wie Neuenhof oder auch ein Teilgeb ude wie Werk2 State ST Bundesland Kanton Provinz oder hnliches zum Beispiel AG f r Aargau Country C Land zum Beispiel CH f r Schweiz Be U Seriennummer des Zertifikats Sektion Issued By Diese Sektion zeigt Informationen ber den Aussteller des SSL Zertifikates Root Zertifikat Abh ngig vom Aussteller m ssen nicht alle hier aufgef hrten Parameter vorhanden sein 2015 SEPPmail AG 180 GE Sektion Validity Zeigt die G ltigkeit des Zertifikates Ben Ausstelldatum des SSL Zertifikates EES Ablaufdatum des SSL Zertifikates Sektion Fingerprint Gibt den Hash des Zertifikates an Hashalgorhytmus Der Fingerprint dient zur berpr fung eines Zertifikats Beispiel eine
341. uf zwei Hauptmerkmale ein H chstmass an Sicherheit in Kombination mit hohem Benutzerkomfort Zu letzterem z hlen insbesondere ein stabiler Betrieb und m glichst geringe Administrationsaufw nde Das Produkt unterst tzt alle am Markt befindlichen Standard Technologien siehe SIMIME X509 20 OpenPGP 201 TES 2 f r das Absichern des E Mail Verkehrs mittels Verschl sselung und Signatur Dar ber hinaus hat SEPPmail ein Verfahren entwickelt und patentiert welches erlaubt einem g nzlich unbekannten Empf nger spontan eine verschl sselte E Mail zu senden Der Empf nger ben tigt f r das Entschl sseln sowie dem sicheren Antworten ausschliesslich Standardkomponenten wie einen beliebigen E Mail Client dies kann auch ein Webmail Client sein einen beliebigen Browser und Zugang zum Internet unabh ngig vom Endger t Wir nennen diese Technologie GINA siehe GINA Webmail 23 Ein mit der L sung ausgeliefertes Standard Ruleset siehe Zentrales Regelwerk 38 erm glicht das 100 ige Verschl sseln aller als vertraulich gekennzeichneten zu versendenden E Mails Dabei wird ber das Ruleset die f r den jeweiligen Empf nger beste Verschl sselungstechnologie ausgew hlt Beginnend mit der Pr fung ob ein beglaubigter ffentlicher S MIME Schl ssel des Empf ngers f r das Verschl sseln zur Verf gung steht kaskadiert das System ber openPGP Dom nen Verschl sselung runter bis zur GINA Technologie siehe Verschl sselungs
342. und ffentlichen Schl ssel enthalten PKCS 12 Dateien haben die Dateiendung p12 oder auch pfx ber die Schaltfl che Import wird der Vorgang abgeschlossen 2015 SEPPmail AG 143 7 5 2 Untermen Add TLS Domain Sektion Domain Info Beschreibung Domain Name Optional Forwarding Server Address In der Regel wird hier der Name der E Mail Dom ne des Kommunikationspartners eingetragen Diese Einstellung ist nur beim Anlegen einer neuen TLS Verbindung das heisst wenn das Men ber die Schalttfl che Ats s S rn EIER aufgerufen wurde editierbar Wird an dieser Stelle kein Eintrag vorgenommen so wird der unter Domain Name angegebene Name per MX aufgel st Als Eingabe wird folgendes aktzeptiert IP Adresse einzelne IP Adresse Hostname wird ein Hostname verwendet so ist dieser in eckige Klammern zu setzen Namen ohne Klammern werden als MX Eintrag behandelt MX Name Mx lookup wird ausgef hrt Optional ist bei Angabe einer IP Adresse oder eines Hostnamens zus tzlich die Angabe eines individuellen Ports m glich Dieser wird direkt im Anschluss mit einem Doppelpunkt getrennt angegeben also IP Adresse Port oder Hostname Port Wird kein Port angegeben so wird der Standard SMTP Port TCP25 verwendet Sektion TLS Settings An dieser Stelle wird der Grad der Pr fungen f r eine TLS Verbindung eingestellt 2015 SEPPmail AG 144 TLS Beschreibung Einstellung we TLS Versch
