SEPPmail Appliance Benutzerhandbuch

Transcription

SEPPmail Appliance
Version 7.4.8
Benutzerhandbuch
mit Ruleset
2
Inhaltsverzeichnis
Part I
Vorwort
Part II
Einleitung
9
11
1 Dokumentationsvereinbarungen
.......................................................................................................................... 12
2 Sichere
..........................................................................................................................
E-Mail Kommunikation durch Verschlüsselung
13
3 Digitale
..........................................................................................................................
E-Mail Signaturen
16
4 Zentrale
..........................................................................................................................
Firmen E-Mail Fussnote
17
5 Kompatibilität
..........................................................................................................................
zu anderen Secure E-Mail Systemen
17
6 Remote-Administration
..........................................................................................................................
mittels Web-Portal
17
7 Unterstützung
.......................................................................................................................... 17
Part III
Die SEPPmail Appliance
18
1 SEPPmail
..........................................................................................................................
AG (Hersteller)
18
2 Vorstellung
..........................................................................................................................
und Verfahren
19
Produktphilosophie
........................................................................................................................................................ 19
Fünf
........................................................................................................................................................
generische Prinzipien
20
Verschlüsselungstechnologien
........................................................................................................................................................ 21
S/MIME
........................................................................................................................................................
(X.509)
21
........................................................................................................................................................
Managed PKI
21
........................................................................................................................................................
Güte eines Zertifikates
22
OpenPGP
........................................................................................................................................................ 23
Gateway-to-Gateway
........................................................................................................................................................
(Domänen) Verschlüsselung
23
........................................................................................................................................................
Managed Domain Service
23
GINA-Webmail
........................................................................................................................................................ 24
........................................................................................................................................................
Mobile Computing Support
33
........................................................................................................................................................
Interne Nutzer von mobilen Endgeräten
33
Externe Empfänger von verschlüsselten E-Mails auf mobilen
........................................................................................................................................................
Endgeräten
34
........................................................................................................................................................
Kompatibiolitätsmatrix für Empfänger von GINA-Web-Mails
34
........................................................................................................................................................
Administration und Management
34
TLS
........................................................................................................................................................ 35
Verschlüsselungshierarchie
........................................................................................................................................................ 36
LDAP
Key-Lookup für S/MIME und OpenPGP
........................................................................................................................................................
36
Elektronische
Signaturen
........................................................................................................................................................
37
Microsoft
Outlook AddIn
........................................................................................................................................................
38
3 Aufbau
..........................................................................................................................
und Architektur
39
Appliance
........................................................................................................................................................ 39
Hardware
........................................................................................................................................................
Modelle
39
Virtualisierte
........................................................................................................................................................
Versionen
40
Sizing
........................................................................................................................................................ 41
Software
........................................................................................................................................................ 42
Zentrales
Regelwerk (Rule Engine)
........................................................................................................................................................
42
Architekturen
........................................................................................................................................................ 43
Im........................................................................................................................................................
vollen Mailstrom
43
........................................................................................................................................................
Kleine Umgebungen
43
© 2016 SEPPmail AG
3
........................................................................................................................................................
Grössere beziehungsweise komplexere Umgebungen
44
Über
........................................................................................................................................................
spezielles Routing angesteuert
46
Schnittstellen
........................................................................................................................................................ 46
Hochverfügbarkeit,
Loadbalancing
........................................................................................................................................................
47
Multi
........................................................................................................................................................
Master LDAP
47
Queue-Less-Betrieb
........................................................................................................................................................ 47
Failover
........................................................................................................................................................
und Loadbalancing
47
........................................................................................................................................................
Cluster: Multimaster LDAP & Queue-Less Betrieb
48
System
Management
........................................................................................................................................................
49
Administration
........................................................................................................................................................ 49
Rollenrechte
........................................................................................................................................................ 49
Backup
........................................................................................................................................................
/ Restore
50
Systemupdate
........................................................................................................................................................ 50
SysLog
........................................................................................................................................................ 50
Systemüberwachung
........................................................................................................................................................ 50
Report
........................................................................................................................................................ 50
Mandantenfähigkeit
- Public / Private Cloud Implementierung
........................................................................................................................................................
52
4 Sicherheit
.......................................................................................................................... 53
5 Zusätzliche
..........................................................................................................................
Features
55
Protection
Pack (PP)
........................................................................................................................................................
55
Self
Service Password Management (SSPM)
........................................................................................................................................................
55
Large
File Transfer (LFT)
........................................................................................................................................................
55
Internal
Mail Encryption (IME)
........................................................................................................................................................
58
6 Lizenzen
.......................................................................................................................... 60
Basissysteme
und Lizenz
........................................................................................................................................................
60
Protection
........................................................................................................................................................
Pack
60
Signatur
und Verschlüsselung
........................................................................................................................................................
60
Self
........................................................................................................................................................
61
Large
File Transfer (LFT)
........................................................................................................................................................
61
Internal
........................................................................................................................................................
61
Part IV
Inbetriebnahme der Secure E-Mail Gateway
Appliance
62
1 Bevor
..........................................................................................................................
Sie beginnen
62
2 Integration der SEPPmail Appliance in Ihre E-Mail
Umgebung
..........................................................................................................................
(Standard Konfiguration)
63
3 Benötigte
..........................................................................................................................
Informationen zur Inbetriebnahme
64
4 Firewall
..........................................................................................................................
/ Router einrichten
65
5 SEPPmail
..........................................................................................................................
Appliance-Appliance anschliessen
68
6 Basiskonfiguration
..........................................................................................................................
in wenigen Schritten
69
Netzwerkeinstellungen
und Systemregistrierung
........................................................................................................................................................
69
Initialer
........................................................................................................................................................
Verbindugsaufbau
69
........................................................................................................................................................
Virtuelle Appliance
69
........................................................................................................................................................
Hardware Appliance
70
........................................................................................................................................................
Consolen Login
71
Login
........................................................................................................................................................
als Administrator
73
Netzwerkeinstellungen
........................................................................................................................................................
der SEPPmail Appliance
74
Netzwerkkonfiguration
........................................................................................................................................................
prüfen
75
Das
........................................................................................................................................................
System registrieren
75
Das
System auf den neusten Stand bringen
........................................................................................................................................................
76
Wichtige
Sicherheitsmassnahmen
........................................................................................................................................................
76
© 2016 SEPPmail AG
4
Administrator
........................................................................................................................................................
Kennwort ändern
76
Festlegen
........................................................................................................................................................
des HTTPS Protokolls für den sicheren Zugriff zum System
77
Backup
........................................................................................................................................................
Benutzer erstellen
77
Eingabe
........................................................................................................................................................
der Postmaster Adresse für den Empfang von Systemmeldungen
77
Ruleset
........................................................................................................................................................
generieren
77
7 Vorbereiten
..........................................................................................................................
der GINA-Technologie
78
8 Integration
..........................................................................................................................
in die bestehende E-Mail Infrastruktur
79
Zu
verwaltende E-Mail Domänen einrichten
........................................................................................................................................................
79
Ausgehenden
E-Mail Verkehr steuern
........................................................................................................................................................
79
Mail
Relaying
........................................................................................................................................................
79
SSL
Zertifikat einbinden
........................................................................................................................................................
80
SSL
........................................................................................................................................................
Zertifikat selbst erstellen
80
SSL
........................................................................................................................................................
Zertifikat von einer öffentlichen Zertifizierungsstelle anfordern
81
Bestehendes
........................................................................................................................................................
SSL Zertifikat einbinden
83
E-Mail
Datenfluss umstellen
........................................................................................................................................................
85
Steuern
der Appliance
........................................................................................................................................................
86
Betreffzeilen
........................................................................................................................................................
Schlüsselworte / X-Header
86
Microsoft
........................................................................................................................................................
Outlook Vertraulichkeit
87
Microsoft
........................................................................................................................................................
Outlook AddIn
88
9 Clustern
..........................................................................................................................
mehrerer Systeme
89
Allgemein
........................................................................................................................................................ 89
Hochverfügbarkeits
Cluster
........................................................................................................................................................
91
Loadbalancing
Cluster
........................................................................................................................................................
93
Aufteilen
........................................................................................................................................................
des Ein- und Ausgehenden Verkehrs
93
Nutzen
........................................................................................................................................................
des DNS Round Robin Verfahrens
95
Nutzen
........................................................................................................................................................
eines externen Loadbalancers
96
Geo
Cluster
........................................................................................................................................................
98
Frontend/Backend
Cluster
........................................................................................................................................................
99
GINA
Satellite
........................................................................................................................................................
100
Unterstützen
externer redundanter Systeme
........................................................................................................................................................
101
10 Einrichten
..........................................................................................................................
zusätzlicher Features
102
Protection
Pack (PP)
........................................................................................................................................................
102
Self
........................................................................................................................................................
102
Large
File Transfer (LFT)
........................................................................................................................................................
103
Internal
........................................................................................................................................................
103
Part V
Administrative Aufgaben
104
Part VI
Microsoft Outlook AddIn
105
1 Einleitung
.......................................................................................................................... 105
2 Download
.......................................................................................................................... 106
3 Systemanforderungen
.......................................................................................................................... 106
4 Installation
.......................................................................................................................... 106
Interaktive
Installation
........................................................................................................................................................
107
Silent
Installation
........................................................................................................................................................
109
Deinstallation
........................................................................................................................................................ 110
5 Registry
.......................................................................................................................... 110
6 AddIn
..........................................................................................................................
Verwaltung
112
Part VII
Referenz der Menüpunkte
© 2016 SEPPmail AG
113
5
1 Allgemein
.......................................................................................................................... 113
2 Übersicht
..........................................................................................................................
der Menüpunkte
113
3 Login
..........................................................................................................................
/ Logout
115
4 Home
.......................................................................................................................... 116
5 System
.......................................................................................................................... 119
6 Mail
..........................................................................................................................
System
137
Add/Edit
managed domain
........................................................................................................................................................
147
Import
........................................................................................................................................................
openPGP key
154
Import
........................................................................................................................................................
S/MIME key
154
Extended
postfix MTA settings
........................................................................................................................................................
155
Add
TLS domain
........................................................................................................................................................
156
7 Mail
..........................................................................................................................
Processing
160
Create
new GINA domain
........................................................................................................................................................
185
Edit
GINA settings
........................................................................................................................................................
186
Edit
........................................................................................................................................................
GINA layout
200
Edit
........................................................................................................................................................
translations
205
Edit
disclaimer
........................................................................................................................................................
206
8 SSL
.......................................................................................................................... 207
Request
a new certificate
........................................................................................................................................................
210
Download
........................................................................................................................................................
and import signed certificate
213
9 CA.......................................................................................................................... 214
QUOVADIS
........................................................................................................................................................ 220
SCEP
........................................................................................................................................................ 223
SwissSign
CMC
........................................................................................................................................................
225
SwissSign
legacy
........................................................................................................................................................
229
10 Administration
.......................................................................................................................... 233
Register
this device
........................................................................................................................................................
238
11 Cluster
.......................................................................................................................... 241
12 Logs
.......................................................................................................................... 245
Mails
currently in queue
........................................................................................................................................................
247
Other
logs
........................................................................................................................................................
247
13 Statistics
.......................................................................................................................... 249
14 Users
.......................................................................................................................... 251
User
details
........................................................................................................................................................
252
Create
new user account
........................................................................................................................................................
256
Password
policy
........................................................................................................................................................
257
15 Groups
.......................................................................................................................... 258
16 GINA
..........................................................................................................................
Accounts
260
Account
details
........................................................................................................................................................
261
17 LFT
..........................................................................................................................
Accounts
263
18 OpenPGP
..........................................................................................................................
Public Keys
264
19 X.509
..........................................................................................................................
Certificates
265
Certificate
retention settings
........................................................................................................................................................
266
20 X.509
..........................................................................................................................
Root Certificates
267
Certificate
details
........................................................................................................................................................
268
21 Domain
..........................................................................................................................
Certificates
271
22 Customers
.......................................................................................................................... 274
© 2016 SEPPmail AG
6
Create
new / Edit settings for customer
........................................................................................................................................................
275
Manage
........................................................................................................................................................
GINA accounts
278
Part VIII
Referenz der Regelwerk-Anweisungen
280
1 Allgemeine
..........................................................................................................................
Informationen
280
Syntax
........................................................................................................................................................ 281
Kontrollstrukturen
- if/else Anweisungen
........................................................................................................................................................
282
Reguläre
Ausdrücke
........................................................................................................................................................
284
2 Allgemeine
..........................................................................................................................
Befehle
287
incoming()
........................................................................................................................................................ 287
notify()
........................................................................................................................................................ 288
3 Vergleichende
..........................................................................................................................
Befehle
290
check_sender()
........................................................................................................................................................ 290
compare()
........................................................................................................................................................ 292
compareattr()
........................................................................................................................................................ 294
comparebody()
........................................................................................................................................................ 296
from_managed_domain()
........................................................................................................................................................ 297
rmatch()
........................................................................................................................................................ 298
rmatchsplit()
........................................................................................................................................................ 299
4 Logging
.......................................................................................................................... 300
log()
........................................................................................................................................................ 300
logheader()
........................................................................................................................................................ 301
logsubject()
........................................................................................................................................................ 302
5 Verwaltung
..........................................................................................................................
von Benutzern
303
authenticated()
........................................................................................................................................................ 303
createaccount()
........................................................................................................................................................ 305
member_of()
........................................................................................................................................................ 306
setuserattr()
........................................................................................................................................................ 307
Verwaltung
von Zertifikaten
........................................................................................................................................................
309
smime_create_key()
........................................................................................................................................................ 309
6 Handhaben
..........................................................................................................................
von Nachrichten
310
archive()
........................................................................................................................................................ 310
autoreply()
........................................................................................................................................................ 311
bounce()
........................................................................................................................................................ 314
deliver()
........................................................................................................................................................ 315
disclaimer()
........................................................................................................................................................ 317
drop()
........................................................................................................................................................ 318
reject()
........................................................................................................................................................ 319
reprocess()
........................................................................................................................................................ 319
Manipulieren
von envelope und header
........................................................................................................................................................
320
add_rcpt()
........................................................................................................................................................ 320
normalize_header()
........................................................................................................................................................ 321
replace_rcpt()
........................................................................................................................................................ 322
replace_sender()
........................................................................................................................................................ 324
rmheader()
........................................................................................................................................................ 326
setheader()
........................................................................................................................................................ 327
splitrecipients()
........................................................................................................................................................ 328
tagsubject()
........................................................................................................................................................ 329
tag_subject()
........................................................................................................................................................
wurde ersetzt!!!
329
Kryptographische
Behandlung
........................................................................................................................................................
330
openPGP
........................................................................................................................................................ 330
........................................................................................................................................................
attachpgpkey()
330
........................................................................................................................................................
pgp_encrypted()
331
© 2016 SEPPmail AG
7
........................................................................................................................................................
Domänen basiert
332
........................................................................................................................................................
decrypt_domain_pgp()
332
........................................................................................................................................................
domain_pgp_keys_avail()
333
........................................................................................................................................................
encrypt_domain_pgp()
334
........................................................................................................................................................
Benutzer basiert
335
........................................................................................................................................................
decrypt_pgp()
335
........................................................................................................................................................
pgp_keys_avail()
336
........................................................................................................................................................
encrypt_pgp()
337
S/MIME
........................................................................................................................................................ 338
........................................................................................................................................................
smime_encrypted()
338
........................................................................................................................................................
Domänen basiert
339
........................................................................................................................................................
decrypt_domain_smime()
339
........................................................................................................................................................
domain_smime_keys_avail()
340
........................................................................................................................................................
encrypt_domain_smime()
341
........................................................................................................................................................
Benutzer basiert
342
........................................................................................................................................................
decrypt_smime()
342
........................................................................................................................................................
smime_keys_avail()
343
........................................................................................................................................................
encrypt_smime()
344
........................................................................................................................................................
smime_signed()
345
........................................................................................................................................................
validate_smime_sig()
346
........................................................................................................................................................
delete_smime_sig()
347
........................................................................................................................................................
has_smime_key()
348
........................................................................................................................................................
sign_smime()
349
GINA
........................................................................................................................................................ 350
........................................................................................................................................................
encrypt_webmail()
350
........................................................................................................................................................
change_webmail_sender()
351
........................................................................................................................................................
pack_mail()
352
........................................................................................................................................................
unpack_mail()
353
........................................................................................................................................................
webmail_keys_avail()
353
........................................................................................................................................................
webmail_keys_gen()
354
Content
Management
........................................................................................................................................................
355
iscalendar()
........................................................................................................................................................ 355
isspam()
........................................................................................................................................................ 356
partoftype()
........................................................................................................................................................ 357
........................................................................................................................................................
Liste von MIME Typen
358
........................................................................................................................................................
Liste der Dateitypen (veraltet)
362
........................................................................................................................................................
Liste von Dateigruppen (veraltet)
363
vscan()
........................................................................................................................................................ 364
whitelist_recipients()
........................................................................................................................................................ 366
7 Zugriff
..........................................................................................................................
auf externe LDAP-Verzeichnisse
367
ldap_read
........................................................................................................................................................ 367
ldap_compare()
........................................................................................................................................................ 369
ldap_getcerts()
........................................................................................................................................................ 374
ldap_getpgpkeys()
........................................................................................................................................................ 375
8 Vordefinierte
..........................................................................................................................
Funktionen
376
Allgemein
........................................................................................................................................................ 376
@ADDDISCLAIMER@
........................................................................................................................................................ 376
@ARCHIVE@
........................................................................................................................................................ 376
@PLAINTEXT@
........................................................................................................................................................ 377
Benutzerverwaltung
........................................................................................................................................................ 378
@CREATEUSER@
........................................................................................................................................................ 378
@CREATEGPGKEYS@
........................................................................................................................................................ 378
GINA-Beutzerverwaltung
........................................................................................................................................................ 379
@CREATESEPPMAILACCOUNT@
........................................................................................................................................................ 379
Signatur
........................................................................................................................................................ 380
© 2016 SEPPmail AG
8
@SIGNTEXT@
........................................................................................................................................................ 380
@NOSIGNTEXT@
........................................................................................................................................................ 380
@TAGSIGNED@
........................................................................................................................................................ 381
@TAGSIGNEDINVALID@
........................................................................................................................................................ 381
@REMOVETAGS@
........................................................................................................................................................ 382
@REMOVETAGSIGNED@
........................................................................................................................................................ 382
@REMOVETAGSIGNEDINVALID@
........................................................................................................................................................ 382
Verschlüsselung
........................................................................................................................................................ 383
@TRIGGERTEXT@
........................................................................................................................................................ 383
@NOENCTEXT@
........................................................................................................................................................ 383
@KEYSERVER@
........................................................................................................................................................ 384
@TAGDECRYPTED@
........................................................................................................................................................ 385
@REMOVETAGDECRYPTED@
........................................................................................................................................................ 385
LFT
........................................................................................................................................................ 386
@REMOVELFMTAGS@
........................................................................................................................................................ 386
Header
Tagging
........................................................................................................................................................
387
@TAGHEADERENCRYPTED@
........................................................................................................................................................ 387
@TAGHEADERDECRYPTED@
........................................................................................................................................................ 387
9 Anwendungsbeispiele
..........................................................................................................................
für das Regelwerk
388
Bounce
von E-Mails nicht authentifizierter Benutzer
........................................................................................................................................................
389
Einschränken
des automatischen Generierens von Benutzern auf einen
........................................................................................................................................................
391
bestimmten Personenkreis via LDAP
Einschränken
des für kryptographische Aktionen berechtigten
........................................................................................................................................................
392
Personenkreises
mittelszwischen
LDAP Abfrage
GINA-Verschlüsselung
Mandanten erzwingen
........................................................................................................................................................
395
Behandlung
von E-Mails zwischen Mandanten
........................................................................................................................................................
397
Unterdrücken
oder Forcieren kryptographischer Aktionen an eine bestimmte
........................................................................................................................................................
400
E-Mail Adresse
Part IX
HowTo
402
1 IBM Notes: Schaltfläche für verschlüsseltes Senden
erzeugen
.......................................................................................................................... 403
2 IronPort:
..........................................................................................................................
Anbinden der SEPPmail Appliance
404
3 Microsoft
..........................................................................................................................
Office365: Anbinden der SEPPmail Appliance
407
4 Mehrere
..........................................................................................................................
SMTP-Authentifizierungen verwalten
416
5 Migrieren der Daten von einer „on premise Appliance“ auf
eine
..........................................................................................................................
Mandanten Instanz einer MSP-Appliance
418
© 2016 SEPPmail AG
9
1
Vorwort
Die SEPPmail AG behält sich vor, am Inhalt dieses Dokuments jederzeit und unangekündigt,
Änderungen vorzunehmen. Sofern nicht anders vermerkt sind Namen und Daten von Personen oder
Unternehmen, die in diesem Dokument als Anwendungsbeispiele verwendet werden, frei erfunden.
Das Herstellen einer angemessenen Zahl von Kopien dieses Dokuments ist gestattet, jedoch nur für
den internen Gebrauch. Zu anderen Zwecken darf dieses Dokument weder kopiert noch reproduziert
werden; weder teilweise noch vollständig, nicht elektronisch, mechanisch oder auf irgendeine andere
Weise, ausser mit ausdrücklicher, schriftlicher Genehmigung der SEPPmail AG.
Der Inhalt dieses Dokuments kann möglicherweise verändert worden sein, falls dieses nicht direkt von
SEPPmail AG bezogen wurde. Auch wenn dieses Dokument mit der grössten Sorgfalt angefertigt
wurde, übernimmt die SEPPmail AG keine Verantwortung für etwaige Fehler oder Unvollständigkeiten.
Das Benutzen dieses Dokuments beinhaltet die Zustimmung zu dessen Gebrauch ohne
Mangelgewähr und ohne jegliche Garantien. Jeglicher Gebrauch der hier aufgeführten Informationen
erfolgt auf eigenes Risiko.
PGP und Pretty Good Privacy sind gesetzlich geschützte Warenzeichen der PGP Corporation, gültig in
den USA und anderen Ländern. Java und alle Java-basierten Marken sind Warenzeichen Oracle
Corporation, gültig in den USA und anderen Ländern. UNIX ist ein eingetragenes Warenzeichen unter
der Verfügung der X/Open Company, gültig in den USA und anderen Ländern. Microsoft, Internet
Explorer, Windows, Windows NT, Windows 2000, Windows XP, Windows Vista, Windows 7, Windows
8 und Windows 10 sind entweder eingetragene Warenzeichen oder gesetzlich geschützte
Warenzeichen der Microsoft Corporation, gültig in den USA und anderen Ländern. Netscape und
Netscape Navigator sind gesetzlich geschützte Warenzeichen der Netscape Communications
Corporation, gültig in den USA und anderen Ländern. Google Chrome ist ein gesetzlich geschütztes
Warenzeichen der Google Inc., gültig in den USA und anderen Ländern. Alle etwaigen anderen hier
aufgeführten Warenzeichen sind Eigentum ihrer jeweiligen Besitzer und werden hier ohne die Absicht
der Markenverletzung verwendet.
OpenBSD ist ein Betriebssystem, das unter dem Berkeley Copyright vertrieben wird (www.openbsd.
org).
Postfix ist ein open source E-Mail Server (www.postfix.org).
LibreSSL ist eine vom OpenBSD-Team von nicht benötigten Bestandteilen befreite Abspaltung von
OpenSSL und wird unter der OpenBSD Lizenz vertrieben (www.libressl.org).
Apache Webserver und Apache Tomcat werden unter dem Apache Software Foundation Copyright
entwickelt (www.apache.org).
OpenLDAP ist eine Implementierung des LDAP, die als freie Software unter der, BSD-Lizenz
ähnlichen, OpenLDAP Public License veröffentlicht wird (www.openldap.org).
GnuPG ist Software, die unter der GNU Public License vertrieben wird (www.gnupg.org).
SpamAssassin ist ein Filterprogramm, mit dem unerwünschte E-Mails (Spam) automatisch aussortiert
werden können und ist als freie Software unter den Bedingungen der Version 2 der Apache-Lizenz
freigegeben (http://www.spamassasin.org).
ClamAV ist ein unter der GPL stehendes von der Sourcefire Inc. (http://www.sourcefire.com/)
entwickeltes Virenschutzprogramm (http://www.clamav.net).
Hinweise auf kommerzielle Produkte, Verfahren oder Dienstleistungen, durch Nennung des Produktoder Herstellernamens oder auf beliebige andere Weise, kommen nicht notwendigerweise einer
Billigung, Empfehlung oder Favorisierung durch die SEPPmail AG gleich.
Einfuhr, Ausfuhr und Benutzung dieser und anderer Verschlüsselungsprodukte sind möglicherweise
gesetzlich eingeschränkt.
© 2016 SEPPmail AG
10
In diesem Dokument vom Verfasser geäusserte Ansichten und Meinungen drücken nicht
notwendigerweise jene der SEPPmail AG aus und dürfen nicht zum Zweck der Werbung oder der
Produktempfehlung benutzt werden. Verweise auf Internetadressen sind vor der Drucklegung
gründlich geprüft worden. Aufgrund des ständigen Wandels der Internetinhalte kann die SEPPmail AG
aber keine Garantie für das Vorhandensein und den Inhalt der angegebenen Quellen übernehmen.
Sollten Sie in dieser Anleitung fehlerhafte Links finden, teilen Sie uns diese bitte unter Angabe des
betroffenen Links und der Versionsnummer dieser Anleitung an die Adresse [email protected] mit.
Druck: September 2016, CH-5432 Neuenhof
© 2016 SEPPmail AG
11
2
Einleitung
Willkommen zur Secure E-Mail Lösung von SEPPmail
Das vorliegende Handbuch soll vollumfänglich über das Produkt SEPPmail Appliance sowie die darin
verwendeten Komponenten informieren.
Damit der für die jeweilige Lesergruppe relevante Teil leichter zu finden ist, wurde es in folgende
Teilbereiche gegliedert:
Teil I
Vorwort
9
Einleitung
Beinhaltet allgemeine Hinweise, wie dieses Handbuch zu verwenden ist.
Weiterhin enthält dieses Kapitel allgemeine Informationen bezüglich des
kryptographischen Behandelns von E-Mails.
Teil II
Teil III
18
Teil IV
62
Teil V
Einführung in das Produkt
Allgemeine Informationen zu kryptographischen Verfahren, sowie
wichtige Produktmerkmale der SEPPmail Appliance und Vorstellung aller
Features und deren Funktionsweisen.
Inbetriebnahme des SEPPmail Secure E-Mail Gateways
Dies beinhaltet eine Basiskonfiguration der SEPPmail Appliance, sowie
das Integrieren in das Netzwerk und das Anpassen der vorhandenen EMail und Netzwerk-Umgebung.
Beschreibt die regelmässig anfallenden Aufgaben zur Wartung der
SEPPmail Appliance.
104
Teil VI
105
Teil VII
113
Teil VIII
Teil IX
280
402
Beschreibt das Einrichten und Bedienen des zur Steuerung der
Appliance kostenfrei zur Verfügung gestellten Microsoft Outlook AddIn.
Hier werden die Konfigurationsmöglichkeiten innerhalb der MenüStruktur detailliert beschrieben.
Referenz der Regelwerk Anweisungen
An dieser Stelle werden Befehle für individuelle Regelwerk Anweisungen
erklärt, wie sie gegebenenfalls zur Integration in komplexe
Infrastrukturen benötigt werden.
HowTo
In diesem Kapitel werden Vorgehensweisen und Konfigurationsbeispiele
aus der Praxis aufgeführt, zum Teil auch für das Anbinden an
Drittanbieter Komponenten.
© 2016 SEPPmail AG
12
2.1
Dokumentationsvereinbarungen
Um die Dokumentation übersichtlicher zu gestalten, werden unterschiedliche Schreibweisen
und Symbole verwendet. Eine Übersicht der verwendeten Symbole und Schreibweisen für zum
Beispiel Programmiercode, Menüpunkte oder Schaltflächen ist in der folgenden Tabelle
dargestellt:
Hinweis auf mögliche Fehlerquellen oder Abschnitte in denen besondere
Sorgfalt bei der Konfiguration notwendig ist.
Wichtiger Hinweis
Kapitelverweis
Verweis auf ein Kapitel in dieser Dokumentation
Menü
Menüpunkt
Untermenü
Untermenü
Sektion
Abschnitt
Teilabschnitt
Sektion
Abschnitt
Teilabschnitt
"Option"
Option
Eingabe
Spezielle Eingabefelder, Eingabewerte
Schaltfläche
Schaltfläche
Rückmeldung
Positive Rückmeldung des Systems
Fehlermeldung
Negative Rückmeldung des Systems
command();
Programmiercode
@function@
Programmierfunktion
(neu in X.X.X)
(geändert in X.X.X)
Neuerungen und Änderungen werden jeweils mit dem Hinweis
gekennzeichnet. Somit kann im Dokument jeweils nach den
entsprechenden Stellen gesucht werden.
Eine Komplette Revision History ist jeweils auf der Appliance selbst
einzusehen (siehe auch Check for Update 233 ).
Da insbesondere in den technisch relevanten Teilen (ab Teil IV) sehr viel mit Verweisen gearbeitet
wird, empfiehlt sich für Administratoren das Handbuch in elektronischer Form zu verwenden.
© 2016 SEPPmail AG
13
2.2
Sichere E-Mail Kommunikation durch Verschlüsselung
Grundsätzlich unterscheidet man zwischen symmetrischer und asymmetrischer Verschlüsselung.
Dabei hat jedes Verfahren seine Vor- und Nachteile.
Symmetrisch
Bei der symmetrischen Verschlüsselung wird mit einem Schlüssel verschlüsselt. Der
Kommunikationspartner muss für das Entschlüsseln im Besitz des gleichen Schlüssels sein. Das
heisst jedoch, für jeden Kommunikationspartner muss ein eigener Schlüssel verwendet werden.
Problematisch dabei ist der sichere Austausch der Schlüssel, sowie das Verwalten der Schlüssel bei
vielen Kommunikationspartnern. Diese Art des Verschlüsselns ist wenig rechenintensiv und somit
schnell und Ressourcen schonend.
Asymmetrisch
Bei der asymmetrischen Verschlüsselung werden zwei Schlüssel verwendet, ein öffentlicher Teil
(public key) und ein privater Teil (private key oder secret key). Dabei gleicht der öffentliche Schlüssel
einem Vorhängeschloss, der private Schlüssel dem passenden Schlüssel zu diesem Schloss. Somit
muss dem Absender eines zu verschlüsselnden Dokumentes muss nur der „public key“ des
Empfängers bekannt sein. Nur der Empfänger mit dem dazu passenden „privaten Schlüssel“ wird in
der Lage sein, das Dokument wieder zu entschlüsseln.
Somit kann der „public key“ ohne weitere Sicherheitsmassnamen an jeden beliebigen
Kommunikationspartner gegeben werden und ist somit mehrfach verwendbar. Dieses Verfahren ist
allerdings sehr rechenintensiv und deshalb langsam und Ressourcen raubend.
Hybrid
Mit dem hybriden Verfahren werden die Vorteile aus symmetrischer und asymmetrischer
Verschlüsselung genutzt. So wird das zu verschlüsselnde Dokument Ressourcen schonend und
schnell symmetrisch verschlüsselt. Der Austausch des symmetrischen Schlüssels erfolgt mittels
asymetrischer Verschlüsselung. Aus diesem Grund hat sich dieses Verfahren für die
Dokumentenverschlüsselung durchgesetzt.
Bei den nachfolgend beschriebenen Standardverfahren S/MIME und OpenPGP handelt es sich
deshalb ebenfalls um hybride Verfahren.
SEPPmail setzt auf verschiedene standardisierte Verschlüsselungsverfahren und bietet dadurch
höchste Sicherheit für unterschiedliche Kommunikationspartner. In diesem Abschnitt werden die
Verfahren erläutert, die dabei zum Einsatz kommen.
Die SEPPmail Secure E-Mail Gateway Appliance entschlüsselt eingehende E-Mails automatisch. Der
Vorgang ist für den E-Mail Empfänger komplett transparent. Er erhält seine E-Mails unverschlüsselt in
seiner Mailbox und liest diese wie bisher, ohne Zusatzaufwand.
Eingehende E-Mails können mit einer digitalen Signatur versehen sein. Bestandteil dieser Signatur ist
der öffentliche S/MIME Schlüssel (Zertifikat) des Absenders. Um den Verwaltungsaufwand zu
minimieren, speichert die SEPPmail Appliance diese S/MIME Zertifikate nach erfolgreicher Prüfung
automatisch, wodurch sie im Anschluss für das Verschlüsseln von E-Mails an die entsprechenden
Kommunikationspartner bereit stehen.
© 2016 SEPPmail AG
14
Für den sicheren E-Mail Versand wählt die SEPPmail Appliance aus folgenden 5 Methoden die für
den Empfänger bestmögliche aus:
1. S/MIME Benutzerverschlüsselung
Sofern auf der SEPPmail Appliance entsprechendes Schlüsselmaterial vorhanden ist, läuft die
Verschlüsselung mittels S/MIME vollautomatisch ab. Für das Erlangen öffentlicher Schlüssel der
Kommunikationspartner werden diese automatisch aus den S/MIME Signaturen eingehender EMails eingesammelt. Schlüsselpaare für interne Benutzer können auf der SEPPmail Appliance
selbst erstellt oder durch einen öffentlichen Zertifikatsanbieter ausgestellt werden. In beiden Fällen
lassen sich die Zertifikate auch automatisiert erstellen. Die SEPPmail Appliance unterstützt zu
diesem Zweck verschiedene Schnittstellen zu öffentlichen Zertifikatsanbietern (CAs).
2. OpenPGP Benutzerverschlüsselung
OpenPGP funktioniert nach dem gleichen Grundprinzip wie S/MIME. Auch die OpenPGPSchlüssel werden auf der SEPPmail Appliance verwaltet und E-Mails entsprechend automatisch
ver- und entschlüsselt, sofern das benötigte Schlüsselmaterial vorhanden ist. Im Gegensatz zu S/
MIME werden die Schlüssel bei OpenPGP in der Regel immer selbst erzeugt. Dies liegt in der
Tatsache begründet, dass OpenPGP im Gegensatz zu S/MIME nicht hierarchisch aufgebaut ist.
Aus diesem Grund ist auch ein automatisiertes Einsammeln von öffentlichen Schlüsseln ist im
Gegensatz zu S/MIME nicht möglich.
3. E-Mail Domänenverschlüsselung
Die SEPPmail Appliance bietet Ihnen die Möglichkeit, den E-Mail Verkehr permanent zwischen
mehreren E-Mail Domänen zu verschlüsseln. Auch hierfür kommen unterschiedliche Verfahren
zum Einsatz
a) per Managed Domain Services - ohne jeglichen Konfigurationsaufwand - zwischen
allen SEPPmail Appliances
Die SEPPmail Appliances tauschen über den Managed Domain Service vollautomatisiert
die jeweils eigens hierfür durch die Appliance bereit gestellten öffentlichen S/MIME
Domänen Schlüssel aus.
Somit wird grunsätzlich jeglicher E-Mail Verkehr zwischen SEPPmail Appliances
automatisch ver- und entschlüsselt.
Hinweis:
Bei der Verschlüsselung via Managed Domain Service werden auch die
header einer E-Mail verschlüsselt.
Die für das Mailrouting benötigten Informationen werden ausschliesslich aus
dem envelope bezogen.
b) S/MIME zwischen der SEPPmail Appliance und Secure E-Mail Gateways andererer
Hersteller
Dabei stellen sich die Kommunikationspartner gegenseitig jeweils Ihren öffentlichen S/
MIME Domänen Schlüssel zur Verfügung. Da hierfür lediglich jeweils ein Zertifikat benötigt
wird, und eine vorab Kommunikation der beiden Administratoren notwendig ist, kann in der
Regel ein self-signed Certificate verwendet werden.
c) OpenPGP zwischen der SEPPmail Appliance und Secure E-Mail Gateways andererer
Hersteller
Dabei stellen sich die Kommunikationspartner gegenseitig jeweils Ihren öffentlichen
OpenPGP Domänen Schlüssel zur Verfügung.
© 2016 SEPPmail AG
15
4. GINA-Technologie
Bei der GINA-Verschlüsselungstechnologie handelt es sich um ein patentiertes Verfahren. Dabei
werden E-Mails nicht bis zum Abholen durch den Empfänger zwischengespeichert, wie es bei
anderen Web-Mail Verfahren üblich ist, sondern vollständig verschlüsselt an den Empfänger
ausgeliefert. E-Mails sind bei diesem Verfahren vor Phishing-Attacken geschützt, denn neben dem
Kennwort ist für den erfolgreichen Zugriff auch die verschlüsselte E-Mail selbst aus dem Postfach
des Empfängers erforderlich.
Eine GINA-Nachricht enthält die komplette, ursprünglich unverschlüsselte Nachricht - inklusive
Anhänge - in verschlüsselter Form als HTML-Dateianlage. Der Empfänger ruft die Nachricht ab,
indem er die verschlüsselte Dateianlage im lokalen Webbrowser öffnet. Diese wird dann über eine
sichere SSL Verbindung (HTTPS) an die SEPPmail Appliance des Absenders übertragen und dort
nach Eingabe eines Benutzerkennworts entschlüsselt und angezeigt. Durch die Kennworteingabe
wird die Identität des Empfängers bei jedem Abruf geprüft. Im Gegensatz zum herkömmlichen EMail Versand können E-Mail Zustellungen aufgrund der korrekten Authentifizierung des
Empfängers nachgewiesen werden. Die nachfolgende Abbildung zeigt ein Beispiel einer GINANachricht.
Beispiel einer GINA-Nachricht
5. TLS/SSL Transportverschlüsselung
TLS/SSL bietet eine zusätzliche Sicherheit und ergänzt die bisher beschriebenen
Verschlüsselungsmethoden. Die Kommunikation zwischen der SEPPmail Appliance und anderen
E-Mail Servern wird in der Standardkonfiguration immer über einen TLS/SSL gesicherten Kanal
aufgebaut, sofern die Gegenstelle dies unterstützt.
© 2016 SEPPmail AG
16
2.3
Digitale E-Mail Signaturen
Beim Einsatz digitaler E-Mail Signaturen wird die verbindliche E-Mail Kommunikation gewährleistet,
indem die Authentizität einer Nachricht verifiziert werden kann. Somit wird sichergestellt, dass eine
Nachricht unverändert beim Empfänger eintrifft und der angezeigte Absender auch dem tatsächlichen
Absender entspricht.
Die SEPPmail Appliance kann E-Mails entweder mit Benutzer- oder mit Firmen-Zertifikaten signieren.
Die beiden Verfahren werden im Folgenden kurz erläutert:
Digitale E-Mail Signatur mit einem Benutzerzertifikat
Das Signieren von E-Mails mit einem S/MIME-Benutzerzertifikat erlaubt dem Empfänger die
Authentizität der E-Mail mit seinem E-Mail Client zu prüfen. Damit wird sichergestellt, dass der
Absender authentisch ist und die E-Mail während und nach dem Versand nicht verändert wurde. Bei
dieser Methode wird für jeden E-Mail Absender ein eigenes S/MIME-Zertifikat benötigt.
In der Regel können nur Zertifikate offizieller Zertifikatsanbieter (trusted CA) automatisiert vom
Empfänger geprüft werden. Aus diesem Grund wird dringend das Verwenden solcher offiziellen
Zertifikate empfohlen. Die SEPPmail Appliance Appliance bietet mit ihren integrierten CA-Connectoren
die Möglichkeit den Bezug von Zertifikaten einiger offizieller Zertifizierungsstellen zu automatisieren.
Alternativ ist das Signieren von E-Mails auch im E-Mail Client des jeweiligen Absenders möglich. Das
SEPPmail Appliance wird diese E-Mails dann nur noch verschlüsseln. Da sich viele S/MIME-Zertifikate
zum Signieren und Verschlüsseln von E-Mails eignen, kann es sinnvoll sein, solche Zertifikate
zusätzlich auf der SEPPmail Appliance zu installieren. Dadurch können E-Mails bereits an der
SEPPmail Appliance mit den entsprechenden Zertifikaten automatisch entschlüsselt und somit zum
Beispiel zentral archiviert oder auf Viren geprüft werden.
Digitale E-Mail Signatur mit einem Firmenzertifikat
Das Signieren von E-Mails mit einem S/MIME-Firmenzertifikat erfüllt auf Unternehmensebene
denselben Zweck wie das Signieren mit einem S/MIME-Benutzerzertifikat auf Personenebene. Bei
dieser Variante wird nur ein einziges Zertifikat für das Unternehmen benötigt. Da S/MIME-Zertifikate
grundsätzlich jedoch nur für eine E-Mail Absenderadresse gültig sind, erhalten alle ausgehenden EMails den gleichen (technischen) Absender. Das heisst alle E-Mails des Unternehmens - egal wer im
Unternehmen der Absender ist - erscheinen beim Empfänger mit derselben E-Mail Adresse. Daraus
resultieren einige Probleme:
Zwar wird beim Empfänger der korrekte Benutzername angezeigt, jedoch wird ein
automatisches Erfassen von Kontakten und zugehörigen E-Mail Adressen nicht mehr wie
erwartet funktionieren.
Aufgrund der Häufigkeit, mit welcher diese eine Absenderadresse bei Einsatz dieser
Technologie verwendet wird, besteht eine hohe Wahrscheinlichkeit, dass diese
fälschlicherweise als SPAM eingestuft wird.
Das hätte zur Folge, dass bei den meisten Empfängern alle E-Mails des Unternehmens
abgewiesen würden.
Non Delivery Reports (NDR) also Informations-Mails welche bei Nicht-Zustellbarkeit erzeugt
werden, werden nicht an den ursprünglichen, sondern an den technischen Absender
gesendet.
Fazit:
Diese Art der Signatur ist im produktiven Umfeld absolut nicht zu empfehlen, da über kurz oder lang
massive Support Aufwände generiert werden!
Alternativ kann die Anzahl der zur Signatur berechtigten Personen eingeschränkt oder eine
Vollizensierung des Unternehmens angestrebt werden.
© 2016 SEPPmail AG
17
2.4
Zentrale Firmen E-Mail Fussnote
Die SEPPmail Appliance kann Ihre E-Mails mit Firmen E-Mail Fussnoten (disclaimer) ergänzen.
Disclaimer werden sowohl im Text- wie auch HTML-Format unterstützt.
Zentrale Firmendisclaimer, können verwendet werden um einheitlichen Text wie zum Beispiel Adresse
und Firmeninhaber an E-Mails anzuhängen.
Beispiel im Textformat:
Firma AG - Musterstrasse 1, 1234 Musterstadt - www.meinefirma.tld
2.5
Kompatibilität zu anderen Secure E-Mail Systemen
Aufgrund des Verwendens genormter Techniken und Protokolle lässt sich die SEPPmail Appliance
transparent in jede E-Mail Infrastruktur integrieren. Alle anerkannten und sicheren StandardVerschlüsselungstechniken sind implementiert. Die Kompatibilität zu den gängigen E-Mail Systemen
ist damit sichergestellt und die Installation zusätzlicher Softwarekomponenten entfällt.
Für Empfänger, die keine S/MIME Zertifikate oder OpenPGP Schlüssel besitzen, kann die GINATechnologie für das sichere Übertragen von E-Mails genutzt werden.
2.6
Remote-Administration mittels Web-Portal
Sämtliche Verwaltungsmöglichkeiten der SEPPmail Appliance stehen über eine Webbrowser basierte
Konfigurationsoberfläche zur Verfügung. Die Verbindung zwischen Webbrowser und der SEPPmail
Appliance ist zusätzlich SSL verschlüsselt (HTTPS).
2.7
Unterstützung
Die Unterstützung für Endkunden und Partner orientiert sich am Vertriebsmodell der SEPPmail. So
steht dem Endkunden in erster Instanz sein Systemhaus beziehungsweise Systemintegrator zur
Verfügung. Ein zertifizierter SEPPmail Partner verfügt über wengstens einen SEPPmail Certified
System Engineer und ist somit kompetenter Ansprechpartner, sowohl für infrastrukturelle, wie auch
projektspezifische Fragen und Probleme.
Bei tiefergehenden Fragen steht wiederum dem Partner sein Distributor als Ansprechpartner zur
Verfügung. Der Distributor verfügt über Mitarbeiter, welche umfangreiche Erfahrung mit dem Thema
Sichere E-Mail im Allgemeinen sowie SEPPmail im Speziellen haben. Ausschliesslich für zertifizierte
Partner besteht die Möglichkeit, bei komplexen Anforderungen und Fragen direkt beim Hersteller also SEPPmail - Support-Fälle zu öffnen, um die Wege zu verkürzen.
In letzter Instanz steht immer der Hersteller Support, welcher sowohl unterstützend, wie auch beratend
zur Seite steht. Ebenso werden über diesen Kanal neue Anforderungen an das Produkt
entgegengenommen.
Als zusätzliche Hilfestellung stellt SEPPmail auf der Internetseite https://www.seppmail.ch sowohl
FAQs für Endkunden im Bereich "Support", wie auch für Partner im Bereich "Partner" zur Verfügung.
© 2016 SEPPmail AG
18
3
Die SEPPmail Appliance
3.1
SEPPmail AG (Hersteller)
Das in der Schweiz ansässige, international tätige und inhabergeführte Unternehmen SEPPmail ist
Hersteller im Bereich „Secure Messaging“. Dessen patentierte, mehrfach prämierte Technologie für
den spontanen sicheren E-Mail Verkehr (GINA) verschlüsselt elektronische Nachrichten und versieht
diese auf Wunsch mit einer digitalen Signatur. Die Secure E-Mail Lösungen sind weltweilt erhältlich
und leisten einen nachhaltigen Beitrag zur sicheren Kommunikation mittels elektronischer Post.
Dadurch maximiert SEPPmail die Kommunikationssicherheit von hunderttausenden von Benutzern.
Das Unternehmen wurde 2001 gegründet und verfügt demnach über eine mehr als fünfzehnjährige
Erfahrung im sicheren Versenden digitaler Nachrichten.
Die Produktphilosophie gründet sich auf drei Hauptmerkmale: ein Höchstmass an Sicherheit, in
Kombination mit hohem Benutzerkomfort. Zu letzterem zählen insbesondere die hohe Stabilität und
der geringe Administrationsaufwand.
SEPPmail AG hat mit seinem CEO, Herrn Stefan Klein, den „Erfinder“ dieser Lösung on board, der
seit 2001 die Entwicklung dieses Produktes forciert und begleitet. Dabei stellte er sicher, dass die
Produktphilosophie über all die Jahre beibehalten wurde. So reifte das Produkt mit den
Kundenanforderungen, wobei die individuellen Anforderungen immer dem Gesamtprodukt beigefügt
und somit allen Kunden zugängig wird.
SEPPmail AG
Industriestrasse 7
CH-5432 Neuenhof
http://www.SEPPmail.ch
© 2016 SEPPmail AG
19
3.2
Vorstellung und Verfahren
3.2.1
Produktphilosophie
Die Produktphilosophie gründet sich auf zwei Hauptmerkmale: ein Höchstmass an Sicherheit, in
Kombination mit hohem Benutzerkomfort. Zu letzterem zählen insbesondere ein stabiler Betrieb und
möglichst geringe Administrationsaufwände.
Das Produkt unterstützt alle am Markt befindlichen Standard-Technologien (siehe S/MIME (X.509) 21 ,
OpenPGP 23 , TLS 35 ) für das Absichern des E-Mail Verkehrs mittels Verschlüsselung und Signatur.
Darüber hinaus hat SEPPmail ein Verfahren entwickelt und patentiert, welches erlaubt, einem gänzlich
„unbekannten“ Empfänger spontan eine verschlüsselte E-Mail zu senden. Der Empfänger benötigt für
das Entschlüsseln sowie dem sicheren Antworten ausschliesslich Standardkomponenten, wie einen
beliebigen E-Mail Client (dies kann auch ein Web-Mail Client sein), einen beliebigen Browser und
Zugang zum Internet, unabhängig vom Endgerät. Wir nennen diese Technologie GINA (siehe GINAWeb-Mail 24 ).
Ein mit der Lösung ausgeliefertes Standard-Ruleset (siehe Zentrales Regelwerk 42 ) ermöglicht das
100%ige Verschlüsseln aller als vertraulich gekennzeichneten, zu versendenden E-Mails. Dabei wird
über das Ruleset die für den jeweiligen Empfänger beste Verschlüsselungstechnologie ausgewählt.
Beginnend mit der Prüfung, ob ein beglaubigter öffentlicher S/MIME Schlüssel des Empfängers für das
Verschlüsseln zur Verfügung steht, kaskadiert das System über OpenPGP, Domänenverschlüsselung
bis hin zur „GINA“ Technologie (siehe Verschlüsselungshierarchie 36 ). Diese kommt nur dann zum
Einsatz, falls kein geeignetes Schlüsselmaterial des Empfängers vorliegt oder vom Versender ganz
bewusst - für den Erhalt einer verbindlichen Lesebestätigung - gewählt wird.
Die SEPPmail Appliance besteht aus nur einem Hauptprodukt, welches allen Kunden zur Verfügung
gestellt wird. Einzelne Features, welche von Kunden gewünscht werden und in das Gesamtkonzept in
punkto Sicherheit und Benutzerkomfort passen, werden kostenfrei von SEPPmail implementiert und
kommen somit allen Kunden zu Gute.
Die Lösung wird als komplette, auf OpenBSD basierende Firmware geliefert. Damit entfällt das
aufwendige Installieren und Warten von Einzelkomponenten, wie zum Beispiel Datenbanken oder
Funktionsmodulen. Das Update erfolgt auf Knopfdruck für das gesamte System.
© 2016 SEPPmail AG
20
3.2.1.1
Fünf generische Prinzipien
1. Angemessenes Absichern der Geschäftsdaten
Das Absichern wird durch den Einsatz bewährter Verschlüsselungstechnologien (S/MIME,
OpenPGP, TLS und GINA) sowie durch eine gehärtete Appliance garantiert.
2. Kosteneffizienter Betrieb
Kosteneffizienz wird durch den Appliance – Ansatz, einen hohen Automatisierungs- und
Standardisierungsgrad und insbesondere einen sehr niedrigen Support Aufwand der GINATechnologie im Vergleich zu anderen Methoden (PDF oder Web-Mailer) erreicht.
3. Hohe Anzahl von Kunden und Geschäftspartnern erreichbar
Den besten Beweis für die „Massentauglichkeit“ der patentiertenGINA-Technologie erbringt der
Dienst „Incamail“ der Schweizerischen Post. Uns ist kein Projekt bekannt bei der mit alternativen
Methoden auch nur annähernd so viele Kunden bedient bzw. so viele E-Mails verschlüsselt werden.
Als stiller Champion stellt sich mehr und mehr die Domänenverschlüsselung heraus (siehe
Gateway-to-Gateway (Domänen-) Verschlüsselung 23 ). Ein nicht zu unterschätzender Anteil der
E-Mail Kommunikation zwischen Unternehmen wird mittlerweile mittels der völlig transparenten
Domänenverschlüsselung gesichert.
4. Hoher Grad von Akzeptanz
Auch hier möchten wir wieder auf die GINA-Technologie verweisen. Damit ist eine einfache ZweiWeg–Kommunikation möglich. Separate Kommunikationskanäle (PDF zum Kunden – Rückweg
über ein Webportal) sind nicht nötig.
5. Erfüllen der geschäftlichen und rechtlichen Rahmenbedingungen
Bei der GINA-Technologie werden E-Mails generell vollständig verschlüsselt ausgeliefert. Damit
gelangt die E-Mail in den 100%igen Einflussbereich des Empfängers. Rechtliche Probleme
betreffend vollständiger Auslieferung von E-Mails (Wie dies bei einem „normalen“ sicheren WebMail der Fall wäre) bestehen somit nicht.
© 2016 SEPPmail AG
21
3.2.2
Verschlüsselungstechnologien
3.2.2.1
S/MIME (X.509)
Da die SEPPmail Appliance in der Regel im vollen E-Mail Strom steht (siehe auch Architekturen -> Im
vollen E-Mail Strom 43 ), lernt diese automatisch alle (gültigen!) S/MIME Public Keys (Zertifikate), die
über E-Mail Signaturen eingeliefert werden. Das heisst die Zertifikate müssen von einer der SEPPmail
Appliance bekannten CA (Certificate Authority) stammen. Ist die CA nicht bekannt, so wird deren Root
Zertifikat automatisiert gesammelt und dem Administrator zur Prüfung vorgelegt (halbautomatischer
Vorgang). Nach Herstellen des Vertrauens in diese CA durch den Administrator, werden auch von
dieser ausgestellte Zertifikate automatisiert aus den Signaturen eingesammelt. Erfahrungsgemäss
nimmt dieser Aufwand nach einer Einschwingphase des Systems merklich ab, da die meisten RootZertifikate der von den Kommunikationspartnern verwendeten CAs geprüft wurden.
Wird eine als vertraulich gekennzeichnete E-Mail an einen externen Empfänger versendet, prüft das
System erstrangig, ob ein freigegebenes Zertifikat des Empfängers existiert. Die E-Mail wird
transparent verschlüsselt und versendet.
Wenn ein intelligentes E-Mail Routing – System beim Kunden vorhanden ist welches signierte und /
oder verschlüsselte E-Mails erkennen kann, so können auch gezielt nur die nötigen E-Mails über die
Appliance empfangen werden. Die Appliance muss dann nicht in den vollen E-Mail Strom integriert
werden. Allerdings ist durch diese Infrastruktur die Teilnahme am Managed Domain Service für
ausgehende E-Mails nicht mehr möglich.
S/MIME eignet sich sowohl für die personenbezogene, wie auch für die domänenbezogene (siehe
Gateway-to-Gateway (Domänen-) Verschlüsselung 23 ) Verschlüsselung.
3.2.2.1.1 Managed PKI
Die SEPPmail Appliance hat ein vollständiges PKI-System eingebaut und verwaltet User Schlüssel
bzw. Zertifikate zentral im System. E-Mail Zertifikate können von beliebigen CAs eingespielt werden.
Zu den wichtigsten CAs stellt SEPPmail jedoch Konnektoren zur Verfügung:
aktive Konnektoren
International akkreditierte Schweizer CA
QuoVadis
CA der Schweizerischen Post
SwissSign
Protokoll, durch welches CAs diverser Hersteller – auch Microsoft – angebunden
SCEP
werden können. Eine gute Kurzbeschreibung ist unter http://www.itwissen.info/
definition/lexikon/simple-certificate-enrollment-protocol-SCEP-SCEP-Protokoll.
html zu finden. Dabei handelt es sich jedoch (noch) um keinen Standard (RFC).
legacy Konnektoren (diese Unternehmen stellen den Betrieb Ihrer CAs ein)
CA des Deutschen Sparkassen Verlages (DSV)
S-Trust
CA der Deutschen Post
SignTrust
in Vorbereitung
akkreditierte Zertifizierungsdiensteanbieter für qualifizierte Zertifikate in Österreich
A-Trust
und Liechtenstein
Bundesdruckerei (Deutschland)
D-Trust
CA des Deutschen-Forschungs-Netzes
DFN
akkreditierte US amerikanische CA mit Sitz in Dallas / Texas
Entrust
GlobalSign akkreditierte CA mit Sitz in Grossbritannien
Über diese Konnektoren können E-Mail und gegebenenfalls Personen- Zertifikate automatisiert von
den entsprechenden CAs bezogen werden. Das jeweils zu Tragen kommende Verfahren kann dabei
unterschiedlich sein. In der Appliance werden die so bezogenen Zertifikate den Usern automatisiert
zugeordnet und zur Signatur herangezogen.
© 2016 SEPPmail AG
22
Der Bezug von Zertifikaten für die E-Mail Konten ist daher flexibel und individuell konfigurierbar.
Bei Anlage eines neuen Benutzers – dies kann wahlweise automatisch zum Beispiel durch Anfordern
von Verschlüsselung oder Signatur, oder manuell erfolgen - kann gewählt werden, ob ein E-Mail
Zertifikat automatisch ausgestellt werden soll. Dieses kann dann von der internen (Sub-)CA oder über
die MPKI Schnittstelle bezogen werden. Bei Bedarf sind auch beide Varianten parallel möglich.
Wird das Zertifikat über die MPKI bezogen, so wird das Schlüsselpaar in der Regel auf der SEPPmail
Appliance generiert und nur der öffentliche Schlüssel zum Signieren an die trusted CA übermittelt. Der
sensible private Schlüssel verlässt bei diesem Verfahren zu keiner Zeit die Appliance und liegt dort –
wie das gesamte Schlüsselmaterial – in einem gesicherten Bereich ab.
Auch das Erneuern der Zertifikate ist vollautomatisiert möglich. Der Zeitraum, wieviele Tage vor Ablauf
des alten Zertifikates ein neues generiert werden soll ist dabei frei wählbar.
3.2.2.1.2 Güte eines Zertifikates
Um eine SEPPmail Appliance mit Zertifikaten zu bestücken, sollte geklärt sein, in welcher Qualität
diese gewünscht sind.
SSL Zertifikat
Zunächst wird für das Absichern der SSL Strecke, welche durch die GINA-Funktionalität etabliert wird,
im Regelfall zwingend benötigt. Damit die gängigen Browser keinen Sicherheitsverstoss melden, sollte
dieses Zertifikat von einer offiziellen CA kommen und den FQDN - also den Namen, unter welchem
das GINA-Portal zu erreichen ist - beinhalten.
E-Mail Zertifikat
Zertifikate, welche für das Signieren (und Verschlüsseln) von E-Mails geeignet sind, werden in
unterschiedlichen Güten von den Ausstellern (CAs) angeboten. Eine einheitliche Klassifizierung gibt es
dabei leider nicht. Die Zertifikate unterscheiden sich dabei in Ihrer Aussagekraft.
So wird bei dem einfachsten Zertifikat lediglich die Existenz der E-Mail Adresse bestätigt. Das heisst,
mit dieser Art des Zertifikates kann durch die Signatur bestätigt werden, dass die E-Mail
während des Transportes nicht verändert wurde
von der benannten Absenderadresse stammt
In der nächst höheren Zertifikatsgüte wird zusätzlich der Absender namentlich benannt. Das heisst für
das Ausstellen dieses Zertifikates musste sich der Inhaber in irgend einer Form ausweisen. Bei
Einsatz einer MPKI (siehe Managed PKI 21 ) bestätigt die beantragende Organisation, dass sie nur
Zertifikate für Ihre Mitarbeiter ausstellt. Somit bestätigt dieses zusätzlich
die Person des Absenders und dessen Organisation
Diese Zertifikate können für zusätzliche Zwecke verwendet werden, wie zum Beispiel für das Signieren
von PDF-Dateien.
Für die Ausstellung eines qualifizierten Zertifikat (wie z.B. beim Personalausweis in D oder SuisseID in
CH) muss eine face-2-face Kontrolle (z.B. PostIdent in D) durchgeführt werden. Eine automatische
Ausstellung über eine Managed PKI 21 ist somit unmöglich!
Selbst signierte Zertifikate sind für das signieren von E-Mails ungeeignet, da die Zertifikatskette beim
Kommunikationspartner in der Regel nicht bekannt ist und somit kein Vertrauen hergestellt werden
kann.
© 2016 SEPPmail AG
23
3.2.2.2
OpenPGP
Zur nachteiligen Natur von OpenPGP Schlüsseln gehört, dass diese - bevor sie für das Verschlüsseln
herangezogen werden können - zuerst validiert werden müssen. Somit ist ein automatisiertes Prüfen
nicht möglich (Prinzip: web of trust). Theoretisch müsste daher bei jedem zu importierenden
öffentlichen OpenPGP Schlüssel über einen separaten Kanal der Fingerabdruck (Hash) des
Schlüssels geprüft werden. In der SEPPmail Appliance ist ein "umgedrehtes" Verfahren realisiert:
Wenn der Empfänger eine GINA-E-Mail (siehe GINA-Web-Mail 24 ) erhält, so wird ihm darüber auch
die Möglichkeit gegeben, den eigenen öffentlichen Schlüssel - egal ob OpenPGP oder S/MIME - auf
die Appliance hochzuladen. Durch die vorangegangene Authentifizierung des Empfängers durch EMail und Initial-Passwort am GINA-Web-Interface ist kein zusätzliches Validieren durch die
Administration oder den Absender notwendig.
OpenPGP eignet sich sowohl für die personenbezogene, wie auch für die domänenbezogene (siehe
Gateway-to-Gateway (Domänen-) Verschlüsselung 23 ) Verschlüsselung.
3.2.2.3
Gateway-to-Gateway (Domänen) Verschlüsselung
Eine Grundfunktionalität aller SEPPmail Appliances ist die Domänenverschlüsselung. Bei dieser Art
der Verschlüsselung wird zwischen den Kommunikationspartnern jeweils ein für die ganze E-Mail
Domäne gültiger öffentlicher S/MIME (oder OpenPGP) Schlüssel manuell ausgetauscht. Dieses
Verfahren funktioniert somit auch mit Gateways anderer Hersteller, sofern diese das Verfahren
unterstützen. Das heisst, E-Mails können zwischen diesen E-Mail Domänen, auch ohne jeweils
persönlichem Schlüsselmaterial der einzelnen Benutzer inhaltlich verschlüsselt ausgetauscht werden.
Jede auf der SEPPmail Appliance eingerichtete Domänenverschlüsselung steht grundsätzlich allen
Benutzern - egal ob diese auf der Appliance als User angelegt sind oder nicht - zur Verfügung. Das
heißt hiermit wird der gesamte E-Mailverkehr zwischen zwei Domänen inhaltlich abgesichert.
Diese Verschlüsselungstechnologie ist Bestandteil der SEPPmail Appliance Grundlizenz und muss
somit nicht per User lizensiert werden.
3.2.2.3.1 Managed Domain Service
Der Managed Domain Service ist ein SEPPmail AddOn zur Domänenverschlüsselung. Dabei werden
für teilnehmende Kunden die automatisch auf jeder SEPPmail Appliance generierten öffentlichen S/
MIME Domänenschlüssel automatisiert zwischen allen SEPPmail Appliances und deren OEM
Derivaten ausgetauscht. Somit steht in der Regel zwischen SEPPmail Appliances grundsätzlich die
Domänenverschlüsselung automatisch zur Verfügung.
Beides, Domänenverschlüsselung un deren Erweiterung über den Managed Domain Service sind
bereits in der Basislizenz der SEPPmail Appliance enthalten.
Jede auf der SEPPmail eingerichtete Domänenverschlüsselung steht grundsätzlich allen Benutzern egal ob diese auf der Appliance als User angelegt sind oder nicht - zur Verfügung. Das heißt hiermit
wird der gesamte E-Mailverkehr zwischen zwei Domänen abgesichert.
Selbstverständlich ist auch diese Erweiterung der Gateway-to-Gateway Verschlüsselung Bestandteil
der SEPPmail Appliance Grundlizenz und muss somit ebenfalls nicht per User lizensiert werden.
© 2016 SEPPmail AG
24
3.2.2.4
GINA-Webmail
Die SEPPmail Appliance verfügt über eine patentierte Technologie zur Unterstützung von Benutzern
ohne Secure E-Mail Infrastruktur. Diese Technologie benötigt lediglich einen Web-Browser und die
Möglichkeit E-Mails zu empfangen, also Internetzugang. Weitere Anforderungen an die
Infrastruktur des Benutzers bestehen nicht.
Diese Technologie bietet im Vergleich zu anderen auf dem Markt verfügbaren Lösungen für die
sichere E-Mail Kommunikation mit beliebigen Partnern wichtige Vorteile:
a) Schritt 1: Sender - E-Mail verfassen
Der Sender verfasst in seinem Standard E-Mail Client eine E-Mail und klassifiziert diese als
vertraulich, indem er diese entweder
mit den E-Mail Client Boardmitteln (1) als „vertraulich“ markiert.
Er kann auch im Betreff ein frei definierbares, aber unternehmensweit vereinbartes Befehlswort
© 2016 SEPPmail AG
25
zum Beispiel (2) „[secure]“ einsetzen. Diese Methode greift auch für sogenannte System-User (=
maschinelle Ansteuerung).
oder er verwendet das kostenlose Outlook AddIn von SEPPmail (3) [Abb.1].
Dabei kann er wählen zwischen:
a) „Verschlüsseln“ (Bezeichnung kann angepasst werden): Dabei wird die E-Mail am System mit
den für den/die Empfänger zur Verfügung stehenden Technologien im „Best Effort“ Verfahren
verschlüsselt und versendet.
b) „Verschlüsseln mit Lesebestätigung“ (Bezeichnung kann angepasst werden): Dabei wird immer
zwingend die GINA-Technologie angezogen, denn nur dadurch kann eine Rückmeldung des
Systems zum Zeitpunkt des aktiven Lesens der versendeten E-Mail sichergestellt werden. Diese
Lesebestätigung ist vom externen Empfänger nicht abzuwählen.
Sollte dieses Verfahren der Kundenanforderung nicht entsprechen, kann das AddIn auch
entsprechend angepasst werden. Das AddIn ist Standardmässig in den Sprachen Deutsch und
Englisch verfügbar: Bei Bedarf können zusätzliche Sprachen realisiert werden. Danach wird die EMail versendet.
b) Schritt 2: Sender - Verschlüsseln und Initialpasswort
Die als vertraulich markierte E-Mail wandert durch den E-Mail Server und passiert danach die
SEPPmail. Die Appliance erkennt, dass diese E-Mail zu verschlüsseln ist und leitet den unter A
2.2.5. beschrieben Vorgang zur Verschlüsselung ein. Sie sieht also nach, ob der oder die
Empfänger schon bekannt sind. Sollten diese schon einmal eine S/MIME signierte E-Mail an einen
beliebigen Mitarbeiter geschickt haben, oder haben sich schon einmal via GINA-Portal registriert
bzw. ein eigenes S/MIME Zertifikat oder einen eigenen OpenPGP Key hochgeladen, dann wird Die
E-Mail damit verschlüsselt.
Wenn für den/die Empfänger keine Schlüssel hinterlegt sind, oder diese gänzlich
„unbekannt“ sind, kommt die patentierte GINA Technologie von SEPPmail zum Einsatz.
© 2016 SEPPmail AG
26
Bei dieser wird zuerst ein AES256 Key erzeugt, die vertrauliche E-Mail damit symmetrisch
verschlüsselt und als HTML-Anhang an eine Standard-E-Mail beigefügt. Die E-Mail wird immer
vollständig ausgeliefert. Auf der Appliance wird ausser den Empfängerdaten nichts
zwischengespeichert. Beim erwähnten Anhang wird komplett auf aktiven Inhalt (wie zum Beispiel
JavaScript) verzichtet. Es wir nur „plain HTML“ verwendet.
Der Key für den Empfänger bleibt dauerhaft auf der Appliance und wird für die erste, wie für alle
anderen GINA-Mails zum Ver- und Entschlüsseln für diese Empfangsadresse verwendet.
Ein Initialpasswort wird erstellt und per E-Mail dem Sender zur Übermittlung an den Empfänger (per
SMS (Abb.2), Telefon oder Fax) zugestellt.
Die für den Anschluss an einen SMS Provider oder System notwendigen Schnittstellen sind in der
Lösung eingebaut und konfigurierbar.
c) Schritt 3: Empfänger – Anmelden und einmaliges Registrieren
Der Empfänger öffnet den HTML-Anhang und wird zur Eingabe seines Initialpasswortes
aufgefordert (Abb. 3). Dabei kann er auch seine gewünschte Sprache festlegen.
Anschliessend erfolgt eine einmalige Registrierung am System. Ein eigenes Passwort wird
vergeben, sowie eine Sicherheitsfrage + Antwort festgelegt, um ein Zurücksetzen seines Passworts
zu ermöglichen (Abb. 4) Optional kann eine Mobilfunknummer für den automatisierten SMSPasswort-Versand eingegeben werden.
Beim nächsten Lesen der E-Mail, oder bei einer neuen vertraulichen E-Mail, wird nur noch das
eigene Passwort eingeben (Abb. 3).
© 2016 SEPPmail AG
27
d) Schritt 4: Empfänger - Lesen und sicher Antworten
Danach wird die entschlüsselte E-Mail im Web-Mailer (Abb. 5) angezeigt. Aus diesem kann
verschlüsselt geantwortet und die E-Mail, wenn gewollt, als Klartext ins System gespeichert werden.
Der GINA Web-Mailer ist bewusst möglichst einfach gehalten, um eine intuitive Anwendung zu
ermöglichen.
© 2016 SEPPmail AG
28
e) Funktionen im GINA Web-Mailer:
E-Mail lesen: Schaltfläche zur Darstellung der geöffneten Originalmail (Abb. 5)
E-Mail schreiben: Neue E-Mail verfassen die nur an einen Empfänger „hinter“ der SEPPmail
Appliance versendet werden kann.
Dabei können Anhänge mit beliebigem Format beigefügt werden. Eine Kopie der eigenen
Antwort wird dem externen Beantworter GINA-verschlüsselt zurückgeliefert. (Abb. 5a)
Einstellungen: Darin können Passwort, Mobilfunknummer und Sicherheitsfrage/-antwort
verändert werden. (Abb. 5b)
© 2016 SEPPmail AG
29
Untermenü: Schlüssel/Zertifikate:
Der Externe Kommunikationspartner wird über ein Zusatzmenü in die Lage versetzt, eigenes
Schlüsselmaterial dem SEPPmail Appliance Betreiber zur Verfügung zu stellen. Dabei kann
durch die vorhergegangene 2-Faktor Authentifizierung (GINA-Mail + Initialpasswort per SMS)
den Schlüsseln auch sofort getraut werden. Ein Validieren durch den Administrator ist an dieser
Stelle nicht notwendig ! (Abb. 5c)
Andererseits bekommt ein externer Kommunikationspartner über die Schaltfläche "Suchen"
optional auch das verfügbare Schlüsselmaterial (S/MIME; OpenPGP; Domänen Schlüssel) zur
Verfügung gestellt (Abb. 5d):
© 2016 SEPPmail AG
30
Nachricht-Beantworten: Über diese Funktionen kann eine sichere E-Mail Antwort erstellt und
versendet werden. Eine Kopie davon wird verschlüsselt an den externen Sender
zurückgesendet (Abb. 5e)
Speichern als…: E-Mail kann im Klartext gespeichert und in beliebigen Ordner verschoben
werden Entweder als eml- (Standard E-Mail Format) oder im msg-Format (Outlook)
Logout: Schaltfläche zum Verlassen des GINA Web-Mailers. Dabei wird der Cache des
Browsers und der SEPPmail Appliance geräumt. Somit verbleibt einzig die verschlüsselte
Original-GINA-Mail im System des Empfängers. Ausgenommen der Empfänger hat sich eine
Klartext-Kopie dazu abgelegt
© 2016 SEPPmail AG
31
f) Zusatzmodul SSPM: Self Service Passwort Management
Sollte der GINA-Mail Empfänger sein eigenes Passwort vergessen, besteht die Möglichkeit dieses
zurückzusetzen (Abb. 6). In der Grundversion bewirkt dieses einen Call beim Administrator oder
Helpdesk, der den Empfänger kontaktiert und nachdem dieser sich authentifiziert hat, wird ihm sein
neues Passwort mitgeteilt.
Ist das SSPM Modul aktiv, dann hinterlegt der GINA-Mail Empfänger beim Registrieren eine
Sicherheitsfrage und –antwort (Abb. 6a). Beim Passwort Reset wird Ihm dann, nachdem der GINAMail Empfänger seine selbst vergebene Sicherheitsfrage positiv beantwortet hat, das neue Passwort
per SMS auf die hinterlegte Mobilnummer zugesendet. Durch diesen automatisierten Vorgang wird
der Administrator oder Helpdesk entlastet und der GINA-Mail Empfänger zeitnah mit einem neuen
Zugangspasswort versorgt. Bei der nun folgenden Anmeldung, wird der Empfänger zur Neuvergabe
eines eigenen Passwortes aufgefordert.
© 2016 SEPPmail AG
32
g) Der Entschlüsselungsvorgang
Wie Eingangs schon erwähnt, benötigt der GINA-Mail Empfänger, ausser einem Client zum
Empfangen von E-Mails und somit Internetzugang, sowie einen Browser keine weiteren
Komponenten. Beim Öffnen des HTML-Attachments und während der Eingabe des
Zugangspasswortes, wird im Hintergrund über eine https-Strecke das Passwort geprüft und die EMail an die SEPPmail Appliance temporär zur Entschlüsselung eingeliefert und danach über den
GINA-Web-Mailer im Klatext dargestellt.
(Abb. 7).
Die verschlüsselte E-Mail bleibt zu jeder Zeit im E-Mail System des Empfängers. Damit obliegt das
Backup bzw. das Archivieren der E-Mail beim Empfänger. Ohne diese E-Mail hat er auch keine
Möglichkeit diese über einen anderen Weg zu öffnen. Ein potentieller Angreifer benötigt daher beide
Komponenten: E-Mail und Passwort. Eine „brute force“ Attacke ist nicht möglich, da die SEPPmail
Appliance standardmässig nach 5 fehlerhaften Passworteingaben den Zugang sperrt.
h) Zusammenfassung und Vorteile der patentierten GINA Technologie
Keine zusätzlichen Technologie-Layer bzw. Konvertieren in PDF, zip oder exe notwendig, da
diese nur zusätzliche Komplexität und Fehlermöglichkeiten verursachen.
Empfänger benötigt nur E-Mail Client, Browser und Internetzugang. Keinen PDF-Reader oder
sonstige Verschlüsselungsclients am Empfängersystem.
Wird vom Sender eine Lesebestätigung gewünscht, wird diese von der Appliance in dem
Augenblick versendet, wenn die E-Mail zum Entschlüsseln eingeliefert wird. Diese kann vom
Empfänger nicht unterbunden werden. Die Leseaktion wird immer im Log mit protokolliert.
Das Zugriffspasswort kann jederzeit vom Empfänger geändert werden.
Spontane sichere Kommunikation in beide Richtungen möglich
Die E-Mails werden vollständig an Empfänger ausgeliefert, somit werden auf der SEPPmail
Appliance nur Anmeldedaten und Keys gespeichert. (Für den Betreiber des sicheren E-Mail
Gateways entfällt die Pflicht des Housekeepings (Archivierung) für E-Mails an Dritte).
Alle Texte in der GINA Oberfläche können angepasst und das Aussehen per CSS-Stylesheet
verändert werden. Im Auslieferungszustand sind die Sprachen Englisch, Deutsch, Französisch,
Italienisch, Spanisch, Niederländisch und Polnisch integriert: Diese können beliebig erweitert
(oder deaktiviert) werden
Empfänger können sich auch am Portal vorgängig anmelden und so Ihre bevorzugte
Verschlüsselungsform (Passwort oder Zertifikats-Key) wählen.
i) Unterschiedliche Registrierungsprozesse für externe Kommunikationspartner
1. Spontaner Kommunikationsbeginn: Der Sender verfasst eine E-Mail, klassifiziert dieses als
„Vertraulich“ und versendet diese. Hat er die Mobilnummer des Empfängers, könnte er diese im
Betreff schon als Zusatz (tag) zum Beispiel [sms:00491511234567] mitgeben. Die Appliance
würde dann mit dem Versenden der GINA-Mail auch gleichzeitig das SMS auslösen.
Ansonsten wird der Sender aufgefordert dem neuen Empfänger sein Initialpasswort auf
© 2016 SEPPmail AG
33
parallelem Wege (SMS, Telefon, Fax) zu übermitteln.
2. Vorbereitete Kommunikation:
a) Der Sender versendet eine Einladungsmail ohne Initialpasswort an den zukünftigen
Kommunikationspartner. Diese sollte OHNE vertraulichen Inhalt sein. Der Empfänger öffnet
das HTML-Attachment und der unter Schritt 3 / Abb. 4 beschriebene Registrierungsprozess
startet. Danach kann gesichert Kommuniziert werden. Der Externe hat sein eigenes
Passwort festgelegt oder schon sein Schlüsselmaterial hochgeladen.
b) Der Externe meldet sich über die Webseite des SEPPmail Appliance Betreibers zur
sicheren Kommunikation an. Ein Link bringt den externen Kommunikationspartner auf das
Registrierungsportal der SEPPmail Appliance. Dort hinterlegt er sein Passwort (oder
Schlüsselmaterial). Ein E-Mail Ping bestätigt seine Anmeldung:
3. Die „harte“ Tour: Jede vertrauliche E-Mail wird per GINA und mit einem SMS-Passwort
versendet.
3.2.2.4.1 Mobile Computing Support
3.2.2.4.1.1 Interne Nutzer von mobilen Endgeräten
Grundsätzlich gilt, dass die SEPPmail Appliance dem internen Netzwerk vertraut. Somit sind alle EMails im Intranet und am E-Mail Server im Klartext verfügbar. Da die internen mobilen Endgeräte sich
die E-Mails vom E-Mail Server ziehen und dort abliefern, ist von dieser Seite KEIN Problem zu
erwarten.
Wie klassifiziert ein interner Nutzer auf seinem mobilen Endgerät (herstellerunabhängig) eine E-Mail
als VERTRAULICH? Dies ist generell mit der Befehlsfunktion in der Betreffzeile möglich. Der
Verfasser fügt ein festgelegtes Kommando - zum Beispiel [confidential] oder [sign] beziehungsweise
ein vom Kunden individuell festgelegtes Befehlswort wie <c> - in die Betreffzeile ein. Die E-Mail wird
am E-Mail Server angenommen, ausgeliefert und die danach folgende SEPPmail Appliance reagiert
auf diesen Befehl und führt das entsprechende Kommando für Verschlüsseln oder Signieren aus.
Blackberry hat mit der Version 10.3.1 (erwartet für Februar/März 2015) eine E-Mail
Klassifizierungsfunktion in seinem E-Mail Client angekündigt. Genauere Details dazu sind SEPPmail
noch nicht bekannt. (Stand Jan 2015).
Für die Standard E-Mail Clients von iOS, Android und Windows Phone sind keine integralen
Funktionen für das Klassifizieren von E-Mails bekannt. Sollten solche in zukünftigen Versionen
implementiert werden, wird SEPPmail auch diese für das Ansteuern der eigenen Lösung nutzen.
Werden Klassifizierungs-Plugins vom Kunden gewünscht, kann SEPPmail Machbarkeitserhebungen
dazu anstellen, Nutzen und Aufwand abschätzen und eine Realisierung anstossen.
© 2016 SEPPmail AG
34
3.2.2.4.1.2 Externe Empfänger von verschlüsselten E-Mails auf mobilen Endgeräten
Hersteller /
Betriebssystem
ZertifikatsBemerkung
Unterstützung
durch Vendor
gegeben
Android
ja
Eine Beispiel-Anleitung zum Import bzw. Installation auf iOS
Geräten finden Sie hier:
https://blog.globalsignblog.com/de-de/zertifikate-auf-androidger%C3%A4ten-installieren
Windows Phone
?
Keine Dokumentation im Netz vorhanden
ja / nein
Blackberry
10 und höher
ja
iOS (Apple)
Blackberry hat nach Auskunft des Supports bei signierten und
verschlüsselten ein grundsätzliches Problem, welches so
schnell auch nicht behoben werden kann. Das Fehlerverhalten
von zum Beispiel signierten E-Mails auf BB Endgeräten ist
unterschiedlich und nicht vorhersehbar. zum Beispiel bei einem
Reply auf eine signierte E-Mail vom BB Client, verschwindet der
Antworttext beim Empfänger. Das Problem kann nicht gefixt
werden.
Eine Beispiel-Anleitung zum Import bzw. Installation auf iOS
Geräten finden Sie hier:
http://wiki.fernuni-hagen.de/helpdesk/index.php/
Zertifikat_in_iOS_einbinden
3.2.2.4.1.3 Kompatibiolitätsmatrix für Empfänger von GINA-Web-Mails
Hersteller /
Betriebssystem
Unterstützung Bemerkung
Android
nativ
Windows Phone
nativ
Blackberry
10 und höher
nativ
iOS (Apple)
mit vollwertigem Browser zum Beispiel Firefox oder Chrome
Für frühere Betriebssystem Versionen kann eine App zur
Verfügung gestellt werden
kostenlose
Das iOS Sicherheitskonzept (Sandbox) erfordert eine einfach
SEPPmail App zu handhabende App zum Übergeben der verschlüsselten
im iTunes
Daten aus dem E-Mail an den Browser.
Store verfügbar
3.2.2.4.2 Administration und Management
Eine komplette Managementoberfläche für die Administration und das Management der GINA-User ist
integraler Bestandteil der Lösung. Auf diese Oberfläche ist ein rollenbasierter (Helpdesk) Zugriff
möglich.
© 2016 SEPPmail AG
35
3.2.2.5
TLS
Die SEPPmail Appliance nutzt im Normalfall „opportunistisches TLS“, sprich TLS (mit der jeweils
höchstmöglichen Verschlüsselung) wird benutzt, wenn dies vom gegenüberliegenden E-Mail Server
bzw. MTA (Mail Transfer Agent) unterstützt und angeboten wird. Im Normalfall handelt es sich dabei
immer um eine zusätzliche Verschlüsselung des Transportweges.
Dabei können für einzelne E-Mail Domänen und/oder E-Mail Server spezifisch TLS – Level erfasst
werden (mit den Postfix – typischen Stufen ("none"), „may“, "encrypt", „verify“, „secure“, „fingerprint“
und bald auch „DANE“).
TLS „gezielt“ als Ersatz für eine Verschlüsselung von E-Mails zu verwenden, ist jedoch nicht zu
empfehlen. Dies hat folgende Gründe:
Bei Verwenden von TLS wird maximal bis zum nächsten MTA verschlüsselt. Ob und wie ab
diesem MTA weiter verschlüsselt wird, ist für den Absender jedoch nicht ersichtlich.
Da immer mehr Firmen Cloud–Dienste für das Filtern von Spam E-Mails verwenden, reicht dies
normalerweise nicht.
Eigentlich darf TLS nur bei Einsatz der Sicherheitsstufe „Fingerprint“ oder „DANE“ als
einigermassen sicher betrachtet werden. Alle anderen Sicherheitsstufen sind - zum Beispiel
durch DNS Spoofing - aushebelbar.
Das Verwalten von TLS Verbindungen erzeugt hohen Administrationsaufwand
Trotz dieser Nachteile erfreut sich TLS in letzter Zeit steigender Beliebtheit – wahrscheinlich weil TLS
als „kleinster gemeinsamer Nenner“ auf praktisch jedem MTA verfügbar ist. SEPPmail plant deshalb
auch, den TLS – Support zu erweitern.
Auch diese Verschlüsselungstechnologie ist Bestandteil der SEPPmail Appliance Grundlizenz und
muss nicht per User lizensiert werden.
© 2016 SEPPmail AG
36
3.2.3
Verschlüsselungshierarchie
Das von der SEPPmail Appliance initial zur Verfügung gestellte Standard-Ruleset gibt für E-Mails die
folgende Vorgehensweise vor:
Wurde eine E-Mail als zu verschlüsselnd markiert, so wird diese „best effort“ behandelt. Dabei wird
nach folgender Wertigkeit vorgegangen:
1.
2.
3.
4.
5.
Geprüftes S/MIME Zertifikat des Empfängers
Geprüfter öffentlicher OpenPGP Schlüssel des Empfängers
Geprüftes S/MIME Domänen Zertifikat der Empfänger Domäne
Geprüfter öffentlicher OpenPGP Domänen Schlüssel der Empfänger Domäne
Optional kann eine TLS-Verschlüsselung höher "may" an dieser Stelle als gültiges
Verschlüsselungsverfahren eingebunden werden - wobei diese auch zusätzlich verwendet wird,
wenn bereits eines der höher priorisierten Verfahren zum Einsatz kam.
Sollte aufgrund fehlenden Schlüsselmaterials des Empfängers keines der vorangegangenen
(Standard-)Verfahren verfügbar sein, so wird
6. GINA mit hinterlegtem Empfängerpasswort
7. GINA mit Initialpasswort
Hinweis:
Die Verschlüsselungsverfahren der Punkte 3. bis 5. kommen im Normalfall auch bei
nicht als zu verschlüsselnd markierten E-Mails zum Einsatz, sofern diese Verfahren
verfügbar sind.
Eine gesonderte Lizensierung ist hierfür nicht erforderlich (siehe Gateway-toGateway (Domänen) Verschlüsselung 23 und TLS 35 ).
Standard Verschlüsselungsmerkmale sind Betreffzeilen-Schlüsselworte, Sensitivity Parameter
(Vertraulichkeitsmarkierung) sowie spezielle x-header.
Optional können auch zum Beispiel LDAP Abfragen als Merkmale herangezogen werden, wie etwa
Microsoft Active Directory (AD) Benutzergruppen.
Sollte eine andere Reihenfolge, oder ein anderer Vorgang gewünscht werden, kann jederzeit das
Ruleset entsprechend angepasst werden. Damit können gewünschte Standardisierungen im Umgang
mit E-Mails an vorbestimmte Adressen oder Domänen so voreingestellt werden, dass diese
Regelungen unabhängig von den Nutzeraktionen immer ziehen.
Darüber hinaus kann das Ruleset der Appliance bei Bedarf durch das eigens dafür bereit gestellte
AddIn (siehe MS-Outlook AddIn 38 ) bzw. Betreffzeilen-Schlüsselworte übersteuert werden. Wobei
diese Befehlswörter in der Regel vom Kunden vorgegeben und angepasst werden können (siehe
Steuern der Appliance 86 ).
3.2.4
LDAP Key-Lookup für S/MIME und OpenPGP
Eine LDAP Lookup Funktionalität, für das beziehen öffentlicher Schlüssel aus externen Quellen, ist in
der Lösung integriert. Beim Erfassen von sogenannten Schlüssel-Servern (key server) ist allerdings
auf deren Qualität zu achten. Häufig wird über "öffentliche" key server „totes“ Schlüsselmaterial
verbreitet. Verwendet der Absender dieses Material, so kann der Empfänger die damit verschlüsselte
E-Mail unter Umständen - mangels privatem Schlüssel - nicht lesen.
© 2016 SEPPmail AG
37
3.2.5
Elektronische Signaturen
Die SEPPmail Appliance beherrscht neben der Verschlüsselung von E-Mails auch die RFC konforme
Signatur. Eine Authentizität und Integrität der Daten bzw. der versendeten E-Mail ist durch das
Anbringen einer elektronischer Signatur zu erreichen und möglich. Zusätzlich wird mit der Signatur der
öffentliche Schlüssel des Absenders verbreitet, welcher für das Verschlüsseln von an den Absender
gerichteten E-Mails benötigt wird.
Das für die Signatur erforderliche Benutzerzertifikat (siehe auch S/MIME (X.509) 21 ) kann bei Bedarf
über eine MPKI (siehe Managed PKI 21 ) automatisch durch die Appliance bezogen oder manuell für
den jeweiligen Benutzer importiert werden. Das bedeutet: Die dazu erforderlichen zentralen
Funktionalitäten (eingebaute PKI, Konnektoren zu offiziellen CA’s, automatische Zuweisungsfunktion
der Zertifikate zu den Usern) sind in der SEPPmail Appliance standardmässig vorhanden und werden
mit der Verschlüsselungslizenz dem Betreiber und Nutzer zur Verfügung gestellt.
Automatische Signatur
Die ausgehenden E-Mails werden am Gateway automatisch im Namen des Senders signiert. Der
Benutzerkreis, für welchen dies gegebenfalls erfolgen soll, kann bei Bedarf über das Ruleset gesteuert
werden.
Manuelle Signatur
Die Signatur am Gateway kann auch über das Outlook AddIn (siehe MS-Outlook AddIn
Kommando in der Betreffzeile manuell forciert werden.
38
) oder via
Digitale E-Mail Signatur mit einem Firmenzertifikat
Das Signieren von E-Mails mit einem S/MIME-Firmenzertifikat erfüllt auf Unternehmensebene
denselben Zweck wie das Signieren mit einem S/MIME-Benutzerzertifikat auf Personenebene. Bei
dieser Variante wird nur ein einziges Zertifikat für das Unternehmen benötigt. Da S/MIME-Zertifikate
grundsätzlich jedoch nur für eine E-Mail Absenderadresse gültig sind, erhalten alle ausgehenden EMails den gleichen (technischen) Absender. Das heisst alle E-Mails des Unternehmens - egal wer im
Unternehmen der Absender ist - erscheinen beim Empfänger mit derselben E-Mail Adresse.
Daraus resultieren einige Probleme:
Zwar wird beim Empfänger der korrekte (Absender-) Benutzername angezeigt, jedoch wird ein
automatisches Erfassen von Kontakten und zugehörigen E-Mail Adressen nicht mehr wie
erwartet funktionieren.
Aufgrund der Häufigkeit des Verwendens dieser einen Absenderadresse besteht eine hohe
Wahrscheinlichkeit, dass diese fälschlicherweise als SPAM eingestuft wird. Das hätte zur Folge,
dass bei den meisten Empfängern alle E-Mails des Unternehmens abgewiesen würden.
Non Delivery Reports (NDR) also Informations-Mails welche bei Nicht-Zustellbarkeit erzeugt
werden, werden nicht an den ursprünglichen, sondern an den technischen Absender gesendet
Fazit:
Diese Art der Signatur ist im produktiven Umfeld absolut nicht zu empfehlen, da über kurz oder
lang massive Support Aufwände generiert werden!
© 2016 SEPPmail AG
38
Anzeigen einer Signaturprüfung
Die Information ob eine E-Mail signiert wurde und zu welchem Ergebnis die Prüfung kam, erfolgt bei
SEPPmail durch das Hinzufügen von Tags im Betreff, im Standard:
[signed OK] beziehungsweise [signed INVALID]
Bei Betreffzeilen, die solche Tags schon mitliefern (vielleicht zum Vortäuschen falscher Tatsachen)
werden diese Tags bereits vor dem eigentlichen Prüfen gelöscht. Somit ist sichergestellt, dass beim
Empfänger das tatsächliche Ergebnis der Prüfung angezeigt wird.
Der Betreiber der Appliance kann entscheiden, ob Signaturen am Gateway abgehängt und nur der
Indikator in der Betreffzeile ausgeliefert wird, oder die Signatur an den Empfänger weitergereicht wird.
Das Abhängen von Signaturen ist mitunter durchaus sinnvoll, da manche Endgeräte mit diesen
Signaturen nur bedingt umgehen können. So erzeugen zum Beispiel Blackberry wie auch Android
Geräte Fehler, wenn auf eine signierte E-Mail geantwortet wird.
Wie kritisch der Umgang mit Signaturnachrichten an den Empfänger betrachtet werden sollte, zeigt
folgendes Beispiel. Eine sichere E-Mail Gateway Appliance erzeugt folgenden E-Mail Footer bei
Prüfung der Signatur:
Das sieht vordergründig gut aus und zeigt dem Nutzer die gesamte Information einer Signatur:
E-Mail ist originär
E-Mail ist unverfälscht
Zertifikat ist gültig
Aber
ein Angreifer könnte diesen Footer ebenso an seine unsignierte E-Mail anfügen und so eine
gefälschte E-Mail von außen einschleusen. Das Gateway, welches dieses Verfahren für das
Markieren signierter E-Mails verwendet, könnte diese Fälschung nicht erkennen. Dem Empfänger
dieser E-Mail würde somit eine gültige Signatur vorgegaukelt.
3.2.6
Das Microsift Outlook AddIn ist absichtlich möglichst einfach gehalten. Im Standard werden lediglich
im E-Mail X-headerfür das Steuern der Appliance gesetzt. Eine direkte Kommunikation zwischen
AddIn und SEPPmail Appliance ist nicht notwendig.
Das von SEPPmail kostenfrei gelieferte Outlook AddIn unterstützt Microsoft Outlook 2007, 2010 und
2013 jeweils in der 32 und 64 Bit Version auf den Plattformen Microsoft Windows7, 8, 8.1 und 10
sowie Terminal-Server jeweils in der 32 und 64 Bit Version.
Das AddIn, kommt als MSI Installationspaket und kann somit mit den üblichen Software Verteil- und
Installationsmechanismen customized problemlos in grossen Umgebungen ausgerollt werden.
Weiterhin ist ein ADM-Template für die Konfiguration des AddIns per Group-Policies (GPOs)
vorhanden.
Eine detailierte Beschreibung der Konfigurationsmöglichkeiten ist im Kapitel Microsoft Outlook AddIn
105 zu finden.
© 2016 SEPPmail AG
39
3.3
Aufbau und Architektur
3.3.1
Appliance
SEPPmail stellt Appliances sowohl in Form von hochstabiler Industrie-Hardware, als auch für
virtualisierte Umgebungen zur Verfügung.
3.3.1.1
Hardware Modelle
Empfohlen bis 100 Postfächer, beziehungsweise 50 Verschlüsselungs-User (Encrypt Lizenzen)
SEPPmail 500B
Dimensionen (HxBxT) Desktop Gerät (90 x 330 x 203 mm)
Prozessoren
Intel Atom D510 1.66 Ghz Dual Core
Speicher (RAM)
1 GB SO-DIMM DDR2 PC-667
Festplatte (HDD
SATADOM 8GB Flash Modul SLC
Netzwerk Karte (NIC) 2x Intel 82574L Gigabit LAN
Stromversorgung
250W flexATX 80+ low noise PSU
Dimensionen (HxBxT) 19" 1U short rack form factor (43 x 426 x 356
SEPPmail 1000B
mm)
Prozessoren
Intel Core i3-530 2.93 Ghz Dual Core
Speicher (RAM)
2 GB DDR3 ECC PC-1333
Festplatte (HDD
250 GB enterprise class SATA HDD
Netzwerk Karte (NIC) 2x Intel 82574L Gigabit LAN
Stromversorgung
260W PFC PSU
Dimensionen (HxBxT) 19" 1U short rack form factor (43 x 435 x 699
SEPPmail 3500B
mm)
Prozessoren
Intel Xeon E5-2603 1.80 Ghz Quad Core
Speicher (RAM)
Festplatte (HDD
2x 146 GB SAS HDD 15k (RAID 1)
Netzwerk Karte (NIC) 4 Port Intel 82571EB Gigabit LAN
Stromversorgung
2x 460W hot plug PSU
Empfohlen ab 7500 Postfächer, beziehungsweise ab 5000 Verschlüsselungs-User (Encrypt
Lizenzen).
Die maximale mögliche Anzahl von Verschlüsselungs-Usern ist im Einzelfall zu prüfen
SEPPmail 5000B
Dimensionen (HxBxT) 19" 2U rack form factor (87 x 446 x 699 mm)
Prozessoren
2x Intel Xeon E5-2630 2.30 Ghz Six Core
Speicher (RAM)
Festplatte (HDD
3x 300 SAS HDD 15k (RAID 1 + HSP))
Netzwerk Karte (NIC) 4 Port Intel 82571EB Gigabit LAN
Stromversorgung
2x 460W hot plug PSU
Durch die Kaskadierbarkeit der Systeme über Cluster und eingebautem Load Balancing ist die Anzahl
der User frei skalierbar.