343. und der Parameter ist im Handbuch hinterlegt Die L sung wird mit einem Standardregelwerk ausgeliefert welches in 90 der F lle unver ndert bei den Unternehmen zum Einsatz kommt und jederzeit den speziellen Bed rfnissen eines Unternehmens angepasst werden kann 2015 SEPPmail AG 39 3 3 4 Architekturen 3 3 4 1 Im vollen Mailstrom In den beiden folgenden Szenarien kann die Entscheidung ob und wie E Mails beim Versand verschl sselt signiert werden zentral ber das Ruleset der SEPPmail Appliance oder individuell am E Mail Client via Schl sselw rter Outlook AddIn beziehungsweise IBM Notes Schablone oder Groupwise Vorlage getroffen werden Eingehende E Mails werden gegebenenfalls entschl sselt beziehungsweise die Signatur gepr ft und entsprechend f r den internen E Mail Empf nger gekennzeichnet zum Beispiel secure signed ok signed invalid ffentliche Schl ssel von eingehenden signierten E Mails werden gesammelt so dass diese zur Verschl sselung an die absendenden Kommunikationspartner automatisch genutzt werden k nnen Eine Liste der zu gew hrleistenden Kommunikationswege ber welche die SEPPmail Appliances kommunizieren ist sowohl im Quick Install Guide http www seppmail ch uploads media SEPPmail Quick Setup Guide 02 pdf als auch im Handbuch http www seppmail ch uploads media SEPPmail mit Ruleset v7 0 2 O01 pdf zu finden 3 3 4 1 1 Kleine Umgebungen F r gew hnlich wird die Appliance in
344. ungen ber den TCP Port connections for 25 auf maximal zehn pro IP Adresse limitiert Hierdurch kann das berlasten SMTP per IP der SEPPmail Appliance durch einzelne Server vermieden werden optional Settings 2015 SEPPmail AG 135 Greylist learning Dieser Parameter aktiviert den Greylisting Lernmodus Dabei wird die only no mail Datenbank mit den f r den Greylisting Betrieb ben tigten Informationen rejection aufgebaut Bei Neuinstallationen wird empfohlen diese Option zwei bis vier Wochen zu verwenden um in der Statrphase keine Engp sse durch das Greylisting zu verursachen Strict PTR check Diese Option aktiviert eine doppelte DNS Pr fung Zun chst wird gepr ft ob reserse DNS zur IP Adresse ein g ltiger DNS Eintrag vorhanden ist um im Anschluss zu lookup pr fen ob die DNS Abfrage die urspr ngliche IP ausgibt Sektion Blacklists Add Blacklist E Mail Server werden aufgrund von SPAM Aktivit ten in sogenannte RBL Blacklists aufgenommen Diese Listen werden durch verschiedene Anbieter im Internet gepflegt Um E Mails von Servern welche in diesen Listen aufgef hrt sind abzuweisen m ssen die URLs der gew nschten Realtime Blackhole Lists RBL eingetragen werden Nach dem Speichern wird jeweils ein weiteres Eingabefeld eingeblendet Sektion Manual Blacklisting Whitelisting In diesem Men punkt kann der Empfang von externen E Mails von bestimmten IP Adressen beziehungsweise Netzwerken blocki
345. ur mit einer SEPPmail Appliance 2015 SEPPmail AG 61 4 3 Ben tigte Informationen zur Inbetriebnahme Es wird empfohlen folgende Informationen Ihrer E Mail Umgebung vor dem Inbetriebnehmen der SEPPmail Appliance bereitzustellen Ben tigte Information Ihre Angabe ffentlicher DNS Eintrag oder ffentliche IP Adresse der Appliance Name oder die IP Adresse unter welchem Ihre SEPPmail Appliance aus dem Internet erreichbar sein wird Interne IP Adresse der Appliance Interne IP Adresse und Subnetzmaske unter welcher die SEPPmail Appliance im internen Netzwerk erreichbar sein wird Hostname der Appliance Frei w hlbarer Hostname Ihrer SEPPmail Appliance zum Beispiel secureemailgateway Dieser ist normalerweise im DNS Server aufgef hrt Diese Einstellung entspricht der internen Sicht Sie muss also nicht den Daten wie sie vom Internet her G ltigkeit haben entsprechen Interne Dom ne Beispiele sind ihrefirma local oder ihredomain de usw Diese Einstellung entspricht der internen Sicht Sie muss also nicht den Daten wie sie vom Internet her G ltigkeit haben entsprechen DNS Server Die Eingabe von bis zu drei IP Adressen von DNS Servern ist m glich Dabei kann es sich sowohl um externe als auch interne DNS Server handeln Werden interne DNS Server verwendet so m ssen diese Anfragen f r externe Adressen entsprechend weiterleiten Hostname oder IP Adresse des bestehenden internen E Mail Servers Hostnam
346. us tzlich zu den technischen Einstellungen kann ber die Schaltfl che ZN EN ZI jeweils das Design an die Firmenidentit t angepasst werden siehe EdIE GINA Layout 172 Sektion Secure GINA Host Ist unter Mail Processing 14 GINA Settings die Option Use virtual hosting aktiviert so ist hier der FQDN anzugeben unter welchem das Interface erreichbar sein wird zum Beispiel securemail meinkunde ch Andernfalls ist hier der Name des Unterverzeichnisses anzugeben in welchem das GINA Interface erzeugt werden soll zum Beispiel meinkunde Das neue GINA Interface wird dann im Unterverzeichnis des unter dem FQDN des default GINA Eintrages erreichbar sein zum Beispiel https securemail meinefirma ch meinkunde web app Hinweis Der hier eingetragene FQDN muss aus dem Internet erreichbar sein Das heisst entsprechender DNS Eintrag muss veranlasst werden Die vorgenommenen nderungen werden ber die Schaltfl che gespeichert Sektion Master Template Diese Sektion erscheint nur falls ein anderes als das default GINA Interface editiert wird Master Template Durch Auswahl eines Master Templates k nnen teilweise in den folgenden Sektionen wahlweise die Einstellungen des anderen GINA Interface bernommen werden Die vorgenommenen nderungen werden ber die Schaltfl che gespeichert Sektion Admin Einstellungen f r den Versand von GINA Systemmeldungen Use settings from Diese Option erscheint nur falls ei
347. usgehende E Mails an das SEPPmail System abzugeben ist es notwendig die IP Adresse des beziehungsweise unter Umst nden auch das Netz in dem die Groupware Server stehen zu berechtigen Dies erfolgt durch den Eintrag der IP s beziehungsweise des oder der Netze in die daf r vorgesehenen Felder des Men s Mail System in der Sektion Relaying siehe auch Matt Su h2 Relaying 2015 SEPPmail AG 77 4 8 4 SSL Zertifikat einbinden Eine detaillierte Beschreibung des Men punktes SSL ist unter SS z zu finden Die folgenden Seiten liefern lediglich eine Kurzbeschreibung zur Inbetriebnahme 4 8 4 1 SSL Device Zertifikat selbst erstellen SEPPmail erm glicht es ein eigenes SSL Device Certificate ber die Konfigurationsoberfl che zu erstellen F r eine Testinstallation ist es nicht zwingend erforderlich ein kostenpflichtiges SSL Device Certificate zu beschaffen Das Zertifikat kann auf der SEPPmail Appliance automatisch generiert und signiert werden Hierf r ist in das Men SSL zu wechseln und die Schaltfl che ES Eh EN ARE zu klicken Im erscheinenden Men sind die hier aufgef hrten Felder zwingend auszuf llen Sektion Issue To Name or IP CN IP Adresse oder Hostname unter der SEPPmail aus dem Internet erreichbar ist Bei einem selbstsignierten Zertifikat muss der hier angegebene Werte dem Namen in der URL entsprechen unter der SEPPmail angesprochen wird Beispiel Soll SEPPmail unter der URL https securewebm