Die angegebene Empfehlung basiert auf Durchschnittswerten für E-Mail Durchsatz und -Grössen im
Verhältnis zur Anzahl der Postfächer und kann daher im Einzelfall stark abweichen.
© 2016 SEPPmail AG
40
3.3.1.2
Virtualisierte Versionen
Verfügbar für die Virtualisierungsumgebungen:
ESX (VMware)
Hyper-V (Microsoft)
HyperVisor (RedHat)
KVM (Kernel-based Virtual Machine)
Systemanforderungen für Virtualisierung:
SEPPmail VM500 (Empfohlen bis 100 Postfächer beziehungsweise 50 Verschlüsselungs-User
(Encrypt Lizenzen)
Anzahl vCPUs:
1
Arbeitsspeicher: 2 GB
Festplatte:
2 GB
SEPPmail VM1000 (Empfohlen bis 1000 Postfächer beziehungsweise 500 VerschlüsselungsUser (Encrypt Lizenzen)
Anzahl vCPUs:
1
Festplatte:
5 GB
SEPPmail VM3500 (Empfohlen bis 7500 Postfächer beziehungsweise 5000 VerschlüsselungsUser (Encrypt Lizenzen)
Anzahl vCPUs:
1
Festplatte:
10 GB
SEPPmail VM5000 (Empfohlen ab 7500 Postfächer, die maximale Anzahl von
Verschlüsselungs-Usern ist im Einzelfall zu prüfen)
Anzahl vCPUs:
1
Festplatte:
20 GB
© 2016 SEPPmail AG
41
3.3.2
Sizing
Unverbindliche Erfahrungswerte für das Festlegen von System-Ressourcen (VM) und
Dimensionierung einer Lösung sind der folgenden Tabelle zu entnehmen.
Virtual Appliance
Speicher (RAM) in GB
(geändert für virtuelle Appliances in 7.4.6)
Anzahl Prozessoren
(geändert für virtuelle Appliances in 7.4.3)
Festplatte(n) in GB
Anzahl Netzwerkkarten
(bei virtuellen Appliances können diese
auf bis zu 4 erweitert werden)
verfügbarer interner LFT Speicher in
GB
Bei Plattengrössen unter 20 GB wird
jeweils die Hälfte für das Erweitern der
"/tmp" Partition verwendet. Bei
grösseren Platten werden hierfür
statisch 10 GB verwendet.
Maximalgrösse (MB) LFT bei
Einlieferung per SMTP (begrenzt durch
Mailqueue)
Maildurchsatz pro Stunde
(bei durchschnittlicher E-Mail Grösse
von 200 kByte)
Hardware Appliance
500
1000
3500
5000
500B
1000B
3500B
5000B
2
2
4
4
1
1
4
12
1
1
1
1
1
2
4
2x6
2
5
10
20
8
250
2x146
3x300
1
1
1
1
2
2
4
4
-
200
100
250
abhängig von der Grösse der
zugewiesenen Partition
(mind. 5GB)
100
200
500
500
durch Hinzufügen zusätzlicher
Hardware (ggf. per USB) erweiterbar
100
200
500
500
Bei Einlieferung per GINA begrenzt lediglich
der verfügbare interne LFT Speicher
2500
10000 30000
90000
2500
10000
30000
90000
Maximalanzahl Verschlüsselungs-User
(Encrypt Lizenzen)
50
500
5000
im
Einzelfall
zu prüfen
50
500
5000
im
Einzelfall
zu prüfen
Empfohlene Maximalanzahl Postfächer
(basiert auf dem "Maildurchsatz pro
Stunde" und dem Erfahrungswert des
durchschnittlichen E-Mail Aufkommens
pro User bei entsprechenden
Unternehmensgrößen)
100
1000
7500
20000
100
1000
7500
20000
Da einige Ressourcen in virtuellen
Umgebungen nicht mit
physikalischen vergleichbar sind
(Speicher/Prozessoren), können
diese im Bedarfsfall entsprechend
angepasst werden.
© 2016 SEPPmail AG
42
3.3.3
Software
Die Software basiert auf dem Betriebssystem OpenBSD, welches sich über die Jahre als extrem
zuverlässig und widerstandsfähig gegen Angriffe erwiesen hat. Darüber hinaus wurde das
Betriebssystem durch SEPPmail zusätzlich gehärtet. Die nicht benötigten Libraries wurden entfernt
und nur die Module eingebaut, die für die Lösung erforderlich waren. Die Firmware hat in der
komprimierten Version (Betriebssystem und Applikation) eine Grösse von ca. 60MB. Als MTA wird
Postfix verwendet.
Das System ist so konzipiert, dass damit auch PCI – konforme Infrastrukturen aufgebaut werden
können (Passwortregeln, SIEM, Samhain – Integration, verschlüsseltes Dateisystem etc.)
3.3.4
Zentrales Regelwerk (Rule Engine)
SEPPmail hat mit seiner Rule-Engine ein kleines Workflow-System eingebaut. Das Regelwerk
kontrolliert den Fluss jeder einzelnen E-Mail durch die Applikation und definiert, welche E-Mail wie
behandelt wird (signiert, verschlüsselt, entschlüsselt, zurückgewiesen,…).
Darüber hinaus können hier Prüfungen und Datenbankabfragen (LDAP-Lookups zum Beispiel an ein
Microsoft Active Directory) durchgeführt und die retournierten Ergebnisse oder Parameter zur E-Mail
Steuerung und/oder Verschlüsselungssteuerung herangezogen werden.
Dieses einfache und doch effektive Werkzeug ermöglicht die Definition eines Regelwerks, welches
eine genaue Abbildung der gewünschten Security Policy eines Unternehmens darstellt. Die RuleEngine ist als einfache if/else Skriptsprache aufgebaut. Eine umfassende Dokumentation des
Aufbaus, der Befehle und der Parameter ist im Handbuch hinterlegt. Die Lösung wird mit einem
Standardregelwerk ausgeliefert, welches in 90% der Fälle unverändert bei den Unternehmen zum
Einsatz kommt und jederzeit den speziellen Bedürfnissen eines Unternehmens angepasst werden
kann.
© 2016 SEPPmail AG
43
3.3.5
Architekturen
3.3.5.1
Im vollen Mailstrom
In den beiden folgenden Szenarien kann die Entscheidung, ob und wie E-Mails beim Versand
verschlüsselt/signiert werden, zentral über das Ruleset der SEPPmail Appliance oder individuell am EMail Client via Schlüsselwörter, Outlook AddIn beziehungsweise IBM Notes Schablone oder
Groupwise Vorlage getroffen werden.
Eingehende E-Mails werden gegebenenfalls entschlüsselt, beziehungsweise die Signatur geprüft und
entsprechend für den internen E-Mail Empfänger gekennzeichnet (zum Beispiel [secure], [signed ok],
[signed INVALID])
Öffentliche Schlüssel von eingehenden, signierten E-Mails werden gesammelt, so dass diese zur
Verschlüsselung an die absendenden Kommunikationspartner automatisch genutzt werden können.
3.3.5.1.1 Kleine Umgebungen
Für gewöhnlich wird die Appliance in kleineren Umgebungen als zusätzliche Stufe zwischen E-Mail
Server und Internetzugang (Router) in den E-Mail Strom gesetzt. Wird in dieser Konstellation kein
externer AntiSpam Dienst genutzt, so ist das optional erhältliche „Protection Pack“ für Spam
Erkennung und Virenschutz dringenst zu empfehlen. Andernfalls droht bei Spam Attacken der E-Mail
Verkehr zum Erliegen zu kommen.
© 2016 SEPPmail AG
44
3.3.5.1.2 Grössere beziehungsweise komplexere Umgebungen
In grösseren Umgebungen trifft man häufig auf eine separate AntiSpam-/Antiviren- Lösung.
Dabei werden ausgehende E-Mails zunächst an der Appliance - je nach Kennzeichnung verschlüsselt/signiert und im Anschluss nicht mehr direkt in das Internet gesendet, sondern an den
Spam Filter übergeben.
Eingehende E-Mails werden zunächst durch den Spam Filter entgegengenommen und geprüft (hier ist
zu beachten, dass eine Virenprüfung bei verschlüsselten E-Mails nicht möglich ist!) und anschliessend
an die SEPPmail Appliance geleitet. Sind diese kryptographisch behandelt, so wird an der Appliance
die erforderliche kryptographisch Aktion (Enschlüsselung und/oder Signaturprüfung) sowie
gegebenenfalls weitere Aktionen (zum Beispiel header tagging) ausgeführt. Abschliessend gibt die
Appliance die E-Mail an den E-Mail Server weiter.
Hinweis:
Auch in dieser Konstellation kann der Einsatz des optionalen Protection Pack der
SEPPmail Appliance durchaus sinnvoll sein. Somit kann auch bei verschlüsselten EMails, welche am Spam Filter nicht auf Viren geprüft werden können, die
Zweistufigkeit des Virenschutzes gewährleistet werden.
© 2016 SEPPmail AG
45
Stellt die AntiSpam Komponente spezielle Routing Funktionen bereit, so können ausgehende E-Mails
am Spam Filter auf Viren geprüft werden, bevor sie gegebenenfalls an der Appliance verschlüsselt/
signiert werden.
Eingehende verschlüsselte E-Mails werden zunächst zum Entschlüsseln an die SEPPmail Appliance
geleitet und anschliessend zur Virenprüfung zurück an den Spam Filter geliefert. Somit können auch
verschlüsselte E-Mails durch den Spma Filter auf Viren geprüft werden.
Achtung:
Die eingesetzte AntiSpam Komponente muss diese Konfiguration unterstützen, da
andernfalls unweigerlich eine "mail-loop" entsteht und der E-Mail Verkehr somit zum
Erliegen kommt.
© 2016 SEPPmail AG
46
3.3.5.2
Über spezielles Routing angesteuert
Im folgenden Szenario fällt die Möglichkeit des zentralen Entscheidens, ob und wie E-Mails beim
Versand verschlüsselt/signiert werden, an der SEPPmail Appliance weg. Dieses Steuern wird von der
vorgeschalteten AntiSpam-Komponente übernommen.
Hierfür muss diese ebenfalls die individuell am E-Mail Client via Schlüsselwörter, Outlook AddIn, IBM
Notes Schablone oder Groupwise Vorlage getroffene Entscheidung interpretieren können.
Eingehend muss die AntiSpam-Komponente zuverlässig erkennen können, ob eine E-Mail
kryptographisch behandelt ist, um diese korrekt zu routen.
Hinweis:
Bei dieser Art der Konfiguration geht - zumindest ausgehend - die Managed Domain
Service 23 Funktion verloren, da nur an der SEPPmail Appliance bekannt ist, ob der
Kommuniukationspartner ebenfalls über eine SEPPmail Appliance verfügt.
3.3.5.3
Schnittstellen
Eine Liste der zu gewährleistenden Kommunikationswege, über welche die SEPPmail Appliances
kommunizieren ist in einer Kurzzusammenfassung im Quick-Install Guide (siehe https://www.
seppmail.ch/downloads) als auch ausführlich im Kapitel Firewall / Router einrichten 65 zu finden.
© 2016 SEPPmail AG
47
3.3.6
Hochverfügbarkeit, Loadbalancing
Die Cluster- und Loadbalancing-Funktionalität ist im Grundsystem der SEPPmail Appliance integriert.
Mit wenigen Schritten kann ein Cluster zwischen zwei und mehr Geräten aufgebaut werden, bei Bedarf
auch über verschiedene Standorte hinweg. Dabei werden alle betriebsrelevanten Daten
(Systemparameter, Nutzerdaten und Schlüsselmaterial) über alle Systeme synchronisiert. Die
Systeme sind so ausgelegt, dass bei einem Totalausfall eines Standortes, der oder die verbleibenden
Standorte den Betrieb reibungslos aufrechterhalten können. Sobald der Regelbetrieb wieder
hergestellt ist, werden wieder alle Systeme automatisch abgeglichen.
3.3.6.1
Multi Master LDAP
Ein SEPPmail Appliance Cluster besteht aus zwei oder mehr SEPPmail Appliance. Jeder Member des
Clusters oder jede Instanz ist Teil des Multi-Master LDAP Verbundes. Im LDAP sind alle für den
Betrieb einer Instanz notwendigen Daten abgelegt.
Der Einsatz von Multi-Master LDAP ermöglicht deshalb auf einfache und elegante Art allen Instanzen,
mit minimaler Verzögerung, die gleiche Datenbasis zur Verfügung stellen.
Des Weiteren erlaubt das Verwenden von LDAP als Clusterprotokoll, einen Cluster auch über reine IP
Netzwerke zwischen den Rechenzentren zu betreiben. Layer 2 Netzwerke oder Spezialprotokolle
zwischen den Netzwerken sind in aller Regel nicht notwendig.
3.3.6.2
Queue-Less-Betrieb
Die SEPPmail Appliance hat eine einzigartige Funktionsweise, bei der E-Mails nie in einer Queue und
nie auf der Appliance zwischengespeichert werden. Eine E-Mail wird erst dann als empfangen quittiert,
wenn sie an den nächsten Server weitergereicht wurde.
Dadurch muss auf den Appliances kein Platz für grosse Queues vorgehalten und überwacht werden.
Ein Backup der Queue ist ebenfalls nicht notwendig, da keine Nutz-Mails in Queues gelagert werden.
Dieses Verfahren führt zu einer erheblichen Erleichterung bei der Fehlersuche im E-Mail System.
Hauptsächlich aber kann damit eine Appliance bei Hardware Ausfall garantiert ohne Datenverlust
ausgewechselt werden.
3.3.6.3
Failover und Loadbalancing
Mit wenigen Schritten kann ein Cluster zwischen zwei und mehr Geräten aufgebaut werden, dies auch
verteilt über verschiedene Standorte. Der Multimaster Cluster benötigt dabei einzig eine TCP–
Verbindung zwischen den Geräten.
Failover kann in mehreren Stufen realisiert werden:
Durch das Verwenden von MX – Records für das Ansprechen der Systeme
Durch das Definieren von (lokalen oder allgemein verfügbaren) DNS – Einträgen mit MX –
Records für den nächsten Hop
Durch Definition von virtuellen IPs, wobei die IPs eines ausfallenden Systems automatisch von
einem der verbleibenden Geräte übernommen wird
Loadbalancing kann in mehreren Stufen realisiert werden:
Durch Aufteilen des E-Mail Stroms auf verschiedene virtuelle IPs (zum Beispiel ein – und
ausgehender E-Mail Verkehr getrennt)
Durch Definition von MX–Records mit gleicher Priorität auf virtuelle IP–Adressen oder DNS
© 2016 SEPPmail AG
48
Round Robin
Zusätzlich hat jede SEPPmail Appliance einen integrierten Loadbalancer: Wenn eine Maschine
überlastet ist, werden Aufgaben automatisch an vordefinierte andere Maschinen weitergegeben.
Dies funktioniert auch über verteilte Standorte
Für den Zugriff auf das Webportal (GINA) wird das Verwenden von virtuellen IPs und eventuell eine
Web Application Firewall (WAF) empfohlen.
Da praktisch alle Installationen von SEPPmail Appliances mit einem Cluster arbeiten (insbesondere
bei Verwenden von Hardware Appliances) ist die eingesetzte Technik praxiserprobt und extrem
zuverlässig.
3.3.6.3.1 Cluster: Multimaster LDAP & Queue-Less Betrieb
Durch das Verwenden des Queue-Less Modus und den Einsatz GINA-Technologie, werden keinerlei
E-Mails in den Appliances gelagert und müssen deshalb auch nicht zwischen den Geräten zur
Ausfallsicherheit synchronisiert werden. Die Datenmenge, die zwischen den Instanzen ausgetauscht
werden muss, ist deshalb sehr klein: Es müssen nur Konfiguration und Schlüssel Material
synchronisiert werden.
© 2016 SEPPmail AG
49
3.3.7
System Management
3.3.7.1
Administration
Der administrative Zugriff erfolgt in der Regel über eine SSL gesicherte Verbindung auf einen
separaten Web-Server.
3.3.7.2
Rollenrechte
Die SEPPmail Appliance hat ein integriertes Rollen-Rechtesystem. Dieses ist in der folgenden Tabelle
abgebildet:
Rolle
Zugriff
admin
Vollzugriff
administrationadmin
backup
caadmin
Systemrelevante Konfigurationseinstellungen (Lizenz, Update, Backup,
Importfunktionen, Boot)
Das Backup der Appliance wird täglich verschlüsselt an die E-Mail
Adressen aller Backup Benutzer gesendet
Interne Certificate Authority (CA) und Managed Public Key Infrastructure
(MPKI)-Einstellungen
clusteradmin
Cluster Einstellungen
domainkeysadmin
Domänen Schlüssel Verwaltung
groupsadmin
Gruppenverwaltung (diese beinhaltet sowohl die hier beschriebenen
Rollen, wie auf optional selbst erstellte Gruppen zur Verwendung im
RuleSet)
homeadmin
Übersicht des Systemstatus
logsadmin
Logs
mailprocessingadmin
Rule engine
mailsystemadmin
Anbindungseinstellungen und einfache AntiSpam Einstellungen
multiplecustomersadmin
Mandanteneinstellungen in multitenant Systemen
openpgpkeysadmin
OpenPGP Schlüsselverwaltung
readonlyadmin
lesender Zugriff auf alle Menüs
ssladmin
SSL Einstellungen
statisticsadmin
Statistik Grafiken
systemadmin
Systemeinstellungen (Netzwerkinterfaces)
usersadmin
Interne Benutzerverwaltung
webmailaccountsadmin
GINA Benutzerverwaltung
webmaillogsadmin
GINA-Web-Mail Logs
x509certificatesadmin
X.509 Zertifikatsverwaltung
x509rootcertificatesadmin
X.509 Root Zertifikatsverwaltung
© 2016 SEPPmail AG
50
3.3.7.3
Backup / Restore
Das System wird täglich automatisch gesichert. Inhalt der Sicherung ist ausschliesslich Konfiguration
und Schlüsselmaterial, weshalb die Grösse der Sicherung selbst nach jahrelangem Betrieb der
Appliance minimal bleibt. Die Sicherungsdatei wird automatisch verschlüsselt an den oder die
BackupOperator gesendet. Da auf den Appliances dank der GINA-Technologie nie Nutzdaten
gespeichert werden müssen, kann im Disasterfall trotz der geringen Grösse des Backups die volle
Funktionalität des Systems innerhalb kürzester Zeit wiederhergestellt werden.
Der Restore einer einzelnen Maschine erfolgt durch das alleinige Einspielen der Backupdatei nach
dem Neustart.
Der Restore einer Clustermaschine erfolgt automatisch per Replikation nach Aufnahme der neuen
Maschine in den bestehenden Cluster.
3.3.7.4
Systemupdate
Das System sucht regelmässig nach anstehenden Versionsupdates und Patches und zeigt
anstehende Updates dem Administrator an. Dieser entscheidet, ob er das Update „prefetchen“ oder
sofort durchführen möchte. Dabei wird immer das gesamte Core-System (Firmware) ausgetauscht, d.
h. keine Einzelkomponenten. Erhalten bleiben hingegen alle Systemeinstellungen, kundenspezifische
Anpassungen und das Schlüsselmaterial.
Bei einem Clusterbetrieb, können im Wartungsfall die Komponenten einzeln und im laufenden Betrieb
einem Systemupdate unterworfen werden Ein Aufbrechen des Clusters ist möglich, aber nicht
notwendig. Da die Software als echte Firmware ausgeliefert wird, sind Systemupdates sehr gut
planbar, da nicht einzelne Komponenten (zum Beispiel Datenbanken und Module) auf voneinander
abhängige Release-Stände gezogen werden müssen. Auch ist die Lösung dadurch im Voraus zu
testen.
3.3.7.5
SysLog
Die SEPPmail Appliance bietet die Möglichkeit ihre gesamten Logs an SysLog-Server zur zentralen
Überwachung/Archivierung zu liefern. Die RFC 3164 Konformität ist gegeben.
Neben dem E-Mail Log können bei Bedarf alle Admininistrationsoberflächen- wie auch GINAEreignisse in einem PCI konformen Format eingerichtet werden (CEF – Format zum Beispiel für
ArcSight).
3.3.7.6
Systemüberwachung
Für das Überwachen der SEPPmail Appliance steht sowohl die Möglichkeit des Anbindens via SNMP
als auch Nagios zur bereit.
3.3.7.7
Report
Ein Statusreport wird einmal täglich von der Appliance per E-Mail sowohl an den Administrator wie
auch dem Statistik-Verantwortlichen versendet. Dabei werden Notifications und Warnings angezeigt,
wieviele Root Certificate zur Prüfung anstehen und je eine graphische Statistik zu Durchsatz
(Reseived - Sent - Encrypted - Decrypted), Technologie (Web-Mail - S/MIME -OpenPGP - Domain),
optional Spam (incoming - Spam - Blacklisted - Greylisted), Prozessor- und Speicherauslastung
ausgeworfen.
Darüber hinaus stellt das System auch noch Reports im csv-Format zur Anzahl der versendeten oder
empfangenen E-Mails und den verwendeten Technologien pro Benutzer und Domäne zur Verfügung.
© 2016 SEPPmail AG
51
© 2016 SEPPmail AG
52
3.3.8
Mandantenfähigkeit - Public / Private Cloud Implementierung
SEPPmail Appliances sind grundsätzlich mandantenfähig.
Somit wird Unternehmensrechenzentren und Managed Service Providern (MSP) ermöglicht den
Service „Sichere E-Mail“ auch für eigenständige Unternehmenseinheiten und/oder unterschiedliche
kleinere oder grössere Kunden (Mandanten) anzubieten. Dabei unterliegt der Betrieb der Appliance
dem Provider.
Durch eine ebenfalls nach Mandanten getrennte Konfigurationsoberfläche, kann über optional jeweils
einzurichtende Mandanten-Admins, der jeweilige Mandant spezifische Aufgaben selbst übernehmen,
wie zum Beispiel
Vornehmen von GINA Einstellungen und Layouts
Prüfen von Log-Dateien
Verwalten von SEPPmail Appliance Benutzern (für die Signierung/Verschlüsselung)
Verwalten von GINA Benutzern
Verwalten von LFT-Benutzern (optional)
Die Art und Weise der E-Mail Verarbeitung wird jedoch grundsätzlich zentral verwaltet und ist somit für
jeden Mandanten identisch.
Das bedeutet der MSP macht seinen Kunden Vorgaben bezüglich der E-Mail Verarbeitung !
Diese ist im Ruleset definiert und enthält zum Beispiel:
Merkmale für das Steuern der Appliance
o Tags (zum Beispiel [confidential], [sign] usw.)
o E-Mail header (Sensitivity-Parameter welcher zum Beispiel aus dem Outlook
Vertraulichkeitsflag resultiert)
o X-header(zum Beispiel aus dem kostenfreien SEPPmail Outlook AddIn)
Tags für das Rückmelden durchgeführter Aktionen
o Tags (zum Beispiel [secure], [signed ok] usw.)
o header (Setzen des Sensitivity-Parameter (Vertraulichkeits-Flag))
Automatisches Erzeugen von SEPPmail Appliance Benutzern
MPKI von welcher CA Zertifikate automatisiert bezogen werden.
Ist jedoch das zur Verfügungstellen von unterschiedlichen Verfahrensweisen der E-Mail Verarbeitung
(Ruleset Einstellungen, unterschiedliche MPKI) pro Mandant unumgänglich, so kann dies durch 2
Arten gelöst werden:
Installieren von mehreren Instanzen mit unterschiedlichen Rulesets.
Das Standard-Ruleset so anzupassen, dass die unterschiedlichen Regelbedürfnisse pro
Mandant in diesem abgebildet werden (siehe auch Zentrales Regelwerk (rule engine) 42 )
© 2016 SEPPmail AG
53
3.4
Sicherheit
Sicherheitkonzept des Betriebssystems OpenBSD
Die SEPPmail Appliance hat das, an sich als gut gesichert bekannte Betriebssystem, zusätzlich im
„Bottom-up“ Verfahren gehärtet. Dabei wurden alle nicht notwendigen Libaries entfernt und nur
unbedingt notwendigen Funktionen behalten.
Bei der Lösung handelt es sich um eine “echte” Firmware: Bei einem Update wird das Gesamtsystem
aktualisiert. Damit ist dieses auch test- und reproduzierbar.
(siehe auch https://www.openbsd.org/papers/asiabsdcon2015-pie-slides.pdf)
Sicherheitskonzept Core Application
Bei der Appliance handelt sich um eine gekapselte Applikation. Alle Schnittstellen gegen aussen sind
möglichst einfach gehalten und nur die absolut notwendigen wurden implementiert. Die Firmware ist
gepackt mit allen zugehörigen Applikationen rund 60 MB gross.
Sicherheitskonzept GINA Webinterface
Das Webinterface wurde absichtlich sehr einfach gehalten und nur mit den absolut notwendigen, aber
ausreichenden Funktionen versehen. Dabei wurden alle Boardmittel zur Absicherung des WebServers - etwa zur Abwehr von "Denial of Service" (DoS) Attacken - ausgeschöpft. Weiterhin werden
zur Eingabe nur genau vordefinierte Datenfelder akzeptiert. Jedes Datenfeld wird beim Einliefern auf
Gültigkeit geprüft. Somit ist ein Einschleusen schädlichen Codes unmöglich. Der gehärtete, gekapselte
Web-Server läuft als unprivilegierter User.
Schutz der Daten
CA-Schlüssel, Private Schlüssel, Session Schlüssel, GINA Benutzer Schlüssel
o Die Hauptmaschinen sind so gekapselt in der DMZ platziert, dass keinerlei direkter Zugriff von
aussen möglich ist.
o Sollte der Wunsch/Forderung bestehen, dass die PKI-Daten ausschliesslich im Intranet
abgelegt werden, kann die Lösung aufgetrennt werden. Dabei werden für den Web-Zugriff
(GINA) eigene Maschinen (Satelliten) ohne eigene Datenhaltung in der Internet DMZ verwendet.
o In der Regel macht das Sicherheitskonzept der Appliance in Kombination mit den vorhandenen
Überwachungsmöglichkeiten (SamHain, Audit Log, SNMP etc.) ein HSM unnötig. Sollte
dennoch ein zusätzliches Sichern von privaten Schlüsseln gewünscht sein, ist das Anbinden
einer HSM (zum Beispiel Safenet oder Thales) möglich.
o Auf Wunsch kann das System gemäss PCI (Payment Card Industry Data Security Standard)
gehärtet werden. Dabei wird das gesamte System - Platten und Kernel - nochmals mittels AES
XTS 256 verschlüsselt.
(siehe auch https://www.openbsd.org/papers/eurobsdcon2015-softraid-boot.pdf)
Pin/Passwörter
o Passwörter dienen dem Zugriff eines externen Empfängers auf seine GINA-E-Mail bzw.
nachgelagert dem AES256 Schlüssel auf der Appliance zum Entschlüsseln seiner E-Mail.
Letzterer verlässt die gut geschützte SEPPmail Appliance niemals.
Zertifizierungen
Die Appliance kann auch für den Betrieb in PCI (Payment Card Industry Data Security Standard) –
konformen Umgebungen konfiguriert werden. Zum Beispiel hat die Lufthansa Systems ein PCI –
konformes Gesamtsystem mit einer SEPPmail Appliance als Kernsystem aufgebaut. Im Oktober 2014
wurde das System mit positivem Abschluss geprüft.
© 2016 SEPPmail AG
54
Aus Herstellersicht ist derzeit aus unterschiedlichen Gründen fraglich, ob und welche
„standardisierten“ Zertifizierungen sinnvoll sind. Der Markt der „Sicherheitszertifizier“ wächst schnell
und ist unübersichtlich. Einige ausländische Unternehmen verlangen zudem Einblicke in den
Sourcecode. Dies können wir aus sicherheitsrelevanten Gründen nicht zulassen.
Die von der Lufthansa Systems durchgeführte Prüfung auf PCI-Compliancy ist unseres Erachtens
deutlich strenger und daher höher zu bewerten, da diese neben einem normalen PenTest sehr harte
Vorgaben bezüglich Zugangsrechte und Protokoll der Administrationstätigkeit verlangt und prüft.
Aktuelle Sicherheitslücken oder Exploits
SEPPmail reagiert - falls betroffen - auf bekannt werdende Sicherheitslücken oder Exploits innerhalb
kürzester Zeit mit einem Sicherheitsupdate. Dieses wird allen Kunden über den normalen UpdateMechanismus zur Verfügung gestellt.
Die Sicherheitslücken wie zum Beispiel „Heartbleed“ oder „Poodle“ betrafen die Lösung nicht.
© 2016 SEPPmail AG
55
3.5
Zusätzliche Features
Die SEPPmail Appliance bietet zusätzlche Features, welche auf Wunsch beziehungsweise bei Bedarf
lizensiert und verwendet werden können.
3.5.1
Protection Pack (PP)
Ein weiteres optionales Feature der SEPPmail Appliance ist das Protection Pack, welches Virus,
Spam und Phishing Schutz bietet.
Ist die Appliance aus dem Internet direkt, ohne vorgelagerte Schutzkomponenten per MX-Record zu
erreichen, so empfiehlt sich der Einsatz dieser Komponente dringend, um ein Überlasten des
SEPPmail Appliance- sowie der nachgelagerten Systeme aufgrund von Spam-Attacken zu vermeiden.
Selbst bei vorgelagerten Schutzkomponenten ist das Scannen von verschlüsselten E-Mails auf Viren
nicht möglich. Nachdem an der SEPPmail Appliance E-Mails entschlüsselt werden, können Sie dort
auch auf Viren geprüft werden. Weiterhin kann durch Aktivieren des Virenschutzes gegebenenfalls die
Zweistufigkeit des selbigen gewährleistet werden.
Realisiert wird der Schutz mittels Black-, White- und Greylisting sowie der integrierten Komponenten
SpamAssassin und ClamAV.
3.5.2
Self Service Password Management (SSPM)
Das Self Service Passwort Management (kurz SSPM) ermöglicht es GINA-Benutzern selbständig Ihr
Passwort zurückzusetzen. Damit werden ressourcen- und somit kostenintensive Hotline Anfragen
grösstenteils vermieden.
Dabei stehen zwei Varianten zur Verfügung, um die zwei Faktoren Authentifizierung zu gewährleisten:
a) Passwortreset per SMS
Steht ein SMS-Dienst zur Verfügung, so kann sich der GINA-Benutzer nach dem Beantworten
seiner persönlichen Sicherheitfrage (siehe GINA-Web-Mail 24 ) ein Einmalpasswort bequem per
SMS zusenden lassen.
b) Passwortreset per E-Mail Verifikation
Steht kein SMS-Dienst zur Verfügung oder verfügt der Benutzer über keine Gelegenheit SMS zu
empfangen, so kann er sich nach dem Beantworten seiner persönlichen Sicherheitfrage und
Vergabe eines neuen Passwortes von der Appliance eine E-Mail mit einem Verifikations-Link an
seine hinterlegte E-Mail Adresse zusenden lassen. Nach dem Bestätigen des Links aus der EMail ist das Anmelden am GINA-Portal mit seinem neuen Passwort wieder möglich.
3.5.3
Large File Transfer (LFT)
Einführung
Das Problem der übergrossen E-Mail Anhänge ist den Meisten bekannt. Sobald eine bestimmte E-Mail
Grösse überschritten wird, wird die E-Mail entweder schon vom eigenen oder aber vom E-Mail Server
des Empfängers abgewiesen. Danach beginnt die Suche nach einem geeigneten
Übermittlungsverfahren. Zur Verfügung stehen dann: FTP-Server, diverse Web-Angebote wie zum
Beispiel Dropbox oder der Postweg für die selbst gebrannte DVD.
SEPPmail nutzt die Basisfunktionalität der Appliance und den Einladungsprozess der GINATechnologie, um dieses Problem elegant und für den User transparent zu lösen.
Dabei gibt zwei Möglichkeiten übergrosse E-Mails bei der SEPPmail Appliance einzuliefern:
Standard E-Mail Client
GINA Web-Mail Client
© 2016 SEPPmail AG
56
Auf der Appliance selbst sind nur vier Parameter einzustellen:
Grösse der E-Mail (in kiB) ab welcher die LFT Funktionalität aktiv wird.
Maximalgrösse einer LFT Mail
Verweildauer (in Tagen) nach welcher die E-Mail von der SEPPmail Appliance gelöscht wird.
Versenden von übergrossen Dateien via Standard E-Mail Client
Wenn vom Betreiber des E-Mail Systems für den Sender keine Limitation der E-Mail Grössen
vorgegeben ist, oder es keine sensiblen Daten sind, die PCI-compliant übermittelt werden müssen,
steht der Nutzung des Standard E-Mail Clients zum Versenden von übergrossen Daten nichts im Weg.
Der Anwender verfasst in seinem gewohnten E-Mail Client eine E-Mail und fügt seine zu
übermittelnden Daten und Files als Anhang bei (1). Danach versendet er diese, ohne weitere
Markierung oder Aktion. Sobald die gesamte E-Mail das auf der SEPPmail Appliance eingestellte
Volumen übersteigt, wird diese verschlüsselt und auf der Appliance in einem gesonderten
Datenbereich abgelegt. Gleichzeitig wird eine Einladung (2) zum Download der übergrossen E-Mail
mittels GINA-Technologie versendet. Siehe Kapitel GINA-Web-Mail 24 .
Der Unterschied zu einer verschlüsselten E-Mail liegt darin, dass die Einladungsmail mit einem
Ablaufdatum versehen ist und die Datei als solches nur wenige kByte gross ist.
Sobald der Empfänger den GINA Anmeldeprozess - dieser kann optional und im Einzelfall ausgesetzt
werden - durchlaufen hat, steht die E-Mail samt Anhang auf der SEPPmail Appliance entschlüsselt zur
Verfügung. Der Anhang beziehungsweise die komplette E-Mail steht - gemäss den vom Betreiber
eingestellten Optionen - zum Download über die etablierte https-Strecke bereit (3).
Die E-Mail wird nach Erreichen der Verweildauer von der SEPPmail Appliance gelöscht, auch wenn
der Download noch nicht stattgefunden hat.
© 2016 SEPPmail AG
57
Versenden von Daten via internem GINA Web-Mail Portal
Da Storage teuer ist, tendieren manche IT-Abteilungen dazu, auch den ausgehenden E-Mail Verkehr
von der Grösse her zu limitieren. Aber auch sensible Daten, wie zum Beispiel
Kreditkarteninformationen, müssen über einen PCI konformen Übermittlungsweg übertragen werden.
E-Mail Systeme sind jedoch nur sehr vereinzeilt dafür ausgelegt. Die SEPPmail Appliance kann in
einem System beide Szenarien abbilden.
Der Anwender öffnet dafür den internen GINA-Web-Mail Client über seinen Browser und verfasst darin
seine Nachricht und fügt die zu übermittelnden sensiblen Daten bei (1). Danach versendet er die
Nachricht, wobei diese über den gesicherten https-Kanal auf die SEPPmail Appliance eingeliefert wird.
Der restliche Vorgang ist mit dem unter Kapitel „Versenden von übergrossen Files via Standard E-Mail
Client“ identisch. Die E-Mail samt Anhang wird verschlüsselt in einem gesonderten Datenbereich der
Appliance abgelegt und es ergeht eine Aufforderung zur Abholung (2) an den oder die Empfänger.
Dieser meldet sich mit seinem Initialpasswort oder eigenem Passwort, beziehungsweise bei aktivierter
externer Authentisierung zum Beispiel mit seinen Windows Credentials, an und lädt die Dateien auf
sein System. (3)
Optional kann bei Bedarf für LFT die Passwortabfrage individuell abgeschaltet werden
LFT – Antwort
Dem Empfänger steht für eine Rückantwort der gleiche Kanal zur Verfügung. Er kann somit eine
gesicherte E-Mail bzw. auch grosse vertrauliche Daten via GINA-Web-Mail Client übermitteln. Dazu
bedient er sich der Antwortfunktion innerhalb des GINA-Clients.
Der Prozess ist exakt invers zu der Versendung.
Empfangen von übergrossen Dateien
Auch bei übergrossen eingehenden E-Mails wird die LFT-Technologie verwendet, um die Ressourcen
des Groupware-Servers zu schonen. Das heisst, der interne Empfänger erhält die E-mail ebenfalls
über den internen GINA-Web-Mail Client.
© 2016 SEPPmail AG
58
3.5.4
Internal Mail Encryption (IME)
Die SEPPmail Appliance bietet optional die Möglichkeit der internen E-Mail Verschlüsselung. Um
jedem Kundenbedarf gerecht zu werden stehen hierfür zwei Konzepte zur Verfügung.
Das erste Konzept
basiert auf der GINA-Technologie in Verbindung mit dem Outlook AddIn. Die folgende Grafik zeigt den
funktionalen Ablauf:
a) Am E-Mail Client (1) wird eine neue E-Mail – an einen oder mehrere interne und gegebenenfalls
externe Empfänger - erzeugt.
b) Diese wird über das Outlook AddIn (2) als „zu verschlüsselnd“ und „intern zu verschlüsselnd“
markiert und modifiziert.
c) Die modifizierte E-Mail (3) wird an den E-Mail Server (4) geleitet.
d) Durch die vorgenommene Modifikation behandelt der E-Mail Server (4) die E-Mail an die internen
Empfänger wie eine Internet E-Mail (5) und leitet diese somit an die SEPPmail Appliance (6)
weiter.
e) Die SEPPmail Appliance (6) leitet die E-Mails an die externen Empfänger (7) „best effort“
verschlüsselt in das Internet.
f) Für die internen Empfänger generiert die SEPPmail Appliance – sofern nicht bereits vorhanden neue, interne GINA-Benutzer und versendet an diese sowie an den Absender die bekannte
GINA-Mail (8) über den internen E-Mail Server (4).
Wurde vom Absender die interne E-Mail Verschlüsselung gewählt, jedoch nur externe
Empfänger adressiert, so erhält an dieser Stelle natürlich nur er seine ausgehende E-Mail als
GINA-Mail.
g) Der interne E-Mail Server stellt die GINA-Mail(s) (9)/(10) für den Absender (1) und den/die
Empfänger (11) bereit.
h) Das AddIn (2) entfernt die noch unverschlüsselte E-Mail aus dem „Gesendet“ Ordner des
Absenders (1). Dieser erhält an deren statt die GINA verschlüsselte E-Mail (9).
i) Der Absender (1) sowie die Empfänger (11) verbinden sich durch Öffnen des in der GINA-Mail
befindlichen html-Anhangs mit dem GINA-Portal (12) der SEPPmail Appliance (6), wo die E-Mail
nach Anmelden mit den persönlichen Zugangsdaten gelesen werden kann.
Der Vorteil dieser Lösung liegt zum Einen in der Outlook-Integration, zum Anderen erleichtert Sie das
Realisieren von Vertreterregelungen, da die intern verschlüsselten E-Mails auch verschlüsselt im
Outlook abgelegt bleiben und somit nur vom originären Empfänger mit dessen Passwort entschlüsselt
© 2016 SEPPmail AG
59
und somit gelesen werden können.
Das zweite Konzept
basiert allein auf der GINA-Technologie, wobei sich der Versender bereits für den Versand der E-Mail
am GINA-Portal anmeldet.
a) Am E-Mail Client (1) wird eine SSL Verbindung (2) zum GINA-Webinterface der SEPPmail
Appliance (3) aufgebaut.
b) Nach Anmelden am GINA-Webinterface wird im Web-Mailer direkt eine E-Mail an interne (und
gegebenenfalls externe) Benutzer adressiert und versendet.
c) Die SEPPmail Appliance leitet die so erzeugten, bekannten GINA-Mails (5) an den internen EMail Server (6) (sowie für eventuell adressierte externe Benutzer (4) in das Internet).
d) Der Interne E-Mail Server (6) leitet die GINA-Mails an den/die Empfänger (8) sowie den
Absender (7).
e) Die Empfänger (9) sowie der Absender (1) können die E-Mail im E-Mail Client öffnen und
gelangen durch Öffnen des verschlüsselten HTML-Anhanges über die SSL verschlüsselte
Strecke [(10) beziehungsweise (2)] zum bekannten GINA-Web-Mailer (3) mit dessen Hilfe die
ursprüngliche E-Mail aus dem HTML-Anhang entschlüsselt und gelesen werden kann.
Vorteil dieser Lösung ist die absolute Unabhängigkeit von den dazwischen eingesetzten Komponenten
wie E-Mail Client oder E-Mail Server.
© 2016 SEPPmail AG
60
3.6
Lizenzen
3.6.1
Basissysteme und Lizenz
SEPPmail Appliance bietet die Basissysteme entweder als Hardware Appliance (siehe Hardware
Modelle 39 ) oder als virtuelle Appliance an (siehe Virtualisierte Versionen 40 ).
Die eingesetzte Firmware ist auf beiden Systemen identisch. Somit sind auch gemischte (Cluster-)
Systeme aus physikalischen und virtuellen Appliances möglich.
Mit dem Basissystem wird auch die Basislizenz erworben, welche bereits die
Domänenverschlüsselung, sowie den Managed Domain Service für das gesamte Unternehmen
beinhaltet.
Weiterhin zwingend erforderlich für den Betrieb der SEPPmail Appliance ist ein jährlicher
Wartungsvertrag für das Basissystem / Lizenz.
3.6.1.1
Protection Pack
Optional kann für jede Instanz (SEPPmail Appliance) das Protection-Pack (PP) gewählt werden.
Der jährliche Betrag beinhaltet das Freischalten der integrierten AntiSpam sowie AntiVirus
Funktionalität.
Diese Funktionalitäten werden durch verschiedene Filtermechanismen sowie dem Einsatz der
Produkte SpamAssassin und ClamAV realisiert, deren Integration in den jeweils aktuellen Versionen
gewährleistet wird.
Hinweis:
Für Systeme welche ohne vorgelagerte Schutzkomponenten direkt mit dem
Internet kommunizieren, wird das Protection Pack dringend empfohlen.
Andernfalls gilt es den gegebenenfalls durch Spam E-Mails zusätzlichen
Ressourcenverbrauch beim Dimensionieren der SEPPmail Appliance zu
beachten!
Schritt 1 zur passenden Lizenz:
Auswahl der gewünschten Appliance(s) für das Basissystem und die dazugehörige jährliche
Wartung. Optional kann pro Basissystem das jährlich fällig werdende Protection-Pack (PP)
erworben werden.
3.6.2
Signatur und Verschlüsselung
Soll das kryptographische Behandeln von E-Mails an der SEPPmail Appliance auf Benutzerebene
stattfinden, so ist für jede SENDENDE E-MAIL ADRESSE - unabhängig vom kryptographischen
Verfahren - eine User-Lizenz zu erwerben.
Das impliziert natürlich, dass auch nur diese Nutzer verschlüsselte E-Mails über die SEPPmail
Appliance entschlüsseln können. Denn nur für diese Benutzer wird auf der Appliance das benötigte,
benutzerbezogene Schlüsselmaterial gespeichert.
Diese benutzerbezogenen Lizenzen sind fest an die E-Mail Adresse des Benutzers gebunden und
werden nur dann wieder freigestellt, wenn die E-Mail Adresse stillgelegt wird, zum Beispiel wenn der
Mitarbeiter das Unternehmen verlässt. Werden E-Mails von einer auf der Appliance stillgelegten EMail Adresse versendet, so werden diese weder signiert noch verschlüsselt (auch nicht über die
Domänenverschlüsselung!). Sollte aber diese E-Mail Adresse und damit auch die allgemein gültige
Domänenverschlüsselung (ohne S/MIME, OpenPGP und GINA), weiter aktiv bleiben, ist das nur durch
das vollständige Löschen des Users auf der SEPPmail Appliance möglich. Wurde diesem User
eigenes Schlüsselmaterial (self-signed oder offizielle Zertifikate) zugewiesen, so werden diese
zunächst revoziert und anschliessend gelöscht. Über das Revozieren der Zertifikate wird den externen
Kommunikationspartnern in der Regel automatisiert, das ein Verschlüsseln an die entsprechende EMail Adresse - anders als beim blossen Stillegen - nicht mehr möglich ist.
© 2016 SEPPmail AG
61
Auswahl der Anzahl benötigter Signatur- und Verschlüsselungslizenzen (pro sendender E-Mail
Adresse), zuzüglich dem zwingend erforderlichen, jährlichen SW Care Pack.
3.6.3
Self Service Password Management (SSPM)
Die unter Self Service Password Management (SSPM) 55 erläuterte Funktion des SSPM, ist als
einmalige, optionale Erweiterung der Signatur- und Verschlüsselungslizenz zu erwerben. Dieses
Modul erhöht nicht den jährlichen Wartungsbeitrag der Care Packs.
Auswahl von SSPM Lizenzen in der selben Anzahl wie Signatur- und Verschlüsselungslizenzen,
sofern dieses Modul gewünscht wird.
3.6.4
Large File Transfer (LFT)
LFT Lizenzen können in unterschiedlichen Mengen zu den Signatur- und Verschlüsselungslizenzen
bezogen werden. Somit ist auch ein Betrieb der SEPPmail Appliance als alleinstehende Lösung für
den sicheren Austausch von (über-)grossen Dateien möglich.
Bei LFT handelt es sich um concurrent Lizenzen. Das heisst dem internen Postfach, welches eine
übergrosse E-Mail sendet oder empfängt, wird dynamisch aus dem LFT-Lizenz-Pool eine Lizenz
zugewiesen. Werden innerhalb von 30 Tagen über dieses Postfach keine übergrossen E-Mails
gesendet, beziehungsweise Empfangen, so wird die Lizenz automatisch wieder freigestellt.
Sind keine Lizenzen frei, so wird eine übergrosse E-Mail als "normale" SMTP-E-Mail versendet.
Auswahl der Anzahl gewünschter LFT-Lizenzen, zuzüglich dem zwingend erforderlichen,
jährlichen LFT Care Pack.
3.6.5
Internal Mail Encryption (IME)
Die unter Internal Mail Encryption (IME) 58 erläuterte Lösungserweiterung zur internen E-Mail
Verschlüsselung (IME), ist wie das SSPM Modul ebenfalls ohne jährliche Wartung einmalig pro
Signatur- und Verschlüsselungslizenz zu erwerben.
Auswahl von IME Lizenzen in der selben Anzahl wie Signatur- und Verschlüsselungslizenzen,
sofern dieses Modul gewünscht wird.
© 2016 SEPPmail AG
62
4
Inbetriebnahme der Secure E-Mail Gateway Appliance
4.1
Bevor Sie beginnen
Bitte überprüfen Sie den Verpackungsinhalt auf Vollständigkeit. Der Lieferumfang besteht aus:
Anzahl
Beschreibung
1
SEPPmail-Hardware Appliance bzw. SEPPmail-Virtual Appliance für VMware ESX oder
Microsoft Hyper-V-Server
1
Quick Install Guide
1
Kaltgerätekabel (240V)
Sollte der Lieferumfang bei Ihnen unvollständig sein oder sollten bei der Installation der SEPPmail
Appliance Probleme oder Fragen auftauchen, kontaktieren Sie bitte SEPPmail oder Ihren SEPPmail
Appliance Fachhändler.
Eine Liste mit den Kontaktangaben der jeweiligen Fachhändler auf der Webseite der SEPPmail AG https://www.seppmail.ch zu finden.
© 2016 SEPPmail AG
63
4.2
Integration der SEPPmail Appliance in Ihre E-Mail Umgebung
(Standard Konfiguration)
In diesem Abschnitt wird ein einfaches Szenario beschrieben, in dem die SEPPmail Appliance externe
E-Mails aus dem Internet direkt entgegennimmt und interne E-Mails nach extern ins Internet
versendet. Je nach Aufbau Ihrer E-Mail Infrastruktur können weitere E-Mail Server oder Gateways im
E-Mail Datenfluss vorkommen.
In diesem Szenario wird SEPPmail Appliance als SMTP-Gateway zwischen dem Internet und dem
internen E-Mail Server installiert. Dadurch ändert sich der E-Mail Datenfluss in den folgenden zwei
wesentlichen Punkten:
1. E-Mails aus dem Internet werden nicht mehr direkt an internen Ihren E-Mail Server,
sondern (neu) an die SEPPmail Appliance gesendet.
2. Der E-Mail Server schickt seine E-Mails nicht mehr direkt ins Internet, sondern (neu) an
die SEPPmail Appliance. Diese übernimmt somit eine Smarthost-Funktion.
Die E-Mail Infrastruktur für den beschriebenen Aufbau ist in nachfolgender Abbildung zu sehen.
Typischer Aufbau einer E-Mail Infrastruktur mit einer SEPPmail Appliance
© 2016 SEPPmail AG
64
4.3
Benötigte Informationen zur Inbetriebnahme
Es wird empfohlen, folgende Informationen Ihrer E-Mail Umgebung vor dem Inbetriebnehmen der
SEPPmail Appliance bereitzustellen:
Benötigte Information
Ihre Angabe
Öffentlicher DNS-Eintrag oder öffentliche IP-Adresse der Appliance*:
Name oder die IP-Adresse, unter welchem Ihre SEPPmail Appliance aus dem
Internet erreichbar sein wird.
Interne IP-Adresse der Appliance:
Interne IP-Adresse und Subnetzmaske, unter welcher die SEPPmail Appliance
im internen Netzwerk erreichbar sein wird.
Hostname der Appliance:
Frei wählbarer Hostname Ihrer SEPPmail Appliance, zum Beispiel
securemailgateway. Dieser ist normalerweise im DNS-Server aufgeführt.
Diese Einstellung entspricht der internen Sicht. Sie muss also nicht den
Daten, wie sie vom Internet her Gültigkeit haben, entsprechen.
Interne Domäne:
Beispiele sind: ihrefirma.local oder ihredomain.tld usw.
Diese Einstellung entspricht der internen Sicht. Sie muss also nicht den
Daten, wie sie vom Internet her Gültigkeit haben, entsprechen.
Standard Gateway IP-Adresse:
Standard-Gateway IP-Adresse Ihrer Firewall oder Ihres Routers, über welche
die SEPPmail Appliance die Verbindung mit dem Internet herstellen kann.
DNS-Server:
Die Eingabe von bis zu drei IP-Adressen von DNS-Servern ist möglich. Dabei
kann es sich sowohl um externe, als auch interne DNS-Server handeln. Werden
interne DNS-Server verwendet, so müssen diese Anfragen für externe
Adressen entsprechend weiterleiten.
Hostname oder IP-Adresse des bestehenden internen E-Mail Servers:
Hostname oder IP-Adresse, unter der Ihr bestehender interner E-Mail Server im
internen Netzwerk angesprochen werden kann.
E-Mail Domänen:
Domänen der E-Mail Adressen Ihrer Organisation an, zum Beispiel firma.ch,
firma.com
Postmaster Adresse
An diese Adresse werden Systembenachrichtungen gesendet (zum Beispiel
Watchdog Meldungen). Weiterhin wird sie für Backup- und
Systembenachrichtigungs E-Mails als Absender verwendet.
Admin E-Mail Adresse(n)
Wird für den Empfang von Passwort Rücksetzungsanfragen von GINABenutzern benötigt.
Werden mehrere GINA Interfaces verwendet, so ist unter Umständen das
Einrichten mehrerer Admins sinnvoll.
Benötigte Informationen zum Einrichten der SEPPmail Appliance
* Die SEPPmail Appliance muss aus Internet als Webserver erreichbar sein und benötigt deshalb eine
von extern erreichbare IP-Adresse. Oft ist dies die Adresse der Firewall oder eines Reverse-Proxies /
© 2016 SEPPmail AG
65
Web-Application-Firewall. In einfachen Installationen kann dazu die IP-Adresse verwendet werden,
unter der Ihr Internet-Router von extern erreichbar ist.
Diese Information sind wie folgt herauszufinden:
1.
2.
3.
4.
5.
Öffnen der Eingabeaufforderung auf einem Windows-PC
Eingabe des Befehls "nslookup" und mit "Enter" bestätigen
Es erscheint ">" Zeichen (Prompt)
Eingabe des Befehls "set querytype=mx" und mit "Enter" bestätigen
Eingabe der E-Mail Domäne der eigenen Organisation (zum Beispiel ihredomain.com) und mit
"Enter" bestätigen
6. Alle verfügbaren E-Mail Server werden als "mail exchanger =" angezeigt
Servernamen hinter dem Begriff "mail exchanger" mit der geringsten MX-Preference-Nummer haben
die höchste Priorität bei der Namensauflösung.
4.4
Firewall / Router einrichten
Für eine korrekte Funktion der SEPPmail Appliance sind folgende Kommunikationswege zu
gewährleisten:
Port
TCP
22
(SSH)
TCP
25
(SMTP)
Quelle
Ziel
Wird für Updates und Lizenzänderungen der
Appliance sowie dem Managed Domain Service
23 benötigt. Weiterhin das benutzerinitiierte
update.seppmail.ch Öffnen von Support Sitzungen ermöglicht.
Appliance
support.seppmail.ch Sollte der Zugriff über Port 22 nicht möglich sein,
so besteht die Möglichkeit die Verbindung über
einen Proxy-Server herzustellen (siehe auch
System 119 Proxy settings 129 )
Appliance
Appliance
Wird für die Synchronisation von Appliances im
Cluster-Verbund benötigt.
E-Mail
Server
Appliance
Wird für den Versand ausgehender E-Mails vom
**
internen E-Mail Server an die SEPPmail Appliance
benötigt
Appliance
E-Mail Server
Internet
Appliance
Smarthost
Internet
Appliance
Smarthost
TCP/
UDP
53
(DNS)
Beschreibung
Appliance Nameserver (intern)
Wird für den Versand eingehender E-Mails von
der SEPPmail Appliance an den internen E-Mail
Server benötigt
**
**
Wird für den direkten Empfang von E-Mails aus
dem Internet benötigt
Wird für den Empfang von E-Mails über einen
Smarthost benötigt
**
Wird für den direkten Versand von E-Mails aus
dem Internet benötigt
Wird für den Versand von E-Mails über einen
Smarthost benötigt
**
Ermöglicht die Namensauflösung über einen/
mehrere interne DNS-Server
**
© 2016 SEPPmail AG
66
Port
Quelle
Ziel
Nameserver (extern)
Internet
TCP
80/443/
873/
2703
UDP
24441
TCP/
UDP
123
(NTP)
TCP/
UDP
1389
(LDAP)
und/oder
TCP/
UDP
1636
(LDAPS)
TCP
443
(HTTPS)
Ermöglicht die Namensauflösung über einen/
mehrere externe DNS-Server
Ermöglicht die Namensauflösung für die
Einstellung built-in DNS Resolver (siehe
System 119 DNS 123 )
*
Appliance
Internet
Wird für Updates des Protection Packs (AntiVirus/
AntiSpam) benötigt.
Internet
Wird für die Zeitsynchronisation mit Zeitservern im
Internet benötigt
Appliance
Timeserver (intern)
TCP/
UDP
389
(LDAP)
und/oder Appliance
TCP/
UDP
636
(LDAPS)
TCP/
UDP
388,387
(LDAP)
und/oder
TCP/
UDP
635
(LDAPS)
Beschreibung
Wird für die Zeitsynchronisation mit internen
Zeitservern benötigt
*
Internet
Ermöglicht LDAP Abfragen an LDAP-Server im
Internet welche zum Beispiel von vielen CAs zur
Bereitstellung von öffentlichen Schlüsseln
betrieben werden.
Ermöglicht LDAP Abfragen an interne LDAPServer zur Abfrage von öffentlichen Schlüsseln
interner Benutzer zum Beispiel für Interne E-Mail
Verschlüsselung (IME).
**
LDAP-Server
(intern)
internes
Netz
Appliance
Ermöglicht LDAP Abfragen an den in die
**
Appliance integrierten Schlüssel-Server (key
server) zur Abfrage von öffentlichen Schlüsseln
externer Kommunikationspartner, zum Beispiel für
eine End-to-End Verschlüsselung.
Appliance integrierten key server zur Abfrage von
öffentlichen Schlüsseln externer Benutzer.
*
Internet
**
internes
Netz
öffentlichen Schlüsseln interner Benutzer. Diese
Schlüssel können zum Beispiel für das
Realisieren einer internen E-Mail Verschlüsselung
verwendet werden.
öffentlichen Schlüsseln interner Benutzer. Damit
können unter Anderem (insbesondere bei
Verwendung von selbst signierten Zertifikaten)
diese Schlüssel einem externen
Kommunikationspartner zur Verfügung gestellt
werden.
*
Appliance
Internet
Internet
© 2016 SEPPmail AG
Appliance
Wird für das Herstellen der SSL verschlüsselten
Kommunikation über HTTPS zur SEPPmail
Appliance benötigt, welche für die Nutzung der
67
Port
Quelle
Ziel
Beschreibung
GINA-Technologie verwendet wird.
Appliance
TCP
8080
(HTTP)
und/oder Admin PC
TCP
8443
(HTTPS)
TCP
5061
Appliance
Internet
Wird ein Managed Public Key Infrastructure
*
(MPKI) Connector verwendet, so wird der Zugang
zur Certification Authorothy (CA) über eine HTTPS
Strecke hergestellt.
**
Appliance
Internet
Wird für den Zugriff auf die web-basierte
Administrationsoberfläche benötigt.
Es wird empfohlen, nur die SSL verschlüsselte
Verbindung (HTTPS) über Port TCP/8443
zuzulassen.
Wird von vielen SMS-Gateways für den SMS*
Versand via Internet verwendet. Im Bedarfsfall ist
der korrekte Port direkt beim Anbieter zu erfragen.
Regeln zur Gewährleistung der Netzwerkkommunikation der SEPPmail Appliance
* optional, je nach Konfiguration der SEPPmail Appliance
** In einfachen Installationen wird keine Firewall zwischen der SEPPmail Appliance und dem internen
Netz verwendet. Die mit ** markierten Regeln entfallen dann.
© 2016 SEPPmail AG
68
4.5
SEPPmail Appliance-Appliance anschliessen
Falls eine virtuelle SEPPmail Appliance erworben wurde, so ist das Image in das Host-System zu
integrieren und anschliessend zu starten.
Virtuelle Abbilder stehen als OVF-Image für die Hostsysteme ESX, VMware, und RedHat HyperVisor,
sowie als VHD-Image für Microsoft Hyper-V zur Verfügung.
Wurde eine Hardware Appliance erworben, so sind folgende Schritte erforderlich:
1. Verbinden der mit LAN1 oder eth0 gekennzeichnete Ethernet-Schnittstelle der SEPPmail
Appliance mit der Ethernet-Schnittstelle eines Computers. Je nach Hardwareausstattung und
Einstellung der Schnittstellen beider Geräte, muss für diese Art der Verbindung gegebenenfalls
ein gekreuztes RJ45 Patchkabel (auch bekannt als Crossover-Kabel) verwendet werden.
Alternativ kann die Verbindung über einen Ethernet-Hub oder Switch mit "normalen" RJ45
Patchkabeln hergestellt werden.
2. Anschliessen der Appliance mittels beiliegendem Stromkabel an das Stromnetz.
© 2016 SEPPmail AG
69
4.6
Basiskonfiguration in wenigen Schritten
Dieses Kapitel beschreibt, wie in wenigen Schritten die Basis-Konfiguration der SEPPmail Appliance
vorgenommen wird.
4.6.1
Netzwerkeinstellungen und Systemregistrierung
Nachfolgend wird das Integrieren der SEPPmail Appliance in die vorhandene Infrastruktur
beschrieben.
Hierfür werden die in Benötigte Informationen zur Inbetriebnahme 64 gesammelten Informationen
benötigt.
4.6.1.1
Initialer Verbindugsaufbau
In den kommenden Abschnitten wird sowohl der initiale Zugang zu einer Hardware Appliance 70 wie
auch Virtuellen Appliance 69 beschrieben. Ziel ist das initiale erreichen der Webbrowser basierten
Administrationsoberfläche, über welche ausnahmslos die weitere Konfiguration erfolgt.
4.6.1.1.1 Virtuelle Appliance
Bei einer virtuellen Appliance ist das Consolen Fenster des erstmalig gestarteten SEPPmail Appliance
Images auf dem Host-System zu öffnen.
Im Anschluss ist wie in Punkt Consolen Login 71 beschrieben vorzugehen.
© 2016 SEPPmail AG
70
4.6.1.1.2 Hardware Appliance
Zur erstmaligen Konfiguration der Netzwerkparameter der SEPPmail Appliance Hardware besteht die
Möglichkeit einen Bildschirm und Tastatur anzuschliessen und die IP-Adresse temporär an der
Console auf den gewünschten Wert zu ändern. Das weitere Vorgehen für diese Methode ist im Punkt
Consolen Login 71 beschrieben.
Alternativ kann die SEPPmail Appliance Hardware über ein Crossover-Kabel oder über einen Hub
direkt mit einem Computer verbunden werden.
Hierfür müssen sich beide Geräte im gleichen IP Subnetz befinden. Gegebenefall muss hierfür die IPAdresse des Computers auf eine IP-Adresse zwischen 192.168.1.1/24 - 192.168.1.254/24,
Netwerkmaske 255.255.255.0 geändert werden.
Hinweis:
Die Adresse 192.168.1.60 ist bereits für die SEPPmail Appliance reserviert. Dies ist
die Standard IP-Adresse im Auslieferungszustand.
Beispiel einer entsprechenden Netzwerkeinstellung anhand der Windows Oberfläche
Das weitere Vorgehen ist im Punkt Login als Administrator
© 2016 SEPPmail AG
73
beschrieben.
71
4.6.1.1.3 Consolen Login
Ist die SEPPmail Appliance fertig hochgefahren, so erscheint ein Login Prompt:
Nach der Anmeldung mit
Standard-Benutzername:
Standard-Kennwort:
admin
admin
wird zur Eingabe der IP-Adresse ( in diesem Beispiel 172.16.161.50 ) aufgefordert
Weiterhin ist das Subnetz ( in diesem Beispiel 255.255.255.0 ) und Gateway Adresse ( in diesem
Beispiel 172.16.161.1 ) einzugeben
© 2016 SEPPmail AG
72
Abschliessend wird die URL für das Administrator Login angezeigt:
Nun ist das Web-Administrationsportal der SEPPmail Appliance - bis zum Reboot - über die
angezeigte URL im Browser zu erreichen ( siehe Login als Administrator 73 )
© 2016 SEPPmail AG
73
4.6.1.2
Login als Administrator
Sämtliche Verwaltungsmöglichkeiten der SEPPmail Appliance stehen über eine Webbrowser basierte
Konfigurationsoberfläche zur Verfügung.
Im Auslieferungszustand kann die Konfigurationsoberfläche wie folgt erreicht werden:
Hardware Appliance über CrossOver Kabel oder Hub:
LAN1 - https://192.168.1.60:8443
LAN2 - https://192.168.2.60:8443
virtuelle und Hardware Appliances, bei welchen die IP-Adresse über die Console geändert
wurde:
LAN1 - https://<Ihre temporär vergebene IP>:8443
(siehe Consolen Login 71 )
Der Standard-Benutzername lautet:
Das Standard-Kennwort lautet:
admin
admin
Hinweis:
Erst durch die Registrierung der SEPPmail Appliance wird eine temporäre, 30tägeige Testlizenz bezogen beziehungsweise eine bereits vorhandene Kauflizenz
aktiviert. (siehe Das System registrieren 75 ).
Nach erfolgreichem Registrierungsprozess verschwindet die Meldung No valid
license found - Please obtain a valid license.
Bei Aufruf der Konfigurationsoberfläche im Webbrowser erschenit eine Warnung, dass die Webseite
unsicher sei. Der Aufruf der Seite muss trotz dieser Meldung fortgesetzt werden.
Hinweis:
Die Meldung erscheint in der Regel nur bis ein gültiges SSL Zertifikat installiert wurde
(siehe Menüpunkt SSL 207 ).
© 2016 SEPPmail AG
74
4.6.1.3
Netzwerkeinstellungen der SEPPmail Appliance
Um die Netzwerkparameter der SEPPmail Appliance permanent zu konfigurieren, müssen diese in der
Konfigurationsoberfläche unter dem Menüpunkt System eingetragen und gesichert werden.
In der Sektion IP addresses
ist für das Interface 1 die IP-Adresse und die zugehörige Subnetzmaske gemäss des vorhanden
Netzwerkes einzugeben
Hnweis:
Die Definition der Netzmaske wird nach der Classless Inter-Domain Routing (CIDR)
Notation festgelegt.
Die Netzmaske 255.255.255.255 entspricht "/32" (einzelne IP-Adresse)
Die Netzmaske 255.255.255.0 entspricht "/24" (Klasse-C Netzwerk)
Die Netzmaske 255.255.0.0 entspricht "/16" (Klasse-B Netzwerk)
Die Netzmaske 255.0.0.0 entspricht "/8" (Klasse-A Netzwerk)
Siehe auch System 119 IP addresses 120 .
In der Sektion Name 123
sind die Felder Hostname und Domain zu füllen.
Dabei ist der Hostname ist frei wählbar, zum Beispiel securemailgateway. Der Domain-Name
entspricht der DNS-Domain, in welcher sich die Appliance befindet (zum Beispiel ihrefirma.local oder
ihredomain.com).
Diese Einstellungen sind die interne Sicht, sie müssen also nicht den Daten, wie sie vom
Internet her Gültigkeit hätten, entsprechen.
Siehe auch System 119 Name 123 .
In der Sektion DNS 123
kann zwischen der Verwendung der Root-DNS-Server im Internet (Use built-in DNS resolver) oder
eines explizit anzugebenden DNS-Server gewählt werden (Use the following DNS servers)
Wird die Einstellung Use built-in DNS resolver verwendet, kann das Auflösen von Namen unter
Umständen etwas länger dauern, wodurch die Performanz des Systems beeinträchtigt werden kann.
Bei Angabe eines DNS-Servers (Primary) ist darauf zu achten, dass dieser auch Domänen Namen im
Internet auflösen kann. Falsche Einträge können zu einem sehr langsamen Antwortverhalten der
Konfigurationsoberfläche sowie Problemen bei der Kommunikation mit Drittsystemen führen. Über die
Eingabefelder Alternate 1 und Alternate 2 können bei Bedarf weitere, alternative DNS-Server
eingegeben werden. Dadurch würde bei Ausfall des "Primary" servers würde der "Alternate 1"
übernehmen, sollte auch dieser ausfallen der "Alternate 2".
Siehe auch System 119 DNS 123 .
In der Sektion Routing 123
wird das zum Subnetz passende Default gateway eingetragen. Diese Eingabe wird benötigt um Netze
ausserhalb des Eigenen zu erreichen.
Siehe auch System 119 Routing 123 .
Die Eingaben sind abschliessend über die Schaltfläche Save zu sichern.
© 2016 SEPPmail AG
75
4.6.1.4
Netzwerkkonfiguration prüfen
Um sicherzustellen, dass die vorgenommenen Netzwerkeinstellungen der SEPPmail Appliance korrekt
sind, ist in der Konfigurationsoberfläche Administration 233 Update 233 auf Check for update zu
klicken.
Falls eine der beiden folgenden Meldungen erscheint,
You already have the latest version installed
There is a new version available: Installed version is alteVersionsnummer, latest version
is neueVersionsnummer
war die Netzwerkkonfiguration erfolgreich.
Erscheint die Meldung
ERROR: unable to connect to update server. Make sure that the device can make
connections to the internet on port 22.
ist eine Verbindung in das Internet über Port TCP/22 (SSH) nicht möglich. Die Netzwerkeinstellungen
der SEPPmail Appliance sowie die Firewall- bzw. Router-Einstellungen sind erneut zu prüfen (siehe
Firewall / Router einrichten 65 ).
4.6.1.5
Das System registrieren
Das Registrieren der SEPPmail Appliance erfolgt im Web-Administrationsportal unter
Administration 233 License and registration 233 durch klicken von Register this device....
Mit dem Registrieren
virtueller Appliances
wird bei Eingabe des Activation code am Ende der Registrierungsseite eine Kauflizenz aktiviert.
Der Activation Code entspricht der Device ID (xxxx-xxxx-xxxx) auf dem "SEPPmail License
Certificate".
wird ohne Eingabe des Activation code am Ende der Registrierungsseite automatisch eine 30tägige Testlizenz bezogen
von Hardware Appliances wird die Lizenz aktiviert. Die Eingabe eines Activation code ist weder
erforderlich noch möglich.
Erscheint die Meldung Registration successful, so wurde der Registrierungsvorgang erfolgreich
abgeschlossen.
© 2016 SEPPmail AG
76
4.6.2
Das System auf den neusten Stand bringen
In Administration 233 Update 233 sind die verschiedenen Update Optionen zu finden.
Ist die SEPPmail Appliance bereits auf dem aktuellen Stand, so ist die Meldung
You already have the latest version installed
zu sehen. Andernfalls wird die aktuell auf der SEPPmail Appliance installierte, sowie die auf dem
Update-Server bereitgestellte Version angezeigt
There is a new version available: Installed version is alteVersionsnummer, latest version is
neueVersionsnummer
In diesem Fall ist die Appliance so oft über die Schaltfläche Fetch update zu aktualisieren, bis die
Meldung "You already have the latest version installed" erscheint. Durch erneutes Klicken auf
Fetch update wird gegebenenfalls der Update-Fortschritt in % angezeigt.
Nach jedem Update erfolgt ein Neustart der SEPPmail Appliance.
4.6.3
Wichtige Sicherheitsmassnahmen
In den kommenden Abschnitten werden folgende Sicherheitsmassnahmen beschrieben:
Ändern des Administrator-Passworts
76
Festlegen des HTTPS-Protokolls für den sicheren Zugriff auf die Appliance
77
Erstellen eines Backup Users zur regelmässigen Sicherung der Appliance
77
Eingabe der Postmaster Adresse für den Empfang von Systemmeldungen
77
4.6.3.1
Administrator Kennwort ändern
Aus Sicherheitsgründen sollte das Kennwort des Benutzers admin unbedingt geändert und auf einen
entsprechend komplexen Wert gesetzt werden.
Das Ändern des Passwortes kann sowohl über Login 115 Change password 115 als auch in den
Benutzerdetails des Benutzers "admin" (siehe Users 251 User Data 252 Password) erfolgen.
© 2016 SEPPmail AG
77
4.6.3.2
Festlegen des HTTPS Protokolls für den sicheren Zugriff zum System
In System 119 sind nach dem Klicken von Advanced view weitere Konfigurationsoptionen sichtbar.
In den Sektionen GUI protocol 125 und GINA https protocol 126 werden die Zugriffsoptionen auf
die Appliance (HTTP oder HTTPS) eingestellt.
Aus Sicherheitsgründen wird empfohlen, die Option HTTP zu deaktivieren und sowohl für die
Konfigurationsoberfläche wie auch für das GINA-Interface nur HTTPS zuzulassen. Das ungesicherte
HTTP-Protokoll sollte nur dann Verwendung finden, wenn bereits eine vorgelagerte Komponente den
SSL Tunnel terminiert und die Verbindung zwischen dieser Komponente und der SEPPmail Appliance
über ein gesichertes Netzwerk stattfindet.
4.6.3.3
Backup Benutzer erstellen
Der Backup Prozess der SEPPmail Appliance erstellt täglich automatisiert eine Sicherung. Für die
Funktion dieses Prozesses sind zwei Schritte notwendig:
1. Backup Kennwort setzen
Da die Backups der Appliance grundsätzlich verschlüsselt werden, ist die Eingabe eines
Backup Kennwortes zwingend. Das Setzen erfolgt unter Administration 233 Backup 234
mittels Change password.
2. Zuordnung eines Users zur Gruppe Backup
Nach dem automatischen Erstellen des Backups wird dieses an alle Mitglieder der Gruppe
Backup gesendet. Das Zuordnen von Benutzern zu dieser Gruppe erfolgt über Groups 258
backup (Backup operator) 258 über die Schaltfläche Edit....
Soll für diesen Zweck ein eigener Benutzer angelegt werden, so ist darauf zu achten, dass
dieser eine gültige E-Mail Adresse in der, beziehungsweise einer der internen E-Mail Domänen
besitzt. Das Ziehen einer Verschlüsselungslizenz für diesen Benutzer kann gegebenenfalls
durch aktivieren der Optionen "May not encrypt mails" und "May not sign mails" unterbunden
werden (siehe Users 251 Benutzerdetails User Data 252 ).
Da aufgrund des Aufbaus der Appliance lediglich die Maschinenkonfiguration sowie das
Schlüsselmaterial gesichert werden muss, fallen die Backups extrem klein aus (< 1 MB). Dies macht
den Versand per E-Mail unproblematisch.
4.6.3.4
Eingabe der Postmaster Adresse für den Empfang von Systemmeldungen
Damit Benachrichtigungen der SEPPmail Appliance über eventuelle Probleme (Watchdog Meldungen)
versendet werden können, ist die Eingabe einer entsprechenden E-Mail Adresse für den Empfang
dieser Meldungen unter Mail System 137 SMTP settings 141 Postmaster address erforderlich.
4.6.3.5
Ruleset generieren
Damit die SEPPmail Appliance ihren Dienst aufnehmen kann, ist ein Ruleset zu generieren. Hierfür ist
es ausreichend, unter Mail Processing 160 Ruleset generator 168 die Schaltfläche Save and
create ruleset zu klicken, um mit den Standard Einstellungen zu starten.
© 2016 SEPPmail AG
78
4.7
Vorbereiten der GINA-Technologie
Um auch mit Kommunikationspartnern, welche selbst über kein Schlüsselmaterial verfügen sicher
kommunizieren zu können, kommt die GINA-Technologie zum Einsatz.
Für das initiale Einrichten dieses Verfahrens ist zunächst die Erreichbarkeit der SEPPmail Appliance
aus dem Internet - in der Regel per SSL Port 443 (siehe Firewall / Router einrichten 65 ) - zu
gewährleisten.
Weiterhin sollte auf der Appliance ein gültiges SSL Zertifikat einer vertrauenswürdigen Certification
Authorothy (CA) eingebunden sein (siehe SSL 207 ).
Letztendlich sind die GINA-Einstellung über Edit GINA settings 186 vorzunehmen.
© 2016 SEPPmail AG
79
4.8
Integration in die bestehende E-Mail Infrastruktur
Die Basis-Einrichtung der SEPPmail Appliance ist mit dem Abarbeiten der vorangegangenen Punkte
abgeschlossen.
Für eine Minimalkonfiguration zum Austausch sicherer E-Mails sind die in den folgenden Punkten
beschriebenen weiteren Schritte notwendig.
4.8.1
Zu verwaltende E-Mail Domänen einrichten
Die E-Mail Domänen auf welche die neue SEPPmail Appliance reagieren soll, sind unter Mail
System 137 Managed domain 137 durch klicken von Add domain... einzugeben.
Im Folgemenü wird unter Settings 147 Domain name der Name der E-Mail Domäne eingegeben.
Als Forwarding server IP or MX name wird in der Regel der Groupware-Server angegeben, an welchen
die E-Mails intern weitergeleitet werden (siehe auch Mail System 137 Managed domain 137 Add/
Edit managed domains 147 Settings 147 ).
4.8.2
Ausgehenden E-Mail Verkehr steuern
Das Abgeben der ausgehenden E-mails in das Internet wird in Mail System 137 Outgoing server 139
gesteuert. Soll die SEPPmail Appliance E-Mails direkt an externe E-Mail Empfänger im Internet
abgeben, so ist die Option Use built-in e-mail transport agent zu wählen. Sollte an ein vorgelagertes
System weitergeleiten werden, so ist die Option Use the following SMTP server: zu wählen. Dann ist
unter Server name der entsprechde Name oder die IP-Adresse dieses Systems einzutragen. Erfordert
dieses System eine Authentifizierung, so ist der erforderlich Benutzername unter User ID und das
Kennwort unter Password einzugeben.
Hinweis:
Bei Verwenden der Einstellung Use built-in e-mail transport agent wird dringend
empfohlen das optionale Protection Pack 55 zu lizensieren und aktivieren, sofern
für den eingehenden E-Mail Verkehr nicht etwa ein externer AntiSpam-Dienst
vorgeschaltet ist. Andernfalls ist mit erheblichen Beeinträchtigungen, bis hin zum
Erliegen des Mailflusses durch SPAM-Attacken zu rechnen (siehe auch Kleine
Umgebungen 43 ).
4.8.3
Mail Relaying
Damit das interne Groupware System in der Lage ist, ausgehende E-Mails an die SEPPmail Appliance
abzugeben, ist es notwendig, die IP-Adresse des, beziehungsweise unter Umständen auch das Netz
in dem die Groupware-Server stehen zu berechtigen.
Dies erfolgt durch den Eintrag der IP(s) beziehungsweise des oder der Netze in die dafür
vorgesehenen Felder unter Mail System 137 Relaying 142 .
© 2016 SEPPmail AG
80
4.8.4
SSL Zertifikat einbinden
Eine detaillierte Beschreibung ist im Kapitel des Menüpunktes SSL 207 zu finden.
Die folgenden Seiten liefern lediglich eine Kurzbeschreibung zur Inbetriebnahme.
4.8.4.1
SSL Zertifikat selbst erstellen
Die SEPPmail Appliance ermöglicht es, ein eigenes SSL Maschinen oder Wilcard Zertifikat über die
Konfigurationsoberfläche zu erstellen. Für eine Testinstallation ist es nicht zwingend erforderlich ein
kostenpflichtiges SSL Zertifikat zu beschaffen. Das Zertifikat kann auf der SEPPmail Appliance
automatisch generiert und signiert werden.
Hierfür ist in das Menü SSL 207 zu wechseln und die Schaltfläche Request an new certificate...
zu klicken.
Im erscheinenden Menü sind die hier aufgeführten Felder zwingend auszufüllen:
Sektion Issue to 210
Parameter
Beschreibung
Name or IP (CN)
IP-Adresse oder Hostname unter welchem die SEPPmail
Appliance aus dem Internet erreichbar ist. Bei einem selbst
signierten Zertifikat muss der hier angegebene Werte dem
Namen in der URL entsprechen unter der die SEPPmail
Appliance angesprochen wird.
Beispiel:
Soll die SEPPmail Appliance unter der URL https://
securewebmail.example.tld angesprochen werden, so
lautet der im Feld Name or IP (CN) anzugebende
Hostname securewebmail.example.tld. beziehungsweise
*.example.tld sofern ein Wildcard Zertifikat
erstellt werden soll.
E-Mail
Eine gültige E-Mail Adresse innerhalb der Firma, unter der eine
zuständige Person erreicht werden kann.
Country (C)
Land, in dem die Organisation ihren Sitz hat.
Sektion Attributes 211
Parameter
Beschreibung
Key size (bits)
In der Regel ist die maximale Schlüssellänge zu wählen um den
aktuellen Sicherheitsstandards zu entsprechen.
Signature
Für das Erstellen eines selbst signierten Zertifikates ist Create
self-signed certificate auszuwählen.
Um die Erstellung des SSL Zertifikats auszuführen, ist auf die Schaltfläche Create request zu
klicken. Durch die Bestätigung mit folgenden Zertifikatsdetails
die Seriennummer des Zertifikats (Serial No.)
© 2016 SEPPmail AG
81
die Gültigkeitsdauer (Validity)
den Fingerprint (SHA1 Fingerprint)
ist der Vorgang abgeschlossen.
Hinweis:
Auch das Erstellen eines Wildcard SSL Zertifikats ist möglich. Wildcard Zertifikate
gelten nicht nur für einen dedizierten Host sondern können für mehrere Hosts einer
Domäne verwendet werden.
Beispiel:
Ein SSL Zertifikat mit dem Namen GINAtest.testdomain.tld kann nur für diesen einen
Host verwendet werden. Anderenfalls wird eine Zertifikatsfehlermeldung im
Webbrowser angezeigt. Ein Wildcard SSL Zertifikat kann auf beliebigen Hosts einer
Domäne verwendet werden, zum Beispiel GINAtest.testdomain.tld, webmail.
testdomain.tld oder secmail.testdomain.tld.
Um ein Wildcard SSL Zertifikat zu erzeugen, geben Sie den Hostnamen mit einem
führenden Stern "*" ein, zum Beispiel *.testdomain.net .
Zur Aktivierung des neuen SSL Zertifikates ist ein Neustart der SEPPmail Appliance - zum Beispiel
über die Schaltfläche Reboot, welche unter Administration 233 System 235 Reboot system zu
finden ist - notwendig.
Detaillierte Informationen sind unter Request a new certificate 210 zu finden.
4.8.4.2
SSL Zertifikat von einer öffentlichen Zertifizierungsstelle anfordern
Für den produktiven Betrieb der SEPPmail Appliance inklusive GINA-Technologie empfiehlt sich
dringend das Verwenden eines trusted SSL Maschinen- oder Wildcard- Zertifikates für den SSL
gesicherten Zugriff auf das GINA-Web-Mail System.
Für das Anfordern und anschliessende Einbinden eines gekauften trusted SSL Zertifikates ist in das
Menü SSL 207 zu wechseln und die Schaltfläche Request an new certificate... zu klicken.
Im erscheinenden Menü sind die hier aufgeführten Felder zwingend auszufüllen:
Sektion Issue to 210
Parameter
Beschreibung
Name or IP (CN)
IP-Adresse oder Hostname unter der die SEPPmail Appliance
aus dem Internet erreichbar ist. Bei einem selbstsignierten
Zertifikat muss der hier angegebene Werte dem Namen in der
URL entsprechen unter der die SEPPmail Appliance
angesprochen wird.
Beispiel:
Soll die SEPPmail Appliance unter der URL https://
securewebmail.example.tld angesprochen werden, so
lautet der im Feld Name or IP (CN) anzugebende
Hostname securewebmail.example.tld. beziehungsweise
*.example.tld sofern ein Wildcard Zertifikat
erstellt werden soll.
© 2016 SEPPmail AG
82
Parameter
Beschreibung
E-Mail
Eine gültige E-Mail Adresse innerhalb der Firma, unter der eine
zuständige Person erreicht werden kann.
Country (C)
Land, in dem die Organisation ihren Sitz hat.
Sektion Attributes 211
Parameter
Beschreibung
Key size (bits)
In der Regel ist die maximale Schlüssellänge zu wählen um den
aktuellen Sicherheitsstandards zu entsprechen.
Signature
Für das Anfordern eines trusted SSL Zertifikat ist Create
certificate signing request auszuwählen.
Um ein Schlüsselpaar zu erzeugen und den Antrag zur Signierung des öffentlichen Schlüssels
(certificte signing request, kurz CSR) zu erstellen, ist Create request zu klicken. In der grünen
Statusleiste oben im Menü erscheint nun Certificate request created und das Folgemenü öffnet.
Dort sind die zuvor gemachten Eingaben unter Details und der generierte CSR unter Request zu
sehen.
Nach dem Hochladen des CSR zur trusted CA und dem anschliessenden Erhalt des Zertifikates durch
diese, kann das Zertifikat in die Appliance hochgeladen werden. Wurde zwischenzeitlich das Menü
gewechselt, so gelangt man durch Wechseln in SSL 207 und anschliessendem Klicken der
Schaltfläche Download and import signed certificate..., wieder in das Sub-Menü für den
Zertifikatsimport. Dieser erfolgt durch Einfügen des/der Zertifikat/e (siehe Hinweis) unter Import
certificate 213 und abschliessenden Klicken von Import certificate.
Hinweis:
Falls oben in der Statusleiste des Menüs die gelb hinterlegte Information Remember
to import the signed certificate angezeigt wird, so wurde zuvor bereits ein
Zertifikatsantrag erstellt.
Das neu erstellte SSL Zertifikat sollte zusammen mit den gegebenenfalls zusätzlich
benötigten Zwischen oder auch Intermediate CA Zertifikate(n) zur Root CA in der
Reinhenfolge
1. Public Key des eigenen SSL Maschinen Zertifikats
2. Public Key von einer oder mehreren Intermediate CA-Zertifikaten
eingefügt werden. Das Root Zertifikat der CA darf nicht mit eingefügt werden.
Im Fehlerfall ist das SSL Maschinen Zertifikat nicht zu nutzen. Ebenfalls kann dies zu
Problemen beim Zugriff auf die Konfigurationsoberfläche führen. Für diesen Fall
sollte sicherheitshalber vor dieser Aktion temporär der HTTP Port über System 119
Advanced view GUI protocol 125 HTTP port für den Zugriff auf die
Administrationsoberfläche (http://<Appliance>:8080) freigegeben werden.
Zur Aktivierung des neuen SSL Zertifikates ist ein Neustart der SEPPmail Appliance - zum Beispiel
über die Schaltfläche Reboot, welche unter Administration 233 System 235 Reboot system zu
finden ist - notwendig.
© 2016 SEPPmail AG
83
4.8.4.3
Bestehendes SSL Zertifikat einbinden
Für den produktiven Betrieb der SEPPmail Appliance inklusive GINA-Technologie empfiehlt sich
dringend das Verwenden eines trusted SSL Maschinen- oder Wildcard- Zertifikates für den SSL
gesicherten Zugriff auf das GINA-Web-Mail System.
Für das Einbinden eines gekauften trusted SSL Zertifikates ist in das Menü SSL 207 zu wechseln und
die Schaltfläche Request an new certificate... zu klicken.
Im erscheinenden Menü ist in Upload existing key 211 das Einbinden auf zwei Arten - abhängig
vom vorliegenden Zertifikatsformat (pem oder PKCS#12 also p12 oder pfx) - möglich.
Parameter
Beschreibung
PKCS12 file
Über die Internet-Browser Schaltfläche "Datei auswählen" wird die PKCS#12Datei (diese hat die Endung .p12 oder .pfx) ausgewählt.
PKCS12 password
Nachdem eine PKCS#12-Datei den Privaten Schlüssel enthält, ist diese
Passwort geschützt. Das Passwort muss vor dem Import der oben
ausgewählten PKCS#12-Datei in dieses Eingabefeld eingegeben werden.
PEM file
Über die Internet-Browser Schaltfläche "Datei auswählen" wird die PEM-Datei
(diese hat auch die Endung .pem) ausgewählt.
Achtung:
Bei Import einer PEM Datei ist darauf zu achten, dass der
darin enthaltene Private Schlüssel nicht in verschlüsselter
Form vorliegt!
PEM text
In dieses Feld wird sowohl der Private, als auch der Öffentliche Schlüssel und
gegebenenfalls die Intermediate Zertifikate als Text eingefügt. Falls der
Private Schlüssel durch ein Kennwort geschützt ist, muss dieses zuvor
entfernt werden. Die Eingabe sollte demnach in etwa so aussehen:
-----BEGIN PRIVATE KEY----# Privater Schlüssel
-----END PRIVATE KEY---------BEGIN CERTIFICATE----# Öffentlicher Schlüssel
-----END CERTIFICATE---------BEGIN CERTIFICATE----# Eventuell benötigtes Zwischenzertifikat
-----END CERTIFICATE---------BEGIN CERTIFICATE----# Eventuell weitere benötigte Zwischenzertifikate
-----END CERTIFICATE----Hinweis:
Egal welche Methode für den Import der SSL Schlüsselpaares zum Einsatz kommt,
ist immer darauf zu achten, dass sollten alle notwendigen Zwischenzertifikate für
eine vollständige Zertifikatskette beinhaltet sind. Eine unvollständige Zertifikatskette
führt bei der Zertifikatsprüfung immer dann zu Problemen, wenn der Gegenstelle
diese nicht bereits bekannt ist. Internet-Tools - wie zum Beispiel CheckTLS - zeigen
dann, dass die Zertifikatskette nicht vollständig ist und melden somit ein
unbekanntes Zerifikat.
Das Zertifikat der Root CA darf nicht mit hinzugefügt werden, da die Gegenstelle
diesem ohnehin vertrauen muss! Wird es dennoch hinzugefügt, melden einige
© 2016 SEPPmail AG
84
Prüfwerkzeuge Fehler wie etwa "Chain issues - Contains anchor".
Nicht jede PKCS12- beziehungsweise PEM-Datei enthält die komplette
Zertifikatskette. In diesem Fall müssen die benötigten Zwischenzertifikate
gegebenenfalls anderweitig besorgt und in das zu importierende Zertifikat eingebettet
werden.
Über die Schaltfläche Upload key and certificate wird das SSL Zertifikat in die Appliance
hochgeladen.
Zur Aktivierung des neuen SSL Device-Certificate ist ein Neustart der SEPPmail Appliance - zum
Beispiel über die Schaltfläche Reboot, welche unter Administration 233 System 235 Reboot
system zu finden ist - notwendig.
© 2016 SEPPmail AG
85
4.8.5
E-Mail Datenfluss umstellen
Um den sicheren E-Mail Verkehr mit der SEPPmail Appliance zu ermöglichen, müssen folgende
Änderungen am bestehenden E-Mail Server vorgenommen werden:
In das Internet:
1. SEPPmail Appliance als Smarthost definieren
Die SEPPmail Appliance wird nach der Integration in die bestehende E-Mail Umgebung die
Rolle eines SMTP-Gateways übernehmen. Der E-Mail Server übermittelt somit E-Mails nicht
mehr direkt nach extern, beziehungsweise an das gegebenenfalls bereits vorhandene SMTPGateway (zum Beispiel Spam-Filter), sondern (neu) nun an die SEPPmail Appliance.
Um diese Änderung vorzunehmen, muss auf dem bestehenden E-Mail Server der interne
Hostname beziehungsweise IP-Adresse der SEPPmail Appliance als Smarthost definiert
werden.
Auf der Appliance sind die Relaying Einstellungen zu beachten (siehe Abschnitt Mail Relaying
79 ).
2. Autorisieren der SEPPmail Appliance für den E-Mail Versand
a) Ist die SEPPmail Appliance direkt mit dem Internet verbunden, so sind die korrekten
Firewall- beziehungsweise Router-Einstellungen zu gewährleisten (siehe Abschnitt
Firewall / Router einrichten 65 ).
b) Ist der SEPPmail Appliance zum Internet hin noch ein weiterer Smarthost (zum Beispiel ein
Spam-Filter) vorgeschaltet, so ist der interne Hostname beziehungsweise die IP-Adresse
der SEPPmail Appliance auf diesem Smarthost in die Liste der autorisierten E-Mail Relay
Systeme einzutragen.
Die Appliance ist entsprechend einzustellen (siehe Ausgehenden E-Mail Verkehr steuern
79 ).
Aus dem Internet:
1. Umstellung des MX-Eintrages
War der E-Mail Server bislang direkt mit dem Internet verbunden, so muss der vorhandene MXEintrag zukünftig nicht mehr auf den Hostnamen beziehungsweise die IP-Adresse des E-Mail
Servers, sondern (neu) auf die SEPPmail Appliance zeigen.
2. Umstellung des Smarthost
Nimmt ein Smarthost die E-Mails aus dem Internet entgegen und leitete diese bislang direkt an
den E-Mail Server weiter, so muss dieser die E-Mails zukünftig an die SEPPmail Appliance
abgeben.
Achtung:
Mit dieser Anpassung wird die SEPPmail Appliance in den E-Mail Datenfluss
integriert. Alle E-Mails werden nach der Umstellung an die SEPPmail Appliance
gesendet.
Das Umstellen des E-Mail Datenflusses darf erst dann erfolgen, wenn alle anderen
Konfigurationsschritte der SEPPmail Appliance abgeschlossen sind. Andernfalls ist
eine Beeinträchtigung des E-Mail Verkehrs nicht ausgeschlossen.
© 2016 SEPPmail AG
86
4.8.6
Steuern der Appliance
Die von der Appliance durchzuführenden gewünschten Aktionen - zum Beispiel Signieren und/oder
Verschlüsseln - können als globale Aktion an der Appliance oder über vordefinierte Merkmale
individuell am Client (siehe Betreffzeilen Schlüsselworte 86 , Microsoft Outlook Vertraulichkeit
, Microsoft Outlook AddIn 88 ) ausgelöst werden.
87
Automatisierte Steuerungsmöglichkeiten sind zum Beispiel über LDAP-Abfragen oder dem definieren
von Gruppen (siehe Groups 258 ) möglich. Diese Optionen stehen über sogenannte Custom
Commands 180 des Menüs Mail Processing 160 der Sektion Ruleset generator 168 zur
Verfügung.
Diese Basis Steuerungsmöglichkeiten sind bereits vordefiniert. Eine genaue Beschreibung der
Konfigurationsmöglichkeiten zur Steuerung der Appliance ist unter Mail Processing 160 Ruleset
generator 168 zu finden.
Achtung:
Für eine Korrekte Funktion der Appliance muss initial ein Ruleset generiert werden
(siehe Mail Processing 160 Sektion Ruleset generator 168 Schaltfläche Save
and create ruleset ganz unten).
4.8.6.1
Betreffzeilen Schlüsselworte / X-Header
Das Verwenden von Betreffzeilen Schlüsselworten (siehe Tabelle 1) - welche bei Bedarf verändert
werden können - für das Steuern der Appliance durch den Client, gewährleistet die Unabhängigkeit
vom eingesetzten E-Mail Client.
Ebenso können (X)-header für das Ansteuern der kryptographischen Aktionen ausgewertet werden
(ebenfalls Tabelle 1) welche zum Beispiel in
IBM Notes mittels angepasster Mailschablonen oder Novell Groupwise über Vorlagen gesetzt werden
können.
Betreffzeilen (X-)header / Wert
Schlüsselwort
[plain]
x-smplain / yes
E-Mail mit diesem Kennzeichen durchlaufen nicht
das Ruleset und werden somit kryptographisch
unbehandelt versendet
[confidential] sensitivity / companyconfidential Anfordern der Verschlüsselung (best effort)
x-smenc / yes
[priv]
sensitivity / private
E-Mail mit diesem Kennzeichen werden mittels
x-smwebmail / yes
GINA-Technologie verschlüsselt (Stichwort
Lesebestätigung)
[emptypw]
Die Notwendigkeit der Eingabe eines
Initialpasswortes bei GINA-E-Mails wird unterdrückt
(Sicherheitstechnisch bedenklich)
[SMS:<Mobil
Mobilfunknummer zur Übertragung des
funknummer>]
Initialpasswortes einer GINA-E-Mail*
[zip]
versendet den verschlüsselten E-Mail Teil einer
GINA-Nachricht grundsätzlich im ZIP- anstatt im
HTML-Format. Dies wird zum Beispiel benötigt,
wenn der Empfänger Outlook Web Access (OWA)
2003 verwendet, da GINA-Nachrichten im HTMLFormat aus OWA 2003 nicht entschlüsselt werden
können.
[noenc]
x-smnoenc / yes
Verschlüsseln wird unterdrückt, sofern dies als
Standard im Ruleset definiert wurde
© 2016 SEPPmail AG
87
Betreffzeilen (X-)header / Wert
Schlüsselwort
[sign]
x-smsign / yes
[nosign]
x-smnosign / yes
[lfm]
[lfm:crypt]
[lfm:nocrypt]
Anfordern der Signierung
Signieren wird unterdrückt, sofern dies als Standard
im Ruleset definiert wurde
Aktiviert den Large File Transfer, unabhängig der EMail Grösse*
Der Empfänger einer LFT-Mail muss sich für das
Abholen des "Large Files" nicht authentifizieren*
Tabelle 1
(*Funktionen, welche Zusatzllizenzen erfordern)
4.8.6.2
Microsoft Outlook Vertraulichkeit
Eine weitere Möglichkeit die SEPPmail Appliance zu steuern ist über die Vertraulichkeitseinstellung bei
Microsoft Outlook.
Dabei wird die eingestellte Vertraulichkeit der E-Mail (siehe Abbildung) ausgewertet. Steht diese auf
"Vertraulich" so wird das Verschlüsseln der E-Mail angefordert. Wird hingegen "Privat" verwendet,
so wird die GINA-Technologie erzwungen (siehe Betreffzeilen Schlüsselworte / x-header 86 ,
Tabelle 1, sensitivity header)
Nachrichtenoption »Vertraulich« in Outlook
© 2016 SEPPmail AG
88
4.8.6.3
Um den Benutzerkomfort zu steigern steht für Microsoft Outlook ein AddIn 105 zum kostenfreien
Download (https://www.seppmail.ch/downloads) zur Verfügung.
© 2016 SEPPmail AG
89
4.9
Clustern mehrerer Systeme
Dieses Kapitel beschreibt die grundsätzliche Funktionsweise von Clustern und zeigt die Möglichkeiten
des Einbindens von SEPPmail Appliances auf.
Die SEPPmail Appliance verfügt über alle notwendigen Funktionen für ein eigenständiges Clustering
und Loadbalancing. Natürlich ist das Einbinden in Infrastrukturen mit bereits vorhandenen externen
Loadbalancern beziehungsweise Loadbalancing Verfahren ebenso möglich.
4.9.1
Allgemein
Ein Cluster bezeichnet einen Rechnerverbund aus mehreren vernetzten Computersystemen. Diese
miteinander vernetzten Computersysteme sind zwar physisch getrennt werden aber logisch als eine
Einheit betrachtet. So ist es möglich, dass ein Cluster als ein einziges logisches System angesprochen
werden kann, tatsächlich aber aus mehreren physikalischen Systemen besteht.
Das Einrichten beziehungsweise das Hinzufügen von Maschinen zu einem Cluster erfolgt - wie in
"Abbildung 1" dargestellt - im Menü Cluster 241 .
Abbildung 1 - Einrichten eines Clusters
Bei einem bestehenden Cluster synchronisieren alle Cluster-Mitglieder ihre
Konfigurationsdatenbanken ohne merklichen Zeitverlust. Das heisst alle Cluster-Mitglieder sind
gleichberechtigt. Konfigurationsänderungen werden somit sofort übernommen, egal an welchem
cluster member sie vorgenommen werden ("siehe Abbildung 1.1")
Abbildung 1.1 - Replikation im Cluster
© 2016 SEPPmail AG
90
Für das Einrichten beziehungsweise den Betrieb eines Clusters gibt es mehrere Beweggründe. Je
nach Zielsetzung unterstützt die SEPPmail Appliance verschiedene Betriebsarten, welche wie folgt
unterschieden werden:
1. Hochverfügbarkeits-Cluster 91
Diese Art des Clusters dient dem Gewährleisten der Ausfallsicherheit
2. Loadbalancing-Cluster 93
Ein Loadbalancing Cluster dient der Lastverteilung auf mehrere Maschinen. Dabei können
unterschiedliche Verfahren zum Einsatz kommen.
3. Geo-Cluster 98
Repliziert Konfigurationsdatenbanken auf geographisch voneinander getrennten Sytemen.
4. Frontend-/Backend-Cluster 99
Bei Frontend-/Backend-Clustern verfügt das Frontend-System über keine eigene Datenbank,
sondern wird bei Bedarf vom Backend-System mit Daten gespeist. Somit kann die FrontendMaschine in einer Demilitarisierten Zone (DMZ) betrieben werden, in welcher keine
Datenhaltung erlaubt ist.
5. Secure Web-Mail Satellite 100
Trennung der GINA-Technologie vom E-Mail verarbeitenden System (Stichwort DMZ-Struktur).
6. Unterstützen externer redundanter Systeme 101
Dabei sind auch Kombinationen aus den verschiedenen Betriebsarten möglich.
Die zumeist benötigten virtuellen IP-Adressen (IP Alias Adressen) für das Ansprechen eines Clusters
als logische Einheit ist in System 119 Advanced View IP ALIAS addresses 121 vorzunehmen.
Hinweis:
Virtuelle IP-Adressen dienen ausschliesslich dem Ansprechen eines Clusters von
aussen.
Wird eine E-Mail von einer Cluster-Maschine versandt, so geschieht dies immer mit
der physikalischen IP-Adresse der jeweiligen Maschine.
Hinweis:
Bei der Dimensionierung der Anzahl und Leistungsfähigkeit der Systeme in einem
Cluster ist immer darauf zu achten, dass bei Ausfall eines Systems das oder die
verbleibende(n) System(e) die dadurch entstehende Mehrlast verarbeiten kann/
können.
© 2016 SEPPmail AG
91
4.9.2
Hochverfügbarkeits Cluster
Die Ausfallsicherheit der SEPPmail Appliance kann durch die Bildung eines Clusters erhöht werden.
Die SEPPmail Appliance besitzt eine integrierte Clusterfunktionalität auf Basis des CARP Protokolls
(siehe auch http://de.wikipedia.org/wiki/Common_Address_Redundancy_Protocol).
Um einen Cluster zu bilden sind mindestens zwei SEPPmail Appliances erforderlich die sich
gegenseitig überwachen. Fällt ein System aus bzw. antwortet dieses nicht mehr auf
Überwachungsanfragen, so übernimmt das zweite System dessen Funktion. Ist das ausgefallene
System wieder verfügbar bzw. es antwortet wieder auf Überwachungsanfragen, so übernimmt es
wieder seine ursprüngliche Aufgabe.
Diese Funktion kann mit bis zu neun SEPPmail Appliances abgebildet werden, wodurch eine sehr
hohe Ausfallsicherheit erreicht werden kann.
Das Hochverfügbarkeitscluster kann sowohl mit SEPPmail Appliances auf Hardware Basis wie auch
auf Basis von virtualisierten Appliances abgebildet werden. Ein Mischbetrieb beider Systeme ist
ebenso möglich.
Funktion eines Hochverfügbarkeits Clusters
Bei diesem Verfahren werden einem Cluster eine oder mehrere virtuelle IP-Adresse(n) mit
verschiedenen Prioritäten zugeordnet. Jedes Cluster Member System hat unabhängig von der
zugewiesenen virtuellen Cluster IP-Adresse eine jeweils eigene eindeutige IP-Adresse. Über diese
eigene eindeutige IP-Adresse kann jedes Cluster Member System explizit angesprochen werden.
Beispiel:
In der folgenden Abbildung ist die virtuelle Cluster IP-Adresse des Clusters 10.10.0.1. Die Cluster
Member Systeme haben in unserem Beispiel die IP-Adressen 10.10.0.9 und 10.10.0.10.
Abbildung 2 - Schematische Darstellung eines Hochverfügbarkeitsclusters
Das Cluster selbst wird von anderen Systemen, zum Beispiel einem internen E-Mail Server oder
einem vorgelagerten E-Mail Relay-Server (Gateway) über die eingerichtete(n) virtuelle(n) IP-Adresse
(n) angesprochen. Im Beispiel oben ist das die IP-Adresse 10.10.0.1.
Wird das Cluster selbst über seine Cluster IP-Adresse angesprochen, so reagiert immer das Cluster
Member System mit der höchsten Priorität auf die angesprochene virtuelle Cluster IP-Adresse. Alle
anderen Cluster Member Systeme mit niedrigerer Priorität reagieren nicht auf die virtuelle Cluster IP-
© 2016 SEPPmail AG
92
Adresse, solange ein Cluster Member System mit einer höheren Priorität verfügbar ist.
Fällt das Cluster Member System mit der höchsten Priorität aus, so übernimmt automatisch ein
Cluster Member System mit der nächst niedrigeren Priorität die virtuelle Cluster IP-Adresse inclusive
der Funktion des ausgefallenen Cluster Member Systems.
Die Prioritäten sind in der folgenden Reihenfolge geordnet:
1. Primary
2. Secondary
3. Backup
Das Einrichten der Priorität des jeweiligen Cluster Member Systems ist in System 119 Advanced
view IP ALIAS addresses 121 Priority) vorzunehmen.
© 2016 SEPPmail AG
93
4.9.3
Loadbalancing Cluster
Ein Loadbalancing innerhalb eines Clusters kann durch mehrere Verfahren erreicht werden. Dabei
bietet SEPPmail ein in die Appliance integriertes Verfahren an. Ebenso kann eine Lastverteilung auf
die einzelnen Cluster Member eines SEPPmail Appliance Clusters durch externe Loadbalancer oder
Loadbalancing Verfahren erfolgen. Die gängigsten werden an dieser Stelle aufgeführt:
Aufteilen des Ein- und Ausgehenden Verkehrs 93
auf je ein Cluster Member System. Das Abgeben von E-Mails an den Cluster-Partner tritt dabei
erst bei Erreichen eines entsprechenden Lastzustandes in Kraft.
Nutzen des DNS Round Robin Verfahrens
Nutzen eines externen Loadbalancers
95
96
Das Failover-Verhalten des Clusters wird durch diese Konfigurationen nicht verändert.
4.9.3.1
Aufteilen des Ein- und Ausgehenden Verkehrs
Das Aufteilen des ein- und ausgehenden E-Mail Datenflusses erfolgt - wie in "Abbildung 3" dargestellt durch eine statische Konfiguration, in welcher neben den physikalischen IP-Adressen der Appliances
mit zwei weiteren, virtuellen IP-Adressen (IP Alias Adresses) gearbeitet wird. Dabei existieren zwei
SEPPmail Appliances die mit entgegengesetzter Priorität auf die zwei virtuellen IP-Adressen
reagieren. Dadurch erhält jeweils das eine System alle eingehenden und das andere alle
ausgehenden E-Mails.
Im Detail
Ausfallsicherheit
Jede SEPPmail Appliance hat eine eigene, physikalische IP-Adresse über welche nur dieses System
angesprochen werden kann. Diese Adresse wird in der Regel für die individuelle Konfiguration der
Appliance und für das Synchronisieren der Appliances untereinander (blaue Pfeile "Abbildung1")
verwendet. in "Abbildung 3" sind dies die IP-Adressen 10.10.0.9 und 10.10.0.10.
Zusätzlich werden zwei virtuelle IP-Adressen eingerichtet, um die beiden SEPPmail Appliances logisch
zu jeweils einer Gruppe zusammenzufassen. In "Abbildung 3" sind diese virtuellen IP-Adressen
(Gruppen) farblich getrennt dargestellt.
Dabei wird die virtuelle IP-Adresse 10.10.0.1 (grün) vom internen E-Mail Server für das Versenden
ausgehender E-Mails angesprochen. Da diese virtuelle IP-Adresse von der Maschine mit der
physikalischen IP 10.10.0.9 primär bedient wird, fliesst der gesamte ausgehende E-Mail Verkehr im
Normalbetrieb über dieses System.
Die virtuelle IP-Adresse 10.10.0.2 (orange) wird vom externen E-Mail Server oder auch einem
vorgelagerten E-Mail Relay (zum Beispiel Firewall) für das Empfangen eingehender E-Mails
angesprochen. Da diese virtuelle IP-Adresse von der Maschine mit der physikalischen IP 10.10.0.10
primär bedient wird, fliesst der gesamte eingehende E-Mail Verkehr im Normalbetrieb über dieses
System.
In "Abbildung 3", grün dargestellt, ist die virtuelle IP-Adresse 10.10.0.1 für alle ausgehenden EMails zuständig. Hier ist das Cluster Member System mit der IP-Adresse 10.10.0.9 als Primary
eingerichtet und reagiert immer als erstes System, wenn die virtuelle IP-Adresse 10.10.0.1
angesprochen wird. Das Cluster Member System mit der IP-Adresse 10.10.0.10 ist als Secondary
eingerichtet und reagiert nur dann, wenn der Cluster Member Primary - also das System mit der IP
10.10.0.9 - nicht verfügbar ist.
In "Abbildung 3", orange dargestellt, ist die virtuelle IP-Adresse 10.10.0.2 für alle eingehenden EMails zuständig. Hier ist das Cluster Member System mit der IP-Adresse 10.10.0.10 als Primary
© 2016 SEPPmail AG
94
eingerichtet (entgegengesetzt der vorherigen Darstellung) und reagiert somit immer als erstes System,
wenn die virtuelle IP-Adresse 10.10.0.2 angesprochen wird. Das Cluster Member System mit der IPAdresse 10.10.0.9 ist als Secondary eingerichtet und reagiert nur dann, wenn der Cluster Member
Primary - also das System mit der IP 10.10.0.10 - nicht verfügbar ist.
Das heisst, fällt in diesem Konstrukt eine Maschine aus, so übernimmt die jeweils andere Maschine
deren Aufgabe. Am Beispiel der "Abbildung 3" würde also bei Ausfall des Systems mit der
physikalischen IP 10.10.0.9 - welches primär den ausgehenden E-Mail Verkehr über die virtuelle IPAdresse 10.10.0.1 annimmt - ausfallen, so würde das secundär für die virtuelle IP-Adresse
10.10.0.1 konfigurierte System - also das mir der IP 10.10.0.10 - den ausgehenden E-Mail Verkehr
zusätzlich übernehmen.
Loadbalancing
Um gegebenenfalls Lastspitzen abfangen zu können, bietet die SEPPmail Appliance in einer solchen
Umgebung weiterhin die Möglichkeit, bei erreichen eines definierten Lastzustandes am Primary
System Last an das Secondary System abzugeben (siehe auch System 119 Advanced view
SMTP loadbalancing 122 )
Zusammenfassung
Jede einzelne SEPPmail Appliance kann über zwei verschiedene virtuelle IP-Adressen angesprochen
werden und reagiert mit jeweils unterschiedlichen Prioritäten einmal als Primary und einmal als
Secondary. Dadurch ist der Betrieb beim Ausfall eines Cluster Member Systems weiterhin möglich.
Das verbliebene Cluster Member System übernimmt dann zusätzlich die Arbeit des nicht mehr
verfügbaren Systems und wird alle ein- und ausgehenden E-Mails verarbeiten.
Für die Nutzung von Enhanced Secure Webmail kann eine virtuelle Cluster IP-Adresse 10.10.0.1
angesprochen werden. In Abhängigkeit der Cluster Member Prioritäten wird im Beispiel in Abbildung 3
das Cluster Member System mit der IP-Adresse 10.10.0.9 antworten, da dies mit der Priorität
"Primary" eingerichtet ist. Ist dieses System nicht verfügbar, so wird das Cluster Member System mit
der IP-Adresse 10.10.0.10 antworten, da dies mit der Priorität "Secondary" eingerichtet ist.
Das Einrichten der virtuellen IP-Adressen und das Zuweisen den Prioritäten des jeweiligen Cluster
Member Systems ist in System 119 Advanced view IP ALIAS addresses 121 vorzunehmen.
Abbildung 3 - Schematische Darstellung der statischen Aufteilung für ein- und ausgehenden E-Mails
© 2016 SEPPmail AG
95
4.9.3.2
Nutzen des DNS Round Robin Verfahrens
In der Konfiguration des internen und externen E-Mail Servers wird nicht mehr eine virtuelle Cluster IPAdresse für den E-Mail Versand angegeben sondern jeweils ein Hostname, zum Beispiel "SEPPmail.
meinefirma.tld" der bei ein- und ausgehenden E-Mails angesprochen wird. Im DNS ist es möglich zu
jedem Hostnamen mehrere IP-Adressen anzugeben. Dadurch kann eine einfache Lastverteilung
erreicht werden.
Fragt nun zum Beispiel der interne E-Mail Server den für den E-Mail Versand angegebenen
Hostnamen (SEPPmail.meinefirma.tld) des SEPPmail Appliance Clusters beim DNS-Server an, so
werden immer alle - diesem Hostnamen zugeordneten - IP-Adressen, also 10.10.0.1 und 10.10.0.2
zurückgeliefert, dies aber jedes Mal in unterschiedlicher Reihenfolge. Der interne E-Mail Server wird
im Normalfall die erste vom DNS-Server gelieferte IP-Adresse für den Versand der E-Mail verwenden.
Durch das verwenden virtueller IP-Adressen in diesem Aufbau, wird die Ausfallsicherheit
gewährleistet, da in diesem Fall bei ausfall einer Maschine die verbleibende Maschine beide (virtuelle)
IP-Adressen bedienen wird. "Abbildung 3" zeigt eine logische Darstellung des Szenarios.
Im Detail
Jede SEPPmail Appliance hat eine eigene, physikalische IP-Adresse über welche nur dieses System
angesprochen werden kann. Diese Adresse wird in der Regel für die individuelle Konfiguration der
Appliance und für das Synchronisieren der Appliances untereinander (blaue Pfeile "Abbildung 4")
verwendet. In "Abbildung 4" sind dies die IP-Adressen 10.10.0.9 und 10.10.0.10.
Zusätzlich werden zwei virtuelle IP-Adressen eingerichtet, um die beiden SEPPmail Appliances logisch
zu jeweils einer Gruppe zusammenzufassen. In "Abbildung 4" sind diese virtuellen IP-Adressen
(Gruppen) farblich getrennt dargestellt.
Der interne und der externe E-Mail Server sprechen für den Versand von ein- und ausgehenden EMails an das SEPPmail Appliance Cluster System einen Hostnamen (SEPPmail.meinefirma.tld) statt
virtueller IP-Adressen an. Wird eine Anfrage für diesen Hostnamen an den DNS-Server gestellt, so
wird der Hostname in alle eingerichteten IP-Adressen aufgelöst.
Im Beispiel entsprechen die aufgelösten IP-Adressen den virtuellen Cluster IP-Adressen wie in
"Abbildung 4" dargestellt.
Dabei sind die Rollen Primary und Secondary, für das Verarbeiten dieser virtuellen IP-Adressen auf
den beiden Systemen entgegengesetzt konfiguriert (Stichwort Ausfallsicherheit).
Die virtuelle IP-Adresse 10.10.0.1 (grün) und die virtuelle IP-Adresse 10.10.0.2 (orange)
dargestellt, werden dem Hostnamen (SEPPmail.meinefirma.tld) zugeordnet.
Wird dieser Hostname am DNS-Server abgefragt, so gibt dieser bei jeder ersten Anfrage
SEPPmail.meinefirma.tld 1800 IN A 10.10.0.1
zurück. Bei jeder zweiten Anfrage wird der DNS-Server die zugeordneten IP-Adressen in umgekehrter
Reihenfolge
zurückgeben. Da das Anfragende System in der Regel die jeweils zuerst gelieferte IP-Adresse
verwendet entsteht so eine zahlenmässige Aufteilung der Anfragen und dadurch eine Lastverteilung.
Zusammenfassung
Beim Versand von ein- und ausgehenden E-Mails über den SEPPmail Appliance Cluster wird statt
einer virtuellen Cluster IP-Adresse ein Hostname im jeweiligen E-Mail Server angegeben. Dieser wird
© 2016 SEPPmail AG
96
dann zur Laufzeit in die zugehörigen IP-Adressen aufgelöst. So können der interne und der externe EMail Server ein- und ausgehende E-Mails wahlweise an eine dieser aufgelösten IP-Adressen senden.
Durch den Einsatz virtueller Cluster IP-Adressen reagieren die Cluster Member Systeme je nach
Priorität, wodurch die Ausfallsicherheit gewährleistet wird.
Durch die DNS Round-Robin-Funktion kann für den ein- und ausgehenden E-Mail Datenfluss eine
Lastverteilung erreicht werden.
Quelle: Wikipedia, http://de.wikipedia.org/wiki/Lastverteilung_per_DNS
Das Einrichten der virtuellen IP-Adressen und das Zuweisen den Prioritäten des jeweiligen Cluster
Member Systems ist in System 119 Advanced view IP ALIAS addresses 121 vorzunehmen.
Abbildung 4 - Schematische Darstellung der Lastverteilung durch das DNS Round-Robin-Verfahren für ein- und
ausgehende E-Mails
4.9.3.3
Nutzen eines externen Loadbalancers
Bei Einsatz externer Loadbalancer sind diese für das gleichmässige Verteilen der Last an die
SEPPmail Appliance Cluster Member Systeme verantwortlich (siehe "Abbildung 5"). Ebenso müssen
diese externen Loadbalancing Systeme den Ausfall eines Cluster Member Systems erkennen und
somit für die Ausfallsicherheit des Gesamtsystems sorgen.
Im Detail
Die Cluster-Funktionalität der SEPPmail Appliance wird in diesem Szenario lediglich für die
Synchronisation der Konfiguration zwischen den Cluster Member Systemen verwendet. Das
Entscheiden, welches System auf ein- und ausgehende E-Mails reagiert wird durch vorgelagerte
Loadbalancer getroffen. Diese verteilen je nach Konfiguration und Lastsituation die E-Mails
wahlweise an ein bestimmtes Cluster Member System. Hierbei wird jedes Cluster Member System im Gegensatz zu den anderen Cluster Varianten - über seine eigene, physikalische IP-Adresse
angesprochen. In "Abbildung 5.1" sind dies die IP-Adressen 10.10.0.9 und 10.10.0.10.
Zu beachten ist an dieser Stelle das Realisieren des SSL Zugriffs für GINA (grün dargestellt). Kann
dieser nicht wie in "Abbildung 5.1 dargestellt von einem externen Loadbalancer mit verarbeitet werden,
so besteht bei Bedarf die Möglichkeit, diesen Zugriff über eine virtuelle Cluster IP-Adresse (siehe
"Abbildung 5.2") - im Beispiel 10.10.0.1 - zu realisieren. In Abhängigkeit der Cluster Member
Prioritäten wird im Beispiel der "Abbildung 5.2" das Cluster Member System mit der IP-Adresse
© 2016 SEPPmail AG
97
10.10.0.9 antworten, da dies mit der Priorität "Primary" eingerichtet ist. Ist dieses System nicht
verfügbar, so wird das Cluster Member System mit der IP-Adresse 10.10.0.10 und der Priorität "
Secondary" die Funktion übernehmen.
Abbildung 5.1 - Schematische Darstellung der dynamischen Aufteilung für ein- und ausgehende E-Mails durch einen
externen Loadbalancer
Abbildung 5.2 - Schematische Darstellung der dynamischen Aufteilung für ein- und ausgehende E-Mails durch einen
externen Loadbalancer unter Verwendung einer virtuellen IP-Adresse für Enhanced Secure Webmail
© 2016 SEPPmail AG
98
4.9.4
Geo Cluster
Ein Geo-Cluster (auch "Multisite System" genannt) dient dem Replizieren von
Konfigurationsdatenbanken zwischen geographisch voneinander getrennten SEPPmail Appliances,
zum Beispiel zwischen verschiedenen Standorten eines Unternehmens.
Beispiel
Ein Unternehmen ist weltweit tätig und betreibt aus diesem Grund mehrere Rechenzentren auf
verschiedenen Kontinenten. Die Unternehmensstandorte selbst sind alle durch ein VPN verbunden
und haben in jedem Rechenzentrum einen Zugang zum Internet. Innerhalb dieses internen
Unternehmensnetzwerks besteht ein E-Mail Transportsystem, zum Beispiel auf Basis von Microsoft
Exchange oder IBM Domino. Die nach extern gesendeten E-Mails können je nach intern abgebildeter
Richtlinie an verschiedenen Internetzugängen des Unternehmens ins Internet versendet werden. So
können beispielsweise bei Ausfall eines Internetzugangs an einem Standort die E-Mails dieses
Standortes über den Internet Zugang des anderen Standortes versendet werden, sofern die VPNVerbindung zwischen den Standorten von diesem Ausfall nicht betroffen ist.
In einem derartigen Konstrukt muss die notwendige kryptographische E-Mail Verarbeitung an allen
Internetzugängen gleichermassen funktionieren. Um dies zu gewährleisten, müssen die
Konfigurationsdatenbanken sowie das Schlüsselmaterial an allen Kryptographie-Gateways - SEPPmail
Appliance - identisch gehalten werden.
Dies wird durch die Geo-Cluster Funktion der SEPPmail Appliance realisiert, so dass stets die
konsistente Konfiguration aller Systeme gewährleistet ist.
Abbildung 6 - Schematische Darstellung einer Geo-Cluster Struktur
© 2016 SEPPmail AG
99
4.9.5
Frontend/Backend Cluster
Ist aufgrund einer DMZ (DeMilitarisierte Zone) Struktur die Datenhaltung - insbesondere die
Schlüsselverwaltung - innerhalb des Netzwerk-Standortes des E-Mail verarbeitenden Systems nicht
erlaubt, so ermöglicht der Frontend-/Backend-Cluster das Trennen der Datenbank vom E-Mail
verarbeitenden System.
Das heisst bei dieser speziellen Form eines SEPPmail Appliance Clusters existiert auf dem als
Frontend konfigurierten System keine Konfigurationsdatenbank. Die zur Laufzeit benötigten
Konfigurationsdaten werden ausschliesslich auf dem Backend-System - welches die
Konfigurationsdatenbank und somit auch das Schlüsselmaterial beherbergt - vorgehalten und auf
Anfrage vom Frontend System auf dieses im Push-Verfahren geschoben (lila Pfeile in "Abbildung 7").
Durch Abschluss der am Frontend System angeforderten Aktion - zum Beispiel Ver- oder
Entschlüsseln - werden die hierfür angeforderten Konfigurationsdaten automatisch verworfen/gelöscht.
Abbildung 7 - Schematische Darstellung einer Frontend-/Backend-Cluster Struktur
© 2016 SEPPmail AG
100
4.9.6
GINA Satellite
Da E-Mail Systeme üblicherweise nur über SMTP Port 25 kommunizieren, ist unter Umständen
aufgrund einer vorhandenen DMZ (DeMilitarisierte Zone) Struktur die für die GINA-Technologie
benötigte Kommunikation über SSL Port 443 nicht möglich. Um dennoch die GINA-Technologie
Nutzen zu können, ohne die Sicherheits-Infrastruktur aufweichen zu müssen, ist ein Abspalten dieser
Technologie über das GINA Satelliten System und somit das Platzieren ausserhalb der DMZ möglich.
Die Kommunikation zwischen dem Basis System und dem Satelliten System erfolgt dabei via SMTP
Port 25 (lila Pfeil in "Abbildung 8"). Zum Internet hin wird das GINA-Web Interface - meist getrennt
durch eine Web Application Firewall (WAF) - über SSL Port 443 bereit gestellt.
Das Einrichten dieser speziellen Funktion erfolgt in Mail Processing 160 Ruleset generator 168
Advanced settings 181 .
Abbildung 8 - Schematische Darstellung einer Secure Web-Mail Satellite Struktur
© 2016 SEPPmail AG
101
4.9.7
Unterstützen externer redundanter Systeme
Einsatz mit redundanten internen und externen MTAs (Mail Transport Agent)
In der SEPPmail Appliance Konfiguration kann sowohl als externer MTA (E-Mail Relay) (siehe Mail
System 137 Outgoing server 139 Server name) wie auch pro interner E-Mail Domäne (E-Mail
Server) (siehe Mail System 137 Managed domain 137 Add/Edit managed domains 147
Settings 147 Forwarding server IP or MX name) jeweils nur ein Host angegeben werden. Sollen mehrere
Systeme angesprochen werden können, so muss dies über DNS MX-Einträge geschehen.
Steht lokal kein DNS-Server zur Verfügung, welcher MX-Einträge für die anzubindenden Server bereit
stellt, so können hierfür im Menü System 119 unter Advanced view DNS 123 local zone lokale
(pseudo) Einträge definiert und verwendet werden.
Abbildung 9 - Schematische Darstellung für den Einsatz von redundanten internen und externen MTAs
© 2016 SEPPmail AG
102
4.10
Einrichten zusätzlicher Features
Die SEPPmail Appliance bietet neben der Hauptfunktion des kryptographischen Behandelns von EMails zusätzliche Features an, um
die Sicherheit zu erhöhen
Protection Pack 102
Internal Mail Encryption (IME) 103
den Verwaltungsaufwand zu minimieren
Self Service Password Management (SSPM) 102
den Funktionsumfang zu erweitern
Large File Transfer (LFT) 103
Diese optionalen Features müssen separat lizensiert werden.
4.10.1 Protection Pack (PP)
Das Protection Pack bietet zusätzlichen Schutz vor Spam E-Mails und Viren.
Die für das Einrichten erforderlichen Einstellungen sind in den Sektionen Antispam 143 , Blacklists
145 und Manual blacklisting / whitelisting 146 des Menüs Mail System 137 , sowie im Menü
Mail Processing 160 in der Sektion Ruleset generator 168 im Abschnitt Protection Pack (AntiSpam / Anti-Virus) 178 zu finden.
4.10.2 Self Service Password Management (SSPM)
Das Self Service Passwort Management erlaubt es GINA-Benutzern selbständig Ihr Passwort
zurückzusetzen, wenn dieses verloren ging. Ein Eingreifen des Administrators ist somit nicht
notwendig.
Für das Konfigurieren des eigenständigen Zurücksetzens stehen in den Details einer GINA-Domain,
welche jeweils über Mail Processing 160 GINA domains 160 Edit zu erreichen ist - in der Sektion
Security 196 die Möglichkeiten zur Rücksetzung
über eine Bestätigungs E-Mail (Reset by Email verification)
per SMS (Reset by SMS)
über eine Auswahl durch den Benutzer (Let user choose between hotline and SMS)
bereit.
Wird die Möglichkeit des Zurücksetzens per SMS angeboten, so ist über Mail Processing 160 GINA
password via SMS 162 die Konfiguration des SMS Versandes vorzunehmen.
© 2016 SEPPmail AG
103
4.10.3 Large File Transfer (LFT)
Large File Transfer ermöglicht mittels GINA-Technologie die Übertragung grosser Dateien, über das
übliche E-Mail Limit hinaus.
Diese zusätzliche Funktion steht in den Details jeder einzelnen GINA-Domain, welche jeweils über
Mail Processing 160 GINA domains 160 Edit zu erreichen ist - in der Sektion Large File
Transfer 191 zur Verfügung.
4.10.4 Internal Mail Encryption (IME)
Die Internal Mail Encryption dient dem Verschlüsseln von E-Mails innerhalb des eigenen
Unternehmens (E-Mail Domänen).
Diese Funktion wird in zwei verschiedenen Ausprägungen angeboten.
Die erste Variante wird dabei über das Microsoft Outlook AddIn 105 realisiert.
Dabei muss gegebenenfalls die Schaltfläche "intern verschlüsseln" über die entsprechenden AddIn
Einstellungen (siehe Registry 110 Tabelle 1) angezeigt werden. Der Absender aktiviert dann im Ribbon
von Microsoft Outlook den vom AddIn bereit gestellten Schalter "intern verschlüsseln" vor Versand der
der E-Mail. Bei dieser Methode wird die E-Mail zwar unverschlüsselt bis zur SEPPmail Appliance
übertragen, jedoch GINA verschlüsselt dem Empfänger zugestellt.
Für Variante zwei kommt ausschliesslich die GINA-Technologie zum Einsatz.
Das heisst der Absender einer intern zu verschlüsselnden E-Mail meldet sich bereits für den Versand
dieser vertraulichen E-Mail am GINA-Web-Portal an.
Damit sich der interne Benutzer als GINA-Benutzer registrieren kann, ist das Aktivieren der Optionen
Allow account self-registration in GINA portal without initial mail
Allow GINA users to write new mails (not reply)
aus dem Untermenü Edit GINA setting 186 - welches über Mail Processing 160 GINA domains
160 Edit zu erreichen ist - in der Sektion Extended settings 187 notwendig.
Sollten diese Optionen für den Zugriff von extern nicht gewünscht sein, so muss gegebenenfalls für
den Zugriff von intern ein eigenes GINA-Interface (siehe Mail Processing 160 GINA domains 160
Create new GINA domain 185 ) eingerichtet werden.
© 2016 SEPPmail AG
104
5
Administrative Aufgaben wurden durch das effektive Design der SEPPmail Appliance auf ein Minimum
reduziert. Sollten dennoch Aufgaben anfallen, so werden die Mitglieder der Gruppen admin und
statisticsadmin (siehe Groups 258 ) darüber benachrichtigt. Weiterhin werden Benachrichtigungen
über Probleme des Systems per Watchdog Meldung an die Postmaster address (siehe Mail System
137 SMTP settings 184 ) gesendet.
Je nach Konfiguration des Systems lassen sich so die administrativen Aufgaben auf folgende
Tätigkeiten beschränken:
Eingreifen bei Problemen (Watchdog Meldung)
Aktualisieren der Appliance (siehe Administration 233 Update 233 )
Erneuern des SSL Zertifikats bei Ablauf (siehe SSL 207 )
Einstufen der Vertrauesnwürdigkeit von X.509 Root Certificates 267
Sollte die Anlage von Benutzern (siehe Mail Processing 160 Ruleset generator 168 User
creation 169 ) sowie der Bezug von Zertifikaten (siehe Mail Processing 160 Ruleset generator
168 Key Generation 177 ) nicht automatisiert sein, so fallen hierfür natürlich weitere Aufgaben an.
© 2016 SEPPmail AG
105
6
6.1
Einleitung
Das SEPPmail MS Outlook AddIn kann auf Microsoft Windows PC Systemen mit Microsoft Outlook
installiert werden. Das Installieren kann sowohl interaktiv, als auch im Silent-Mode erfolgen. Je nach
gewählter Installation stehen unterschiedliche Einstellungen (Parameter) zur Verfügung, um die
Funktionalität des AddIns zu beeinflussen.
Das AddIn stellt im jedem Outlook Fenster zum Verfassen einer E-Mail (Neu, Weiterleiten, Antworten)
Schaltflächen für das Steuern der kryptographischen Aktionen der SEPPmail Appliance zur Verfügung.
Abhängig von den bei der Installation gewählten Einstellungen erscheinen unterschiedlich viele
Schaltflächen, mit unterschiedlichen Standard-Einstellungen (gedrückt / nicht gedrückt).
Die Zustände der Schaltflächen beim späteren Versenden einer E-Mail werden entweder
als Steuer-Informationen in X-headergeschrieben.
optional bei Verwendung des "Subject-Mode" als Schlüsselwort in die Betreffzeile der E-Mail
integriert.
Da es E-Mail Server gibt, welche X-headerabschneiden, bietet der "Subject-Mode hierfür eine
Alternative.
Die durch das AddIn im "Subject-Mode" hinzugefügten Schlüsselworte sind auch im "Gesendet"
Ordner des Absenders zu sehen. Das versetzt diesen in die Lage, auch später
nachzuvollziehen, ob er eine E-Mail kryptographisch behandelt oder unbehandelt versendet hat.
Hinweis:
Bei Verwenden des "Subject-Mode" werden eventuell manuell der Betreffzeile
hinzugefügte Steuerbefehle (siehe "subject-mod Schlüsselworte" in Tabelle
Registry 110 ) entfernt, um eventuell entgegengesetzte Anweisungen zu
vermeiden.
Das zentrale SEPPmail Appliance System ist bei Eingang der E-Mail in der Lage beide Informationen
auszuwerten.
Weiterhin steht eine (optionale) Schaltfläche für den Aufruf einer Hilfe-Seite im Standard-Webbrowser
zur Verfügung.
Ebenso kann bei Bedarf eine Warnung beim Versenden von unverschlüsselten E-Mails ausgegeben
werden.
Hinweis:
Die Warnung wird immer dann ausgegeben, wenn mittels AddIn keine
Verschlüsselung gewählt wurde.
Die betreffende E-Mail kann jedoch unter Umständen dennoch an der SEPPmail
Appliance verschlüsselt werden, sofern dort weitere, automatisierte
Verschlüsselungskriterien konfiguriert wurden. Im Standard wäre das zum Beispiel
eine Domänenverschlüsselung.
Die Anwendung ist mehrsprachig und passt sich der jeweiligen Sprache der Microsoft OutlookOberfläche an. Ist diese nicht verfügbar, wird Englisch als Standardsprache für das AddIn verwendet.
Derzeit sind die Sprachen
Deutsch
Englisch
Französisch
Italienisch
© 2016 SEPPmail AG
106
verfügbar.
Im Folgenden werden technische Details zu den System-Anforderungen, zur Installation und zu den
Abläufen in der Registry beschrieben.
6.2
Download
Das MS Outlook AddIn können Sie auf der folgenden Webseite in der jeweils aktuellen Version
herunterladen:
https://www.seppmail.ch/downloads
6.3
Systemanforderungen
Das MS Outlook AddIn kann unter verschiedenen Betriebssystemen und Microsoft Outlook Versionen
installiert werden:
Microsoft Windows Betriebssysteme
Windows Vista
Windows 7 (32/64 bit)
Windows 8.1 (32/64 bit)
Windows Terminal-Server
Microsoft Outlook Versionen
Outlook 2003
Outlook 2007
Outlook 2010 (32/64 bit)
.NET Framework
Das .NET Framework muss in der Version 4.0 Client Profile oder neuer vorhanden sein. Fehlt
dieses, versucht die Installationsroutine diese Komponente automatisch aus dem Internet zu
beziehen und zu installieren.
6.4
Installation
Die Installation besteht aus zwei Dateien:
Setup.exe
ist erforderlich um auf Windows Vista, Windows 7 und Windows 8, bei eingeschaltetem UAC (
User Account Control = Benutzerkontensteuerung), per Rechtsklick „Als Administrator“
auswählen zu können.
Prüft vor dem Ausführen der .msi-Datei ob die Voraussetzungen für die Installation (zum
Beispiel NET Framework) vorhanden sind.
SEPPmailOutlookAddInSetup.msi
führt die eigentliche Installation durch und kann auch direkt gestartet werden, wenn
entsprechende Rechte vorhanden sind (zum Beispiel inaktives UAC und Admin-Rechte)
beziehungsweise am Terminalserver bereits in den Install-Mode gewechselt wurde.
© 2016 SEPPmail AG
107
6.4.1
Interaktive Installation
Beispiel:
1. Rechtsklick auf setup.exe und „Als Administrator ausführen“ bzw. „Run as administrator“
auswählen.
Abb. 1
2. Die Sicherheitsabfrage von Windows mit „Ja“ beantworten, um die Installation zu starten.
3. Im folgenden erscheinen die folgenden Bildschirme auf denen der Benutzer
Wahlmöglichkeiten
a. zu den später angezeigten Buttons
Abb. 2
b. zu den Standard Button-Zuständen bei Öffnen eines E-Mail Fensters
© 2016 SEPPmail AG
108
Abb. 3
c.
zum Ein/Ausschalten einer Warnung beim Versand von unverschlüsselten und
unsignierten E-Mails
Abb. 4
© 2016 SEPPmail AG
109
6.4.2
Silent Installation
Alternativ kann die Installation über die Kommandozeile mit diversen Parametern gestartet werden.
Hinweis:
Die Kommandozeile muss als Administrator gestartet werden!
Beispiel
msiexec /q /i "SEPPmailOutlookAddInSetup.msi" SMWarning=false
SMEncrypt=true SMSign=true SMWeb-Mail=true SMHelp=true
SMEncryptSelected=false MSignSelected=false SMWebmailSelected=false /
li .\log.txt
Msiexec-Parameter:
Parameter
/q
/i
/li .\log.txt
Beschreibung
Installation ohne User Interface
Installation eines MSI Paketes
log.txt mit Basis Informationen im aktuellen Verzeichnis erzeugen
MSI-Parameter von SEPPmailOutlookAddInSetup.msi
Parameter
SMWarning
Standard Beschreibung
Warnung falls die Schaltfläche verschlüsseln nicht
False
ausgewählt wurde ein-/ausschalten
SMEncrypt
True
Schaltfläche „Verschlüsseln“ ein-/ausblenden
SMSign
True
Schaltfläche „Signieren” ein-/ausblenden
SMWebmail
Schaltfläche „Verschlüsseln mit Lesebestätigung” ein-/
True
ausblenden
SMNoEncryption
False
Schaltfläche „Unverschlüsselt” ein-/ausblenden
SMHelp
False
Schaltfläche „Hilfe” ein-/ausblenden
SMEncryptSelected
Schaltfläche „Verschlüsseln” im Standard aktiv/inaktiv
False
setzen
SMSignSelected
False
Schaltfläche „Signieren” im Standard aktiv/inaktiv setzen
SMWebmailSelected
Schaltfläche „Verschlüsseln mit Lesebestätigung” im
False
Standard aktiv/inaktiv setzen
SMNoEncryptionSelected
Schaltfläche „Unverschlüsselt” im Standard aktiv/inaktiv
False
setzen
Tooltips
False
Tooltips für Buttons ein-/ausschalten
LMonly
False
Registry-Werte nur in „HKLM“, nicht in „HCU“ speichern
© 2016 SEPPmail AG
110
6.4.3
Deinstallation
Die Deinstallation des MS Outlook AddIn erfolgt interaktiv über die Systemsteuerung im Menü
Programme und Funktionen.
Interaktiv am Beispiel Windows 7/8
Rechtsklick auf den Eintrag SEPPmail Outlook Add-In -> Deinstallieren.
Deinstallation - Outlook Add-In
Weiterhin ist die Deinstallation auch Silent per MSI über den Befehl
MsiExec.exe /x {A5B1FA06-7E16-4645-AFC1-0A7CDAFA77E3} /qn
oder über das AddIn Setup
setup /s /v" /x {A5B1FA06-7E16-4645-AFC1-0A7CDAFA77E3} /qn"
möglich.
Dabei ist zu beachten, dass diese Befehle mit Administrator-Rechten ausgeführt werden müssen.
6.5
Registry
Das AddIn macht im Standard sowohl maschinenbezogene Eintragungen in den Registry Hive
HKEY_LOCAL_MACHINE (HKLM) wie auch in die benutzerbezogenen Hives
HKEY_CURRENT_USER (HCU).
Um zum Beispiel unternehmensweit Standard Vorgaben der Schaltflächen Einstellungen zu
erzwingen, lässt sich das Speichern Benutzer bezogener Einstellungen (HCU) optional abschalten.
Die Schaltflächen Einstellungen werden bei neuen Benutzern aus den Maschineneinstellungen
(HKLM) in die Benutzereinstellungen (HCU) übernommen. Ebenso werden Änderungen der
Maschineneinstellungen bei bestehenden Benutzern übernommen.
© 2016 SEPPmail AG
111
Folgend werden die Registry-Werte für das AddIn im Bereich
HKEY_LOCAL_MACHINE\Software\SEPPmail\OutlookAddIn
bei 32 bit Maschinen beziehungsweise
HKEY_LOCAL_MACHINE\Software\Wow6432Node\SEPPmail\OutlookAddIn
bei 64 bit Maschinen und Ihre jeweilige Funktion beschrieben:
Schaltfläche
Name
Registry
Typ
REG_
Data
Beschreibung
blendet die Schaltfläche aus bzw.
ein
SMEncrypt
setzt die Schaltfläche im Standard
verschlüsseln
DWORD
0/1
Selected
auf inaktiv/aktiv
s-smenc
SZ
[confidential]
subject-mod Schlüsselwort
SMWebmail
DWORD
0/1
ein
verschlüsseln
SMWebmail
mit
DWORD
0/1
Selected
auf inaktiv/aktiv
Lesebestätigung
s-smwebmail
SZ
[priv]
Internal
DWORD
0/1
Encryption
ein
intern
verschlüsseln
Internal
ime@imepseudo gibt die Pseudo Empfängeradresse
DWORD
Recipient
domain.local
für IME an
SMNoEncryption DWORD
0/1
ein
SMNoEncryption
unverschlüsselt
DWORD
0/1
Selected
auf inaktiv/aktiv
s-smnoenc
SZ
[noenc]
SMSign
DWORD
0/1
ein
SMSign
signieren
DWORD
0/1
Selected
auf inaktiv/aktiv
s-smsign
SZ
[sign]
Hilfe
SMHelp
DWORD
0/1
ein
durch Aktivieren des subject-mod
werden Betreffzeilen
subject-mod
DWORD
0/1
Schlüsselworte statt X-headerzur
Steuerung der Appliance
verwendet.
das Aktivieren von LMOnly
deaktiviert das benutzerbezogene
LMOnly
DWORD
0/1
Speichern von Einstellungen in
HCU
de- bzw. aktiviert die Tooltips für
Tooltips
DWORD
0/1
die Schaltflächen
Zeitstempel für den Vergleich
UsageTimeStamp
SZ
2014,4,8,16,51,27
HKLM/HCU
Webseite welche bei Anklicken der
http://www.
Web Site
SZ
Hilfe Schaltfläche aufgerufen
seppmail.ch
werden soll
SMEncrypt
DWORD
0/1
Tabelle 1
© 2016 SEPPmail AG
112
Davon werden folgende Werte gegebenenfalls in den Bereich
HKEY_CURRENT_USER\Software\SEPPmail\OutlookAddIn
übernommen:
Schaltfläche
Registry
Name
verschlüsseln
verschlüsseln mit
Lesebestätigung
SMEncryptSelected
DWORD
0/1
0/1
SMWebmail
DWORD
0/1
SMWebmailSelected
DWORD
0/1
InternalEncryption
DWORD
0/1
InternalRecipient
DWORD
[email protected]
SMNoEncryption
DWORD
0/1
SMNoEncryptionSelected
DWORD
0/1
intern
verschlüsseln
unverschlüsselt
Data
SMEncrypt
Typ
REG_
DWORD
signieren
Hilfe
SMSign
DWORD
0/1
SMSignSelected
DWORD
0/1
SMHelp
DWORD
0/1
UsageTimeStamp
SZ
2014,4,8,16,51,27
Tabelle 2
Werden durch Aktivieren des subject-mod statt der X-headerBetreffzeilen Schlüsselworte verwendet,
so ist darauf zu achten, dass die Schlüsselworte der in der Appliance im Punkt Mail Processing 160
Ruleset generator 168 konfigurierten gleichen.
x-header
Registry
Name
x-smenc
s-smenc
Schlüsselwort
(Standard)
[confidential]
x-smsign
s-smsign
[sign]
x-smwebmail
s-smwebmail
[priv]
x-smplain
s-smnoenc
[noenc]
Tabelle 3
6.6
AddIn Verwaltung
Für das zentrale Verwalten der AddIn Einstellungen in Microsoft Netzwerken, bieten wir zusätzlich ein
ADM-Template an. Somit können die Einstellungen bequem per Group Policies (GPO) ausgebraucht
werden.
Die Vorlage steht ebenfalls zum Download 106 zur Verfügung.
© 2016 SEPPmail AG
113
7
7.1
Allgemein
Grundsätzlich sollte in der Administrationsoberfläche vom Navigieren mittels "Vor" und "Zurück"
Schaltflächen beziehungsweise vom Aktualisieren mittels entsprechende Schaltfläche des Browsers
oder F5-Taste abgesehen werden.
Das SEPPmail-Logo dient in der Administrationsoberfläche als Navigationsanker zur zentralen Seite (
Home 116 ).
Ein Aktualisieren der aktuellen Seite kann durch erneutes Klicken auf das entsprechende Menü der
Menüleiste oder den Menü Namen unterhalb des SEPPmail-Logo angestossen werden.
(neu in 7.4.8)
Sortierungen in Listen und Tabellen können jeweils durch Klicken auf unterstrichene
Spaltenüberschriften vorgenommen werden.
7.2
Übersicht der Menüpunkte
Die Konfigurationsoberfläche der SEPPmail Appliance ist in die, in der folgenden Tabelle kurz
beschriebenen Menüs aufgeteilt. Die Gliederung dieses Teils des Handbuchs folgt dieser Tabelle.
Menü
Beschreibung
Login/Logout 115
Anmeldung an der Konfigurationsoberfäche, ändern des persönlichen
Kennworts für die Konfigurationsoberfläche
Home 116
Anzeige administrativer Daten wie zum Beispiel Systemstatus, System- und
Benutzerlizenz, aktuelle Softwareversion, statistische Daten zur
Systemauslastung
System 119
Durchführen grundlegender Netzwerkeinstellungen wie zum Beispiel IPAdresse, Host- und Domainname, Routing, System Datum- und Uhrzeit
Mail System 137
Einrichtung des SEPPmail Appliance E-Mail Systems, E-Mail Domänen und
E-Mail Routing, E-Mail Relay-Server, Access Control, TLS, AntiSPAM,
Blacklists/Whitelists
Mail Processing
Regeln zur Verarbeitung von E-Mails, Verwaltung von GINA-Domänen, SMSKennwortversand, E-Mail Fussnoten (disclaimer), E-Mail Vorlagen
(templates), Virenscanner- und SPAM-Schutz-Regeln und Schwellwerte,
Regelwerk für E-Mail Signierung, Ver- und Entschlüsselung verwalten/
anzeigen/laden
160
SSL 207
SSL Maschinen Zertifikat für den SEPPmail Appliance Secure Web-Mail
Server einrichten und sichern
CA 214
Eigene Zertifizierungsstelle (CA) einrichten, Connector zur <%OEM-CA%>
CA (MPKI) einrichten, CA-Zertifikat anfordern und sichern, eventuell Sub-CA
oder Registrierungsstelle (RA) einrichten.
Administration 233
SEPPmail Appliance registrieren, Software-Updates installieren,
Datensicherung erstellen und zurücksichern, SEPPmail Appliance neu
starten oder herunterfahren, SEPPmail Appliance auf Werkseinstellungen
zurücksetzen, bestehende Benutzer oder Schlüssel importieren, ausgehende
Supportverbindung aktivieren
© 2016 SEPPmail AG
114
Cluster 241
Cluster-Verbund mit mehreren SEPPmail Appliances einrichten
Logs 245
E-Mail Logdateien einsehen und verwalten
Statistics 249
Grafische Anzeige des verarbeiteten E-Mail Verkehrs und der
Systemauslastung
Users 251
SEPPmail Appliance Benutzerkonten erstellen und verwalten
Groups 258
SEPPmail Appliance Gruppen erstellen und verwalten
GINA Accounts
Verwalten von automatisch erzeugten GINA- Konten. GINA bezeichnet die
frühere Secure Web-Mail Schnittstelle.
260
OpenPGP Public
Keys 264
Öffentliche OpenPGP-Schlüssel von Kommunikationspartnern importieren
und verwalten
X.509 Certificates Öffentliche S/MIME X.509-Zertifikate von Kommunikationspartnern
265
importieren und verwalten
X.509 Root
Certificates 267
S/MIME X.509-Root CA-Zertifikate importieren und verwalten
Domain
Certificates 271
OpenPGP und S/MIME Domänen Schlüssel importieren, synchronisieren und
verwalten
Customers 274
Aktivieren und Einrichten einer Multi-Kunden-Konfiguration (Multitenancy).
Hierbei können zum Beispiel E-Mail Domänen, Benutzerkonten oder GINABenutzerkonten dediziert einem zuvor definierten Kunden zugewiesen
werden.
Referenz der Menüpunkte in der SEPPmail Appliance Konfigurationsoberfläche
© 2016 SEPPmail AG
115
7.3
Login / Logout
Der Menüpunkt Login 115 ermöglicht das Abmelden von der SEPPmail Appliance
Konfigurationsoberfläche. beziehungsweise den Kennwortwechsel des angemeldeten Benutzers. In
der folgenden Tabelle werden die einzelnen Parameter beschrieben.
Sektion Login (erscheint nur nach erfolgtem "Log out")
Parameter
Beschreibung
User ID
Eingabe der User ID zur Anmeldung an der Administrationsoberfläche.
Die Anmeldung an der AdminGUI ist prinzipiell für jeden, auf der SEPPmail
Appliance angelegten Benutzer möglich, welchem ein Passwort zugewiesen
wurde (sieheUsers 251 ).
Ob und welche Menüs für den jeweiligen Benutzer sichtbar sind hängt von
dessen Gruppenzugehörigkeit ab (siehe Groups 258 ).
Password
Dient der Passwort Eingabe.
Sektion Change password
Parameter
Beschreibung
The password
must:
Gibt die Passwort Stärke der vorgegebenen Konfiguration (siehe Users 251
Password policy).
Zum Anmelden an der Konfigurationsoberfläche wählen Sie die Schaltfläche
Log in.
New password
Dient dem Passwort Wechsel des angemeldeten Bunutzers. Das Passwort
muss zwei mal angegeben werden um eine fehlerhafte Eingabe zu
vermeiden und den Vorgaben von "The password must:" entsprechen.
Log out.
Abmelden von der Konfigurationsoberfläche.
Change password Ändert das Passwort wie unter Change password 115 eingegeben.
© 2016 SEPPmail AG
116
7.4
Home
Das Menü Home öffnet nach Anmeldung an der Konfigurationsoberfläche. Es zeigt grundlegende
Informationen zur SEPPmail Appliance an.
Sektion System status
Diese Sektion zeigt den aktuellen Systemstatus der SEPPmail Appliance an.
Dieser sollte
"All systems are stable and running."
lauten. Sollten Probleme auf dem System existieren, so werden diese hier ebenso in rot angezeigt, wie
eventuell wichtige, aber fehlende Konfigurationseinträge.
Sektion License
In dieser Sektion wird der Lizenzstatus, wie lizensierte Komponenten, deren Anzahl und Laufzeit
angezeigt.
Parameter
Beschreibung
Wurde das System erfolgreich registriert und ist eine gültige Lizenz vorhanden, so wird hier der
Status
"Valid License detected"
angezeigt.
License type
Hier werden Informationen zur System- und Benutzerlizenz angezeigt.
License ID
Lizenznummer der SEPPmail Appliance.
License holder
Eigentümer der SEPPmail Appliance Lizenz.
Issue date
Ausstellungsdatum der Lizenz.
Comment
Zusätzliche Informationen zur Lizenz.
Encryption/Signature
licenses
Anzahl der erworbenen Benutzerlizenzen. In Klammern wird die Anzahl
bereits verwendeter Benutzerlizenzen angezeigt.
Large File Transfer
(LFT) licenses
Anzahl der erworbenen Benutzerlizenzen für die Funktion Large File
Transfer. In Klammern wird die Anzahl bereits verwendeter
Benutzerlizenzen angezeigt.
Auf den Hardware Appliances ab 1000B steht für LFT
interner Speicher zur Verfügung.
Die 500B benötigt eine externe USB-Platte. Bei
virtuellen Appliances muss für das Verwenden von LFT
auf dem Hostsystem eine weitere Hard Disk von
mindestens 5GB zugeordnet, und das System neu
gestartet werden. Andernfalls erscheint die Meldung
Note: You have LFT licenses, however your device has
no disk to store Files. Please add an USB (or virtual)
disk.
(siehe auch Sizing 41 )
© 2016 SEPPmail AG
117
Parameter
Beschreibung
Multitenancy
Anzahl der erworbenen Mandantenlizenzen
Software Care Pack
Anzeige des Ablaufdatums der Lizenz für Software Updates.
Device Care Pack
Anzeige des Ablaufdatums des Device Care Packs.
Protection Pack
(AntiSpam/AntiVirus)
Anzeige des Ablaufdatums der Lizenz für AntiVirus und AntiSPAM.
Internal Mail Encryption
Lizenz für interne Verschlüsselung (Active / Inactive).
Self-Service Password
Management
Lizenz für Self-Service Passwort Management (Active / Inactive).
Sektion System
Zeigt die Systemdaten der Appliance an.
Parameter
Beschreibung
Device ID
Gerätelizenznummer
Appliance type
Typ der aktuellen Appliance, zum Beispiel SEPPmail 5000 (VMware
Virtual Appliance).
Firmware version
Aktuell auf dem System installierte Softwareversion.
Uptime
Laufzeit des Systems nach dem letzten Neustart.
Sektion AntiVirus
Zeigt den Status des integrierten Virenscanners an
Parameter
Beschreibung
Inactive
Falls das Protection Pack (VSPP) nicht lizensiert wurde ist dies die
einzige Anzeige der Sektion.
ClamAV engine
Anzeige der ClamAV Scan Engine Version
Signature version
Anzeige der ClamAV Virensignatur Version
Signature date
Anzeige des ClamAV Virensignatur Datums
© 2016 SEPPmail AG
118
Sektion Mail statistics
Zeigt eine Kurzübersicht der verarbeiteten E-Mail an.
Parameter
Beschreibung
Mails processed
Anzahl aller insgesamt vom System übertragenen E-Mails (empfangen,
gesendet).
Mails processed
(S/MIME)
Anzahl aller insgesamt via S/MIME verarbeiteten E-Mails (entschlüsselt,
verschlüsselt).
Mails processed
(OpenPGP)
Anzahl aller insgesamt via OpenPGP verarbeiteten E-Mails
(entschlüsselt, verschlüsselt).
Mails processed
(DOMAIN)
Anzahl aller insgesamt via Domänenverschlüsselung verarbeitenten EMails (entschlüsselt, verschlüsselt).
GINA mails
Anzahl aller insgesamt versendeten Secure Web-Mails über das GINASubsystem.
Mails currently in queue
Anzahl aller E-Mails in der Warteschlange.
Sektion Disk statistics
Zeigt die Auslastung der einzelnen Systempartitionen an.
Parameter
Beschreibung
Database
Zeigt die Auslastung des Datenbank Volumes im System
Mail queue
Zeigt die Auslastung des E-Mail Warteschlangen Volumes im System
Log
Zeigt die Auslastung des Volumes für die Log-Dateien im System
Temp
Zeigt die Auslastung des Volumes für temporäre Dateien im System
LFT store
Zeigt die Auslastung des Volumes für das Large File Transfer Volume
im System sofern dieses Feature lizensiert wurde
© 2016 SEPPmail AG
119
7.5
System
Das Menü System 119 kann in zwei Ansichten betrachtet werden. Die grundlegenden
Basiseinstellungen sind in der Ansicht Normal View zu sehen. Diese Ansicht ist die Standardansicht
bei Aufruf des Menüs. Eine vollständige Übersicht aller Einstellungen ist in der Ansicht Advanced
View zu sehen.
Advanced View
Durch betätigen der Schaltfläche Advanced view werden die erweiterten Parameter angezeigt.
Um die erweiterte Darstellung des Menüpunkts System wieder zusammenzufassen ist in der
Erweiterten Darstellung die Schaltfläche Normal view zu betätigen.
Normal View
In diesem Menü werden die wichtigsten Parameter der LAN-Anbindung der SEPPmail Appliance
eingerichtet. Die hier eingetragenen Daten dienen auch als Grundeinstellung für viele weitere
Einstellungen des SEPPmail Appliance-Systems.
Die folgenden Tabellen beschreiben den Advanced view, da dieser alle Einstellungen des Normal
view beinhaltet.
Sektion Comment (optional)
Eingabefelder zur Beschreibung beziehungsweise zur Identifikation der SEPPmail Appliance. Diese
Parameter werden zum Beispiel als Betreff in der automatischen Datensicherung sowie von SNMP
verwendet. Ansonsten dienen Sie lediglich der Beschreibung. Die Einträge sind frei wählbar und
jeweils optional.
Parameter
Beschreibung
System description
Kurzbeschreibung des Systems. Diese wird auch als Titel im Browser
beziehungsweise Browser-Tab der Administrationsoberfläche angezeigt.
System location
Standort des Systems
System object ID
Eigene ID des Systems
System contact
Ansprechperson für das System
System name
Name des Systems
© 2016 SEPPmail AG
120
Sektion IP addresses
Parameter
Beschreibung
Interface 1
Eingabemaske für IP-Adresse mit Subnetzmaske und den Medientyp der
physischen Netzwerk Schnittstelle LAN1 bzw. eth0. In den meisten
Umgebungen sollte der Medientyp auf dem Standardwert autoselect
belassen bleiben.
Für jede physisch vorhandene Netzwerk-Schnittstelle wird jeweils eine
Schnittstellen-Konfiguration angezeigt. Die hier angezeigte SchnittstellenNummer entspricht der folgenden Netzwerk-Schnittstelle:
Interface 1 - LAN1 bzw. eth0 oder auch vic0 bei virtuellen Appliances
Interface 2 - 4
(optional)
Wie bei Interface 1 jedoch jeweils für
Interface 2 - LAN2 bzw. eth1 oder auch vic1
Team / bond interfaces
(optional)
Durch Verwendung dieser Einstellung können mehrere Interfaces
gebündelt und logisch wie eines verwendet werden. Dabei gibt es
unterschiedliche Verfahren:
broadcast (Ausfallsicherheit)
Nutzung meherer Switches gleichzeitig möglich.
failover (Ausfallsicherheit)
Nur ein Interface ist aktiv, bei Ausfall wird auf das nächste
übergegangen. Nutzung meherer Switches möglich.
lacp / 802.3ad (Lastverteilung, Ausfallsicherheit)
Bündelung mehrerer Schnittstellen zur Erreichung höherer
Bandbreiten. Anbindung an nur einen Switch mit entsprechender
Protokollunterstützung möglich.
loadbalance (Lastverteilung)
Jeder Gegenstelle im Netzwerk ein zu nutzendes Interface
zugewiesen.
roundrobin (Lastverteilung, Ausfallsicherheit)
Verfügbare Interfaces werden in Senderichtung wechselweise
genutzt, in Empfangsrichtung kann max. die Geschwindigkeit einer
einzelnen Interface genutzt werden.
Custom hosts file
entries:
(optional)
Zum Durchführen einer lokalen Namensauflösung muss in diesem Feld
eine Kombination von IP-Adressen und Hostname/n eintragen werden.
Format:
62.2.145.228 update seppmail.ch support.seppmail.ch
193.239.220.29 pool.ntp.org
© 2016 SEPPmail AG
121
Sektion IP ALIAS addresses (optional)
Werden mehrere SEPPmail Appliances in einem Clusterverbund betrieben, so können diese
gemeinsam über eine oder auch mehrere virtuelle IP-Adressen angesprochen werden. Die Stellung
der einzelnen Maschine innerhalb dieses Verbundes wird über die Priorität (Priority:) definiert.
Hinweis:
Um die Funktion des CARP-Protokolls - welches die Basis für das Bereitstellen
virtueller IP-Ardressen bildet - zu gewährleisten, müssen bei virtuellen Appliances
gegebenenfalls folgende Einstellungen vorgenommen werden:
Microsoft Hyper-V
Option "Spoofing von MAC-Adressen aktivieren" in der Konfiguration der
virtuellen Netzwerkkarte aktivieren.
Diese Option ist in den Hyper-V Einstellungen der virtuellen Maschine unter
"Ältere Netzwerkkarte -> Erweiterte Features" zu finden.
ESX
"promiscous mode" in der Konfiguration der virtuellen Netzwerkkarte aktivieren.
Diese Option ist in den ESX Einstellungen wie folgt vorzunehmen:
1. Im "vSphere Web Client" zum entsprechenden "Host" navigieren
2. Anwählen der Registerkarte "Verwalten"
3. Anwählen "Virtuelle Switches" in der Auswahl rechts der Registerkarte
4. Anwählen des umzustellenden "Switches"
5. Anwählen der Option "Einstellungen bearbeiten" durch Klick auf das
Bleistift-Symbol
6. Anwählen "Sicherheit" in der Auswahl rechts des Fensters
7. Option "Promiscuous-Modus" über das Auswahlmenü auf "Aktzeptieren"
stellen und mit "OK" bestätigen
Je nach ESX Version kann es sein, dass die Sicherheitseinstellungen
gesplittet wurden. Für diesen Fall sollten auf dem vSwitch die Optionen
o Promiscous Mode
o Gefälschte Übertragung
o MAC Adressänderung
aktiv sein, damit CARP / VRRP korrekt arbeitet.
Hinweis:
Die genannten Einstellungen sind bei jedem physikalischen Switch
ebenfalls aktiv, so dass hier kein Sicherheitsrisiko zu erwarten ist.
Sollte diese Einstellung aus revisionstechnischen Gründen
dennoch nicht möglich sein, so muss entweder
auf virtuelle IP-Adressen verzichtet und ein Fail-Over über
andere Mittel sichergestellt werden.
einen separater vSwitch für die SEPPmail Appliances erstellt
werden.
Hinweis:
Virtuelle IP-Adressen dienen ausschliesslich dem Ansprechen eines Clusters von
aussen.
Wird eine E-Mail von einer Cluster-Maschine versandt, so geschieht dies immer mit
der physikalischen IP-Adresse der jeweiligen Maschine.
© 2016 SEPPmail AG
122
Parameter
Beschreibung
IP alias 0 - 3
An dieser Stelle können virtuelle IP-Adressen definiert werden, welche in
der Regel bei Cluster Konfigurationen zum Einsatz kommen (siehe Menü
Cluster 241 ).
Hierzu ist es erforderlich für jeden Alias
1. eine IP-Adresse
2. die Netzwerkmaske
3. die VHID (Virtual Host Identification)
4. das Interface an welches der Alias gebunden werden soll
5. die Priorität der Schnittstelle im Verbund (Primary, Secondary,
Backup)
anzugeben.
IP-Adresse
Subnetz
VHID
Interface
Angabe der
virtuellen
IP-Adresse
auf welche
die
Systeme
gemeinsam
reagieren
sollen
zum
Beispiel
/24 für
CKlasse
Die VHID
(Virtual Host
Identification)
muss bei
allen
Maschinen,
welche
ebenfalls auf
die
eingetragene
virtuelle IP
reagieren
sollen gleich
sein.
Angabe der
Netzwerk
Schnittstelle
(siehe Sektion
Priority
Stellung der
einzelnen
Maschine
innerhalb
IP addresses), dieses
Verbundes.
an welche die
virtuelle IP
gebunden
werden soll.
Sektion SMTP loadbalancer (optional)
Dient der Lastverteilung bei Betrieb eines Clusters.
Parameter
Beschreibung
Enable load balancer
Aktiviert die SMTP Loadbalancer Funktion.
Das SMTP Loadbalancing reicht erst nach Erreichen der definierten
gleichzeitigen Verbindungen E-Mails an die eingetragenen ClusterPartner weiter.
Distribute load to the
following cluster members
An dieser Stelle werden die IP-Adressen der Cluster-Partner für das
Loadbalancing eingegeben. Die IP-Adressen werden im Eingabefeld
durch ein Leerzeichen getrennt.
number of active
connections before
balancing (default: 4):
Definition der Anzahl gleichzeitiger Verbindungen, ab welcher E-Mails an
die eingetragenen Cluster-Partner weitergeleitet werden sollen.
Das heisst im Standard (4) wird die fünfte Verbindung an den ersten unter Distribute load to the following cluster members eingetragenen Cluster-Partner weitergegeben, die neunte Verbindung an den zweiten
und so weiter.
© 2016 SEPPmail AG
123
Sektion Name
Der Name des Systems setzt sich aus dem Hostnamen und der Domäne zusammen, zum Beispiel
securemail.seppmail.ch
Diese Einstellungen sind die interne Sicht, sie müssen also nicht den Daten, wie sie vom
Internet her Gültigkeit hätten, entsprechen.
Parameter
Beschreibung
Hostname
Eingabe des Hostnamens der SEPPmail Appliance, zum Beispiel
securemail
Domain
Eingabe der Domäne des SEPPmail Appliance Systems, zum Beispiel
seppmail.ch
Sektion Routing
Parameter
Beschreibung
Default gateway
Angabe der Gateway-Adresse passend zum Netzwerksegment (IP und
Netzmaske wie sie unter IP addresses 120 eingegeben wurden). An
dieses Gateway werden alle Datenpakete weitergeleitet, welche an
Zieladressen ausserhalb des lokalen Netzwerksegments gesendet
werden sollen.
Static routes
(optional)
Sollten Verbindungen zu Netzen hergestellt werden müssen, welche nicht
über das default gateway erreichbar sind, so können an dieser Stelle die
entsprechenden Netze mit ihrem Subnetz jeweils unter "Destination" und
das jeweils dorthin führende "Gateway" angegeben werden. Diese
statischen IP-Routen haben Priorität vor der Verwendung des StandardRouters (default gateway).
Nach dem Speichern einer statischen Route wird jeweils ein weiteres
Eingabefeld eingeblendet.
Sektion DNS
Parameter
Beschreibung
Use built-in DNS
resolver
Bei diesem Parameter versucht das System die DNS-Namensauflösung
immer mit Hilfe der DNS-Root-Nameserver im Internet. Ist dieser
Parameter ausgewählt, so kann die Auflösung von DNS-Namen ggf. sehr
lange dauern und die Reaktion der SEPPmail Appliance dadurch
verzögert werden.
Use the following DNS DNS-Anfragen für Adressen, für welche die SEPPmail Appliance nicht
selbst zuständig ist, werden an übergeordnete DNS-Name-Server
servers
weitergeleitet. Dazu sollte SEPPmail Appliance die DNS-Anfrage zunächst
an einen internen DNS-Server im eigenen Netzwerk oder die DNS-Server
Ihres Internet Providers weitergeben, die Sie hier spezifizieren können.
Prefer IPv6 addresses
in replies
Durch diese Einstellung werden IPv6 Antworten des DNS-Servers
bevorzugt verwendet.
© 2016 SEPPmail AG
124
Primary
Eingabe des ersten DNS-Name-Server, an welchen die SEPPmail
Appliance DNS-Anfragen weiterleiten soll.
Alternate 1
Ist der primäre DNS-Name-Server nicht verfügbar oder antwortet nicht
wird die DNS-Anfrage an den hier eingetragenen, alternativen DNSName-Server weitergeleitet.
(optional)
(optional)
Sind weder der primäre noch der erste alternative DNS-Name-Server
verfügbar, so wird die DNS-Anfrage an den hier eingetragenen, zweiten
alternativen DNS-Name-Server weitergeleitet.
Search domain(s)
Geben Sie hier eine Suchliste mit Domänen Namen an, welche bei einer
DNS-Anfrage nacheinander abgefragt werden.
add local zone
(optional)
Lokale Zonen werden verwendet, wenn jeweils mehrere Forwarding- und/
oder SMTP-Server angesprochen werden sollen, für das Auflösen der
hierfür benötigten MX-Records jedoch kein lokaler DNS-Server zur
Verfügung steht.
Nach dem Speichern werden jeweils ein weitere Eingabefelder
eingeblendet.
Alternate 2
In den unten dargestellten Beispiel Eintragungen würde für die Domäne
pseudo.local vorrangig in mail1.pseudo.local mit der IP-Adresse
10.0.0.11 aufgelöst da dieser die Präferenz 10 aufweist. Sollte der Server
mail1.pseudo.local nicht erreichbar sein, wird der Eintrag mit der
Präferenz 20, also mail2.pseudo.local mit der IP-Adresse 10.0.0.12
verwendet.
Domain Pseudo Domänen Name, welcher intern in der SEPPmail
Appliance als MX-Record aufgelöst werden soll, zum Beispiel
name:
pseudo.local.
© 2016 SEPPmail AG
host:
Hostname, mx: Präferenz, ip:
zum
zum
Beispiel
Beispiel
mail1
10
IP-Adresse des ersten EMail Servers, zum
Beispiel 10.0.0.11
host:
Hostname, mx: Präferenz, ip:
zum
zum
Beispiel
Beispiel
mail2
10
IP-Adresse des zweiten EMail Servers, zum
Beispiel 10.0.0.12
125
Sektion GUI protocol
Definiert die Einstellungen für den Zugriff auf die Administrationsoberfläche.
Parameter
Beschreibung
HTTP port
Aktivieren Sie diesen Parameter, um den unverschlüsselten Zugriff via
HTTP Protokoll auf die Konfigurationsoberfläche zu ermöglichen. Geben
Sie dazu einen entsprechenden TCP/Port (im Standard 8080) an.
Um Sicherheitsrisiken zu minimieren ist diese Option im Standard
deaktiviert.
HTTPS port
Aktiviert den verschlüsselten Zugriff via HTTPS Protokoll auf die
Konfigurationsoberfläche zu ermöglichen. Geben Sie dazu einen
entsprechenden TCP/Port (im Standard 8443) an.
Dies ist der Standard Zugriff auf die SEPPmail Appliance
Konfigurationsoberfläche.
Admin GUI session
timeout:
Zeit in Sekunden bis zum automatischen Logout aus der
Konfigurationsoberfläche bei Inaktivität.
Bind to IP addresses (use
space to separate multiple
IPv4 or IPv6 addresses)
Durch Angabe der IP Adresse eines bestimmten Netzwerk Interfaces
(siehe IP addresses 120 Interface <n>) kann der Zugriff auf die
Administrationsoberfläche auf diese(s) Netzwerk Interface(s) beschränkt
werden.
Die Eingabe mehrerer Adressen ist durch Trennung mittels Leerzeichen
möglich.
Wird zusätzlich der SMTP-Verkehr auf ein anderes Interface gebunden
(siehe Mail System 137 SMTP settings 141 SMTP bind address), so
kann eine saubere Trennung zwischen Administrations- und
Datenverkehr erfolgen.
(neu in 7.4.2)
© 2016 SEPPmail AG
126
Sektion GINA-https protocol
Definiert die Einstellungen für den Zugriff auf das GINA-Webinterface.
Hinweis:
Unabhängig von den in den folgenden Optionen eingestellten Ports, wird der im htmlAnhang einer GINA-Mail enthaltene Link immer auf den Standard HTTPS Port 443
verweisen.
Nur so kann gewährleistet werden, dass die Verbindung zwischen GINA-Empfänger
und dem GINA-Webinterface nicht von einer Firewall blockiert wird.
Die Einstellbarkeit der Ports soll ausschliesslich dem Ermöglichen eines internen
Portforwardings dienen.
Parameter
Beschreibung
HTTP port
Aktivieren Sie diesen Parameter, um den unverschlüsselten Zugriff via
HTTP Protokoll auf die Web-Mail Schnittstelle der SEPPmail Appliance zu
ermöglichen. Geben Sie dazu einen entsprechenden TCP/Port (im
Standard 80) an.
Achtung:
Das HTTP-Protokoll sollte nicht für einen Zugriff auf die
Web-Mail Schnittstelle aus dem Internet oder aus einem
anderen unsicheren Netzwerk verwendet werden.
Hierdurch würde das Protokollieren von Webbrowser
Verbindungen zur Web-Mail Schnittstelle der SEPPmail
Appliance durch unbefugte Dritte ermöglicht.
Diese Einstellung wird in der Regel nur dann benötigt,
wenn bereits eine vorgeschaltete Komponente den SSL
Tunnel zum GINA-Webinterface terminiert.
HTTPS port
Aktivieren Sie diesen Parameter, um den verschlüsselten Zugriff via
HTTPS Protokoll auf die Web-Mail Schnittstelle der SEPPmail Appliance
zu ermöglichen.
Sollte die SEPPmail Appliance HTTPS Anfragen nicht direkt aus dem
Internet entgegennehmen, so kann der Port angepasst werden, um zum
Beispiel ein Portforwarding einer vorgeschalteteten
Sicherheitskomponente zu nutzen.
Aktivieren Sie diesen Parameter, um den Zugang zum Web-Mail
Enable local https proxy,
redirect unknown requests Subsystem (GINA-Webinterface) nicht mehr direkt sondern über den
lokalen SEPPmail Appliance Reverse-Proxy zu aktivieren. Alle nicht für
to
(optional)
© 2016 SEPPmail AG
das Web-Mail bestimmten Anfragen werden dadurch an die eingetragene
URL weitergeleitet. Hierdurch kann zum Beispiel der Zugang zu einem
internen OWA-Server (Outlook Web Access) gewährleistet werden.
Ebenfalls können ActiveSync Verbindungen zum internen Microsoft
Exchange Server durch den Reverse-Proxy weitergeleitet werden.
127
Sektion Key server
Durch Aktivieren der Option Enable S/MIME and PGP key server on port 1389 (LDAP) and 1636
(LDAPS) wird die key server Funktion der SEPPmail Appliance aktiviert.
Hierdurch werden die öffentlichen Schlüssel - sowohl S/MIME als auch OpenPGP - der SEPPmail
Appliance User für andere Systeme per LDAP via Port 1389, beziehungsweise LDAPS via Port 1636
zugänglich gemacht. Für die gesicherte Kommunikation via LDAPS wird ebenfalls das im Menü SSL
207 zu findende Zertifikat verwendet.
Für die Abfrage ist kein "Base DN" erforderlich, wenngleich "dc=keyserver" funktioniert.
Sektion Console login (optional)
Definiert die Einstellungen für den Zugriff auf die Console der Appliance.
Parameter
Beschreibung
Disable console root
login
Dieser Parameter deaktiviert den Konsolenzugang (CLI) der SEPPmail
Appliance.
Hinweis:
Bitte beachten Sie beim Aktivieren dieses Parameters,
dass in diesem Fall ein gewollter Zugang zum System im
Fehlerfall ebenfalls nicht mehr möglich ist.
Sektion Syslog settings (optional)
Ermöglicht die Weiterleitung von Log-Einträgen an einen Syslog-Server. Mehrere Server können
jeweils durch (neu in 7.4.3) Semicolon ";" getrennt eingetragen werden. Im Standard wird der Port
UDP/514 für das Übertragen der Meldungen verwendet.
Bei Bedarf können Protokoll sowie Ziel-Port optional in der Form [protocol]host[:port] mit angegeben
werden, zum Beispiel tcp://192.168.10.60:1514.
Parameter
Beschreibung
Forward maillog and
authlog to this syslog
server
Hostname oder IP-Adresse des Syslog-Servers im LAN an welchen die
SEPPmail Appliance die Mail- und Authentifizierungs- Log-Protokolle
zusätzlich senden soll.
Forward GUI audit log to
this syslog server
Hostname oder IP-Adresse eines Syslog-Servers im LAN an welchen die
SEPPmail Appliance die Log-Protokolle der Aktionen aus der AdminGUI
zusätzlich senden soll.
© 2016 SEPPmail AG
128
Sektion Log cleanup (optional)
Parameter
Beschreibung
Automatically delete
log archives older
than ? days
Löscht automatisch Log-Archive-Dateien 247 , welche älter als die
eingestellte Anzahl von Tagen sind. Minimum sind 30 Tage, Maximum
3640 Tage (10 Jahre)
Durch das automatische löschen der Log-Archive kann ein "Vollaufen" der
Log-Partition vermieden werden.
Hinweis:
In mandantenfahigen Systemen ist zu beachten, dass
diese Logs somit auch nicht mehr für den Mandanten
Admin auf der Appliance zur Verfügung stehen.
© 2016 SEPPmail AG
129
Sektion Proxy settings (optional)
Hier müssen nur dann entsprechende Einstellungen vorgenommen werden, wenn ein direkter Zugriff
der Appliance per SSH (TCP Port 22) in das Internet nicht möglich ist.
Hinweis:
Die hier vorgenommenen Einstellungen werden gegebenenfalls auch für den Bezug
von Signaturen-Dateien des Protection Packs verwendet.
Parameter
Beschreibung
Proxy server
Hostname oder IP-Adresse des Proxy-Servers, über welchen die SSH
Kommunikation geleitet werden soll.
Proxy port
Ziel Port des Proxy-Servers, zum Beispiel 8080 oder 8081
Proxy user
(optional)
Benutzername für die Anmeldung am Proxy-Server sofern diese
notwendig ist.
Proxy password
(optional)
Kennwort für die Anmeldung am Proxy-Server
Use direct connection Diese Option muss aktiviert werden, wenn eine SSH-Verbindung direkt
und ohne Umweg über einen Proxy-Server ins Internet möglich ist.
on port 22 outgoing
(preferred)
Connect through
SOCKS 4 proxy
Diese Option muss aktiviert werden, um SSH-Verbindungen durch einen
generischen SOCKS-Proxy zu tunneln. Diese Option kann verwendet
werden, wenn der direkte Zugang via SSH ins Internet reglementiert ist,
die Verbindung jedoch über einen SOCKS-Proxy (Version 4) ins Internet
möglich ist.
Connect through
SOCKS 5 proxy
werden, wenn der direkte Zugang via SSH ins Internet reglementiert ist,
die Verbindung jedoch über einen SOCKS-Proxy (Version 5) ins Internet
möglich ist.
Connect through
HTTP proxy
HTTP-Proxy zu tunneln. Diese Option kann verwendet werden, wenn der
direkte Zugang via SSH ins Internet reglementiert ist, die Verbindung
jedoch über einen HTTP-Proxy ins Internet möglich ist.
Connect through
Telnet proxy
Telnet-Proxy zu tunneln. Diese Option kann verwendet werden, wenn der
direkte Zugang via SSH ins Internet reglementiert ist, die Verbindung
jedoch über einen Telnet-Proxy ins Internet möglich ist.
Use port 80 instead of Diese Option muss aktiviert werden, wenn eine HTTP-Verbindung direkt
ins Internet möglich ist. Die SSH-Verbindung verwendet dann den Port
22
TCP 80 (HTTP) statt TCP 22 (SSH).
© 2016 SEPPmail AG
130
Sektion MPKI proxy settings (optional)
(neu in 7.4.6)
Hier müssen nur dann entsprechende Einstellungen vorgenommen werden, wenn ein direkter Zugriff
der jeweiligen MPKI Schnittstelle (siehe External CA 218 ) auf die ausstellende Certification
Authorothy (CA) nicht möglich ist.
Parameter
Beschreibung
MPKI proxy server
Hostname oder IP-Adresse des Proxy-Servers, über welchen die
Kommunikation zur CA via HTTPS Port 443 aufgebaut werden soll.
MPKI proxy port
MPKI proxy user
(optional)
notwendig ist.
MPKI proxy password Kennwort für die Anmeldung am Proxy-Server
(optional)
Use direct connection Diese Option muss aktiviert werden, wenn die Verbindung zur CA direkt
und ohne Umweg via HTTPS Port 443 über einen Proxy-Server ins
(preferred)
Internet möglich ist.
Connect through
SOCKS 4 proxy
Diese Option muss aktiviert werden, um Verbindungen zur CA durch einen
werden, wenn der direkte Zugang ins Internet reglementiert ist, die
Verbindung jedoch über einen SOCKS-Proxy (Version 4) ins Internet
möglich ist.
Connect through
SOCKS 5 proxy
werden, wenn der direkte Zugang ins Internet reglementiert ist, die
Verbindung jedoch über einen SOCKS-Proxy (Version 5) ins Internet
möglich ist.
Connect through
HTTP proxy
HTTP-Proxy zu tunneln. Diese Option kann verwendet werden, wenn der
direkte Zugang ins Internet reglementiert ist, die Verbindung jedoch über
einen HTTP-Proxy ins Internet möglich ist.
© 2016 SEPPmail AG
131
Sektion OCSP / CRL check settings (optional)
Über diese Sektion kann das Prüfen der Zertifikatsgültigkeit über Sperrlisten ("certificate revocation
list" kurz "CRL") und / oder das Online Certificate Status Protocol (OCSP) aktiviert werden. Für den
Abruf dieser Informationen wird jeweils Zugriff zur ausstellenden Certification Authorothy (CA)
benötigt. Hat die Appliance keine direkten Zugriff auf das Internet, so kann an dieser Stelle zusätzlich
die Verbindung über einen Proxy-Server konfiguriert werden.
Parameter
Beschreibung
Enable OCSP / CRL
checks for S/MIME
certificates.
Diese Option muss aktiviert werden, sofern eine OCSP / CRL Prüfung
erwünscht ist.
Proxy server
Hostname oder IP-Adresse des Proxy-Servers, über welchen die HTTP /
HTTPS Kommunikation zur CA hin hergestellt werden soll.
Proxy port
Proxy user
(optional)
notwendig ist.
Proxy password
(optional)
Kennwort für die Anmeldung am Proxy-Server
Use direct
connection
Diese Option muss aktiviert werden, wenn eine HTTP- / HTTPSVerbindung direkt und ohne Umweg über einen Proxy-Server ins Internet
möglich ist.
Connect through
SOCKS 4 proxy
Diese Option muss aktiviert werden, um HTTP- / HTTPS-Verbindungen
durch einen generischen SOCKS-Proxy zu tunneln. Diese Option kann
verwendet werden, wenn der direkte Zugang via HTTP / HTTPS ins
Internet reglementiert ist, die Verbindung jedoch über einen SOCKS-Proxy
(Version 4) ins Internet möglich ist.
Connect through
SOCKS 5 proxy
durch einen generischen SOCKS-Proxy zu tunneln. Diese Option kann
verwendet werden, wenn der direkte Zugang via HTTP / HTTPS ins
Internet reglementiert ist, die Verbindung jedoch über einen SOCKS-Proxy
(Version 5) ins Internet möglich ist.
Connect through
HTTP proxy
durch einen HTTP-Proxy zu tunneln. Diese Option kann verwendet
werden, wenn der direkte Zugang via HTTP / HTTPS ins Internet
reglementiert ist, die Verbindung jedoch über einen HTTP-Proxy ins
Internet möglich ist.
Achtung:
Zertifikate werden nur dann nicht verwendet, wenn diese per OCSP oder CRL geprüft
werden konnten und revoziert wurden ist.
Kann ein Zertifikat nicht per OCSP oder CRL geprüft werden, so wird es dennoch
verwendet.
© 2016 SEPPmail AG
132
Sektion Time zone
Parameter
Beschreibung
Auswahl der Zeitzone Auswahl der für den Standort der SEPPmail Appliance gültigen Zeitzone.
Der Wechsel zwischen Sommer- und Winterzeit wird automatisch
durchgeführt.
Sektion Time and date
Parameter
Beschreibung
No time sync
Mit dieser Einstellung wird ausschliesslich die interne Systemzeit
verwendet. Diese kann über Set date and time manually entsprechend
eingestellt werden. Ein automatische Abgleich mit anderen Systemen findet
nicht statt!
Automatically
synchronize with an
NTP server
Bei dieser Option werden Datum und Uhrzeit gegen den unter "Server"
angegebenen Zeitserver über das Protokoll NTP, Zielport UCP 123,
synchronisiert.
Hinweis:
Diese Option ist für die Einrichtung eines Clusters auf allen
Cluster Membern zwingend erforderlich.
Die ausgewählte Zeitzone (siehe Sektion "Time Zone")
spielt für die Synchronisation im Cluster keine Rolle.
Server
Hostname oder IP-Adresse eines Zeitservers. Mehrere Server können
jeweils durch Leerzeichen getrennt eingetragen werden.
Wird ein Ziel im Internet angegeben, so ist der Zugang dorthin zu
gewährleisten (siehe Firewall / Router einrichten 65 ).
Gegebenenfalls ist die Angabe eines Hostnamens, der in mehrere
Zeitserver aufgelöst wird (pool), für das Gewährleisten der Verfügbarkeit
von Vorteil.
Periodic updates
Das Aktivieren der Option Periodically adjust the clock to avoid drift in
virtual machines hat ein periodisches Nachstellen der Uhrzeit mit dem
angegebenen Host zur Folge.
(neu in 7.4.6)
Hinweis:
Insbesondere bei Hyper-V Guest Systemen ist vereinzelt
ein permanenter Clock-Drift von mehreren Sekunden pro
Minute festzustellen, selbst wenn das Host-Systems nicht
unter Last steht. Wird die Abweichung zu hoch, so stellt
NTP die korrektur der Systemzeit ein., da NTP zu hohe
Abweichungen seiner eingangs eingestellten Zeit als
Fehlerfall ansieht.
Set date and time
manually
Steht kein NTP-Zugang zur Verfügung, so kann an dieser Stelle das
aktuelle Datum und die aktuelle Uhrzeit manuell eingeben werden.
Date
aktuelles Datum im Format: dd.mm.yyyy
Time
aktuelle Uhrzeit im Format: hh:mm:ss
© 2016 SEPPmail AG
133
Sektion SNMP daemon (optional)
Wird weder bei snmp v1/2 Read-only Community noch bei snmp v1/2 Read-write Community eine
Eingabe gemacht, so wird SNMP v1/2 deaktiviert.
Für die SNMP v3 Verschlüsselung wird AES für die Authentifikation, SHA als Algorithmus verwendet.
Parameter
Beschreibung
Enable SNMP
Aktivieren des SNMP Deamon auf der SEPPmail Appliance. Nach
Aktivierung des SNMP Protokols können Sie mit SNMP-Tools wie zum
Beispiel snmpwalk Informationen Ihrer SEPPmail Appliance abrufen.
Listen address
IP-Adresse - IPv4 oder IPv6 - zu der sich das SNMP-Monitoring verbindet.
Dies ist in der Regel die IP-Adresse der SEPPmail Appliance. Die Eingabe
mehrerer Adressen ist nicht möglich.
snmp v1/2 read-only
community
Passwort für den Nur-Lese Zugriff auf die SNMP-Daten.
snmp v1/2 read-write
community
Passwort für den Schreib-Lese Zugriff auf die SNMP-Daten.
snmp v3 user
Benutzername für den SNMP v3 Zugriff
snmp v3 password
Passwort für den SNMP v3 Zugriff. Dieses muss mindestens acht Zeichen
lang sein.
Download MIBs
Über diesen Link können Sie Management Information Bases (MIB) der
SEPPmail Appliance als ZIP-Datei herunterladen.
Sektion NRPE daemon (optional)
(neu in 7.4.6)
In dieser Sektion wird die Konfiguration des NRPE (Nagios Remote Plugin Executor) zur
Überwachung der SEPPmail Appliance via Nagios vorgenommen.
Parameter
Beschreibung
Enable Nagios
Remote Plugin
Executor
Aktivieren des Nagios Daemon auf der SEPPmail Appliance.
Listen address
Eingabe der IP-Adresse - IPv4 oder IPv6 - zu der sich der NRPE Client
verbinden soll. Die Eingabe mehrerer Adressen ist nicht möglich. Wird
keine Eingabe vorgenomen, so horcht der Daemon auf allen vorhandenen
Interfaces (siehe IP addresses 120 ).
(entspricht dem Parameter "server_address=" in der NRPE
Konfigurationsdatei "nrpe.cfg")
Listen port
(above 1024)
Port auf welchem die SEPPmail Appliance NRPE Anfragen erwartet. Im
Standard lautet dieser 5666. Wird ein anderer als der Standard Port
verwendet, so ist darauf zu achten, dass dieser nicht durch einen anderen
Dienst verwendet wird und höher als 1024 ist.
Sollte irrtümlich ein bereits besetzter Port verwendet werden, würde
Watchdog gegebenenfalls melden, dass der Dienst nicht läuft.
© 2016 SEPPmail AG
134
(entspricht dem Parameter "server_port=" in der NRPE Konfigurationsdatei
"nrpe.cfg")
Allowed
hosts/networks
Eingabe der zur Abfrage berechtigten IP Adressen beziehungsweise
Subnetze. Die Eingabe erfolgt in der Form 192.168.0.0/24 beziehungsweise
2a00::/112. Mehrere Einträge können jeweils Komma getrennt
vorgenommen werden. Wird keine Eingabe vorgenommen, so werden
Anfragen von jeder beliebigen Adresse angenommen.
(entspricht dem Parameter "allowed_hosts=" in der NRPE
Advanced settings
Mit Aktivieren der Option Allow remote command arguments nimmt die
SEPPmail Appliance auch die mit den Anfragen des NRPE Clients
übergebenen Argumente an.
(entspricht dem Parameter "dont_blame_nrpe=1" in der NRPE
Achtung:
Das Aktivieren dieser Option kann zu Sicherheitsrisiken
führen, wie
nichtautorisiertes Auslesen von pubizierten Werten
Auslesen von eigentlich privaten Werten, die durch
eine schwache Sicherheitslücke in der
Kommandoausführung möglich werden
Ausführen von Drittprogrammen, die durch eine
schwere Sicherheitslücke in der
Kommandoausführung möglich werden
Folgende Nagios PlugIns sind in der SEPPmail Appliance für das Verwenden mit variablen
Parametern integriert. Voraussetzung ist die aktivierte Option Allow remote command arguments.
Die jeweils zum Befehl aufgeführten Parameter sind zwingend zu übergeben.
Command
Parameter
Beschreibung
check_disk
-w $ARG1$
Schwellwert (in %) für freien Plattenspeicher, bei dessen
Unterschreiten die Meldung "warning" ausgegeben wird (zum
Beispiel "20%").
-c $ARG2$
Schwellwert (in %) für freien Plattenspeicher, bei dessen
Unterschreiten die Meldung "critical" ausgegeben wird (zum
Beispiel "10%").
-p $ARG3$
Pfad des zu überprüfenden Dateisystems (zum Beispiel "/var/log").
-w $ARG1$
Schwellwert (in %) für freien Auslagerungsspeicher (swap), bei
dessen Unterschreiten die Meldung "warning" ausgegeben wird
(zum Beispiel "60%").
-c $ARG2$
Schwellwert (in %) für freien Auslagerungsspeicher (swap), bei
dessen Unterschreiten die Meldung "critical" ausgegeben wird
(zum Beispiel "40%").
-w $ARG1$
Schwellwert für die Anzahl von E-Mails in der Warteschlange
(queue), bei dessen Überschreiten die Meldung "warning"
ausgegeben wird (zum Beispiel "1000").
-c $ARG2$
Schwellwert für die Anzahl von E-Mails in der Warteschlange
(queue), bei dessen Überschreiten die Meldung "critical"
check_swap
check_mailq
© 2016 SEPPmail AG
135
ausgegeben wird (zum Beispiel "1500").
check_load
check_procs
check_tcp
check_telnet
-w $ARG1$
Schwellwerte für die Systemauslastung [avg15,avg5,avg1], bei
dessen bei dessen Überschreiten die Meldung "warning"
ausgegeben wird (zum Beispiel "20,20,15").
-c $ARG2$
Schwellwerte für die Systemauslastung [avg15,avg5,avg1], bei
dessen bei dessen Überschreiten die Meldung "warning"
ausgegeben wird (zum Beispiel "35,25,20").
-w $ARG1$
Schwellwert für die Anzahl von Prozessen, bei dessen
Überschreiten die Meldung "warning" ausgegeben wird (zum
Beispiel "5").
-c $ARG2$
Schwellwert für die Anzahl von Prozessen, bei dessen
Überschreiten die Meldung "critical" ausgegeben wird (zum
Beispiel "10").
-s $ARG3$
Angabe der Prozesse, welche überwacht werden sollen (zum
Beispiel "Z" für Zombie Prozesse).
-H $ARG1$
Angabe der IP-Adresse, zu welcher die TCP Verbindung geprüft
werden soll (zum Beispiel "localhost").
-p $ARG2$
Angabe des Ports, welcher geprüft werden soll (zum Beispiel "25").
-H $ARG1$
Angabe der IP-Adresse, zu welcher die Telnet Verbindung geprüft
werden soll (zum Beispiel "localhost").
-P $ARG2$
Angabe des Ports, welcher geprüft werden soll (zum Beispiel "25").
-M $ARG3$
Angabe des Banner Strings (siehe auch ), welcher geprüft werden
soll (zum Beispiel "ESMTP").
Tabelle: "PlugIns mit variablen Parametern"
Die weiterhin integrierten PlugIns können auch bei deaktivierter Option Allow remote command
arguments verwendet werden. Sie sind ausschliesslich ohne Angabe von Parametern zu verwenden.