348. uting E Mail Relay Server Access Control TLS AntiSPAM Blacklists Whitelists Mail Processing Regeln zur Verarbeitung von E Mails Verwaltung von GINA Dom nen SMS Kennwortversand Disclaimer E Mail Templates Virenscanner und SPAM Protection Regeln und Schwellwerte Regelwerk f r E Mail Signierung Ver und Entschl sselung verwalten anzeigen laden SSL Device Zertifikat f r den SEPPmail Secure Webmail Webserver einrichten und sichern CA Eigene Zertifizierungsstelle CA einrichten Connector zur SwissSign CA MPK I einrichten CA Zertifikat anfordern und sichern eventuell Sub CA oder Registrierungsstelle RA einrichten Administration SEPPmail registrieren Software Updates installieren Datensicherung erstellen und zur cksichern SEPPmail neu starten oder herunterfahren SEPPmail auf Werkseinstellungen zur cksetzen bestehende Benutzer oder Schl ssel importieren ausgehende Supportverbindung aktivieren Cluster Cluster Verbund mit mehreren SEPPmail Systemen einrichten Logs E Mail Logdateien einsehen und verwalten Grafische Anzeige des verarbeiteten E Mail Verkehrs und der Systemauslastung Users SEPPmail Benutzerkonten erstellen und verwalten Groups SEPPmail Gruppen erstellen und verwalten Verwalten von automatisch erzeugten GINA Konten GINA bezeichnet die fr here Secure Webmail Schnittstelle openPGP public ffentliche openPGP Schl ssel von Kommunikationspartnern importieren keys und verwalten 2015 SEP
349. vate Schl ssel dem passenden Schl ssel zu diesem Schloss Somit muss dem Absender eines zu verschl sselnden Dokumentes muss nur der public key des Empf ngers bekannt sein Nur der Empf nger mit dem dazu passenden privaten Schl ssel wird in der Lage sein das Dokument wieder zu entschl sseln Somit kann der public key ohne weitere Sicherheitsmassnamen an jeden beliebigen Kommunikationspartner gegeben werden und ist somit mehrfach verwendbar Dieses Verfahren ist allerdings sehr rechenintensiv und deshalb langsam und Ressourcen raubend Hybrid Mit dem hybriden Verfahren werden die Vorteile aus symmetrischer und asymmetrischer Verschl sselung genutzt So wird das zu verschl sselnde Dokument Ressourcen schonend und schnell symmetrisch verschl sselt Der Austausch des symmetrischen Schl ssels erfolgt mittels asymetrischer Verschl sselung Aus diesem Grund hat sich dieses Verfahren f r die Dokumentenverschl sselung durchgesetzt Bei den nachfolgend beschriebenen Standardverfahren S MIME und openPGP handelt es sich deshalb ebenfalls um hybride Verfahren SEPPmail setzt auf verschiedene standardisierte Verschl sselungsverfahren und bietet dadurch h chste Sicherheit f r unterschiedliche Kommunikationspartner In diesem Abschnitt werden die Verfahren erl utert die dabei zum Einsatz kommen Die Secure E Mail Gateway Appliance SEPPmail entschl sselt eingehende E Mails automatisch Der Vorgang ist f r den E Mail Empf nger