Command
Vorgabe
Parameter
check_disk_tmp_static
-w 10%
Beschreibung
-c 5%
-p /tmp
check_disk_db_static
check_disk_log_static
-w 25%
-c 10%
Vergleiche Tabelle
-p /var/ldap.ENCRYPTED
Command
check_disk
-w 25%
PlugIns mit variablen Parametern
-c 10%
-p /var/log
check_disk_mq_static
-w 40%
-c 10%
© 2016 SEPPmail AG
136
-p /var/mailqueue
check_mailq_static
check_telnet_static
check_zombie_procs_static
check_load_static
-w 100
Vergleiche Tabelle
-c 250
-M postfix
Command
check_mailq
-H localhost
Vergleiche Tabelle
-P 25
-M ESMTP
Command
check_telnet
-w 5
Vergleiche Tabelle
-c 10
-s Z
Command
check_procs
-w 15,10,5
Vergleiche Tabelle
-c 30,25,20
Command
check_load
Tabelle: "PlugIns mit statischen Parametern"
Sektion VMware tools (optional)
Parameter
Beschreibung
Enable VMware tools
(restart to activate
setting)
Im Standard wird ein OS-Kernel mit aktivierten VMware Tools verwendet.
Da diese Tools in einigen wenigen Konstellationen mit ESX, sowie mit
einigen Backup Tools, welche "quiescing" verwenden, zu Problemen führen
können, besteht die Möglichkeit diese zu deaktivieren.
Eine hier vorgenommene Änderung wird erst nach einem Neustart der
SEPPmail Appliance aktiv.
Die vorgenommenen Änderungen werden über die Schaltfläche Save gespeichert.
© 2016 SEPPmail AG
137
7.6
Mail System
Im Menüpunkt Mail System 137 werden grundlegende Einstellungen des SEPPmail Appliance E-Mail
Systems vorgenommen.
Sektion Managed domains
Definiert die E-Mail Domänen welche verwaltet werden sollen.
(neu in 7.4.6)
Über den Filter... steht eine Suchfunktion innerhalb der Spalte Domain name der folgenden Tabelle
bereit.
Spalte
Beschreibung
Domain name
Liste aller auf der SEPPmail Appliance angelegten E-Mail Domänen. Für
diese Domänen werden E-Mails angenommen und entsprechend verarbeitet.
Server IP address
Zeigt die IP-Adresse, den Hostnamen oder den MX-Eintrag des internen
Groupware Systems sowie den Port an, an welches eingehende E-Mails für
den jeweils oben genannten Domain name weitergeleitet werden.
TLS level
Zeigt an, welche Art der TLS-Transportverschlüsselung zum GroupwareServer (Server IP address) verwendet wird.
Smarthost
Zeigt den Smarthost an, an welchen E-Mails der jeweiligen managed domain
in das Internet gesendet werden sollen (Sender Based Routing).
(neu in 7.4.2)
GINA settings
Zeigt das GINA-Profil an, welches für jeweilige E-Mail Domäne festgelegt
wurde (siehe auch Edit GINA settings 186 ).
Disclaimer settings Zeigt an, welcher disclaimer an ausgehende E-Mails der jeweiligen E-Mail
(optional)
Domäne angefügt werden soll (siehe auch Mail Processing 160 Edit
disclaimer 165 ).
Customer
(optional)
Name des Kunden, dem diese E-Mail Domäne zugeordnet wurde (siehe
auch Customers 274 ).
Über die Schaltfläche Add domain... werden weitere E-Mail Domänen hinzugefügt. Diese E-Mail
Domänen müssen passend sein, zu den E-Mail Adressen Ihres Unternehmens. Weitere Informationen
zur Verwaltung von E-Mail Domänen sind im Kapitel Add/Edit managed domain 147 zu finden.
Parameter
Beschreibung
Automatically
create and publish
S/MIME domain
keys for all
domains
Dieser Parameter bewirkt, dass für alle über die Schaltfläche Add domain...
neu hinzugefügten E-Mail Domänen automatisch ein selbst signiertes X.509
S/MIME Domänen Zertifikat erzeugt und an einen zentralen Updateservice
übertragen wird. Dieses neu erzeugte S/MIME Domänen Zertifikat (also
ausschliesslich der öffentliche Schlüssel !!!) für Ihre E-Mail Domänen wird
danach automatisch an alle SEPPmail Appliances verteilt, so dass alle
Unternehmen, welche eine SEPPmail Appliance betreiben ohne weiteren
Aufwand E-Mails ausschliesslich verschlüsselt untereinander austauschen.
Dieser Service ist bereits in der Basis-Lizenz enthalten und erfordert keine
zusätzlichen Encryption-Lizenzen.
© 2016 SEPPmail AG
138
Parameter
Beschreibung
Hinweis:
Die Genehmigung der Veröffentlichung des S/MIMEDomainzertifikats muss bei SEPPmail nach Erstellung der
managed domain nochmals explizit angefordert/erteilt
werden.
Soll grundsätzlich nicht am Managed Domain Service
teilgenommen werden, so ist diese Option zu deaktivieren
bevor die erste E-Mail Domäne angelegt wird. Das S/MIMEDomain-Zertifikat wird dann nicht automatisch erzeugt.
Ebenso ist für diesen Fall die Option "Auto-update SMIME
domain certificates" (siehe Domain Certificates 271
Managed domain certificates 272 ) zu deaktivieren.
Fetch e-mail from
remote POP3
server
Dieser Parameter bewirkt, dass das im jeweiligen Benutzerkonto
eingerichtete POP3-Konto (siehe Users 251 User details 252 Remote
POP3 255 ) durch die SEPPmail Appliance jeweils in einem Zeitintervall von
drei Minuten abgeholt wird. Die so abgeholten E-Mails werden im Anschluss
durch die SEPPmail Appliance verarbeitet und an den entsprechenden
Forwarding server (siehe Tabelle unter Mail System 137 Managed
domains 137 Spalte "Server IP address") weitergeleitet.
Verify recipient
addresses using
SMTP-lookups
Dieser Parameter bewirkt, dass die E-Mail Adresse des Empfängers vorab
bei dem für die E-Mail Domäne eingerichteten E-Mail Server an den die EMails weitergeleitet werden überprüft wird. Verläuft die Prüfung der
Empfänger E-Mail Adresse nicht erfolgreich, wird die Annahme der E-Mail
von der SEPPmail Appliance verweigert.
Hinweis:
Damit diese Einstellung problemlos funktioniert, ist darauf zu
achten, dass der als Forwarding server (siehe Tabelle unter
Mail System 137 Managed domains 137 Spalte "Server
IP address") angezeigte Server keinen Spam Schutz
aktiviert hat und nur E-Mails derjenigen Adressen annimmt,
welche tatsächlich existent sind.
Daher ist insbesondere dann mit Problemen bei Aktivieren
dieser Einstellung zu rechnen, wenn der nachgelagerte
(Forwarding-)Server nicht der E-Mail Server sondern ein
weiteres, zwischengeschaltetes E-Mail Relay ist.
Im Detail wird durch diesen Parameter im Postfix bei
smtpd_recipient_restrictions die Option
reject_unverified_recipient gesetzt. Das heisst, für das
Prüfen wird versucht eine Nachricht zu senden und nicht
etwa Befehle wie "SMTP VRFY" verwendet.
(new in 7.4.2)
Extended postfix MTA settings... öffnet das Folgemenü Extended postfix MTA settings 155 ,
über welches bei Bedarf die Postfix Parameter und somit der SMTP Mailfluss beeinflusst werden
können.
Achtung:
In der Regel sind Änderungen an den Extended postfix MTA settings nicht
notwendig!
© 2016 SEPPmail AG
139
Sektion Outgoing server
Definiert die Art der Weiterleitung ausgehender E-Mails.
Hinweis:
Das hier eingestellte ausgehende Routing wird gegebenenfalls durch die TLS
Einstellungen übersteuert (siehe nächste Sektion TLS settings 140 )!
Parameter
Beschreibung
Use built-in e-mail
transport agent
Dieser Parameter bewirkt, dass ausgehende E-Mails in Richtung Internet
direkt durch die SEPPmail Appliance an den Ziel E-Mail Server des E-Mail
Empfängers zugestellt wird. Die Appliance muss für diese Einstellung direkt
aus dem Internet per MX-Record erreichbar sein.
Hinweis:
Bei Verwenden dieser Einstellung wird dringend empfohlen
das optionale Protection Pack (VSPP) zu lizensieren und
aktivieren, sofern für den eingehenden E-Mail Verkehr nicht
etwa ein externer AntiSpam-Dienst vorgeschaltet ist.
Andernfalls ist mit erheblichen Beeinträchtigungen, bis hin
zum Erliegen des Mailflusses durch SPAM-Attacken zu
rechnen.
Use the following
SMTP server
Server name
Möchten Sie ausgehende E-Mails in Richtung Internet nicht direkt zustellen
empfiehlt sich das Verwenden eines E-Mail Relay-Servers (smart host). Alle
ausgehenden E-Mails werden an diesen E-Mail Relay-Server übertragen,
welcher dann Ihre E-Mails in Richtung Empfänger weiter leitet. Der E-Mail
Relay-Server kann ein Interner Server aber auch ein Server bei Ihrem E-Mail
Provider sein.
Als Eingabe wird folgendes aktzeptiert:
IP-Adresse
Hostname
MX-Name
einzelne IP-Adresse (in eckige Klammern [ ] zu setzen).
wird ein Hostname verwendet, so ist dieser in eckige
Klammern [ ] zu setzen. Namen ohne Klammern werden
als MX-Eintrag behandelt!
MX-lookup wird ausgeführt (siehe gegebenenfalls auch
System 119 DNS 123 add local zone)
Optional ist bei Angabe einer IP-Adresse oder eines Hostnamens zusätzlich
die Angabe eines individuellen Ports möglich. Dieser wird direkt im Anschluss
mit einem Doppelpunkt ":" getrennt angegeben, also "[IP-Adresse]:Port" oder
"[Hostname]:Port".
Wird kein Port angegeben, so wird der Standard SMTP Port TCP25
verwendet.
Server requires
authentication
E-Mail Relay-Server bei einem Provider benötigen vor dem Übertragen von EMails meist eine Anmeldung. Verwenden Sie hierzu die entsprechenden
Anmeldedaten.
User ID
Geben Sie hier bitte den Benutzernamen zur Anmeldung ein.
Password
Geben Sie hier bitte das Kennwort zur Anmeldung ein.
© 2016 SEPPmail AG
140
Sektion TLS settings (optional)
An dieser Stelle werden TLS-Verbindungen nach aussen - also in Richtung Internet - aufgelistet
beziehungsweise eingerichtet.
Wurde in der Sektion Outgoing server 139 die Option Use the following SMTP server gewählt, so
kann hier zu dem oder den unter Server name eingetragenen Server(n) TLS-Verschlüsselung fest
definiert werden.
Wurde die Option Use built-in e-mail transport agent gewählt, so kann hier bei Bedarf zu
bestimmten E-Mail Servern im Internet die Art der TLS Verschlüsselung fest definiert werden.
Hinweis:
Wird hier keine Konfiguration vorgenommen, so gilt die Einstellung "may", das heisst
die SEPPmail Appliance wird zu allen Kommunikationspartnern eine TLSverschlüsselte Verbindung aufbauen, sofenr die Gegenstelle dies unterstützt.
Für die TLS Verschlüsselung wird das unter SSL 207 eingebundene Zertifikat
verwendet.
Parameter
Beschreibung
Domain name
Liste aller auf der SEPPmail Appliance angelegten E-Mail Domänen, für
welche eine TLS-Verbindung konfiguriert wurde auf.
(neu in 7.4.2)
Hinweis:
Ist hier ein Punkt "." eingetragen und - dann zwingend - eine
Server IP address, so werden alle über das "Sender Based
Routing" (siehe Add/Edit managed domain Settings 147
Send ALL outgoing mails from this domain to the
following SMTP server (optional)) an diese IP Adresse
gerouteten E-Mails mit dem eingestellten TLS level dorthin
verschlüsselt.
Server IP address
Zeigt die IP-Adresse, den Hostnamen oder den MX-Eintrag für den jeweils
oben genannten Domain name an.
Hinweis:
Das heisst alle E-Mails an die unter Domain name genannte
E-Mail Domäne werden direkt an diese Adresse geroutet!
Ausnahme bildet der Punkt "." unter Domain name, durch
welchen das Routing an dieser Stelle nicht beeinflusst wird.
Server port
Zeigt den Port an, welcher für die TLS-verschlüsselte Verbindung zur oben
genannten Server IP address verwendet wird. Im Standard ist das 25.
TLS level
Zeigt an, welche Art der TLS-Transportverschlüsselung von der SEPPmail
Appliance zum angegebenen E-Mail Server für die jeweilige E-Mail Domäne
verwendet wird.
Fingerprint
Wurde als TLS level Fingerprint gewählt, so werden hier die eingetragenen
Fingerprints der Zertifikate angezeigt..
Um bestehende TLS-Verbindungen zu verwalten ist auf den jeweiligen "Domain Name" zu klicken.
Neue TLS-Verbindungen werden über die Schaltfläche Add TLS domain... eingerichtet.
Weitere Informationen zur Verwaltung von TLS E-Mail Domänen stehen im Kapitel Add TLS domain
156 zur Verfügung.
© 2016 SEPPmail AG
141
Sektion SMTP settings
Definiert spezifische Einstellungen für das SMTP-Protokoll.
Parameter
Beschreibung
max. message size
(KiB)
In diesem Feld wird die maximale Grösse einer E-Mail in Kibibyte definiert, die
durch die SEPPmail Appliance übertragen werden darf. E-Mails, welche diese
Grösse überschreiten werden abgelehnt. Wird hier eine Beschränkung
festgelegt, so ist darauf zu achten, wie diese gegebenenfalls mit dem
Groupware-Server beziehungsweise des optional zum Internet hin
vorgeschalteten Systems zusammenpasst. Sollte die SEPPmail Appliance
über den MX-Record im Internet direkt angesprochen werden ist der Eintrag
eines Limits zwingend. Dieses darf die angezeigte Grosse (siehe Note:
cannot exceed xxxxx KiB) nicht überschreiten.
(optional)
Achtung:
Wird ein Anhang via SMTP versendet, so kann dieser bei
base64 Kodierung auf 4/3 seiner ursprünglichen Grösse
anwachsen!
Weiterhin erfolgt die Angabe in Kibibyte (siehe auch http://de.
wikipedia.org/wiki/Byte)!
Postmaster address
Eingabe der E-Mail Adresse des lokalen Administrators der SEPPmail
Appliance. Alle von der SEPPmail Appliance erzeugten Statusmeldungen wie
zum Beispiel Watchdog Meldungen, aber auch die Daily Reports (siehe auch
Groups 258 admin 258 und statisticsadmin 259 ) werden an diese E-Mail
Adresse gesendet, sofern diese den Status "Important" haben, was bedeutet,
dass eine administrative Aktion auf der Appliance von Nöten ist.
Hinweis:
Die Postmaster address muss gesetzt werden um
Systembenachrichtigungen empfangen zu können.
Weiterhin wird diese Adresse als Absender für den Versand
von Backups und Systemmeldungen verwendet.
SMTP server banner
string
(optional)
SMTP server HELO
string
(optional)
Festlegen des Namens, mit welchem sich die SEPPmail Appliance beim
Aufbau einer SMTP-Verbindung von aussen meldet.
Bleibt der Eintrag leer, so wird der unter System 119 Name 123 eingegebene
Name verwendet.
Festlegen, mit welchen Namen sich die SEPPmail Appliance, beim Versand
von E-Mails beim gegenüberliegenden SMTP-Server melden Soll (HELO/
EHLO-Befehl).
Die Appliance wird sich im Normalfall mit dem unter System 119 Name 123
eingegebenen Namen melden. Handelt es sich hierbei zum Beispiel um einen
aus dem internet nicht erreichbaren Namen (zum Beispiel Domäne ".local") so
kann es erforderlich sein, hier den aus dem Internet erreichbaren Namen
(FQDN) einzutragen. Somit wird gewährleistet, dass E-Mail Server welche mit
der Einstellung "Require fully qualified domain name in HELO command"
arbeiten E-Mails von der SEPPmail Appliance auch annehmen. Das heisst die
Einstellung ist meist nur dann relevant, wenn in der Sektion Outgoing
server 139 dieses Menüs die Einstellung Use built-in e-mail transport agent
aktiv ist.
© 2016 SEPPmail AG
142
Parameter
Beschreibung
SMTP bind address
(use with care!)
Festlegen der IP-Adresse einer Netzwerk-Schnittstelle, über die alle E-Mails
empfangen werden (normalerweise nicht notwendig).
Die SEPPmail Appliance bindet im Normalfall alle vorhandenen Netzwerk
Interfaces. Sind mehrere Interfaces aktiv, jedoch nur eines davon soll für
SMTP Verbindungen zur Verfügung stehen, so kann dessen IP-Adresse hier
eingetragen werden.
(optional)
Hinweis:
Fällt das Interface der hier eingetragenen IP-Adresse aus, so
ist die Appliance per SMTP nicht mehr erreichbar. Somit
würde auch der E-Mail Verkehr unterbrochen.
Sektion Relaying
Definition der für den Versand von E-Mails in das Internet berechtigten Systeme.
Parameter
Beschreibung
Relaying allowed:
An dieser Stelle können die IP-Adresse(n) oder Subnetz(e) eingetragen
werden, von welcher/m die SEPPmail Appliance E-Mails an externe
Empfänger annehmen soll.
Nach dem Speichern wird jeweils ein weiteres Eingabefeld eingeblendet.
Hinweis:
In der Regel sind hier die IP-Adressen der eingetragenen
Forwarding server (siehe Tabelle unter Mail System 137
Managed domains 137 Spalte "Server IP address") zu
berechtigen.
Um ein sogenanntes "open relay" zu verhindern, sollte hier
im Normalfall keinesfalls der Outgoing server 139 mit
aufgelistet sein.
Add relaying for
© 2016 SEPPmail AG
Dieses Feld dient der Eingabe weiterer Relay Adressen beziehungsweise
Subnetzen.
Nach dem Speichern werden jeweils weitere Eingabefelder eingeblendet.
143
Sektion AntiSpam
Hinweis:
Die AntiSpam Optionen sind erst nach Erwerb des optionalen Protection Packs
verfügbar.
Parameter
Beschreibung
Recommended settings
Use greylisting
Aktiviert das greylisting auf der SEPPmail Appliance.
Durch diese Funktion werden eingehende externe E-Mails - d.h. E-Mails
welche von keiner unter Relaying 142 eingetragener IP oder Subnetz
kommen - nicht mehr unmittelbar, sondern erst beim zweiten Zustellversuch
angenommen. Dies soll bewirken, dass von SPAM-Versendern verwendete
Methoden zur direkten Übertragung von E-Mails erfolglos bleiben.
Der Empfang von gewünschten E-Mails wird durch diese Funktion nicht
verhindert, sondern - bei unbekannten Absendern - lediglich zeitlich verzögert.
Der E-Mail Server des Absenders wird nach einer kurzen Zeit einen erneuten
Zustellversuch unternehmen. Die E-Mail wird dann angenommen.
Hinweis:
Diese Funktion ist nur wirksam, wenn die SEPPmail
Appliance eingehende E-Mails aus dem Internet direkt
empfängt (in der Regel bei Verwenden der Einstellung
Outgoing server 139 Use built-in e-mail transport agent).
Bereits von einem anderen E-Mail Server empfangene und
weitergeleitete SPAM E-Mails können durch diese Funktion
nicht vermieden werden
Erklärung zum greylisting
Greylisting ist eine Methode zur Bekämpfung von SPAM E-Mails. Bei dieser
Funktion wird davon ausgegangen, dass E-Mail Server und E-Mail Clients sich
an den RFC-Standard für SMTP halten. SPAM-Versender halten sich oft nicht
an den RFC-Standard. So werten sie das temporäre Abweisen nicht immer
aus, wodurch ein weiterer Zustellversuch unterbleibt.
Um eventuelle Einschränkungen durch übermässiges, einmaliges Abweisen
gewünschter E-Mails zu vermeiden, wird empfohlen die Option Greylist
learning only (no e-mail rejection) aus den "optional settings" für zwei bis
vier Wochen ab Inbetriebnahme zu aktivieren. Hierdurch wird die SEPPmail
Appliance bezüglich des gGreylistings in einem Lernmodus versetzt und weist
keine E-Mails temporär zurück.
Hinweis:
Nachdem inzwischen die meisten SPAM-Versender ebenfalls
eine E-Mail mehrfach versenden, bietet greylisting heute
kaum noch Schutz.
Aus diesem Grund sollte abgewägt werden, ob die Nachteile
(verzögerte Zustellung) nicht höher als der Nutzen sind.
© 2016 SEPPmail AG
144
Parameter
Beschreibung
Hinweis:
(neu in 7.4.6)
Da für das greylisting eine Kombination aus Sender Domäne
und Hostname verwendet wird, kann dies bei CloudDiensten, wie zum Beispiel Microsoft Office365 zu enormen
Verzögerungen führen. Aus diesem Grund wurden die
wichtigsten Cloud-Sender (Office365, gmail, alibaba und so
weiter) bereits in die default whitelist des greylisting-daemons
aufgenommen.
Use AntiSpam
Engine (Note:
remember to
activate in
ruleset)
Dieser Parameter aktiviert den SPAM-Filter auf der SEPPmail Appliance. Die
Konfiguration des SPAM-Filters wird im Abschnitt Protection Pack 178 der
Sektion Ruleset generator 168 des Menüs Mail Processing 160
durchgeführt.
Use AntiVirus
Engine (Note:
remember to
activate in
ruleset)
Dieser Parameter aktiviert den Virenscanner auf der SEPPmail Appliance. Die
Konfiguration des Virenscanners wird im Abschnitt Protection Pack 178 der
Sektion Ruleset generator 168 des Menüs Mail Processing 160
durchgeführt.
Enable unofficial Durch diese Option werden zu den Standard AntiVirus Signaturen des
ClamAV weitere Signaturen von Sanesecurity (http://sanesecurity.com)
signatures for
geladen.
ClamAV
(neu in 7.4.6)
Require HELO
command
Nach Aktivieren dieses Parameters prüft die SEPPmail Appliance, ob das
HELO Kommando vom absendenden E-Mail Server gesendet wurde. Wird
das Kommando nicht gesendet, so wird die Entgegennahme der E-Mails
verweigert.
PTR check
(reverse DNS
lookup)
SPAM-Versender benutzen häufig E-Mail Server ohne gültigen DNS-Eintrag.
Wird diese Option aktiviert, so werden E-Mails von Servern zu deren IPAdresse keinen gültiger DNS-Eintrag vorhanden ist abgewiesen.
Check if sender
domain is valid
Mit dieser Option wird das Überprüfen der Absender Domäne (der Teil hinter
dem @ der absendenden E-Mail Adresse) eingehender E-Mails aktiviert. Kann
diese nicht per DNS aufgelöst werden, so wird die E-Mail abgewiesen.
Hinweis:
Diese Einstellung bleibt von einem eventuellen whitelisting
(siehe Sektion Manual blacklisting / whitelisting 146 )
unberührt!
Require valid
hostname in
HELO command
Ist diese Option aktiviert, so werden nur E-Mails von Servern angenommen,
welche sich im HELO Kommando mit einem gültigen - das heisst im DNS
auflösbaren - Hostnamen melden. Dies könnte auch ein NetBIOS Name sein.
Require fully
qualified
hostname in
HELO command
Durch Aktivieren dieser Option werden nur E-Mails von Servern
angenommen, welche sich im HELO Kommando mit ihrem vollständigen, im
DNS auflösbaren FQDN (fully qualified domain name) identifizieren. Der
FQDN erfordert midestens eine Punkt ".", also zum Beispiel "SEPPmail.tld".
© 2016 SEPPmail AG
145
Parameter
Limit incoming
connections for
SMTP per IP
Beschreibung
Mit dieser Einstellung werden die parallelen Verbindungen über den TCP Port
25 auf maximal zehn pro IP-Adresse limitiert. Hierdurch kann das Überlasten
der SEPPmail Appliance durch einzelne Server vermieden werden.
optional settings
Greylist learning
only (no e-mail
rejection)
Dieser Parameter aktiviert den Greylisting-Lernmodus. Dabei wird die
Datenbank mit den für den Greylisting-Betrieb benötigten Informationen
aufgebaut. Bei Neuinstallationen wird empfohlen diese Option zwei bis vier
Wochen zu verwenden, um in der Statrphase keine Engpässe durch das
Greylisting zu verursachen.
Strict PTR check Diese Option aktiviert eine doppelte DNS Prüfung. Zunächst wird geprüft, ob
zur IP-Adresse ein gültiger DNS Eintrag vorhanden ist um im Anschluss zu
(reserse DNS
prüfen, ob die DNS-Abfrage die ursprüngliche IP ausgibt.
lookup)
Enable SPF
check
(neu in 7.4.1)
Aktiviert die Sender Policy Framework Funktion. Dabei wird der optional im
DNS eingetragene SPF-Record geprüft. Ist der sendende Server für die
entsprechende E-Mail Domäne dort nicht hinterlegt, so wird die E-Mail
abgewiesen.
Sektion Blacklists
Parameter
Beschreibung
Add Blacklist
(RBL)
E-Mail Server werden aufgrund von SPAM-Aktivitäten in sogenannte
Blacklists aufgenommen. Diese Listen werden durch verschiedene Anbieter
im Internet gepflegt. Um E-Mails von Servern welche in diesen Listen
aufgeführt sind abzuweisen, müssen die URLs der gewünschten Realtime
Blackhole Lists (RBL) eingetragen werden.
© 2016 SEPPmail AG
146
Sektion Manual blacklisting / whitelisting
In diesem Menüpunkt kann der Empfang von externen E-Mails von bestimmten IP-Adressen
beziehungsweise -Netzwerken blockiert oder explizit zugelassen werden.
Parameter
Beschreibung
add acccess entry Für das Blockieren oder Zulassen wird das IP-Netzwerk, die Aktion und einen
Kommentar in die entsprechenden Eingabefelder eingetragen.
network:
action:
comment:
IP-Adresse
oder
Netzwerk in
der
angegebenen
Form
accept
akzeptiert
die
Annahme
(Whitelist)
reject
verweigert
die
Annahme
(Blacklist)
Aussagekräftiger Kommentar,
weshalb die Regel eingetragen
wurde und wen diese betrifft.
Beispiel:
Um alle E-Mails die aus dem IP-Netzwerk Bereich 186.56.148.x gesendet
werden zu verwerfen, geben Sie den IP-Netzwerk Teil 186.56.148 ein und
definieren Sie die Aktion reject.
network:
action:
comment:
186.56.148
reject
Diese Testregel weist alle E-Mails ab, welche aus
dem IP-Adressbereich 186.56.148.0 /24 kommen.
Hinweis:
(neu in 7.4.6)
Externe Adressen, an welche E-Mails von intern versendet werden (mit Ausnahme
sogenannter Non-Delivery-Reports (NDR)), werden automatisch whitelisted, und
somit als reale Kommunikationspartner gekennzeichnet. Wird im Anschluss eine EMail von einer dieser Adressen empfangen, wird aufgrund des whitelistings kein
Spam Check vorgenommen.
© 2016 SEPPmail AG
147
7.6.1
Add/Edit managed domain
Sektion Settings
Bei der Anlage einer neuen managed domain über die Schaltfläche Add managed domain... ist
nur diese Sektion zu sehen.
Parameter
Beschreibung
Domain
name
Name der E-Mail Domäne, für welche durch die SEPPmail Appliance E-Mails
angenommen und verarbeitet werden sollen. Es können mehrere E-Mail Domänen
gleichzeitig eingetragen werden. Diese müssen durch Leerzeichen getrennt werden.
Die Appliance wird dadurch pro E-Mail Domäne eine managed domain mit
identischen Einstellungen anlegen.
Diese Einstellung ist nur beim Anlegen einer neuen managed domain - das heisst
wenn das Menü über die Schalttfläche Add managed domain... aufgerufen
wurde - editierbar.
Hinweis:
Werden Subdomänen verwendet, so müssen dies separat
aufgeführt werden, damit E-Mail für diese angenommen werden.
So werden beispielsweise durch den Eintrag "meinefirma.tld" keine
E-Mails für die Subdomäne "tochter.meinefirma.tld" angenommen.
Angabe des E-Mail Servers, an welchen die für den oben genannten Domain Name
Forwarding
eingehenden E-Mails nach Verarbeitung durch die SEPPmail Appliance
server
IP or MX name weitergeleitet werden sollen.
IP-adresse
Hostname
MX-name
einzelne IP-Adresse (in eckige Klammern [ ] zu setzen).
wird ein Hostname verwendet, so ist dieser in eckige Klammern
[ ] zu setzen. Namen ohne Klammern werden als MX-Eintrag
behandelt!
MX-lookup wird ausgeführt (siehe gegebenenfalls auch System
119 DNS 123 add local zone)
Optional ist bei Angabe einer IP-Adresse oder eines Hostnamens zusätzlich die
Angabe eines individuellen Ports möglich. Dieser wird direkt im Anschluss mit einem
Doppelpunkt ":" getrennt angegeben, also "[IP-Adresse]:Port" oder "[Hostname]:
Port".
Wird kein Port angegeben, so wird der Standard SMTP Port TCP25 verwendet.
Use GINA
domain
(nur bei Add
Domain zu
sehen)
Über die Auswahl Use GINA settings können die für die angegebenen E-Mail Domäne
zu verwendenden GINA-Einstellungen ausgewählt werden. Diese können über das
Menü Mail Processing 160 GINA domains 160 erzeugt und editiert werden. (neu
in 7.4.3) Wird hier "-DISABLED-" gewählt, so steht für die managed domain keine
GINA-Technologie zur Verfügung. Das heisst auch, dass bei angeforderter
Verschlüsselung und fehlendem öffentlichen Schlüssel des Empfängers die E-Mail
abgewiesen (bounced) wird.
Bei mandantenfähigen Systemen muss hier zwingend die für den Kunden
dediziert eingerichtete GINA ausgewählt werden, sofern die GINA-Technologie
nicht mittels "-DISABLED-" abgeschalten wude.
© 2016 SEPPmail AG
148
Parameter
Beschreibung
Allowed
outgoing
sending
servers
(leave empty to
allow all
relaying
networks)
An dieser Stelle können die IP-Adresse(n) oder Subnetz(e) eingetragen werden,
welche im Namen der jeweiligen managed domain senden dürfen. Dadurch wird
zum Beispiel in mandantenfähigen Systemen unterbunden, dass ein Mandant im
Namen eines anderen E-Mails senden kann. Wird hier kein Eintrag vorgenommen,
so darf jede unter Mail System 137 Relaying 142 eingetragene Adresse im Namen
dieser managed domain senden.
In der Regel wird der Eintrag der IP-Adresse(n) des/r eingetragenen Forwarding
server (siehe Tabelle unter Mail System 137 Managed domains 137 Spalte
"Server IP address") entsprechen.
(neu in 7.4.1)
Hinweis:
Dieser Eintrag übersteuert nicht die unter Mail System 137
Relaying 142 vorhandenen Einträge, sondern schränkt diese
lediglich pro managed domain ein!
Somit müssen die hier eingetragenen IP-Adressen zusätzlich unter
Mail System 137 Relaying 142 vorhanden sein.
Hinweis:
Wird aufgrund dieser Einstellung eine E-Mail abgewiesen, so
erscheint im Log (siehe Logs 245 Mail log (last 500) 246 ) die
Meldung:
IP xxx.xxx.xxx.xxx is not allowed to send mails for domain
<IhreFirma.tld>
Relaying denied due to allowed domain settings in managed
domain
Message Rejected. (550 Mail not accepted)
Send ALL
outgoing mails
from this
domain to the
following
SMTP server
(optional)
Mit der Eingabe eines Ziel Servers (Eingabeformat identisch zu Mail System 137
Managed domain 137 Add/Edit managed domains 147 Settings 147 Forwarding
server IP or MX name) wird für die jeweilige managed domain der Outgoing server
139 (siehe Mail System 137 ) übersteuert (sender based routing).
Eventuell benötigte TLS-Einstellungen können unter Mail System 137 TLS
settings 140 Add TLS domain... Add TLS domain 156 vorgenommen werden.
(neu in 7.4.2)
Assigned to
customer
(nur bei
Mandantenfähigen
Systemen)
Zuordnung zu einem unter Customers 274 bereits angelegten Kunden in einem
mandantenfähigen System.
Die Zuordnung zu einem Kunden ist nur beim Anlegen einer neuen managed
domain - das heisst wenn das Menü über die Schalttfläche Add managed
domain... aufgerufen wurde - möglich.
Hinweis:
Alle folgenden Einstellungen sind nur zu sehen, wenn das Menü durch Klicken auf
eine managed domain aus dem übergeordneten Menü aufgerufen wurde.
© 2016 SEPPmail AG
149
Sektion External authentication
Wird die GINA-Technologie auch intern eingesetzt, zum Beispiel für das Large File Transfer (LFT)
oder Internal Mail Encryption (IME), so ermöglicht diese Option die Authentisierung der Benutzer der
jeweiligen managed domain gegen einen externen LDAP-Server (zum Beispiel Active Directory).
Parameter
Beschreibung
Authenticate
GINA users from
this domain to
external LDAP
server (eg. Active
Directory)
Mit Anwahl dieser Option wird die "externe" LDAP Authentisierung" aktiviert.
Automatically
create GINA
account if user
exists on external
LDAP server
Wird diese Option aktiviert, so wird - sofern nicht bereits vorhanden automatisiert ein GINA account 260 bei erfolgreicher LDAP Authentisierung
angelegt. Der Registrierungsprozess entfällt.
Voraussetzung hierfür ist, dass die GINA domain 160 (siehe Mail
Processing 160 ); an welcher sich der jeweilige Benutzer anmeldet auch
dieser managed domain zugeordnet ist.
Auf mandentenfähigen Systemen sind zwingend die Hinweise in Customers
Notes 274 bezüglich der GINA Zuordnung zu beachten.
Wird die Option im Nachhinein deaktiviert, so werden die bereits vorhandenen
Accounts bei der nächsten Anmeldung aufgefordert sich zu registrieren.
Ist diese Option nicht aktiviert, so müssen die Accounts weiterhin auf der
SEPPmail Appliance registriert werden. Dabei muss ein lokales Passwort
gesetzt werden. Dieses Passwort wird jedoch nicht für die Authentisierung
verwendet, solange die externe Authentisierung aktiviert ist. Während der
Erstregistrierung des Accounts wird ein entsprechender Hinweis angezeigt.
Wird bei der Anmeldung am GINA-Interface das lokale statt dem im LDAP
hinterlegten Passwort verwendet, dann - und nur dann! - erhält der Benutzer
einen entsprechenden Hinweis (siehe Mail Processing 160 GINA domain
GINA Edit Edit GINA settings 186 Language settings 195 Edit
translations Edit translation file 206 Advanced view Edit translation
file 206 msgid "ext_auth_enabled").
160
Server
Angabe des LDAP-Servers, gegen welchen authentisiert werden soll. Als
Eingabe wird der Hostname oder die IP-Adresse aktzeptiert.
Port
Gibt den Port an, auf welchem der externe LDAP-Server Anfragen entgegen
nimmt. Standard LDAP Port ist 389, beziehungsweise 636 für LDAPS (siehe
auch TLS required).
TLS required
Wird diese Option aktiviert, so wird das Verschlüsseln der Verbindung zum
LDAP-Server mittels TLSv1 oder höher erzwungen (LDAPS oder
LDAPS+STARTTLS).
Bind DN
Eingabe des vollständigen Distinguished Name (DN) des read-only Accounts,
welcher zur Suche des unter "External user attributes Search base E-Mail
attribute" in der LDAP Datenbank berechtigt ist.
Bind password
Passwort für das authentisieren des unter Bind DN einegebenen Accounts.
© 2016 SEPPmail AG
150
Parameter
External user
attributes
Beschreibung
LDAP objectClass
Search base
Eingabe der LDAP-Klasse der Benutzerobjekte am
externen LDAP-Server. Standard ist "*"
Suchpfad: Gibt den Zweig des LDAP Verzeichnisses
an, in welchem die zu authentisierenden Benutzer
Anhand der Suchparameter "LDAP ObjectClass und
"E-Mail Attribute" gesucht werden sollen.
Hinweis:
Die Authentisierung funktioniert auch für
verschachtelte OUs ("rekursiv"). Als
"Search base" ist dann die oberste, für
den "Bind DN" erreichbare Stufe
anzugeben.
Der "Bind DN" muss die Berechtigung
zur rekursiven Suche besitzen.
Existieren im LDAP Verzeichnis Baum
unter der "globalen" - das heisst der
weiter oben liegenden - "Search base"
mehrere Objekte, auf die der StandardSuchparameter zutrifft (mail=$email)
(objectClass=*), und es werden
ungeeignete Objekte zurück geliefert, so
muss die "LDAP object class" so
angepasst werden, dass die Suche nur
noch diejenigen Einträge zurück liefert,
welche tatsächlich für eine
Authentisierung geeignet sind.
Gegebenenfalls sollte über einen
externen LDAP Browser in der "globalen"
Search Base nach - zum Beispiel - "(&
([email protected])
(objectClass=*))" gesucht werden.
Kommt hier unter Anderem ein - für die
Authentisierung nicht geeigneter - Eintrag
zurück, so liegt hier das Problem. Über
die zurückgegebenen Einträge kann
dann eine geeignete objectClass (zum
Beispiel objectClass=inetOrgPerson)
gesucht werden, so dass nur noch
geeignete Einträge gefunden werden.
Email attribute
(Default: "mail")
Angabe des Attributes der LDAP Datenbank, unter
welchem die E-Mail Adresse des zu
authentisierenden Benutzers in der angegebenen
Search base gespeichert ist. Standard ist "mail".
Funktionsweise:
Wird aufgrund oben genannter Konfiguration die E-Mail Adresse (die Hauptadresse, kein E-Mail
Alias!) des sich anmeldenden Benutzers (GINA-Accounts) und somit dessen DN in der LDAP
Datenbank gefunden, so wird mit dieser DN und dem vom Benutzer im GINA-Interface eingegebenen
Passwort ein neuerlicher Bind versucht. Ist dieser Bind erfolgreich, so gilt die Authentifizierung am
GINA-Interface ebenfalls als erfolgreich.
Die SEPPmail Appliance führt einen eigenen Zähler für falsche Passwort-Eingaben. Schlägt eine
externe Authentisierung öfter fehl als maximal zugelassen, wird der Account lokal temporär deaktiviert.
© 2016 SEPPmail AG
151
Dabei findet keine Interaktion mehr mit dem externen Server statt, die Deaktivierung ist also
ausschliesslich lokal. Somit kann ein SEPPmail Appliance Administrator einen deaktivierten GINAAccount in der SEPPmail Appliance Administrationsoberfläche jederzeit wieder aktiveren oder
dauerhaft deaktivieren.
Weiterhin besteht die Möglichkeit einzelne GINA-Accounts von der externen Authentisierung
auszunehmen. In diesem Fall wird jeweils wieder das lokale Passwort für das Login verwendet. (siehe
auch GINA accounts 260 GINAUser Details 261 User data 261 External authentication).
Hinweis:
Um einen eventuellen, externen Angreifer die Art der Authentisierung nicht Preis zu
geben, bleibt der Link "Passwort vergessen?" auch bei aktivierter, externer
Authentisierung in der GINA-Anmeldemaske erhalten.
Sektion OpenPGP domain encryption
In dieser Sektion werden die OpenPGP Domänen-Schlüssel angezeigt, sofern vorhanden.
Key ID
User ID
Zeigt die Key ID
Zeigt die zur Key ID zugehörige User ID an.
des/der OpenPGP- Wurde der Key durch die Appliance generiert,
Domänen-Key(s) an so lautet er in der Regel
OpenPGP Domain Encryption <[email protected]>
Issued on
Expires on
Ausstelldatum
des Keys
JJJJ-MM-TT
Ablaufdatum
des Keys
JJJJ-MM-TT
Durch Klicken der Key ID wird ein Untermenü mit Details zum Key geöffnet. Dieses bietet die
Möglichkeit den öffentlichen Schlüssel herunterzuladen beziehungsweise das Schlüsselpaar zu
löschen.
Über die Schaltfläche Import OpenPGP key... kann ein bereits vorhandenes Schlüsselpaar
importiert werden (siehe Untermenü Import OpenPGP Key 154 ).
Über die Schaltfläche Generate new OpenPGP key wird ein neues Schlüsselpaar auf der
Appliance generiert. Die Laufzeit sowie das automatische Aktualisieren des so erzeugten Schlüssels
entspricht der unter CA 214 Internal CA settings 216 Validity in days eingegebenen.
Sektion S/MIME domain encryption
In dieser Sektion werden die S/MIME Domänen-Schlüssel angezeigt, sofern vorhanden.
Fingerprint
Issued on
Zeigt den/die Fingerprint/s des/der S/MIME-Domänen-Keys an.
Ausstelldatum Ablaufdatum
des Keys
des Keys
JJJJ-MM-TT
JJJJ-MM-TT
Ist im übergeordneten Menü Mail System 137 Managed
domains 137 die Option Automatically create and publish S/
MIME domain keys for all domains aktiviert, so ist hier mindestens
ein Zertifikat zu sehen.
Expires on
Durch Klicken des Fingerprints wird ein Untermenü mit Details zum Key geöffnet. Dieses bietet die
Möglichkeit den öffentlichen Schlüssel (Zertifikat) herunterzuladen beziehungsweise das
Schlüsselpaar zu löschen.
© 2016 SEPPmail AG
152
Über die Schaltfläche Import S/MIME key... kann ein bereits vorhandenes Schlüsselpaar importiert
werden (siehe Untermenü Import S/MIME Key 154 ).
Der Schlüsselaustausch zwischen SEPPmail Appliances erfolgt bei aktivierter Option Automatically
create and publish S/MIME domain keys for all domains über den Managed Domain Service
automatisch. Somit wird sichergestellt, dass alle SEPPmail Appliances untereinander Domänen
verschlüsselt kommunizieren.
Über die Schaltfläche Generate S/MIME key wird durch die integrierte CA ein neues Schlüsselpaar
auf der Appliance generiert. Die Laufzeit für die so generierten Zertifikate beträgt immer zehn Jahre.
Sektion GINA and disclaimer settings
Über die Auswahl Use GINA settings können die für die angegebene E-Mail Domäne zu verwendenden
GINA-Einstellungen ausgewählt werden. Diese können über das Menü Mail Processing 160 GINA
domains 160 erzeugt und editiert werden. (neu in 7.4.3) Wird hier "-DISABLED-" gewählt, so steht für die
ausgewählte managed domain keine GINA-Technologie zur Verfügung. Das heisst auch, dass bei
angeforderter Verschlüsselung und fehlendem öffentlichen Schlüssel des Empfängers die E-Mail
abgewiesen (bounced) wird.
Bei mandantenfähigen Systemen muss hier zwingend die für den Kunden dediziert
eingerichtete GINA ausgewählt werden, sofern die GINA-Technologie nicht mittels "DISABLED-" abgeschalten wude.
Durch die Auswahl Use disclaimer lässt sich eine Fussnote für ausgehende E-Mails wählen. Fussnoten
können über das Menü Mail Processing 160 Edit disclaimer 165 erzeugt und editiert werden.
Diese Einstellungen kommen nur dann zu Tragen, wenn die Funktionen in den General settings 168
des Ruleset generator 168 im Menü Mail Processing 160 aktiviert wurden.
Sektion TLS settings (optional)
Soll zum nachgelagerten Groupware-System für eine E-Mail Domäne (siehe Tabelle unter Mail
System 137 Managed domains 137 Spalte "Server IP address") eine TLS verschlüsselte
Verbindung aufgebaut werden, so kann die TLS Verschlüsselung an dieser Stelle konfiguriert werden.
Das Einrichten von TLS-Verbindungen ist im Kapitel Add TLS domain 157 beschrieben.
© 2016 SEPPmail AG
153
Sektion Domain statistics
In dieser Statistik werden nur diejenigen Kryptographie-Technologieen angezeigt, welche auf der
SEPPmail Appliance bereits zum Einsatz kamen.
Parameter
Beschreibung
Number of accounts Anzahl der auf der SEPPmail Appliance angelegten Benutzer (entspricht
User-Lizenzen)
in this domain
S/MIME encrypted
e-mails sent
Anzahl der versendeten E-Mails, welche mittels S/MIME-Technologie
verschlüsselt wurden.
S/MIME encrypted
e-mails received
Anzahl der empfangenen E-Mails, welche mittels S/MIME-Technologie
verschlüsselt waren.
OpenPGP encrypted Anzahl der versendeten E-Mails, welche mittels OpenPGP-Technologie
e-mails sent
OpenPGP encrypted Anzahl der empfangenen E-Mails, welche mittels OpenPGP-Technologie
verschlüsselt waren.
e-mails received
S/MIME Domain
encrypted e-mails
sent
domänenverschlüsselt wurden.
S/MIME Domain
encrypted e-mails
received
domänenverschlüsselt waren.
OpenPGP Domain
encrypted e-mails
sent
Anzahl der versendeten E-Mails, welche mittels OpenPGP-Technologie
domänenverschlüsselt wurden.
OpenPGP Domain
encrypted e-mails
received
Anzahl der empfangenen E-Mails, welche mittels OpenPGP-Technologie
domänenverschlüsselt waren.
S/MIME signed
e-mails sent
signiert wurden.
S/MIME signed
e-mails received
signiert waren.
GINA encrypted
e-mails sent
Anzahl der versendeten E-Mails, welche mittels GINA-Technologie
Alle vorgenommenen Änderungen werden über die Schaltfläche Save changes gespeichert.
Das Löschen einer Domain erfolgt über Delete domain.
Hinweis:
Ist einer Domäne gültiges Schlüsselmaterial zugeordnet, so muss dieses vor dem
Löschen der Domäne zurückgewiesen (revoked) werden. Andernfalls erscheinen
zunächst entsprechende Warnmeldungen.
© 2016 SEPPmail AG
154
7.6.1.1
Import openPGP key
Sektion Key Data
Parameter
Beschreibung
Passphrase
Eingabe für die Passphrase mit welcher der private OpenPGP Schlüssel bei Export
verschlüsselt wurde.
Key file
Über die Schaltfläche "Datei auswählen" wird die OpenPGP Schlüsseldatei
ausgewählt, welche importiert werden soll. Diese muss das komplette
Schlüsselpaar, also privaten und öffentlichen Schlüssel enthalten.
or key as string
Alternativ zur Auswahl einer Schlüssel Datei kann der Schlüssel als Text in dieses
Feld kopiert werden
Über die Schaltfläche Import wird der Vorgang abgeschlossen.
7.6.1.2
Import S/MIME key
Sektion Certificate data
Parameter
Beschreibung
Passphrase
Eingabe für die Passphrase mit welcher der private S/MIME Schlüssel bei Export in
eine PKCS#12 Datei verschlüsselt wurde.
PKCS#12 file
Über die Schaltfläche "Datei auswählen" wird die S/MIME Schlüsseldatei
ausgewählt, welche importiert werden soll. Diese muss das komplette
Schlüsselpaar, also privaten und öffentlichen Schlüssel enthalten.
PKCS#12 Dateien haben die Dateiendung .p12 oder auch .pfx.
Über die Schaltfläche Import wird der Vorgang abgeschlossen.
© 2016 SEPPmail AG
155
7.6.2
Extended postfix MTA settings
Achtung:
In der Regel sind Änderungen an den Extended postfix MTA settings 155 nicht
notwendig!
Sollten in komplexen Infrastrukturen dennoch Anpassungen notwendig sein, so sind
diese mit Bedacht vorzunehmen, da das Eintragen von fehlerhaften Werten zum
Erliegen des Systems, beziehungsweise des E-Mail Flusses führen kann. postfix
Kenntnisse werden vorausgesetzt.
Sektion MTA settings
Spalte
Beschreibung
Tag
Gibt den postfix Parameter an, welchger angepasst werden soll.
Erklärungen zu den einzelnen Parametern sind unter http://www.postfix.org/
postconf.5.html nachzulesen.
Postfix default
setting
Gibt den postfix Standardwert des jeweiligen Tag an.
Appliance default
setting
Gibt den SEPPmail Appliance Standardwert des jeweiligen Tag an, sofern
dieser vom postfix Standard abweicht.
Appliance dynamic Gibt die Parameter an, welche über andere Konfigurationsfelder der
SEPPmail Appliance konfiguriert und somit überschrieben wurden.
setting
Custom setting
Eingabefeld für das manuelle Anpassen des jeweiligen Parameters.
Achtung:
Die Eingabe falscher Werte kann zu unerwünschten
Auswirkungen, beziehungsweise Verhalten der Appliance,
bis hin zum Erliegen des E-Mail Flusses oder des Systems
führen.
© 2016 SEPPmail AG
156
7.6.3
Add TLS domain
Sektion Domain info
Parameter
Beschreibung
Domain
name
In der Regel wird hier der Name der E-Mail Domäne des Kommunikationspartners
eingetragen.
Diese Einstellung ist nur beim Anlegen einer neuen TLS-Verbindung - das heisst
wenn das Menü über die Schalttfläche Add TLS Domain... aufgerufen wurde editierbar.
(neu in 7.4.2)
Hinweis:
Wird hier ein Punkt "." eingetragen und - dann zwingend - eine
Forwarding Server Address, so werden alle über das "Sender
Based Routing" (siehe Mail System 137 Managed domains 137
Edit managed domain 147 Settings 147 Send ALL outgoing
mails from this domain to the following SMTP server
(optional)) an diese IP Adresse gerouteten E-Mails mit dem
eingestellten TLS level dorthin verschlüsselt.
Optional
forwarding
server
address
Wird an dieser Stelle kein Eintrag vorgenommen, so wird der unter "Domain Name"
angegebene Name per MX aufgelöst.
IP-Adresse
einzelne IP-Adresse
Hostname
wird ein Hostname verwendet, so ist dieser in eckige
Klammern [ ] zu setzen. Namen ohne Klammern werden
als MX-Eintrag behandelt
MX-Name
MX-lookup wird ausgeführt (siehe gegebenenfalls auch
System 119 DNS 123 add local zone)
Optional ist bei Angabe einer IP-Adresse oder eines Hostnamens zusätzlich die
Angabe eines individuellen Ports möglich. Dieser wird direkt im Anschluss mit einem
Doppelpunkt ":" getrennt angegeben, also "IP-Adresse:Port" oder "Hostname:Port".
Wird kein Port angegeben, so wird der Standard SMTP Port TCP25 verwendet.
Hinweis:
Der hier optional eingegebene Server übersteuert das eingestellte
Standard Routing (siehe Mail System 137 Outgoing server 139 )
zu der unter Domain name angegebenen Zieldomäne.
Das heisst alle E-Mails an die unter Domain name genannte EMail Domäne werden direkt an die hier eingegebene Adresse
geroutet!
Ausnahme bildet der Punkt "." unter Domain name, durch welchen
das Routing an dieser Stelle nicht beeinflusst wird.
© 2016 SEPPmail AG
157
Sektion TLS settings
Über die TLS settings wird der Grad der Prüfungen für eine TLS-Verbindung zum Ziel-Server im
Internet, zum Outgoing server 139 (siehe Mail System 137 ) beziehungsweise zu den jeweiligen
Groupware- also Forwarding server (siehe Tabelle unter Mail System 137 Managed domains 137
Spalte "Server IP address") eingestellt.
Hinweis:
Mit dieser Einstellung wird lediglich TLS zur/m Ziel-Domäne beziehungsweise Server konfiguriert. Das Entgegennehmen einer eingehenden Verbindung kann nicht
eingestellt werden. Unter anderem vermittelt deshalb TLS häufig eine "falsche"
Sicherheit.
TLSEinstellung
Beschreibung
None
Keine TLS-Verschlüsselung.
May
E-Mails werden über einen TLS-verschlüsselten Kanal versendet, falls der
empfangende E-Mail Server TLS-Verschlüsselung unterstützt.
Encrypt
E-Mails werden nur versendet, falls der Versand mittels TLS-Verschlüsselung
möglich ist.
Verify
E-Mails werden nur versendet, falls der Versand via TLS-Verschlüsselung möglich,
und das SSL Zertifikat des empfangenden E-Mail Servers gültig ist.
Secure
E-Mails werden nur versendet, falls der Versand via TLS-Verschlüsselung möglich,
das SSL Zertifikat des empfangenden E-Mail Servers gültig, der FQDN des E-Mail
Servers identisch mit dem im Zertifikat (Antragsteller) eingetragenen Namen (CN)
und der Name der E-Mail Domäne identisch mit dem Domänen Namen des E-Mail
Servers ist.
Hinweis:
Diese Prüfung kann weder bei der Verwendung von MX-Records
noch von Wildcard-SSL Zertifikaten eingesetzt werden. Hier sollte
alternativ die TLS-Einstellung Fingerprint verwendet werden.
Wird beim Versenden einer E-Mail via TLSTransportverschlüsselung die Logmeldung ...status=deferred
(Server certificate not verified) ausgegeben, so ist das SSL
Zertifikat des empfangenden E-Mail Servers auf die Verwendung
eines Wildcard-Zertifikats zu überprüfen.
Fingerprint
E-Mails werden nur versendet, falls der Versand via TLS-Verschlüsselung möglich
ist und das SSL Zertifikat des empfangenden E-Mail Servers dem eingetragenen
Fingerprint entspricht.
Stehen für die Ziel-Domäne mehrere E-Mail Server zur Verfügung, so können deren
Fingerprints getrennt durch Pipe "|" eingetragen werden,
Hinweis:
Wird hier keine Konfiguration vorgenommen, so gilt die Einstellung "may". Das heisst
unterstützt das nachgelagerte E-Mail System TLS, so wird die SEPPmail Appliance
eine TLS-verschlüsselte Verbindung dorthin aufbauen.
Für die TLS Verschlüsselung wird das unter SSL 207 eingebundene Zertifikat
verwendet.
Die vorgenommenen Änderungen werden über die Schaltfläche Save changes gespeichert.
© 2016 SEPPmail AG
158
Erklärende Anmerkungen:
Überprüfen des empfangenden E-Mail Servers auf die Verwendung eines
Wildcard-SSL Zertifikats
Ob ein E-Mail Server ein Wildcard-SSL Zertifikat verwendet kann sehr einfach mit dem
Kommandozeilentool OpenSSL durchgeführt werden.
Beispiel:
# openssl s_client -starttls smtp -crlf -connect xxx.xxx.xxx.xxx:25
Im Beispiel steht xxx.xxx.xxx.xxx für die tatsächliche IP-Adresse des Zielservers. Alternativ kann der
Hostname des Zielservers verwendet werden.
# openssl s_client -starttls smtp -crlf -connect postini.com.s8a1.psmtp.com:25
Das Ergebnis der Abfrage wird wie unten dargestellt aussehen. Anhand des Zertifikats-Subject im
Parameter CN kann festgestellt werden, ob es sich um ein Wildcard-SSL Zertifikat handelt. Im Beispiel
wurde in der Antwort der Wert CN=*.psmtp.com zurückgegeben. Somit handelt es sich um ein
Wildcard-Zertifikat "*", welches für alle Hosts der Domain psmtp.com verwendet werden kann.
Ebenfalls interessant ist der Parameter X509v3 Subject Alternative Name:. Als Wert wird hier DNS:
*.psmtp.com zurückgegeben. In diesem Feld können noch weitere Domains enthalten sein.
| openssl x509 -text -noout
depth=1 C = US, O = Google Inc, CN = Google Internet Authority
.
.
Certificate:
.
.
Subject: C=US, ST=California, L=Mountain View, O=Google Inc, CN=*.
psmtp.com
.
.
.
X509v3 Subject Alternative Name:
DNS:*.psmtp.com
Die Darstellung der Ausgabe wurde auf die wesentlichen Informationen reduziert.
Auslesen des SHA1-Fingerprint aus dem SSL Zertifikat des empfangenden EMail Servers
Einen Schritt zuvor wurde beschrieben, wie das vom empfangenden E-Mail Server verwendete SSL
Zertifikat ausgelesen werden kann. Dabei ist es nicht relevant, ob es sich hierbei um ein WildcardZertifikat handelt oder nicht.
Der Fingerprint eines SSL Zertifikats kann relativ einfach mir dem Kommandozeilentool OpenSSL
ausgelesen werden.
© 2016 SEPPmail AG
159
Beispiel:
# openssl s_client -starttls smtp -crlf -connect xxx.xxx.xxx.xxx:25 | openssl
x509 -noout -fingerprint
Auch in diesem Beispiel steht xxx.xxx.xxx.xxx für die tatsächliche IP-Adresse des Zielservers, welche
alternativ durch den Hostnamen des Zielservers ersetzt werden kann.
| openssl x509 -noout -fingerprint
Die daraus resultierende Ausgabe sollte wie folgt aussehen:
| openssl x509 -noout -fingerprint
depth=1 C = US, O = Google Inc, CN = Google Internet Authority
verify error:num=20:unable to get local issuer certificate
verify return:0
250 HELP
SHA1 Fingerprint=DD:9A:EC:66:E2:43:81:B9:20:2B:75:DB:30:C8:67:CC:9B:B0:D1:99
read:errno=0
In der Ausgabe wird der benötigte SHA1 Fingerprint angezeigt. Dieser Wert kann nun in die
Konfiguration übernommen werden.
© 2016 SEPPmail AG
160
7.7
Mail Processing
Im Menüpunkt Mail Processing 160 wird das Regelwerk der SEPPmail Appliance konfiguriert.
Dieses Regelwerk ist mit einem Workflow System vergleichbar und stellt das zentrale Element der
SEPPmail Appliance dar.
Sektion GINA domains
Indiviuduelle Einstellungen zu den einzelnen GINA-Interfaces.
Parameter
Beschreibung
Auswahl der zu
bearbeitenden
GINA Domäne
Im Standard ist an dieser Stelle eine "[default]" GINA vorhanden. Sollte nur ein
GINA Webinterface benötigt werden, so ist es ausreichend diese "[default]"
Einstellungen individuell anzupassen.
Sollten mehrere managed domains auf dem System eingerichtet sein, so
können über Create new GINA domain weitere GINA Webinterfaces
eingerichtet werden (siehe Untermenü Create new GINA domain 185 ). Bei
einer mandantenfähigen Installation ist es zwingend erforderlich, für
jeden Kunden wenigstens eine GINA Webinterface zu erstellen.
Das Einrichten erfolgt jeweils durch Auswahl der zu konfigurierenden GINA
über das Drop-Down-Menü und klicken der Schaltfläche Edit. (siehe
Untermenü GINA settings 186 ).
Die Zuordung des jeweiligen GINA Webinterfaces zur jeweiligen managed
domain erfolgt in der Sektion GINA and disclaimer settings 152 des
Untermenüs Edit managed domain 152 aus Mail System 137 Managed
domains 137 .
Soll ein GINA Webinterface über die Schaltfläche Delete gelöscht werden, so
ist vorher unbedingt zu überprüfen, dass dieses keiner managed domain
zugeordnet ist.
Hinweis:
Die "[default]" GINA muss in jedem Fall konfiguriert werden,
da Sie als Basis für gegebenenfalls weitere GINA Interfaces
dient.
Unterbleibt dies, so ist mit sporadischen Fehlern der
Appliance zu rechnen!
Sektion GINA settings
Allgemeine Einstellungen der GINA-Interfaces.
Parameter
Beschreibung
Password length
Die hier angebenene Passwort-Länge bezieht sich auf das Initial-GINAPasswort, welches von der Appliance generiert wird. Standard ist acht "8"
Zeichen.
Wird die Passwort-Länge auf null "0" gesetzt, so ist für die initiale GINAAnmeldung kein Passwort erforderlich.
© 2016 SEPPmail AG
161
Parameter
Beschreibung
Hinweis:
Von der Einstellung null "0" wird aus Sicherheitsgründen
dringend abgeraten.
Auch ist ein Wert kleiner acht"8" Zeichen nicht zu
empfehlen.
Grace period (in
days) after which
unregistered GINA
accounts are
automatically
removed
(neu in 7.4.2)
Mit dieser Option werden GINA-Benutzer, für welche zwar ein Account
generiert wurde, welche sich jedoch noch nicht registriert haben, automatisch
gelöscht. Für die Eingabe der Anzahl von Tagen, nach welcher Accounts
ohne Registrierung gelöscht werden sollen, steht das Eingabefeld zur
Verfügung. Der Wert "0" deaktiviert die automatische Löschfunktion.
Hinweis:
Diese Option wird in mandantenfähigen Systemen durch die
Einstellung Customers 274 Customer Management 275
Retention settings 277 umgesetzt. Deshalb ist die
Einstellung in diesen Systemen auch ausgegraut.
Use virtual hosting Werden mehrere GINA Webinterfaces verwendet, so wird im Standard nur
ein FQDN für den Zugriff verwendet. Für jedes GINA-Webinterface wird ein
eigener Ordner unterhalb dieses FQDNs angelegt. Dadurch wird auch bei der
Verwendung von mehereren GINA Interfaces nur ein SSL Zertifikat (siehe
Menüpunkt SSL 207 ) für den Zugriff aus dem Internet auf die jeweiligen GINA
Webinterfaces benötigt.
Wird die Option "Use virtual hosting" verwendet, so muss für jedes GINA
Webinterface ein eigener FQDN verwendet werden. Dies hat zur Folge, dass
auch für jedes GINA Webinterface ein eigenes Zertifikat benötigt wird. Das
entsprechende Eingabefeld für das individuelle Zertifikat wird in diesem Fall
im Untermenü Edit GINA settings 186 angezeigt.
Secure GINA track
access
Mit dieser Option werden über den eingetragenen Link erweiterte
Informationen in einer GINA-Lesebestätigung bereitgestellt, zum Beispiel,
welcher GINA-Emfänger die E-Mail bereits wann gelesen hat.
Aktiviert wird diese Funktion durch Eintragen der URL für den Zugriff auf die
Administrationsoberfläche der Appliance (siehe auch System 119 GUI
protocol 125 ).
Hinweis:
Für die korrekte Funktion dieser Option muss sichergestellt
werden, dass der Absender der GINA-Mail auf diese URL
zugreifen kann.
Aus Sicherheitsgründen sollte ein Zugriff von von externen
Netzen (insbesondere dem Internet) jedoch nicht zugelassen
werden.
Disallow insecure
ciphers
Diese Option ist im Standard deaktiviert, wodurch der Zugriff auf das GINA
Webinterface auch mit älteren Clients / Browsern möglich ist (RC4 aktiv). Um
das Sicherheitpotential der Appliance auszuschöpfen, sollte die Aktion
aktiviert werden.
© 2016 SEPPmail AG
162
Sektion GINA password via SMS
Einstellungen für den automatisierten Passwort Versand via SMS
Parameter
Beschreibung
Disable
Der GINA-Passwort-Versand via SMS ist deaktiviert
Use cell phone /
GSM modem
attached to
appliance
Ist eine Hardware Appliance im Einsatz, so kann an einen USB-Anschluss der
Appliance ein Mobiltelefon oder GSM-Modem angeschlossen werden, über
welches SMS versendet werden können. Auf ausreichenden Empfang des
Mobiltelefons / GSM-Modems ist zu achten.
Use Mail to SMS
service
(configuration
below)
An dieser Stelle werden die Zugangsdaten für den SMS Versand über einen
Mail to SMS Dienst eingetragen. Dies kann sowohl ein interner Dienst im
Netz des Kunden als auch ein externer Dienst im Internet sein. Der Zugang
zu diesem Dienst ist zu gewährleisten (siehe Firewall / Router einrichten 65
).
Mail to SMS settings
Mail from:
Je nach Anbieter muss hier die beim Anbieter für
diesen registrierte E-Mail Absenderadresse oder aber
auch ein frei wählbarer Absendername eingetragen
werden.
Mail address prefix:
<PREFIXMobile#>@
Je nach Anbieter ist wird ausser der
Empfängernummer ein weiterer Zusatz benötigt,
welcher an dieser Stelle bei Bedarf eingegeben
werden kann.
Diese Daten stellt der Betreiber des Dienstes zur
Verfügung.
Bei der deutschen Telekom wäre das zum Beispiel
"017187654321"
Gateway domain:
<mobile#>@
Gateway-Domäne für den SMS-Versand.
Verfügung.
Bei der deutschen Telekom wäre das zum Beispiel "td1.sms.de"
Zusammengesetzt würde somit eine Email
von
<Mail from:>
an
<Mail address prefix:><Mobilfunknumer des jeweiligen
Passwortempfängers>@<Gateway domain>
gesendet.
© 2016 SEPPmail AG
163
Parameter
Use xml service
(configuration
below)
Beschreibung
An dieser Stelle werden die Zugangsdaten für den SMS Versand über einen
XML Dienst eingetragen. Dies kann sowohl ein interner Dienst im Netz des
Kunden als auch ein externer Dienst im Internet sein. Der Zugang zu diesem
Dienst ist zu gewährleisten (siehe Firewall / Router einrichten 65 ).
Server address:
Server Adresse des Dienstanbieters.
Verfügung.
xml template
Verfügung. EinBeispiel hierfür findet dich unten in
diesem Abschnitt
Weiterhin werden die zur Verfügung stehenden Variablen angezeigt
Placeholders:
$sms: text message
zu übermittelnder Nachrichtentext.
$number: cell number including
country code (+xx...)
Mobilfunkrufnummer incl. Landesvorwahl
(+xx...)
$countrycode: country code, e.
g. "49"
Landesvorwahl, zum Beispiel "49" für
Deutschland
$localnumber: cell number
without country code
Mobilfunkrufnummer OHNE
Landesvorwahl
sowie eine Beispielkonfiguration:
XML Example:
Use HTTP GET
service
(configuration
below)
Server:
https://xml1.aspsms.com
String:
<?xml version="1.0" encoding="UTF-8"?>
<aspsms>
<Userkey>xyz</Userkey>
<Password>xyz</Password>
<Originator>Secmail</Originator>
<FlashingSMS>1</FlashingSMS>
<Recipient>
<PhoneNumber>$number</PhoneNumber>
</Recipient>
<MessageData><![CDATA[$sms]]></
MessageData>
<Action>SendTextSMS</Action>
</aspsms>
An dieser Stelle werden die Zugangsdaten für den SMS Versand Dienst per
HTTP Get eingetragen. Dies kann sowohl ein interner Dienst im Netz des
Kunden als auch ein externer Dienst im Internet sein. Der Zugang zu diesem
Dienst ist zu gewährleisten (siehe Firewall / Router einrichten 65 ).
© 2016 SEPPmail AG
164
Parameter
Beschreibung
Server address:
Den Server für den Zugang zum HTTP Get Service
stellt SMS-Provider zur Verfügung.
HTTP Get String
Den String für den Zugang zum HTTP Get Service
stellt SMS-Provider zur Verfügung.
Es stehen die aus der XML-Konfiguration bekannten Variablen zur Verfügung.
Weiterhin wird die Beispielkonfiguration für den schweizer Dienst "chrus"
angezeigt.
HTTP GET Example:
Access to GINA
send password
form:
Server:
https://www.chrus.ch
String:
/mysms/http/send.php?
user=xyz&pwd=xyz&from=Secmail&to=$number&msg
=$sms
Über diese Option wird der Zugriff auf den Passwort-Versand-Link der
Appliance gesteuert.
Disabled
Damit wird der Passwort-Versand-Link deaktiviert. Somit erscheint dieser
auch nicht in der Passwort-Mail, welche beim initialen Versand einer GINAMail an den Absender der E-Mail gesendet wird.
Available via
public GINA GUI
Aktiviert das Einfügen des Links für den SMS-Passwortversand in der GINAPasswort-Benachrichtigungs-E-Mail an den Absender.
© 2016 SEPPmail AG
165
Sektion Edit disclaimer
Fussnoten Einstellungen.
Parameter
Beschreibung
Auswahl der zu
bearbeitenden
Fussnote
(disclaimer)
Die Verwendung eines disclaimers ist optional. Sollen disclaimer verwendet
werden, so können vorhandene disclaimer - nach entsprechender Auswahl
über das Drop-Down-Menü - über die Schaltfläche Edit (siehe Untermenü
Edit disclaimer 206 ) angepasst oder auch weitere disclaimer über die
Schaltfläche Create new disclaimer angelegt werden.
Disclaimer stehen immer sowohl im Text- als auch im HTML-Format zur
Verfügung. Beim E-Mail Versand wird das passende Format anhand des EMail Formats automatisch ausgewählt.
Die Zuordung des jeweiligen disclaimers zur jeweiligen managed domain
erfolgt in der Sektion GINA and disclaimer settings 152 des Untermenüs
Add/Edit managed domain 152 aus Mail System 137 Managed
domains 137 .
Soll ein disclaimer über die Schaltfläche Delete gelöscht werden, so ist
vorher unbedingt zu überprüfen, dass dieser keiner managed domain (siehe
Mail System 137 Managed domains 137 ) zugeordnet ist, beziehungsweise
gegebenenfalls in Custom commands 180 der Sektion Ruleset
generator 168 dieses Menüs verwendet wird.
Hinweis:
Sollen disclaimer verwendet werden, so ist unbedingt darauf
zu achten, dass diese noch auf dem Groupware System
oder durch die SEPPmail Appliance gesetzt werden. Werden
disclaimer bei ausgehenden E-Mails durch ein
nachgelagertes System angehäntgt, so wird bei durch die
Appliance S/MIME signierten E-Mails diese Signatur
zerstört.
© 2016 SEPPmail AG
166
Sektion Edit e-mail templates
E-Mail Vorlagen Einstellungen.
Parameter
Beschreibung
Auswahl der zu
bearbeitenden
E-Mail Vorlage
(templates) für
bounce-mails
E-Mail templates sind vordefinierte Nachrichten, welche in definierten Fällen
automatisiert versendet werden. Diese vordefinierten Nachrichten können
innerhalb eines Custom commands 180 der Sektion Ruleset generator
168 dieses Menüs abgerufen werden.
Im Standard ist lediglich das template "bounce_noenc" vorhanden. Dieses
sowie gegebenenfalls selbst erzeugte templates können - nach
entsprechender Auswahl über das Drop-Down-Menü - über die Schaltfläche
Edit angepasst werden. Das Anlegen neuer templates erfolgt über die
Schaltfläche Create new template.
Abhängig von spezifischen Einstellungen des Rulests (siehe Ruleset
generator 168 ) werden weitere Standard templates verwendet
("bounce_noseckey", "bounce_noauth") verwendet. Diese sind in der Auswahl
nicht zu sehen, können jedoch durch Erstellen mittels Create new template
ebenfalls angepasst werden.
Hinweis:
Bei der Anlage neuer templates kann über den Namen des
templates gesteuert werden, ob die Original-E-Mail als
Anhang angefügt wird oder nicht.
Wird im Namen des templates "attachmail" gefunden, so wird
die ursprüngliche E-Mail angefügt.
Soll ein template über die Schaltfläche Delete gelöscht werden, so ist vorher
unbedingt zu überprüfen, dass dieses in Custom commands 180 der
Sektion Ruleset generator 168 dieses Menüs verwendet wird.
© 2016 SEPPmail AG
167
Sektion Miscellaneous options
Sonstige Einstellungen.
Parameter
Beschreibung
automatically
send new
OpenPGP public
keys to users
when a key is
created
Ist der Sektion Ruleset generator 168 dieses Menüs unter Key
generation 177 die Option "automatically create OpenPGP keys for new
users" aktiv, so wird durch Aktivieren dieser Option der öffentliche Schlüssel
des automatisch generierten Schlüsselpaares an den neu erzeugten Benutzer
gesendet.
Dadurch wird dieser Benutzer in die Lage versetzt, seinen öffentliche
Schlüssel selbst an Kommunikationspartner weiterzugeben. Diese werden
dadurch wiederum in die Lage versetzt, OpenPGP verschlüsselt mit diesem
Benutzer zu kommunizieren.
Hinweis:
Das Verteilen des öffentlichen OpenPGP Schlüssels an
Kommunikationspartner impliziert immer, dass die
Prüfsumme (Hash) dieses Schlüssels vor dem Verwenden
durch den Kommunikationspartner auf einem zweiten Kanal zum Beispiel per Telefon - im Nachgang geprüft wird. Dies ist
erforderlich, um die Integrität des Schlüssels sicherzustellen.
Aus diesem Grund wird empfohlen,das zur Verfügung stellen
von OpenPGP Schlüsseln über die GINA-Technologie zu
realisieren (siehe GINA settings 186 Extended settings
187 "Enable S/MIME certificate / openPGP key search and
management in GINA").
Hinweis:
Dieser Parameter wird nicht im Cluster synchronisiert. Das heisst in einem Cluster
Umfeld muss der Parameter auf jedem Cluster Teilnehmer einzeln konfiguriert
werden
© 2016 SEPPmail AG
168
Sektion Ruleset generator
Mit dem Ruleset generator wird quasi ein "Workflow System" für eingehende und ausgehende EMails definiert.
Die in dieser Sektion vorhandenen Eingabefelder für Betreffzeilen-Schlüsselworte (text in subject) sind
mit "regular expressions" zu befüllen. Das heisst Sonderzeichen müssen mit einem backslash "\" als
solche gekennzeichnet werden. Eine Aneinanderreihung mehrerer Schlüsselworte ist durch das
Trennen mit dem pipe-Zeichen "|" möglich.
Beispiel:
Soll als Betreffzeilen-Schlüsselwort <abc> verwendet werden so ist diese wie folgt einzugeben:
\<abc\>
Soll sowohl das Betreffzeilen-Schlüsselwort <abc> als auch [def] verwendet werden so ist diese
wie folgt einzugeben: \<abc\>|[def]
(siehe auch Reguläre Ausdrücke 284 )
Gross-/Kleinschreibung wird bei der Eingabe des Schlüsselwortes in der Betreffzeile ignoriert.
Bei Verwenden des MS Outlook AddIn im Betreffzeilen-Modus ist darauf zu achten, dass bei
Änderungen der Schlüsselworte in der Appliance, diese entweder als zusätzliche Werte hinzugefügt
werden, oder die Werte im AddIn an die Werte der Appliance angepasst werden müssen.
Beschreibung
General settings
Do not touch mails with the
following text in subject:
Ist diese Option aktiv und das angegebene Schlüsselwort wird im
Betreff einer ausgehenden E-Mail gefunden, so wird diese
kryptographisch unbehandelt weitergeleitet. Das Ruleset wird nicht
weiter durchlaufen.
Im Standard lautet das Schlüsselwort \[plain\].
Dies ergibt unter Umständen Sinn, wenn all diese Voraussetzungen
gegeben sind:
Einstellung "Always use S/MIME or OpenPGP if keys are
available" an der SEPPmail Appliance aktiv
Absender weiss, dass der Empfänger temporär nur auf einem
Mobilen Endgerät empfangen kann
Inhalt der E-Mail ist nicht vertraulich
Add disclaimer to all
outgoing mails
Mit dem Aktivieren dieser Funktion wird jeder ausgehenden, initialen
E-Mail die Fussnote angehängt, welche der jeweiligen managed
domain (siehe Mail System 137 Managed domains 137 Add/Edit
managed domain 147 GINA and disclaimer settings 152 )
zugeordnet ist.
Also add disclaimer to
replies (in-reply-to header
set)
Durch das Aktivieren dieses Punktes wird nicht nur initialen E-Mails,
sondern auch Antwort-E-Mails die jeweils zugeordnete Fussnote
angehängt.
Reprocess mails sent to
reprocess@decrypt.
reprocess
Diese Funktion ermöglicht es einem Empfänger eine verschlüsselte
E-Mail aus seinem Postfach erneut an die SEPPmail Appliance zur
Entschlüsselung zu senden. Hierfür ist die Verschlüsselte E-Mail als
Anhang in eine neue E-Mail zu packen und an die Adresse "
[email protected]" zu senden. Die ursprünglich
verschlüsselte Nachricht wird dadurch entschlüsselt - natürlich
vorausgesetzt der entsprechende Schlüssel ist der SEPPmail
Appliance bekannt - und zurück gesendet.
Anwendungsbeispiele könnten sein:
Direktes Weiterleiten verschlüsselter E-Mails an den internen
© 2016 SEPPmail AG
169
Beschreibung
E-Mail Server bei Ausfall der Appliance
Migration von lokalem Schlüsselmaterial auf den Clients hin
zur SEPPmail Appliance bei gleichzeitigen zurückbleiben von
verschlüsselten E-Mails in den Postfächern der Empfänger
Ebenso ermöglicht dieser Befehl OpenPGP verschlüsselte Dateien
aus dem Datei System durch Senden als E-Mail Anlage an diese
Adresse zu entschlüsseln.
Show message subject in
logs
Zeigt die Betreffzeilen von E-Mails im E-Mail Log der Appliance an.
Dies erleichtert oft die Fehleranalyse. Sollte diese Anzeige jedoch
aus revisionstechnischen Gründen untersagt sein, so ist das
Ausblenden durch Deaktivieren dieser Option möglich.
User creation
Achtung:
Die hier beschriebenen Verhaltensweisen zur automatischen User (siehe auch
Users 251 ) Generierung gelten nur dann zu 100%, wenn diese nicht durch
Custom commands 180 übersteuert werden.
Für das Generieren von neuen Benutzern wird die SMTP-Adresse des FROMheaders herangezogen.
Manual user creation: Only Mit dieser Option können Benutzer auf der Appliance nur manuell
process outgoing mails
angelegt werden.
from users with an account
Hinweis:
Wird diese Einstellung gewählt, so ist
sicherzustellen, dass kein Absender, welcher in
der SEPPmail Appliance nicht bereits als
Benutzer angelegt ist, Merkmale zur
kryptographischen Behandlung (Schlüsselwort,
AddIn, header) verwendet.
In dieser Konstellation würde die Anforderung
ignoriert und somit die E-Mail ohne die
gewünschte kryprtographische Aktion
versendet.
Dieses Verhalten kann bei Bedarf durch einen
Custom Command dahingehend geändert werden,
dass E-Mails in dieser Konstellation abgewiesen
werden (siehe Bounce von E-Mails nicht
authentifizierter Benutzern 389 ).
automatically create
accounts for new users if
user tries to sign / encrypt
Durch Aktivieren dieser Option wird ein Absender, der über ein
entsprechendes Merkmal eine E-Mail als zu verschlüsselnd oder zu
signierend markiert automatisch als Benutzer auf der SEPPmail
Appliance angelegt werden, sofern er nicht bereits vorhanden ist.
Bei Verwenden dieser Option ist darauf zu achten, dass genügend
freie Benutzerlizenen vorhanden sind (siehe Home 116 Licenses
116 Encryption/Signature licenses)
accounts for all users
Kreiert für jeden Absender der über die SEPPmail Appliance eine EMail sendet einen Benutzer, egal, ob Verschlüsseln/Signieren
angefordert wurde oder nicht.
Diese Einstellung ist geeignet, wenn die SEPPmail Appliance nicht
direkt im E-Mail Strom steht, sondern bereits über eine vorgelagerte
© 2016 SEPPmail AG
170
Beschreibung
Komponente entschieden wird, welche E-Mails kryptographisch zu
behandelnd sind und nur diese an die SEPPmail Appliance übergibt.
Ein weiterer Anwendungsfall wäre, wenn alle E-Mails eines
Unternehmens grundsätzlich signiert oder gegebenenfalls
verschlüsselt werden sollen.
Processing of outgoing mails that are not from a managed domain (based on FROM-header)
(neu in 7.4.2)
Process normally
Mit dieser Option wird kein Unterschied zwischen zwischen
ausgehenden E-Mails von Fremd- oder managed domains (siehe
Mail System 137 Managed domain 137 ) gemacht. Das heisst,
sollte eine E-Mail im FROM-header eine Adresse enthalten, welche
nicht von einer managed domain stammt, so werden - sofern eine
Option zur automatischen Benutzeranlage (siehe oben) gewählt ist gegebenenfalls auch für Absender fremder Adressen User generiert.
Hinweis:
Diese Einstellung kann unter Umständen sinnvoll
sein, um eine Firmenrichtlinie strikt durchzusetzen.
So werden dann auch E-Mails, welche zum Beispiel
durch eine automatische Weiterleitungsregel
gesendet werden und deshalb den ursprünglichen
(Fremd-)Absender im FROM-header beinhalten
zwingend verschlüsselt werden.
Achtung:
Folgende Punkte sind bei dieser Einstellung zu
beachten:
1. Gegebenenfalls wird durch diese Einstellung
versucht, über einen MPKI Connector ein
Zertifikat für den (Fremd-)User zu beziehen.
Dies muss jedoch fehlschlagen, da für die
(Fremd-)E-Mail Domäne kein Vertrag mit der
CA bestehen kann.
2. Wird weiterhin mangels Schlüsselmaterials
des Empfängers GINA als
Verschlüsselungstechnologie verwendet, wird
das Initialpasswort - unter Umständen sogar
unverschlüsselt - nach aussen an den
(Fremd-)User gesendet.
Dies bedeutet auch, dass - je nach
Einstellung - beim
Passwortrücksetzungsprozess
gegebenenfalls auch der externe (Fremd-)
User adressiert würde.
3. In mandantenfähigen Systemen kann der
generierte Benutzer nicht automatisch einem
Mandanten zugeordnet werden, da die
(Fremd-)E-Mail Domäne nicht zugeordnet
sein kann.
Dies bedeutet auch, dass Log-Einträge
solcher E-Mails nur durch Mitglieder der
Gruppe (Groups 258 ) admin 258 zu sehen
sind, nicht jedoch vom Mandanten Admin
(siehe Customers 274 Customer
© 2016 SEPPmail AG
171
Beschreibung
Management 275 Customer
administrators 276 ).
Immediately deliver
unchanged
Durch diese Option werden E-Mails von Fremd-Absendern immer
unverändert, also "plain" (vergleiche auch General settings 168 "Do
not touch mails with the following text in subject:") versendet.
Achtung:
Durch diese Einstellung werden unter Umständen
ursprünglich verschlüsselte E-Mails im Anschluss im
Klartext in das Internet gesendet!
In mandantenfähigen Systemen kann der LogEinträge solcher (Fremd-)E-Mails nicht automatisch
einem Mandanten zugeordnet werden, da die
(Fremd-)E-Mail Domäne nicht zugeordnet sein
kann.
Dies bedeutet, dass Log-Einträge solcher E-Mails
nur durch Mitglieder der Gruppe (Groups 258 )
admin 258 zu sehen sind, nicht jedoch vom
Mandanten Admin (siehe Customers 274 Customer
Management 275 Customer administrators 276
).
Reject
Durch diese Option werden E-Mails von Fremd-Absendern immer
abgewiesen.
Encryption/Decryption
Achtung:
Bei S/MIME verschlüsselten E-Mails sind als "Content-Type" des headers jeweils
zwei Ausdrücke möglich, nämlich
a. "application/x-pkcs7-mime"
Dieser Ausdruck fand bereits vor Entstehen des Standards weite
Verbreitung und ist deshalb weiterhin üblich (siehe auch RFC2311).
b. "application/pkcs7-mime"
Dieser Ausdruck entspricht RFC5751 und ist ebenso üblich.
Die SEPPmail Appliance verarbeitet bei eingehenden E-Mails beide Ausdrücke
gleichermassen. Bei ausgehenden E-Mails wird die Variante a. verwendet.
Bei empfangenden Drittsystemen ist darauf zu achten, dass diese ebenfalls beide
Varianten gleichermassen verarbeiten, auch um Inkompatibilitäten von anderer
Seite zu vermeiden.
Incoming e-mails
Add this text to message
subject after decryption
Ist diese Option aktiv, werden eingehende, durch die SEPPmail
Appliance entschlüsselte E-Mails im Betreff mit diesem Schlüsselwort
gekennzeichnet.
Im Standard lautet das Schlüsselwort \[secure\].
Set confidential flag after Durch Aktivieren dieser Option wird bei eingehenden, durch die
decryption:
SEPPmail Appliance entschlüsselten E-Mails den header "Sensitivity:
Company-Confidential".
Reject mails if S/MIME
Bei aktiver Option werden eingehende, verschlüsselte E-Mails
© 2016 SEPPmail AG
172
Beschreibung
decryption fails
abgewiesen (bounced), sofern sie durch die SEPPmail Appliance
nicht entschlüsselt werden konnten.
Da die SEPPmail Appliance eine E-Mail einem eventuell
vorgelagerten System erst dann als angenommen meldet, wenn die
E-Mail ausgeliefert werden kann, ist diese Funktion auch zum
Beispiel nach einem externen SPAM-Filter problemlos verfügbar.
Hinweis:
Durch Aktivieren dieser Aktion wird auch eine
eventuell teilweise Ende-zu-Ende Verschlüsselung
(zum Beispiel mittels Smart-Card) unterbunden.
Outgoing e-mails
Always encrypt mails with
the following text in
subject:
Betreff einer ausgehenden E-Mail gefunden, so wird diese
verschlüsselt.
Im Standard lautet das Schlüsselwort \[confidential\].
Hinweis:
Wird an dieser Stelle das Schlüsselwort aus
Incoming e-mails "Add this text to message subject
after decryption" verwendet, beziehungsweise
zusätzlich hinzugefügt - also (\[confidential\])|
(\[secure\]) - so würden alle Antworten auf
ursprünglich verschlüsselt empfangene E-Mails
automatisch verschlüsselt.
Achtung:
Das beziehungsweise die hier verwendeten
Schlüsselworte müssen sich von denen für die
Signatur (siehe Signing Outgoing e-mails "S/MIME
sign outgoing mails with the following text in
subject:") unterscheiden.
Always encrypt mails
with Outlook
"confidential" flag set
Bei aktiver Option wir der "Sensitivity" Parameter aus dem E-Mail
header der ausgehenden E-Mail ausgewertet. Hat dieser den Wert
"Company-Confidential", so wird die E-Mail verschlüsselt.
Always use GINA
technology for mails with
subject:
Betreff einer ausgehenden E-Mail gefunden, so wird das
Verschlüsseln mittels GINA-Technologie erzwungen.
Im Standard lautet das Schlüsselwort \[priv\].
Das Erzwingen der GINA-Technologie ist immer dann sinnvoll, wenn
eine verlässliche Lesebestätigung benötigt wird.
Always use GINA
Bei aktiver Option wir der "Sensitivity" Parameter aus dem E-Mail
technology for mails with header der ausgehenden E-Mail ausgewertet. Hat dieser den Wert
Outlook "private" flag set "private", so wird ebenfalls das Verschlüsseln mittels GINATechnologie erzwungen.
© 2016 SEPPmail AG
173
Beschreibung
Hinweis:
Diese Option kann zu Problemen führen, wenn
als privat markierte Kalendereinträge versendet
werden, da diese dann automatisch GINA-verschlüsselt würden.
Create GINA users with
empty password if the
following text is in the
subject:
Mit Aktivieren dieses Punktes wird bei Auffinden des angegebenen
Schlüsselwortes im Betreff einer ausgehenden, initialen GINA-E-Mail
kein Initial-Password benötigt.
Im Standard lautet das Schlüsselwort \[emptypw\].
Always use S/MIME or
OpenPGP if keys are
available
Bei aktiver Option werden ausgehende E-Mails immer verschlüsselt,
sofern der SEPPmail Appliance ein öffentlicher Schlüssel - egal ob S/
MIME oder OpenPGP - des Kommunikationspartners (Empfängers)
vorliegt.
Hinweis:
Es gilt zu beachten, dass der Versender der E-Mail
auf der SEPPmail Appliance jeweils als Benutzer
angelegt sein oder werden muss, wenn er an einen
entsprechenden Kommunikationspartner sendet.
Always use GINA
encryption if account
exists and no S/MIME or
OpenPGP key is known
Ist diese Option aktiv, so werden ausgehende E-Mails immer mittels
GINA Technologie verschlüsselt, sofern der SEPPmail Appliance
kein öffentlicher Schlüssel - weder S/MIME noch OpenPGP - bekannt
ist, jedoch ein GINA Account für den Kommunikationspartner
(Empfängers) vorliegt.
Do not encrypt outgoing
mails with the following
text in subject:
Betreff einer ausgehenden E-Mail gefunden, so wird ein eventuelles
Verschlüsseln in jedem Fall unterdrückt. Andere kryptographische
Aktionen (Signieren) sind davon nicht betroffen.
Im Standard lautet das Schlüsselwort \[noenc\].
Use AES256 for S/MIME Durch das Aktivieren dieser Option wird für das S/MIME
encryption
Verschlüsseln von E-Mail der AES256 Algorithmus verwendet.
Hinweis:
Dieser Algorithmus wird von WindowsXP Maschinen
sowie in Outlook Versionen vor 2007 nicht
unterstützt.
Ebenso unterstützen einige Secure-E-Mail-Gateway
Hersteller dieses Verfahren nach wie vor nicht für
die Domänenverschlüsselung
Hinweis:
Für OpenPGP wird automatisch die maximal
mögliche Schlüssellänge aus dem öffentlichen
Schlüssel des Kommunikationspartners ermittelt
und verwendet.
Consider "forced TLS"
as encrypted
Durch Aktivieren dieser Option wird TLS Verschlüsselung, für
Zieldomänen welche unter Mail System 137 TLS settings 140 mit
© 2016 SEPPmail AG
174
Beschreibung
(neu in 7.4.1)
einer höheren Sicherheitseinstellung als "may" eingetragen wurden,
als E-Mail Verschlüsselungsoption anerkannt.
Somit ändert sich bei diesen Zieldomänen die
Verschlüsselungshierarchie 36 wie folgt:
1. Geprüftes S/MIME Zertifikat des Empfängers
2. Geprüfter öffentlicher OpenPGP Schlüssel des Empfängers
3. Geprüftes S/MIME Domänen Zertifikat der Empfänger Domäne
4. Geprüfte öffentlicher OpenPGP Domänen Schlüssel der
Empfänger Domäne
5. TLS-Verschlüsselung höher "may" - wobei diese auch zusätzlich
verwendet wird, wenn bereits eines der höher priorisierten
Verfahren zum Einsatz kam.
Sollte keines der vorangegangenen (Standard-)Verfahren verfügbar
sein
6. GINA mit hinterlegtem Empfängerpasswort
7. GINA mit Initialpasswort
Signing
Achtung:
Bei S/MIME signierten E-Mails sind als "Content-Type" des headers jeweils zwei
Ausdrücke möglich, nämlich
a. "application/x-pkcs7-signature"
Dieser Ausdruck fand bereits vor Entstehen des Standards weite
Verbreitung und ist deshalb weiterhin üblich (siehe auch RFC2311).
b. "application/pkcs7-signature"
Dieser Ausdruck entspricht RFC5751 und ist ebenso üblich.
Die SEPPmail Appliance verarbeitet bei eingehenden E-Mails beide Ausdrücke
gleichermassen. Bei ausgehenden E-Mails wird die Variante a. verwendet.
Bei empfangenden Drittsystemen ist darauf zu achten, dass diese ebenfalls beide
Varianten gleichermassen verarbeiten, auch um Inkompatibilitäten von anderer
Seite zu vermeiden.
Hinweis:
Bei der S/MIME Signatur wird eine Prüfsumme über den E-Mail body sowie die
MIME header gebildet. Das heisst, sofern Änderungen an diesen Teilen der E-Mail
vorgenommen werden, wird das Zielsystem die Signatur als ungültig einstufen.
Ausgenommen von der Prüfsumme sind hingegen die E-Mail header, wie zum
Beispiel from, sender, reply-to, to, cc, subject sowie beliebigee x-header.
Incoming e-mails
Ist diese Option aktiv, werden eingehende, signierte E-Mails, deren
Signaturen durch die SEPPmail Appliance geprüft und als in Ordnung
subject if S/MIME
signature check succeeds: befunden wurden mit dem angegebenen Schlüsselwort im Betreff
gekennzeichnet.
Im Standard lautet das Schlüsselwort \[signed\sok\].
Hinweis:
Damit eine S/MIME E-Mail Signatur als "in Ordnung"
befunden wird,
a) darf diese E-Mail auf dem Weg vom
Absender bis zum Empfang und Prüfung
durch die SEPPmail Appliance nicht
© 2016 SEPPmail AG
175
Beschreibung
verändert worden sein.
b) muss das Signatur-Zertifikat des Absenders
von einem vertrauenswürdigen Aussteller
stammen (siehe X.509 Root Certificates
267 )
Als Absender wird die E-Mail Adresse des
FROM-headers herangezogen.
Remove signature if S/
MIME signature check
succeeds
Entfernt die S/MIME E-Mail Signatur nach erfolgreicher Prüfung.
Das Entfernen der E-Mail Signatur kann beim Einsatz Mobiler
Endgeräte als E-Mail Clients von Vorteil sein, da diese häufig nicht
mit diesen Signaturen umgehen können.
subject if S/MIME
signature fails:
Ist diese Option aktiv, werden eingehende, signierte E-Mails, deren
Signaturen durch die SEPPmail Appliance geprüft und als defekt
befunden wurden mit dem angegebenen Schlüsselwort im Betreff
gekennzeichnet.
Im Standard lautet das Schlüsselwort \[signed\sINVALID\].
Zusätzlich wird im mail log (siehe Logs 245 mail log (last 500) 246 )
ein entsprechender SSL-Fehler ausgegeben.
Remove signature if S/
MIME signature check
fails
Entfernt die S/MIME E-Mail Signatur nach fehlgeschlagener Prüfung.
Das Entfernen der E-Mail Signatur kann beim Einsatz Mobiler
Endgeräte als E-Mail Clients von Vorteil sein, da diese häufig nicht
mit diesen Signaturen umgehen können. Allerdings ist dann auch
keine weitere Prüfung durch den E-Mail Client und somit eine
Analyse, weshalb die Signatur als ungültig eingestuft wurde, möglich.
Outgoing e-mails
Hinweis:
Sofern die Zertifikatskette nicht bereits in den Zertifikaten, welche für das
Signieren verwendet werden vorhanden ist, wird diese während des Signierens
durch die Aplliance ergänzt. Dies setzt voraus, dass der Appliance die komplette
eigene Zertifikatskette - inklusive der Zwischenzertifikate - bekannt, also unter
X.509 Root Certificates 267 als vertrauenswürdig eingestuft ist.
Hinweis:
Für das Anziehen des privaten Signaturschlüssels wird im Standard der Sender
aus dem (neu in 7.4.3) FROM-header der E-Mail herangezogen.
Dadurch funktioniert zum Beispiel auch die Vertreterregelungen "Senden im
Auftrag von" in Microsoft Outlook mit anderen E-Mail Clients beim Empfänger,
ohne dass ein Eingriff via "Custom Commands" notwendig wäre.
(neu in 7.4.6)
Ist der Sender des FROM-headers nicht intern - also keiner managed domain
zuzuordnen - so wird auf das Vorhandensein des SENDER-headers geprüft. Ist
dieser vorhanden und der darin enthaltene Sender intern, so wird dieser für das
Anziehen des Signaturschlüssels verwendet.
Dadurch werden Probleme beim Weiterleiten von Kalendereinladungen
vermieden.
© 2016 SEPPmail AG
176
Beschreibung
Hinweis:
Für das Signieren wird jeweils der Schlüssel / das Zertifikat des Absenders mit
der längsten Gültigkeit herangezogen.
Generell gilt jedoch, per MPKI ausgestellte Zertifikate werden bevorzugt zur
Signierung verwendet („Bonus“ von 10 Jahren). Damit wird verhindert, dass
„Umsteiger“, welche zunächst Zertifikate einer selbst signierten CA (diese stellt
im Standard Zertifikate mit einer Laufzeit von zehn Jahren aus) im Einsatz hatten,
weiterhin mit diesen Zertifikaten anstatt der über die MPKI bezogenen Trusted
Zertifikate (diese werden in der Regel mit einer Laufzeit von nur einem Jahr
ausgestellt) signieren.
S/MIME sign outgoing
mails with the following
text in subject:
Betreff einer ausgehenden E-Mail gefunden, so wird diese S/MIME
signiert.
Im Standard lautet das Schlüsselwort \[sign\].
Achtung:
Das beziehungsweise die hier verwendeten
Schlüsselworte müssen sich von denen für die
Verschlüsselung (siehe Encryption/Decryption
Outgoing e-mails Always encrypt mails with the
following text in subject:) unterscheiden.
Sign all outgoing mails if
S/MIME certificate
available
Signiert alle ausgehenden E-Mails von SEPPmail Appliance
Benutzern mit gültigem S/MIME Zertifikat.
Da mit der S/MIME Signatur das öffentliche Zertifikat mitgesendet
wird, wird diese durch das Aktivieren dieser Aktion möglichst vielen
Kommunikationspartnern zur Verfügung gestellt. Dadurch werden
diese widerum in de Lage versetzt S/MIME verschlüsselt mit dem
Absender zu kommunizieren.
Weiterhin wird hierdurch die Herkunft der E-Mails bestätigt.
Hinweis:
Diese Option schliesst die vorangegangene Option
S/MIME sign outgoing mails with the following text in
subject: aus.
Sind dennoch beide Optionen aktiviert, so wird das
Schlüsselwort für das Signieren nicht aus dem
Betreff der E-Mail entfernt
OpenPGP sign
messages when
encrypting with
OpenPGP and sender
has a secret key
Durch Aktivieren dieser Option werden E-Mails, bei welche aufgrund
der Verschlüsselungshierarchie 36 OpenPGP zum Einsatz kommt
automatisch auch OpenPGP signiert, sofern der Absender im Besitz
eines gültigen OpenPGP Schlüsselpaares auf der Appliance ist.
Do not S/MIME sign
outgoing mails with the
following text in subject:
Betreff einer ausgehenden E-Mail gefunden, so wird ein eventuelles
Signieren in jedem Fall unterdrückt. Andere kryptographische
Aktionen (Verschlüsseln) sind davon nicht betroffen.
Im Standard lautet das Schlüsselwort \[nosign\].
S/MIME sign outgoing
mails with domain key with
subject:
Betreff einer ausgehenden E-Mail gefunden, so werden alle
ausgehenden E-Mail - egal von welchem Absender - mit dem S/
MIME-Zertifikat und im Namen der angegebenen E-Mail Adresse
© 2016 SEPPmail AG
177
Beschreibung
(siehe "Using Certificate") S/MIME signiert.
Im Standard lautet das Schlüsselwort \[domainsign\].
Achtung:
Vom Verwenden dieser Option wird dringendst
abgeraten!
Durch die für diese Funktion notwendige
Manipulation des Absenders aller ausgehenden EMails resultieren zahlreiche Probleme.
So werden sogenannte Non-Delivery-Reports immer
an diese Adresse und nicht an den ursprünglichen
Absender gesendet. Das heisst kommt eine E-Mail
nicht wie erwartet beim Empfänger an, so wird der
ursprüngliche Absender darüber keine Information
erhalten.
Trägt der Empfänger den Absender der E-Mail in
sein Adressbuch ein, so ist auch hier zu erwarten,
dass er zukünftig nicht den eigentlich gewünschten,
sondern den manipulierten Empfänger adressiert.
Using Certificate:
Angabe der E-Mail Adresse wie sie im S/MIME Zertifikat für die
Domänensignatur enthalten ist.
Text before new FROM:
Einzufügender Text vor dem manipulierten Absender.
Text after new FROM:
Einzufügender Text nach dem manipulierten Absender.
Always use SHA2 for
S/MIME signing
Durch diese Option wird beim Signieren das neuere hash-Verfahren
SHA2 anstatt SHA1 verwendet.
(neu in 7.4.7)
Key generation
OpenPGP keys for new
users
Durch Auswählen dieser Option wird für jeden neu generierten
Benutzer automatisch ein OpenPGP-Schlüsselpaar erzeugt.
Hinweis:
Die Laufzeit sowie gegebenenfalls das automatische
Erneuern der Schlüssel wird 1:1 aus den Internal
CA settings 216 des Menüs CA 214 übernommen!
automatically create S/
MIME keys for new users
Benutzer automatisch ein S/MIME-Schlüsselpaar über die interne CA
erzeugt.
automatically buy <CA> S/
MIME keys for new users
Benutzer automatisch ein S/MIME-Zertifikat von der angegebenen
CA bezogen.
Hinweis:
Das Schlüsselpaar wird auf der Appliance generiert.
Nur der öffentliche Schlüssel wird zum Signieren bei
der CA eingereicht. Der private Schlüssel verlässt
die SEPPmail Appliance nicht!
© 2016 SEPPmail AG
178
Beschreibung
Diese Option erscheint nur dann, wenn unter CA 214
External CA 218 eine entsprechende MPKI
ausgewählt wurde.
Protection Pack (AntiSpam / AntiVirus)
(nur mit entsprechender Lizenz (siehe Home 116 Licenses 116 Protection Pack (AntiSpam /
AntiVirus)) verfügbar)
Check mails for viruses and
send infected mails to (leave
empty to reject infected
mails):
Mit Auswahl dieser Option wird der Virenscanner aktiviert. Infizierte
E-Mails werden an die optional einzugebende E-Mail Adresse
gesendet (Quarantäne). Bleibt das Eingabefeld für die E-Mail
Adresse leer, so werden infizierte E-Mails abgewiesen (bounced).
Exclude the following
signatures from test (regular
expression, e.g. "(Broken.
Executable)|(Heuristics.
Encrypted)|(Heuristics.
Phishing.Email)"):
Für den Fall, dass ClamAV nach einem Signatur-Update sogenannte
false positve Meldungen erzeugt, können an dieser Stelle
Ausnahmen vom Virenscan definiert werden. Dies können
heuristische Teil-Prüfungen sein (siehe gegebenenfalls http://
www.clamav.net/))
einzelne Viren Namen, wie sie dem Log zu entnehmen sind
sein.
(neu in 7.4.6)
Im Standard verwendet die Scan Engine die ClamAV Signaturen
sowie weitere Signaturen von Sanesecurity (http://sanesecurity.com)
(siehe Mail System 137 AntiSpam 143 "Enable unofficial signatures
for ClamAV").
Send notification to this email address if a virus was
found:
Wird an dieser Stelle eine E-Mail Adresse angegeben, so werden an
diese Benachrichtigungen über Virenfunde gesendet.
Block windows executable
files in mails (including
inside unencrypted zip
archives)
Bei aktivierter Option werden E-Mails, welche ausführbare Windows
Dateiformate enthalten abgelehnt (rejected). Dies gilt auch für ArchivDateien wie zum Beispiel ZIP.
(neu in 7.4.6)
Block (most) script files in
mails (e.g. .js files,
including inside
unencrypted zip archives)
Hinweis:
Im engeren Sinne sind "Executables" Binärdateien,
die nativ ausgeführt werden können. Skript
Dateiformate, für deren Ausführung auf dem
Betriebssystem ein entsprechender Interpreter
benötigt wird (wie etwa Java-Script) sind von dieser
Option nicht berührt (siehe nächste Option!).
Bei aktivierter Option werden E-Mails, welche übliche, ausführbare
Skript Dateiformate enthalten abgelehnt (rejected).
(neu in 7.4.6)
Check incoming mails for
spam and add the following
text to the subject to identify
spam:
Mit Auswahl dieser Option werden als SPAM klassifizierte E-Mails
dem angegebenen Text in der Betreffzeile versehen und an den
Empfänger weitergeleitet. Basis der Klassifizierung ist der
angegebene Tag level (siehe nächste Option).
Der Standartext für diese Markierung lautet [SPAM]
(Achtung: reine Texteingabe, keine "Regular Expression")
Tag level:
Auswahl, des Schwellwertes für die SPAM-Erkennung. Je niedriger
© 2016 SEPPmail AG
179
Beschreibung
dieser Wert (0.5 bis 9.5) gesetzt wird, desto strenger sind die
Kriterien für die SPAM-Erkennung.
Im Standard ist der Wert "5" gewählt.
Bei niedrigen Werten erhöht sich das Risiko von Falscherkennungen,
so dass legitime E-Mails als SPAM erkannt und markiert werden.
Mit Auswahl dieser Option werden als SPAM klassifizierte E-Mails an
Check incoming mails for
die angegebene Adresse umgeleitet, beziehungsweise bei freilassen
spam and redirect spam to
(leave empty to reject spam): des Eingabefeldes abgelehnt (bounced). Basis für die SPAM
Erkennung ist der angegebene "Spam level" (siehe nächste Option).
Spam level:
Auswahl, des Schwellwertes für die SPAM-Erkennung. Je niedriger
dieser Wert (0.5 bis 9.5) gesetzt wird, desto strenger sind die
Kriterien für die SPAM-Erkennung.
Im Standard ist der Wert "8" gewählt.
Bei niedrigen Werten erhöht sich das Risiko von Falscherkennungen,
so dass legitime E-Mails als SPAM erkannt und umgeleitet
beziehungsweise abgelehnt (bounced) werden.
Reject incoming mails with
spoofed sender domain.
(neu in 7.4.1)
Ist dieser Parameter gesetzt, so wird - sofern der im envelope oder
FROM-header der E-Mail eingetragene Absender aus einer managed
domain stammt - geprüft, ob der sendende Server im Relaying
beziehungsweise Whitelisting eingetragen ist.
Ist dies nicht der Fall, so wird die Email abgewiesen.
Reject mails if from header
does not contain a valid email address
Ist dieser Parameter gesetzt, so wird geprüft ob im FROM-header
eine gültige Mailadresse enthalten ist.
Ist dies nicht der Fall, so wird die Email abgewiesen.
(neu in 7.4.1)
Header tagging
Durch das "header tagging" wird das Setzen eines erweiterten, sogenannten x-headers und einen
zugehörigen Wert für unterschiedliche Situationen (siehe folgende Optionen) durch die SEPPmail
Appliance ermöglicht. Diese erweiterten Informationen können durch nachgelagerte Komponenten
ausgewertet werden.
Ein Beispiel für so eine zusätzliche, nachgelagerte, E-Mail verarbeitende Komponente könnte ein
Data Loss Prevention (DLP) System sein.
Set header to value
all incoming mails
For
Setzt den angegebenen X-headermit dem zugeordneten Wert für alle
eingehenden E-Mails
Set header to value
all outgoing mails
For
ausgehenden E-Mails
Set header to value For
all mails that have been
encrypted
E-Mails, welche durch die SEPPmail Appliance verschlüsselt wurden.
Set header to value For
all mails that have been
decrypted
E-Mails, welche durch die SEPPmail Appliance entschlüsselt wurden.
Archiving
© 2016 SEPPmail AG
180
Beschreibung
Send a copy of ALL mails
to the following Address:
Durch Aktivieren dieser Option wird eine Kopie aller über die
SEPPmail Appliance transportierten E-Mails an die angegebene EMail Adresse gesendet.
Custom commands
Über Custom Commands können über den in den Regelwerk-Anweisungen 280 definierten
Befehlssatz spezifische Anforderungen an entsprechender Stelle im Ruleset eingefügt werden.
Hinweis:
Beim Speichern von Custom Commands wird ein Syntaxcheck durchgeführt. Somit
wird ein ungültiges Regelwerk nicht aktiviert.
Custom commands for
incoming e-mails BEFORE
decryption:
Fügt bei aktivierter Option den im Eingabefeld vorhandenen Code an
der Stelle im Ruleset für eingehende E-Mails VOR der
Entschlüsselung ein.
Custom commands for
incoming e-mails AFTER
decryption:
der Stelle im Ruleset für eingehende E-Mails NACH der
Entschlüsselung ein.
Custom commands for
outgoing e-mails BEFORE
encryption:
der Stelle im Ruleset für ausgehende E-Mails VOR der
Verschlüsselung ein.
Custom commands for e-mails
from GINA:
der Stelle im Ruleset für eingehende GINA E-Mails ein.
Custom commands for user
creation:
Ersetzt bei aktivierter Option den Code für das ausgewählte
Standardverfahren für das Generieren neuer Benutzer durch den im
Eingabefeld vorhandenen Code.
Dieser Teil wird mit der User creation 169 Option
"Manual user creation: Only process outgoing mails from users
with an account" immer
"automatically create accounts for new users if user tries to
sign / encrypt" nur beim Versuch zu verschlüsseln/
signieren
"automatically create accounts for all users" immer
durchlaufen, sofern die Option aktiv ist.
Achtung:
Da diese Option das ausgewählte
Standardverfahren für das Generieren neuer
Benutzer ersetzt, würde bei aktivierter Option, ohne
eingegebenen Code niemals ein Benutzer angelegt!
Aus diesem Grund ist das Eingabefeld dieser Option
bereits mit
if (!authenticated()) {
createaccount('@CREATEGPGKEYS@');
log(1, 'user account generated');
}
vorbelegt.
© 2016 SEPPmail AG
181
Beschreibung
Key server
Über key server wird das zusätzliche Abfragen öffentlicher Schlüssel von Kommunikationspartnern
für die Verschlüsselung ermöglicht.
Nach dem Speichern eines key server Eintrags wird jeweils ein weiteres Eingabefeld eingeblendet.
Hinweis:
Öffentliche key server beherbergen häufig "totes" Schlüsselmaterial. Das heisst für
die über den key server bereitgestellten öffentlichen Schlüssel besitzen die
Empfänger oft nicht mehr den privaten Schlüssel. Somit sind diese nicht in der
Lage die verschlüsselten E-Mails zu lesen.
Aus diesem Grund wird dringend von der Abfrage solcher Server abgeraten.
OpenPGP key server
An dieser Stelle werden Einträge für OpenPGP-Schlüssel-Server
vorgenommen.
Hinweis:
Wird bei der Abfrage eines öffentlichen OpenPGP
Schlüssels ein Schlüssel gefunden, dessen Key ID
idenisch mit einem bereits vorhandenen Eintrag auf
der SEPPmail Appliance (OpenPGP Public Keys
264 ) ist, so wird dieser Schlüssel auf der Appliance
durch das Ergebnis der LDAP-Abfrage
überschrieben.
S/MIME key server
An dieser Stelle werden Einträge für S/MIME-Schlüssel-Server
vorgenommen.
Hinweis:
Die S/MIME Zertifikatsanfrage erfolgt noch vor der
Abfrage des internen Zertifikatsspeichers (X.509
Certificates 265 ). Wird auf dem key server ein
neueres Zertifikat als im Zertifikatsspeicher
gefunden, so wird dieses neuere Zertifikat im
Zertifikatsspeicher abgelegt und somit für das
Verschlüsseln verwendet.
Beispiel key server Eintrag:
recipient
mask
(regexp):
@firma\.tld
Bind pw:
password
URI:
LDAP://ldap.firma.local/
Base DN:
Bind dn:
CN=MaxMuster,
OU=Users,
OU=Firma
DC=ihredomain,DC=local
Advanced options
Re-inject mails to sending
mailserver
Mit dem Aktivieren dieser Option werden bereits verarbeitete E-Mails
an den einliefernden E-Mail Server zurück gesendet.
Forwarding und Outgoing server werden bei aktivierter Option
ignoriert beziehungsweise als Fallback Einstellung verwendet
© 2016 SEPPmail AG
182
Beschreibung
Achtung:
Durch das Aktivieren dieser Option kann unter
Umständen eine E-Mail Schleife (Loop) erzeugt
werden, wenn das einliefernde E-Mail System diese
Funktion nicht unterstützt oder falsch konfiguriert
wurde.
Run in queueless mode
Schaltet die Warteschlangen (Queue) Funktion ab. Das heisst EMails werden vom <OEM-PRODUCTNAME%>-System im Normalfall
erst dann an das abgebende System als angenommen gemeldet,
wenn die E-Mail bereits vom nachfolgenden System als
angenommen gemeldet wurde (Rückmelde Code "250 Requested
mail action okay, completed").
Wird diese Option verwendet, so kann bei einem Austausch der
Appliance (zum Beispiel bei einem Hardware-Defekt) annähernd
sichergestellt werden, dass keine E-Mails verloren gehen.
Achtung:
Aufgrund dieser Einstellung können - vor allem
wenn die E-Mail verarbeitenden Maschinen in
unterschiedlichen Netzen stehen -Verzögerungen
auftreten. Eine Folge davon können vermehrt
auftretende Timeouts sein.
Weiterhin kann das vorläufige Zwischenspeichern
einer E-Mail in der E-Mail Warteschlange durch
diese Einstellung nicht 100%ig verhindert werden:
Werden beispielsweise bei ausgehenden EMails mehrere E-Mail Domänen adressiert, von
denen eine nicht den Empfang mit dem
Rückmelde Code 250 quittiert, so würde die EMail an diese eine E-Mail Domäne dennoch in
der E-Mail Queue zwischengespeichert werden.
Bei Komplettausfall des nächsten E-Mail HOPs
würde die Appliance ebenfalls die E-Mails in der
Warteschlange speichern und somit dem
abgebenden System den Empfang quittieren.
Ebenso werden LFT-Benachrichtigungs-E-Mails
in der Warteschlange zwischengespeichert,
wenn der Empfänger temporär nicht erreichbar
ist.
Completely disable GINA
technology
Deaktiviert die GINA-Technologie.
Als Folge würden als "zu verschlüsselnd" gekennzeichnete E-Mails
abgewiesen werden, wenn keine andere Verschlüsselungsmethode
(S/MIME, OpenPGP, Domain) verfügbar ist.
Hinweis:
Wird die GINA-Technologie über diese Option
abgeschaltet, so ist darauf zu achten, dass alle
Optionen aus "Encryption/Decryption", welche diese
Technologie ansteuern deaktiviert sind. Ebenso darf
kein Ansteuern dieser Technologie über "Custom
Commands" erfolgen.
Completely disable userbased S/MIME and
© 2016 SEPPmail AG
Deaktiviert sowohl die Benutzer bezogene S/MIME als auch die
OpenPGP Technologie.
183
Beschreibung
OpenPGP
Diese Aktion wird meist in Verbindung mit "Completely disable GINA
technology" verwendet, um ausschliesslich Domänenverschlüsselung
anzuwenden.
Hinweis:
Wird diese Option gewählt, so ist darauf zu achten,
dass alle Optionen aus "Encryption/Decryption",
welche diese Technologie ansteuern deaktiviert
sind. Ebenso darf kein Ansteuern dieser
Technologien über "Custom Commands" erfolgen.
Muss aus revisionstechnischen Gründen der GINA-Teil in einer
Use remote GINA server,
reachable under the following anderen Demilitarisierten Zone (DMZ) als der SMTP verarbeitende
Teil stehen, so ist die Trennung über diese Option möglich. Selbst
e-mail address:
eine Trennung auf unterschiedliche Standorte ist möglich.
Alle GINA zu verschlüsselnden E-Mails werden dann über die hier
angegebene Pseudo-E-Mail Adresse (zum Beispiel
[email protected]) S/MIME verschlüsselt per SMTP an
den GINA-Satelliten geleitet.
This is a remote GINA
server
Relay for domain:
Definiert den Gegenpart zur Option "Use remote GINA server,
reachable under the following e-mail address:", also den GINASatelliten.
An der Satelliten Appliance muss die Pseudo-Mail-Domäne (im
Beispiel oben "ginapseudodomain.local") als zusätzliche managed
domain eingetragen werden (siehe Mail System 137 Managed
domains 137 ). Ebenso müssen die managed domains des BasisSystems erfasst werden. Die GINA-Konfiguration und deren
Zuordnung zu den managed domains erfolgt auf dem SatellitenSystem (siehe Mail Processing 160 GINA domains 160 ).
Hier sind die managed domains des Basis-Systems einzutragen
(siehe Mail System 137 Managed domains 137 ).
Die Trennung der domains erfolgt durch ein Pipe-Zeichen "|" als
Regulärer Ausdruck, also domain1\.tld|domain2\.tld|domain\.tld .
Hinweis:
Theoretisch kann somit auch ein GINA-Satellit, für
mehrere Appliances, welche unterschiedliche
managed domains beherbergen, konfiguriert
werden.
Relay e-mail address:
Hier ist die gleiche Pseudo-E-Mail Adresse einzutragen wie auf dem
"Basis"-System unter "Use remote GINA server, reachable under the
following e-mail address:".
Relay domain key
fingerprint:
Hier sind die Fingerprints der Domänen Zertifikate der unter "Relay
for domain" angegebenen managed domains jeweils durch ein PipeZeichen "|" getrennt als Regulärer Ausdruck, also fingerprint1|
fingerprint2|fingerprintn anzugeben.
(siehe Mail System 137 Managed domains 137 Add/Edit
managed domain 151 S/MIME domain encryption 151 )
Enable internal encryption
with user keys (also
Mit dieser Option wird die zertifikatsbasierte interne E-Mail
Verschlüsselung aktiviert.
© 2016 SEPPmail AG
184
Beschreibung
enables ldap server on
ports 388, 387 and 635.
User keys must be
installed on appliance for
proper function)
Im Anschluss müssen die privaten Schlüssel - der vorhandenen
unternehmensinternen CA - für die Benutzer, denen das
Verschlüsseln zu externen Kommunikationspartnern gestattet ist, auf
der SEPPmail Appliance importiert werden (siehe Administration
233 Import 235 Import S/MIME keys).
Am E-Mail Client müssen in der Regel zwei LDAP Adressbücher
erzeugt werden:
1. zur Abfrage der unternehmensinternen CA, welche das
Schlüsselmaterial für die interne E-Mail Verschlüsselung bereit
stellt
2. zur Abfrage des über diese Option aktivierten key servers der
SEPPmail Appliance
Hierzu ist es ausreichend die IP-Adresse beziehungsweise den
Hostnamen der SEPPmail Appliance sowie einen der Ports 387
oder 388, beziehungsweise 635 für eine verschlüsselte
Verbindung anzugeben. Eine Authentifizierung ist nicht
notwendig
Weiterhin wichtig ist, dass dem X.509 Root Zertifikat der internen CA
der SEPPmail Appliance (siehe CA 214 Download certificate) an
den Clients vertraut wird.
(diese Option schliesst die folgende Option aus)
Enable ldap server on
ports 388, 387 and 635 to
distribute collected S/
MIME certificates to
internal users
Durch Aktivieren dieser Option wird die SEPPmail Appliance zum
LDAP-Schlüssel-Server für alle Zertifikate externer
Kommunikationspartner, welche aus S/MIME Signaturen
eingehender E-Mails eingesammelt wurden.
(diese Option schliesst die vorhergehende Option aus)
Use Incamail instead of
local GINA interface
Diese Option ist nur für Teilnehmer des Schweizer Dienstes IncaMail
relevant.
Die vorgenommenen Änderungen werden über die Schaltfläche Save and create ruleset
gespeichert. Das Ruleset wird mit den vorgenommen Einstellungen generiert.
Achtung:
Für eine korrekte Funktion der Appliance muss initial ein Ruleset durch Klicken der
Schaltfläche Save and create ruleset generiert werden.
Sektion SMTP ruleset
Über die Schalfläche Display ruleset wird das Ruleset der SEPPmail Appliance angezeigt. Wurde
dieses über den Ruleset generator 168 erzeugt, so steht in den ersten beiden Zeilen Datum und
Uhrzeit der Erzeugung, sowie die Version, mit welcher das Ruleset erzeugt wurde.
In sehr grossen Unternehmen mit entsprechend umfangreichen individuellen Anforderungen besteht
die Möglichkeit ein ruleset mittels der Referenz der Regelwerk-Anweisungen 280 zu erstellen.
Dieses kann über die Schaltfläche Upload importiert und verwendet werden.
© 2016 SEPPmail AG
185
7.7.1
Create new GINA domain
Sektion Create new GINA domain
Parameter
Beschreibung
Description
Hier ist der Name einzugeben, welcher im Auswahlmenü Mail Processing
160 GINA domains 160 angezeigt werden soll.
Hostname
Ist unter Mail Processing 160 GINA settings 9 die Option "Use virtual
hosting" aktiviert, so ist hier der FQDN anzugeben, unter welchem das
Interface erreichbar sein wird (zum Beispiel securemail.meinkunde1.tld).
Andernfalls ist hier der Name des Unterverzeichnisses anzugeben, in welchem
das GINA-Interface erzeugt werden soll, (zum Beispiel meinkunde1).
Das neue GINA-Interface wird dann im Unterverzeichnis des unter dem FQDN
des [default]-GINA-Eintrages erreichbar sein (zum Beispiel https://securemail.
meinefirma.tld/meinkunde1/web.app)
Achtung:
An dieser Stelle wird Gross-/Kleinschreibung unterschieden.
Das heisst, wird statt meinkunde1 MeinKunde1 als Name
verwendet, so würde sich auch die URL dementsprechend
ändern, also https://securemail.meinefirma.tld/MeinKunde1/
web.app.
Über die Schaltfläche Create wird der Vorgang abgeschlossen.
© 2016 SEPPmail AG
186
7.7.2
Edit GINA settings
In diesem Menü können die Einstellungen für die gewählte GINA-Domain individuell vorgenommen
werden.
Zusätzlich zu den technischen Einstellungen kann über die Schaltfläche Edit GINA Layout jeweils
das Design an die Firmenidentität angepasst werden (siehe Edit GINA Layout 200 ).
Sektion Secure GINA host
Parameter
Beschreibung
Hostname
Sofern nicht die [default] GINA-Domain zum Editieren ausgewählt wurde, so
ist der Hostname bereits mit dem Wert, welcher beim Erzeugen eingetragen
wurde (siehe Create new GINA Domain 185 ) vorausgefüllt.
Port
Diese Option erscheint nur dann, wenn unter Mail Processing 160 GINA
settings 160 die Option "virtual hosting" aktiviert wurde. In diesem Fall kann
für jedes GINA-Interface ein spezieller Port gewählt werden.
Key and certificate Diese Option erscheint nur dann, wenn unter Mail Processing 160 GINA
settings 160 die Option "virtual hosting" aktiviert wurde. Da mit dieser
Einstellung für jedes GINA-Interface ein eigener FQDN verwendet wird, ist
auch für jeden FQDN ein passendes SSL Zertifikat zu verwenden, welches
hier einzutragen ist.
Sektion Master template
Diese Sektion erscheint nur, falls ein anderes als das [default] GINA-Interface editiert wird.
Parameter
Beschreibung
Master template
Durch Auswahl eines Master templates können in den folgenden Sektionen
wahlweise die Einstellungen eines anderen GINA-Interface übernommen
werden.
Wird diese Auswahl in einer Sektion getroffen, so werden nach dem Klicken
der Schaltfläche Save die Eingabefelder dieser Sektion ausgegraut und die
Einstellungen des ausgewählten Master templates angezeigt.
© 2016 SEPPmail AG
187
Sektion Admin
Einstellungen für den Versand von GINA-Systemmeldungen.
Parameter
Beschreibung
Use settings from
master template
Diese Option erscheint nur, falls ein anderes als das [default] GINA-Interface
editiert wird.
Durch Aktivieren dieser Option werden die Einstellungen aus der unter
Master template 186 gewählten Vorlage übernommen.
Admin e-mail
An die hier eingegebene E-Mail Adresse werden Passwort-Anfragen von
GINA-Benutzern des entsprechenden GINA-Interfaces weitergeleitet. Ebenso
wird diese E-Mail Adresse als Absender der GINA-Passwort- und Aktivierungs
E-Mails verwendet.
Bleibt dieses Feld leer, so wird die Passwort-Anfrage eines GINA-Benutzers an
den Internen Absender weitergeleitet, der dem entsprechenden GINABenutzer über diese Technologie eine E-Mail gesendet hat.
Als Absender der Passwort-E-Mails wird ebenfalls der interne Absender der
GINA-Mail verwendet.
Send password
reset e-mails to
original sender
instead of Admin
e-mail address
In speziellen Konstellationen können bei leerer Admin e-mail und den daraus
resultierenden Versand von GINA-Paswwort-/Aktivierungs-E-Mails im Namen
des internen Absenders Probleme auftreten. In diesen Fällen ist zwingend
eine Admin e-mail einzutragen. Soll dennoch bei Passwort-Reset-Anfragen der
ursprüngliche Absender anstatt des eingetragenen Admins benachrichtigt
werden, so ist an sieser Stelle der Haken zu setzen.
Sektion Extended settings
Grundlegende Einstellungen für die über das GINA-Webinterface zur Verfügung gestellten Funktionen.
Parameter
Beschreibung
Use settings from
master template
editiert wird.
Default forward
page
Sollte die URL der GINA-Seite ohne den Zusatz "/web.app" aufgerufen werden,
kann an dieser Stelle auf eine andere Seite - zum Beispiel die Homepage des
Unternehmens - weitergeleitet werden.
Soll dennoch auf das GINA-Interface weitergeleitet werden, so ist die URL
einzugeben, wie sie oberhalb der Eingabezeile angezeigt wird.
Bleibt man beim Beispiel aus der Sektion Secure GINA host 186 würde dort
folgendes stehen:
Note: If you want to show the GINA login page by default, enter "https://
securemail.meinefirma.tld/meinkunde/web.app" (without the quotes)
Always zip HTML
attachments
when encrypting
Bei aktiver Option wird der verschlüsselte HTML Anhang der GINA-Mail in eine
ZIP Datei gepackt. Dies wird für die Kompatibilität zu älteren OWA Versionen
benötigt. Für einzelne E-Mails kann die Steuerung dieser Funktion durch das
© 2016 SEPPmail AG
188
e-mail with GINA
technology
Betreffzeilen Schlüsselwort [zip] vorgenommen werden.
"Send copy to
myself" checked
by default when
writing GINA
mails
Mit dieser Option wird der Haken im %OEM-WEBMAIL-GINA%>-Interface für
eine Kopie an den Sender bereits als Standard gesetzt.
Dadurch erhält der GINA-Benutzer beim Versenden einer E-Mail diese
ebenfalls als GINA-Mail in Kopie und hat somit einen entsprechenden
Nachweis.
Sender always
receives
notification when
recipient reads
GINA mails
Mit dem Setzen dieses Hakens wird die Anforderung einer Lesebestätigung
beim Versand von GINA-Mails als Standard definiert.
Eventuell vom Absender definierte Einstellungen dadurch überschrieben.
Allow account
self-registration
in GINA portal
without initial
mail
Erlaubt Personen, welche sich auf dasGINA-Interface (im Beispiel aus der
Sektion Secure GINA host 186 "https://securemail.meinefirma.tld/
meinkunde/web.app") verbinden eine Registrierung ohne initialer GINA-Mail.
Somit wird einem externen Kommunikationspartner ermöglicht, eine sichere EMail Kommunikation über das GINA-Interface initial zu starten. Voraussetzung
hierfür ist, dass ihm auch eine gültige E-Mail Adresse innerhalb der E-Mail
Domäne des SEPPmail Appliance Betreibers bekannt ist.
Dies bedingt auch das Aktivieren der Option Allow GINA users to write new
mails.
Hinweis:
Bei der Selbstregistrierung wird noch kein GINA Account
angelegt! Stattdessen wird zunächst eine E-Mail an die neu
zu registrierende E-Mail Adresse gesendet, um diese zu
verifizieren.
Der in dieser E-Mail befindliche Bestätigungs-Link wird mit
einem - pro Gateway einmaligen - Schlüssel verschlüsselt.
Dadurch wird ein missbräuchliches manuelles Erstellen eines
solchen Links unmöglich.
Durch Anklicken des Links werden die darin enthaltenen
Daten an die SEPPmail Appliance übermittelt. Diese Daten
werden erst nach Eingabe des bei der Registrierung
vergebenen Passwortes entschlüsselt. Das heisst der GINA
Account wird erst nach korrekter Eingabe des Passwortes
angelegt und der in der E-Mail befindliche Link somit ungültig.
Certificate search
and management
in GINA:
(geändert in 7.4.6)
Hierdurch wird dem angemeldeten GINA-Benutzer
das Suchen von Schlüsselmaterial interner SEPPmail Appliance Benutzer
das Hochladen von eigenem Schlüsselmaterial über das GINA-Portal
gestattet, um zukünftig S/MIME- beziehungsweise OpenPGP- anstatt
GINA-verschlüsselte E-Mails zu erhalten
ermöglicht.
Disabled
Deaktiviert die Schlüsselverwaltung über das GINA-Interface
komplett.
Enabled
Aktiviert die Schlüsselverwaltung über das GINA-Interface,
sowohl für S/MIME als auch OpenPGP.
S/MIME only
Aktiviert die Schlüsselverwaltung über das GINA-Interface
ausschliesslich für S/MIME.
OpenPGP only Aktiviert die Schlüsselverwaltung über das GINA-Interface
© 2016 SEPPmail AG
189
ausschliesslich für OpenPGP.
Allow download
of public
domain keys/
domain
certificates
Mit dieser Option wird zusätzlich die
Suche von öffentlichen Domänen
Schlüsseln der auf der SEPPmail
Appliance verwalteten E-Mail
Domänen zu suchen.
Allow
unregistered
users to search
public keys/
certificates of
internal users
Wird dieser Haken gesetzt, so wird
die Schlüssel Suche nicht nur
angemeldeten GINA-Benutzern,
sondern jedem der sich auf das
GINA>-Portal verbindet, erlaubt.
Da im GINA-Interface für eine
Schlüssel Suche immer die E-Mail
Adresse des Empfängers
eingegeben werden muss, ist ein
Adress-Harvesting nicht möglich.
Hinweis:
Das Aktivieren einer,
beziehungsweise
beider Optionen setzt
eine andere
Einstellung als
Disabled in der Option
Certificate search
and management in
GINA: voraus.
Allow GINA users Diese Option erlaubtGINA-Benutzern initial E-Mails an Empfänger innerhalb
to write new mails der E-Mail Domäne des SEPPmail Appliance Betreibers zu senden und nicht
nur auf erhaltene GINA-Mails zu Antworten.
Do not allowGINA
users to edit
recipient when
replying to emails
Mit diesem Parameter wird festgelegt, ob Empfänger von GINA-Mails beim
Antworten den oder die Empfänger editieren dürfen.
Allow GINA users
to reply to
external
recipients of
GINA messages
Erlaubt es einen GINA-Benutzer an alle Empfängern einer GINA-E-Mail - auch
externen, also denen, die nicht der E-Mail Domäne des ursprünglichen
Absenders angehören - zu antworten.
SMTP sender
address for
sending to external
recipients:
Da der Versand der E-Mails an externe Empfänger mit einer existenten E-Mail
Adresse der lokalen E-Mail Domäne erfolgen muss (Stichwort SPF Prüfung),
ist die Versender-Adresse für die oben genannten Antwort-E-Mails hier
einzutragen.
Hinweis:
Wurde diese Option gewählt, so können bei gleichzeitig
deaktivierter Option "Do not allowGINA users to edit recipient
when replying to e-mails" nur bereits vorhanden Empfänger
durch den GINA-Benutzer entfernt, jedoch keine weiteren
hinzugefügt werden.
Hinweis:
Die hier angegebene E-Mail Adresse erhält
gegebenenfalls Systembenachrichtigungen wie Bounceoder Non Delivery Report (NDR) E-Mails.
Allow messages
to be downloaded
as Outlook
message (.msg)
Mit Aktivieren dieser Option wird dem Empfänger einer GINA-Mail im GINAInterface eine Schaltfläche zum Download der E-Mail im msg-Format - also
Outlook - angeboten. Somit wird der Empfänger in die Lage versetzt die
ursprünglich GINA-verschlüsselte E-Mail in Outlook im Klartext abzuspeichern.
© 2016 SEPPmail AG
190
files
Hinweis:
Wird nach abspeichern der Nachricht im Klartext über die
"Antworten" Schaltfläche im Outlook geantwortet, so
geschieht dies unverschlüsselt!
Allow messages
to be downloaded
as MIME (.eml)
files
Mit Aktivieren dieser Option wird dem Empfänger einer GINA-Mail im GINA
Interface eine Schaltfläche zum Download der E-Mail im eml-Format für den
Import in einen E-Mail Client angeboten. Somit wird der Empfänger in die Lage
versetzt die ursprünglichGINA-verschlüsselte E-Mail in seinem E-Mail Client im
Klartext abzuspeichern.
Hinweis:
Wird nach abspeichern der Nachricht im Klartext über die
"Antworten" Funktion des E-Mail Clients geantwortet, so
geschieht dies unverschlüsselt!
When encrypting
e-mail with GINA
technology, use
text-only mails
Versendet die GINA Träger-E-Mail im Text- statt im HTML-Format.
Dies kann gegebenenfalls notwendig sein, wenn ein Empfänger den Empfang
von HTML-Mails nicht zulässt.
Force sending of
GINA e-mails
from this
address:
Wird an dieser Stelle eine E-Mail Adresse eingetragen, so wird diese stets als
Absender Adresse für GINA Träger-E-Mail verwendet. Ist diese E-Mail Adresse
als Benutzer (siehe Users 251 ) mit gültigem S/MIME Schlüsselmaterial
vorhanden, so werden die GINA Träger-E-Mails zusätzlich signiert.
Hinweis:
Die hier angegebene Absender Adresse muss aus einer
managed domain stammen, welcher das jeweilge GINA
Interface zugeordnet ist (siehe Mail System 137 Managed
domains 137 ). Weiterhin sollte die Adresse als User auf der
Appliance existieren, idealerweise mit gültigem S/MIME
Zertifikat (siehe Users 251 Benutzerdetails 252 S/MIME 253
), um die GINA Träger-E-Mail signieren zu können. Auch am
Groupware-Server sollte die Adresse existent sein, damit
eventuell direkte Antworten - welche irrtümlich nicht über das
GINA Interface erstellt wurden - gegebenenfalls
angenommen werden.
Customize the
secure
attachment file
name:
(neu in 7.4.6)
Im Standard lautet der Name des HTML-Containers - welcher die eigentliche
E-Mail beinhaltet - in einer GINA Träger-E-Mail secure-email.html. Soll
stattdessen ein alternativer Name (zum Beispiel sichere-E-Mail.html)
verwendet werden, so ist dieser in das Eingabefeld dieser Option ohne
Dateiendung (also .html) einzutragen, für das genannte Beispiel also sichereE-Mail.
Achtung:
Bei der Angabe des Dateinamens wird UTF-8 verwendet.
Dies kann bei diversen E-Mail Clients eventuell zu einer
fehlerhaften Darstellung beziehungsweise dynamisch
generierten Dateinamen führen!
© 2016 SEPPmail AG
191
Sektion Large File Transfer
Einstellungen für die Übertragung grosser Dateien. Diese Option steht nur zur Verfügung, wenn Large
File Transfer (LFT) lizensiert und aktiviert wurde.
Parameter
Beschreibung
Use settings from
master template
editiert wird.
Enable Large File Mit dem Betreffzeilen-Schlüsselwort beziehungsweise [lfm:nocrypt] kann der
messages without Absender bei aktivierter Option steuern, dass der Empfänger zur Abholung
des LFT-Anhangs kein Passwort am GINA-Webinterface eingeben muss.
authentication
Enable Large File
Transfer
Mit dem Anhaken dieser Option wird das Large File Transfer (LFT) aktiviert.
LFT ist eine Zusatzoption und muss somit auch separat lizensiert werden.
Achtung:
Nach dem Aktivieren von LFT ist das Ruleset neu zu
generieren (siehe Mail Processing 160 Ruleset
generator 168 Save and create ruleset).
How long (in days) Hier wird die Verweildauer - in Tagen - von LFT-Mails angegeben. Der
to store Large Files Empfänger bekommt das Verfallsdatum im Betreff der GINA-
Benachrichtigungs-Mail mitgeteilt. Die Einstellung "0" null bedeutet, dass LFT
Mails nie gelöscht werden.
Es ist darauf zu achten, dass genügend Speicher auf dem System zur
Verfügung steht, anndernfalls würden LFT Mails abgewiesen (bounced).
Size (in KiB) above
which messages
are treated as
Large Files
Gibt die Grenze - in KiB - an, ab wann eine E-Mail als LFT-Mail behandelt wird.
Dabei gilt zu beachten, dass Anhänge in E-Mails aufgrund der BASE-64
Codierung auf circa 4 / 3 der ursprünglichen Grösse anwachsen.
Diese Grenze gilt sowohl für ausgehende, wie auch für eingehende E-Mails.
Maximum size (in
KiB) for LFT
messages
Gibt eine Maximalgrösse für LFT Dateien an. Wird hier "0" (null) eingegeben,
so wird kein Limit vorgegeben. Somit wird im GINA-Interface auch keine
Angabe zur "Maximalgrösse der Anhänge" angezeigt. Die Limitierung ergibt
sich in diesem Fall lediglich aus dem Basis-System (siehe Sizing 41 ).
Wird beim Einliefern einer übergrossen E-Mail per SMTP das Limit
überschritten, so wird die Nachricht mit der Meldung "523 5.3.4 - Message too
large (LFT)" abgewiesen.
Im GINA-Interface wird ebenfalls eine Meldung ausgegeben: "Maximalgrösse
der Nachricht überschritten (xxxx.x MiB)"
Ob und wie (MiB oder MB) die Maximalgrösse im jeweiligen GINA-Interface
angezeigt wird, kann in der Übersetzungsdatei (siehe Language settings
195 Edit translations Edit translations 205 Advanced view Edit
Translations files 206 ) durch Ändern folgender Werte erreicht werden:
Typ
Standard Wert (deutsch) Beschreibung
© 2016 SEPPmail AG
192
msgid
msgstr
"webmail_size_unit"
"MiB"
Bei Bedarf kann an dieser Stelle die
Einheit für die Maximalgrösse der
Anhänge von MiB (Mibi Byte) auf MB
(Mega Byte) umgestellt werden.
Hinweis:
Dieser Wert muss grösser als der oben genannte unter "Size
(in KiB)" above which messages are treated as Large Files"
sein!
Archive Large File Mit dieser Funktion werden alle LFT-Mails - egal ob ein oder ausgehend einmal pro Stunde archiviert. Dabei wird im angegebenen Verzeichnis (siehe
Messages on
external server
Path on server) pro Nachricht ein eigenes Verzeichnis, dessen Name unter
anderem die Message-ID der Nachricht, sowie die Device-ID der Appliance,
von welcher die LFT-Mail gesendet wurde, angelegt. In diesem Verzeichnis
werden die die Anhänge mit Ihrem original Dateinamen, sowie der Mail-Text
(Body) als Datei "messagebody.eml" abgelegt.
Dateien, welche nicht auf das angegeben Ziel übertragen werden können,
verbleiben zunächst in einem gesonderten Export-Bereich auf der Appliance.
Benötigt das Übertragen einer Datei länger als sechs Stunden, so wird eine
Watchdog-Meldung an den Postmaster (siehe Mail System 137 SMTP
settings 141 ) gesendet und alle sechs Stunden wiederholt. Konnte die
betroffene Datei innerhalb von 24 Stunden nicht übertragen werden, so wird
sie gelöscht.
Das für die Archivierung verwendete Protokoll ist SCP.
Die Log-Einträge der Archivierung sind im "maillog" (siehe Logs 245 Show
other logs... Other logs 247 Log Archive 247 Download complete log)
zu finden.
Hinweis:
Die Archivierungsfunktion steht bei Hardware Appliances nur
dann zur Verfügung, wenn für LFT eine separate, zusätzliche
Festplatte verwendet wird.
Da LFT auf virtuellen Systemen nur in Verbindung mit einer,
der Appliance zusätzlich zugewiesenen (virtuellen) Disk
aktiviert werden kann, ist die Funktion hier immer gegeben.
Server/Port
Angabe der IP-Adresse oder des
Namens, unter welchem der ArchivServer erreichbar ist.
(neu in 7.4.8)
Protocol
Über das Auswahlmenü kann das gewünschte Netzwerk Protokoll für die
Übertragung (SCP / SFTP) ausgewählt werden.
SCP user name
Eingabe eines entsprechend berechtigten Benutzers, für das Schreiben der
Archive auf den Archiv-Server
Key
Über die Download gateway public key kann der Öffentliche Schlüssel
der Appliance für die verschlüsselte Kommunikation zum Archiv-Server
heruntergeladen werden. Dieser Schlüssel ist auf dem Archiv-Server der Liste
der berechtigten Öffentlichen Schlüsseln hinzuzufügen. Auf Unix basierten
Systemen ist diese Liste typischerweise im home-Verzeichnis des
entsprechenden Benutzers (siehe SCP user name) unter ~/.ssh/
authorized_keys zu finden.
© 2016 SEPPmail AG
Angabe des zu verwendenden
Kommunikations-Ports für die
Verbindung zum Archiv-Server. Der
Standard SCP /SFTP Port lautet 22.
193
Path on server
An dieser Stelle wird der Pfad auf dem Archiv-Server angegeben, unter
welchem die LFT-Archivierung Dateien ablegen soll.
Wird der Pfad mit einem führenden Schrägstrich "/" angegebenen, so wird ein
Absoluter Pfad verwendet. Wird kein führender Schrägstrich angegeben, so
wird der Pfad relativ im home-Verzeichnis des entsprechenden Benutzers
(siehe SCP user name) angelegt.
Für die Angabe des Pfades stehen folgende Variablen zur Verfügung:
%e E-Mail Adresse des des Absenders der LFT-Mail
%y aktuelles Jahr
%m aktueller Monat
%d aktueller Tag
%i
Device ID der Appliance, über welche die LFT-Mail verarbeitet wurde
Achtung:
Alle Grössenangaben erfolgen in Kibibyte (siehe auch http://de.wikipedia.org/wiki/
Byte)!
© 2016 SEPPmail AG
194
Sektion SOAP
(neu in 7.4.2)
Alternativ können E-Mails aus Drittanbietersystemen auf der SEPPmail Appliance via SOAP
Schnittstelle zur Verschlüsselung eingeliefert werden.
Parameter
Beschreibung
Use settings from
master template
editiert wird.
Enable SOAP
Handler
Ist diese Option gesetzt, können über den SOAP-Accesspoint /WebCrypt.
Core/services/Service empfangene XML-Daten durch das Script webcrypt.app
als MIME-Nachricht aufbereitet und ohne Umwege von der Ruleengine
verarbeitet werden. Das Resultat wird als XML-Daten via HTTP zurück an den
SOAP-Consumer geleitet. Es findet kein Mail-Versand statt, mit Ausnahme
von evtl. generierten Passwort-Mails oder Bounces.
Deliver messages Ist diese Option gesetzt, verändert sich das oben beschriebene Verhalten der
received via SOAP Ruleengine. Die per XML übergebene Email wird nach der Verschlüsselung
directly via SMTP direkt mittels SMTP zugestellt. Der Status der Zustellung wird als XMLNachricht via HTTP zurück an den SOAP-Consumer geleitet.
Hinweis:
Da bei mehreren Empfängern nicht mehr unterschieden
werden kann, welche Zustellung erfolgreich war und welche
nicht, stellt die Schnittstelle sicher, dass pro SOAP-Nachricht
nur ein Empfänger angegeben wurde.
Sektion Terms of use
Einstellungen bezüglich Allgemeiner Geschäftsbedingungen.
Parameter
Beschreibung
Use settings from
master template
editiert wird.
Require new
users to accept
terms of use
Nach Empfang der initialen GINA-Mail wird der Empfänger beim
Registrierungsprozess aufgefordert, die Allgemeinen Geschäftsbedingungen
zu akzeptieren.
Terms of use
URL
Eingabe der URL zu den Allgemeinen Geschäftsbedingungen zur Nutzung von
GINA, zum Beispiel https://www.ihrefirma.tld/agb/GINA.
© 2016 SEPPmail AG
195
Sektion Language settings
Spracheinstellungen des GINA-Webinterfaces und dessen Benachrichtigungen.
Parameter
Beschreibung
Use settings from master Diese Option erscheint nur, falls ein anderes als das [default] GINAInterface editiert wird.
template
Default language:
Über das Auswahlmenü wird die Standard-Sprache für das jeweilige
GINA-Interface gewählt. Diese Sprache muss im folgenden Menüpunkt
auch als Verfügbar (Enabled) markiert sein.
Available Languages:
Bei der Auswahl der Sprachen gilt zu beachten, dass mit jeder weiteren
Sprache die Länge der GINA-Mail sowie bei initialen E-Mails die Länge
der Passwort-Mails zunimmt.
Language
Enabled
German (d)
Enfglish (e)
French (f)
Italian (i)
Spanish (s)
Czech (c)
Aktiviert
oder
deaktiviert
die
jeweilige
Sprache
Über die Schalfläche Edit
translations öffnet das
Untermenü Edit Translations 205
der jeweiligen Sprache, über
welches die Texte aller GINAKomponenten individuell
angepasst werden können.
Über die Schaltfläche Download
kann die jeweilige Sprachdatei
heruntergeladen werden. Wird
diese im Anschluss angepasst, so
kann Sie über die [default] GINAEinstellungen wieder hochgeladen
werden.
Dutch (n)
Polish (p)
Russian (r)
Wird das [default] GINA-Interface editiert, so können über die Schaltfläche Add new weitere
Sprachen hinzugefügt werden. Für das Erstellen einer neuen Sprachdatei ist der einfachste Weg, eine
bereits vorhandene über die Schaltfläche Download (siehe Tabelle oben) herunter zu laden, zu
übersetzen und über die Schaltfläche Add new wieder hochzuladen.
Hinweis:
Je mehr Sprachen aktiviert werden, desto länger werden die initialen GINA
Benachrichtigungs- und Passwort- E-Mails.
Deshalb sollte der Grundsatz gelten:
Soviel wie nötig, so wenig wie möglich.
Nur die initiale GINA-Benachrichtigungs-E-Mail ist mehrsprachig. Jede weitere GINABenachrichtigungs-E-Mail wird nur noch in der beim Registrierungsprozess
gewählten Sprache versandt.
© 2016 SEPPmail AG
196
Sektion Account security
In dieser Sektion werden die Passwort-Kriterien sowie die Möglichkeiten zur Passwort-Rücksetzung
angegeben.
Parameter
Beschreibung
Use settings from
master template
Diese Option erscheint nur, falls ein anderes als das [default] GINAInterface editiert wird.
Choose how the user
can retrieve lost
passwords
Auswahl der Passwort-Rücksetzungs-Möglichkeiten des GINABenutzers.
Hinweis:
Einige Optionen sind nur mit lizensiertem Self-ServicePassword-Management (SSPM) verfügbar.
default
Standard Einstellung. Diese entspricht der Option "Reset by hotline".
Reset by e-mail
verification
Diese Einstellung steht nur in Verbindung mit SSPM zur Verfügung
Der GINA-Benutzer muss seine Sicherheitsfrage beantworten, um
mit dem Reset Prozess fortfahren zu können
Daraufhin wird der Benutzer aufgefordert ein neues Passwort
einzugeben und dieses zu verifizieren.
Der Benutzer erhält daraufhin eine E-Mail mit einem Link
zugesendet. Erst durch Aufruf dieses Links erhält das neu
vergebene Passwort seine Gültigkeit
Achtung:
Da diese Variante allein auf dem Medium E-Mail
basiert, bedeutet dies einen gewissen Einschnitt in die
Sicherheit. Aus diesem Grund ist diese Variante von
SEPPmail nicht empfohlen.
Reset by hotline
Reset by hotline, no
reminder question/
answer
© 2016 SEPPmail AG
Der GINA-Benutzer erhält nach dem Beantworten seiner
Sicherheitsfrage die Aufforderung zur Eingabe einer Telefonnummer für
den Rückruf durch die Hotline.
Dies ist die Standardeinstellung.
Der GINA-Benutzer muss seine Sicherheitsfrage beantworten, um
mit dem Reset Prozess fortfahren zu können
Der Benutzer wird aufgefordert eine Telefonnummer für den
HelpDesk Rückruf einzugeben.
Der GINA-Benutzer wird ohne Sicherheitsfrage zur Eingabe einer
Telefonnummer für den Rückruf durch die Hotline aufgefordert.
Dies funktioniert jedoch nur, wenn das GINA-Interface über eine
GINA-Mail aufgerufen wurde, also nicht durch die blosse
Anmeldung.
197
Reset by SMS
Diese Einstellung steht nur in Verbindung mit dem Self-ServicePassword-Management (SSPM) zur Verfügung
Der Benutzer muss seine Sicherheitsfrage beantworten, um mit
dem Reset Prozess fortfahren zu können
Der GINA-Benutzer bekommt bei einer Passwort Reset Anfrage
seine, bei der Registrierung eingegebene Handy-Nummer
angezeigt, an welche durch klicken der Schaltfläche „Senden“ sein
neues Passwort gesendet wird.
Reset by SMS, no
reminder question/
answer
Bei der Registrierung muss der GINA-Benutzer zwingend eine
Handynummer für den SMS Reset eingegeben.
Der GINA-Benutzer bekommt bei einer Passwort Reset Anfrage
ohne Sicherheitsfrage seine, bei der Registrierung eingegebene
Handy-Nummer angezeigt, an welche durch klicken der
Schaltfläche „Senden“ sein neues Passwort gesendet wird.
Dies funktioniert jedoch nur, wenn das GINA-Interface über eine
GINA-Mail aufgerufen wurde, also nicht durch die blosse
Anmeldung.
Let user choose
between hotline and
SMS
Der Benutzer muss seine Sicherheitsfrage beantworten, um mit
dem Reset Prozess fortfahren zu können
Wurde bei der Registrierung eine Handynummer für den SMS
Reset eingegeben, so erscheint eine Auswahl, in welcher der
Benutzer zwischen seiner Handynummer (für SMS Reset) und
einer einzugebenden Telefonnummer (voreingetragen ist die
Handynummer) wählen kann
Steht keine Handynummer zur Verfügung, so wird der Benutzer
aufgefordert eine Telefonnummer für den HelpDesk Rückruf
einzugeben.
Minimum password
length:
Gibt die minimale Passwort Länge an. Mögliche Werte liegen zwischen
4 und 16
Must contain at least
one lower case letter
Passwort muss mindestens einen Kleinbuchstaben enthalten.
one upper case letter
Passwort muss mindestens einen Grossbuchstaben enthalten.
one number
Passwort muss mindestens eine Ziffer enthalten.
one special character
Passwort muss mindestens eine Sonderzeichen enthalten.
Must not contain own
name or e-mail address
Passwort darf nicht die eigene E-Mail Adresse enthalten.
Must be different from
previous password(s)
Passwort muss sich von den letzten n Passwörtern unterscheiden.
Must be changed at
least every days
Passwort muss nach n Tagen geändert werden.
© 2016 SEPPmail AG
198
Accounts are locked for
minutes after failed
login attempts.
Gibt die Dauer in Minuten an, für welche ein GINA-Benutzer gesperrt
ist, wenn er die angegebene Anzahl von Anmelde-Fehlversuchen
erreicht hat.
Sektion E-mail security
(neu in 7.4.7)
In dieser Sektion können Kriterien für E-Mail bezogene Passworte in GINA-Mails definiert werden.
Parameter
Beschreibung
Use settings from
master template
editiert wird.
Durch Aktivieren dieser Option werden die Einstellungen aus der unter Master
template gewählten Vorlage verwendet.
Eventuell vorgenommene Änderungen der weiteren Konfigurationspunkte
dieser Sektion bleiben ohne Auswirkung.
Deliver and
accept unique
password for
each e-mail
Durch Aktivieren dieser Option wird für jede GINA-Mail ein eigenes E-Mail
Passwort generiert, welches auch nur für diese eine GINA-Mail gültig ist.
Dieses wird dem Absender über die bekannte Passwort-E-Mail mitgeteilt,
welche jedoch zusätzlich Datum und Betreff der ursprünglich an den
Empfänger gesendeten E-Mail beinhaltet. Damit ist für den Absender eine
problemlose Zuordnung der E-Mail Passwort-Mail gewährleistet.
Diese Option schliesst die zusätzliche Anmeldung mit dem üblichen GINADisable the
account password Account-Passwort aus. Dadurch wird das Versenden eines Initialpasswortes
für die Registrierung bei noch nicht vorhandenem GINA-Account unterbunden.
login
Somit muss sich der Empfänger einer GINA-Mail auch nicht initial registrieren,
sondern kann sofort nach Eingabe seines E-Mail Passwortes seine E-Mail
lesen.
Password
strength:
Die hier angegebenene Passwort-Länge bezieht sich auf das E-Mail Passwort,
welches von der Appliance generiert wird. Standard ist acht "8" Zeichen, wobei
ein Minimalwert von "6" und ein Maximalwert von "16" Zeichen möglich ist.
© 2016 SEPPmail AG
199
Sektion Certificate login
Ermöglicht die Anmeldung an das GINA-Portal mittels Zertifikat. Hierfür muss das Root-Zertifikat der
CA, welche die Login Zertifikate ausstellt in das Eingabefeld eingefügt werden.
Parameter
Beschreibung
Use settings from
master template
editiert wird.
Master template 186 gewählten Vorlage verwendet.
Der zugreifende Benutzer muss sein entsprechendes Benutzer-Zertifikat in seinem Browser installiert
haben.
Sollte mehr als ein GINA-Interface konfiguriert werden, so ist für diese Art des LogIns die Option "Use
virtual hosting" (siehe Mail Processing 160 GINA settings 160 ) zu verwenden.
Weiterhin ist diese Option nicht mit der Einstellung "System 119 GINA https Protocol 126 Enable
local https proxy" kompatibel.
© 2016 SEPPmail AG
200
7.7.2.1
Edit GINA layout
Sektion Company logo
Parameter
Beschreibung
Use settings from Diese Option erscheint nur, falls ein anderes als das [default] GINA-Interface
editiert wird.
master template
Durch Aktivieren dieser Option werden die Einstellungen aus der gewählten
Vorlage (siehe Edit GINA settings 186 Master template 186 ) verwendet.
Ist bereits ein Logo importiert, so wird dieses hier angezeigt.
Über die Browser-Schaltfläche Datei auswählen kann ein Logo im gif-Format
zum Upload ausgewählt werden.
Die maximale Grösse des Logos ist vom verwendeten Cascaded Style Sheet
(CSS) abhängig. Im Standard beträgt diese 200x55 Pixel.
Über die Schaltfläche Delete wird das Logo-Bild gelöscht. Über die Schaltfläche Save wird das
ausgewählte Bild gespeichert. Ist bereits ein Bild vorhanden, so wird dieses überschrieben.
Sektion Header logo (optional)
Parameter
Beschreibung
editiert wird.
master template
Ist bereits ein Kopfzeilen-Logo importiert, so wird dieses hier angezeigt.
Das Header Logo wird nur angezeigt, wenn die Anzeige unter Edit GINA
settings 186 Extended settings 187 aktiviert wurde.
© 2016 SEPPmail AG
201
Sektion Favourites icon (optional)
Parameter
Beschreibung
editiert wird.
master template
Ist bereits ein Favoriten-Icon importiert, so wird dieses hier angezeigt.
Über die Browser-Schaltfläche Datei auswählen kann ein Icon in den Formaten
gif, png, jpeg und ico zum Upload ausgewählt werden.
Die maximale Grösse des Icons beträgt 16x16 Pixel.
Sektion Footer logo (optional)
Parameter
Beschreibung
editiert wird.
master template
Ist bereits ein Fusszeilen-Logo importiert, so wird dieses hier angezeigt.
Das Fusszeilen-Logo wird nur angezeigt, wenn die Anzeige unter Edit
GINA settings 186 Extended settings 187 aktiviert wurde.
© 2016 SEPPmail AG
202
Sektion Background image (optional)
Parameter
Beschreibung
editiert wird.
master template
Ist bereits ein Hintergrundbild importiert, so wird dieses hier angezeigt.
Über die Browser-Schaltfläche Datei auswählen kann ein Bild im gif-Format zum
Upload ausgewählt werden.
Im Standard Cascaded Style Sheet (CSS) wird kein Hintergrundbild verwendet.
Soll dieses Eingebettet werden, so ist das CSS in der Sektion GINA CSS 202
entsprechend anzupassen.
Sektion GINA CSS
Parameter
Beschreibung
editiert wird.
master template
GINA CSS:
Im Eingabefeld kann das Aussehen der GINA-Seiten per Cascading Style
Sheet (CSS) an das jeweilige Firmen Design angepasst werden.
Dabei ist zu beachten, dass für den GINA-Web-Mailer die individuell
angepassten CSS erst nach den Standard Einstellungen geladen werden. Das
heisst bei gleichlautenden Definitionen überschreibt das individuell angepasste
CSS das Standard CSS.
Über die Schaltfläche Preview GINA wird ein Beispiel der GINA-Anmeldeseite unter Verwendung
der vorgenommen Konfiguration angezeigt.
Die Schaltfläche Preview secure mail generiert ein Beispiel für das Aussehen einer GINA-Mail
unter Verwendung der vorgenommen Konfiguration.
Sollen die Standard SEPPmail Cascading Style Sheet (CSS) wieder hergestellt werden, so ist die
Schaltfläche Restore default CSS zu klicken.
Mittels Save werden die Änderungen am CSS gespeichert.
© 2016 SEPPmail AG
203
Sektion E-mail CSS
Parameter
Beschreibung
editiert wird.
master template
Use HTML e-mail
templates based
on tables and
separate CSS
Durch Aktivieren dieser Option werden CSS beim Generieren von GINA-Mails
verwendet.
E-Mail CSS:
Nur verfügbar bei aktivierter Option "Use HTML e-mail templates based on
tables and separate CSS"
Im Eingabefeld kann das Aussehen der GINA-Mail per Cascading Style Sheet
(CSS) an das jeweilige Firmen Design angepasst beziehungsweise ersetzt
werden. Bei Verwendung eines individuell angepassten CSS wird nur dieses
geladen. Somit werden hier keine Elemnte aus dem Standard CSS verwendet.
Hinweis:
Bei einigen wenigen E-Mail Clients kann das Verwenden von
CSS zu Problemen führen.
Die Schaltfläche Preview secure e-mail generiert ein Beispiel für das Aussehen einer GINA-Mail
unter Verwendung der vorgenommen Konfiguration.
Sollen die Standard SEPPmail Cascading Style Sheet (CSS) wieder hergestellt werden, so ist die
Schaltfläche Restore default CSS zu klicken.
Mittels Save werden die Änderungen am CSS gespeichert.
© 2016 SEPPmail AG
204
Sektion Extended settings
Parameter
Beschreibung
editiert wird.
master template
Disable "Powered Deaktiviert das Hersteller Logo rechts unten auf der GINA-Seite.
by ..." logo in
GINA viewer
Enable header
logo on login
page
Aktiviert das Kopfzeilen-Logo auf der GINA-Anmeldeseite. Dies setzt voraus,
dass in der Sektion Header logo 200 auch ein Logo hochgeladen wurde.
Enable header
logo on all other
pages
Aktiviert das Kopfzeilen-Logo auf allen weiteren GINA-Seiten. Dies setzt
voraus, dass in der Sektion Header logo 200 auch ein Logo hochgeladen
wurde.
Enable footer
logo on login
page
Aktiviert das Fusszeilen-Logo auf der GINA-Anmeldeseite. Dies setzt voraus,
dass in der Sektion Footer logo 201 auch ein Logo hochgeladen wurde.
Enable footer
logo on all other
pages
Aktiviert das Fusszeilen-Logo auf allen weiteren GINA-Seiten. Dies setzt
voraus, dass in der Sektion Footer logo 201 auch ein Logo hochgeladen
wurde.
Enable footer text Aktiviert die Fussnote auf der GINA-Anmeldeseite. Dies setzt voraus, dass in
on login page
der Sprachdatei (siehe Language settings 195 Edit translations Edit
translations 205 Footer text 206 ) auch ein Fussnoten Text hinterlegt wurde.
Enable footer text Aktiviert die Fussnote auf allen weiteren GINA-Seiten. Dies setzt voraus, dass
on all other pages in der Sprachdatei (siehe Language settings 195 Edit translations Edit
translations 205 Footer text 206 ) auch ein Fussnoten Text hinterlegt wurde.
Über die Schaltfläche Save werden die Einstellungen gespeichert.
© 2016 SEPPmail AG
205
7.7.2.2
Edit translations
In den folgenden Sektionen sind in den Eingabefeldern jeweils bereits die Standardtexte der gewählten
Sprache enthalten.
Diese Texte können nach Bedarf angepasst oder ersetzt werden.
Sektion Customization
Diese Sektion beinhaltet Syntax-Hinweise für das Bearbeiten der Sprachdatei.
Weiterhin sind folgende Variablen zulässig:
@email@
E-Mail Adresse des Empfängers der GINA-Mail
@sender@
Absender der GINA-Mail
@subject@
ursprünglicher Betreff der zu versendenden E-Mail
@domain@
Name der GINA Domain
Sektion Text in GINA
In dieser Sektion wird der Textkörper der GINA-Mail an den Empfänger definiert.
Beschreibung
Das erste Eingabefeld definiert eine Überschrift für den im zweiten Eingabefeld folgenden Text.
Diese wird im Standard fett dargestellt.
Im zweiten Eingabefeld folgt die Beschreibung, wie der Empfänger vorzugehen hat um die
anhängende Originalnachricht entschlüsseln zu können.
Mittels Save werden Änderungen gespeichert. Über Restore default wird der Standard-Inhalt der
Sektion in der Sprachdatei wieder hergestellt.
Sektion Open hint in GINA
Das hier zur Verfügung stehende Textfeld definiert die Beschreibung, welche nach dem Öffnen des
HTML-Anhangs (secure-email.html) unterhalb der Schaltfläche "OK" angezeigt wird.
Die Beschreibung sollte aufzeigen, welche Aktion(en) durch das Klicken von "OK" ausgelöst werden.
der Sektion in der Sprachdatei wieder hergestellt.
Sektion Greeting on login page
Beschreibung
Das erste Eingabefeld definiert eine Überschrift für den im zweiten Eingabefeld folgenden Text.
Diese wird im Standard fett dargestellt.
Im zweiten Eingabefeld folgt die Beschreibung, wie der Empfänger vorzugehen hat um die
anhängende Originalnachricht entschlüsseln zu können.
© 2016 SEPPmail AG
206
Sektion Footer text
Die Eingabe eines Fussnotentextes ist optional. Das Aktivieren der Anzeige des Fussnotentextes
muss unter Edit GINA layout 204 in der Sektion Extended settings 204 erfolgen.
Sektion GINA password notification e-mail
Beschreibung
Die erste Zeile beinhaltet den Text, welcher in der Betreffzeile der Passwort Benachrichtigungsmail
enthalten sein soll.
Am Ende dieses Textes wird beim Versand der Passwort Benachrichtigungsmal ein Leerzeichen
und die E-Mail Adresse des Empfängers der GINA-Mail automatisch eingefügt.
Die zweite Zeile beinhaltet den E-Mail Text der Passwort Benachrichtigungsmail.
Dieser Text beginnt mit der Wiederholung der Betreffzeile. Im Anschluss wird der Text aus Textfeld
eingefügt und am Schluss eine Zeile mit dem Passwort in der Form "Passwort: <Initialpasswort>"
angefügt.
Sektion Edit translation file
Über die Schaltfläche Advanced view öffnet die Sektion Edit translation file, welche den
Umgang mit dem Editor beschriebt und weitere Syntax-Hinweise aufgeführt.
Das Eingabefeld des Editors beinhaltet bereits den Text der Standard-Sprachdatei für die gewählte
Sprache zur Anpassung an die individuellen Bedürfnisse.
kompletten Sprachdatei wieder hergestellt.
Über die Schaltfläche Normal view wird zur vorherigen Ansicht zurück gewechselt.
7.7.3
Edit disclaimer
Wird der Standardtext angepasst oder ausgetauscht, so hat dies in beiden Sektionen zu erfolgen.
Sektion Disclaimer as text
Im Eingabefeld ist der Standardtext in deutsch und englisch bereits vorhanden. Dieser kann den
individuellen Bedürfnissen angepasst oder vollständig ersetzt werden.
Sektion Disclaimer as Html
Im Eingabefeld ist der Standardtext im HTML-Code in deutsch und englisch bereits vorhanden. Bei
Bedarf kann Aussehen und Text durch unterschiedliche HTML-Tags zur Formatierung (zum Beispiel
Absätze, Schriftgrösse oder Schriftfarbe) individuell angepasst werden.
© 2016 SEPPmail AG
207
7.8
SSL
Im Menüpunkt SSL 207 wird das Zertifikat angezeigt, welches für den SSL Zugang auf das GINAbeziehungsweise auf die Administrations-Oberfläche verwendet wird. Dieses Zertifikat wird auch für
die TLS-Verschlüsselung zu anderen Systemen verwendet.
Eine Ausnahme besteht bei Verwendung der Option "Use virtual hosting" aus der Sektion GINA
settings 160 des Menüs Mail Processing 160 , da hier für jede GINA-Domain ein eigenes Zertifikat
einzubinden ist.
Ist bereits ein Zertifikat eingebunden, so wird dieses wie unten folgt angezeigt.
Andernfalls kann über die Schaltfläche Request a new certificate... ein Zertifikat importiert oder
gegebenenfalls ein Certificate Signing Request (CSR), beziehungsweise ein self-signed Zertifikat
erzeugt werden. Das Verwenden eines self-signed Zertifikat empfiehlt sich jedoch nur auf Test
Systemen, da hierdurch die Zertifikatsprüfung des Internetbrowsers eines GINA-Mail-Empfangers
beim Verbinden auf die Appliance fehlschlagen würde.
Über die Schaltfläche Backup certificate kann das vorhandene SSL Zertifikat im pem-Format
exportiert werden (privater und öffentlicher Schlüssel sowie gegebenenfalls Zwischenzertifikate).
Hinweis:
SSL-Server-Zertifikate müssen als Schlüsselverwendung sowohl digitale Signatur als
auch Schlüsselverschlüsselung, sowie unter erweiterte Verwendung die
Serverauthentifizierung eingetragen haben.
Erlaubt sind auch Wildcard Zertifikate, also zum Beispiel *.firma.tld". Hier gilt jedoch
zu beachten, dass mit dieser Art von Zertifikaten die TLS-Einstellung "secure" (siehe
Add TLS domain 157 ) nicht möglich ist!
Wird kein TLS-secure benötigt, so kann auch im Cluster jeweils dasselbe Zertifikat
verwendet werden.
Auch Subject Alternative Name (SAN) Zertifikate (auch Multi Domain Zertifikate
genannt) werden unterstützt
Sektion Issued to
Diese Sektion zeigt Informationen über den Inhaber des SSL Zertifikates.
Abhängig vom Zertifikat müssen nicht alle hier aufgeführten Parameter vorhanden sein.
Parameter
Beschreibung
Name (CN)
In der Regel beinhaltet dieses Feld den Domänennamen, über welchen das
GINA-Interface zu erreichen ist, zum Beispiel "securemail.firma.tld". Wird ein
sogenanntes Wildcard-Zertifikat verwendet, so würde der Domänenname "*.
firma.tld" lauten.
Bei self-signed Zertifikaten kann hier zum Beispiel auch "firma.local" oder
auch eine IP-Adresse, zum Beispiel "10.0.0.10" stehen.
E-mail address
In der Regel der wird die E-Mail Adresse des Antragstellers, beziehungsweise
des Verwalters des Zertifikates oder dessen Abteilung eingetragen.
Org. unit (OU)
Organisationseinheit wie zum Beispiel ein Abteilungsname wie "Buchhaltung"
Organization (O)
Gibt die Organisation an, für welche das Zertifikat ausgestellt wurde, zum
Beispiel "Firma"
Locality (L)
Standort zum Beispiel eine Stadt wie "Neuenhof" oder auch ein Teilgebäude
wie "Werk2"
© 2016 SEPPmail AG
208
Parameter
Beschreibung
State (ST)
Bundesland, Kanton, Provinz oder Ähnliches, zum Beispiel "AG" für "Aargau"
Country (C)
Land, zum Beispiel "CH" für "Schweiz"
Serial no.
Seriennummer des Zertifikats
Sektion Issued by
Diese Sektion zeigt Informationen über den Aussteller des SSL Zertifikates (Root-Zertifikat).
Abhängig vom Aussteller müssen nicht alle hier aufgeführten Parameter vorhanden sein.
Parameter
Beschreibung
Name (CN)
Name der ausstellenden Zertifizierungsstelle
E-mail address
In der Regel eine E-Mail Adresse für Supportanfragen an den Aussteller
Org. unit (OU)
Gibt eine Organisationseinheit des Ausstellers an
Organization (O)
Gibt die ausstellende Organisation an
Locality (L)
Gibt den Standort des Ausstellers an
State (ST)
Gibt ein Bundesland, Kanton, Provinz oder Ähnliches des Ausstellers an
Country (C)
Gibt das Land des Ausstellers an
Serial no.
Sektion Validity
Zeigt die Gültigkeit des Zertifikates.
Parameter
Beschreibung
Issued on
Ausstelldatum des SSL Zertifikates
Expires on
Ablaufdatum des SSL Zertifikates
© 2016 SEPPmail AG
209
Sektion Fingerprint
Der fingerprint ist ist die Prüfsumme (eben auch hash oder fingerprint) und dient dem Überprüfen
eines Zertifikats. An dieser Stelle wird der Hash-Algorithmus (zum Beispiel MD5 SHA1 oder SHA256),
mit welchem die Prüfsumme gebildet wurde, sowie der berechnete Wert angezeigt. Sind mehrere
fingerprints unterschiedlicher Algorithmen vorhanden, so wird jeder in einer separaten Zeile
ausgegeben.
Parameter
Beschreibung
Hashalgorhytmus
des Zertifikates
Beispiel eines SHA1 Fingerprints:
48:2D:99:B1:64:C1:14:9C:B3:F2:C0:8D:FA:7F:40:9F:22:F5:11:F5
Sektion Backup
Mittels Download certificate wird das SSL-Zertifikat - sowohl der private, wie auch der öffentliche
Schlüssel - im PEM-Format heruntergeladen und kann somit bei Bedarf gesichert, beziehungsweise
auf einen Cluster-Partner oder anderen Web-Server aufgebracht werden.
© 2016 SEPPmail AG
210
7.8.1
Request a new certificate
An dieser Stelle kann ein self-signed Zertifikat ( in der Regel nur für Testzwecke) oder ein sogenannter
Certificate Signing Request (CSR) erstellt werden.
Wird ein CSR erstellt, so wird das Schlüsselpaar auf der Appliance generiert, und nur der öffentliche
Schlüssel in eine csr-Datei geschrieben, welche bei einer CA zur Signierung eingereicht und als
Zertifikat zurückgegeben wird.
Ist bereits ein passendes SSL Zertifikat vorhanden, so kann dieses in der Sektion Upload existing
key 211 importiert werden.
Hinweis:
Falls oben in der Statusleiste des Menüs die gelb hinterlegte Information Remember
to import the signed certificate angezeigt wird, so wurde zuvor bereits ein
Zertifikatsantrag erstellt.
Das neu erstellte SSL Zertifikat sollte zusammen mit den gegebenenfalls zusätzlich
benötigten Zwischen oder auch Intermediate CA Zertifikate(n) zur Root CA in der
Reinhenfolge
1. Public key des eigenen SSL Maschinen Zertifikats
2. Public key von einer oder mehreren Zwichen- (intermediate) CA-Zertifikaten
eingefügt werden. Das Root Zertifikat der CA darf nicht mit eingefügt werden.
Im Fehlerfall ist das SSL Maschinen Zertifikat nicht zu nutzen. Ebenfalls kann dies zu
Problemen beim Zugriff auf die Konfigurationsoberfläche führen. Für diesen Fall
sollte sicherheitshalber vor dieser Aktion temporär der HTTP Port über System 119
Advanced view GUI protocol 125 HTTP port für den Zugriff auf die
Administrationsoberfläche (http://<Appliance>:8080) freigegeben werden.
Sektion Issued to
In dieser Sektion gibt der SSL Zertifikats-Anforderer seine entsprechenden Informationen an.
Parameter
Beschreibung
Name (CN)
In der Regel beinhaltet dieses Feld den Domänennamen, über welchen das
GINA-Interface zu erreichen ist, zum Beispiel "securemail.firma.tld". Wird ein
sogenanntes Wildcard-Zertifikat angefordert werden, so würde der
Domänenname "*.firma.tld" lauten.
Bei self-signed Zertifikaten kann hier zum Beispiel auch "firma.local" oder
auch eine IP-Adresse, zum Beispiel "10.0.0.10" stehen.
E-mail address
In der Regel der wird die E-Mail Adresse des Antragstellers, beziehungsweise
des Verwalters des Zertifikates oder dessen Abteilung eingetragen.
Org. unit (OU)
Organisationseinheit wie zum Beispiel ein Abteilungsname wie "Buchhaltung"
Organization (O)
Beispiel "Firma"
Locality (L)
Standort zum Beispiel eine Stadt wie "Neuenhof" oder auch ein Teilgebäude
wie "Werk2"
State (ST)
Bundesland, Kanton, Provinz oder Ähnliches, zum Beispiel "AG" für "Aargau"
Country (C)
Auswahl des Landes über das Drop-Down-Menü
© 2016 SEPPmail AG
211
Sektion Attributes
Parameter
Beschreibung
Key size (bits)
Über das Drop-Down-Menü lässt sich die gewünschte Schlüssellänge für das
Angeforderte Zertifikat einstellen. In der Regel ist hier die längste
Schlüssellänge zu wählen, um dem jeweils aktuellen Sicherheitsstandard zu
entsprechen.
Signature
Über das Drop-Down-Menü lässt sich auswählen, ob ein self-signed Zertifikat
oder ein CSR generiert werden soll.
Wird ein self-signed Zertifikat erzeugt, so wird dieses umgehend
implementiert und nach einem Neustart aktiv.
Wird ein CSR erstellt, so erscheint unten im SSL Menü die Schaltfläche
Download and import signed certificate.... Diese führt zum
Folgemenü Download and import signed certificate 213 welches den CSR
zur Weiterleitung an die CA beinhaltet.
Über die Schaltfläche Create request - ganz unten im Menü - wird die unter Signature gewählte
Aktion gestartet.
Sektion Upload existing key
Ist bereits ein SSL Zertifikat vorhanden, so kann dieses auf unterschiedliche Arten - abhängig vom
vorliegenden Zertifikats-Format (PEM oder PKCS#12 ) - hochgeladen werden.
Parameter
Beschreibung
PKCS12 file
Über die Internet-Browser Schaltfläche "Datei auswählen" wird die PKCS#12Datei (diese hat die Endung .p12 oder .pfx) ausgewählt.
PKCS12 password
Nachdem eine PKCS#12-Datei den Privaten Schlüssel enthält, ist diese
Passwort geschützt. Das Passwort muss vor dem Import der oben
ausgewählten PKCS#12-Datei in dieses Eingabefeld eingegeben werden.
PEM file
Über die Internet-Browser Schaltfläche "Datei auswählen" wird die PEM-Datei
(diese hat auch die Endung .pem) ausgewählt.
Achtung:
Bei Import einer PEM Datei ist darauf zu achten, dass der
darin enthaltene Private Schlüssel nicht in verschlüsselter
Form vorliegt!
PEM text
In dieses Feld wird sowohl der Private, als auch der Öffentliche Schlüssel und
gegebenenfalls die Intermediate Zertifikate als Text eingefügt. Falls der
Private Schlüssel durch ein Kennwort geschützt ist, muss dieses zuvor
entfernt werden. Die Eingabe sollte demnach in etwa so aussehen:
-----BEGIN PRIVATE KEY----# Privater Schlüssel
-----END PRIVATE KEY---------BEGIN CERTIFICATE----# Öffentlicher Schlüssel
-----END CERTIFICATE-----
© 2016 SEPPmail AG
212
Parameter
Beschreibung
-----BEGIN CERTIFICATE----# Eventuell benötigtes Zwischenzertifikat
-----END CERTIFICATE---------BEGIN CERTIFICATE----# Eventuell weitere benötigte Zwischenzertifikate
-----END CERTIFICATE----Hinweis:
Egal welche Methode für den Import der SSL Schlüsselpaares zum Einsatz kommt,
ist immer darauf zu achten, dass sollten alle notwendigen Zwischenzertifikate für
eine vollständige Zertifikatskette beinhaltet sind. Eine unvollständige Zertifikatskette
dann, dass die Zertifikatskette nicht vollständig ist und melden somit ein
unbekanntes Zerifikat.
Das Zertifikat der Root CA darf nicht mit hinzugefügt werden, da die Gegenstelle
diesem ohnehin vertrauen muss! Wird es dennoch hinzugefügt, melden einige
Prüfwerkzeuge Fehler wie etwa "Chain issues - Contains anchor".
Nicht jede PKCS12- beziehungsweise PEM-Datei enthält die komplette
Zertifikatskette. In diesem Fall müssen die benötigten Zwischenzertifikate
gegebenenfalls anderweitig besorgt und in das zu importierende Zertifikat eingebettet
werden.
Über die Schaltfläche Upload key and certificate wird das SSL Zertifikat in die Appliance
hochgeladen.
Aktiv wird das Zertifikat nach einem Neustart der Appliance.
© 2016 SEPPmail AG
213
7.8.1.1
Download and import signed certificate
Sektion Request
Das Eingabefeld enthält den CSR wie er an die CA übermittelt werden muss. Die geschieht häufig
über ein Texteingabefeld auf der Webseite der CA.
Sektion Import certificate
Wird nach dem Hochladen des CSR zur CA von dieser das Zertifikat zurückgeliefert, so ist der Inhalt
dieses Zertifikats in dieses Eingabefeld einzugeben.
Diese Zertifikat beginnt mit -----BEGIN CERTIFICATE----- und endet mit -----END CERTIFICATE-----.
Unter Umständen werden von der CA weitere Zertifikate zur Verfügung gestellt. Dabei handelt es sich
um Zwischenzertifikate, welche unterhalb des Öffentlichen Schlüssels in dieses Feld kopiert werden
müssen.
Die Eingabe muss unbedingt mit einer Leerzeile abgeschlossen werden!
Hinweis:
In dieses Eingabefeld sollten alle notwendigen Zwischenzertifikate für eine
vollständige Zertifikatskette eingefügt werden. Eine unvollständige Zertifikatskette
dann einen falschen TLS-Status an.
Nicht jede CA liefert automatisch die komplette Zertifikatskette. In diesem Fall
müssen die benötigten Zwischenzertifikate gegebenenfalls anderweitig besorgt
werden.
Über die Schaltfläche Import certificate wird der Vorgang abgeschlossen. Im Anschluss muss die
Appliance neu gestartet werden.das SSL Zertifikat in die Appliance hochgeladen.
Die Schaltfläche Cancel this certificate enrollmant process bricht den Vorgang ab.
Achtung:
Nach dem Abbruch via Cancel this certificate enrollmant process besteht
keine Möglichkeit mehr das zum CSR passende Zertifikat einzubinden, da hiermit der
zum CSR passende private key gelöscht wird!
Die Appliance kann durch schlichten Wechsel in ein anderes Menü weiter konfiguriert
werden, ohne den Vorgang abzubrechen.
© 2016 SEPPmail AG
214
7.9
CA
Die SEPPmail Appliance beinhaltet eine vollständige CA. Diese kann als self-signed CA aber auch als
Sub-CA konfiguriert werden. Alternativ können trusted CA Zertifikate automatisiert über die Managed
Public Key Infrastructure (MPKI) Connectoren bezogen werden.
Die Verwendung einer self-signed CA ist an dieser Stelle ausser für Testzwecke nicht zu empfehlen,
da die Signatur von mit self-signed Zertifikaten signierten E-Mails in der Regel vom Empfänger nicht
automatisiert geprüft werden kann.
Sektion Issued to
Diese Sektion zeigt Informationen über den Inhaber des CA-Zertifikates.
Parameter
Beschreibung
Name (CN)
Gibt den Namen der eigenen CA an
E-mail address
In der Regel der wird die E-Mail Adresse des Verwalters der eigenen CA
oder dessen Abteilung eingetragen.
Org. unit (OU)
Organisationseinheit wie zum Beispiel ein Abteilungsname wie "Sicherheit"
Organization (O)
Beispiel "Firma"
Locality (L)
Standort zum Beispiel eine Stadt wie "Neuenhof"
State (ST)
Bundesland, Kanton, Provinz oder Ähnliches, zum Beispiel "AR" für
"Appenzell Ausserrhoden"
Country (C)
Serial No.
Sektion Issued by
Diese Sektion zeigt Informationen über den Aussteller des CA-Zertifikates (Root-Zertifikat).
Parameter
Beschreibung
Name (CN)
E-mail address
In der Regel der wird die E-Mail Adresse des Verwalters der eigenen CA
oder dessen Abteilung eingetragen.
Org. unit (OU)
Organization (O)
Beispiel "Firma"
© 2016 SEPPmail AG
215
Parameter
Beschreibung
Locality (L)
State (ST)
Country (C)
Sektion Validity
Gibt die Gültigkeit des eigenen CA-Zertifikates an.
Parameter
Beschreibung
Issued on
Ausstelldatum des Zertifikates
Expires on
Ablaufdatum des Zertifikates
Sektion Fingerprint
ausgegeben.
Parameter
Beschreibung
Hashalgorhytmus
des Zertifikates
48:2D:99:B1:64:C1:14:9C:B3:F2:C0:8D:FA:7F:40:9F:22:F5:11:F5
Sektion Certificate Revocation List
kurz CRL. Wurde die interne CA konfiguriert, so hält diese eine Revokationsliste für die von ihr
ausgestellten Zertifikate vor. Sollte ein Privater Schlüssel kompromittiert worden sein, so kann dieser
in der Benutzerkonfiguration (siehe Users 251 User details 252 S/MIME 253 ) als ungültig erklärt
(revoziert) werden und taucht dann in der Revokationsliste auf. Diese kann über die Schaltfläche
Create and download CRL heruntergeladen und somit abgefragt werden.
© 2016 SEPPmail AG
216
Sektion Internal CA settings
In dieser Sektion werden die Einstellungen für die self-signed beziehungsweise Sub-CA eingegeben.
Die genannten extension settings sind die Standard Einstellung bei Einrichtung einer self-signed CA.
Soll eine Sub-CA Eingerichtet werden, gibt in der Regel der Betreiber der Haupt-CA entsprechende
Werte vor.
Parameter
Beschreibung
Static subject
part
Als static subject part tauchen im Standard die bei der CA Erstellung eingegebenen
Parameter für Land (hier ist die zweistellige ISO Länderkennung zu verwenden),
Organisationseinheit und Organisation auf, also zum Beispiel
/C=CH/OU=Sicherheit/O=Firma
Validity in
days
Gibt die Gültigkeit der ausgestellten Zertifikate in Tagen an.
Hinweis:
Diese Einstellung gilt auch für die von der Appliance generierten
OpenPGP Schlüsselpaare
Automatically renew
expiring certificates
if validity days left
less than
Gibt an, ob und wenn wieviele Tage vor dem Ablaufen ein Zertifikat erneuert
werden soll. Je früher vor Ablauf dieses erneuert wird, desto mehr
Verbreitung wird das neue Zertifikat über die E-Mail Signatur bis zum
Ablaufen des Vorgänger-Zertifikates finden. Dadurch steht das neue
Zertifikat zuverlässiger für Kommunikationspartner zur Verschlüsselung
bereit.
Hinweis:
Zertifikate werden nur für diejenigen Benutzer neu
generiert, welche auch aktiv sind.
Das heisst, sendet ein Benutzer innerhalb des
angegebenen Zeitraums validity days left keine E-Mail, so
wird auch kein neues Zertifikat generiert.
Hinweis:
Diese Einstellung gilt auch für die von der Appliance
generierten OpenPGP Schlüsselpaare.
Extension
setting
Extension
setting
Extension
setting
name: authorityKeyIdentifier
value:
Fügt den durch diese CA
ausgestellten Zertifikaten die
über den Wert (value:)
angegebenen Informationen
über die ausstellende CA hinzu
keyid: subjectKeyIdentifier (siehe nächste Option)
issuer: IssuerName, Serialnumber
always: Gibt eine Fehlermeldung aus, wenn das
Kopieren der angegebenen Optionen fehlschlägt
name: subjectKeyIdentifier
value:
Gibt die Art des Fingerprints
des ausgestellten Zertifikats an
hash: bildet einen Hash-Wert gemäss RFC 3280
hex: Ein vordefinierter Hex-Wert wird dem
Zertifikat angehängt (nicht empfohlen!)
name: subjectAltName
value:
© 2016 SEPPmail AG
keyid,issuer:always
hash
email:copy
217
Parameter
Beschreibung
Ermöglicht das Einbinden
weiterer Alternativnamen in das
ausgestellte Zertifikat.
email: E-Mail Adresse
copy: fügt automatisch eine Kopie der E-Mail
Adresse aus dem "SubjectName" hinzu
URI: uniform resource indicator
DNS: DNS domain name
RID: registered ID: OBJECT IDENTIFIER
IP: IP-Adress im v4 oder v6 Format
dirName: sollte auf einen distinguished name (DN)
zeigen. Mehrfach eingabe durch + möglich.
name: basicConstraints
value:
Zeigt auf, ob es sich bei dem
Ausgestellten Zertifikat um ein
CA Zertifikat handelt.
CA: mögliche Werte sind TRUE oder FALSE
pathlen: optional bei CA:TRUE: gibt die maximale
Anzahl von CAs an, welche
Extension
setting
name: nsComment
value:
Kommentareintrag für das
Zertifikat
Frei wählbarer Kommentar
Extension
setting
name: nsCertType
value:
Gibt den Zertifikatstyp an
(Netscape)
client, server, email, objsign, reserved, sslCA,
emailCA, objCA
name: keyUsage
value:
Gibt den/die erlaubten
Verwendungszweck(e) für das
Zertifikat an.
digitalSignature: Digitale Signatur
nonRepudiation: Nachweisbarkeit
keyEncipherment: Schlüssel Verschlüsselung
dataEncipherment: Datenverschlüsselung
keyAgreement: Schlüsselvereinbarung
keyCertSign: Zertifikatssignatur
cRLSign: Revocation List Signatur
encipherOnly: nur Verschlüsselung
decipherOnly: nur Entschlüsselung
(Extension
setting)
name: crlDistributionPoints
value:
New
extension
name:
Extension
setting
Extension
setting
CA:FALSE
OpenSSL Generated Certificate
client, email
nonRepudiation, digitalSignature,
keyEncipherment
URI:https://<IhreCA>/certs.crl
Fügt den Pfad zum Sperlisten
URI: Pfad zur Revocation List. Mehrere URLs
Verteilungspunkt der CA an das werden kommagetrennt eingegeben.
Zertifikat an.
(diese Einstellung muss bei
Bedarf manuell hinzugefügt
werden)
value:
An dieser Stelle können bei Bedarf weitere Einstellungen vorgenommen werden.
Nach dem Speichern einer weiteren Extension kommt erscheint jeweils eine weitere
Eingabezeile.
© 2016 SEPPmail AG
218
Sektion External CA
An dieser Stelle wird die Entscheidung getroffen ob, und wenn welche CA für den (teil-)automatischen
Bezug von trusted CA-Zertifikaten zur Verfügung gestellt werden soll.
Parameter
Beschreibung
Select MPKI
o
o
o
o
o
o
A-Trust
D-Trust
none
QUOVADIS
SCEP
S-Trust
o Signtrust
o SwissSign CMC
o SwissSign legacy
(wird in Kürze zur Verfügung gestellt)
(wird in Kürze zur Verfügung gestellt)
(siehe QUOVADIS 220 )
(siehe SCEP 223 )
(Betrieb seitens S-Trust eingestellt => wird demnächst
entfernt)
(Betrieb seitens Signtrust eingestellt => wird
demnächst entfernt)
(siehe SwissSign CMC 225 )
(siehe SwissSign legacy 229 )
Über die Schaltfläche Save wird die Auswahl gesichert.
Configure MPKI
Dieser Parameter taucht nur auf, wenn eine CA ausgewählt wurde, also nicht
"none" ist.
Über die Schaltfläche <Ausgewählte CA> connector... wird dann der
Zugang und die Parameter für die Schnittstelle konfiguriert. Die
entsprechenden Konfigurationsdaten stellt der CA Anbieter zur Verfügung.
Hinweis:
Wird die MPKI von einem Anbieter auf einen anderen umgestellt, so werden neue
Zertifikate - auch bei der automatischen Erneuerung, sofern eingestellt - sofort vom
neuen Anbieter bezogen.
© 2016 SEPPmail AG
219
Sektion SafeNet Luna setup
Parameter
Beschreibung
HSM IP or
hostname
Angabe der IP-Adresse beziehungsweise des Hostnamen, unter welchem Die HSM
erreichbar ist.
HSM port
Angabe des Ports, auf welchem die HSM Anfragen entgegen nimmt.
HSM CA
certificate
Eintrag des HSM CA Zertifikates. Hier ist darauf zu achten, dass am Ende des
Eingabefeldes eine Leerzeile vorhanden ist. Das hier einzutragende Zertifikat
beginnt mit -----BEGIN CERTIFICATE----- und endet mit -----END
CERTIFICATE-----.
Save SafeNet Über die Schaltfläche Save settings werden die oberhalb gemachten
Luna settings Einstellungen gesichert.
Client
certificate
CN of this device Angabe des Namens (oder alternativ der IP-Adresse) der
(hostname or IP): SEPPmail Appliance. Dieser wird für das Generieren des
Schlüsselpaares via Generate new key pair benötigt.
Dieses Schlüsselpaar wird für das Absichern der
Kommunikation zwischen HSM un SEPPmail Appliance
benötigt
HSM status
Gibt den Verbindungsstatus zur HSM an.
Über die Schaltflächen Download certificate kann das Root CA Zertifikat - also der Öffentliche
Schlüssel - der CA heruntergeladen werden. Dieser kann gegebenenfalls einem
Kommunikationspartner zur Verfügung gestellt werden, damit dieser Signaturen von E-Mails welche
mit Zertifikaten Ihrer self-signed CA signiert wurden automatisiert prüfen kann.
Über Download key kann der Private Schlüssel heruntergeladen und somit gesichert werden.
Die Schaltfläche Request a new certificate... führt zum Untermenü Request a new certificate
210 - wie es bereits aus dem Menü SSL 207 bekannt ist - über welches die CA als self-signed- oder
sub-CA eingerichtet wird.