350. vices ohne jeglichen Konfigurationsaufwand zwischen allen SEPPmail Appliances Die SEPPmail Appliances tauschen ber den Managed Domain Service vollautomatisiert die jeweils eigens hierf r durch die Appliance bereit gestellten ffentlichen S MIME Dom nen Schl ssel aus Somit wird gruns tzlich jeglicher E Mail Verkehr zwischen SEPPmail Appliances automatisch ver und entschl sselt 2015 SEPPmail AG 14 4 GINA Technologie Bei der GINA Verschl sselungstechnologie handelt es sich um ein patentiertes Verfahren Dabei werden E Mails nicht bis zum Abholen durch den Empf nger zwischengespeichert wie es bei anderen Webmail Verfahren blich ist sondern vollst ndig verschl sselt an den Empf nger ausgeliefert E Mails sind bei diesem Verfahren vor Phishing Attacken gesch tzt denn neben dem Kennwort ist f r den erfolgreichen Zugriff auch die verschl sselte E Mail selbst aus dem Postfach des Empf ngers erforderlich Eine GINA Nachricht enth lt die komplette urspr nglich unverschl sselte Nachricht inklusive Anh nge in verschl sselter Form als HTML Dateianlage Der Empf nger ruft die Nachricht ab indem er die verschl sselte Dateianlage im lokalen Webbrowser ffnet Diese wird dann ber eine sichere SSL Verbindung HTTPS an die SEPPmail Appliance des Absenders bertragen und dort nach Eingabe eines Benutzerkennworts entschl sselt und angezeigt Durch die Kennworteingabe wird die Identit t des Empf ngers bei
351. wie spezielle x header Optional k nnen auch zum Beispiel LDAP Abfragen als Merkmale herangezogen werden wie etwa Microsoft Active Directory AD Benutzergruppen Sollte eine andere Reihenfolge oder ein anderer Vorgang gew nscht werden kann jederzeit das Ruleset entsprechend angepasst werden Damit k nnen gew nschte Standardisierungen im Umgang mit E Mails an vorbestimmte Adressen oder Dom nen so voreingestellt werden dass diese Regelungen unabh ngig von den Nutzeraktionen immer ziehen Dar ber hinaus kann das Ruleset der Appliance bei Bedarf durch das eigens daf r bereit gestellte Addin siehe MS Outlook Addin 35 bzw Betreffzeilen Schl sselworte bersteuert werden Wobei diese Befehlsw rter in der Regel vom Kunden vorgegeben und angepasst werden k nnen Folgende Befehlsw rter sind in der Standardinstallation vorgegeben plain E Mail mit diesem Kennzeichen durchlaufen nicht das Ruleset und werden somit cryptographisch unbehandelt versendet confidential Anfordern der Verschl sselung priv E Mail mit diesem Kennzeichen werden mittels GINA Technologie verschl sselt Stichwort Lesebest tigung emptypw Die Notwendigkeit der Eingabe eines Initialpasswortes bei GINA E Mails wird unterdr ckt Sicherheitstechnisch bedenklich SMS lt Mobilfunknummer gt Mobilfunknummer zur bertragung des Initialpasswortes einer GINA E Mail noenc Verschl sseln wird unterdr ckt sofern dies als Standard im Ruleset definiert
352. wird der Administrator oder Helpdesk entlastet und der GINA Mail Empf nger zeitnah mit einem neuen Zugangspasswort versorgt Bei der nun folgenden Anmeldung wird der Empf nger zur Neuvergabe eines eigenen Passwortes aufgefordert Ce SEPPMAIL Abb 6 gie SEPPMAIL Neuen Benutzer registrieren Benutzerkonto Details Ad Abb 6a g Der Entschl sselungsvorgang Wie Eingangs schon erw hnt ben tigt der GINA Mail Empf nger ausser einem Client zum Empfangen von E Mails und somit Internetzugang sowie einen Browser keine weiteren 2015 SEPPmail AG 31 Komponenten Beim ffnen des HTML Attachments und w hrend der Eingabe des Zugangspasswortes wird im Hintergrund ber eine https Strecke das Passwort gepr ft und die E Mail an die SEPPmail Appliance tempor r zur Entschl sselung eingeliefert und danach ber den GINA Webmailer im Klatext dargestellt Abb 7 Sender A Empf nger da m via https Strecke wird die verschl sselte E Mail beim Anmeldeprozess des Empf ngers zum Entschl sseln tempor r an die SEPPmail Appliance gesendet via https Strecke wird die entschl sselte E Mail zum Empf nger voll st ndia ausaeliefert Abb 7 Die verschl sselte E Mail bleibt zu jeder Zeit im E Mail System des Empf ngers Damit obliegt das Backup bzw das Archivieren der E Mail beim Empf nger Ohne diese E Mail hat er auch keine M glichkeit diese ber einen anderen Weg zu ffnen Ein potentieller Angre