© 2016 SEPPmail AG
220
7.9.1
QUOVADIS
Informationen zur QuoVadis MPKI erhalten Sie unter
https://www.quovadisglobal.ch/Dienstleistungen/ZertifikatsServices.aspx
An dieser Stelle wird die Verbindung zur QuoVadis CA, für den automatisierten Bezug von BenutzerZertifikaten konfiguriert.
Sektion Default parameter
Je nach Vertrag sind hier die erforderlichen Einstellungen vorzunehmen. Diese werden in der Regel
mit dem Vertragsschluss zwischen dem E-Mail Domänen Inhaber und QuoVadis von QuoVadis zur
Verfügung gestellt
Parameter
Beschreibung
Service URL
Angabe der URL, über welche der Zugriffauf die MPKI erfolgt.
QuoVadis teilt die URL mit den Zugangsdaten mit. In der Regel lautet sie
"https://tlconnector.quovadisglobal.com/<IhreFirma>/<IhreOrganisation>".
Static subject part
Dieser Teil taucht im Zertifikat des jeweiligen Benutzers als Erweiterung des
Feldes "Antragsteller" auf und kann im Rahmen eines Distinguished Names
frei - zum Beispiel /C=[Zweistelliger Ländercode]/OU=
[Organisationsdetail]/O=[Organisation] - definiert werden, wobei die
Angabe des Ländercodes zwingend ist.
Sektion Domain specific parameters (optional)
Werden auf der SEPPmail Appliance mehrere E-Mail Domänen (managed domains) verwaltet, so
können über diese Option jeweils Domänen spezifische Parameter für das Erstellen von
Benutzerzertifikaten mitgegeben werden.
Nach dem Speichern der Domänen spezifischen Option, erscheint jeweils ein weiteres Eingabefeld.
Parameter
Beschreibung
Domain:
Angabe der E-Mail Domäne, für welche die beiden folgenden Parameter
gültig sein sollen.
Es dürfen nur Domänen eingerichtet werden, die bei der Antragstellung bei
der CA auch benannt wurden. Abweichende Domänennamen können dazu
führen, dass Zertifikate nicht ausgestellt wird.
URL:
Eine gegebenenfalls vom Default parameter abweichende Service URL
wird von QuoVadis mit den Zugangsdaten bereitgestellt.
Static subject part:
Siehe Sektion Parameter Static subject part
Sektion Certificate
Dient der Authentifizierung gegenüber dem CA Anbieter (QuoVadis)
© 2016 SEPPmail AG
221
Parameter
Beschreibung
PKCS12 identity
file
Importmöglichkeit für das Zertifikat zur Authentisierung bei der CA
(QuoVadis) für den Bezug von Benutzer-Zertifikaten im PKCS12-Format (*.
pfx beziehungsweise *.p12).
Ist der Zugang bereits korrekt konfiguriert, so erscheint die Meldung
an operator certificate with valid password has been found.
Quovadis stellt hierfür eine Passphrase geschützte P12-Datei zur Verfügung.
PKCS12 password
Passwort zur Freischaltung des im PKCS12 identity file enthaltenen "private
keys".
Auch dieses wird von QuoVadis zur Verfügung gestellt.
SSL chain
certificates
Damit die SEPPmail Appliance beim Signieren von E-Mails die
Zertifikatskette hin zur Root CA (QuoVadis) ergänzen kann, muss diese
bekannt gemacht werden. Hierfür muss die Zertifikatskette über eine
entsprechende Zertifikatsdatei hochgeladen werden.
Im darunterliegenden Anzeigefeld werden die hochgeladenen
Zwischenzertifikate im Textformat angezeigt.
Quovadis stellt die Zertifikatskette in der Regel über eine PEM-Datei mit dem
Namen "SSL_tlconnector_quovadisglobal_com_<jjjjmmdd>.pem" zur
Verfügung.
Sektion Settings
Einstellungen für das automatische erneuern von Zertifikaten.
Parameter
Automatically
renew expiring
certificates if
validity days left
less than
Beschreibung
Wird diese Option aktiviert, so werden ablaufende Benutzer-Zertifikate
automatisiert erneuert, sobald die Gültigkeit die angegebene Anzahl an
Tagen unterschreitet
Hinweis:
Wird das automatische Erneuern von Zertifikate in
den MPKI Einstellungen aktiviert, so werden nur für
diejenigen Benutzer neue Zertifikate generiert, welche
auch aktiv sind.
angegebenen Zeitraums validity days left keine E-Mail,
so wird auch kein neues Zertifikat generiert.
Hinweis:
Je grösser die Überschneidung der Zertifikatsgültigkeit ist,
desto höher ist die Chance, dass der
Kommunikationspartner in den Besitz eines gültigen,
öffentlichen Schlüssels gelangt, welchen er für das
Senden verschlüsselter E-Mails benötigt.
(neu in 7.4.8)
Automatically
create certificates
for active users
Bei Aktivieren dieser Option wird für alle existenten, aktiven Users 251 ,
welche nicht im Besitz eines gültigen Zertifikates sind, automatisiert über
Nacht ein QuoVadis Zertifikat ausgestellt.
© 2016 SEPPmail AG
222
Parameter
without certificates
Chain certificates
(needed to sign emails)
Beschreibung
Achtung:
Funktioniert nur bei gleichzeitig aktiver Option
Automatically renew expiring certificates if validity
days left less than
Durch Klicken der Schaltfläche Add or update... wird die Zertifikatskette
(siehe Sektion Certificate 231 Parameter Trust chain) ergänzt
beziehungsweise aktualisiert.
Hinweis:
Diese Aktion ist nach Abschluss der MPKI Konfiguration
zwingend!
© 2016 SEPPmail AG
223
7.9.2
SCEP
Mit dem Simple Certificate Enrollment Protocol (SCEP) wird die Anbindung an Zertifizierungsstellen
Produkte zahlreicher namhafter Hersteller (unter anderem Microsoft) ermöglicht.
Sektion Parameter
Dieser Sektion beinhaltet die Verbindungsdaten zur externen CA.
Parameter
Beschreibung
Service URL
URL unter welchem die Verbindung zur CA hergestellt wird. Voreingestellt ist
die URL mit dem Network Device Enrollment (NDES) Namen der SEPPmail
Appliance für Microsoft Enterprise CA:
http://localhost:10000/certsrv/mscep/mscep.dll
Sektion Certificate
In dieser Sektion werden die Parameter zur Authentifizierung an der externen CA angegeben.
Parameter
Beschreibung
Challenge
password
Kennwort für das Übermitteln einer Anforderung an die externe CA
Signature
certificate
Über diese Funktion wird das Zertifikat zur Signierung der Anforderungen an
die externe CA (RA-Zertifikat) eingebunden. Dieses RA-Zertifikat wird von
der externen CA in der Regel explizit für die MPKI Anbindung der SEPPmail
Appliance ausgestellt.
CA certificate
An dieser Stelle wird das Root Zertifikat der extern anzubindenden CA
bekannt gemacht.
Sektion Settings
Optionale Einstellungen, welche der externen CA zur Verfügung gestellt werden.
Parameter
Beschreibung
Automatically renew
expiring certificates if
validity days left less
than
Gibt an, ob und wenn wieviele Tage vor dem Ablaufen ein Zertifikat erneuert
werden soll. Je früher vor Ablauf dieses erneuert wird, desto mehr
Verbreitung wird das neue Zertifikat über die E-Mail Signatur bis zum
Ablaufen des Vorgänger-Zertifikates finden. Dadurch steht das neue
Zertifikat zuverlässiger für Kommunikationspartner zur Verschlüsselung
bereit.
Hinweis:
Zertifikate werden nur für diejenigen Benutzer neu
generiert, welche auch aktiv sind.
angegebenen Zeitraums validity days left keine E-Mail, so
wird auch kein neues Zertifikat generiert.
© 2016 SEPPmail AG
224
© 2016 SEPPmail AG
225
7.9.3
SwissSign CMC
Informationen zur Bestellung und zu den Modalitäten für das Einrichten einer SwissSign MPKI erhalten
Sie unter
https://www.swisssign.com/managedpki/mpki-service
An dieser Stelle wird die Verbindung zur SwissSign CA, für den automatisierten Bezug von BenutzerZertifikaten konfiguriert.
Sektion Default parameter
Je nach Vertrag sind hier die erforderlichen Einstellungen vorzunehmen. Diese werden von SwissSign
zur Verfügung gestellt
Parameter
Beschreibung
Service URL
Angabe der URL, auf welche über die MPKI zugegriffen werden soll. In der
Regel lautet die URL
https://ra.swisssign.net/ws/cmc
Static subject part
Dieser Teil taucht im Zertifikat des jeweiligen Benutzers zusätzlich zur E-Mail
Adresse E als Erweiterung des Feldes "Antragsteller" auf.
Je nach gewähltem Zertifikatstyp ist der hier einzutragende Wert statisch
durch SwissSign vorgegeben
SwissSign Silver ID Zertifikate
/CN=Secure Mail: SEPPmail Certificate/O=[Organisation]/C=
[Land]
Im Feld Antragsteller des Zertifikates würde somit folgendes
eingetragen:
E = [E-Mail Adresse]
CN = Secure Mail: SEPPmail Certificate
O = [Organisation] (optional)
ST = [Bundesland/Kanton] (optional - nur möglich, wenn O gesetzt)
C= [Land] (optional - nur möglich, wenn O gesetzt)
beziehungsweise für das Attribut "OU=" durch den Kunden konfigurierbar.
Weiterhin taucht als CN der Anzeigename "Name" (siehe Users 251 ) auf
SwissSign Gold ID Zertifikate
/OU=[Organisationsdetail]/O=[Organisation]/C=[Land]
wird durch SwissSign vorgegeben und entspricht in der Regel dem
Organisationsnamen, wie er im Handelsregister und somit im
SwissSign-Antrag vorzufinden ist. Für den Ländernamen ist die
zweistellige ISO Länderkennung zu verwenden.
Im Feld Antragsteller des Zertifikates würde somit folgendes
eingetragen:
CN = [Name des Zertifikatsinhabers]
OU = [Organisationsdetail]
O = [Organisation]
ST = [Bundesland/Kanton] (optional)
C= [Land]
© 2016 SEPPmail AG
226
Parameter
Beschreibung
Achtung:
Geringe Abweichungen führen bereits dazu, dass keine
Zertifikate ausgestellt werden können.
Account name
Angabe des Benutzernamens.
Product name
Angabe des gebuchten Produktes.
Parameter
Beschreibung
Domain
Es dürfen nur Domänen eingerichtet werden, die bei der Antragstellung bei
der CA auch benannt wurden.
Achtung:
Bereits geringe Abweichungen führen dazu, dass keine
Zertifikate ausgestellt werden können.
Product name
Angabe des gegebenenfalls vom Default parameter 225 abweichenden
Product name. Dieser wird von SwissSign mit den Zugangsdaten
bereitgestellt.
Static subject part
Siehe Sektion Default parameter 225 Static subject part
Sektion Certificate
Dient der Authentifizierung gegenüber dem CA Anbieter (SwissSign)
Parameter
Beschreibung
PKCS12 identity
file
Zertifikat zur Authentisierung bei der CA (SwissSign) für den Bezug von
Benutzer-Zertifikaten. Diese Datei wird von SwissSign zur Verfügung gestellt
und ist mit einem Passwort versehen (siehe Parameter PKCS12 password)
Ist der Zugang zur CA erfolgreich, so erscheint an dieser Stelle die Meldung
© 2016 SEPPmail AG
227
Parameter
Beschreibung
PKCS12 password
keys". Auch dieses wird von SwissSign zur Verfügung gestellt.
Sektion Settings
Parameter
Automatically
renew expiring
certificates if
validity days left
less than
Beschreibung
Hinweis:
auch aktiv sind.
Hinweis:
Für den Zeitraum der Überschneidung fallen keine
doppelten Gebühren seitens SwissSign an.
(neu in 7.4.8)
Automatically
create certificates
Nacht ein SwissSign Zertifikat ausgestellt.
for active users
Achtung:
days left less than
Chain certificates
Hinweis:
zwingend!
© 2016 SEPPmail AG
228
© 2016 SEPPmail AG
229
7.9.4
SwissSign legacy
Hinweis:
Die Schnittstelle für diesen Connector wird von SwissSign durch die neue CMCSchnittstelle (siehe SwissSign CMC 225 ) ersetzt.
Das heisst bei Neuinstallationen ist der SwissSign CMC Connector zu verwenden.
Sollten kundenseitig Änderungen an der bestehenden SwissSign Connector
Konfiguration erforderlich sein (zum Beispiel hinzufügen einer weiteren E-Mail
Domäne), so sprechen Sie Ihren SwissSign Betreuer bitte bezüglich der Umstellung
auf den CMC Connector an.
Sektion Parameter
Je nach Vertrag sind hier die erforderlichen Einstellungen vorzunehmen. Diese werden in der Regel
mit dem Vertragsschluss zwischen dem E-Mail Domänen Inhaber und SwissSign von SwissSign zur
Verfügung gestellt
Hinweis:
Werden in Zertifikatsanforderungen Umlaute
benötigt, egal ob in der internen oder zu einer
externen CA, so sind diese gemäss Tabelle als
UTF-8 String einzugeben
Parameter
zu
erzeugendes
Zeichen
Ä
Ö
Ü
ä
ö
ü
ß
UTF-8
(in Literal)
\xc3\x84
\xc3\x96
\xc3\x9c
\xc3\xa4
\xc3\xb6
\xc3\xbc
\xc3\x9f
Beschreibung
Silver light
certificates
Zu aktivieren, sofern "Silver Light Zertifikate" (gegebenenfalls werden diese
auch als SwissSign Silver OEM ID Zertifikate bezeichnet) bezogen werden
sollen.
Standard
certificates, use
the following
options:
Sollen Standard Zertifikat (in der Regel dann SwissSign Gold OEM ID
Zertifikate) bezogen werden, so muss diese Option gewählt und die
folgenden Konfigurationsfelder gefüllt werden.
Server
Angabe des Server, auf welchen über die MPKI zugegriffen werden soll
Diese Information wird von SwissSign mit den Zugangsdaten bereitgestellt.
In der Regel lautet der Eintrag ra.swisssign.net.
CA name
Name der ausstellenden CA
Diese Information wird von SwissSign mit den Zugangsdaten unter der
Bezeichnung "CA" bereitgestellt. In der Regel lautet der Eintrag für
SwissSign Gold OEM ID Zertifikate
Personal Gold G22
[SwissSign Silver OEM ID Zertifikate
Personal Silver G22
(wird aufgrund der Einstellung Silver light certificates in der Regel nicht
benötigt)]
© 2016 SEPPmail AG
230
Parameter
Beschreibung
RA name
Name der Zertifikatsanfordernden RA
Bezeichnung "RA" bereitgestellt. In der Regel lautet der Eintrag <Firma>
RA
Extended profile
name
Bezeichnung "XP" bereitgestellt. In der Regel lautet der Eintrag für
G2GP-sha2-smime
G2SP-sha2-smime
benötigt)]
Static subject part
Dieser Teil taucht im Zertifikat des jeweiligen Benutzers als Erweiterung des
Feldes "Antragsteller" auf. In den SwissSign Zugangsdaten wird dieser
Eintrag mit "SSP" bezeichnet. Bei
/OU=[Organisationsdetail]/O=[Organisation]/C=[Land]
(Beim Eintrag des Organisationsnamens ist unbedingt auf die gleiche
Schreibweise wie im Handelsregister und Antrag zu achten. Geringe
Abweichungen führen dazu, dass das Zertifikat nicht ausgestellt werden
kann. Für den Ländernamen ist die zweistellige ISO Länderkennung zu
verwenden. Im Feld Antragsteller des Zertifikates würde somit folgendes
eingetragen:
CN = [Name]
OU = [Organisationsdetail]
O = [Organisation]
C= [Land]
)
/CN=Secure Mail: SEPPmail Certificate
benötigt.
Im Feld Antragsteller des Zertifikates würde somit folgendes eingetragen:
CN = Secure Mail: SEPPmail Certificate
)]
CSR creation
© 2016 SEPPmail AG
Create encryption
key remotely
Im Normalfall werden die Schlüsselpaare
ausschliesslich auf der SEPPmail Appliance
generiert und nur der öffentliche Schlüssel als
CSR (Certificate Signing Request) an die CA zum
Signieren übermittelt. Das heisst der sensible
private Schlüssel verlässt die Appliance niemals.
Werden höherwertige Zertifikate angefordert (zum
Beispiel "Gold"), in welchen nicht ausschliesslich
die E-Mail Adresse, sondern auch die jeweils
zugehörge Person bestätigt wird. so können diese
theoretisch auch zum signieren von Dokumenten
(zum Beispiel PDF-Dateien) verwendet werden. Da
ein Download der privaten Schlüssel von der
SEPPmail Appliance nicht möglich ist, besteht über
231
Parameter
Beschreibung
diese Option die Möglichkeit, die Schlüsselpaare
durch die CA (SwissSign) generieren zu lassen.
Somit kann der sensible private Schlüssel bei
Bedarf über einen gesicherten Kanal von der CA
heruntergeladen werden.
Parameter
Beschreibung
Domain:
Es dürfen nur Domänen eingerichtet werden, die bei der Antragstellung der
Zertifikate auch benannt wurden. Abweichende Domänennamen können
dazu führen, dass das Zertifikat nicht ausgestellt wird.
Extended profile:
Siehe Sektion Parameter 229 Extended profile name
Static subject part:
Siehe Sektion Parameter 229 Static subject part
Sektion Certificate
Dient der Authentifizierung gegenüber dem CA Anbieter (SwissSign)
Parameter
Beschreibung
PKCS12 identity
file
Zertifikat zur Authentisierung bei der CA (SwissSign) für den Bezug von
Benutzer-Zertifikaten. Diese Datei wird von SwissSign zur Verfügung gestellt
und ist mit einem Passwort versehen (siehe Parameter PKCS12 password)
Ist der Zugang zur CA erfolgreich, so erscheint an dieser Stelle die Meldung
PKCS12 password
keys". Auch dieses wird von SwissSign zur Verfügung gestellt.
Trust chain
Damit die SEPPmail Appliance beim Signieren von E-Mails die
Zertifikatskette hin zur Root CA (SwissSign) ergänzen kann, muss diese
bekannt gemacht werden. Dies kann durch manuelles Kopieren in das
Eingabefeld erfolgen - hier ist darauf zu achten, dass am Ende des
Eingabefeldes eine Leerzeile vorhanden ist - oder durch klicken der
Schaltfläche Add or update... in der Sektion Settings 232 .
© 2016 SEPPmail AG
232
Sektion Settings
Parameter
Automatically
renew expiring
certificates if
validity days left
less than
Beschreibung
Hinweis:
auch aktiv sind.
Hinweis:
(neu in 7.4.8)
Automatically
create certificates
Nacht ein SwissSign Zertifikat ausgestellt.
for active users
Achtung:
days left less than
Chain certificates
Hinweis:
zwingend!
© 2016 SEPPmail AG
233
7.10
Administration
Dieses Menü beinhaltet Funktionen zur Verwaltung des Systems.
Sektion License and registration
Ist eine Gültige Lizenz vorhanden, so wird in diesem Abschnitt die Meldung "Valid License detected"
ausgegeben.
Andernfalls muss an dieser Stelle die Registrierung der Appliance vorgenommen werden. im
Normalfall geschieht das über die Schaltfläche Register this device..., welche das Untermenü
Register this device 238 öffnet.
Ist der Zugang zum SEPPmail Lizenzserver (update.seppmail.ch beziehungsweise support.seppmail.
ch) über TCP Port 22 (siehe Firewall / Router einrichten 65 sowie Sektion Proxy settings 129 des
Menüpunktes System 119 ) nicht möglich, da es sich zum Beispiel um ein PCI gehärtetes oder ein
DMZ abgeschottetes System handelt, so kann die Registrierung über Import license file...
vorgenommen werden.
Sektion Update
Über die Schaltfläche Check for update wird die komplette Versions-Historie sowie Inhalte
verfügbarer und geplanter Updates der SEPPmail Appliance angezeigt. Sollten bei einem Update
Nacharbeiten - in seltenen Fällen muss zum Beispiel das Ruleset neu generiert werden - notwendig
sein, so ist auch dies in roter Schrift zu sehen.
Weiterhin kann durch klicken dieser Schaltfläche ein Abgleich mit dem SEPPmail Lizenzserver
erzwungen werden, wodurch zum Beispiel kurzfristig angeforderte Lizenzänderungen sofort
übernommen werden.
Fetch update startet bei verfügbarem Update den Download der Firmware vom SEPPmail
Updateserver und startet das System im Anschluss mit der neuen Firmware. Durch erneutes Klicken
dieser Schaltfläche während des Downloads wird jeweils der Fortschritt in % ausgegeben.
Prefetch (reboot manually) startet bei verfügbarem Update den Download der Firmware vom
SEPPmail Updateserver. Diese wird beim nächsten manuellen Reboot übernommen.
Ist der Zugang zum SEPPmail Lizenzserver (update.seppmail.ch beziehungsweise support.seppmail.
ch) über TCP Port 22 (siehe Firewall / Router einrichten 65 sowie Sektion Proxy settings 129 des
Menüpunktes System 119 ) nicht möglich, da es sich zum Beispiel um ein PCI gehärtetes oder ein
DMZ abgeschottetes System handelt, so kann eine Update Datei über den Support angefordert
werden. Diese Datei wird über Upload hochgeladen. Durch einem Neustart der SEPPmail Appliance
wird die neue Firmware aktiv.
Hinweis:
In der Regel wird immer die aktuellste Firmware eingespielt. In seltenen Fällen ist
jedoch das Update in mehreren Schritten notwendig, zum Beispiel wenn
Abhängigkeiten bei den Konfigurationsdateien bestehen. In diesen Fällen muss die
Appliance so oft aktualisiert werden, bis Sie auf dem aktuellen Stand ist (Meldung "
You already have the latest version installed").
Beim Update im Cluster ist folgendes zu beachten:
Alle Maschinen sollten zeitnah aktualisiert werden, so dass lange Laufzeiten mit
unterschiedlichen Versionsständen vermieden werden.
Ist ein Update in mehreren Stufen notwendig (siehe oben), so ist immer auf allen
Cluster-Partnern der gleiche Versionsstand herzustellen, bevor auf die nächst
höhere Version aktualisiert wird.
Ein Beispiel für die oben genannte Situation wäre das Update von Version 7.0.4
auf 7.2. Hier wird zunächst nur die Version 7.1 zum Update angeboten. Erst wenn
alle Maschinen diesen Stand haben darf auf die dann angebotene Version 7.2
aktualisiert werden.
© 2016 SEPPmail AG
234
Ist nach einem Update ein erneutes generieren des Rulesets notwendig (dies wird
mittels klick auf Check for update angezeigt), so sind zunächst alle Maschinen
auf einen einheitlichen Stand zu bringen. Danach muss das Ruleset an einer
beliebigen Maschine aktualisiert werden (siehe Mail Processing 160 Ruleset
generator 168 Save and create ruleset).
Handelt es sich um einen Frontend-/Backend-Cluster 99 , so sind zunächst die
Frontend und erst dann die Backend-Maschinen zu aktualisieren, um zum Beispiel
bei Sicherheitserweiterungen den Zugriff innerhalb des Clusters nicht zu
gefährden.
Sektion Backup
Parameter
Beschreibung
Backup
Die Schaltfläche Download startet das Herunterladen der Backup-Datei. Diese
Datei beinhaltet ausschliesslich Konfiguration und Schlüsselmaterial der SEPPmail
Appliance. Voraussetzung für den Download des Backups ist die Vergabe eines
Backup Passwortes, welches via Change password gesetzt beziehungsweise
geändert werden kann.
Restore
Soll ein Backup in die Appliance zurückgespielt werden, so erfolgt dies durch klicken
von Import backup File.... Hierfür wird das zum Zeitpunkt des Erstellens des
Backups gültige Backup-Passwort benötigt. Das Einspielen eines Backups stellt
die Maschine zu 100% in dem Zustand wieder her, wie er zum Zeitpunkt
des Erstellens des Backups - mit Ausnahme der Log-Dateien - war.
Backup
using scp
Soll das Backup per SCP abgeholt werden, so kann über das Eingabefeld ein
entsprechender public key (dieser beginnt mit "ssh-rsa " und endet mit "=
<Beschreibung>") eingegeben werden, welcher über die Schaltfläche Save public
key importiert wird. Damit wird der Zugriff auf das System über den Betriebssystem
eigenen Benutzer "backup" für das Abholen des täglich um Mitternacht
bereitgestellten Backups (backup.tgz) gewährleistet.
Durch Eingabe eines weiteren Schlüssels, wird der bestehende Schlüssel jeweils
gelöscht. Das heisst, wird Save public key ohne die Eingabe eines Schlüssels
gedrückt, so wird der Schlüssel gelöscht.
Hinweis:
Mitglieder der Gruppe "backup" (siehe Groups 258 ) erhalten täglich um Mitternacht
die Sicherungsdatei per E-Mail zugesandt. Voraussetzung ist natürlich ein gesetztes
Backup Passwort.
Zu beachten gilt, dass Backups älterer Firmware Stände in neuere Firmware Stände
eingespielt werden können. Dabei sollte im Anschluss unbedingt das Ruleset neu
generiert werden (siehe Mail Processing 160 Ruleset generator 168 Save and
create ruleset).
Backups neuerer Firmware Stände dürfen keinesfalls auf Maschinen mit älterem
Firmwarestand eingespielt werden.
© 2016 SEPPmail AG
235
Sektion System
Reboot... startet das System neu. Es erscheint ein Dialog zur Eingabe eines Sicherheitscodes,
wodurch ein versehentlicher Neustart verhindert wird.
Shut down... fährt das System herunter. Es erscheint ein Dialog zur Eingabe eines
Sicherheitscodes, wodurch ein versehentliches Herunterfahren verhindert wird.
Sektion Database and system settings
Perform factory reset... setzt das System auf Werkszustand zurück. Es erscheint ein Dialog zur
Eingabe eines Sicherheitscodes in umgekehrter Schreibweise um ein ungewolltes Zurücksetzen zu
verhindern.
Hinweis:
Der Zugriff auf die GUI sollte bereits unmittelbar nach Start des Resets nicht mehr
möglich sein. Im Konsolenfenster der Appliance bleibt - sofern diese Option gewählt
wurde - während des zehnmaligen Überschreibens der Login-Prompt erhalten. Nach
Abschluss des Resets fährt die Appliance herunter.
Wird die Maschine danach neu gestartet, so ist im Konsolenfenster wieder der Hinweis
zu sehen.
Sektion Import
In dieser Sektion werden zahlreiche (Massen-)Importfunktionen zur Verfügung gestellt.
Parameter
Beschreibung
Import
users (CSV)
Über die Schaltfläche Import können Encryption/Signature-Benutzer mittels csvDatei mit dem Aufbau "USERID;NAME;EMAIL;PASSWORD" importiert werden.
Dabei ist die Vergabe eines Passwortes optional (siehe Users 251 ).
Bei Benutzern, welche durch die SEPPmail Appliance automatisch generiert wurden
entsprechen USERID;NAME;EMAIL jeweils der E-Mail Adresse des Benutzers, was
die Einmaligkeit garantiert.
Import
GINA users
(CSV)
Über die Schaltfläche Import können GINA-Benutzer mittels csv-Datei mit dem
Aufbau "EMAIL;PASSWORD;NAME;MOBILE" importiert werden. Die Angabe einer
Mobilfunk-Nummer ist dabei optional.
Denkbar wäre die Eingabe einer Kundenliste deren jeweiliges Initialpasswort die
Postleitzahl ist.
Erfolgt der Import auf mandantenfähigen Systemen, so kann der Mandant, welchem
die GINA-Benutzer zugeordnet werden sollen ausgewählt werden.
© 2016 SEPPmail AG
236
Parameter
Beschreibung
Import
OpenPGP
secret keys
Über die Schaltfläche Import OpenPGP secret keys ist das Importieren von
OpenPGP Schlüsselpaaren möglich. Sollte für die im Schlüsselpaar vorhandene EMail Adresse noch kein Benutzer auf der SEPPmail Appliance vorhanden sein, so
wird dieser automatisch durch diese Aktion angelegt.
Der Import ist sowohl über eine Datei, als auch durch Einfügen als Text möglich
jeweils unter Angabe der passenden Passphrase möglich.
Durch das Aneinanderreihen von Schlüsselpaaren - egal ob als Datei oder als Text ist auch ein Massenimport möglich. Ebenso können einzelne Schlüsseldateien aus
einer unverschlüsselten ZIP-Datei ohne Ordnerstruktur importiert werden. Bei einem
Massenimport ist darauf zu achten, dass alle Schlüssel die selbe Passphrase
haben!.
Import
S/MIME keys
Über die Schaltfläche Import S/MIME keys ist das Importieren von PKCS#12
Dateien (diese haben die Endung .p12 oder .pfx), welche den privaten S/MIMESchlüssel enthalten, unter Angabe der passenden Passphrase möglich. Sollte für
die im Schlüssel vorhandene E-Mail Adresse noch kein Benutzer auf der SEPPmail
Appliance vorhanden sein, so wird dieser automatisch durch diese Aktion angelegt.
Bei diesen automatisch generierten Benutzern wird als User ID die E-Mail Adresse
verwendet. Je nach Güte des Zertifikats wird als User Name der im Zertifikat
eingetragene Name verwendet. Enthält das Zertifikat keinen entsprechenden
Namen, so wird auch hier die E-Mail Adresse eingetragen. Ist dies nicht gewünscht,
so müssen die Benutzer vor dem Import der S/MIME Keys angelegt werden. Hierzu
bietet sich im Vorfeld das Verwenden der Funktion Import Users (CSV) an.
Hinweis:
Da es sich um eine Massenimport Funktion handelt, wird für den
Import eine unverschlüsselte ZIP-Datei ohne Ordnerstruktur
erwartet, welche die PKCS#12 Dateien enthält. Dies setzt natürlich
voraus, dass alle Schlüssel die selbe Passphrase haben.
Import
S/MIME
certificates
Über Import S/MIME user and/or CA certificates können öffentliche S/MIME
Schlüssel zur Verschlüsselung an Kommunikationspartner, wie auch CA Zertifikate
für die automatische S/MIME Signaturprüfung importiert werden. Durch das Packen
mehrerer Schlüssel Dateien in eine unverschlüsselte ZIP-Datei ohne Ordnerstruktur
ist auch hier ein Massenimport möglich.
Hinweis:
Werden über diese Methode X.509 Root Zertifikate importiert, so
muss im Anschluss noch die korrekte Vertrauensstellung dieser
Zertifikate im Untermenü Certificate details 268 des Menüs X.509
Root Certificates 267 durch klicken von Trust this certificate
hergestellt werden.
Sektion Establish support connection
Sollten auf der SEPPmail Appliance unerwartet Probleme auftauchen, so kann mittels Connect eine
Support Verbindung zum Hersteller aufgebaut werden. Hierdurch wird eine SSH Verbindung (TCP
Port 22) zum SEPPmail Supportserver aufgebaut.
© 2016 SEPPmail AG
237
(neu in 7.4.6)
Hinweis:
Solange die Support Connection aufgebaut ist, wird dies - unabhängig vom Menü - in
der Kopfleiste der Administrationsoberfläche durch folgenden Text angezeigt:
Support connection is established: Please disconnect under 'Administration' if not
needed anymore
© 2016 SEPPmail AG
238
7.10.1 Register this device
Die Registrierungsdaten sollten sorgfältig ausgefüllt werden, da unter anderen bei CERT-Meldungen,
von welchen die SEPPmail Appliance betroffen ist, die hier genannten Kontakte bei Bedarf informiert
werden.
Werden mehrere Appliances für den selben Kunden registriert, so ist darauf zu achten, dass die
Eingaben identisch gemacht werden.
Sektion Customer information
Eingabefeld für die Kundendaten.
Parameter
Beschreibung
Company
Pflichtfeld. Firmenname des Kunden.
Address 1
Pflichtfeld. Adresse des Kunden.
Address 2
Optional. Zusätzliches Adressfeld.
City
Pflichtfeld. Stadt des Kunden.
Postal code
Pflichtfeld. Postleitzahl des Kunden.
Country
Pflichtfeld. Land des Kunden.
First name
Pflichtfeld. Vorname des Ansprechpartners beziehungsweise der zuständigen
Abteilung beim Kunden.
Last name
Pflichtfeld. Nachname des Ansprechpartners beziehungsweise der zuständigen
E-mail address
Pflichtfeld. E-Mail Adresse des Ansprechpartners beziehungsweise der zuständigen
Phone number
Pflichtfeld. Telefonnummer in der Form "+<Ländercode> <Vorwahl ohne null"0">
<Rufnummer inklusive Durchwahl>" des Ansprechpartners beziehungsweise der
zuständigen Abteilung beim Kunden.
Mobile phone
number
Optional. Mobilfunknummer in der Form "+<Ländercode> <Vorwahl ohne null"0">
zuständigen Abteilung beim Kunden.
© 2016 SEPPmail AG
239
Sektion Reseller information
Eingabefeld für die Daten des SEPPmail Partners
Parameter
Beschreibung
Company
Pflichtfeld. Firmenname des Partners.
Address 1
Pflichtfeld. Adresse des Partners.
Address 2
Optional. Zusätzliches Adressfeld.
City
Pflichtfeld. Stadt des Partners.
Postal code
Pflichtfeld. Postleitzahl des Partners.
Country
Pflichtfeld. Land des Partners.
First name
Pflichtfeld. Vorname des Ansprechpartners beziehungsweise der zuständigen
Abteilung beim Partners.
Last name
Pflichtfeld. Nachname des Ansprechpartners beziehungsweise der zuständigen
E-mail address
Pflichtfeld. E-Mail Adresse des Ansprechpartners beziehungsweise der zuständigen
Phone number
Pflichtfeld. Telefonnummer in der Form "+<Ländercode> <Vorwahl ohne null"0">
zuständigen Abteilung Partners.
Mobile phone
number
Optional. Mobilfunknummer in der Form "+<Ländercode> <Vorwahl ohne null"0">
zuständigen Abteilung Partners.
© 2016 SEPPmail AG
240
Sektion Activation code
Hinweis:
Diese Sektion erscheint nur bei virtuellen Appliances!
Bei Hardware Appliances ist die License ID immer statisch an die Hardware
gebunden. Eine Eingabe ist deshalb nicht erforderlich.
Parameter
Beschreibung
Enter the
device ID of this
virtual
appliance from
your license
document.
Leave empty to
get a test
license
Ist bereits das "SEPPmail License Certificate" der Kauflizenz vorhanden, so ist die
darauf befindliche "Device-ID" in dieses Feld in der Form XXXX-XXXX-XXXX
einzutragen. Somit werden die erworbenen Lizenzen auf die Appliance übertragen.
Wird dieses Feld leer gelassen, so zieht die Appliance automatisch eine 30-tägige
Testlizenz.
Hinweis:
Wurde eine Testlizenz bezogen und soll diese im Anschluss in die
Produktion übernommen werden, so ist bei der Bestellung
unbedingt die "Device ID" aus der Sektion System 117 des
Menüs Home 116 mit anzugeben.
Hinweis:
Wurde die "Device-ID" eines "SEPPmail License Certificate"
bereits einmal verwendet, so lässt sich dieses - zum Beispiel nach
einer Neuinstallation - kein zweites mal Verwenden. In diesem Fall
ist der Support zu kontaktieren.
Über das klicken der Schaltfläche Send wird der Registrierungsprozess abgeschlossen.
© 2016 SEPPmail AG
241
7.11
Cluster
Dieses Menü bietet die Möglichkeit mehrere Appliances zu einem Cluster zusammen zu fügen.
Das Verhalten des Clusters ist dabei stark von den vorgenommenen Systemeinstellungen (siehe unter
Anderem Menü System 119 Sektionen IP ALIAS addresses 121 und SMTP loadbalancer 122 )
Maschinen, welche dem Cluster hinzugefügt werden übernehmen die Einstellungen der BasisMaschine. Das heisst alle eventuell bereits vorgenommenen Einstellungen werden überschrieben.
Ausgenommen vom clustering bleiben die Menüpunkte, welche maschinenbezogene Daten enthalten,
wie System 119 , SSL 207 , teilweise CA 214 , Logs 245 und Statistics 249 .
Hinweis:
Wird LFT 55 (siehe auch Home 116 License 116 Large File Transfer (LFT)
licenses, sowie Mail Procesing 160 GINA domains 160 Edit GINA settings 186
Large File Transfer 191 ) verwendet, so muss der zusätzliche LFT Speicher auf
allen Cluster-Partnern (auf Frontend-Systemen) bereit gestellt werden.
Sektion Prepare for cluster
Über die Schaltfläche Download cluster identifier wird das Zertifikat für die Herstellung der SSH
Verbindung vom zukünftigen Cluster-Partner zur Basis-Maschine heruntergeladen. In der Regel heisst
diese Datei "clusterid.txt". Das heisst diese Aktion wird an der Maschine vorgenommen, von welcher
die Einstellungen übernommen werden sollen.
Sektion Add this device to existing cluster
Diese Sektion erscheint nur dann, wenn die SEPPmail Appliance nicht bereits in einem ClusterVerbund integriert ist und dient dem Hinzufügen zu einem Cluster.
Achtung:
Alle Einstellungen, welche nicht maschinenbezogen sind (siehe Sektion Prepare for
cluster 241 ), werden durch diese Aktion mit den Einstellungen der Basis-Maschine
überschrieben. Sollten Unsicherheiten bezüglich der Aktion bestehen, empfiehlt sich
dringend zuvor ein manuelles Backup zu erstellen (siehe Administration 233
Backup 234 ).
Parameter
Beschreibung
Cluster identifier
Über die Browserschaltfläche "Datei auswählen" wird das für die SSH
Verbindung benötigte Zertifikat der Basis-Maschine "clusterid.txt" (siehe
Sektion Prepare for cluster 241 ) ausgewählt.
Cluster member IP
An dieser Stelle wird die physikalische IP-Adresse (kein Alias!, also virtuelle
Adresse) der Basis-Maschine über welche die Cluster Kommunikation
stattfinden soll sowie der zu verwendende Port (im Standard Port 22 für das
SSH-Protokoll) angegeben.
IP address of this
device
An dieser Stelle wird die physikalische IP-Adresse (kein Alias!, also virtuelle
Adresse, siehe System 119 IP ALIAS addresses 121 ) dieser Maschine
über welche die Cluster Kommunikation stattfinden soll sowie der zu
verwendende Port (muss identisch mit dem unter Cluster member IP
eingegebenen sein) angegeben.
Connect
Über die Schaltfläche Start wird die Maschine dem Cluster hinzugefügt.
© 2016 SEPPmail AG
242
Sektion Cluster members
Diese Sektion erscheint nur dann, wenn die SEPPmail Appliance bereits Bestandteil eines Cluster ist.
In diesem Fall werden alle Cluster-Partner mit den folgenden Daten gelistet:
Spalte
Beschreibung
Device ID
Zeigt die "Device ID" des jeweiligen Cluster-Partners an.
Das Entfernen eines entfernten Cluster-Partners kann durch klicken auf die
"Device ID" erfolgen. Hierdurch öffnet ein weiteres Menü, in welchem dann
der Server über die Schaltfläche Remove device from cluster entfernt
werden kann. Die Datenbank bleibt mit dem zuletzt synchronisierten Stand auf
dem entfernten System erhalten.
Das Entfernen der lokalen Maschine aus dem Cluster-Verbund erfolgt wie in
Sektion Remove from cluster 242 beschrieben.
IP address
Zeigt die "IP-Adresse" des jeweiligen Cluster-Partners an, welche für die
Cluster Kommunikation konfiguriert wurde.
Port
Zeigt den Kommunikations-Port an (im Standard Port 22 für das SSHProtokoll)
Status
Arbeitet der Cluster korrekt, so steht hier
"OK (XXXX entries in remote database, XXXX entries in local Database)"
wobei die Anzahl "XXXX" identisch sein sollte.
Comment
Zeigt den für den Cluster-Partner definierten Kommentar an (siehe System
119 Comment 119 )
Location
Zeigt den für den Cluster-Partner definierten Standort an (siehe System 119
Comment 119 )
Sektion Remove from cluster
Durch klicken der Schaltfläche remove this device from cluster wird die Maschine aus dem
Cluster herausgenommen. Die lokale Datenbank bleibt dabei erhalten und hat den Stand der letzten
Synchronisierung im Cluster.
© 2016 SEPPmail AG
243
Sektion Add this device as frontend server (no local database)
Diese Sektion erscheint nur dann, wenn die SEPPmail Appliance nicht bereits in einem ClusterVerbund integriert ist und dient dem Hinzufügen der Maschine als Frontend-Server zu einer anderen
Maschine oder einem Cluster. Als Frontend-Server wird ein Cluster-Partner ohne lokale Datenbank
bezeichnet.
Sollte aufgrund von Revisionsvorgaben die SEPPmail Appliance in einer DMZ platziert werden
müssen, in welcher keine Datenhaltung - in diesem Fall in erster Linie Schlüsselmaterial - erlaubt ist,
so kann über diese Funktion eine Trennung zwischen dem Datenbanksystem (backend) und dem EMail verarbeitenden System (frontend) vollzogen werden. Häufig wird diese Variante auch zum
Abtrennen des GINA verarbeitenden Teils verwendet.
Der Frontend-Server erhält in diesem Fall jeweils nur die diejenigen Daten vom Backend-Server,
welche aktuell zur Verarbeitung einer E-Mail benötigt werden. Der Backend-Server steht ausserhalb
der DMZ und hält die Daten in seiner Datenbank.
Frontend-Server werden nicht in der Sektion Cluster members der Backend-Systeme angezeigt.
Parameter
Beschreibung
Cluster identifier
Über die Browserschaltfläche "Datei auswählen" wird das für die SSH
Verbindung benötigte Zertifikat der Basis-Maschine "clusterid.txt" (siehe
Sektion Prepare for cluster 241 ) ausgewählt.
Existing appliance IP
An dieser Stelle wird IP-Adresse der Backend-Maschine über welche die
Cluster Kommunikation stattfinden soll sowie der zu verwendende Port (im
Standard Port 22 für das SSH-Protokoll) angegeben.
Existiert ein Backend-Cluster", so kann an dieser Stelle eine virtuelle IPAdresse (siehe System 119 IP ALIAS addresses 121 ) verwendet werden.
Es besteht aber auch die Möglichkeit, der Frontend-Maschine weitere
Backend-Server im Nachhinein hinzu zu fügen (siehe Sektion Add
additional backend 244 ) falls keine virtuelle IP-Adresse verfügbar ist.
Connect
Über die Schaltfläche Start wird die Maschine dem Cluster hinzugefügt.
Sektion Remote LDAP server
Diese Sektion erscheint nur dann, wenn die SEPPmail Appliance als Frontend-Server bereits
Bestandteil eines Clusters ist. In diesem Fall werden alle Backend-Server mit den folgenden Daten
gelistet:
Spalte
Beschreibung
IP address
Zeigt die "IP-Adresse" der jeweiligen LDAP-(Backend-)Maschine an.
Das Entfernen eines LDAP-(Backend-)Servers erfolgt durch klicken auf die IPAdresse. Hierdurch öffnet ein weiteres Menü, in welchem dann der Server
über die Schaltfläche Remove device from cluster entfernt werden kann.
Das Entfernen der lokalen Maschine als Frontend-Server erfolgt wie in
Sektion Detach from LDAP server 244 beschrieben.
Port
Zeigt den Kommunikations-Port an (im Standard Port 22 für das SSHProtokoll)
Status
Arbeitet der Cluster korrekt, so steht hier
"OK (XXXX entries in remote database)"
© 2016 SEPPmail AG
244
Sektion Detach from LDAP server
Über die Schaltfläche Detach wird die SEPPmail Appliance als Frontend-Server entfernt. Dabei wird
eine leere Lokale Datenbank auf dem System angelegt.
Hinweis:
Das Abkoppeln eines Frontend-Servers wird durch einen automatischen Neustart der
Appliance abgeschlossen.
Sektion Add additional backend
Sollen mehrere Backend-Server aus einem Backend-Cluster für LDAP-Anfragen herangezogen
werden, ohne dass eine virtuelle IP-Adresse zur Verfügung steht, so können diese über diese Option
eingebunden werden.
Parameter
Beschreibung
Existing appliance IP An dieser Stelle wird die physikalische IP-Adresse einer weiteren Backend-
Maschine sowie der zu verwendende Port (im Standard Port 22 für das SSHProtokoll) angegeben.
Hierdurch kann ein Backend-Cluster ohne Verwendung von virtuellen IPAdressen zur Verfügung stehen.
Connect
© 2016 SEPPmail AG
Über die Schaltfläche Start wird die zusätzliche Backend-Maschine
hinzugefügt.
245
7.12
Logs
Dieses Menü biete die Möglichkeit die für den E-Mail Betrieb relevanten Logs einzusehen.
Über die Schaltfläche Show queued mails... öffnet das Untermenü Mails currently in queue,
über welches die E-Mail Warteschlange eingesehen und entsprechende Aktionen vorgenommen
werden können.
Via Show other logs... wird das Untermenü Other logs 247 geöffnet, welches die Möglichkeit zur
Einsicht weiterer Logdateien, sowie zur Verwaltung des mail logs bietet.
Sektion Filter
Über das Eingabefeld kann ein regulärer Ausdruck (regular expression) eingegeben werden, nach
welchem durch klicken der Schaltfläche Filter im gesamten maillog (aktuelles sowie alle Archive)
gesucht wird. Über die beiden darunter liegenden Drop-Down Menüs Search logs from: until: kann die
Suche auf einen bestimmten Zeitraum eingeschränkt werden. Die jeweils auszuwählenden Zeiträume
sind von den Inhalten der E-Mail Archiv Dateien (siehe Log archive 247 ) abhängig.
Zusätzlich besteht die Möglichkeit nach den Status aus der folgenden Tabelle zu Filtern
Parameter
Beschreibung
black:
E-mail has not yet been processed or
has been delivered directly
E-Mail wurde noch nicht verarbeitet oder direkt
ausgeliefert. Dieser Status erscheint zum Beispiel auch
bei als SPAM identifizierten E-Mails (siehe Mail
Processing 160 Ruleset generator 168 Protection
Pack (AntiVirus / AntiSpam) 178 Check incoming mails
for spam and redirect spam to (leave empty to reject spam):)
green:
E-mail has been delivered
successfully
E-Mail wurde erfolgreich ausgeliefert
orange:
E-mail could not be delivered, will
retry
E-Mail konnte nicht ausgeliefert werden und wurde in der
Warteschlange bis zum nächsten Auslieferungsversuch
abgelegt
E-Mail konnte nicht ausgeliefert werden und wurde
red:
E-mail could not be delivered and was zurückgewiesen. Eine Benachrichtigungsmail über diesen
Vorgang geht an den Absender.
rejected
Das Suchergebnis wird in der Sektion E-mail Log (last 500) 246 angezeigt.
© 2016 SEPPmail AG
246
Sektion E-mail log (last 500)
Zeigt die letzten 500 maillog Einträge, beziehungsweise die Filterergebnisse der Sektion Filter 245 an.
Spalte
Beschreibung
Nr.
Laufende Nummer der Log-Einträge. Durch klicken auf die Nummer werden Details
zum Log-Eintrag angezeigt.
Source IP
Quell-IP-Adresse von welcher die E-Mail eingeliefert wurde.
Date
Datum und Uhrzeit des Vorgangs.
From
Absender E-Mail Adresse
To
Empfänger E-Mail Adresse. Diese wird je nach Status farbig angezeigt:
schwarz
E-Mail wurde noch nicht verarbeitet oder direkt ausgeliefert. Dieser
Status erscheint zum Beispiel auch bei als SPAM identifizierten E-Mails
(siehe Mail Processing 160 Ruleset generator 168 Protection
Pack (AntiVirus / AntiSpam) 178 Check incoming mails for spam and
redirect spam to (leave empty to reject spam):)
grün
orange
rot
E-Mail wurde erfolgreich ausgeliefert
E-Mail konnte nicht ausgeliefert werden und wurde in der
Warteschlange bis zum nächsten Auslieferungsversuch abgelegt
E-Mail konnte nicht ausgeliefert werden und wurde zurückgewiesen.
Eine Benachrichtigungsmail über diesen Vorgang geht an den
Absender.
Message-ID
Eindeutige Kennummer der E-Mail. Mittels dieser ID kann auch auf anderen
Komponenten - zum Beispiel Groupware-Server oder AntiSpam Komponente - die EMail nachverfolgt werden.
Subject
Betreff der E-Mail. Dieser wird nur angezeigt, wenn die Anzeige nicht ausgeblendet
wurde (siehe Mail Processing 160 Ruleset generator 168 General settings 168
"Show message subject in logs").
Size
Grösse der E-Mail.
© 2016 SEPPmail AG
247
7.12.1 Mails currently in queue
(neu in 7.4.6)
Sofern die E-Mail Queue nicht deaktiviert wurde (siehe Mail Processing 160 Ruleset generator
168 Advanced options 181 "Run in queueless mode") werden durch SEPPmail Appliance
verarbeitete E-Mails bei Bedarf - wenn zum Beispiel das Zielsystem temporär nicht erreichbar ist oder
aufgrund eines Greylisting Filters beim Kommunikationspartner die E-Mail beim ersten Sendeversuch
abgelehnt wird - in einer Warteschlange zwischengespeichert. Die SEPPmail Appliance wird in
regelmässigen Abständen versuchen die E-Mails der Warteschlange auszuliefern. Kann eine E-Mail
trotz mehrmaliger Auslieferungsversuche nicht zugestellt werden, so wird der Absender darüber
benachrichtigt und die E-Mail verworfen.
Der Inhalt dieser Warteschlange wird unter Queued e-mails 247 angezeigt. Ein sofortiger, erneuter
Auslieferungsversuch der zwischengespeicherten E-Mails kann über die Schaltfläche Retry to
deliver queued mails... forciert werden.
Über Filter... kann zunächst - mittels Regulärer Ausdrücke - nach E-Mails gesucht werden. In diesem
Fall wird unter Queued e-mails 247 das Suchergebnis gelistet.
Sektion Queued e-mails
Zeigt die E-Mails in der Warteschlange, beziehungsweise das Suchergebnis des eingebenenen Filters
an.
Über Delete können die unter Queued e-mails 247 aufgelisteten E-Mails aus der Warteschlange
gelöscht werden. Back wechselt in das übergeordnete Menü Logs 245 zurück.
7.12.2 Other logs
(neu in 7.4.6)
Dieses Menü stellt Logs für unterschiedliche weitere Funktionskomponenten zur Verfügung.
Sektion Other logs
Sofern die GINA-Technologie nicht deaktiviert wurde (siehe Mail Processing 160 Ruleset
generator 168 Advanced options 181 "Completely disable GINA technology") wird eine
entsprechende Log-Datei geführt, welche über die Schaltfläche Show GINA log... einzusehen ist.
Bei lizensiertem Protection Pack und aktiviertem Black- Greylisting (siehe Mail System 137
Antispam 143 , Blacklists 145 und Manual blacklisting / whitelisting 146 ) werden diese
Vorgänge in einer entsprechenden Log-Datei geführt. Diese Log-Datei kann über die Schaltfläche
Show blacklist / greylist log... eingesehen werden.
Über die Schaltfläche Show audit log... kann nachvollzogen werden, welcher Benutzer zu welcher
Zeit an der Administrationsoberfläche angemeldet war.
Sektion Log archive
In dieser Sektion wird das maillog verwaltet.
(neu in 7.4.8)
Da für eine Log-Analyse meist die letzten 30 Tage ausreichend sind, kann über die Schaltfläche
Download log (last 30 days) dieser Teilbereich gezielt heruntergeladen werden und steht im
Anschluss als maillog-latest.txt zur Verfügung.
Die SEPPmail Appliance lagert ab erreichen einer Log-Grösse von 30 MB jeweils in eine Archiv-Datei
aus. Über die Schaltfläche Download log (complete) wird die aktuelle Log-Datei sowie alle
© 2016 SEPPmail AG
248
vorhandenen Archiv-Dateien in einem Stream in eine Datei (maillog.txt) heruntergeladen.
Über die Schaltfläche Download log archive werden lediglich alle Archive heruntergeladen. Somit
können die Archive im Anschluss von der Appliance via Delete log archive gelöscht werden.
Dies ist zum Beispiel dann erforderlich, wenn der Speicherplatz der Log-Partition knapp wird (siehe
Home 116 Disk statistics 118 Logs).
Ein automatisches Löschen des maillog kann ebenfalls eingestellt werden (siehe System 119 Log
cleanup 128 Automatically delete log archives older than ? days).
Über Back wird in das übergeordnete Menü Logs zurückgewechselt.
© 2016 SEPPmail AG
249
7.13
Statistics
In diesem Menü werden diverse Messgrössen grafisch dargestellt. Dabei wird für jede Sektion jeweils
die letzten 24 Stunden (Today)
die letzte Woche (Last Week)
der letzte Monat (Last Month)
das letzte Jahr (Last Year)
die letzten drei Jahre (Last 3 Years)
dargestellt.
Sektion Throughput visualisation
Die Grafiken dieser Sektion stellen den E-Mail Durchsatz dar.
Graph Farbe Beschreibung
grün
Zeigt die Gesamtzahl der empfangenen E-Mails an.
blau
Zeigt die Gesamtzahl der gesendeten E-Mails an.
rot
Zeigt die Gesamtzahl der verschlüsselten E-Mails an.
lila
Zeigt die Gesamtzahl der entschlüsselten E-Mails an.
Sektion Technology visualisation
Die Grafiken dieser Sektion stellen die Häufigkeit der verwendeten Verschlüsselungstechnologien dar.
blau
Zeigt die Gesamtzahl der mittels GINA Technologie verschlüsselten E-Mails an.
grün
Zeigt die Gesamtzahl der mittels S/MIME Technologie verschlüsselten E-Mails an.
S/MIME signierte E.Mails werden nicht dargestellt.
rot
Zeigt die Gesamtzahl der mittels OpenPGP Technologie verschlüsselten E-Mails an.
lila
Zeigt die Gesamtzahl der mittels Domänenverschlüsselung verschlüsselten E-Mails
an.
© 2016 SEPPmail AG
250
Sektion Spam visualisation
Die Grafiken dieser Sektion stellen die Aktionen der SPAM Abwehrmassnahmen dar, sofern das
Protection Pack (VSPP) lizensiert und aktiviert wurde.
rot
Zeigt die Gesamtzahl aller aufgrund des Greylistings abgewiesenen E-Mails an.
blau
Zeigt die Gesamtzahl der aufgrund der Realtime Blackhole List (RBL) Funktion
abgewiesenen E-Mails an.
lila
grün
Zeigt die Gesamtzahl der aufgrund der SPAM Erkennung abgewiesenen E-Mails an.
Zeigt die Gesamtzahl der empfangenen E-Mails an.
Sektion CPU usage visualisation
Die Grafiken dieser Sektion stellen die Prozessorauslastung der Appliance dar.
grün
rot
blau
Zeigt die vom System verursachte Prozessor Auslastung in Prozent an.
Zeigt die benutzerbezogene Prozessor Auslastung in Prozent an.
Zeigt die freien Prozessor Ressourcen in Prozent an.
Sektion Memory usage visualisation
Die Grafiken dieser Sektion stellen die Speicherauslastung der Appliance in Megabyte (MB) dar.
Graph Farbe
grün
rot
hellblau
dunkelblau
schwarz
Beschreibung
Zeigt den aktiv in Benutzung befindlichen Speicher an.
Zeigt den belegten Speicher an.
Zeigt den belegten Auslagerungsspeicher an.
Zeigt die Grösse des zur Verfügung stehenden Auslagerungsspeichers an.
Zeigt die freien Speicher Ressourcen an.
© 2016 SEPPmail AG
251
7.14
Users
In diesem Menü werden die auf der SEPPmail Appliance vorhandenen Benutzer angezeigt.
Die Anlage von Benutzern kann automatisch oder manuell (siehe Mail Processing 160 Ruleset
generator 168 User creation 169 ) erfolgen.
Sollen Benutzer manuell eingerichtet werden, so erfolgt dies über die Schaltfläche Create new user
account... (siehe Untermenü Create new user account 256 ).
Über die Schaltfläche Password policy werden die Passwort Regeln für SEPPmail Appliance
Benutzer definiert (siehe Untermenü Password policy 257 ).
Da in grossen Umgebungen mitunter der Aufbau der Seite sehr lange dauern kann, kann über die
Option
Limit the number of returned accounts
die Anzeige auf 1000 User Accounts begrenzt werden. Die Suche nach einem Benutzer muss dann
gegebenenfalls zwingend über über die Schaltfläche Filter... vorgenommen werden.
Bei mandantenfähigen Systemen ist die Anzeige der Benutzer nach Mandanten gruppiert
Spalte
Beschreibung
User ID
Zeigt die "User ID" des jeweiligen Benutzers an.
Diese entspricht bei automatisch generierten Benutzern immer der E-Mail Adresse.
Name
Zeigt den Namen des jeweiligen Benutzers an.
Diese entspricht bei automatisch generierten Benutzern dem Anzeigenamen des
Absenders, sofern vorhanden. Andernfalls wird auch hier die E-Mail Adresse
angezeigt.
E-mail
Zeigt die E-Mail Adresse des Benutzers an.
OpenPGP
Zeigt die Anzahl der für den Benutzer vorhandenen OpenPGP Schlüssel an.
S/MIME
Zeigt die Anzahl der für den Benutzer vorhandenen S/MIME Schlüssel an.
State
Zeigt den Status des Benutzers an. Im Regelfall ist dieses Feld leer.
Bei technischen Benutzern kann der Status auf "inaktiv" gesetzt werden (siehe
Untermenü User details 252 User data 252 Encryption settings "May not encrypt
mails" und "May not sign mails"). Inaktive Benutzer sind nicht in der Lage zu
verschlüsseln oder signieren und benötigen somit auch keine Benutzerlizenz.
Durch Klicken auf die User ID wird das Untermenü mit den Benutzerdetails (User details 252 )
geöffnet.
Hinweis:
Bei Einrichten des Systems ist der Benutzer "admin" bereits vorhanden. Dieser
Benutzer benötigt keine Benutzerlizenz (Encryption/Signature License).
Es wird empfohlen, diesen Benutzer auch im weiteren Verlauf der Konfiguration nicht
zu löschen, um gegebenenfalls ein "Aussperren" aus dem System zu vermeiden.
© 2016 SEPPmail AG
252
7.14.1 User details
Sektion User data
Parameter
Beschreibung
User ID
Zeigt die "User ID" des jeweiligen Benutzers an.
Full name
Diese entspricht bei automatisch generierten Benutzern dem Anzeigenamen des
Absenders, sofern vorhanden. Andernfalls wird auch hier die E-Mail Adresse
eingesetzt.
E-mail
Password
Optional kann hier einem Benutzer ein Passwort vergeben werden.
Das Passwort muss den Passwort Regeln entsprechen (siehe Untermenü
Password policy 257 ).
Hinweis:
Die Vergabe eines Passwortes ist für das Nutzen der Appliance
nicht notwendig. Durch die Vergabe eines Passwortes wird es
einem Benutzer ermöglicht, sich interaktiv an der Appliance - also
der Administrationsoberfläche - anzumelden. Hierfür muss der
jeweilige Benutzer zusätzlich den entsprechenden Gruppen (siehe
Groups 258 ) zugeordnet werden.
Encryption
settings
May not encrypt
mails
Untersagt dem Benutzer E-Mails zu verschlüsseln. Fordert der
Benutzer trotzdem Verschlüsselung an, so würde die E-Mail
abgewiesen (bounced) werden.
May not sign mails
Untersagt dem Benutzer E-Mails zu signieren. Fordert der
Benutzer trotzdem Verschlüsselung an, so würde die E-Mail
abgewiesen (bounced) werden.
Sind beide Optionen gewählt, so wird für den Benutzer keine Userlicense in
Anspruch genommen. Dies bietet sich zum Beispiel bei technischen Benutzern an,
welche keine E-Mails in das Internet versenden (zum Beispiel Backup-Benutzer).
Weiterhin müssen inaktive Benutzer somit nicht gelöscht werden. Das hat den
Vorteil, dass deren Schlüsselmaterial auf der Appliance erhalten bleibt. Zudem
werden empfangene E-Mails gegebenenfalls weiterhin entschlüsselt. Allerdings ist
darauf zu achten, dass die empfohlene Useranzahl (siehe Sizing 41 ) nicht
massgeblich überschritten wird.
Notification
settings
always receives
notification when
recipient reads
GINA mail
An dieser Stelle kann für jeden Benutzer individuell eingestellt
werden, ob er GINA Lesebestätigungen erhalten soll. Ist diese
Option bereits global in den GINA domain settings (siehe Mail
Processing 160 GINA domains 160 Edit Edit GINA
settings 187 Extended settings 187 Sender always
receives notification when recipient reads GINA e-mails)
ausgewählt, so ist dieser Punkt ausgegraut.
Usage
statistics
Zeigt die Nutzungsstatistik des Benutzers an.
Last outgoing
e-mail
© 2016 SEPPmail AG
Zeitpunkt der letzten ausgehenden E-Mail
253
Parameter
Beschreibung
S/MIME encrypted Anzahl der versendeten E-Mails, welche mittels S/MIMETechnologie verschlüsselt wurden
e-mails sent
S/MIME encrypted Anzahl der empfangenen E-Mails, welche mittels S/MIMETechnologie verschlüsselt waren
e-mails received
OpenPGP
encrypted
e-mails sent
Anzahl der versendeten E-Mails, welche mittels OpenPGPTechnologie verschlüsselt wurden
OpenPGP
encrypted
e-mails received
Anzahl der empfangenen E-Mails, welche mittels -Technologie
verschlüsselt waren
S/MIME Domain
encrypted mails
sent
Anzahl der versendeten E-Mails, welche mittels S/MIMETechnologie domänenverschlüsselt wurden
S/MIME Domain
encrypted mails
received
Anzahl der empfangenen E-Mails, welche mittels S/MIMETechnologie domänenverschlüsselt waren
OpenPGP Domain Anzahl der versendeten E-Mails, welche mittels OpenPGPTechnologie domänenverschlüsselt wurden
encrypted mails
sent
OpenPGP Domain Anzahl der empfangenen E-Mails, welche mittels OpenPGPTechnologie domänenverschlüsselt waren
encrypted mails
received
S/MIME signed
e-mails sent
Anzahl der versendeten , welche mittels S/MIME-Technologie
signiert wurden
S/MIME signed
e-mails received
Anzahl der empfangenen E-Mails, welche mittels S/MIMETechnologie signiert waren
Anzahl der E-Mails, welche mittels GINA-Technologie
Webmail
encrypted e-mails verschlüsselt wurden
sent
Sektion Group membership
In dieser Sektion werden die Gruppenzugehörigkeiten des Benutzers angezeigt (siehe auch Groups
258 )
Sektion S/MIME
Serial
Certificate authorothy
Issued on
Expires on
Zeigt die Seriennummern der
Zertifikate an.
Zeigt die ausstellende CA an
Ausstelldatu
m des Keys
JJJJ-MM-TT
Ablaufdatum
des Keys
JJJJ-MMTT
© 2016 SEPPmail AG
254
Durch Klicken des Fingerprints wird ein Untermenü mit Details zum Key geöffnet. Dieses bietet die
Möglichkeit den öffentlichen Schlüssel (Zertifikat) herunterzuladen beziehungsweise das
Schlüsselpaar zu revozieren beziehungsweise zu löschen.
(neu in 7.4.6) funktioniert nur mit Schlüsselmaterial welches mit 7.4.6 oder höher hochgeladen wurde
Ebenso können in der Sektion Valid e-mail addresses des Folgemenüs alternative
Antragstellernamen hinzugefügt werden. Somit könnte ein Zertifikat welches primär für
Associated Email Address: max.mustermann@meine_firma.tld
ausgestellt wurde und somit als Antragsteller etwas wie
E = max.mustermann@meine_firma.tld
CN = Max Mustermann
O = Meine Firma
C = TLD
stehen hätte, ebenso für die alternativen E-Mail Adressen m.mustermann@meine_firma.tld und
mustermann@meine_firma.tld verwendet werden. Diese Namen würden wie folgt als
Alternativer Antragstellername:
auftauchen:
RFC822-Name=m.mustermann@meine_firma.tld
RFC822-Name=mustermann@meine_firma.tld
Über die Schaltfläche Import S/MIME certificate... kann ein bereits vorhandenes Zertifikat - zum
Beispiel ein gekauftes einer trusted CA - importiert werden (siehe Mail System 137 Edit managed
domain 147 S/MIME domain encryption 151 Import S/MIME key 154 ).
Über die Schaltfläche Generate S/MIME certificate... wird durch die integrierte CA ein neues
Schlüsselpaar auf der Appliance generiert.
Ist eine MPKI eingerichtet (siehe CA 214 External CA 218 ), so erscheint entsprechend der
verfügbaren CA die Schaltfläche Generate <MPKI> certificate.... Durch klicken dieser
Schaltfläche wird ein Schlüsselpaar generiert. Der öffentliche Schlüssel wird dabei durch die MPKI
signiert und steht somit als trusted Zertifikat zur Verfügung.
Sektion OpenPGP
In dieser Sektion werden die OpenPGP Schlüssel des Benutzers angezeigt, sofern vorhanden.
Key ID
User ID
Issued on
Expires on
Zeigt die Key IDs der
vorhandenen OpenPGP-Keys an
Zeigt die zur Key ID zugehörige
User ID an. Diese entspricht der
E-Mail Adresse des Benutzers.
Ausstelldatu
m des Keys
JJJJ-MM-TT
Ablaufdatum
des Keys
JJJJ-MM-TT
löschen.
Ebenso können in der Sektion Valid e-mail addresses des Folgemenüs alternative E-Mail
Adressen hinzugefügt werden. Somit könnte der Schlüssel, welcher primär für
max.mustermann@meine_firma.tld
ausgestellt wurde ebenso für die alternativen E-Mail Adressen
m.mustermann@meine_firma.tld
mustermann@meine_firma.tld
Über die Schaltfläche Import OpenPGP key... kann ein bereits vorhandenes Schlüsselpaar
importiert werden (siehe Mail System 137 Edit managed domain 147 OpenPGP domain
encryption 151 Import OpenPGP key 154 ).
© 2016 SEPPmail AG
255
Über die Schaltfläche Generate new OpenPGP key wird ein neues Schlüsselpaar auf der
Appliance generiert. Die Laufzeit sowie das automatische Aktualisieren der so erzeugten Schlüssels
entspricht der unter CA 214 Internal CA settings 216 Validity in days eingegebenen.
löschen.
Sektion Remote POP3
Wurde unter Mail System 137 Managed domains 137 die Option Fetch e-mail from remote POP3
server gewählt, so können die POP3 beziehungsweise IMAP Zugangsdaten für den jeweiligen
Benutzer an dieser Stelle eingegeben werden. Die SEPPmail Appliance wird alle drei Minuten E-Mails
abholen. Dabei wird POP3S beziehungsweise IMAPS präferiert.
Parameter
Beschreibung
User ID
Eingabe der User ID zur Anmeldung am POP3/IMAP Konto. In der Regel entspricht
die User ID der E-Mail Adresse.
Password
Zur User ID gehöriges Passwort.
Mail server
POP3 beziehungsweise IMAP-Server von welchem E-Mails abgeholt werden sollen.
Sektion Customer
Diese Sektion erscheint nur bei mandantenfähigen Systemen (siehe Menüpunkt Customers 274 ).
Sie ermöglicht die Zuordnung des Benutzers zu einem Mandanten.
Hinweis:
Die Zuordnung von Benutzern zu den jeweiligen Mandanten erfolgt normalerweise
automatisch anhand der in der E-Mail Adresse enthaltenen E-Mail Domäne der EMail Adresse. Von Änderungen ist deshalb im Normalfall abzusehen.
Eine erneute automatische Zuordnung kann über die Auswahl "Reset" angestossen
werden.
Das Löschen eines Users erfolgt über Delete user.
Hinweis:
Ist einem Benutzer gültiges Schlüsselmaterial zugeordnet, so muss dieses vor dem
Löschen des Benutzer gelöscht werden. Andernfalls erscheint zunächst eine
entsprechende Warnmeldung.
© 2016 SEPPmail AG
256
7.14.2 Create new user account
Sektion User data
Parameter
Beschreibung
User ID
Eingabe einer Eindeutigen "User ID" für den neuen Benutzer.
Es empfiehlt sich - wie bei automatisch generierten Benutzern - auch an dieser
Stelle die E-Mail Adresse zu verwenden, da hierdurch die Eindeutigkeit
gewährleistet wird.
Hinweis:
Diese Eingabe kann in den Benutzerdetails (User details 252
User data 252 ) nicht mehr geändert werden.
Full name
E-mail
Hinweis:
Diese Eingabe kann in den Benutzerdetails (User details 252
User data 252 ) nicht mehr geändert werden.
Password
Optional kann hier einem Benutzer ein Passwort vergeben werden.
Das Passwort muss den Passwort Regeln entsprechen (siehe Untermenü
Password policy 257 ).
Hinweis:
Die Vergabe eines Passwortes ist für das Nutzen der Appliance
nicht notwendig. Durch die Vergabe eines Passwortes wird es
einem Benutzer ermöglicht, sich interaktiv an der Appliance - also
der Administrationsoberfläche - anzumelden. Hierfür muss der
jeweilige Benutzer zusätzlich den entsprechenden Gruppen (siehe
Groups 258 ) zugeordnet werden.
Über die Schaltfläche Create account wird der Benutzer angelegt und kann im Anschluss weiter
bearbeitet werden (siehe Untermenü User details 252 ).
Cancel bricht den Vorgang ab.
© 2016 SEPPmail AG
257
7.14.3 Password policy
Sektion Password settings for system (not GINA) accounts
Die Vergabe eines Passwortes ist ausschliesslich für die Anmeldung an der Administrationsoberfläche
notwendig. Die Berechtigungen für Benutzer mit Passwort wird über die Gruppenzugehörigkeit
geregelt (siehe Groups 258 ).
Das heisst die hier definierten Passwort Regeln sind für die interaktive Anmeldung an der
Administrationsoberfläche gültig.
Parameter
Beschreibung
Minimum password
length: ?
Auswahl der minimalen Passwort Länge (4 bis 16 Zeichen, Standard ist
8).
one lower case letter
Definiert, ob ein Kleinbuchstabe im Passwort enthalten sein muss.
one upper case letter
Definiert, ob ein Grossbuchstabe im Passwort enthalten sein muss.
one number
Definiert, ob eine Ziffer im Passwort enthalten sein muss.
one special character
Definiert, ob ein Sonderzeichen im Passwort enthalten sein muss.
Must not contain own
name, user name or email address
Definiert, ob das Passwort den eigenen Namen oder E-Mail Adresse
enthalten darf.
Must be different from
previous ? password(s)
Definiert, mit wie vielen vorangegangenen Passwörter bei einem
Passwortwechsel keine Übereinstimmung bestehen darf (1 bis 28,
Standard ist 4).
Must be changed at
least every ? days
Definiert, ob und nach wie vielen Tagen das Passwort geändert werden
muss (Standard ist 90).
Accounts are locked for
? minutes after ? failed
login attempts.
Definiert, nach wie vielen fehlgeschlagenen Fehlversuchen (Standard ist
5) bei der Anmeldung (falsche Passworteingabe) für wie lange (in
Minuten, Standard ist 30) der Zugang gesperrt wird.
Über die Schaltfläche Save werden die angezeigten Einstellungen gesichert.
Mittels Back wird das Menü ohne Sicherung verlassen.
© 2016 SEPPmail AG
258
7.15
Groups
In diesem Menü sind bereits administrative Benutzergruppen vorgegeben (siehe Tabelle). Diese
dienen der Wirkungsmöglichkeiten einzelner Benutzer bei interaktiver Anmeldung an der
Administrationsoberfläche (siehe auch Users 251 User details 252 User data 252 Password)
Weiterhin besteht über die Schaltfläche Create new user group... weitere Gruppen zur
Verwendung im Ruleset (siehe Mail Processing 160 Ruleset generator 168 Custom
commands 180 ) zu erzeugen.
Über die Schaltfläche Edit... kann die jeweilige Gruppe editiert (Gruppen Name und Beschreibung)
sowie Benutzer zugeordnet werden.
Gruppe
Beschreibung
admin
(Administrator)
Alle Mitglieder dieser Gruppe sind dem Standardbenutzer admin
gleichgestellt und haben uneingeschränkten administrativen Zugang
zur Konfigurationsoberfläche mit allen Berechtigungen.
Weiterhin erhalten Mitglieder dieser Gruppe die mit "IMPORTANT"
gekennzeichneten "Daily Reports" (siehe auch "statisticsadmin")
zugesandt.
Hinweis:
Sollten administrative Aufgaben anfallen, so werden
die Mitglieder dieser Gruppe darüber informiert.
Somit sollte der Administrator der SEPPmail
Appliance unbedingt Mitglied dieser Gruppe sein.
administrationadmin
(GUI access to
Administration section)
Alle Mitglieder dieser Gruppe haben Zugriff auf das Menü
Administration 233 in der Konfigurationsoberfläche.
backup
(Backup operator )
Dieser Gruppe ist eine Sonderbedeutung zugeordnet. Sie
unterscheidet sich von den Systemgruppen für den Zugriff auf die
Konfigurationsoberfläche dadurch, dass kein Zugriff auf die
Konfigurationsoberfläche erfolgt. Alle Mitglieder dieser Gruppe
erhalten das Systembackup des jeweiligen Systems einmal täglich via
E-Mail. Das Systembackup wird täglich um 0.00 Uhr erzeugt und via
E-Mail an alle Mitglieder dieser Gruppe gesendet.
caadmin
(GUI access to CA
section)
Alle Mitglieder dieser Gruppe haben Zugriff auf das Menü CA 214 in
der Konfigurationsoberfläche.
clusteradmin
(GUI access to Cluster
section)
Alle Mitglieder dieser Gruppe haben Zugriff auf das Menü Cluster 241
in der Konfigurationsoberfläche.
domainkeysadmin
(GUI access to Domain
Keys section)
Alle Mitglieder dieser Gruppe haben Zugriff auf das Menü Domain
Certificates 271 in der Konfigurationsoberfläche.
groupsadmin
(GUI access to Groups
section)
Alle Mitglieder dieser Gruppe haben Zugriff auf das Menü Groups 258
homeadmin
(GUI access to Home
Alle Mitglieder dieser Gruppe haben Zugriff auf das Menü Home 116
© 2016 SEPPmail AG
259
Gruppe
Beschreibung
section)
logsadmin
(GUI access to Logs
section)
Alle Mitglieder dieser Gruppe haben Zugriff auf das Menü Logs 245 in
mailprocessingadmin
(GUI access to Mail
Processing section)
Alle Mitglieder dieser Gruppe haben Zugriff auf das Menü Mail
Processing 160 in der Konfigurationsoberfläche.
mailsystemadmin
(GUI access to Mail
System section)
Alle Mitglieder dieser Gruppe haben Zugriff auf das Menü Mail
System 137 in der Konfigurationsoberfläche.
multiplecustomersadmin
(Admin access to
Customer settings in
multitenant deployments)
Alle Mitglieder dieser Gruppe haben Zugriff auf das Menü
Customers 274 in der Konfigurationsoberfläche.
openpgpkeysadmin
(GUI access to OpenPGP
Keys section)
Alle Mitglieder dieser Gruppe haben Zugriff auf das Menü OpenPGP
Public Keys 264 in der Konfigurationsoberfläche.
readonlyadmin
(Read-only GUI access to
all sections)
Alle Mitglieder dieser Gruppe haben ausschliesslich lesenden Zugriff
auf alle Menüs der Konfigurationsoberfläche.
ssladmin
(GUI access to SSL
section)
Alle Mitglieder dieser Gruppe haben Zugriff auf das Menü SSL 207 in
statisticsadmin
(GUI access to Statistics
section)
Alle Mitglieder dieser Gruppe haben Zugriff auf das Menü Statistics
249 in der Konfigurationsoberfläche. Zusätzlich erhalten alle Mitglieder
dieser Gruppe einen täglichen System-Report (Daily Report) des
jeweiligen Systems. Der System-Report wird täglich um 0.00 Uhr
erzeugt und via E-Mail an alle Mitglieder dieser Gruppe gesendet.
systemadmin
(GUI access to System
section)
Alle Mitglieder dieser Gruppe haben Zugriff auf das Menü System
119 in der Konfigurationsoberfläche.
usersadmin
(GUI access to Users
section)
Alle Mitglieder dieser Gruppe haben Zugriff auf das Menü Users 251
webmailaccountsadmin
(GUI access to GINA
Accounts section)
Alle Mitglieder dieser Gruppe haben Zugriff auf das Menü GINA
Accounts 260 in der Konfigurationsoberfläche.
x509certificatesadmin
(GUI access to X.509
Certificates section)
Alle Mitglieder dieser Gruppe haben Zugriff auf das Menü X.509
Certificates 265 in der Konfigurationsoberfläche.
x509rootcertificatesadmin
(GUI access to X.509 Root
Certificates section)
Alle Mitglieder dieser Gruppe haben Zugriff auf das Menü X.509
Root Certificates 267 in der Konfigurationsoberfläche.
© 2016 SEPPmail AG
260
7.16
GINA Accounts
In diesem Menü werden die auf der SEPPmail Appliance vorhandenen GINA Benutzer angezeigt.
Handelt es sich um ein mandantenfähiges System, so sind die Benutzer entsprechend der Mandanten
aufgeteilt.
Da in grossen Umgebungen mitunter der Aufbau der Seite sehr lange dauern kann, kann über die
Option
Limit the number of returned accounts
die Anzeige auf 1000 User Accounts begrenzt werden. Die Suche nach einem GINA Benutzer muss
dann gegebenenfalls zwingend über über die Schaltfläche Filter... vorgenommen werden.
Spalte
Beschreibung
E-mail
Die E-Mail Adresse gewährleistet bei SEPPmail Appliance Benutzern die
Eindeutigkeit.
Account status
Zeigt den Status des jeweiligen Benutzers an. Mögliche Status sind:
enabled
Soll-Zustand
enabled (unregistered user)
Benutzer welcher nach Erhalt der initialen GINA E-Mail den
Registrierungsprozess noch nicht abgeschlossen hat.
locked temporarely
Gesperrter Benutzer. Nahere Details hierzu zeigt der Last message
status.
locked temporarely (unregistered user)
Benutzer welcher nach Erhalt der initialen GINA E-Mail noch vor dem
erfolgreichen Abschliessen des Registrierungsprozesses gesperrt wurde.
Nahere Details hierzu zeigt der Last message status.
Last message status Zeigt Informationen zur letzten Aktion des Benutzers an. Mögliche Status
sind:
Last succesful login MMM TT, JJJJ hh:mm:ss
Gibt Datum und Uhrzeit der letzten erfolgreichen Anmeldung an.
X unsuccessful login attempts
Gibt die Anzahl der fehlgeschlagenen Anmeldeversuche an.
Creator
In dieser Spalte ist entweder der interne User 251 gelistet, welcher durch
den Versand der initialen GINA-Mail den GINA Account generiert hat (in der
Form "Created by...") oder nur die E-Mail Adresse des externen
Kommunikationspartners der sich selbst registriert hat.
Durch Klicken auf die E-mail-Adresse wird ein Untermenü mit Details zum jeweiligen GINA Benutzer
geöffnet (siehe Untermenü GINA Account details 261 ).
© 2016 SEPPmail AG
261
7.16.1 Account details
Sektion User data
In diesem Untermenü werden Detailinformationen zum GINA-Benutzer angezeigt. Weiterhin dient
diese Menü manuellen Passwort Rücksetzungen, zum Beispiel durch den Support (siehe Mail
Processing 160 GINA domains 160 Edit Edit GINA settings 187 Admin 187 ).
Parameter
Beschreibung
Creation info
Zeigt
wer gegebenenfalls die initiale GINA-E-Mail gesendet und somit den
Benutzer generiert hat (Anzeige der E-Mail Adresse bei unregistrierten,
beziehungsweise "Created by..." bei bereits registrierten Benutzern)
ob es sich um einen selbstregistrierten Benutzer handelt (Account...)
Name
Hat sich der Benutzer registriert, so wird hier der von ihm bei der
Registrierung eingetragene Name angezeigt.
E-mail
Password
reminder
es sind zwei Status möglich:
(Hidden)
bei registrierten Benutzern
Not set
bei unregistrierten Benutzern (Account Status "...
(unregistered user)")
Answer
es sind zwei Status möglich:
(Hidden)
bei registrierten Benutzern
Not set
bei unregistrierten Benutzern (Account Status "...
(unregistered user)")
Password
Eingabefelder für das manuelle Rücksetzen des Passwortes durch einen
Administrator
Must change
password
Legt fest, ob der Benutzer nach einem manuellen Rücksetzen
des Passwortes dieses beim nächsten Anmelden ändern
muss.
Zip attachement
Legt individuell für den Benutzer fest, ob dieser den Anhang
des GINA-E-Mails statt im HTML- im ZIP-Format erhält.
Account status
External
authentication
locked
Zeigt an ob der Benutzer gesperrt ist (zum Beispiel nach
mehrfacher falscheingabe des Passwortes) beziehungsweise
kann der Administrator den Benutzer durch Aktivieren des
Buttons sperren.
enabled
Zeigt an ob der Benutzer aktiv ist beziehungsweise kann der
Administrator den Benutzer durch Aktivieren des Buttons
wieder in den Staus "Aktiv".
Exclude this account from external authentication
Ist die externe LDAP Authentisierung aktiviert (siehe auch Mail System
137 Managed Domains 137 Add/Edit managed domain 149 External
authentication 149 ) so kann diese durch Anhaken dieser Option für
einzelne Accounts ausgehebelt werden.
Diese Option ist nur bei intern - das heisst der managed domain welcher
auch das entsprechende GINA-Interface zugeordnet ist - zugeordneten
© 2016 SEPPmail AG
262
Parameter
Beschreibung
Benutzern zu sehen.
Password security
level
Benutzer individuelle Einstellung für das Rücksetzverfahren des Passwortes.
Diese Einstellung überschreibt die globale Einstellung unter Mail
Processing 160 GINA domains 160 Edit Edit GINA settings 187
Security 196 .
Mobilfunknummer für das Zurücksetzen des Passwortes via SMS.
Mobile number
Sektion User logs
Durch klicken der Schaltfläche Show user logs wird ein detailliertes Log bezüglich der aktivitäten
des jeweiligen GINA-Benutzers angezeigt.
Das Löschen eines GINA-Benutzers erfolgt über Delete account.
Achtung:
Durch das Löschen eines GINA-Benutzers wird auch dessen Schlüssel unwiderruflich
gelöscht. Somit kann er eventuell noch in seinem Postfach befindliche GINA-E-Mails
nicht mehr lesen. Der Inhalt dieser E-Mails ist somit verloren!
© 2016 SEPPmail AG
263
7.17
LFT Accounts
In diesem Menü werden die auf der SEPPmail Appliance vorhandenen LFT-Benutzer angezeigt.
Handelt es sich um ein mandantenfähiges System, so sind die Benutzer entsprechend der Mandanten
aufgeteilt.
Spalte
Beschreibung
E-mail
E-Mail Adresse des LFT-Benutzers.
Account last used
Zeigt an, wann der LFT Benutzer zuletzt eine grosse Datei versendet hat. Bei
aktiven Benutzern lässt sich daraus schliessen, wann dieser auf inaktiv
gesetzt wird und somit die Lizenz frei gibt, sofern in der Zwischenzeit nicht
eine weitere grosse Datei durch ihn versendet/empfangen wird.
Hinweis:
Inaktive LFT Accounts werden nach weiteren 30 Tagen
gelöscht und bei Bedarf automatisch neu angelegt.
© 2016 SEPPmail AG
264
7.18
OpenPGP Public Keys
Sektion Local OpenPGP keys
In dieser Sektion werden die der Appliance bekannten öffentlichen OpenPGP Schlüssel von
Kommunikationspartnern angezeigt.
Key ID
E-mail addresses
User name
Issued on
Expires on
vorhandenen
OpenPGP keys an
Zeigt die dem
Schlüssel
zueordnete/n E-Mail
Adresse/n
Zeigt die zur Key ID
zugehörige User ID
an. Diese entspricht
der E-Mail Adresse
des Benutzers.
Ausstelldatu
m des Keys
JJJJ-MM-TT
Ablaufdatum
des Keys
JJJJ-MM-TT
löschen.
Ebenso können in der Sektion Valid e-mail addresses des Folgemenüs alternative E-Mail
Adressen hinzugefügt werden. Somit könnte der Schlüssel, welcher primär für
max.mustermann@meine_firma.tld
ausgestellt wurde ebenso für die alternativen E-Mail Adressen
m.mustermann@meine_firma.tld
mustermann@meine_firma.tld
Das Eingabefeld mit der Schaltfläche Filter... dient der Suche nach nach entsprechenden Schlüsseln
anhand einer der in der Tabelle aufgeführten Merkmale.
Über die Schaltfläche Import OpenPGP key... kann ein vorhandener Schlüssel eines
Kommunikationspartners - nach Prüfung (Hash) - importiert werden. Im Anschluss steht dieser
Schlüssel für das Verschlüsseln bereit.
© 2016 SEPPmail AG
265
7.19
X.509 Certificates
In diesem Menü werden die für die S/MIME Verschlüsselung zur Verfügung stehenden Zertifikate wie
folgt angezeigt.
Spalte
Beschreibung
E-mail address
Zeigt E-Mail Adresse (RFC822 Name) des Schlüsselinhabers an.
Certificate subject
Zeigt das X.509 Subject an.
Serial number
Seriennummer des Zertifikats.
Fingerprint
Zeigt den Fingerprint (Hash) des Zertifikates an.
Validity
Gibt die Gültigkeit des Zertifikates an. Mögliche Status sind
"keiner", was mit "OK" gleichzusetzen ist
REVOKED
EXPIRED.
OCSP/CRL check
Ergebnis der OCSP/CRL Prüfung. Mögliche Status sind
OK
?
uncheckable
uncheckable (no supported CRL / OCSP mechanism)
revoked
Issued on
Ausstelldatum des Zertifikats in der Form JJJJ-MM-TT
Expires on
Ablaufdatum des Zertifikats in der Form JJJJ-MM-TT
Durch Klicken auf die E-Mail Adresse werden Details zum Zertifikat - wie auch Details zum
Revokations Staus - angezeigt. Dieses bietet die Möglichkeit den öffentlichen Schlüssel (Zertifikat)
herunterzuladen beziehungsweise das Schlüsselpaar zu löschen.
Ebenso können in der Sektion Valid e-mail addresses des Folgemenüs alternative
Antragstellernamen hinzugefügt werden. Somit könnte ein Zertifikat welches primär für
Associated Email Address: [email protected]
ausgestellt wurde und somit als Antragsteller etwas wie
E = max.mustermann@meine_firma.tld
CN = Max Mustermann
O = Kommunikationspartner
C = TLD
stehen hätte, ebenso für die alternativen E-Mail Adressen m.mustermann@meine_firma.tld und
mustermann@meine_firma.tld verwendet werden. Diese Namen würden wie folgt als
Alternativer Antragstellername:
auftauchen:
[email protected]
[email protected]
Das Eingabefeld mit der Schaltfläche Filter... dient der Suche nach nach entsprechenden Zertifikaten
Über die Schaltfläche Import S/MIME certificate... kann ein vorhandenes Zertifikat eines
© 2016 SEPPmail AG
266
Kommunikationspartners importiert werden. Im Anschluss steht dieses Zertifikat für das Verschlüsseln
bereit - auch wenn die Zertifikatskette nicht geprüft werden kann (siehe auch X.509 Root
Certificates 267 ). In der Regel werden die Zertifikate von Kommunikationspartnern aus deren E-Mail
Signaturen automatisch eingesammelt. Dies funktioniert allerdings nur dann, wenn der Aussteller des
Zertifikates bei den X.509 Root Certificates 267 eingetragen ist und eine entsprechende
Vertrauensstellung (trusted) vorhanden ist. Das heisst die Zertifikatskette muss für die SEPPmail
Appliance nachvollziehbar sein.
Die Schaltfläche Certificate retention settings... führt zum Untermenü Certificate retention
settings 266 , in welchem das - gegebenenfalls automatisierte - Bereinigen von Zertifikaten
vorgenommen wird.
Hinweis:
Stehen für einen Empfänger mehrere, gültige Zertifikate zur Verfügung, so wird der
Session Key mit jedem dieser Zertifikate verschlüsselt.
Verwendet der Empfänger zum Beispiel mehrere Hardware Clients, auf welchen
jeweils unterschiedliche (private) Schlüssel bereit stehen, so wird hierdurch
gewährleistet, dass die E-Mail auf allen Clients gelesen werden kann, sofern natürlich
deren zugehörige öffentliche Schlüssel auf der Appliance bekannt sind.
7.19.1 Certificate retention settings
Sektion Deduplication
In dieser Sektion kann über das Auswählen der Option
Delete duplicated certificates automatically
ein täglicher automatischer Bereinigungsprozess von eventuell mehrfach, für eine E-Mail Adresse
vorhandenen Zertifikaten etabliert werden. Beibehalten wird jeweils das Zertifikat mit der längsten
Gültigkeit.
Über die Schaltfläche Delete duplicated certificates now werden eventuell mehrfach
vorhandene Zertifikate einmalig sofort gelöscht.
Sektion Expiration
In dieser Sektion kann über das Auswählen der Option
Delete expired certificates automatically
ein täglicher automatischer Bereinigungsprozess von Zertifikaten, deren Gültigkeit abgelaufen ist
etabliert werden.
Über die Schaltfläche Delete expired certificates now werden abgelaufene Zertifikate einmalig
sofort gelöscht.
Hinweis:
Im Standard verwendet die SEPPmail Appliance auch abgelaufene Zertifikate, sofern
kein aktuelles zur Verfügung steht.
Durch das automatische löschen abgelaufener Zertifikate wird dieses Verhalten
unterbunden.
Die vorgenommenen Änderungen beider Sektionen werden über die Schaltfläche Save gespeichert.
© 2016 SEPPmail AG
267
7.20
X.509 Root Certificates
In diesem Menü wird die Vertrauensstellung zu den einzelnen Zertifizierungsstellen (CA) verwaltet.
Root (und gegebenenfalls Zwischen-) Zertifikate welche nicht bekannt sind werden aus signierten EMails eingesammelt und mit dem Status "?" (unbekannt) gespeichert. Eine Einstufung dieser
Zertifizierungsstellen muss durch den Administrator vorgenommen werden. Somit wächst das System
dynamisch.
Angezeigt werden die Root Zertifikate wie folgt.
Spalte
Beschreibung
Trust state
Zeigt die Vertrauensstellung an. Mögliche Status sind
"trusted" (vertrauenswürdig), "untrusted" (nicht vertrauenswürdig) und
"?" (unbekannt). Bei unbekanntem Status ist ein Eingreifen des
Adminstrators erforderlich. Dieser muss entscheiden, ob der CA vertraut
werden soll oder nicht. Sind Zertifikate mit dem Status "?" vorhanden, so
werden diese dem Administrator (siehe Menü Groups 258 ) im täglichen
Report gemeldet.
Durch Klicken auf den Vertrauensstatus des Zertifikates können Details
eingesehen und die Vertrauensstellung angepasst werden (siehe Untermenü
Certificate details 268 ).
Hinweis:
Zertifikate aus Signaturen, deren austellenden CA vertraut
(trusted) wird, werden automatisiert eingesammelt und
stehen somit für die Verschlüsselung bereit.
Issued to
Zeigt an, für wen das Zertifikat ausgestellt wurde.
Issued by
Zeigt an, von wem das Zertifikat ausgestellt wurde.
Issued on
Expires on
Fingerprint
Zeigt den Fingerprint (Hash) des Zertifikates an.
Validity
Gibt die Gültigkeit des Zertifikates an. Mögliche Status sind
"keiner", was mit "OK" gleichzusetzen ist
REVOKED
EXPIRED.
OCSP/CRL check
Ergebnis der OCSP/CRL Prüfung. Mögliche Status sind
OK
?
uncheckable
uncheckable (no supported CRL / OCSP mechanism)
revoked
Das Eingabefeld mit der Schaltfläche Filter... dient der Suche nach nach entsprechenden Zertifikaten
Über die Schaltfläche Import S/MIME root certificate... kann ein vorhandenes Zertifikat einer
© 2016 SEPPmail AG
268
Zertifizierungsstelle einzeln importiert werden. Hier können zum Beispiel auch Root Zertifikate einer
self-signed CA eines vertrauenswürdigen Kommunikationspartners eingetragen werden. Somit werden
auch dessen Self-Signed Zertifikate als vertrauenswürdig eingestuft.
7.20.1 Certificate details
Sektion Issued to
Diese Sektion zeigt Informationen über den Inhaber des CA-Zertifikates.
Parameter
Beschreibung
Name (CN)
E-mail address
In der Regel der wird die E-Mail Adresse des Verwalters der eigenen CA oder
dessen Abteilung eingetragen.
Org. unit (OU)
Organization (O)
Beispiel "Firma"
Locality (L)
State (ST)
Country (C)
Serial no.
Sektion Issued by
Parameter
Beschreibung
Name (CN)
Name der ausstellenden CA
E-mail address
In der Regel eine E-Mail Adresse für Supportanfragen an den Aussteller
Org. unit (OU)
Gibt eine Organisationseinheit des Ausstellers an
Organization (O)
Gibt die ausstellende Organisation an
Locality (L)
Gibt den Standort des Ausstellers an
© 2016 SEPPmail AG
269
Parameter
Beschreibung
State (ST)
Gibt ein Bundesland, Kanton, Provinz oder Ähnliches des Ausstellers an
Country (C)
Gibt das Land des Ausstellers an
Sektion Validity
Gibt die Gültigkeit des eigenen CA-Zertifikates an.
Parameter
Beschreibung
Issued on
Ausstelldatum des Zertifikates
Expires on
Ablaufdatum des Zertifikates
Sektion Fingerprint
ausgegeben.
Parameter
Beschreibung
Hashalgorhytmus
des Zertifikates
48:2D:99:B1:64:C1:14:9C:B3:F2:C0:8D:FA:7F:40:9F:22:F5:11:F5
Sektion Key usage
Zeigt den Verwendungszweck des Zertifikates an, wobei nur die aus der folgenden Tabelle
berücksichtigt werden.
Parameter
Beschreibung
S/MIME signing
digitalSignature / Digitale Signatur
S/MIME encryption
keyEncipherment / Schlüssel Verschlüsselung
CA certificate
keyCertSign / Zertifikatssignatur
© 2016 SEPPmail AG
270
Sektion Key info
Zeigt erweiterte Informationen zum Zertifikat an.
Parameter
Beschreibung
Signature
algorithm
Zeigt den Signaturalgorhitmus des Zertifikates an, zum Beispiel
md5WithRSAEncryption
sha1WithRSAEncryption
sha256WithRSAEncryption
Last certificate
check
Zeigt den Zeitpunkt der letzten Zertifikatsprüfung (via CRL beziehungsweise
OCSP) an.
Last check result
Zeigt das Ergebnis der letzten Zertifikatsprüfung an.
CRL URI
Gibt den crlDistributionPoint (Sperrlisten Verteilungspunkt) - also die Lokation,
unter welchem die CRL zur Verfügung gestellt wird - aus.
Dieser Punkt ist nur dann sichtbar, wenn im Zertifikat die extension
crlDistributionPoint gesetzt ist.
Sektion Comment
An dieser Stelle kann ein persönlicher Kommentar zum Zertifikat eingegeben werden, zum Beispiel
weshalb die entsprechende Vertrauensstellung gewählt wurde.
Mit Save comment wird dieser Kommentar gespeichert.
Über die Schaltfläche Download certificate besteht die Möglichkeit das Zertifikat im CRT-Format
zu speichern.
Je nach Vertrauensstellung wird die Schaltfläche Trust this certificate, über welche dem Zertifikat
das Vertrauen bestätigt wird oder Untrust this certificate, durch welche das Vertrauen abgelehnt
wird, vorhanden.
Über Delete certificate wird das Zertifikat von der SEPPmail Appliance gelöscht. Wird im Anschluss
eine E-Mail empfangen, welche mit einem Schlüssel dieser Zertifizierungsstelle signiert wurde, so wird
das Zertifikat wieder mit dem Truststatus "?" in der Appliance gespeichert.
© 2016 SEPPmail AG
271
7.21
Domain Certificates
Domänen Zertifikate werden für die Domänenverschlüsselung, also die E-Mail Verschlüsselung
zwischen zwei Secure E-Mail Gateways benötigt. Da die Zertifikate in der Regel direkt durch die
Administratoren ausgetauscht werden, reichen an dieser Stelle im Normalfall Sslf-signed Zertifikate
aus.
Aufgeführt sind hier die öffentlichen Schlüssel der Kommunikationspartner, zu denen
domänenverschlüsselt werden soll. Die Schlüssel zu den intern in der SEPPmail Appliance
verwalteten E-Mail Domänen sind unter Mail System 137 Managed Domains 137 Edit managed
domain 151 je nach Verschlüsselungstechnologie in der Sektion OpenPGP Domain Encryption
151 beziehungsweise S/MIME Domain Encryption 151 zu finden. Die öffentlichen Schlüssel für
diese Domänen können je nach GINA-Konfiguration vom Kommunikationspartner auch über das
GINA-Web-Portal auf sicherem Wege heruntergeladen werden (siehe Mail Processing 160 GINA
domains 160 Edit GINA settings 186 Extended settings 187 Certificate search and management
in GINA).
Hinweis:
Sind, beziehungsweise werden für die Domänenverschlüsselung vorgesehene E-Mail
Domänen mit einem führenden Punkt "." angegeben, so gilt die Verschlüsselung
auch für alle zugehörigen Sub Domänen.
Das heisst, ein für ".meinefirma.tld" eingetragener Schlüssel würde zum Beispiel
auch für "ch.meinefirma.tld", "de.meinefirma.tld" und so weiter gelten.
Sektion OpenPGP domain keys
Zeigt die Schlüssel aller E-Mail Domänen an, zu denen hin mittels OpenPGP verschlüsselt wird.
Diesen Domänen sollte im Gegenzug der öffentliche OpenPGP Key der durch diese SEPPmail
Appliance verwalteten E-Mail Domäne(n) bekannt sein.
Mail domain
Key ID
Gibt die E-Mail Domäne an, für
welche der Schlüssel gültig ist.
vorhandenen OpenPGP keys an
Durch klicken auf die Domäne
werden Details zum Schlüssel
angezeigt. Ebenso wird die
hierdurch die Möglichkeit
geboten, den key im ASC-Format
zu speichern oder zu löschen.
Issued on
Expires on
Ausstelldatu
m des Keys
JJJJ-MM-TT
Ablaufdatum
des Keys
JJJJ-MM-TT
Über die Schaltfläche Import Import OpenPGP key... besteht die Möglichkeit, Schlüssel weiterer
Kommunikationspartner (E-Mail Domänen) aufzunehmen.
© 2016 SEPPmail AG
272
Sektion S/MIME domain certificates
Zeigt die Zertifikate aller E-Mail Domänen an, zu denen hin mittels S/MIME verschlüsselt wird. Diesen
Domänen sollte im Gegenzug das S/MIME Zertifikatder durch diese SEPPmail Appliance verwalteten
E-Mail Domäne(n) bekannt sein.
Hinweis:
Der verwendete S/MIME Verschlüsselungsalgorithmus (AES256/3DES) ist von der
Einstellung Mail Processing 160 Ruleset Generator 168 Encryption /
Decryption 171 Outgoing e-mails "Use AES256 for S/MIME encryption" abhängig.
Spalte
Beschreibung
Mail domain
Zeigt E-Mail Adresse (RFC822 Name) des Schlüsselinhabers an.
E-mail address
(Pseudo-)E-Mail Adresse für die Domänenverschlüsselung
Serial number
Seriennummer des Zertifikats.
Issued on
Expires on
Über die Schaltfläche Import Import S/MIME certificate... besteht die Möglichkeit, Zertifikate
weiterer Kommunikationspartner (E-Mail Domänen) aufzunehmen. Um Fehlerquellen
auszuschliessen, sollte darauf geachtet werden, dass die Domainzertifikate dem Standard RFC 3183 (
https://tools.ietf.org/html/rfc3183) entsprechen.
Sektion Managed domain certificates
Da die SEPPmail Appliance im Standard (siehe Mail System 137 Managed Domains 137
"Automatically create and publish S/MIME domain keys for all domains") am sogenannten Managed
Domain Service teilnehmen, findet zwischen SEPPmail Appliances immer eine
Domänenverschlüsselung statt, ohne explizit Schlüsselmaterial austauschen zu müssen. Dies
geschieht automatisch über den SEPPmail key server.
Das automatische Herunterladen der öffentlichen Schlüssel anderer Appliances erfolgt dabei über die
Option "Auto-update SMIME domain certificates". Im Bedarfsfall (zum Beispiel bei Hinzukommen
eines neuen, bekannten Kommunikationspartners) kann ein sofortiges Herunterladen neu
hinzugekommenr Schlüssel über die Schaltfläche Update domain certificates... forciert werden.
Die Anzahl der über diesen Dienst verfügenden E-Mail Domänen wird im Text darunter angegeben.
Um festzustellen, ob ein Kommunikationspartner ebenfalls am SEPPmail Managed Domain Service
teilnimmt, bietet das Eingabefeld mit der Schaltfläche Search domain certificate... eine
entsprechende Möglichkeit nach dem E-Mail Domänennamen zu suchen.
Die Domänen, zu welchen in den letzten drei Monaten über den Managed Domain Service
verschlüsselt kommuniziert wurde werden in der Tabelle dieser Sektion aufgeführt.
© 2016 SEPPmail AG
273
Hinweis:
Beim Managed Domain Service wird der S/MIME Verschlüsselungsalgorithmus
AES256 verwendet.
© 2016 SEPPmail AG
274
7.22
Customers
Ist eine Multitenancy Lizenz vorhanden, so lässt sich in diesem Menü die Mandantenfähigkeit des
Systems aktivieren, beziehungsweise die Mandanten verwalten.
Sektion Multiple customers
Nach Anwahl von "Enable multiple customer handling" lässt sich über die Schaltfläche Enable die
Mandantenfähigkeit aktivieren. Voraussetzung hierfür ist natürlich das Vorhandensein der
entsprechenden Lizenz (siehe Home 116 License 116 Multitenancy).
Achtung:
Dieser Prozess ist irreversiebel!
Sollte diese bereits aktiv sein, so bietet sich die Möglichkeit über das DropDown-Menü einen
Mandanten auszuwählen und über die Schaltfläche Delete... zu löschen oder über Edit... zu
bearbeiten. Weiter bietet die Schaltfläche Create new customer... die Möglichkeit einen neuen
Mandanten anzulegen.
Dabei existieren nach Anschalten der Mandantenfähigkeit bereits zwei Standard Customers ("No
Customer" und "Default Customer"), welche für die interne Verwaltung benötigt werden und keinesfalls
gelöscht werden dürfen.
Wird bei einer bereits bestehenden Installation mit bereits vorhandenen GINA-Accounts nachträglich
die Mandantenfähigkeit aktiviert, so werden diese Accounts zunächst dem "Default Customer"
zugeordnet. Um das nachträgliche zuordnen der Accounts zum richtigen Mandanten zu erleichtern,
wird angezeigt, aus welcher managed domain der Account erzeugt wurde.
Der "No Customer" bietet die Möglichkeit, einzelne Accounts - gegebenenfalls temporär - komplett aus
der Mandantenfähigkeit auszuschliessen.
Ist bei einem nachträglichen Anschalten der Mandantenfähigkeit das sofortige zuordnen zu einem
Mandanten aus dem "Default Customer" heraus nicht erwünscht - wenn der Account zum Beispiel
einem später noch einzuirichtenden Mandanten zugeordnet werden soll - so kann dieser im "No
Customer" quasi "zwischengeparkt" werden.
Sektion Notes
Für einen Mandanten muss immer ein eigenes GINA-Interface angelegt werden (siehe
gegebenenfalls Mail Processing 160 GINA domains 160 Create new GINA domain Create
new GINA domain 185 ). Sollte der Mandant mehrere managed domains inne haben, so kann all
diesen das gleiche GINA-Interface zugeordnet (siehe Mail System 137 Managed domains 137
Add/Edit managed domain 147 GINA and disclaimer settings 152 ) werden.
Achtung:
Keinesfalls darf ein GINA-Interface für mehrere Mandanten verwendet werden!
Das Verwenden eines GINA-Interface für mehrere E-Mail Domänen eines einzigen
Mandaten ist hingegen problemlos möglich.
Externe Empfänger welche mit mehreren Mandanten mittels GINA kommunizieren, erhalten für jeden
Mandanten ein eigenes GINA-Konto, mit den daraus resultierenden Einschränkungen (siehe Mail
Processing 160 GINA domains 160 Edit GINA settings 187 Extended settings 187 ).
Öffentliche Schlüssel (siehe OpenPGP Public Keys 264 und X.509 Certificates 265 ) stehen
© 2016 SEPPmail AG
275
grundsätzlich allen Mandanten für die Verschlüsselung zur Verfügung.
7.22.1 Create new / Edit settings for customer
Dieses Menü dient der Anlage neuer beziehungsweise der Verwaltung bereits vorhandener
Mandanten auf der SEPPmail Appliance.
Die Anlage neuer Mandanten kann manuell, oder durch den Import eines bereits bestehenden
Mandanten Backup (zum Beispiel für den Umzug eines Mandanten auf eine andere Maschine)
erfolgen.
Sektion Customer details
Diese Sektion enthält Informationen zum Mandanten und verhält sich je nach Modus - "Create" oder
"Edit" - unterschiedlich.
Parameter
Beschreibung
Customer
Eingabe des System-Namens für einen neuen Mandanten. Die Eingabe ist
nur bei der Neuanlage möglich. Im Editier-Modus wird der Name lediglich
angezeigt.
Customer name
Anzeige-Name des Mandanten.
Customer admin e-mail
E-Mail Adresse des Mandanten-Administrators, welcher die Mandanten
spezifischen Systemmeldungen erhalten soll.
Comment
Optionaler, frei wählbarer Kommentar.
Creation info
Systeminformationen zur Erzeugung des Mandanten. Dieses Feld ist erst
nach dem Erzeugen des Mandanten, also im Editier-Modus zu sehen.
Im "Create"-Modus wird der Benutzer mittels Schaltfläche Create mit den angegebenen Daten
angelegt. Das System wechselt sodann in den Editier-Modus.
Im Editier-Modus werden vorgenommene Änderungen über die Schaltfläche Change übernommen.
Sektion Import backup
Diese Sektion erscheint nur im "Create"-Modus und dient der Anlage neuer Mandanten durch den
Import eines bereits bestehenden Mandanten Backups (zum Beispiel für den Umzug eines Mandanten
auf eine andere Maschine) erfolgen.
Die vorhandene Backup Datei wird über die Schaltfläche Import backup File ... eingespielt.
© 2016 SEPPmail AG
276
Alle folgenden Menüs sind nur vom System-Administrator im Editier-Modus zu sehen:
Sektion Customer administrators
Dient der Verwaltung von Mandanten-Admins. Mandanten Admins sind in der Lage sich interaktiv am
System anzumelden und sehen die für sie relevanten Menüs Login 115 , Mail Processing 160 , Logs
245 , und optional bei aktivierter Option LFT accounts 263 . Dabei beschränkt sich die Anzeige in den
Menüs ausschliesslich auf die Daten des jeweiligen Mandanten.
Bereits zugeordnete Mandanten-Admins sind in der folgenden Tabelle zu sehen und können dort
verwaltet werden.
User ID
E-mail
Remove from this customer
Zeigt die Benutzer ID des
jeweiligen Administrators, wie
sie unter Users 251 angezeigt
wird.
Zeigt die E-Mail Adresse des
jeweiligen Administrators, wie
sie unter Users 251 angezeigt
wird.
Beinhaltet die Schaltfläche
Remove zum Entfernen des
jeweiligen Mandantenadmins.
Die weitere Tabelle der Sektion dient dem Zuordnen weiterer Mandanten-Admins.
Name
Assign to this customer
Beherbergt das DropDown Menü zur Auswahl
des Benutzers, der als Mandanten-Admin
zugeordnet werden soll.
Über die Schaltfläche Assign wird der unter
Name ausgewählte Benutzer als MandantenAdmin hinzugefügt.
Hinweis:
Mandanten-Admins müssen über ein Passwort verfügen (siehe Users 251 User
details 252 User data 252 Password), damit das Anmelden am System möglich ist!
Sektion Assigned managed domains
In dieser Sektion werden die dem Mandanten zugeordneten managed domains angezeigt. Die
Zuordnung von managed domains zum Mandanten erfolgt in der Regel bereits bei der Anlage über
das Menü Mail System 137 Managed domains 137 Add/Edit managed domain 147 GINA and
disclaimer settings 152 .
Domain name
Remove from this customer and reassign to
Default Customer
Zeigt die zugeordnete(n) managed domain(s)
Beinhaltet die Schaltfläche Remove zum
Entfernen der jeweiligen managed domain.
Die folgende Tabelle wird nur dann angezeigt, wenn nicht zugeordnete managed domains vorhanden
sind..
© 2016 SEPPmail AG
277
Domain name
Assign to this customer
Beherbergt das DropDown Menü zur Auswahl
der managed domain, welche dem Mandanten
zugeordnet werden soll.
Über die Schaltfläche Assign wird der unter
Domain name ausgewählte Benutzer als
Mandanten-Admin hinzugefügt.
Sektion Assigned GINA accounts
In dieser Sektion wird die Anzahl der dem Mandanten zugeordneten GINA-Benutzer angezeigt.
Über die Schaltfläche Manage accounts können die GINA-Benutzer des Mandanten verwaltet
sowie gegebenenfalls nicht zugeordnete Accounts zugeordnet werden (siehe Manage GINA
accounts 278 ).
Sektion Backup/Restore
Parameter
Beschreibung
Backup
Der System- oder Mandanten- Administrator über Schaltfläche Download das
Herunterladen der Mandanten-Backup-Datei starten. Diese Datei beinhaltet
ausschliesslich die mandantenrelvante Konfiguration und dessen Schlüsselmaterial.
Voraussetzung für den Download des Backups ist die Vergabe eines Backup
Passwortes, welches via Change password gesetzt beziehungsweise geändert
werden kann.
Automatically send backup
to Customer Admin E-mail
Restore
Durch Aktivieren dieser Option erhält der eingetragene
Mandanten Administrator täglich per E-Mail sein
Mandanten Backup. Eine Änderung dieser Option muss
durch klicken der Schaltfläche Change bestätigt
werden.
Durch klicken von Import backup File... kann das Mandanten Backup durch den
System- oder Mandanten- Administrator zurück gespielt werden. Hierfür wird das zum
Zeitpunkt des Erstellens des Backups gültige Backup-Passwort benötigt. Das
Einspielen des Backups stellt die mandantenspeziefischen Teile der Appliance - mit
Ausnahme der Log-Dateien - zu 100% wieder her.
Sektion Retention settings
Mit dieser Option werden GINA-Benutzer, für welche zwar ein Account generiert wurde, welche sich
jedoch noch nicht registriert haben, automatisch gelöscht. Für die Eingabe der Anzahl von Tagen,
nach welcher Accounts ohne Registrierung gelöscht werden sollen, steht das Eingabefeld zur
Verfügung. Der Wert "0" deaktiviert die automatische Löschfunktion. Gespeichert wird die Eingabe
über die Schaltfläche Save.
© 2016 SEPPmail AG
278
7.22.1.1 Manage GINA accounts
Sektion Assigned GINA accounts
Zeigt die dem Mandanten bereits zugeordneten GINA-Benutzer an und bietet die Möglichkeit einzelne
GINA-Benutzer von diesem Mandanten zu entfernen, um diesen zum Beispiel einem anderen
zuzuordnen. Somit bleibt das Schlüsselmaterial des GINA-Benutzers trotz des Wechsels zu einem
anderen Mandanten identisch.
(neu in 7.4.8)
Über die Schaltfläche Remove all accounts kann die Zuordnung für alle GINA-Benutzer entfernt
werden.
Name
E-mail
Zeigt den Namen
des jeweiligen
GINA-Benutzers,
den er bei der
Registrierung
eingetragen hat.
Zeigt die E-Mail Zeigt
Adresse des
wer gegebenenfalls die initiale GINA Ejeweiligen
Mail gesendet und somit den Benutzer
GINAgeneriert hat (Anzeige der E-Mail
Benutzers.
Adresse bei unregistrierten,
beziehungsweise "Created by..." bei
bereits registrierten Benutzern)
ob es sich um einen selbstregistrierten
Benutzer handelt (Account...)
© 2016 SEPPmail AG
Creation info
Remove from
this customer
Beinhaltet die
Schaltfläche
Remove zum
Entfernen GINABenutzers.
279
Sektion Assign other GINA accounts
GINA-Benutzer, welche aktuell keinem Benutzer zugeordnet sind werden hier in zwei Tabellen
angezeigt.
Dabei zeigt die erste Tabelle diejenigen GINA Benutzer, welche dem Mandanten zwar nicht
zugeordnet sind, jedoch von einem internen Benutzer der SEPPmail Appliance erzeugt wurden,
dessen E-Mail Domäne (Managed domain 137 ) dem Mandanten zugeordnet ist.
In der Regel sollten solche GINA Benutzer dem Mandanten mittels Schaltfläche Assign zugeordnet
werden.
(neu in 7.4.8)
Über die Schaltfläche Assign all proposed accounts kann die Zuordnung für alle aufgelisteten
GINA-Benutzer gleichzeitig hinzugefügt werden.
Name
E-mail
Creation info
Assign to this
customer
Zeigt den Namen
des jeweiligen
GINA-Benutzers,
den er bei der
Registrierung
eingetragen hat.
Zeigt die E-Mail
Adresse des
jeweiligen
GINABenutzers.
Zeigt wer die initiale GINA-E-Mail gesendet
und somit den Benutzer generiert hat. Dies
ist immer ein interner Benutzer einer
Managed domain 137 des Mandanten.
Beinhaltet die
Schaltfläche
Assign mit
welcher der
GINA-Benutzer
dem Mandanten
zugeordnet
werden kann.
Die zweite Tabelle der Sektion zeigt diejenigen GINA Benutzer, welche keinem Mandanten zugeordnet
sind und
a) von einem internen Benutzer der SEPPmail Appliance erzeugt wurden, dessen E-Mail Domäne
(managed domain) nicht dem Mandanten zugeordnet ist
b) mittels Selbstregistrierung (siehe Mail Processing 160 GINA domains 160 Edit GINA
settings 186 Extended settings 187 "Allow account self-registration in GINA portal without initial
mail") generiert wurden.
In der Regel sollten GINA-Benutzer, welche von einem internen Benutzer der SEPPmail Appliance
einer Managed domain 137 eines anderen Mandanten erzeugt wurden, nicht zugeordnet werden.
(neu in 7.4.8)
Über die Schaltfläche Assign all unassigned accounts kann die Zuordnung für alle aufgelisteten
GINA-Benutzer gleichzeitig hinzugefügt werden.
Name
E-mail
Creation info
Assign to this
customer
Zeigt den Namen
des jeweiligen
GINA-Benutzers,
den er bei der
Registrierung
eingetragen hat.
Zeigt die E-Mail
Adresse des
jeweiligen
GINABenutzers.
Zeigt, ob es sich um einen selbst
registrierten GINA-Benutzer handelt,
beziehungsweise wer die initiale GINA-EMail gesendet und somit den Benutzer
generiert hat. Dies ist kein Benutzer einer
Managed domain 137 des Mandanten.
Beinhaltet die
Schaltfläche
Assign mit
welcher der
GINA-Benutzer
dem Mandanten
zugeordnet
werden kann.
© 2016 SEPPmail AG
280
8
Referenz der Regelwerk-Anweisungen
Für den Fall, dass die Anforderungen an die Funktion beziehungsweise den Ablauf des unter Mail
Processing 160 bereit gestellten Ruleset generator 168 Standard Optionen hinaus gehen, wird mit
dem Abschnitt Custom commands 180 die Möglichkeit geschaffen, das Regelwerk programmatisch
zu erweitern und die jeweils kundenspezifiischen Teile entsprechend zu platzieren. In speziellen Fällen
kann auch ein komplettes Regelwerk - ohne die Zuhilfenahme der Möglichkeiten des Ruleset
generator 168 s erstellt und über die Schaltfläche Upload der Sektion SMTP ruleset 184 eingespielt
werden.
In diesem Kapitel werden die möglichen Befehle aufgelistet und die jeweilige Funktion beschrieben.
8.1
Allgemeine Informationen
Grundsätzliche Vorgehensweisen
Bei Einsatz von Custom Commands empfiehlt es sich weitläufige Tests durchzuführen, um die
korrekte Funktion zu gewährleisten, aber auch eventuelle Wechselwirkungen festzustellen und noch
vor dem produktiven Einsatz zu erkennen
Achtung:
Für das Ausführen der eigentlichen kryptographischen Aktion sollte innerhalb einer
Bedingung - soweit dies möglich ist - immer das entsprechende Betreffzeilen
Schlüsselwort 86 gesetzt werden. Damit ist sichergestellt, dass bei Bedarf auch die
Standard-Fehlerbehandlungsroutinen zu Tragen kommen.
Verwendete x-header
Die Appliance verwendet beim Verarbeiten von E-Mail stellenweise intern x-header.
Die X-headerfür das Steuern der Appliance können der Tabelle des Kapitels "Steuern der Appliance /
Betreffzeilen Schlüsselworte / x-header 86 " entnommen werden. Die dort aufgeführten Xheaderwerden zu Beginn der Verarbeitung zunächst in das jeweilige Betreffzeilen-Schlüsselwort
umgesetzt. Im weiteren Verlauf des Rulesets wird also ausschliesslich mit den entsprechenden
Schlüsselworten gearbeitet.
Weiterhin werden im Zusammenhang mit der GINA-Technologie folgende X-headerverwendet:
X-header/ Wert
Beschreibung
X-ESWmail-InternalEncrypt /yes Bezeichnet eine - per GINA-Technologie - intern zu verschlüsselnde
E-Mail
X-ESWmail-LFM / yes
Bezeichnet eine LFT-Mail
X-ESWmail-Plain / yes
Bezeichnet eine über das GINA-Interface erzeugte E-Mail, welche
direkt - also ohne weitere Verschlüsselung - an den internen
Empfänger ausgeliefert werden soll.
X-ESWmail-Reply / yes
Bezeichnet eine GINA-Antwort-Mail
© 2016 SEPPmail AG
281
8.1.1
Syntax
Abschluss von Befehlen
Befehle müssen grundsätzlich mit einem Semicolon (;) abgeschlossen werden.
Parameter
Parameter werden immer durch einfache Anführungszeichen ' ' begrenzt.
Parameter in eckigen Klammern, wie zum Beispiel [oldrecipient] sind optional und müssen nicht
angegeben werden. Fehlt dieser Parameter wird in der Regel ein vordefinierter Standardwert bzw.
Standardverhalten angewendet.
Eingabe Beispiele:
command([optional], required);
Eingabe
command(‘’, ‘required’);
oder
command(‘required’);
command(required, [optional], [optional]);
Eingabe
command(‘required’);
oder
command(‘required’, ‘’, ‘’);
oder
command(‘required’, ‘’, ‘optional’);
Verwenden von Anführungszeichen in Strings
Werden doppelte Anführungszeichen innerhalb eines Strings verwendet, so sind diese innerhalb der
einfachen Anführungszeichen zu schreiben, also ' " " '.
Sind einfache Anführungszeichen innerhalb eines Strings zu schreiben, so sind diese durch doppelte
Anführungszeichen zu begrezen, also " ' ' "
Kommentare
Kommentare werden durch Voranstellen von "# " markiert.
Syntaxprüfung
Wird ein Ruleset mit Custom commands 180 via Save and create ruleset neu generiert
beziehungsweise ein komplettes SMTP ruleset 184 via Upload hochgeladen, so erfolgt zunächst
eine Syntaxprüfung. Somit wird vermieden, dass syntaktikalisch falsche Rulesets aktiviert werden.
Bei auftretenden Fehlern wird in der Fehlermeldung in der Statusleiste oben in der
Administrationsoberfläche jeweils die Zeilennummer des SMTP ruleset 184 s ausgegeben, wie es
durch Klicken von Display Ruleset angezeigt wird.
© 2016 SEPPmail AG
282
8.1.2
Kontrollstrukturen - if/else Anweisungen
Die if/else Anweisungen sind Kontrollstrukturen und dienen innerhalb des Rulesets der
Ablaufsteuerung. Sie sind ein elementarer Bestandteil des Regelwerks. Ist eine Bedingung erfüllt, wird
eine Aktionen ausgeführt, sonst wird eine alternative Aktion ausgeführt. Die auszuführende Aktion
kann immer nur ein Befehl sein. Wenn als Aktion mehrere Befehle ausgeführt werden sollen, so
können diese einzelnen Befehle in einem Anweisungsblock zusammengefasst werden. Ein
Anweisungsblock wird innerhalb geschweifter Klammern geschrieben.
Mit if wird festgelegt, welche Voraussetzung zur Ausführung einer Aktion erfüllt sein muss. Mit else
wird eine alternative Aktion eingeleitet, sollte die durch if geforderte Bedingung nicht erfüllt sein. Eine
if/else Anweisung muss nicht durch ein Semikolon abgeschlossen werden. if/else Anweisungen
können geschachtelt werden.
Ein führendes Ausrufezeichen "!" bei einem Befehl innerhalb der Abfrage invertiert die Funktion des
Befehls.
Aufbau einer if/else Anweisung
if (Bedingung) {
Anweisungsblock 1;
}
oder
if (!Bedingung) {
Anweisungsblock 1;
}
oder
if (Bedingung) {
Anweisungsblock 1;
} else {
Anweisungsblock 2;
}
Die if-Anweisung bestimmt aufgrund des Rückgabewertes der Bedingung den weiteren Verlauf
im Programmablauf. Die Bedingung besteht aus einem einzelnen Befehl, welcher mindestens
einen Rückgabewert hat.
Anweisungsblock 1 wird nur dann ausgeführt, wenn der Rückgabewert positiv ist. Andernfalls
wird ausschliesslich Anweisungsblock 2 ausgeführt.
Beispiel
© 2016 SEPPmail AG
283
a)
Zeile Code
01 if (authenticated()) {
02 } else {
03
04
05 }
b)
Zeile Code
01 if (!authenticated()) {
03
04
05 }
Erklärung
Das Beispiel a) wertet den Rückgabewert des Befehls authenticated() aus. Konnte der
interne interne Absender der E-Mail erfolgreich authentifiziert werden, so ist der Rückgabewert
true. Nachdem für diesen Fall keine weitere Anweisung definiert wurde, wird ohne weitere Aktion
im Programmablauf fortgefahren. Schlug die Authentifizierung fehl, das heisst der Rückgabewert
ist false, so kommt der unter else angeführte Anweisungsblock zu tragen. Im Beispiel würde
somit ein Benutzerkonto für den Absender angelegt und ein OpenPGP Schlüsselpaar erzeugt.
In Beispiel b) wird die Funktion des Befehls authenticated() durch das vorangestellte ! in !
authenticated() invertiert, wodurch der nachfolgende Anweisungsblock der else Bedingung
aus Beispiel a) entspricht.
Das Programmierergebnis beider Varianten wird also das gleiche sein.
© 2016 SEPPmail AG
284
8.1.3
Reguläre Ausdrücke
Innerhalb von Befehlen werden zum Teil Reguläre Ausdrücke (regular expressions) verwendet,
welche der Perl Syntax entsprechen müssen. Meist werden Reguläre Ausdrücke als SuchZeichenketten (search strings) verwendet. Jedoch ist auch das Ersetzen von Ausdrücken möglich.
Zahlreiche Erklärungen und Beispiele hierzu sind im Internet zu finden, beispielsweise unter
http://de.wikipedia.org/wiki/Regul%C3%A4rer_Ausdruck
http://wiki.selfhtml.org/wiki/Perl/Regul%C3%A4re_Ausdr%C3%BCcke
Hinweis:
Folgende Zeichen haben bei Regulären Ausdrücken eine Sonderfunktion:
.^$*+?()[]{}<>\|
Sollen diese als "normale" Zeichen verwendet werden, so müssen sie durch
Voranstellen eines \ markiert (escaped) werden.
Auflistung von Zeichen mit Sonderfunktion und Ihre Wirkung
Zeichen
beliebig
Wirkung / Einsatz
steht für das Zeichen, falls nicht anders angegeben.
steht für ein beliebiges einzelnes Zeichen ausser einem Zeilen- oder einem
.
Absatzumbruch. Beispielsweise liefert der Suchbegriff "Schmi.t" liefert sowohl "Schmitt"
als auch "Schmidt".
findet den Suchbegriff nur, wenn er am Absatzanfang steht. Sonderinhalte wie zum
^
Beispiel Leerfelder und an Zeichen verankerte Rahmen am Absatzanfang werden
ignoriert. Beispiel "^Peter".
findet das erste Zeichen eines Absatzes.
^.
findet den Suchbegriff nur, wenn er am Absatzende steht. Sonderinhalte wie zum Beispiel
Leerfelder und an Zeichen verankerte Rahmen am Absatzende werden ignoriert. Beispiel
"Peter$".
$
allein stimmt mit dem Ende eines Absatzes überein. So ist es möglich, Absatzumbrüche
zu suchen und zu ersetzen.
findet einen leeren Absatz.
^$
findet keines oder mehr der Zeichen vor dem "*". So liefert etwa der Suchbegriff "Ab*c"
*
die Einträge "Ac", "Abc", "Abbc", "Abbbc" usw.
findet ein oder mehr der Zeichen vor dem "+". Beispielsweise findet "AX.+4" zwar "AXx4",
jedoch nicht "AX4".
+
Es wird immer die längstmögliche Zeichenfolge gefunden, die dem Suchmuster in einem
Absatz entspricht. Wenn der Absatz die Zeichenfolge "AX 4 AX4" enthält, wird der
gesamte Ausdruck hervorgehoben.
findet keines oder eines der Zeichen vor dem "?". Beispielsweise findet "Texts?" "Text"
?
und "Texts" und "x(ab|c)?y" findet "xy", "xaby" oder "xcy".
die Suchfunktion interpretiert das Sonderzeichen nach dem "\" als ein normales Zeichen
und nicht als einen regulären Ausdruck (ausser bei den Kombinationen \n, \t, \> und \<).
\
Beispielsweise wird bei der Suche nach "kein\." zwar "kein." gefunden, jedoch nicht
"keine" oder "keins".
steht im Feld "Suchen nach" für einen mit Umschalt+Eingabetaste eingefügten
Zeilenumbruch. Im Feld "Ersetzen durch" steh \n für einen Absatzumbruch.
\n
So werden Zeilenumbrüche jeweils gegen Absatzumbrüche ausgetauscht, indem \n
jeweils in die Felder "Suchen nach" und" Ersetzen durch" eingeben wird.
steht für ein Tabulatorzeichen. Dieser Ausdruck kann auch im Feld "Ersetzen durch"
\t
verwendet werden.
findet eine Wortgrenze. Zum Beispiel findet "\bbuch" das Wort "Buchstabe" aber nicht
\b
"Textbuch", wohingegen "buch\b" das Wort "Textbuch" findet aber nicht "Buchstabe".
fügt die Zeichenfolge, die durch die Suchkriterien im Feld "Suchen nach" gefunden wurde,
& oder $0 zu dem Begriff im Feld "Ersetzen durch" hinzu.
Wird in "Suchen nach" beispielsweise "Fenster" und in "Ersetzen durch" "&rahmen"
© 2016 SEPPmail AG
285
Zeichen
Wirkung / Einsatz
eingeben, so wird das Wort "Fenster" durch "Fensterrahmen" ersetzt.
Weiterhin können mit dem Ausdruck "&" im Feld "Ersetzen durch" die Attribute oder das
Format des durch die Suchkriterien gefundenen Suchbegriffs geändert werden.
[abc123] steht für eines der Zeichen in der Klammer.
steht für irgendein Zeichen zwischen a und e, einschliesslich beider Start- und
[a-e]
Endzeichen. Die Zeichen werden anhand ihrer Kennziffer angeordnet.
[a-eh-x] steht für ein beliebiges Zeichen im Buchstabenbereich a-e und h-x.
repräsentiert alles, was nicht zwischen a und s ist.
[^a-s]
steht für ein Zeichen auf Grundlage seines vierstelligen
Der Code einiger
\uXXXX
Hexadezimal-Unicodes (XXXX).
Zeichen hängt von der
jeweiligen Schrift ab
\UXXXXX für unbedeutende Zeichen mit achtstelligem HexadezimalUnicode
(XXXXXXXX).
XXX
findet sowohl Begriffe, welche vor dem "|" vorkommen, als auch die, die nach dem "|"
|
auftauchen. "dies|das" findet "dies" und "das".
gibt an, wie oft das Zeichen vor der öffnenden Klammer vorkommen muss. Zum Beispiel
{2}
liefert der Suchbegriff "Man{2}" das Wort "Mann".
gibt sowohl die minimale als auch maximale Anzahl an, die das Zeichen in vor der sich
{1,2}
öffnenden Klammer vorkommen kann. "Man{1,2}" findet und wählt sowohl "Man" als auch
"Mann".
gibt an, wie oft das Zeichen vor der öffnenden Klammer im Wort mindestens vorkommen
{1,}
muss. Beispiel: Der Suchbegriff "Man{2,}" findet "Mann", "Mannn" und "Mannnn".
im Feld "Suchen nach":
Die in der Klammer enthaltenen Zeichen gelten als Referenz. Auf die erste Referenz im
aktuellen Ausdruck kann dann mit "\1", auf die zweite mit "\2" usw. Bezug genommen
werden.
Enthält ein Text zum Beispiel die Zahl 13487889, so würde eine Suche mit dem
Ausdruck (8)7\1\1, "8788" finden.
Ebenso kann durch () Suchtext gruppiert werden. Der Suchtext "a(bc)?d" findet somit
"ad" oder "abcd".
Im Feld "Ersetzen durch":
Um Referenzen zu ersetzen, wird statt \ (umgekehrter Schrägstrich) $ (Dollar)
verwendet. Um die gesamte gefundene Zeichenkette zu ersetzen, wird $0 verwendet.
[:alpha:]? Steht für ein alphabetisches Zeichen. Verwenden Sie [:alpha:]+, um eines zu
()
finden.
[:digit:]? Steht für eine Dezimalziffer. Verwenden Sie [:digit:]+, um eine Ziffer zu
finden.
[:alnum:]? Steht für ein alphanumerisches Zeichen ([:alpha:] und [:digit:]).
[:space:]? Steht für ein Leerzeichen (aber kein anderes Platzhalter-Zeichen).
[:print:]? Steht für ein druckbares Zeichen.
[:cntrl:]? Steht für ein nicht-druckbares Zeichen.
[:lower:]? Steht für einen Kleinbuchstaben, wenn Gross-/Kleinschreibung in den
Optionen ausgewählt ist.
[:upper:]? Steht für einen Grossbuchstaben, wenn Gross-/Kleinschreibung in den
Optionen ausgewählt ist.
Beispiele
max\.mustermann@test\.tld
steht für die E-Mail Adresse [email protected]
@test\.tld
steht für alle E-Mail Adressen aus der Domäne test.tld
@test\..+
steht für alle E-Mail Adressen aus den Domäne test.*, also zum Beispiel test.ch, test.com, test.
local aber auch test.local.de und so weiter.
© 2016 SEPPmail AG
286
@test\..{3,4}$
steht für alle E-Mail Adressen aus den Domäne test.* mit zwei oder dreistelliger Länderdomäne,
also zum Beispiel test.ch, test.com, nicht aber test.a oder test.abcd und so weiter.
@.*\.test\.tld
steht für alle E-Mail Adressen aus der Domäne test.tld und deren Sub-Domänen, also auch ch.
test.tld, de.test.tld local.test.tld und so weiter.
(@.*)(\.waste\.tld$)
In diesem komplexeren Beispiel wird jede E-Mail Adresse gefunden, welche auf .waste.tld endet.
Das $ Zeichen am Ende des Ausdrucks bedeutet, dass in der untersuchten E-Mail Adresse nach .
waste.tld keine weiteren Zeichen folgen dürfen. Der komplette Teil der E-Mail Adresse, welcher
sich vor der Endung .waste.tld befindet, wird durch den Ausdruck @.* definiert.
Durch den Einschluss in Klammern werden die einzelnen Ausdrücke abgegrenzt. Somit könen die
eingeklammerten Teile durch Variablen abgerufen werden. Im Beispiel könnte somit als alles was
in (@.*) steht, mit der Variable $1 wieder abgerufen werden.
Im konkreten Beispiel würde durch Verwenden von $1 von allen E-Mail Adressen, welche auf .
waste.tld enden, eben dieses abgeschnitten.
Somit würde stünde dann in Variable $1 beispielsweise bei der ursprünglich eingelesenen Adresse
"[email protected]" "[email protected]".
\[confidential\]|\<crypt\>
reagiert sowohl auf den Ausdruck [confidential] als auch <crypt> (ODER-Verknüpfung). Damit wird
zum Beispiel das Verwenden mehrerer Schlüsselworte für das Verschlüsseln ermöglicht.
© 2016 SEPPmail AG
287
8.2
Allgemeine Befehle
8.2.1
incoming()
Der Befehl incoming() bestimmt das Auslieferungsziel (intern/extern) einer E-Mail.
Dieser Befehl prüft, ob eine E-Mail lokal ausgeliefert wird. Sind nicht alle Empfänger der E-Mail
ausschliesslich lokal oder ausschliesslich extern, so werden zwei Gruppen gebildet.
Als "lokal" werden Empfänger bezeichnet, welche einer managed domain (siehe Mail System 137
Managed domains 137 ) zugehörig sind.
Aufbau des Befehls
incoming();
Rückgabewert
positiv für die Gruppe der lokalen Empfänger
negativ für die Gruppe der externen Empfänger
Hinweis:
Als lokale Empfänger werden diejenigen bezeichnet, deren E-Mail Domänen auf
der Appliance als managed domains definiert sind.
Alle anderen Empfänger werden als extern bezeichnet.
Parameter
keine
Beispiel 1
Zeile Code
01 if (incoming()) {
# Ruleset-Anweisungen für alle E-Mails die lokal zugestellt
02
# werden können
03
# Anweisungsblock 1 - Rückgabewert: positiv
04 } else {
# Ruleset-Anweisungen für alle E-Mails die extern zugestellt
05
# werden müssen
06
#Anweisungsblock 2 - Rückgabewert: negativ
07 }
Erklärung
In diesem Beispiel wird für eine eingehende E-Mail der Anweisungsblock 1 (Zeile 02, 03)
ausgeführt. Für eine ausgehende E-Mail wird der Anweisungsblock 2 (Zeile 05, 06)
ausgeführt.
© 2016 SEPPmail AG
288
8.2.2
notify()
Der Befehl notify() sendet eine E-Mail Benachrichtigung an einen zu definierenden Empfänger bei
Verarbeitung einer anderen E-Mail.
Dieser Befehl erzeugt eine E-Mail Benachrichtigung an einen zu definierenden Empfänger (
recipient) unter Verwendung der Vorlage (template). Optional können header beziehungsweise
x-header in diese Benachrichtigungs-E-Mail geschrieben werden.
Aufbau des Befehls
notify('recipient', 'template', ['header:value[;header:value]']);
Rückgabewert
positiv immer
Parameter
recipient
Angabe der Empfänger-E-Mail Adresse der Benachrichtigungs-E-Mail.
Mögliche Werte
E-Mail Adresse Sendet eine Benachrichtigung an die angegebene SMTP E-Mail Adresse
Benachrichtigt den ursprünglichen Absender der E-Mail
sender
Benachrichtigt den lokalen SEPPmail Appliance Administrator
admin
Dieser wird in Mail System 137 SMTP settings 141 unter Postmaster
address definiert.
template
Dieser Parameter definiert die zu verwendende Vorlage für diese Benachrichtigungsmail.
Die Vorlage kann in Mail Processing 160 Edit e-mail templates 166 erstellt und verwaltet
werden.
header (optional)
Angabe des zu schreibenden headers inklusive des zugehörigen Wertes value.
Mögliche Werte für header
return-path:
date:
from:
Standard Absender ist die Postmaster address (siehe Mail System
SMTP settings 141 ) 141
sender:
reply-to:
to:
cc:
Standard Betreff lautet "Notification"
subject:
beliebiger x-header
Hinweis:
Das Setzen mehrerer header beziehungsweise x-header ist durch trennen
mittels Semicolon möglich.
Beispiel 1
© 2016 SEPPmail AG
289
Zeile
01
Code
notify('sender', 'bounce_noenc', 'from: "System Admin"
<[email protected]>;subject: Benachrichtigung;
x-MyOwnHeader: Test');
Erklärung
In diesem Beispiel wird eine Benachrichtigungs-E-Mail an den ursprünglichen Absender - welcher
über die Variable sender zur Verfügung gestellt wird - generiert. Als Vorlage für die E-Mail wird
das Standard template bounce_noenc verwendet. Im header der Benachrichtigungs-E-Mail wird
als Absender "System Admin" <[email protected]>" und als Betreff "Benachrichtigung"
gesetzt. Weiterhin wird ein X-headermit der Bezeichnung "x-MyOwnHeader" und dem Wert "Test"
geschrieben.
© 2016 SEPPmail AG
290
8.3
Vergleichende Befehle
8.3.1
check_sender()
(neu in 7.4.1)
Der Befehl check_sender() unterbindet den Versand einer E-Mail einer internen E-Mail Adresse also aus managed domains (siehe Mail System 137 Managed domains 137 ) -, sofern diese von
einem externen Server - welcher also weder im Relaying, noch im Whitelisting eingetragen ist (spoofing).
Aufbau des Befehls
check_sender(['managed_domain'], ['valid_from'], ['allowed_IP']);
Rückgabewert
positiv sofern die per Parameter eingestellten Prüfungen erfolgreich sind.
negativ falls eine oder beide per Parameter eingestellten Prüfungen fehlgeschlagen sind.
Parameter
managed_domain
Ist dieser Parameter gesetzt ('1'), so wird geprüft, ob der im envelope wie auch im header FROM
(als auch SENDER, sofern vorhanden) der E-Mail eingetragene Absender der E-Mail aus einer
managed domain stammt und der sendende Server im Relaying beziehungsweise Whitelisting
eingetragen ist (siehe auch Mail Processing 160 Ruleset generator 168 Protection Pack
(AntiSpam / AntiVirus) 178 "Reject incoming mails with spoofed sender domain.").
Mögliche Werte:
true, yes oder 1
false, no oder 0
Standardeinstellung ist 1
valid_from
Ist dieser Parameter gesetzt ('1') wird geprüft, ob im FROM- (und, falls vorhanden SENDER-)
header eine gültige E-Mail Adresse enthalten ist (siehe auch Mail Processing 160 Ruleset
generator 168 Protection Pack (AntiSpam / AntiVirus) 178 "Reject mails if from header
does not contain a valid e-mail address").
Mögliche Werte:
true, yes oder 1
false, no oder 0
allowed_IP
Ist dieser Parameter gesetzt ('1') wird geprüft, ob die sendende IP-Adresse mit der für die
managed domain zugelassenen (siehe auch Mail System 137 Managed domains 137 Edit
managed domains 147 Settings 147 Allowed outgoing sending servers (leave empty to
allow all relaying networks)) übereinstimmt.
Mögliche Werte:
true, yes oder 1
false, no oder 0
© 2016 SEPPmail AG
291
Hinweis:
Wäre also im FROM-header die E-Mail Adresse einer anderen managed domain
als im SENDER-header eingetragen, so müsste die sendende IP-Adresse für
beide managed domains berechtigt sein.
Beispiel 1
Zeile Code
01 if (check_sender('1', '1', '1')) {
log(1, 'Sender is from managed domain, but
sending server is neither configured
02
for relaying, nor whitelisted.
Dropping e-mail');
03
drop();
04 } else {
05 }
Erklärung
Dieses Beispiel prüft, ob die E-Mail von einer, unter managed domains eingetragenen, Absender
E-Mail Adresse gesendet wurde und auch von einem Server, der im Relaying beziehungsweise
Whitelisting eingetragen ist stammt (Zeile 01). Ist dies der Fall, so wird der Log-Eintrag 'Sender is
from managed domain, but sending server is neither configured for relaying, nor whitelisted .
Dropping e-mail' erzeugt (Zeile 02) und die E-Mail abgewiesen (Zeile 03).
© 2016 SEPPmail AG
292
8.3.2
compare()
Der Befehl compare() prüft Werte in header Feldern auf einen zu definierenden Vergleichswert.
Dieser Befehl vergleicht den Inhalt eines headers (header-field) mit Hilfe eines
Vergleichsoperators (operator) mit einem angegebenen Wert (value)..
Aufbau des Befehls
compare('header-field', 'operator', 'value');
Rückgabewert
positiv bei zutreffender Bedingung
negativ bei nicht zutreffender Bedingung
Parameter
header-field
Gibt das Kopfzeilen-Feld an, dessen Inhalt gegen den Inhalt des Parameters value vergleichen
werden soll. Als Kopfzeilen-Felder können alle header in einer E-Mail verwendet werden.
Mögliche Werte
return-path
date
from
sender
reply-to
to
cc
bcc
subject
beliebiger x-header
operator
Mögliche Werte
equal
match
substitute
vergleicht auf Gleichheit
prüft auf das Zutreffen eines regulären Ausdrucks
ist gleich wie match, entfernt aber den zutreffenden Teil von value aus
header-field
Hinweis:
Codierte Felder werden vor dem Vergleich decodiert. Die Sonderzeichen
Tabulator, Wagenrücklauf, Zeilenvorschub und Seitenende werden vor einem
Vergleich mit dem Operator equal entfernt.
value
Gibt den Wert an, gegen den Vergleichen werden soll. Dieser Wert kann auch ein regulärer
Ausdruck sein.
Beispiel 1
© 2016 SEPPmail AG
293
Zeile Code
01 if (compare('x-smenc', 'equal', 'yes')) {
02
tagsubject('[confidential]');
03 } else {
04 }
Erklärung
Dieses Beispiel prüft, ob der header x-smenc vorhanden ist und exakt den Wert yes beinhaltet
(Zeile 01). Dies bedeutet nicht, dass der Wert yes lediglich vorhanden ist, sondern, dass der Wert
ausschliesslich yes beinhaltet.
Ist die abgefragte Kondition gegeben, wird die E-Mail für das Verschlüsseln markeirt (Zeile 02).
Beispiel 2
Zeile Code
01 if (compare('to', 'match', '@customer\.com')) {
02
tagsubject('[nosign]');
03 } else {
04 }
Erklärung
Dieses Beispiel prüft bei einer ausgehenden E-Mail im header to mit dem Operator match auf
das Vorhandensein der Domain @customer.com innerhalb der Empfänger E-Mail Adresse (Zeile
01). Wenn die E-Mail Adresse des Empfängers die Zeichenkette @customer.com enthält, dann
ist der Rückgabewert von compare() true, im Betreff wird das das Schlüsselwort (tag)
[nosign] hinzugefügt (Zeile 02). Je nach Basiskonfiguration des Rulesets wird dadurch das
Signieren der E-Mail unterdrückt.
Beispiel 3
Zeile Code
01 compare('subject', 'substitute', '(\s)*\[secure\]');
Erklärung
Dieses Beispiel prüft den Betreff (header subject) einer E-Mail auf das Vorhandensein der
Zeichenkette [secure] (als regulärer Ausdruck (\s)*\[secure\]). Wird diese Zeichenkette
innerhalb des Betreff gefunden, so wird diese entfernt.
© 2016 SEPPmail AG
294
8.3.3
compareattr()
Der Befehl compareattr() prüft Attribute/Systemvariablen auf einen zu definierenden
Vergleichswert.
Dieser Befehl vergleicht den Inhalt einer Variablen (attribute) mit Hilfe eines Vergleichsoperators (
operator) mit einem angegebenen Wert (value)..
Aufbau des Befehls
compareattr('attribute', 'operator', 'value');
Rückgabewert
positiv bei zutreffender Bedingung
negativ bei nicht zutreffender Bedingung
Parameter
attribute
Mögliche Werte
connect_from
gibt die IP-Adresse des Systems aus, von welcher eine E-Mail an die
Appliance übergeben wurde.
M_Sender
gibt den envelope Sender einer E-Mail aus.
Variablen, welche mit ldap_read() 367 geschrieben wurden.
operator
Mögliche Werte
equal
match
vergleicht auf Gleichheit eines Ausdrucks (String)
prüft auf das Zutreffen eines regulären Ausdrucks.
value
Wert gegen den verglichen werden soll.
Beispiel 1
Zeile Code
01 if (compareattr('connect_from','equal','172.16.161.1')) {
02
log(1,'Message comes from 172.16.161.1');
03 } else {
04 }
Erklärung
Dieses Beispiel prüft, ob die zu verarbeitende E-Mail von einem bestimmten E-Mail Server (mit der
IP-Adresse 172.16.161.1) kommt. Dabei wird die Systemvariable connect_from ausgewertet
(Zeile 01).
Kommt die E-Mail von besagtem Server, so wird ein entsprechender Log-Eintrag erzeugt (Zeile 02
).
Beispiel 2
© 2016 SEPPmail AG
295
Zeile Code
01 if (compareattr('connect_from','match','172\.16\.161\.[1-2]')) {
02
log(1,'Message comes from 172.16.161.1/2');
03 } else {
04 }
Erklärung
Dieses Beispiel prüft, ob die zu verarbeitende E-Mail von einem der beiden E-Mail Server mit der
IP-Adresse 172.16.161.1 odr 172.161.16.2 kommt. Dabei wird die Systemvariable
connect_from ausgewertet (Zeile 01).
Kommt die E-Mail von besagtem Server, so wird ein entsprechender Log-Eintrag erzeugt (Zeile 02
).
© 2016 SEPPmail AG
296
8.3.4
comparebody()
Der Befehl comparebody() prüft den Nachrichtentext der E-Mail auf Vorhandensein einer
Zeichenkette.
Dieser Befehl durchsucht den Nachrichtentext einer E-Mail nach dem angegebenen Wert (value).
Achtung:
Aufgrund der Vielzahl von Möglichkeiten bei den Content-Types und ContentTransfer-Encodings ist eine eindeutige Erkennung im Nachrichtentext (Mail-Body)
nicht immer 100%ig zu gewährleisten. Aus diesem Grund ist diese Funktion nur sehr
bedingt - insbesondere als Entscheidungskriterium für das Triggern der
Verschlüsselung - zu empfehlen und ist im Einzelfall immer zu prüfen.
Aufbau des Befehls
comparebody('value');
Rückgabewert
positiv sofern der Wert aus value wenigstens einmal im Nachrichtentext vorkommt
negativ sofern der Wert aus value nicht im Nachrichtentext vorkommt
Parameter
value
Der Parameter value definiert den Suchbegriff, nach dem innerhalb der E-Mail gesucht wird.
value hat das Format eines regulären Ausdrucks.
Beispiel 1
Zeile
01
02
03
04
Code
if (comparebody('(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}
(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)')) {
log(1, 'Mail contains an IP address');
} else {
}
Erklärung
In diesem Beispiel wird innerhalb des Nachrichtentextes einer E-Mail auf das Vorhandensein einer
IP-Adresse geprüft (Zeile 01). Wird mindestens eine IP-Adresse gefunden, so wird der LogEintrag 'Mail contains an IP address' erzeugt (Zeile 02).
© 2016 SEPPmail AG
297
8.3.5
from_managed_domain()
Der Befehl from_managed_domain() prüft, ob eine E-Mail von einem Absender einer managed
domain stammt.
Aufbau des Befehls
from_managed_domain();
Rückgabewert
positiv sofern die E-Mail von einem Absender einer managed domain (siehe Mail System 137
Managed domains 137 ) stammt
negativ falls die E-Mail von einer anderen E-Mail Domäne stammt.
Parameter
keine
Beispiel 1
Zeile Code
01 if (from_managed_domain()) {
02
log(1, 'E-Mail is from managed domain');
03 } else {
04 }
Erklärung
Dieses Beispiel prüft, ob eine E-Mail von einer, unter managed domains eingetragenen, Absender
E-Mail Adresse gesendet wurde (Zeile 01). Ist dies der Fall, so wird der Log-Eintrag 'E-Mail is from
managed domain' erzeugt (Zeile 02).
© 2016 SEPPmail AG
298
8.3.6
rmatch()
Der Befehl rmatch() prüft, ob ein regulärer Ausdruck auf mindestens einen Empfänger im envelope
zutrifft.
Aufbau des Befehls
rmatch('regexp');
Rückgabewert
positiv wenn der reguläre Ausdruck (regexp) auf mindestens einen Empfänger zutrifft
negativ wenn der reguläre Ausdruck (regexp) auf keinen Empfänger zutrifft
Parameter
regexp
Definiert den regulären Ausdruck der verglichen werden soll.
Beispiel 1
Zeile Code
01 if (rmatch('@customer\.org')) {
02
notify ('sender', 'info_send_mail');
03 } else {
04 }
Erklärung
Dieses Beispiel prüft, ob die E-Mail Adresse mindestens eines Empfängers einer E-Mail den
Domain-Bestandteil '@customer.org' hat (Zeile 01). Ist dies der Fall, so wird eine E-Mail
Benachrichtigung an den Absender dieser E-Mail gesendet (Zeile 02).
© 2016 SEPPmail AG
299
8.3.7
rmatchsplit()
Der Befehl rmatchsplit() prüft, ob ein regulärer Ausdruck auf mindestens einen Empfänger im
envelope zutrifft und teilt die E-Mail in zwei Gruppen
Über diesem Befehl wird im envelope einer E-Mail auf das Vorhandensein eines regulären Ausdrucks
(regexp) geprüft. Eine E-Mail wird bei Bedarf in zwei Gruppen aufgeteilt: Eine Gruppe, mit
Empfängern, welche dem regulären Ausdruck entsprechen und eine weitere Gruppe dessen
Empfänger den regulären Ausdruck nicht enthalten. Somit wird der Befehl rmatchsplit() klassisch
innerhalb der if/else Kontrollstruktur verwendet.
Aufbau des Befehls
rmatchsplit('regexp');
Rückgabewert
positiv für die Gruppe, deren Empfänger den regulären Ausdruck regexp enthalten
negativ für die Gruppe, deren Empfänger den regulären Ausdruck regexp nicht enthalten
Parameter
regexp
Dieser Parameter definiert den regulären Ausdruck auf dessen Vorhandensein innerhalb der EMail geprüft wird.
Beispiel 1
Zeile Code
01 if (rmatchsplit('sales@customer\.com|invoice')) {
02
# Anweisungsblock 1
03 } else {
04
# Anweisungsblock 2
05 }
Erklärung
In diesem Beispiel wird die E-Mail auf das Vorhandensein des Ausdrucks [email protected]
oder invoice in den envelope Empfängern geprüft (Zeile 01). Für diejedigen Empfänger, deren
E-Mail Adresse wenigstens einen der beiden Ausdrücke beinhaltet, wird der #
Anweisungsblock 1 (Zeile 02), für alle anderen Empfänger wird # Anweisungsblock 2
(Zeile 04) ausgeführt.
© 2016 SEPPmail AG
300
8.4
Logging
8.4.1
log()
Der Befehl log() Erzeugt eiunen Eintrag im System-Log.
Der Eintrag im System-Log zeigt einen frei definierbaren Text (description) sowie eine Gewichtung
(severity) des Eintrags. Zudem wird dem Log-Eintrag in Spitzklammern die Message-ID des E-Mail
headers hinzugefügt. Die Aufgezeichneten Meldungen können im Menü Logs 245 eingesehen werden.
Aufbau des Befehls
log(severity, 'description');
Rückgabewert
positiv immer
Parameter
severity
Dieser Parameter gibt die Gewichtung des Log-Eintrags an.
severity
0
1
2
3
4
5
6
7
Bedeutung
debug
info
notice
warning
error
critical
alert
emergency
description
Beschreibung wie Sie im System Log aufgezeichnet werden soll.
Beispiel 1
Zeile Code
01 log(1, 'Hello World');
header der E-Mail:
Date: Fri, 05 Aug 2013 11:40:00 +0200
From: [email protected]
To: [email protected]
Subject: Some Topic
Content-Type: text/plain;
Message-Id: <E0D4DE42-DCB5-11D7>
Aufzeichnung im Log:
Aug 05 11:40:04 test gateway: <E0D4DE42-DCB5-11D7> Hello World
Erklärung
Die Zeichenkette (description) 'Hello World' wird mit der Gewichtung (info) im System Log
aufgezeichnet.
© 2016 SEPPmail AG
301
8.4.2
logheader()
Der Befehl logheader() schreibt den Inhalt des genannten headers oder x-header in das SystemLog.
Dieser Befehl dient im Regelfall dem Debuggen der Verarbeitung von E-Mails durch die RuleEngine.
Die Aufgezeichneten Log-Meldungen können im Menü Logs 245 eingesehen werden.
Aufbau des Befehls
logheader('header');
Rückgabewert
positiv immer
Parameter
header
Angabe des zu protokollierenden headers oder x-headers.
Mögliche Werte
return-path
date
from
sender
reply-to
to
cc
bcc
subject
beliebiger x-header
Beispiel 1
Zeile Code
01 logheader('Message-ID');
header der E-Mail:
Date: Fri, 05 Aug 2013 11:40:00 +0200
Subject: Some Topic
Aug 05 11:40:04 Message-Id: <E0D4DE42-DCB5-11D7>
Erklärung
Die Zeichenkette aus dem header "Message-ID:" wird wie aufgezeigt im System Log
aufgezeichnet.
© 2016 SEPPmail AG
302
8.4.3
logsubject()
Der Befehl logsubject() protokolliert den Inhalt der Betreffzeile einer E-Mail im System-Log.
Die Aufgezeichneten Log-Meldungen können im Menü Logs 245 eingesehen werden.
Aufbau des Befehls
logsubject();
Rückgabewert
positiv immer
Parameter
keine
Beispiel 1
Zeile Code
01 logsubject();
header der E-Mail:
Date: Fri, 05 Aug 2013 11:40:00 +0200
Subject: Some Topic
Aug 05 11:40:04 Message Subject is Some Topic
Erklärung
Die Zeichenkette aus dem header "Subject:" wird wie aufgezeigt im System Log aufgezeichnet.
© 2016 SEPPmail AG
303
8.5
Verwaltung von Benutzern
8.5.1
authenticated()
(geänderte Verarbeitung ab 7.4.3)
Der Befehl authenticated() überprüft den Identifikationsstatus des Absenders.
Der Identifikationsstatus des Absenders beinhaltet die Identität und die Authentifizierung.
Aufbau des Befehls
authenticated(['envelope']);
Rückgabewert
positiv sofern der Absender erfolgreich authentifiziert werden konnte
negativ bei Fehlschlagen der Authentifizierung des Absenders
Hinweis:
Authentifiziert bedeutet, dass die E-Mail von einem E-Mail Server kommt, der
eine Relay-Berechtigung (siehe Mail System 137 Relaying 142 ) hat und der
Benutzer sich via SMTP authentifiziert (E-Mail Adresse im envelope
beziehungsweise bei Verwenden des Parameters header die Adresse des
headers FROM) hat und als "Named User" (siehe Users 251 ) bereits auf der
Appliance vorhanden ist.
Parameter
envelope (optional)
Wird als Wert des Parameters envelope '1' angegeben, so wird der Benutzer erneut mittels der
im envelope der im der E-Mail enthaltenen E-Mail Adresse authentifiziert. Im Standard wird die
Adresse aus dem FROM-header verwendet.
Hinweis:
Der für eine E-Mail Signatur benötigte Schlüssel wird immer anhand der E-Mail
Adresse des authentifizierten Benutzers herangezogen.
Das heisst, sofern der Parameter envelope den Wert '1' erhält, wird mit dem
Schlüssel des Absenders aus dem envelope anstatt des FROM-headers der EMail signiert.
Beispiel 1
Zeile Code
02 } else {
03
createaccount('1');
04
05 }
Erklärung
Das Beispiel wertet den Rückgabewert des Befehls authenticated() aus (Zeile 01). Konnte
der interne interne Absender der E-Mail erfolgreich authentifiziert werden, so ist der
Rückgabewert true. Nachdem für diesen Fall keine weitere Anweisung definiert wurde (Zeile 02),
wird ohne weitere Aktion im Programmablauf fortgefahren. Schlug die Authentifizierung fehl, das
heisst der Rückgabewert ist false, so kommt der unter else angeführte Anweisungsblock zu
tragen. Im Beispiel würde somit ein Benutzerkonto für den Absender, welcher im FROM-header
der E-Mail steht, angelegt und ein OpenPGP Schlüsselpaar erzeugt (Zeile 03), sowie ein Log-
© 2016 SEPPmail AG
304
Eintrag erzeugt (Zeile 04).
Beispiel 2
Zeile Code
01 if (authenticated('1')) {
02 } else {
03
createaccount('1');
04
05 }
Erklärung
Dieses Beispiel wertet den Rückgabewert des Befehls authenticated() aufgrund des
envelopes aus (Zeile 01). Konnte der interne interne Absender der E-Mail erfolgreich
authentifiziert werden, so ist der Rückgabewert true. Nachdem für diesen Fall keine weitere
Anweisung definiert wurde (Zeile 02), wird ohne weitere Aktion im Programmablauf fortgefahren.
Schlug die Authentifizierung fehl, das heisst der Rückgabewert ist false, so kommt der unter else
angeführte Anweisungsblock zu tragen. Im Beispiel würde somit ein Benutzerkonto für den
Absender aus dem envelope der E-Mail angelegt und ein OpenPGP Schlüsselpaar erzeugt (Zeile
03), sowie ein Log-Eintrag erzeugt (Zeile 04).
© 2016 SEPPmail AG
305
8.5.2
createaccount()
Der Befehl createaccount() erstellt neue Benutzerkonten.
Als Benutzerkonto wird ein lokales SEPPmail Appliance Benutzerkonto bezeichnet. Dieses
Benutzerkonto kann im Menü Users 251 eingesehen werden.
Aufbau des Befehls
createaccount(['keys'],['userID'],['name']);
Rückgabewert
positiv immer
Parameter
keys (optional)
Dieser Parameter gibt an, welches Schlüsselmaterial beim Erstellen der Benutzerkontos
automatisch generiert werden soll. Das Format entspricht einer Bitmaske in Oktalnotation. Wird
der Parameter nicht angegeben, so wird kein Schlüsselmaterial erzeugt.
Die folgenden Werte stehe zur Verfügung:
Bit 0
: OpenPGP-Schlüsselpaar generieren
Bit 1
: S/MIME-Zertifikat mit der eigenen CA generieren
Bit 2
: S/MIME-Zertifikat via CA-Connector generieren
Bit 0: OpenPGP
Bit 1: S/MIME mit eigener CA
Bit 2: S/MIME via CA-Connector
Wert für keys
x
1
Mask
x
x x
2
3
x
x
x
4
5
userID (optional)
Dieser Parameter gibt die eindeutige ID des Benutzers an.
Wird dieser Parameter nicht angegeben, so wird für das Generieren des Benutzers seine E-Mail
Adresse als userID verwendet.
name (optional)
Dieser Parameter gibt des Namen des Benutzers an.
Wird dieser Parameter nicht angegeben, so wird für das Generieren des Benutzers der
Anzeigename, beziehungsweise wenn dieser nicht vorhanden ist seine E-Mail Adresse als name
verwendet.
Hinweis:
Für userID und name können Variablen benutzt werden, die durch
den Befehl ldap_read() gesetzt wurden.
Sonderzeichen in userID und name werden automatisch ersetzt.
Beispiel 1
© 2016 SEPPmail AG
306
Zeile Code
02 } else {
03
createaccount('1');
04
05 }
Erklärung
Das Beispiel wertet den Rückgabewert des Befehls authenticated() aus (Zeile 01). Konnte
der interne interne Absender der E-Mail erfolgreich authentifiziert werden, so ist der
Rückgabewert true. Nachdem für diesen Fall keine weitere Anweisung definiert wurde (Zeile 02),
wird ohne weitere Aktion im Programmablauf fortgefahren. Schlug die Authentifizierung fehl, das
heisst der Rückgabewert ist false, so kommt der unter else angeführte Anweisungsblock zu
tragen. Im Beispiel würde somit ein Benutzerkonto für den Absender angelegt und ein OpenPGP
Schlüsselpaar erzeugt (Zeile 03), sowie ein Log-Eintrag erzeugt (Zeile 04).
8.5.3
member_of()
Der Befehl member_of() prüft die zugehörigkeit eines Absenders zu einer Gruppe.
Als Gruppe wird eine lokale SEPPmail Appliance Gruppe bezeichnet. Diese Gruppen werden im
Menü Groups 258 verwaltet.
Aufbau des Befehls
member_of('group');
Rückgabewert
positiv wenn der Absender der angegebenen Gruppe zugeordnet ist
negativ wenn der Absender nicht der angegebenen Gruppe zugeordnet ist
Parameter
group
Definiert den Namen der Gruppe auf dessen Mitgliedschaft die E-Mail Adresse des Absenders
geprüft werden soll.
Beispiel 1
Zeile Code
01 if (member_of('support')) {
02
setheader('x-smenc','yes');
03 } else {
04 }
Erklärung
In diesem Beispiel wird geprüft, ob der Absender Mitglied der Gruppe 'support' ist (Zeile 01). Falls
ja, dann wird als Rückgabewert true geliefert, und der Befehl setheader() wird ausgeführt
(Zeile 02). Andernfalls wird als Rückgabewert false geliefert.
© 2016 SEPPmail AG
307
8.5.4
setuserattr()
Der Befehl setuserattr() fügt einem Benutzerkonto Attribute hinzu oder ändert diese.
Das Benutzerkonto kann im Menü Users 251 eingesehen werden.
Aufbau des Befehls
setuserattr('attr', 'value');
Rückgabewert
positiv immer
Parameter
ATTR und VALUE
Folgende Systemattribute (attr) stehen mit den jeweiligen Werten (value) gemäss folgender
Tabelle zur Verfügung:
ATTR
VALUE
accountOptions
Bit 0: User darf nicht verschlüsseln
Bit 1: nicht belegt
Bit 2: User darf nicht signieren
Mask
Bit 0: User darf nicht verschlüsseln
Bit 1: nicht belegt
Bit 2: User darf nicht signieren
Wert für value
x
1
x
x
x
4
5
Standardwert ist '0' (darf alles)
SN
Name des Benutzers
UID
User ID
Hinweis:
Für value können Variablen benutzt werden, die durch ldap_read
() gesetzt wurden.
Es können alle Attribute von InetOrgPerson benutzt werden.
Die Attribute können in der Administrationsoberfläche angezeigt
werden.
Das Alleinstellungsmerkmal eines SEPPmail Appliance Benutzerkontos ist
die E-Mail Adresse, weshalb diese auch nicht geändert werden kann.
Beispiel 1
© 2016 SEPPmail AG
308
Zeile
01
02
03
04
05
06
07
Code
if(ldap_compare('192.168.10.10,192.168.10.11;CN=Peter Mueller,
OU=SBSUsers,OU=Users,OU=MyBusiness,DC=Firma,
DC=local;mypassword;OU=SBSUsers,OU=Users,
OU=MyBusiness,DC=Firma,DC=local;(mail=$sender)',
'memberOF','SecureMail')) {
if(authenticated()) {
setuserattr('accountOptions', '0');
} else {
}
} else {
}
Erklärung
In diesem Beispiel wird geprüft, ob der Absender Mitglied der Gruppe 'support' ist (Zeile 01). Falls
ja, wird mittels (authenticated() geprüft, ob der Absender bereits als Benutzer in der
Appliance definiert ist (Zeile 02). Treffen beide Bedingungen zu, so wird diesem Benutzer über
den Befehl setuserattr() das Recht für "Verschlüsseln und Signieren" zugewiesen (Zeile 03).
© 2016 SEPPmail AG
309
8.5.5
Verwaltung von Zertifikaten
8.5.5.1
smime_create_key()
Der Befehl smime_create_key() erstellt ein S/MIME-Zertifikat für einen internen Benutzer durch die
lokale CA.
Aufbau des Befehls
smime_create_key(['subject']);
Rückgabewert
positiv immer
Parameter
subject (optional)
Definiert das Subject für das zu erzeugende S/MIME-Zertifikat.
Innerhalb der subject-Zeichenkette steht die Variable $sender zur Verfügung, welch in die EMail Adresse des Absenders aufgelöst wird.
Wird kein Parameter angegeben, so wird als subject der static subject part aus der internen CA
(siehe CA 216 Internal CA settings 216 Static subject part) und die E-Mail Adresse des
Absenders eingetragen.
Beispiel 1
Zeile
01
Code
smime_create_key('/C=CH/OU=Department/O=Company/
emailAddress=$sender');
Erklärung
In diesem Beispiel wird ein S/MIME-Zertifikat über die lokale CA generiert, in welchem das
optionale subject mitgegeben wird.
© 2016 SEPPmail AG
310
8.6
Handhaben von Nachrichten
8.6.1
archive()
Der Befehl archive() kopiert die E-Mail und stellt sie einen zusätzlichen Empfänger zu.
Die E-Mail wird innerhalb der Verarbeitung kopiert und in einem neuen envelope der zusätzlich
angegebenden E-Mail Adresse (e-mail-address) zugestellt (vergleiche Mail Processing 168
Ruleset generator 168 Archiving 179 ).
Hinweis:
Diese Aktion wird nicht in Verbindung mit den Befehlen bounce() 314 oder drop()
318 ausgeführt
Aufbau des Befehls
archive('e-mail_address');
Rückgabewert
positiv immer
Parameter
e-mail_address (optional)
E-Mail Adresse des zusätzlichen Empfängers.
Beispiel 1
Zeile Code
01 archive('[email protected]');
Erklärung
In diesem Beispiel wird die gerade verarbeitete E-Mail als Kopie zusätzlich an den Empfänger
'[email protected]' gesendet.
© 2016 SEPPmail AG
311
8.6.2
autoreply()
(neu in 7.4.8)
Der Befehl autoreply() generiert eine neue E-Mail an den ursprünglichen Absender unter
Verwendung einer angegebenen E-Mail Vorlage.
Dieser Befehl erzeugt automatisiert eine E-Mail Antwort an den ursprünglichen Absender unter
Verwendung der Vorlage (template).
Absender der automatisierten Antwort ist der ursprüngliche Empfänger, Betreff ist der ursprüngliche
Betreff mit dem vorangestellten Kennzeichen einer Antwort, also "AW: ", "Re: " und so weiter.
Enthält die E-Mail des ursprünglichen Absenders mehrere Empfänger, so wird pro Empfänger eine
Rück-Mail generiert.
Achtung:
Dieser Befehl ist in erster Linie für Tests von externen Kommunikationspartnern
gedacht und ersetzt in keinem Fall etwa die Autoreply-Funktion eines E-Mail Clients
wie MS-Outlook.
Aufbau des Befehls
autoreply('template', ['header:value[;header:value]']);
Rückgabewert
positiv für die neu generierte Antwort-Mail
Parameter
template
Dieser Parameter definiert die zu verwendende Vorlage für die automatisierte E-Mail Antwort.
Die Vorlage kann in Mail Processing 160 Edit e-mail templates 166 erstellt und verwaltet
werden.
header (optional)
Angabe des zu schreibenden headers inklusive des zugehörigen Wertes value.
Mögliche Werte für header
return-path:
date:
Standard Absender ist die ursprüngliche Empängeradresse
from:
sender:
reply-to:
to:
cc:
ursprünglicher Betreff mit dem vorangestellten Kennzeichen einer
subject:
Antwort, also "AW: ", "Re: " und so weiter.
beliebiger x-header
Hinweis:
Das Setzen mehrerer header beziehungsweise x-header ist durch trennen
mittels Semicolon möglich.
Beispiel 1
© 2016 SEPPmail AG
312
Zeile
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
Code
log(1, 'Start custom commands for incoming e-mails BEFORE
decryption');
if (compare('subject', 'match', '\[get/scertificate\]')) {
log(1, 'certificate requested by subject');
if (autoreply('send_certificate')) {
if (authenticated(1)) {
if (smime_sign()) {
log(1, 'sent certificate for $to to $from');
} else {
log(1, 'signing not possible for $to, no key found');
}
} else {
log(1, 'signing not possible for $to, no user found');
}
}
deliver();
}
Erklärung
Zunächst muss das e-mail template 166 "send_certificate" definiert werden.
Beim Empfang einer E-Mail wird zunächst geprüft, ob über einen vordefinierten Betreff (dieser
muss laut Beispiel [get certificate] lauten) eine signierte Rück-Mail für das Erlangen des
öffentlichen Schlüssels des Empfängers angefordert wurde (Zeile 02). Ist dies der Fall, so wird für
von jedem der Empfänger eine automatisierte Rück-Mail an den ursprünglichen Absender unter
Verwendung des e-mail templates 166 "send_certificate" generiert (Zeile 05). Anschliessend
wird für jeden ursprünglichen Empfänger geprüft, ob für ihn ein Benutzer auf der SEPPmail
Appliance angelegt ist (Zeile 06). Ist dies der Fall, so wird im Anschluss versucht, die jeweilige
Rück-Mail zu signieren (Zeile 07). und abschliessend versendet (Zeile 15).
Über diese Funktion kann ein externer Kommunikationspartner per E-Mail an den öffentlichen S/
MIME Schlüssel eines lokal vorhandenen Benutzers kommen.
Beispiel 2
© 2016 SEPPmail AG
313
Zeile
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
Code
decryption');
if (compare('to', 'match', 'auto\-reply@company\.tld')) {
log(1, 'Recipient is [email protected], create reply');
if (autoreply('test_autoreply')) {
if (domain_smime_keys_avail('auto')) {
log(1, 'found S/MIME domain certificate for recipient(s) $to trying to encrypt mail');
compare('subject', 'substitute', '(\s)*\[secure\]');
compare('subject', 'substitute', '(?i)\[emptypw\]');
compare('subject', 'substitute', '(?i)(<im>.*<c>)|
(\[confidential\])');
if (encrypt_domain_smime('aes256')) {
log(1, 'smime domain encryption successful');
} else {
log(1, 'smime domain encryption FAILED - Mail will be
bounced');
bounce('bounce_noenc');
}
}
deliver();
}
}
Erklärung
Zunächst muss das e-mail template 166 definiert werden.
Beim Empfang einer E-Mail an den Empfänger "[email protected]" (Zeile 02) wird eine
automatisierte Rück-Mail unter Verwendung des e-mail templates 166 "test_autoreply"
generiert (Zeile 04). Im nächsten Schritt wird geprüft, ob für die Domäne des Empfängers der
Rück-Mail - also dem ursprünglichen Absender der E-Mail - ein Domänenzertifikat vorliegt (Zeile
05). Um zu vermeiden, dass eventuell bereits in der ursprünglichen E-Mail vorhandene Betreff
Kennzeichen in der Rück-Mail auftauchen, werden diese entfernt (Zeile 07-09). Nun wird die
Rück-Mail Domänenverschlüsselt (Zeile 10). Schlägt dies fehl, so wird die Rück-Mail abgewiesen
(Zeile 14). Andernfalls wird sie ausgeliefert (Zeile 17).
Über diese Funktion kann die Domänenverschlüsselung von externen Kommunikationspartnern zu
Ihrer eigenen Domäne getestet werden.
© 2016 SEPPmail AG
314
8.6.3
bounce()
Der Befehl bounce() erstellt eine Nichtzustellbarkeitsnachricht an den Absender der E-Mail.
Dieser Befehl erzeugt eine Bounce-E-Mail (wird auch Non Delivery Notification (NDN) oder NonDelivery Report/Receipt (NDR) bezeichnet) und löscht die ursprüngliche E-Mail. Das Aussehen der
Bounce-E-Mail wird durch eine Vorlage definiert. Der Absender dieser Bounce-E-Mail ist der
Postmaster (siehe Mail System 141 SMTP settings 141 Postmaster address). Optional wird der
header der ursprünglichen E-Mail der Bounce-E-Mail als Dateianlage angehängt.
Hinweis:
Die E-Mail wird zunächst vom E-Mail System angenommen und erst mit dem
Erstellen der Bounce-E-Mail verworfen (siehe Unterschied zu drop() 318 )
Alle nachfolgenden Befehle werden ignoriert.
Dieser Befehl kann nicht die Bedingung einer if/else Anweisung sein (siehe
Abschnitt Kontrollstrukturen - if/else Anweisungen 282 ).
Aufbau des Befehls
bounce('template', ['attach_header']);
Rückgabewert
kein
Parameter
template
Definiert die zu verwendende Vorlage.
Vorlagen werden über die Administrationsoberfläche (siehe Mail Processing 166 Edit e-mail
templates 166 ) definiert und verwaltet.
attach_header
Dieser Parameter gibt an, ob der header der ursprünglichen E-Mail der Bounce-E-Mail als
Dateianlage angehängt werden soll (true) oder nicht (false).
Mögliche Werte:
true, yes oder 1
false, no oder 0
Beispiel 1
Zeile Code
01 bounce('bounce', 'yes');
Erklärung
Die Auslieferung der E-Mail soll verhindert werden. Zugleich sollen dem Absender über eine Rück(Bounce-)E-Mail Informationen zur Verfügung gestellt werden. Der Inhalt dieser Rück-E-Mail ist in
der Vorlage bounce definiert. Weiterhin wird der header der nicht ausgelieferten E-Mail als Anlage
angehängt (Wert yes des Parameters attach_header).
© 2016 SEPPmail AG
315
8.6.4
deliver()
Der Befehl deliver() ermöglicht es, eine E-Mail unmittelbar auszuliefern.
Hinweis:
Aufbau des Befehls
deliver(['mailserver[:port]'|'loop'|'queueless']);
Rückgabewert
positiv immer
Parameter
Wird kein Parameter angegeben, so wird die E-Mail dem lokalen Mail-Transport-Agent (MTA)
übergeben.
mailserver (optional)
Gibt den E-Mail Server an, über welchen die E-Mail ausgeliefert werden soll.
Wird kein Parameter angegeben, so wird die E-Mail dem lokalen Mail-Transport-Agent (MTA)
übergeben.
:port (optional)
Gibt den Port an, auf welchem der angegeben E-Mail Server E-Mails empfängt.
Standard ist Port 25 SMTP
loop (optional)
Die E-Mail wird an den E-Mail Server zurückgegeben, von welchem sie angenommen wurde.
queueless (optional)
Diese Einstellung bewirkt, dass E-Mails an einzelne Empfänger während der Verarbeitung nicht
zwischengelagert werden. Stattdessen wird die eingehende Verbindung erst quittiert, wenn
dieabgehende Verbindung quittiert wurde. Wenn beim Versand an mehrere Empfänger die
Annahme für einige Empfänger nicht quittiert wird, befinden sich diese E-Mails kurzzeitig bis zur
Quittierung durch die empfangenden E-Mail Server auf der Appliance.
Hinweis:
Die Parameter
mailserver[:port],
loop,
queueless
schliessen sich gegenseitig aus.
Beispiel 1
Zeile Code
01 deliver('relay.customer.com:587');
Erklärung
In diese Beispiel wird die E-Mail an den angegebenen E-Mail Server mit dem Ziel Port TCP/587
gesendet.
Beispiel 2
© 2016 SEPPmail AG
316
Zeile Code
01 deliver();
Erklärung
In diesem Beispiel wird die E-Mail direkt über den eigenen lokalen E-Mail Transport Agent (MTA)
ausgeliefert.
© 2016 SEPPmail AG
317
8.6.5
disclaimer()
Der Befehl disclaimer() fügt einen Textanhang einer bestehenden E-Mail hinzu.
Dieser Befehl fügt einen Textanhang aus dem angeführten Vorlage (template) einer bestehenden EMail hinzu. Wird keine Vorlage angegeben, so wird versucht, anhand der Einstellungen der managed
domains den richtigen disclaimer zu wählen. Dazu werden die den jeweiligen E-Mail Domänen
zugeordneten disclaimer ausgewertet.
Aufbau des Befehls
disclaimer(['template'], ['position'], ['force']);
Dieser Befehl fügt einen Textanhang aus dem angeführten template einer bestehenden E-Mail
hinzu. Wenn eine leere Zeichenfolge als template angegeben ist, wird versucht, anhand der
Einstellungen der managed domains den richtigen disclaimer zu wählen. Dazu werden die den
jeweiligen E-Mail Domänen zugeordneten disclaimer ausgewertet.
Rückgabewert
positiv immer
Parameter
template (optional)
Definiert den Namen der Vorlage (template), welche als Textanhang verwendet werden soll.
Fussnoten- (Disclaimer-)Vorlagen werden über die Administrationsoberfläche (siehe Mail
Processing 160 Edit disclaimer 165 ) konfiguriert und verwaltet.
Wird keine Vorlage angegeben, so wird das Standard disclaimer template der jeweiligen managed
domain verwendet.
position (optional)
Mögliche Werte
oberhalb des E-Mail Body
top
unterhalb des E-Mail Body
bottom
Standardeinstellung ist bottom
force (optional)
Dieser Paramater erzwingt das Hinzufügen eines Textanhangs an eine ausgehende E-Mail. Das
heisst der Textanhang wird auch an Antwort-E-Mail angehängt.
Mögliche Werte:
true, yes oder 1
false, no oder 0
Beispiel 1
Zeile Code
01 disclaimer('', 'bottom', 'yes');
Erklärung
In diesem Beispiel wird der Standard Textanhang anhand der Einstellungen innerhalb der
managed domains ausgewählt und am Ende jeder versendeten E-Mail angehängt. Es ist dabei
unerheblich, ob es sich um eine Antwort-E-Mail handelt oder nicht.
© 2016 SEPPmail AG
318
8.6.6
drop()
Der Befehl drop() verweigert das Annehmen einer E-Mail und gibt an das absendende System den
angegebenen SMTP-Code mit einen frei definierbarem Informationstext zurück.
Hinweis:
Die eingehende E-Mail wird nicht angenommen (siehe Unterschied zu bounce
() 314 )
Aufbau des Befehls
drop(['smtp_code'], ['text']);
.
Rückgabewert
positiv immer
Parameter
smtp_code (optional)
Der smtp_code gibt den Grund für das Zurückweisen einer E-Mail an.
Die Bedeutung der Codes gliedert sich wie folgt:
1XX
2XX
3XX
4XX
5XX
Mailserver hat die Anforderung akzeptiert, ist aber selbst noch nicht tätig geworden.
Eine Bestätigungsmeldung ist erforderlich.
Mailserver hat die Anforderung erfolgreich ohne Fehler ausgeführt.
Mailserver hat die Anforderung verstanden, benötigt aber zur Verarbeitung weitere
Informationen.
Mailserver hat einen temporären Fehler festgestellt. Wenn die Anforderung ohne
jegliche Änderung wiederholt wird, kann die Verarbeitung möglicherweise
abgeschlossen werden.
Mailserver hat einen fatalen Fehler festgestellt. Die Anforderung kann nicht
verarbeitet werden.
Quelle: Wikipedia
Detaillierte Auflistungen der Fehlercodes sind zum Beispiel unter http://www.supermailer.de/
smtp_reply_codes.htm zu finden.
Default: Wird dieser Parameter nicht angegeben, so wird der Code "555" verwendet.
text (optional)
Der Informationstext spezifiziert den Grund des Abweisens näher.
Default: Wird dieser Parameter nicht angegeben, so wird der Text "mail NOT accepted"
ausgegeben.
Beispiel 1
Zeile Code
01 drop('451', 'Die Nachricht konnte nicht entschluesselt werden');
Erklärung
In diesem Beispiel wird eine E-Mail mit dem Fehlercode "451 - Die Nachricht konnte nicht
entschluesselt werden" abgewiesen. Im System-Log wird für diese Aktion folgender Eintrag
generiert: "Message Rejected. (451 - Die Nachricht konnte nicht entschluesselt werden)".
© 2016 SEPPmail AG
319
8.6.7
reject()
Der Befehl reject() wurde durch drop() (siehe drop() 318 ) ersetzt und ist nicht länger gültig.
8.6.8
reprocess()
Der Befehl reprocess() ermöglicht es, eine oder mehrere E-Mail(s) erneut zu verarbeiten.
Alle an eine E-Mail angehängten E-Mails - oder auch OpenPGP verschlüsselten Dateien - werden
erneut verarbeitet und an den Absender zurückgesendet. Dies kann dann erforderlich sein, wenn sich
im Posteingang eines Benutzers noch verschlüsselte E-Mails befinden. Diese E-Mails können als
Anhang einer neuen E-Mail des betroffenen Benutzers zur erneuten Verarbeitung - also zum
entschlüsseln - an die Appliance gesendet werden.
Der Befehl hat keinen Rückgabewert. Dieser Befehl hat keinen Parameter.
Hinweis:
Die ursprüngliche Message-ID wird aus den neu entschlüsselten E-Mails
entfernt.
Es wird keine Bounce E-Mail an den Absender erzeugt.
Aufbau des Befehls
reprocess();
Rückgabewert
kein
Parameter
keine
Beispiel 1
Zeile Code
01 if (compare('to', 'match', '(?i)reprocess@decrypt\.reprocess')) {
log(1, 'reprocess recipient found - re-injecting attached
02
messages');
03
reprocess();
04
drop('220', 'message reprocessed');
05 } else {
06 }
Erklärung
Sendet ein interner Benutzer (eine) verschlüsselte E-Mail(s) als Anhang in einer neuen, nicht
verschlüsselten E-Mail an die systemspezifische E-Mail Adresse reprocess@decrypt.
reprocess,(Zeile01) so werden die E-Mails aus dem Anhang erneut verarbeitet (Zeile 03). Somit
wird versucht diese anhängenden E-Mails zu entschlüsseln. Für den Vorgang werden
entsprechende Log-Einträge erzeugt. Nach dem Ausführen von reprocess() wird die
ursprüngliche, neue E-Mail mit drop() gelöscht (Zeile 04).
© 2016 SEPPmail AG
320
8.6.9
Manipulieren von envelope und header
8.6.9.1
add_rcpt()
Der Befehl add_rcpt() fügt der E-Mail eine zusätzliche Empfänger E-Mail Adresse im envelope
hinzu.
Aufbau des Befehls
add_rcpt('e-Mail_address');
Rückgabewert
positiv immer
Parameter
e-mail_address
Dieser Parameter definiert die E-Mail Adresse welche dem envelope als zusätzlicher Empfänger
hinzugefügt werden soll.
Beispiel 1
Zeile Code
01 add_rcpt('[email protected]');
Erklärung
In diesem Beispiel wird der Empfänger [email protected] hinzugefügt. Beim
Empfänger erscheint die E-Mail im Posteingang so, als ob diese via BCC gesendet wurde. Der
ursprüngliche Empfänger wird nicht verändert.
© 2016 SEPPmail AG
321
8.6.9.2
normalize_header()
Der Befehl normalize_header() ersetzt alle Sonderzeichen in einem (X-)header durch normale
ASCII-Zeichen.
Dieser Befehl ersetzt alle Sonderzeichen des angegebenen headers (header) durch normale ASCIIZeichen. Sonderzeichen können zum Beispiel deutsche Umlaute wie ä, ö, ü aber auch ? sein.
Aufbau des Befehls
normalize_header('header');
Rückgabewert
positiv immer
Parameter
header
Angabe des zu bearbeitenden headers oder x-headers an.
Mögliche Werte
return-path
date
from
sender
reply-to
to
cc
bcc
subject
beliebiger x-header
Beispiel 1
Zeile Code
01 normalize_header('subject');
Erklärung
In diesem Beispiel wird im header-Feld subject zum Beispiel aus der Zeichenkette "Herr Müller"
die normalisierte Form "Herr Mueller".
Beispiel 2
Zeile Code
01 normalize_header('to');
Erklärung
In diesem Beispiel wird im header TO aus der Zeichenkette
'<Bernd Hänsel> [email protected]'
die normalisierte Form
'<Bernd Haensel> [email protected]'.
© 2016 SEPPmail AG
322
8.6.9.3
replace_rcpt()
Der Befehl replace_rcpt() ersetzt in einer E-Mail den oder die Empfänger durch einen
anzugebenden anderen.
Die Empfänger der zu verarbeitenden E-Mail können in Abhängigkeit der verwendeten Parameter
verändert werden.
Aufbau des Befehls
replace_rcpt(['old_recipient',] 'new_recipient', ['only_envelope']);
Rückgabewert
positiv immer
Parameter
new_recipient
Neue E-Mail Adresse (als String), wenn dies der einzige gesetzte Parameter ist. Es wird nur der
envelope der E-Mail behandelt. Mehrere Empfänger können durch Semikolon getrennt
eingegeben werden.
Andernfalls können auch Teile ersetzt werden. Dies impliziert jedoch das Verwenden von
Regulären Ausdrücken und des Parameters old_recipient.
old_recipient (optional)
Regulärer Ausdruck der die ursprüngliche E-Mail Adresse oder Teile davon beschreibt.
only_envelope (nur bei Verwenden des Parameters old_recipient möglich)
Im Standard wird bei Verwenden des Parameters old_recipient zusätzlich zum envelope
auch der TO- sowie CC-header der E-Mail geändert. Mit dem Setzen (1) dieses Parameters
wird das Ändern des TO-headers unterdrückt
Mögliche Werte:
true, yes oder 1
false, no oder 0
Beispiel 1
Zeile Code
01 replace_rcpt('[email protected]');
Erklärung
In diesem Beispiel wird der ursprüngliche Empfänger der E-Mail im envelope durch den
Empfänger "[email protected]" ersetzt.
Wäre beispielsweise der ursprünglich Empfänger der E-Mail "[email protected]", so würde
dieser entfernt und durch den neuen Empfänger (new_recipient) "[email protected]" ersetzt.
Somit wird die E-Mail an den neuen Empfänger "[email protected]" gesendet.
Beispiel 2
© 2016 SEPPmail AG
323
Zeile Code
01 replace_rcpt('@mydomain\.com', '@customer\.tld');
Erklärung
In diesem Beispiel wird im Parameter old_recipient der Domain-Anteil der ursprünglichen E-Mail
Adresse des/der Empfänger/s von '@mydomain.com' in den Wert des Paramaters new_recipient
, '@customer.tld', sowohl im envelope, als auch gegebenenfalls in den headern TO sowie CC
header geändert. Der Bestandteil der E-Mail Adresse vor dem '@' bleibt dabei unverändert. Falls
mehrere E-Mail Empfängeradressen vorhanden sind, würden alle Empfängeradressen welche auf
'@mydomain.com' enden '@customer.tld' geändert werden.
Beispiel 3
Zeile Code
01 replace_rcpt('(@.*)(\.waste\.tld$)', '$1',1);
Erklärung
In diesem komplexeren Beispiel wird jede E-Mail Adresse gefunden, welche auf .waste.tld endet.
Das $ Zeichen am Ende des Ausdrucks bedeutet, dass in der untersuchten E-Mail Adresse nach .
waste.tld keine weiteren Zeichen folgen dürfen. Der komplette Teil der E-Mail Adresse, welcher
sich vor der Endung .waste.tld befindet wird durch den Ausdruck @.* definiert und durch den
Einschluss in Klammern () abgegrenzt, um ihn als Variable $1 im Parameter new_recipient zu
verwenden.
Das heisst, mit dem genannten Beispiel wird von allen E-Mail Adressen, welche auf .waste.tld
enden, eben dieses abgeschnitten.
Somit würde beispielsweise die ursprüngliche Empfänger Adresse "[email protected]"
durch "[email protected]" ersetzt. Da zusätzlich der Parameter only_envelope auf 1 gesetzt
wurde, würde diese Änderung ausschliesslich den envelope der E-Mail, nicht jedoch die header
betreffen.
Beispiel 4
Zeile Code
01 replace_rcpt('(@mail\.)', '@');
Erklärung
In diesem Beispiel wird die Sub-Domäne "mail." aus der E-Mail Adresse entfernt.
Somit wird beispielsweise aus der ursprünglichen Empfängeradresse "[email protected]"
(old_recipient) "[email protected]" (new_recipient).
© 2016 SEPPmail AG
324
8.6.9.4
replace_sender()
Der Befehl replace_sender() verändert den Absender einer E-Mail.
Dieser Befehl ersetzt den ursprünglichen Absender einer E-Mail - je nach verwendeten Parametern im envelope beziehungsweise header.
Aufbau des Befehls
replace_sender(['old_sender',]'new_sender', ['only_envelope']);
Rückgabewert
positiv immer
Parameter
new_sender
Neue E-Mail Adresse (als String), wenn dies der einzige gesetzte Parameter ist. Es wird nur der
envelope der E-Mail behandelt.
Andernfalls können auch Teile ersetzt werden. Dies impliziert jedoch das Verwenden von
Regulären Ausdrücken und des Parameters old_sender.
old_sender (optional)
Regulärer Ausdruck der die ursprüngliche E-Mail Adresse oder Teile davon beschreibt.
only_envelope (nur bei Verwenden des Parameters old_sender möglich)
Im Standard wird bei Verwenden des Parameters old_sender zusätzlich zum envelope auch
der FROM-, REPLY-TO-" sowie SENDER-header der E-Mail geändert. Mit dem Setzen (1)
dieses Parameters wird das Ändern des FROM-headers unterdrückt
Mögliche Werte:
true, yes oder 1
false, no oder 0
Beispiel 1
Zeile Code
01 replace_sender('[email protected]');
Erklärung
In diesem Beispiel wird der ursprüngliche Sender der E-Mail im envelope durch den Sender "
[email protected]" ersetzt.