353. wird kann die Verarbeitung m glicherweise abgeschlossen werden 5XX Mailserver hat einen fatalen Fehler festgestellt Die Anforderung kann nicht verarbeitet werden Quelle Wikipedia Detaillierte Auflistungen der Fehlercodes sind zum Beispiel unter http www supermailer de smtp_reply _codes htm zu finden text optional Der Informationstext spezifiziert den Grund des Abweisens n her Default Wird dieser Parameter nicht angegeben so wird der Text mail NOT accepted ausgegeben Beispiel drop 451 Die Nachricht konnte nicht entschluesselt werden Erkl rung In diesem Beispiel wird eine E Mail mit dem smtp code 451 Requested action aborted local error in processing und dem zus tzlichen Hinweistext Die Nachricht konnte nicht entschluesselt werden zur ckgewiesen 2015 SEPPmail AG 264 8 6 5 reprocess Der Befehl reprocess erm glicht es eine oder mehrere E Mail s erneut zu verarbeiten Alle an eine E Mail angeh ngten E Mails oder auch openPGP verschl sselten Dateien werden erneut verarbeitet und an den Absender zur ckgesendet Dies kann dann erforderlich sein wenn sich im Posteingang eines Benutzers noch verschl sselte E Mails befinden Diese E mails k nnen als Anhang einer neuen E Mail des betroffenen Benutzers zur erneuten Verarbeitung also zum entschl sseln an die Appliance gesendet werden Der Befehl hat keinen R ckgabewert Dieser Befehl hat keinen Parameter Hinweis
354. wurde sign Anfordern der Signierung nosign Signieren wird unterdr ckt sofern dies als Standard im Ruleset definiert wurde lfm Aktiviert das Large File Management unabh ngig der E Mail Gr sse Ifm nocrypt Der Empf nger Einer LFM Mail muss sich f r das Abholen des Large Files nicht authentifizieren Funktionen welche Zusatzllizenzen erfordern Diese Schl sselworte stehen nat rlich nur dann zur Verf gung wenn die zugeh rigen Funktionen vom Administrator im Ruleset auch aktiviert wurden 2015 SEPPmail AG 23 3 2 5 GINA Webmail SEPPmail verf gt ber eine patentierte Technologie zur Unterst tzung von Benutzern ohne Secure E Mail Infrastruktur Diese Technologie ben tigt lediglich einen Web Browser und die M glichkeit E Mails zu empfangen also Internetzugang Weitere Anforderungen an die Infrastruktur des Benutzers bestehen nicht Diese Technologie bietet im Vergleich zu anderen auf dem Markt verf gbaren L sungen f r die sichere E Mail Kommunikation mit beliebigen Partnern wichtige Vorteile Normales secure Webmail Selbstextrahierendes Archiv Ausstellen eigener 5 MIME Zertifikate PDF Verschl sselung Spezieller Client Keine Speicherung ausgehender E Mails Phishing Resistent Resistent gegen Brute Force Attacken Eingeschriebenes E Mail m glich Keine Installation beim Empf nger Auf den g ngigen Plattformen lesbar Tug kEastor Authentication a Schritt 1 Sender
355. zenz Anti spam Anti virus siehe Home mg License verf gbar Check mails for viruses and send infected mails to leave empty to reject infected mails Send notification to this email address if a virus was found Check incoming mails for spam and add the following text to the subject to identify spam Tag level Check incoming mails for spam and redirect spam to leave empty to reject spam Spam level Mit Auswahl dieser Option wird der Virenscanner aktiviert Infizierte E Mails werden an die optional einzugebende E Mail Adresse gesendet Quarant ne Bleibt das Eingabefeld f r die E Mail Adresse leer so werden infizierte E Mails abgewiesen bounced Wird an dieser Stelle eine E Mail Adresse angegeben so werden an diese Benachrichtigungen ber Virenfunde gesendet Mit Auswahl dieser Option werden als SPAM klassifizierte E Mails dem angegebenen Text in der Betreffzeile versehen und an den Empf nger weitergeleitet Basis der Klassifizierung ist der angegebene Tag level siehe n chste Option Der Standartext f r diese Markierung lautet SPAM Achtung reine Texteingabe keine Regular Expression Auswahl des Schwellwertes f r die SPAM Erkennung Je niedriger dieser Wert gesetzt wird desto strenger sind die Kriterien f r die SPAM Erkennung Im Standard ist der Wert 5 gew hlt Bei niedrigen Werten erh ht sich das Risiko von Falscherkennungen so dass legitime E Mails als SPAM erkannt und markier
356. zertifikat auf Personenebene Bei dieser Variante wird nur ein einziges Zertifikat f r das Unternehmen ben tigt Da S MIME Zertifikate grunds tzlich jedoch nur f r eine E Mail Absenderadresse g ltig sind erhalten alle ausgehenden E Mails den gleichen technischen Absender Das heisst alle E Mails des Unternehmens egal wer im Unternehmen der Absender ist erscheinen beim Empf nger mit derselben E Mail Adresse Daraus resultieren einige Probleme gt Zwar wird beim Empf nger der korrekte Benutzername angezeigt jedoch wird ein automatisches Erfassen von Kontakten und zugeh rigen E Mail Adressen nicht mehr wie erwartet funktionieren gt Aufgrund der H ufigkeit mit welcher diese eine Absenderadresse bei Einsatz dieser Technologie verwendet wird besteht eine hohe Wahrscheinlichkeit dass diese f lschlicherweise als SPAM eingestuft wird Das h tte zur Folge dass bei den meisten Empf ngern alle E Mails des Unternehmens abgewiesen w rden gt Non Delivery Reports NDR also Informations Mails welche bei Nicht Zustellbarkeit erzeugt werden werden nicht an den urspr nglichen sondern an den technischen Absender gesendet gt Fazit Diese Art der Signatur ist im produktiven Umfeld absolut nicht zu empfehlen da ber kurz oder lang massive Support Aufw nde generiert werden 2015 SEPPmail AG 16 2 4 Zentrale Firmen E Mail Fussnote Das SEPPmail Secure E Mail Gateway kann Ihre E Mails mit Firmen E Mail Disclaime
357. zum Beispiel Datenbanken und Module auf voneinander abh ngige Release St nde gezogen werden m ssen Auch ist die L sung dadurch im Voraus zu testen 3 3 6 5 SysLog Die SEPPmail Appliance bietet die M glichkeit ihre gesamten Logs an SysLog Server zur zentralen berwachung Archivierung zu liefern Die RFC 3164 Konformit t ist gegeben Neben dem Mail Log k nnen bei Bedarf alle Admininistrationsoberfl chen wie auch GINA Ereignisse in einem PCI konformen Format eingerichtet werden CEF Format zum Beispiel f r ArcSight 3 3 6 6 Report Ein Statusreport wird einmal t glich von der Appliance per E Mail sowohl an den Administrator wie auch dem Statistik Verantwortlichen versendet Dabei werden Notifications und Warnings angezeigt wieviele Root Certificate zur Pr fung anstehen und je eine graphische Statistik zu Durchsatz Reseived Sent Encrypted Decrypted Technologie Webmail S MIME openPGP Domain optional Spam incoming Spam Blacklisted Greylisted Prozessor und Speicherauslastung ausgeworfen Dar ber hinaus stellt das System auch noch Reports im csv Format zur Anzahl der versendeten oder empfangenen E Mails und den verwendeten Technologien pro Benutzer und Dom ne zur Verf gung 2015 SEPPmail AG 46 Notifications and Warnings Root Certificates NOTE There are 29 Root Certificates with undefined state Statisties Throughput Visualisation 10 09 08 07 06 oa 04 0 3 0 2 0 1 0 0 0200 04 00
358. zung hierf r ist dass ihm auch eine g ltige E Mail Adresse innerhalb der E Mail Dom ne des SEPPmail Betreibers bekannt ist Dies bedingt auch das Aktivieren der Option Allow GINA users to write new mails Hierdurch wird dem angemeldeten GINA Benutzer erlaubt nach ffentlichen S MIME beziehungsweise openPGP Schl sseln von internen SEPPmail Benutzern ber dasGINA Portal zu suchen Mit dieser Option wird zus tzlich die Suche von ffentlichen Dom nen Schl sseln der auf der SEPPmail Appliance verwalteten E Mail Dom nen zu suchen Wird dieser Haken gesetzt so wird die Schl ssel Suche nicht nur angemeldeten GINA Benutzern sondern jedem der sich auf das GINA gt Portal verbindet erlaubt Da im GINA Interface f r eine Schl ssel Suche immer die E Mail Adresse des Empf ngers eingegeben werden muss ist ein Adress Harvesting nicht m glich Diese Option erlaubtGINA Benutzern initial E Mails an Empf nger innerhalb der E Mail Dom ne des SEPPmail Betreibers zu senden und nicht nur auf erhaltene GINA Mails zu Antworten Mit diesem Parameter wird festgelegt ob Empf nger von GINA Mails beim Antworten den oder die Empf nger editieren d rfen Erlaubt es einen GINA Benutzer an alle Empf ngern einer GINA E Mail auch externen also denen die nicht der E Mail Dom ne des urspr nglichen Absenders angeh ren zu antworten 2015 SEPPmail AG 168 Hinweis Wurde diese Option gew hlt so k nnen bei gleichzeitig d
359. zurichtende Mandanten Admins der jeweilige Mandant spezifische Aufgaben selbst bernehmen wie zum Beispiel e V ornehmen von GINA Einstellungen und Layouts e Pr fen von Log Dateien e Verwalten von SEPPmail Benutzern f r die Signierung Verschl sselung e Verwalten von GINA Benutzern e Verwalten von LFM Benutzern optional Die Art und Weise der E Mail Verarbeitung wird jedoch grunds tzlich zentral verwaltet und ist somit f r jeden Mandanten identisch Das bedeutet der MSP macht seinen Kunden Vorgaben bez glich der E Mail Verarbeitung Diese ist im Ruleset definiert und enth lt zum Beispiel e Merkmale f r das Steuern der Appliance o Tags zum Beispiel confidential sign usw o E Mail Header Sensitivity Parameter welcher zum Beispiel aus dem Outlook Vertraulichkeitsflag resultiert o X Header zum Beispiel aus dem kostenfreien Seppmail Outlook Addin e Tags f r das R ckmelden durchgef hrter Aktionen o Tags zum Beispiel secure signed ok usw o Header Setzen des Sensitivity Parameter Vertraulichkeits Flag e Automatisches Erzeugen von SEPPmail Benutzern e MPKI von welcher CA Zertifikate automatisiert bezogen werden Ist jedoch das zur Verf gungstellen von unterschiedlichen Verfahrensweisen der E Mail Verarbeitung Ruleset Einstellungen unterschiedliche MPKI pro Mandant unumg nglich so kann dies durch 2 Arten gel st werden e Installieren von mehreren Instanzen mit unterschiedlichen Rulesets e Das Sta
Download Pdf Manuals
Related Search