Wäre beispielsweise der ursprünglich Sender der E-Mail "[email protected]", so würde dieser
entfernt und durch den neuen Empfänger (new_sender) "[email protected]" ersetzt.
Beispiel 2
Zeile Code
01 replace_sender('@mydomain\.com', '@customer\.tld');
Erklärung
In diesem Beispiel wird im Parameter old_sender der Domain-Anteil der ursprünglichen E-Mail
Adresse des Senders von '@mydomain.com' in den Wert des Paramaters new_sender '
@customer.tld', sowohl im envelope, als auch in den headern geändert. Der Bestandteil der E-Mail
Adresse vor dem '@' bleibt dabei unverändert.
Beispiel 3
© 2016 SEPPmail AG
325
Zeile Code
01 replace_sender('(@.*)(\.waste\.tld$)', '$1',1);
Erklärung
In diesem komplexeren Beispiel wird der Sender einer E-Mail nur dann geändert, wenn dessen EMail Adresse mit .waste.tld endet. Das $ Zeichen am Ende des Ausdrucks bedeutet, dass in der
untersuchten E-Mail Adresse nach .waste.tld keine weiteren Zeichen folgen dürfen. Der komplette
Teil der E-Mail Adresse, welcher sich vor der Endung .waste.tld befindet wird durch den
Ausdruck @.* definiert und durch den Einschluss in Klammern () abgegrenzt, um ihn als Variable
$1 im Parameter new_recipient zu verwenden.
Das heisst, mit dem genannten Beispiel wird von E-Mail Adressen, welche auf .waste.tld enden,
eben dieses abgeschnitten.
Somit würde beispielsweise die ursprüngliche Absender Adresse "[email protected]"
durch "[email protected]" ersetzt. Da zusätzlich der Parameter only_envelope auf 1 gesetzt
wurde, würde diese Änderung ausschliesslich den envelope der E-Mail, nicht jedoch den FROMheader betreffen.
© 2016 SEPPmail AG
326
8.6.9.5
rmheader()
Der Befehl rmheader() löscht eine header oder X-headerZeile innerhalb einer E-Mail.
Aufbau des Befehls
rmheader('header');
Rückgabewert
positiv immer
Parameter
header
Angabe des zu löschenden headers oder x-headers an.
Mögliche Werte
return-path
date
from
sender
reply-to
to
cc
bcc
subject
beliebiger x-header
Hinweis:
Falls mehrere header mit dem unter header angegebenen Namen
existieren, werden alle zutreffenden header gelöscht. Gross-/Kleinschreibung
spielt dabei keine Rolle.
Beispiel 1
Zeile Code
01 rmheader('X-Greylist');
Erklärung
In diesem Beispiel werden alle X-Greylist header entfernt.
© 2016 SEPPmail AG
327
8.6.9.6
setheader()
Der Befehl setheader() fügt eine header-Zeile innerhalb einer E-Mail hinzu oder verändert eine
vorhandene.
Aufbau des Befehls
setheader('header', 'value');
Rückgabewert
positiv immer
Parameter
header
Angabe des headers oder x-headers der hinzugefügt oder geändert werden soll.
Mögliche Werte
return-path
date
from
sender
reply-to
to
cc
bcc
subject
beliebiger x-header
Hinweis:
Falls mehrere header mit dem unter header angegebenen Namen
existieren, wird der jeweils erste gefundene header angepasst.
value
Angabe des Wertes, den der header annehmen soll.
Beispiel 1
Zeile Code
01 setheader('x-smenc','yes');
Erklärung
In diesem Beispiel wird einer E-Mail der zusätzliche header x-smenc mit dem Wert 'yes'
hinzugefügt.
Beispiel 2
Zeile Code
01 setheader('from','[email protected]');
Erklärung
In diesem Beispiel wird in einer E-Mail der FROM-header auf dem Wert '[email protected]'
geändert.
© 2016 SEPPmail AG
328
8.6.9.7
splitrecipients()
Der Befehl splitrecipients() erzeugt für jeden Empfänger einer E-Mail eine separate E-Mail.
Aufbau des Befehls
splitrecipients(['set_to']);
Rückgabewert
positiv immer
Parameter
(neu in 7.4.8)
set_to
Durch Aktivieren dieses Parameters taucht im TO-header jeder Einzel-E-Mail nur noch der
Empfänger der jeweiligen E-Mail auf.
Dies ist zum Beispiel für den Versand von Newslettern hilfreich.
Mögliche Werte:
true, yes oder 1
false, no oder 0
Hinweis:
Die Funktion ist vor allem für den Newsletter Versand gedacht, bei welchen vor
allem aus AntiSpam-Gründen jedoch einzelne Mails mit richtigem TO-header
benötigt werden.
Für Eintrage aus dem CC-header wird ebenfalls je eine separate E-Mail mit
entsprechendem TO-header generiert. Einträge im CC-header bleiben erhalten.
© 2016 SEPPmail AG
329
8.6.9.8
tagsubject()
Der Befehl tagsubject() fügt dem Betreff einer E-Mail den zu definierenden Text hinzu.
Aufbau des Befehls
tagsubject('text');
Rückgabewert
positiv immer
Parameter
text
Der Parameter gibt den Text (Zeichenkette) an, der am Ende der Betreffzeile angehängt wird.
Beispiel 1
Zeile Code
01 tagsubject('[priv]');
Erklärung
In diesem Beispiel wird an den Inhalt der Betreffzeile einer E-Mail die Zeichenkette '[priv]' am Ende
angehängt. Dadurch würdebei entsprechender Platzierung im Ruleset (siehe Custom
Commands 180 ) bei Standard Einstellungen und aktivierter Option "Always use GINA technology
for mails with the following text in subject:" (siehe Mail Processing 160 Ruleset generator 171
Encryption / Decryption 171 Outgoing e-mails) das Verschlüsseln einer ausgehenden E-Mail
über die GINA-Technologie erzwungen werden.
8.6.9.9
tag_subject() wurde ersetzt!!!
Der Befehl tag_subject() wurde durch tagsubject() (siehe tagsubject 329 ) ersetzt und ist nicht
länger gültig.
© 2016 SEPPmail AG
330
8.6.10 Kryptographische Behandlung
8.6.10.1 openPGP
8.6.10.1.1 attachpgpkey()
Der Befehl attachpgpkey() hängt den OpenPGP-Public-Key des Absenders (User) an eine E-Mail
an.
Dieser Befehl hängt den OpenPGP-Public-Key des Absenders (interner Benutzer in der Appliance aus
dem Menü Users 254 ) an eine E-Mail als Dateianhang an, um diesen dem Empfänger bereit zu
stellen.
Hinweis:
Das Verteilen des öffentlichen OpenPGP Schlüssels an Kommunikationspartner
impliziert immer, dass die Prüfsumme (Hash) dieses Schlüssels vor dem Verwenden
durch den Kommunikationspartner auf einem zweiten Kanal - zum Beispiel per
Telefon - im Nachgang geprüft wird. Dies ist erforderlich, um die Integrität des
Schlüssels sicherzustellen.
Aus diesem Grund wird empfohlen,das zur Verfügung stellen von OpenPGP
Schlüsseln über die GINA-Technologie zu realisieren (siehe Mail Processing 160
GINA domains 160 Edit Edit GINA settings 186 Extended settings 187 Enable
key search and management in GINA).
Aufbau des Befehls
attachpgpkey();
Rückgabewert
positiv immer
Parameter
keine
Beispiel 1
Zeile Code
01 if (pgp_secret_keys_avail()) {
02
attachpgpkey();
03 } else {
04 }
Erklärung
In diesem Beispiel wird zunächst geprüft, ob der Absender über ein OpenPGP Schlüsselpaar auf
der Appliance verfügt (Zeile 01). Ist dies der Fall, so wird der ausgehenden E-Mail der öffentliche
OpenPGP Schlüssel angehängt (Zeile 02).
© 2016 SEPPmail AG
331
8.6.10.1.2 pgp_encrypted()
Der Befehl pgp_encrypted() prüft, ob eine E-Mail OpenPGP verschlüsselt ist.
Dieser Befehl prüft, ob eine E-Mail OpenPGP verschlüsselt ist. Dabei spielt die Art der
Verschlüsselung (Domänen oder Benutzer basiert) keine Rolle.
Aufbau des Befehls
pgp_encrypted();
Rückgabewert
positiv wenn die E-Mail OpenPGP verschlüsselt ist
negativ wenn die E-Mail nicht OpenPGP verschlüsselt ist
Parameter
keine
Beispiel 1
Zeile Code
01 if (pgp_encrypted()) {
02
log(1, 'e-mail is OpenPGP encrypted');
03
if (decrypt_domain_pgp()) {
04
log(1, 'mail successfully OpenPGP domain decrypted');
05
} else {
06
log(1, 'mail could not be OpenPGP domain decrypted');
07
if (decrypt_pgp()) {
08
log(1, 'mail successfully OpenPGP decrypted');
09
} else {
10
log(1, 'mail could not be OpenPGP decrypted');
11
}
12
}
13 } else {
14
log(1, 'e-mail is not OpenPGP encrypted');
15 }
Erklärung
In diesem Beispiel wird zunächst geprüft, ob eine E-Mail OpenPGP verschlüsselt ist (Zeile 01) und
ein entsprechender ein Log Eintrag geschrieben (Zeile 02 und 14). Ist die E-Mail OpenPGP
verschlüsselt, so wird zunächst versucht die E-Mail mit dem privaten OpenPGP Domänen
Schlüssel zu entschlüsseln (Zeile 03) und Erfolg beziehungsweise Misserfolg protokolliert wird
(Zeile 04 und 06).
Konnte nicht mit dem privaten OpenPGP Domänen Schlüssel entschlüsselt werden, so wird nun
versucht mit einem Benutzer basierten, privaten OpenPGP Schlüssel zu entschlüsseln (Zeile 07).
Das Ergebnis dieser Aktion wird ebenfalls protokolliert (Zeile 08 und 10).
© 2016 SEPPmail AG
332
8.6.10.1.3 Domänen basiert
8.6.10.1.3.1 decrypt_domain_pgp()
Der Befehl decrypt_domain_pgp() entschlüsselt OpenPGP Domänen verschlüsselte E-Mails.
Dieser Befehl versucht eingehende OpenPGP Domänen verschlüsselten Texte und Anlagen einer EMail zu entschlüsseln, die durch den Absender mittels öffentlichen OpenPGP Domänen Schlüssel
(siehe Mail System 137 Managed domains 137 Edit managed domain 151 OpenPGP Domain
Encryption 151 ) verschlüsselt wurden.
Aufbau des Befehls
decrypt_domain_pgp();
Rückgabewert
positiv wenn mindestens ein Text oder eine Anlage entschlüsselt werden wurde
negativ wenn das Entschlüsseln fehlgeschlagen ist.
Parameter
keine
Beispiel 1
Zeile Code
01 if (decrypt_domain_pgp()) {
02
log(1, 'mail successfully OpenPGP domain decrypted');
03 } else {
04
log(1, 'mail could not be OpenPGP domain decrypted');
05 }
Erklärung
In diesem Beispiel wird eine OpenPGP Domänen verschlüsselte E-Mail entschlüsselt (Zeile 01).
Erfolg beziehungsweise Misserfolg des Entschlüsselns wird protokolliert (Zeile 02 und 04).
© 2016 SEPPmail AG
333
8.6.10.1.3.2 domain_pgp_keys_avail()
Der Befehl domain_pgp_keys_avail() prüft die Verfügbarkeit von öffentlichen OpenPGP
Domänen Schlüsseln.
Dieser Befehl prüft die Verfügbarkeit öffentlicher OpenPGP Domänen Schlüssel (siehe Domain
Certificates 271 OpenPGP Domain Keys 271 ) der Empfänger für das Verschlüsseln ausgehender
E-Mails.
Aufbau des Befehls
domain_pgp_keys_avail();
Rückgabewert
positiv für die Gruppe mit vorhandenem öffentlichen OpenPGP Domänen Schlüssel
negativ für die Gruppe ohne öffentlichen OpenPGP Domänen Schlüssel
Parameter
keine
Beispiel 1
Zeile Code
01 if (domain_pgp_keys_avail()) {
02
log(1, 'OpenPGP domain key available for recipient(s) $to');
03
if (encrypt_domain_pgp()) {
04
log(1, 'mail successfully OpenPGP domain encrypted');
05
} else {
06
log(1, 'mail could not be OpenPGP domain encrypted');
07
}
08 } else {
log(1, 'no OpenPGP domain key available for
09
recipient(s) $to');
10 }
Erklärung
In diesem Beispiel wird zunächst geprüft, ob ein passender öffentlicher OpenPGP Domänen
Schlüssel für das Verschlüsseln zur Verfügung steht (Zeile 01). Das Ergebnis dieser Abfrage wird
protokolliert (Zeile 02 und 09). Steht ein entsprechender Schlüssel zur Verfügung, wird mit dem
Verschlüsseln fortgefahren (Zeile 03), dessen Erfolg beziehungsweise Misserfolg ebenfalls
protokolliert wird (Zeile 04 und 06).
© 2016 SEPPmail AG
334
8.6.10.1.3.3 encrypt_domain_pgp()
Der Befehl encrypt_domain_pgp() verschlüsselt E-Mails mittels OpenPGP
Domänenverschlüsselung.
Dieser Befehl verschlüsselt alle Texte und Anlagen ausgehender E-Mails via OpenPGP
Domänenverschlüsselung. Dabei wird das OpenPGP-Inline Verfahren genutzt.
Stehen nicht für alle Empfänger der E-Mail Domäne öffentliche OpenPGP Domänen Schlüssel (siehe
Domain Certificates 271 OpenPGP Domain Keys 271 ) für das Verschlüsseln bereit, so werden
zwei Gruppen gebildet.
Aufbau des Befehls
encrypt_domain_pgp();
Rückgabewert
für die Gruppe der Empfänger, für die verschlüsselt werden konnte
positiv
negativ für die Gruppe der Empfänger, bei denen das Verschlüsseln nicht möglich gewesen ist
Parameter
keine
Beispiel 1
Zeile Code
01 if (encrypt_domain_pgp()) {
02
log(1, 'mail successfully OpenPGP domain encrypted');
03 } else {
04
log(1, 'mail could not be OpenPGP domain encrypted');
05 }
Erklärung
In diesem Beispiel wird versucht eine E-Mail mittels öffentlichen OpenPGP Domänen Schlüssel
des Kommunikationspartners zu Verschlüsseln (Zeile 01). Erfolg beziehungsweise Misserfolg der
Aktion wird protokolliert (Zeile 02 und 04).
© 2016 SEPPmail AG
335
8.6.10.1.4 Benutzer basiert
8.6.10.1.4.1 decrypt_pgp()
Der Befehl decrypt_pgp() entschlüsselt OpenPGP verschlüsselte E-Mails.
Dieser Befehl versucht alle OpenPGP verschlüsselten Texte und Anlagen einer eingehenden E-Mail
zu entschlüsseln, die durch den Absender mittels des persönlichen öffentlichen OpenPGP Schlüssels
des Empfängers (siehe Users 251 User details 252 OpenPGP 254 ) verschlüsselt wurden.
Aufbau des Befehls
decrypt_pgp();
Rückgabewert
positiv wenn mindestens ein Text oder eine Anlage entschlüsselt werden konnte
negativ wenn das Entschlüsseln fehlgeschlagen ist.
Parameter
keine
Beispiel 1
Zeile Code
01 if (decrypt_pgp()) {
02
log(1, 'mail successfully OpenPGP decrypted');
03 } else {
04
log(1, 'mail could not be OpenPGP decrypted');
05 }
Erklärung
In diesem Beispiel wird eine Benutzer basiert OpenPGP verschlüsselte E-Mail entschlüsselt (Zeile
01). Erfolg beziehungsweise Misserfolg des Entschlüsselns wird protokolliert (Zeile 02 und 04).
© 2016 SEPPmail AG
336
8.6.10.1.4.2 pgp_keys_avail()
Der Befehl pgp_keys_avail() prüft die Verfügbarkeit von öffentlichen OpenPGP Schlüsseln.
Dieser Befehl prüft die Verfügbarkeit personenbezogener öffentlicher OpenPGP Schlüssel der
Empfänger (siehe OpenPGP public keys 264 ) für das Verschlüsseln ausgehender E-Mails.
Aufbau des Befehls
pgp_keys_avail();
Rückgabewert
positiv für die Gruppe mit vorhandenem öffentlichen OpenPGP Schlüssel
negativ für die Gruppe ohne öffentlichen OpenPGP Schlüssel
Parameter
keine
Beispiel 1
Zeile Code
01 if (pgp_keys_avail()) {
02
log(1, 'OpenPGP key available for recipient(s) $to');
03
if (encrypt_pgp()) {
04
log(1, 'mail successfully OpenPGP encrypted');
05
} else {
06
log(1, 'mail could not be OpenPGP encrypted');
07
}
08 } else {
09
log(1, 'no OpenPGP key available for recipient(s) $to');
10 }
Erklärung
In diesem Beispiel wird zunächst geprüft, ob ein passender, Benutzer basierter öffentlicher
OpenPGP Schlüssel für das Verschlüsseln zur Verfügung steht (Zeile 01). Das Ergebnis dieser
Abfrage wird protokolliert (Zeile 02 und 09). Steht ein entsprechender Schlüssel zur Verfügung,
wird mit dem Verschlüsseln fortgefahren (Zeile 03), dessen Erfolg beziehungsweise Misserfolg
ebenfalls protokolliert wird (Zeile 04 und 06).
© 2016 SEPPmail AG
337
8.6.10.1.4.3 encrypt_pgp()
Der Befehl encrypt_pgp() ermöglicht es, E-Mails via OpenPGP zu verschlüsseln und zu signieren.
Dieser Befehl verschlüsselt alle Texte und Anlagen einer ausgehenden E-Mail mit dem öffentlichen
OpenPGP Schlüssel des Empfängers (siehe OpenPGP public keys 264 ). Dabei wird das
OpenPGP-Inline Verfahren genutzt. Optional kann zusätzlich mit dem privaten OpenPGP Schlüssel
des Absenders (siehe Users 251 User details 252 OpenPGP 254 ) signiert werden.
Stehen nicht für alle Empfänger öffentliche OpenPGP Schlüssel bereit, so werden zwei Gruppen
gebildet.
Aufbau des Befehls
encrypt_pgp(['sign'], ['address']);
Rückgabewert
für die Gruppe der Empfänger, für die verschlüsselt werden konnte, unabhängig ob das
positiv
optionale Signieren erfolgreich war
Parameter
sign
Dieser Parameter entscheidet, ob die E-Mail mit dem privaten OpenPGP Schlüssel des
Absenders signiert werden soll.
Mögliche Werte:
true, yes oder1
false, no oder 0
address
E-Mail Adresse des Empfängers, dessen öffentlicher OpenPGP Schlüssel für das Verschlüsseln
verwendet werden soll.
Wird kein Parameter angegeben, so wird der öffentliche OpenPGP Schlüssel des jeweiligen
Empfängers verwendet.
Beispiel 1
Zeile Code
01 encrypt_pgp('yes', '[email protected]');
Erklärung
In diesem Beispiel wird versucht alle Texte und Anlagen einer E-Mail zu verschlüsseln und zu
signieren, da der Parameter sign den Wert 'yes' hat. Für das Verschlüsseln wird der öffentliche
OpenPGP Schlüssel des durch den Parameter address spezifizierten Empfängers verwendet. Im
Beispiel '[email protected]'.
© 2016 SEPPmail AG
338
8.6.10.2 S/MIME
8.6.10.2.1 smime_encrypted()
Der Befehl smime_encrypted() prüft, ob eine E-Mail S/MIME verschlüsselt ist.
Aufbau des Befehls
smime_encrypted();
Rückgabewert
positiv wenn die E-Mail S/MIME verschlüsselt ist
negativ wenn die E-Mail nicht S/MIME verschlüsselt ist
Parameter
keine
Beispiel 1
Zeile Code
01 if (smime_encrypted()) {
02
log(1, 'e-mail is S/MIME encrypted');
03
if (decrypt_domain_smime()) {
04
log(1, 'mail successfully S/MIME domain decrypted');
05
} else {
06
log(1, 'mail could not be S/MIME domain decrypted');
07
if (decrypt_smime()) {
08
log(1, 'mail successfully S/MIME decrypted');
09
} else {
10
log(1, 'mail could not be S/MIME decrypted');
11
}
12
}
13 } else {
14
log(1, 'mail is not S/MIME encrypted');
15 }
Erklärung
In diesem Beispiel wird zunächst geprüft, ob eine E-Mail S/MIME verschlüsselt ist (Zeile 01) und
ein entsprechender ein Log Eintrag geschrieben (Zeile 02 und 14). Ist die E-Mail S/MIME
verschlüsselt, so wird zunächst versucht die E-Mail mit dem privaten S/MIME Domänen Schlüssel
zu entschlüsseln (Zeile 03) und Erfolg beziehungsweise Misserfolg protokolliert wird (Zeile 04 und
06).
Konnte nicht mit dem privaten S/MIME Domänen Schlüssel entschlüsselt werden, so wird nun
versucht mit einem Benutzer basierten, privaten S/MIME Schlüssel zu entschlüsseln (Zeile 07).
Das Ergebnis dieser Aktion wird ebenfalls protokolliert (Zeile 08 und 10).
© 2016 SEPPmail AG
339
8.6.10.2.2 Domänen basiert
8.6.10.2.2.1 decrypt_domain_smime()
Der Befehl decrypt_domain_smime() entschlüsselt S/MIME Domänen verschlüsselte E-Mails.
Dieser Befehl versucht eingehende S/MIME Domänen verschlüsselte E-Mails zu entschlüsseln, die
durch den Absender mittels öffentlichen S/MIME Domänen Schlüssel (siehe Mail System 137
Managed domains 137 Edit managed domain 151 S/MIME Domain Encryption 151 )
Aufbau des Befehls
decrypt_domain_smime([keydomain]);
Rückgabewert
positiv wenn die E-Mail entschlüsselt werden konnte
negativ wenn das Entschlüsseln der E-Mail fehlgeschlagen ist.
Parameter
keydomain (optional)
An dieser Stelle kann die managed domain angegeben werden, deren Domain Keys für das
entschlüsseln von E-Mails verwendet werden sollen.
Beispiel 1
Zeile Code
01 if (decrypt_domain_smime()) {
02
log(1, 'mail successfully S/MIME domain decrypted');
03 } else {
04
log(1, 'mail could not be S/MIME domain decrypted');
05 }
Erklärung
In diesem Beispiel wird eine S/MIME Domänen verschlüsselte E-Mail entschlüsselt (Zeile 01).
Erfolg beziehungsweise Misserfolg des Entschlüsselns wird protokolliert (Zeile 02 und 04).
© 2016 SEPPmail AG
340
8.6.10.2.2.2 domain_smime_keys_avail()
Der Befehl domain_smime_keys_avail() prüft die Verfügbarkeit von öffentlichen S/MIME
Domänen Schlüsseln (Zertifikaten).
Dieser Befehl prüft die Verfügbarkeit von Domänen Zertifikaten (siehe Domain certificates 272
SMIME domain certificates 272 beziehungsweise Managed domain certificates 272 ) der
Empfänger für das Verschlüsseln ausgehender E-Mails.
Aufbau des Befehls
domain_smime_keys_avail();
Rückgabewert
positiv für die Gruppe mit vorhandenem S/MIME Domänen Zertifikat
negativ für die Gruppe ohne S/MIME Domänen Zertifikat
Parameter
keine
Beispiel 1
Zeile Code
01 if (domain_smime_keys_avail()) {
log(1, 'S/MIME domain certificate available for
02
recipient(s) $to');
03
if (encrypt_domain_smime()) {
04
log(1, 'mail successfully S/MIME domain encrypted');
05
} else {
06
log(1, 'mail could not be S/MIME domain encrypted');
07
}
08 } else {
log(1, 'S/MIME domain certificate available for
09
recipient(s) $to');
10 }
Erklärung
In diesem Beispiel wird zunächst geprüft, ob ein passendes S/MIME Domänen Zertifikat das
Verschlüsseln zur Verfügung steht (Zeile 01). Das Ergebnis dieser Abfrage wird protokolliert (Zeile
02 und 09). Steht ein entsprechender Schlüssel zur Verfügung, wird mit dem Verschlüsseln
fortgefahren (Zeile 03), dessen Erfolg beziehungsweise Misserfolg ebenfalls protokolliert wird
(Zeile 04 und 06).
© 2016 SEPPmail AG
341
8.6.10.2.2.3 encrypt_domain_smime()
Der Befehl encrypt_domain_smime() verschlüsselt E-Mails mittels S/MIME
Domänenverschlüsselung.
Dieser Befehl verschlüsselt die komplette ausgehende E-Mail via S/MIME Domänenverschlüsselung.
Davon ausgenommen sind lediglich E-Mail header, da diese unter anderem für den E-Mail Transport
benötigt werden.
Stehen nicht für alle Empfänger der E-Mail Domäne öffentliche S/MIME Domänen Schlüssel (
Zertifikate) für das Verschlüsseln bereit (siehe Domain certificates 272 SMIME domain
certificates 272 beziehungsweise Managed domain certificates 272 ), so werden zwei Gruppen
gebildet.
Aufbau des Befehls
encrypt_domain_smime(['cipher']);
Rückgabewert
positiv
Parameter
cipher (optional)
Dieser Paramater erzwingt das Verschlüsseln mit dem jeweils angegebenen
Verschlüsselungsalgorithmus (3DES beziehungsweise AES256).
Mögliche Werte:
des3
aes256
Standardeinstellung ist des3
Beispiel 1
Zeile Code
01 if (encrypt_domain_smime()) {
02
log(1, 'mail successfully S/MIME domain encrypted');
03 } else {
04
log(1, 'mail could not be S/MIME domain encrypted');
05 }
Erklärung
In diesem Beispiel wird versucht eine E-Mail mittels S/MIME Domänen Zertifikat des
Kommunikationspartners zu Verschlüsseln (Zeile 01). Erfolg beziehungsweise Misserfolg der
© 2016 SEPPmail AG
342
8.6.10.2.3 Benutzer basiert
8.6.10.2.3.1 decrypt_smime()
Der Befehl decrypt_smime() entschlüsselt S/MIME verschlüsselte E-Mails.
Dieser Befehl entschlüsselt eingehende E-Mails, welche durch den Absender mittels des persönlichen
öffentlichen S/MIME Schlüssel (Zertifikat) des Empfängers (siehe Users 251 User details 252 S/
MIME 253 ) verschlüsselt wurden.
Aufbau des Befehls
decrypt_smime();
Rückgabewert
positiv wenn die E-Mail entschlüsselt wurde
negativ wenn das Entschlüsseln der E-Mail fehlgeschlagen ist.
Parameter
keine
Beispiel 1
Zeile Code
01 if (decrypt_smime()) {
02
log(1, 'mail successfully S/MIME decrypted');
03 } else {
04
log(1, 'mail could not be S/MIME decrypted');
05 }
Erklärung
In diesem Beispiel wird eine Benutzer basiert S/MIME verschlüsselte E-Mail entschlüsselt (Zeile
01). Erfolg beziehungsweise Misserfolg des Entschlüsselns wird protokolliert (Zeile 02 und 04).
© 2016 SEPPmail AG
343
8.6.10.2.3.2 smime_keys_avail()
Der Befehl smime_keys_avail() prüft die Verfügbarkeit von öffentlichen S/MIME Schlüsseln
(Zertifikate).
Dieser Befehl prüft die Verfügbarkeit personenbezogener Zertifikate der Empfänger (siehe X.509
Certificates 265 ) für das Verschlüsseln ausgehender E-Mails.
Aufbau des Befehls
smime_keys_avail();
Rückgabewert
positiv für die Gruppe mit vorhandenem S/MIME Zertifikat
negativ für die Gruppe ohne S/MIME Zertifikat
Parameter
keine
Beispiel 1
Zeile Code
01 if (smime_keys_avail()) {
02
log(1, 'S/MIME certificate available for recipient(s) $to');
03
if (encrypt_smime()) {
04
log(1, 'mail successfully S/MIME encrypted');
05
} else {
06
log(1, 'mail could not be S/MIME encrypted');
07
}
08 } else {
log(1, 'no S/MIME certificate available for
09
recipient(s) $to');
10 }
Erklärung
In diesem Beispiel wird zunächst geprüft, ob ein passendes, Benutzer basiertes S/MIME Zertifikat
für das Verschlüsseln zur Verfügung steht (Zeile 01). Das Ergebnis dieser Abfrage wird
protokolliert (Zeile 02 und 09). Steht ein entsprechender Schlüssel zur Verfügung, wird mit dem
Verschlüsseln fortgefahren (Zeile 03), dessen Erfolg beziehungsweise Misserfolg ebenfalls
protokolliert wird (Zeile 04 und 06).
© 2016 SEPPmail AG
344
8.6.10.2.3.3 encrypt_smime()
Der Befehl encrypt_smime() verschlüsselt E-Mails mittels S/MIME.
Dieser Befehl verschlüsselt die komplette ausgehende E-Mail via S/MIME. Davon ausgenommen sind
lediglich E-Mail header, da diese unter anderem für den E-Mail Transport benötigt werden.
Stehen nicht für alle Empfänger der E-Mail personenbezogene öffentliche S/MIME Schlüssel (
Zertifikate) für das Verschlüsseln bereit (siehe X.509 Certificates 265 ), so werden zwei Gruppen
gebildet.
Aufbau des Befehls
encrypt_smime(['internal'], ['host'], ['cipher']);
Rückgabewert
positiv
Parameter
internal (optional)
Dieser Parameter gibt an, ob die E-Mail nach intern mittels S/MIME verschlüsselt werden soll
(siehe auch Internal Mail Encryption (IME) 58 )
Mögliche Werte:
true, yes oder 1
false, no oder 0
host (optional)
Herstellerspezifischer Parameter
cipher (optional)
Dieser Paramater erzwingt das Verschlüsseln mit dem jeweils angegebenen
Verschlüsselungsalgorithmus (3DES beziehungsweise AES256).
Mögliche Werte:
des3
aes256
Standardeinstellung ist des3
Beispiel 1
Zeile Code
01 if (encrypt_smime()) {
02
log(1, 'mail successfully S/MIME encrypted');
03 } else {
04
log(1, 'mail could not be S/MIME encrypted');
05 }
Erklärung
In diesem Beispiel wird versucht eine E-Mail mittels Benutzer basiertem S/MIME Zertifikat des
Kommunikationspartners zu Verschlüsseln (Zeile 01). Erfolg beziehungsweise Misserfolg der
© 2016 SEPPmail AG
345
8.6.10.2.3.4 smime_signed()
Der Befehl smime_signed() prüft, ob eine E-Mail S/MIME signiert ist.
Aufbau des Befehls
smime_signed();
Rückgabewert
positiv wenn die E-Mail S/MIME signiert ist
negativ wenn die E-Mail nicht S/MIME signiert ist
Parameter
keine
Beispiel 1
Zeile Code
01 if (smime_signed()) {
02
log(1, 'e-mail is S/MIME signed');
03
if (validate_smime_sig('1') {
04
log(1, 'signature is valid');
05
} else {
06
log(1, 'signature is invalid');
07
}
08 } else {
09
log(1, 'e-mail is not S/MIME signed');
10 }
Erklärung
In diesem Beispiel wird zunächst geprüft, ob eine E-Mail S/MIME signiert ist (Zeile 01) und ein
entsprechender ein Log Eintrag geschrieben (Zeile 2 und 9). Ist die E-Mail S/MIME signiert, so
wird Signatur geprüft (Zeile 03) und Erfolg beziehungsweise Misserfolg protokolliert wird (Zeile 04
und 06).
© 2016 SEPPmail AG
346
8.6.10.2.3.5 validate_smime_sig()
Der Befehl validate_smime_sig() prüft die S/MIME Signatur einer E-Mail auf ihre Gültigkeit.
Für das Prüfen der Signatur wird der Absender im envelope der E-Mail herangezogen.
Aufbau des Befehls
validate_smime_sig('fetch_certificate');
Rückgabewert
positiv wenn folgende Bedingungen erfüllt sind:
die E-Mail ist unverändert
der Signatur-Schlüssel ist gültig, das heisst er
er stammt von einer als vertrauenswürdig eingestuften Certificate Authority
(CA)
hat das Ablaufdatum noch nicht überschritten
ist auf keiner der Appliance bekannten Certificate Revocation List (CRL)
aufgeführt
negativ
wenn eine der Bedingungen nicht erfüllt ist
Parameter
fetch_certificate (optional)
Dieser Parameter gibt an, ob bei der in der Signatur enthaltene öffentliche Schlüssel (Zertifikat)
des Absenders gespeichert werden soll (siehe X.509 Certificates 265 ). Gespeichert werden nur
Zertifikate, deren Zertifikatskette bekannt ist (siehe X.509 Root Certificates 267 ). Dies
unabhängig davon, ob die E-Mail verändert wurde oder nicht
Mögliche Werte:
true, yes oder 1
false, no oder 0
Beispiel 1
Zeile Code
01 if (validate_smime_sig('1')) {
02
03 } else {
04
05 }
Erklärung
In diesem Beispiel wird die S/MIME Signatur einer E-Mail geprüft (Zeile 01) und Erfolg
beziehungsweise Misserfolg protokolliert wird (Zeile 02 und 04).
© 2016 SEPPmail AG
347
8.6.10.2.3.6 delete_smime_sig()
Der Befehl delete_smime_sig() ermöglicht es, die S/MIME-Signatur einer E-Mail zu löschen.
Dieser Befehl löscht eine Signatur aus der signierten E-Mail.
Hinweis:
Die Gültigkeit der S/MIME-Signatur wird nicht geprüft.
Aufbau des Befehls
delete_smime_sig();
Rückgabewert
positiv wenn die E-Mail S/MIME signiert war
negativ wenn die E-Mail nicht S/MIME signiert war
Parameter
keine
Beispiel 1
Zeile Code
01 if (validate_smime_sig('1')) {
02
03
delete_smime_sig();
04 } else {
05
06 }
Erklärung
In diesem Beispiel wird die S/MIME Signatur einer E-Mail geprüft (Zeile 01) und Erfolg
beziehungsweise Misserfolg protokolliert wird (Zeile 02 und 05). Wurde die Signatur als gültig
eingestuft, so wird sie gelöscht (Zeile 03).
© 2016 SEPPmail AG
348
8.6.10.2.3.7 has_smime_key()
Der Befehl has_smime_key() prüft, ob der Benutzer einen gültigen privaten S/MIME-Schlüssel
besitzt.
Dieser Befehl prüft, ob interner Benutzer der Appliance (siehe Users 251 User details 252 S/MIME
253 ) einen gültigen privaten S/MIME-Schlüssel besitzt.
Aufbau des Befehls
has_smime_key();
Rückgabewert
positiv wenn der Benutzer einen gültigen privaten S/MIME-Schlüssel besitzt
negativ wenn der Benutzer
keine oder nur abgelaufene S/MIME-Schlüssel besitzt.
auf den Status may not encrypt gesetzt ist.
auf den Status may not sign gesetzt ist.
Parameter
keine
Beispiel 1
Zeile Code
01 if (has_smime_key()){
02
log(1, 'S/MIME key available, trying to sign');
03
if (sign_smime()) {
04
log(1, 'signing successful');
05
} else {
06
log(1, 'signing failed');
07
}
08 } else {
09
log(1, 'no S/MIME key available, do not sign');
10 }
Erklärung
In diesem Beispiel wird zunächst geprüft, ob ein privater S/MIME Schlüssel verfügbar ist (Zeile 01)
. Das Ergebnis wird protokolliert (Zeile 02 und 09). Ist ein privater S/MIME Schlüssel vorhanden,
so wird versucht die E-Mail zu signieren (Zeile 03) und das Ergebnis dieser Aktion wird ebenfalls
in das Log geschrieben (Zeile 04 beziehungsweise 06).
© 2016 SEPPmail AG
349
8.6.10.2.3.8 sign_smime()
Der Befehl sign_smime() signiert eine E-Mail.
Dieser Befehl signiert die ausgehende E-Mail mit dem persönlichen privaten S/MIME Schlüssels des
Absenders (siehe Users 251 User details 252 S/MIME 253 ) aus dem envelope der E-Mail.
Aufbau des Befehls
sign_smime(['hash']);
Rückgabewert
positiv wenn die Nachricht erfolgreich signiert wurde
negativ bei Fehlschlagen der Signatur
Parameter
hash
Durch setzten dieses Parameters wird beim Signieren der neuere SHA256 anstatt des SHA1
Hash-Algorithmus verwendet.
Beispiel 1
Zeile Code
01 if (has_smime_key()) {
02
03
if (sign_smime()) {
04
05
} else {
06
07
}
08 } else {
09
log(1, 'no S/MIME key available, do not sign');
10 }
Erklärung
In diesem Beispiel wird zunächst geprüft, ob ein privater S/MIME Schlüssel verfügbar ist (Zeile 01)
. Das Ergebnis wird protokolliert (Zeile 02 und 09). Ist ein privater S/MIME Schlüssel vorhanden,
so wird versucht die E-Mail zu signieren (Zeile 03) und das Ergebnis dieser Aktion wird ebenfalls
in das Log geschrieben (Zeile 04 beziehungsweise 06).
© 2016 SEPPmail AG
350
8.6.10.3 GINA
8.6.10.3.1 encrypt_webmail()
Der Befehl encrypt_webmail() verschlüsselt eine E-Mail unter Verwendung der GINATechnologie.
Dieser Befehl verschlüsselt eine ausgehende Nachricht via GINA-Technologie an die
Empfängeradresse.
Die Empfänger- sowie die Absenderadresse wird aus der aktuell verarbeiteten Nachricht für die GINATragermail entnommen.
Nach dem verschlüsseln einer Nachricht mittels GINA-Technologie sollte diese immer direkt mit
deliver() versendet werden.
Aufbau des Befehls
encrypt_webmail(['template']);
Rückgabewert
positiv bei erfolgreicher GINA-Verschlüsselung
negativ bei fehlgeschlagener GINA-Verschlüsselung
Parameter
template (optional)
Definiert das angelegte GINA-Profil beziehungsweise die GINA-Domain.
Wird kein Parameter angegeben, so wird die Vorlage anhand der E-Mail Domäne der
Absenderadresse ausgewählt (siehe Mail System 137 Managed domains 137 Edit GINA
settings 147 GINA and disclaimer settings 152 Use GINA settings)
Beispiel 1
Zeile Code
01 if (encrypt_webmail()) {
02
log(1, 'mail successfully GINA encrypted');
03
deliver();
04 } else {
05
log(1, 'mail could not be GINA encrypted');
drop('451', 'Die Nachricht konnte nicht verschluesselt
06
werden');
07 }
Erklärung
In diesem Beispiel wird versucht eine E-Mail mittels <%OEM-WEBMAIL-GINA%-Technologie zu
Verschlüsseln (Zeile 01). Erfolg beziehungsweise Misserfolg der Aktion wird protokolliert (Zeile 02
und 05). Bei erfolgreichem Verschlüsseln wird die E-Mail - wie empfohlen - direkt ausgeliefert
(Zeile 03). Andernfalls wird sie mit dem temporären Fehler "451" und dem Hinweistext "Die
Nachricht konnte nicht verschluesselt werden" abgewiesen (Zeile 06).
© 2016 SEPPmail AG
351
8.6.10.3.2 change_webmail_sender()
Der Befehl change_webmail_sender() tauscht den Absender einer GINA-Träger-E-Mail gegen
eine vorzugebende Adresse aus.
Durch diesen Befehl kann nach erfolgter GINA-Verschlüsselung die Absender Adresse der GINATräger-E-Mail zum Beispiel durch eine zentrale Absender Adresse ersetzt werden.
Aufbau des Befehls
change_webmail_sender('sender');
Rückgabewert
positiv bei erfolgreicher Änderung des GINA-Träger-E-Mail Absenders - auch wenn es bereits
der selbe Absender war.
negativ wenn der Absender nicht geändert werden konnte
Parameter
sender (optional)
Gibt die Absender E-Mail Adresse für die GINA-Träger-E-Mail an.
Die hier angegebene Absender Adresse muss aus einer managed domain stammen, welcher das
jeweilge GINA-Interface zugeordent ist (siehe Tabelle Mail System 137 Managed domains
137 Spalte "GINA settings"). Weiterhin sollte die Adresse als User auf der Appliance existieren,
idealerweise mit gültigem S/MIME Zertifikat (siehe Users 251 User details 252 S/MIME 253 ), um
die GINA-Träger-E-Mail signieren zu können. Auch am Groupware-Server sollte die Adresse
existent sein, damit eventuell direkte Antworten - welche irrtümlich nicht über das GINA-Interface
erstellt wurden - gegebenenfalls angenommen werden.
Beispiel 1
Zeile Code
01 if (change_webmail_sender('[email protected]')) {
log(1, 'GINA carrier e-mail sender address
02
successfully changed');
03
log(1, 'trying to S/MIME sign GINA carrier e-mail');
04
if (has_smime_key()) {
05
06
if (sign_smime()) {
07
08
} else {
09
10
}
11
} else {
12
log(1, 'no signing key available');
13
}
14 } else {
log(1, 'GINA carrier e-mail sender address
15
could not be changed');
16 }
Erklärung
In diesem Beispiel wird der Absender der Träger-E-Mail einer mittels GINA-Technologie
verschlüsselten E-Mail zu [email protected] geändert (Zeile 01).
Erfolg beziehungsweise Misserfolg der Aktion wird protokolliert (Zeile 02 und 15). Bei
erfolgreicher Änderung wird zusätzlich versucht, die GINA-Träger-E-Mail mit dem S/MIME key des
neuen Absenders [email protected] zu signieren (Zeile 03 - 13).
Somit können alle GINA-Träger-E-Mails mit nur einem S/MIME Schlüssel signiert werden.
© 2016 SEPPmail AG
352
8.6.10.3.3 pack_mail()
Der Befehl pack_mail() ermöglicht das Senden von GINA-E-Mails über ein abgekoppeltes GINARelay-System.
Dieser Befehl ermöglicht das Senden von GINA-E-Mails über ein abgekoppeltes GINA-Relay-System
(vergleiche Mail Processing 160 Ruleset generator 168 Advanced Options 181 "Use remote
GINA server, reachable under the following e-mail address").
Aufbau des Befehls
pack_mail('e-mail_address', ['domainsignature']);
Rückgabewert
positiv bei erfolgreichem Weiterleiten der GINA-Anforderung an das GINA-Relay-System
negativ bei fehlgeschlagenem Weiterleiten der GINA-Anforderung an das GINA-Relay-System
Parameter
e-mail_address
Definiert die E-Mail Adresse unter welcher das GINA-Relay-System erreichbar ist.
domainsignature (optional)
Durch diesen Parameter wird die an das GINA-Relay-System weitergeleitete E-Mail zusätzlich mit
einer Domänensignatur - ohne Prüfen des Absenders!!! - versehen.
Geprüft wird auf Empfängerseite (siehe unpack_mail() 353 ) mittels Fingerabdruck des Domänen
Zertifikates.
Mögliche Werte:
true, yes oder 1
false, no oder 0
Beispiel 1
Zeile Code
01 if (pack_mail('[email protected]', 'yes')) {
02
log(1, 'mail successfully sent to remote GINA server');
03 } else {
04
log(1, 'mail could not delivered to remote GINA server');
drop('451', 'Die Nachricht konnte nicht verschluesselt
05
werden');
06 }
Erklärung
In diesem Beispiel wird die ausgehende E-Mail zur Weiterleitung an ein GINA-Relay-System
gepackt, welches unter der (Pseudo) E-Mail Adresse "[email protected]" erreichbar ist und
mit dem Domainzertifikat signiert (Zeile 01). Erfolg beziehungsweise Misserfolg der Aktion wird
protokolliert (Zeile 02 und 04). Bei fehlschlagen der Aktion wird die E-Mail mit dem temporären
Fehler "451" und dem Hinweistext "Die Nachricht konnte nicht verschluesselt werden" abgewiesen
(Zeile 05).
© 2016 SEPPmail AG
353
8.6.10.3.4 unpack_mail()
Der Befehl unpack_mail() entpackt auf einem GINA-Relay-System die vom Basis-System
übermittelten GINA-Anforderungen.
Mit diesem Befehl werden die vom Basis-System mittels pack_mail() 352 übermittelten GINAAnforderungen angenommen (vergleiche Mail Processing 160 Ruleset generator 168 Advanced
Options 181 "This is a remote GINA server").
Das weitere Verarbeiten der E-Mail findet im Anschluss statt.
Aufbau des Befehls
unpack_mail();
Rückgabewert
positiv immer
Parameter
keine
8.6.10.3.5 webmail_keys_avail()
Der Befehl webmail_keys_avail() prüft, ob ein GINA-Benutzerkonto vorhanden ist.
Aufbau des Befehls
webmail_keys_avail();
Rückgabewert
positiv für die Gruppe mit vorhandenem GINA-Benutzerkonto
negativ für die Gruppe ohne GINA-Benutzerkonto
Parameter
keine
Beispiel 1
Zeile Code
01 if (webmail_keys_avail()) {
02
log(1, 'GINA account already exists');
03 } else {
04
log(1, 'no GINA account available, creating new account');
05
webmail_keys_gen('', '8');
06 }
Erklärung
In diesem Beispiel wird zunächst geprüft, ob ein GINA-Benutzerkonto vorhanden ist (Zeile 01).
Das Ergebnis dieser Abfrage wird protokolliert (Zeile 02 und 04). Ist kein GINA-Benutzerkonto
vorhanden, so wird ein neues angelegt (Zeile 05).
© 2016 SEPPmail AG
354
8.6.10.3.6 webmail_keys_gen()
Der Befehl webmail_keys_gen() erstellt ein GINA-Benutzerkonto.
Dieser Befehl generiert ein GINA-Benutzerkonto und schickt das Initial Kennwort an den Absender der
ursprünglichen E-Mail oder alternativ an eine optional anzugebende E-Mail Adresse.
Aufbau des Befehls
webmail_keys_gen(['recipient'], ['password_length'],
['no_pw_mail_if_sms_sent']);
Rückgabewert
positiv immer
Parameter
recipient (optional)
Definiert die E-Mail Adresse, an welche die E-Mail mit dem Initial Kennwort gesendet werden soll.
Wird keine E-Mail Adresse angegeben, so wird die Absender E-Mail Adresse verwendet.
password_length (optional)
Definiert die Länge des Initial Kennworts. Dabei steht die "0" (null) für ein leeres Kennwort.
Wird der Parameter nicht angegeben, so wird der Standardwert der Konfigurationsoberfläche
(siehe Mail Processing 160 GINA settings 160 password length) verwendet.
no_pw_mail_if_sms_sent (optional)
Mit dieser Option wird die E-Mail mit dem Initial Passwort an den Absender unterbunden, wenn
dieses bereits per SMS übermittelt werden konnte (siehe auch Schlüsselwort [SMS:] in Tabelle 1
des Kapitels Steuern der Appliance 86 ).
Mögliche Werte:
true, yes oder 1
false, no oder 0
Beispiel 1
Zeile Code
01 webmail_keys_gen('', '8');
Erklärung:
In diesem Beispiel wird ein GINA-Benutzerkonto erzeugt. Der Absender der ursprünglichen E-Mail
erhält eine E-Mail Benachrichtigung mit dem Initial Kennwort. Dieses Initial Kennwort hat '8'
(acht) Zeichen.
© 2016 SEPPmail AG
355
8.6.11 Content Management
8.6.11.1 iscalendar()
Der Befehl iscalendar() prüft, ob es sich bei einer E-Mail um einen Kalendereintrag handelt.
Der Befehl prüft, unter anderem anhand des Mime-Type text/calendar, ob es sich bei einer E-Mail um
einen Kalendereintrag - zum Beispiel Einladungen, Termine, Besprechungsanfragen oder die
jeweiligen Zu/Absagen - handelt. Diese Abfrage wird typischerweise für das anschliessende
Unterbinden kryptographischer Aktionen bei Kalendereinträgen verwendet, da viele E-Mail Clients
damit nicht umgehen können.
Aufbau des Befehls
iscalendar();
Rückgabewert
positiv wenn es sich bei der E-Mail um einen Kalendereintrag handelt
negativ wenn es sich bei der E-Mail nicht um einen Kalendereintrag handelt
Parameter
keine
Beispiel 1
Zeile Code
01 if (iscalendar()) {
02
log(1, 'meeting request, do not sign');
03
tagsubject('@NOSIGNTEXT@');
04 } else {
05 }
Erklärung
In diesem Beispiel wird über den Befehl iscalendar() (Zeile 01) geprüft, ob es sich bei der EMail um einen Kalendereintrag handelt. Wenn dem so ist, so wird dies im Log eingetragen (Zeile
02) und mittels tagsubject() 329 als nicht zu signierend (@NOSIGNTEXT@ 380 ) (Zeile 03)
markiert.
© 2016 SEPPmail AG
356
8.6.11.2 isspam()
Der Befehl isspam() prüft, ob es sich bei einer E-Mail um SPAM handelt.
Dieser Befehl ist nur bei aktiviertem Protection Pack verfügbar. Er prüft den SPAM Level einer E-Mail
und führt die entsprechend der eingestellten Schwellwerte definierte Aktion aus (Markieren oder
Abweisen).
(siehe auch Mail Processing 160 Ruleset generator 168 Protection Pack (Anti-Spam / AntiVirus) 178 ).
Aufbau des Befehls
isspam('mark_level', 'tag', 'reject_level');
Rückgabewert
positiv immer
Parameter
mark_level
Dieser Parameter definiert den Punktwert, ab welchem eine E-Mail als SPAM E-Mail markiert wird.
Wertebereich: 0.5 - 9.5
Schrittweite:
0.5
Markieren heisst dem Betreff einer E-Mail wird ein entsprechendes Merkmal hinzugefügt. Dieses
Merkmal wird mittels dem Parameter tag definiert
tag
Dieser Parameter definiert einen Wortbestandteil (tag) der zur Markierung einer E-Mail als SPAM
an den Betreff angehängt wird.
reject_level
Dieser Parameter definiert den Punktwert, ab welchem eine E-Mail als SPAM E-Mail abgewiesen
wird.
Wertebereich: 0.5 - 9.5
Schrittweite:
0.5
Beispiel 1
Zeile Code
01 isspam('2.5', '[SPAM]', '4.5');
Erklärung
In diesem Beispiel wird eine E-Mail auf SPAM überprüft. Wird der SPAM Schwellwert von "2.5"
erreicht, bleibt jedoch unter "4.5", so wird die E-Mail im Betreff mit dem Hinweis "[SPAM]"
gekennzeichnet. Ab Erreichen des Schwellwertes 4.5 wird die E-Mail abgewiesen (rejected).
© 2016 SEPPmail AG
357
8.6.11.3 partoftype()
(neu in 7.4.2 -> geänderte Funktionsweise)
Der Befehl partoftype() ermittelt den Dateityp von E-Mail Dateianhängen.
Dieser Befehl prüft Dateianlagen anhand des Inhalts der Datei, ob diese einem bestimmten Datei-Typ
entsprechen. Ist dies der Fall, so wird eine definierte Aktion ausgeführt. Die Inhalte von Archivdateien
können enbenfalls durchsucht werden.
Aufbau des Befehls
partoftype('type', 'action', 'check_archive');
Rückgabewert
positiv wenn der angegebene MIME Type in der/den Anlage(n) der E-Mail gefunden wurde
negativ wenn keine Anlage des genannten MIME Types gefunden wurde
Parameter
type
Weitere Informationen zum Parameter type sind im Abschnitt Liste von MIME Typen 358 (neu in
7.4.2) zu finden. Dabei können Dateitypen ebenso durch Komma getrennt eingefügt werden, wie
ganze Typ-Gruppen.
Die Listen Liste der Dateitypen 362 und Liste von Dateigruppen 363 , welche vor 7.4.2 zum
Einsatz kamen werden aus Kompatibilitätsgründen weiterhin unterstützt, jedoch nicht weiter
gepflegt.
Auch das Definieren von Ausnahmen ist durch voranstellen eines Ausrufungszeichens "!" möglich.
Ausnahmen müssen grundsätzlich am Anfang des Parameters stehen.
action
Mögliche Werte
stellt das Resultat für die folgenden Befehle zu Verfügung
info
entfernt zusätzlich die entsprechende Dateianlage aus der E-Mail
delete
Standardeinstellung ist info
check_archive
Durch Anschalten dieses Parameter wird der angegebene MIME type zusätzlich in Archivdateien
gesucht.
Bei einem Fund innerhalb eines Archivs bei gleichzeitiger Aktionseinstellung "delete", wird nur die
entsprechende Datei aus dem Archiv entfernt. Das Archiv selbst bleibt erhalten.
Mögliche Werte:
true, yes oder 1
false, no oder 0
Beispiel 1
Zeile
01
Code
partoftype('!zip,application/msword,application/pdf,video',
'delete', 'true');
Erklärung
In diesem Beispiel wird eine E-Mail auf das Vorhandensein von Dateianhängen der Typen
'application/msword' und 'application/pdf'', sowie der Gruppe "video", mit Ausnahme von Dateien
mit der Endung "zip" überprüft. Wird ein Dateianhang eines gennaten MIME-Types
beziehungsweise eine MIME-Type Gruppe gefunden, so wird dieser aus der E-Mail entfernt.
Enthält die E-Mail als Dateianhang eine Archivdatei, so wird diese ebenfalls durchsucht und
betroffene Dateien entfernt..
© 2016 SEPPmail AG
358
8.6.11.3.1 Liste von MIME Typen
(neu in 7.4.2)
Folgende MIME-Types werden unterschieden:
Group/Type
application
application/dicom
application/mac-binhex40
application/msword
application/octet-stream
application/ogg
application/pdf
application/pgp
application/pgp-keys
application/pgp-signature
application/postscript
application/vnd.lotus-wordpro
application/vnd.ms-excel
application/vnd.ms-tnef
application/vnd.oasis.opendocument.text
application/vnd.rn-realmedia
application/vnd.symbian.install
application/x-123
application/x-arc
application/x-archive
application/x-arj
application/x-awk
application/x-bittorrent
application/x-bzip2
application/x-coredump
application/x-cpio
application/x-dbm
application/x-debian-package
application/x-dosexec
application/x-dvi
application/x-eet
application/x-elc
application/x-executable
application/x-gawk
application/x-gdbm
application/x-gnucash
application/x-gnumeric
application/x-gnupg-keyring
application/x-gzip
© 2016 SEPPmail AG
Beschreibung
Wird "application" als Gruppe verwendet, so beinhaltet
dies alle mit "application/" beginnenden MIME-Types.
359
Group/Type
Beschreibung
application/x-hdf
application/x-hwp
application/x-ichitaro4
application/x-iso9660-image
application/x-java-applet
application/x-java-jce-keystore
application/x-java-keystore
application/x-java-pack200
application/x-kdelnk
application/x-lha
application/x-lharc
application/x-mif
application/x-ms-reader
application/x-msaccessapplication/x-nawk
application/x-object
application/x-perl
application/x-pgp-keyring
application/x-quark-xpress-3
application/x-quicktime-player
application/x-rar
application/x-rpm
application/x-sc
application/x-sharedlib
application/x-shellscript
application/x-shockwave-flash
application/x-stuffit
application/x-svr4-package
application/x-tar
application/x-tex-tfm
application/x-zoo
application/zip
Wird "audio" als Gruppe verwendet, so beinhaltet dies alle
audio
mit "audio/" beginnenden MIME-Types.
audio/basic
audio/midi
audio/mp4
audio/mpeg
audio/x-adpcm
audio/x-aiff
audio/x-dec-basic
audio/x-flac
© 2016 SEPPmail AG
360
Group/Type
audio/x-hx-aac-adif
audio/x-hx-aac-adts
audio/x-mod
audio/x-mp4a-latm
audio/x-pn-realaudio
audio/x-unknown
audio/x-wav
Beschreibung
image
Wird "image" als Gruppe verwendet, so beinhaltet dies
alle mit "image/" beginnenden MIME-Types.
image/gif
image/jp2
image/jpeg
image/png
image/svg+xml
image/tiff
image/vnd.adobe.photoshop
image/vnd.djvu
image/x-coreldraw
image/x-cpi
image/x-ico
image/x-ms-bmp
image/x-niff
image/x-portable-bitmap
image/x-portable-greymap
image/x-portable-pixmap
image/x-quicktime
image/x-unknown
text
text/PGP
text/html
text/rtf
text/texmacs
text/troff
text/x-fortran
text/x-info
text/x-tex
text/x-texinfo
text/x-vcard
text/x-xmcd
video/3gpp
video/h264
video/mp2p
video/mp2t
© 2016 SEPPmail AG
Wird "text" als Gruppe verwendet, so beinhaltet dies alle
mit "text/" beginnenden MIME-Types.
361
Group/Type
video/mp4
video/mp4v-es
video/mpeg
video/mpv
video/quicktime
video/x-flc
video/x-fli
video/x-flv
video/x-jng
video/x-mng
video/x-msvideo
video/x-sgi-movie
Beschreibung
Exoten
Die unter "Exoten" gelisteten MIME-Types können nicht
über eine Gruppe ausgewählt werden
message/news
message/rfc822
model/vrml
x-epoc/x-sisx-app
Liste der Dateitypen
© 2016 SEPPmail AG
362
8.6.11.3.2 Liste der Dateitypen (veraltet)
Folgende Dateitypen wurden bis Version 7.4.1 unterschieden:
ID
BMP
BZIP
CAB
COM
EMF
EXE
FAX
GIF
GZIP
ICO
ISO9660
JPEG
JPG2000
LHA
LHARC
LWF
MPEG.L3
MPEG.SYS
MPEG.VID
MS.ASF
MS.OFF
MS.XLS
NIFF
PBMPLUS
PCX
PDF
PNG
RAR
RIFF.ANI
RIFF.AVI
RIFF.DIB
RIFF.MID
RIFF.MMF
RIFF.WAV
RTF
TAR
TARGA
TIFF
ZIP
ZOO
Beschreibung
PC Bitmap
BZIP Compressed
Microsoft CAB file
MSDOS Computable
Enhanced Windows Metafile
MSDOS Executable
G3 Fax
GIF Image
GZIP Compressed
Windows Icon
ISO 9660 CD-ROM
JPEG Image
JPEG 2000 Image
LHa 2.x? Archive
LHarc 1.x Archive
LuraWave Image
MPEG Layer 3
MPEG System Stream
MPEG Video
Microsoft ASF
MS Office document
MS Excel 5.0 Worksheet
NIFF Image
PBMPLUS Bitmap
Z-Soft Image
PDF Document
PNG Image
RAR Archive
MS RIFF Animated Cursor
MS RIFF Audio Video Interleave
MS RIFF DIB Bitmap
MS RIFF MIDI File
MS RIFF Multimedia Movie
MS RIFF Wave Audio
Rich Text Format
TAR Archive
TARGA Bitmap
TIFF Image
PKZIP Archive
Zoo Archive
Liste der Dateitypen
© 2016 SEPPmail AG
363
(neu in 7.4.2)
Mit der Version 7.4.2 werden diese Dateitypen aus Kompatibilitätsgründen zwar weiterhin unterstützt,
jedoch nicht mehr weiter gepflegt. Das heisst es werden seitens SEPPmail keine weiteren, neuen
Dateitypen hinzugefügt, beziehungsweise obsolete Dateitypen entfernt.
8.6.11.3.3 Liste von Dateigruppen (veraltet)
Folgende Gruppen von Dateitypen wurde bis Version 7.4.1 unterschieden:
ID
ARCHIVES
EXE
FS
IMAGES
MEDIA
OFFICE
Beschreibung
Archivdateien
Beinhaltete Dateitypen
ZIP ZIP.SFX RAR LHARC LHA SQUISH UC2 ZOO TAR CAB
BZIP GZIP
Ausführbare Dateien EXE.PE EXE COM
Dateisysteme
ISO9660 HISIERRA
Bilder
JPEG BMP TIFF PNG GIF TARGA PBMPLUS NIFF FAX PCX
LWF ICO JPG2000 EMF
Multimedia
RIFF.WAV RIFF.AVI RIFF.ANI RIFF.MID RIFF.MMF RIFF.DIB
RIFF RIFX MPEG.VID MPEG.SYS MPEG.L3 MS.ASF
Office-Dokumente
RTF PDF MS.OFF MS.XLS
Gruppen von Dateitypen
(neu in 7.4.2)
Mit der Version 7.4.2 werden diese Gruppen aus Kompatibilitätsgründen zwar weiterhin unterstützt,
jedoch nicht mehr weiter gepflegt. Das heisst es werden seitens SEPPmail keine weiteren, neuen
Dateitypen hinzugefügt.
© 2016 SEPPmail AG
364
8.6.11.4 vscan()
Der Befehl vscan() prüft die gesamte E-Mail auf Viren.
Dieser Befehl ist nur bei aktiviertem Protection Pack verfügbar. Er prüft eine E-Mail (Dateianlagen
sowie E-Mail Text und Betreff) auf Viren und sendet eine Benachrichtigung an eine zu definierende EMail Adresse.
(siehe auch Mail Processing 160 Ruleset generator 168 Protection Pack (Anti-Spam / AntiVirus) 178 ).
Aufbau des Befehls
vscan(['notification_e-mail_address'], ['restrictive_[value_1]|
[value_2]|[value_n]'], ['exclude_[value_1]|[value_2]|[value_n]']);
Rückgabewert
positiv wenn das Ergebnis mindestens einer Prüfung der Dateianlagen einer E-Mail positiv
(Virenfund) ist
negativ wenn kein Virus in der E-Mail gefunden wurde.
Rückgabe Variable
gibt das Ergebnis des Scans aus
$vscanresult
Parameter
notification_e-mail_address (optional)
Definiert die E-Mail Adresse an welche bei Virenfund eine Benachrichtigung gesendet wird.
restrictive
Erkennt die angegebenen Inhalte ebenfalls als Malware. Die Eingabe erfolgt als Regulärer
Ausdruck.
Mögliche Werte
(Broken. schadhafte ausführbare Dateien.
Executa
ble)
(Heuristi verschlüsselte Inhalte (zum Beispiel verschlüsselte ZIP Dateien)
cs.
Encrypt
ed)
(Heuristi per Heuristik erkannte Phishing E-Mails
cs.
Phishing
.Email)
...
siehe gegebenenfalls http://www.clamav.net/
exclude
Für den Fall, dass ClamAV nach einem Signatur-Update sogenannte false positve Meldungen
erzeugt, können an dieser Stelle Ausnahmen vom Virenscan definiert werden. Dies können
heuristische Teil-Prüfungen sein (siehe gegebenenfalls http://www.clamav.net/))
einzelne Viren Namen, wie sie dem Log zu entnehmen sind
sein.
Beispiel 1
© 2016 SEPPmail AG
365
Zeile Code
01 vscan('[email protected]');
Erklärung
In diesem Beispiel wird eine E-Mail Benachrichtigung an '[email protected]'
gesendet, wenn ein Virus gefunden wurde.
© 2016 SEPPmail AG
366
8.6.11.5 whitelist_recipients()
Der Befehl whitelist_recipients() trägt die Empfänger einer E-Mail in die auf dem System
geführte Whitelist ein.
Dieser Befehl ist nur bei aktiviertem Protection Pack verfügbar. Durch den Befehl werden die
Empfänger einer E-Mail whitelisted und somit als reale Kommunikationspartner gekennzeichnet. Wird
im Anschluss eine E-Mail von einer dieser Adressen empfangen, wird aufgrund des whitelistings kein
Spam Check vorgenommen. Der Einsatz dieses Befehls empfiehlt sich deshalb vor allem bei
ausgehenden E-Mails.
Aufbau des Befehls
whitelist_recipients();
Rückgabewert
positiv immer
Parameter
keine
Beispiel 1
Zeile Code
01 if (!incoming()) {
02
whitelist_recipients();
03 }
Erklärung
In (Zeile 01) wird geprüft, ob es sich um eine ausgehende E-Mail handelt. Ist dies der Fall, wird die
Bedingung aus (Zeile 02) whitelist_recipients(); ausgeführt, wodurch alle (externen)
Empfänger der E-Mail whitelisted werden.
© 2016 SEPPmail AG
367
8.7
Zugriff auf externe LDAP-Verzeichnisse
Beim Verwenden von LDAP Anfragen wird grundsätzlich nur beim ersten Aufruf die Verbindung zum
LDAP hergestellt und dann gehalten (cached). Dadurch wird Performance-Engpässen durch häufigen
Verbindungsaufbau zum LDAP-Server vorgebeugt. Unterstützt wird sowohl LDAP als auch LDAPS.
8.7.1
ldap_read
Der Befehl ldap_read() liest einen Wert aus einem LDAP-Verzeichnis aus und legt diesen in einer
Variablen ab.
Dieser Befehl baut eine Verbindung zu einem LDAP-Server auf, liest den Wert eines Attributs aus und
legt diesen in einer Variable ab.
Wird keiner der angegebenen LDAP-Server erreicht, so wird die E-Mail mit einem temporären Fehler
abgewiesen (420, could not bind to LDAP server).
Aufbau des Befehls
ldap_read('ldap', 'attr', 'var');
Rückgabewert
positiv wenn das Attribute 'attr' gefunden und somit der Variablen 'var' ein Wert
zugewiesen werden kann
negativ wenn der Variablen 'var' kein Wert zugewiesen werden kann
Parameter
ldap
Der Parameter ist wie folgt aufgebaut:
'URI;BindDN;Password;SearchBase;Filter'
Die Bedeutung der einzelnen Teil Strings ist der der folgenden Tabelle beschrieben:
Parameter
Beschreibung
URI
Angabe des LDAP-Servers, der abgefragt werden soll. Als Eingabe wird der
Hostname oder die IP-Adresse aktzeptiert. Es können auch zwei mit Komma
getrennte Werte angegeben werden: In diesem Fall wird automatisch auf den
zweiten Server zugegriffen, wenn der erste nicht erreicht werden kann.
Eingabe des vollständigen Distinguished Name (DN) des (read-only)
Accounts, welcher zur Suche des unter "SearchBase" in der LDAP Datenbank
berechtigt ist.
Das Passwort des unter BindDN angegebenen Benutzers
BindDN
Password
SearchBase
Suchpfad: Gibt den Zweig der LDAP Datenbank an, in welchem das Attribute
aus dem Parameter 'attr' zu suchen ist.
Filter
Angabe eines Attributes der LDAP Datenbank, unter welchem das gesuchte
Attribute aus dem Parameter 'attr' im Zweig der "SearchBase" zu finden
ist.
attr
Attribut nach welchem im LDAP-Verzeichnis gesucht werden soll.
var
Name der Variablen, in welcher der Wert des Attributes 'attr' abgelegt werden soll
Beispiel 1
© 2016 SEPPmail AG
368
Der Wert des Attributs "Name" soll aus einem LDAP-Verzeichnis ausgelesen werden. Dieser soll
in der Variable "name_from_ldap" abgespeichert werden.
Die Anweisung sieht wie folgt aus:
Zeile
01
Code
ldap_read('192.168.10.10;CN=Peter Mueller,OU=SBSUsers,OU=Users,
OU=MyBusiness,DC=Firma,DC=local;mypassword;OU=SBSUsers,
OU=Users,OU=MyBusiness,DC=Firma,DC=local;
(mail=$sender)','Name','name_from_ldap');
Erklärung
Der LDAP-Server mit der IP-Adresse 192.168.10.10 (und dem Standardport 389) wird abgefragt.
Der DistinguishedName (DN) des Benutzers (Peter Mueller) unter welchem die Abfrage
ausgeführt wird (dieser muss die entsprechenden Berechtigungen besitzen) lautet
CN=Peter Mueller,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=Firma,DC=local
Das Passwort dieses Benutzers lautet
mypassword
Der LDAP Pfad, in welchem nach dem Attribut "name" gesucht werden soll lautet
OU=SBSUsers,OU=Users,OU=MyBusiness,DC=Firma,DC=local
Der Benutzer, dessen Gruppenzugehörigkeit festgestellt werden soll, wird anhand der Absender
E-Mail Adresse 'ldap/Filter' definiert.
Existiert das angegebene Attribut 'attr' oder der gesuchte Eintrag nicht, so wird der Variable
'var' ein leerer Wert zugewiesen.
Werden mehrere Einträge (Objekte) im Attribut 'attr' gefunden, so wird nur der erste
ausgewertet.
Sollten mehrere Attribute 'attr' vorhanden sein, so werden alle Attribute ausgewertet (multi
value).
Wird keiner der angegebenen LDAP-Server erreicht, so wird die E-Mail mit einem temporären
Fehler abgewiesen.
© 2016 SEPPmail AG
369
8.7.2
ldap_compare()
Der Befehl ldap_compare() vergleicht einen vorgegebenen Wert mit dem Wert eines LDAPAttributs.
Dieser Befehl baut eine Verbindung zu einem LDAP-Server auf und prüft den Wert eines Attributs.
Wird keiner der angegebenen LDAP-Server erreicht, so wird die E-Mail mit einem temporären Fehler
abgewiesen (420, could not bind to LDAP server).
Aufbau des Befehls
ldap_compare('ldap', 'attr', 'value');
Rückgabewert
Der Rückgabewert ist abhängig von der verwendeten Variable im LDAP-Suchstring
Parameter
ldap
'URI;BindDN;Password;SearchBase;Filter'
Parameter
Beschreibung
URI
Hostname oder die IP-Adresse aktzeptiert. Es können auch Komma getrennte
Werte angegeben werden. In diesem Fall wird automatisch auf den jeweils
nächsten Server zugegriffen, wenn der erste nicht erreicht werden kann.
Accounts, welcher zur Suche des unter "SearchBase" angegebenen Pfades
der LDAP Verzeichnisstruktur berechtigt ist.
BindDN
Password
SearchBase
Filter
Suchpfad: Gibt den Zweig des LDAP Verzeichnisses an, in welchem das
Attribut 'attr' aus dem Parameter mittels Suchfilter (siehe nächste Zeile) zu
suchen ist.
Suchfilter: Hier wird auf Übereinstimmung des Wertes des angegebenen
Attributes aus dem LDAP Suchpfad verglichen.
Variablen
$sender
Diese Variable gibt den envelope Absender der E-Mail aus.
Rückgabewert bei Verwendung dieser Variable
wenn der Wert 'value' für das angegebene Attribut 'attr'
positiv
im LDAP Suchstring 'ldap/SearchBase' gefunden wurde.
negativ wenn kein entsprechender Wert gefunden wurde.
$from
Diese Variable gibt die E-Mail Adresse des Absenders aus dem FROMheader der E-Mail aus.
Dies ist insbesondere bei Abwesenheitsmeldungen notwendig, da in diesen
kein envelope-Sender gesetzt ist.
(neu in 7.4.6)
Ist der Sender des FROM-headers nicht intern - also keiner managed
domain zuzuordnen - so wird auf das Vorhandensein des SENDER-headers
geprüft. Ist dieser vorhanden und der darin enthaltene Sender intern, so
© 2016 SEPPmail AG
370
Parameter
Beschreibung
wird dieser anstatt des Senders aus dem FROM-header ausgegeben.
Dadurch werden Probleme beim Weiterleiten von Kalendereinladungen
vermieden.
wenn der Wert 'value' für das angegebene Attribut 'attr'
positiv
im LDAP Suchstring 'ldap/SearchBase' gefunden wurde.
negativ wenn kein entsprechender Wert gefunden wurde.
$recipient
Diese Variable gibt die Empfänger einer E-Mail aus. Dabei wird die E-Mail in
zwei Gruppen gesplittet. Eine Gruppe mit den Empfängern, welche über
den Wert 'value' im angegebenen Attribut 'attr' des LDAP
Suchstrings 'ldap/SearchBase' verfügen, und eine weitere Gruppe für
die Empfänger, welche nicht darüber verfügen.
für die Gruppe mit dem entsprechenden Wert 'value'
positiv
negativ für die Gruppe ohne dem entsprechenden Wert 'value'
$one_recipient
Enthält eine E-Mail mehrere Empfänger, so wird für alle Empfänger der
Wert 'value' für das angegebene Attribut 'attr' im LDAP Suchstring
'ldap/SearchBase' geprüft.
wenn mindestens bei einem Empfänger der Wert 'value' für
positiv
das angegebene Attribut 'attr' im LDAP Suchstring 'ldap/
SearchBase' gefunden wurde .
negativ wenn bei keinem Empfänger ein entsprechender Wert
'value' gefunden wurde.
$all_recipients
Enthält eine E-Mail mehrere Empfänger, so wird für alle Empfänger der
Wert 'value' für das angegebene Attribut 'attr' im LDAP Suchstring
'ldap/SearchBase' geprüft.
wenn bei allen Empfängern der Wert 'value' für das
positiv
angegebene Attribut 'attr' im LDAP Suchstring 'ldap/
SearchBase' gefunden wurde.
negativ wenn auch nur bei einem Empfänger der Wert 'value' nicht
gefunden wurde.
attr
Attribut nach welchem im LDAP-Verzeichnis gesucht werden soll.
Hinweis:
Sollten mehrere Attribute 'attr' vorhanden sein, so werden alle
Attribute ausgewertet (multi value).
value
Wert, welcher im abgefragten Attribut 'attr' vorkommen soll.
© 2016 SEPPmail AG
371
Hinweis:
Werden mehrere Einträge 'value' gefunden, so wird nur der erste
ausgewertet.
Beispiel 1
Die Zugehörigkeit des internen Absenders einer E-Mail "(mail=$from)" zur Gruppe "MailCrypt" soll
im LDAP anhand des im envelope der E-Mail eingetragenen Absenders geprüft werden, zum
Beispiel um festzustellen, ob dieser berechtigt ist, kryptographisch behandelte E-Mails zu senden.
Zeile
01
02
03
04
05
06
07
Code
if (ldap_compare('192.168.10.10;CN=Peter Mueller,OU=SBSUsers,
mypassword;OU=SBSUsers,OU=Users,OU=MyBusiness,
DC=Firma,DC=local;(mail=$from)';'memberOF',
'MailCrypt')) {
log(1, 'Mitglied der AD-Gruppe MailCrypt, markiere E-Mail für
Signatur');
tagsubject('[sign]');
} else {
log(1, 'nicht Mitglied der AD-Gruppe Exchange, liefere
unbehandelt aus');
deliver();
}
Erklärung
In (Zeile 01) wird
der LDAP-Server mit der IP-Adresse 192.168.10.10 (und dem Standardport 389) wird
abgefragt.
der DistinguishedName (DN) des Benutzers unter welchem die Abfrage ausgeführt wird
(dieser muss die entsprechenden Berechtigungen besitzen) lautet
CN=Peter Mueller,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=Firma,DC=local
das folgende Passwort für diesen Benutzers verwendet
mypassword
der LDAP Pfad, in welchem der Suchfilter (mail=$sender) angewendet werden soll soll
lautet
OU=SBSUsers,OU=Users,OU=MyBusiness,DC=Firma,DC=local
der Benutzer, dessen Gruppenzugehörigkeit festgestellt werden soll, anhand der Absender
E-Mail Adresse aus dem FROM-header der E-Mail (mail=$from) festgestellt.
Mindestens ein Wert des Attributes "memberOF" muss den Wert "MailCrypt" haben, damit der
Rückgabewert positiv ist, und somit der Anwendugsblock aus (Zeile 02, 03) ausgeführt wird. Ist
der Wert "MailCrypt" nicht im Attribut, beziehungsweise das Attribut "memberOF" nicht
vorhanden, so ist der Rückgabewert negativ, wodurch der Anwendungsblock (Zeile 05, 06)
ausgeführt wird.
Beispiel 2
© 2016 SEPPmail AG
372
Die Zugehörigkeit des internen Absenders einer E-Mail "(mail=$sender)" zur Gruppe "MailCrypt"
soll im LDAP anhand des im FROM-header der E-Mail eingetragenen Absenders geprüft werden,
zum Beispiel um festzustellen, ob dieser berechtigt ist, kryptographisch behandelte E-Mails zu
senden.
Zeile
01
Code
ldap_compare('192.168.10.10;CN=Peter Mueller,OU=SBSUsers,OU=Users,
OU=MyBusiness,DC=Firma,DC=local;mypassword;
DC=local;(mail=$sender)','memberOF','MailCrypt');
Erklärung
Prinzipiell macht der Ausdruck in diesem Beispiel das gleiche wie der in Beispiel 1 (Zeile 01), mit
dem Unterschied, dass statt im FROM-header im envelope der E-Mail nach dem Absender
gesucht wird.
Beispiel 3
Ausgangspunkt sind zwei unterschiedliche Groupware- (interne E-Mail ) Server (zum Beispiel
Exchange und Domino), welche parallel eingesetzt werden.
Es soll abgefragt werden, ob das Postfach wenigstens eines internen Empfängers einer
eingehenden E-Mail - mit gegebenenfalls mehreren Empfängern - ein Exchange Postfach ist.
Zeile
01
02
03
04
05
Code
DC=Firma,DC=local;(mail=$recipient)',
'MailServerGruppe','Exchange')){
log(1, 'Mitglied der AD-Gruppe Exchange');
} else {
log(1, 'nicht Mitglied der AD-Gruppe Exchange');
}
Erklärung
Im LDAP Suchpfad (SearchBase) wird der Suchfilter (Filter) "(mail=$recipients)" angewendet
(Zeile 01).
Für die Empfänger der E-Mail, welche im LDAP--Verzeichnis gefunden wurden, im Besitz des
genannten Attributs sind und der Wert dieses Attributs der Vorgabe entspricht, wird der LogEintrag "Mitglied der AD-Gruppe Exchange" generiert (Zeile 02). Für alle anderen Empfänger wird
der Log-Eintrag "nicht Mitglied der AD-Gruppe Exchange" generiert (Zeile 04).
Beispiel 4
© 2016 SEPPmail AG
373
Ausgangspunkt sind wieder zwei unterschiedliche Groupware-Server, welche parallel eingesetzt
werden.
Es soll abgefragt werden, ob das Postfach wenigstens eines internen Empfängers einer
eingehenden E-Mail - mit gegebenenfalls mehreren Empfängern - ein Exchange Postfach ist.
Zeile
01
Code
DC=local;(mail=$one_recipient)','MailServer',
'Exchange');
Erklärung
Im LDAP Suchpfad (SearchBase) wird der Suchfilter (Filter) "(mail=$one_recipient)"
angewendet.
Hat wenigstens ein Empfänger der E-Mail "(mail=$one_recipient)" den Wert "Exchange" im
Attribut "MailServer" so ist der Rückgabewert positiv.
Beispiel 5
Es soll abgefragt werden, ob das Postfach aller internen Empfänger einer eingehenden E-Mail mit gegebenenfalls mehreren Empfängern - Domino Postfächer sind.
Zeile
01
Code
DC=local;(mail=$all_recipients)','MailServer',
'Exchange');
Erklärung
Im LDAP Suchpfad (SearchBase) wird der Suchfilter (Filter) "(mail=$all_recipients)" angewendet.
Nur wenn alle internen Empfänger der E-Mail "(mail=$all_recipients)" den Wert "Domino" im
Attribut "MailServer" haben, so ist der Rückgabewert positiv.
© 2016 SEPPmail AG
374
8.7.3
ldap_getcerts()
Der Befehl ldap_getcerts() ruft öffentliche S/MIME Schlüssel (Zertifikate) bei einem LDAPVerzeichnisdienst ab.
Dieser Befehl ruft für jeden Empfänger einer E-Mail öffentliche S/MIME Schlüssel (Zertifikate) bei
einem LDAP-Verzeichnisdienst ab.
Aufbau des Befehls
ldap_getcerts('ldap');
Rückgabewert
positiv immer
Parameter
ldap
'URI;BindDN;Password;SearchBase'
Parameter
Beschreibung
URI
berechtigt ist.
BindDN
Password
SearchBase
Beispiel 1
Zeile
01
Code
ldap_getcerts('ldap-directory.domain.tld;;;ou=pki-participant,
dc=pki,dc=domain,dc=tld');
Erklärung
Der LDAP-Server, welcher unter dem Fully Qualified Domain Naime (FQDN) "ldap-directory.
domain.tld" (auf dem Standardport 389) erreichbar ist, wird abgefragt.
Ein Benutzer (BindDN) mit Passwort (Password) zur Authorisierung der Abfrage ist nicht
notwendig, da es sich im Beispiel um einen öffentlichen LDAP Verzeichnisdienst handelt.
Der LDAP Pfad, in welchem die Zertifikate abliegen lautet
ou=pki-participant,dc=pki,dc=domain,dc=tld
© 2016 SEPPmail AG
375
8.7.4
ldap_getpgpkeys()
Der Befehl ldap_pgpkeys() ruft öffentliche OpenPGP Schlüssel bei einem LDAP-Verzeichnisdienst
ab.
Dieser Befehl ruft für jeden Empfänger einer E-Mail öffentliche OpenPGP Schlüssel bei einem LDAPVerzeichnisdienst ab.
Aufbau des Befehls
ldap_getpgpkeys('ldap');
Rückgabewert
positiv immer
Parameter
ldap
'URI;BindDN;Password;SearchBase'
Parameter
Beschreibung
URI
berechtigt ist.
BindDN
Password
SearchBase
Beispiel 1
Zeile
01
Code
ldap_getpgpkeys('ldap-directory.domain.tld;;;ou=pki-participant,
dc=pki,dc=domain,dc=tld');
Erklärung
Der LDAP-Server, welcher unter dem Fully Qualified Domain Naime (FQDN) "ldap-directory.
domain.tld" (auf dem Standardport 389) erreichbar ist, wird abgefragt.
Ein Benutzer (BindDN) mit Passwort (Password) zur Authorisierung der Abfrage ist nicht
notwendig, da es sich im Beispiel um einen öffentlichen LDAP Verzeichnisdienst handelt.
Der LDAP Pfad, in welchem die öffentlichen OpenPGP Schlüssel abliegen lautet
ou=pki-participant,dc=pki,dc=domain,dc=tld
© 2016 SEPPmail AG
376
8.8
Vordefinierte Funktionen
Vordefinierte Funktionen beinhalten gegebenenfalls eine Abfolge von Befehlen, welche für das
Realisieren einer bestimmten Funktion von Nöten sind. Dabei werden vor allem variable Werte aus
dem Ruleset generator 168 (des Menüs Mail Processing 160 ) übernommen.
Dadurch kann die Ruleset Programmierung dynamisch auf Änderungen variabler Werte reagieren und
wird somit vereinfacht, verkürzt und übersichtlicher.
Hinweis:
Die hier aufgelisteten Funktionen werden nur in den Custom Commands 180 des
Ruleset generator 168 s entsprechend aufgelöst!
Wird ein komplettes Ruleset in einem externen Editor erstellt und über die
Schaltfläche Upload der Sektion SMTP Ruleset 184 hochgeladen, so können diese
Funktionen nicht interpretiert werden.
8.8.1
Allgemein
8.8.1.1
@ADDDISCLAIMER@
Die Funktion @ADDDISCLAIMER@ hängt die Fussnote an, welche gemäss der managed domain
(siehe Mail System 137 Managed domains 137 Spalte "Disclaimer setting" der angezeigten
Tabelle) zur E-Mail Domäne des Absenders passt.
Beispiel
Zeile Code
01 @ADDDISCLAIMER@
8.8.1.2
@ARCHIVE@
Die Funktion @ARCHIVE@ archiviert E-Mails unter Verwendung der unter Mail Processing 160
Ruleset generator 168 Archiving 179 eingetragenen E-Mail Adresse.
Beispiel
Zeile Code
01 @ARCHIVE@
© 2016 SEPPmail AG
377
8.8.1.3
@PLAINTEXT@
(neu in 7.4.1)
Die Funktion @PLAINTEXT@ gibt das im Ruleset generator angegebene Betreffzeilen Schlüsselwort
für das Unterdrücken sämtlicher kryptographischer Verfahren (siehe Mail Processing 160 Ruleset
generator 168 General settings 168 "Do not touch mails with the following text in subject:") aus.
Beispiel
Zeile Code
02
log(1, 'meeting request, do not touch');
03
tagsubject('@PLAINTEXT@');
04 } else {
05 }
Erklärung
In diesem Beispiel wird über über den Befehl iscalendar() 355 (Zeile 01) geprüft, ob es sich bei
der E-Mail um einen Kalendereintrag handelt. Wenn dem so ist, so wird dies im Log eingetragen
(Zeile 02) und mittels tagsubject() 329 mit dem in der Administrationsoberfläche konfigurierten
Betreffzeilen Schlüsselwort (@PLAINTEXT@) als kryptographisch nicht zu behandelnd (Zeile 03)
markiert.
© 2016 SEPPmail AG
378
8.8.2
Benutzerverwaltung
8.8.2.1
@CREATEUSER@
Die Funktion @CREATEUSER@ generiert einen neuen Benutzer (siehe Users 251 ), gemäss der
Einstellungen wie sie in der Administrationsoberfläche unter Mail Processing 160 Ruleset
generator 168 User Creation 169 definiert wurden, sofern dieser nicht bereits vorhanden ist.
Beispiel
Zeile Code
01 @CRAETEUSER@
8.8.2.2
@CREATEGPGKEYS@
Die Funktion @CREATEGPGKEYS@ erzeugt für den Absender einer E-Mail ein Schlüsselpaar, so wie es
in der Administrationsoberfläche (siehe Mail Processing 160 Ruleset generator 168 Key
Generation 177 ) definiert wurde.
Beispiel
Zeile Code
01 createaccount('@CREATEGPGKEYS@');
© 2016 SEPPmail AG
379
8.8.3
GINA-Beutzerverwaltung
8.8.3.1
Die Funktion @CREATESEPPMAILACCOUNT@ generiert einen neuen GINA-Benutzer (siehe GINA
accounts 260 ), gemäss der Einstellungen wie sie in der Administrationsoberfläche unter Mail
Processing 160 GINA settings 160 , beziehungsweise Edit GINA settings 196 definiert wurden,
sofern dieser nicht bereits vorhanden ist.
Beispiel
Zeile Code
01 @CREATESEPPMAILACCOUNT@
© 2016 SEPPmail AG
380
8.8.4
Signatur
8.8.4.1
@SIGNTEXT@
Die Funktion @SIGNTEXT@ gibt das im Ruleset generator angegebene Betreffzeilen Schlüsselwort für
das Signieren (siehe Mail Processing 160 Ruleset generator 168 Signing 174 Outgoing e-mails
"S/MIME sign outgoing mails with the following text in subject:") aus.
Beispiel
Zeile Code
01 tagsubject('@SIGNTEXT@');
8.8.4.2
@NOSIGNTEXT@
Die Funktion @NOSIGNTEXT@ gibt das im Ruleset generator angegebene Betreffzeilen Schlüsselwort
für das Unterdrücken des Signierens (siehe Mail Processing 160 Ruleset generator 168 Signing
174 Outgoing e-mails "Do not S/MIME sign outgoing mails with the following text in subject:") aus.
Beispiel
Zeile Code
02
log(1, 'meeting request, do not encrypt or sign');
03
compare('subject','substitute','@SIGNTEXT@');
04
tagsubject('@NOSIGNTEXT@');
05 } else {
06 }
Erklärung
In diesem Beispiel wird über über den Befehl iscalendar() 355 (Zeile 01) geprüft, ob es sich bei
(Zeile 02). Ein eventuell vorhandenes Schlüsselwort (tag) zum Signieren (@SIGNTEXT@ 380 ) der EMail wird entfernt (Zeile 03) und - für den Fall, dass die Option für das Signieren aller
ausgehenden E-Mails gesetzt ist - als nicht zu signierend (@NOSIGNTEXT@) (Zeile 04) markiert.
© 2016 SEPPmail AG
381
8.8.4.3
@TAGSIGNED@
Die Funktion @TAGSIGNED@ fügt dem Betreff der E-Mail die zur Kennzeichnung erfolgreich geprüfter
Signaturen definierte Markierung hinzu (siehe Mail Processing 160 Ruleset generator 168
Signing 174 Incoming e-mails "Add this text to message subject if S/MIME signature check
succeeds:").
Beispiel
Zeile Code
01 if (validate_smime_sig('true')) {
02
log(1, 'smime signed valid');
03
@TAGSIGNED@
04 } else {
05
log(1, 'smime signed, but signature invalid');
06 }
Erklärung
In diesem Beispiel wird über über den Befehl validate_smime_sig() 346 (Zeile 01) die
Signatur einer E-Mail überprüft. Ist die Signatur valide, so wird das mittels log() 300 in das Log
geschrieben (Zeile 02). Zusätzlich wird über die Funktion @TAGSIGNED@ 381 (Zeile 03) dem
Betreff der E-Mail das Kennzeichen für erfolgreich geprüfte Signaturen - im Standard [signed OK]
angefügt.
Ist die Signatur ungültig, so wird dies ebenfalls über den Befehl log() 300 in das Log geschrieben
(Zeile 05).
8.8.4.4
@TAGSIGNEDINVALID@
Die Funktion @TAGSIGNEDINVALID@ fügt dem Betreff der E-Mail die zur Kennzeichnung ungültiger
Signaturen definierte Markierung hinzu (siehe Mail Processing Ruleset generator Signing 174
Incoming e-mails Add this text to message subject if S/MIME signature check fails:).
Beispiel
Zeile Code
01 if (validate_smime_sig('true')) {
02
log(1, 'smime signed valid');
03 } else {
04
log(1, 'smime signed, but signature invalid');
05
@TAGSIGNEDINVALID@
06 }
Erklärung
In diesem Beispiel wird über über den Befehl validate_smime_sig() 346 (Zeile 01) die
Signatur einer E-Mail überprüft. Ist die Signatur valide, so wird das mittels log() 300 in das Log
geschrieben (Zeile 02).
Ist die Signatur ungültig, So wird dies ebenfalls über den Befehl log() 300 in das Log
geschrieben (Zeile 04). Zusätzlich wird über die Funktion @TAGSIGNEDINVALID@ 381 (Zeile 05)
dem Betreff der E-Mail das Kennzeichen für ungültige Signaturen - im Standard [signed INVALID]
- angefügt.
© 2016 SEPPmail AG
382
8.8.4.5
@REMOVETAGS@
Die Funktion @REMOVETAGS@ entfernt alle von der Appliance verwendeten Betreffzeilen
Schlüsselworte, welche auf eine signierte E-Mail hindeuten (siehe Mail Processing 160 Ruleset
generator 168 Signing 174 Incoming e-mails), aus einer E-Mail. Somit erfüllt diese Funktion die
Summe aus den Funktionen @REMOVETAGSIGNED@ 382 und @REMOVETAGSIGNEDINVALID@ 382 .
Beispiel
Zeile Code
01 @REMOVETAGS@
8.8.4.6
@REMOVETAGSIGNED@
Die Funktion @REMOVETAGSIGNED@ entfernt das in der Appliance (siehe Mail Processing 160
Ruleset generator 168 Signing 174 Incoming e-mails "Add this text to message subject if S/MIME
signature check succeeds:") festgelegte Schlüsselwort (tag), welches nach dem erfolgreichen Prüfen
einer S/MIME Signatur - im Standard [signed OK] - gesetzt wird, aus dem Betreff einer E-Mail.
Beispiel
Zeile Code
01 @REMOVETAGSIGNED@
8.8.4.7
@REMOVETAGSIGNEDINVALID@
Die Funktion @REMOVETAGSIGNEDINVALID@ entfernt das in der Appliance über den Ruleset
generator(siehe Mail Processing 160 Ruleset generator 168 Signing 174 Incoming e-mails
"Add this text to message subject if S/MIME signature check fails:") festgelegte Schlüsselwort (tag),
welches nach dem Prüfen einer S/MIME signierten E-Mail mit ungültiger Signatur - im Standard ist
das [signed INVALID] - gesetzt wird, aus dem Betreff einer E-Mail.
Beispiel
Zeile Code
01 @REMOVETAGSIGNEDINVALID@
© 2016 SEPPmail AG
383
8.8.5
Verschlüsselung
8.8.5.1
@TRIGGERTEXT@
Die Funktion @TRIGGERTEXT@ gibt das im Ruleset generator angegebene Betreffzeilen
Schlüsselwort für das Verschlüsseln (siehe Mail Processing 160 Ruleset generator 168
Encryption / Decryption 171 Outgoing e-mails "Always encrypt mails with the following text in
subject:") aus.
Beispiel
Zeile Code
01 if (rmatchsplit('@test\.tld')) {
02
log(1, 'e-mail to domain test.tld, force encryption');
03
tagsubject('@TRIGGERTEXT@');
04 } else {
05 }
Erklärung
In diesem Beispiel wird über den Befehl rmatchsplit() 299 (Zeile 01) geprüft, ob Empfänger
der E-Mail zur E-Mail Domäne "@test.tld" gehören. Für diese Empfänger wird ein entsprechender
Log Eintrag erzeugt (Zeile 02). Anschliessend wird durch das Setzen des Betreffzeilen
Schlüsselwortes aus der Administrationsoberfläche mittels tagsubject() 329 (Zeile 03), das
Verschlüsseln der E-Mail erzwungen.
8.8.5.2
@NOENCTEXT@
Die Funktion @NOENCTEXT@ gibt das im Ruleset generator angegebene Betreffzeilen Schlüsselwort
für das Unterdrücken des Verschlüsselns (siehe Mail Processing 160 Ruleset generator 168
Encryption / Decryption 171 Outgoing e-mails "Do not encrypt mails with the following text in
subject:") aus.
Beispiel
Zeile Code
02
log(1, 'meeting request, do not encrypt');
03
tagsubject('@NOENCTEXT@');
04 } else {
05 }
Erklärung
In diesem Beispiel wird über den Befehl iscalendar( 355 ) 355 (Zeile 01) geprüft, ob es sich bei
(Zeile 02) und mittels tagsubject() 329 als nicht zu verschlüsselnd (@NOENCTEXT@) (Zeile 03)
markiert.
© 2016 SEPPmail AG
384
8.8.5.3
@KEYSERVER@
Die Funktion @KEYSERVER@ sucht auf den unter Mail Processing 160 Ruleset generator 168 Key
server 181 eingetragenen Schlüssel-Servern nach öffentlichen Schlüsseln - egal ob OpenPGP oder S/
MIME - für das Verschlüsseln an externe Kommunikationspartner.
Beispiel
Zeile
01
02
03
04
05
06
07
08
09
10
11
Code
@KEYSERVER@
if (pgp_keys_avail()){
log(1, 'OpenPGP key available');
if (encrypt_pgp()) {
log(1, 'mail successfully OpenPGP encrypted');
} else {
log(1, 'mail could not be OpenPGP encrypted');
}
} else {
log(1, 'no OpenPGP key available');
}
Erklärung
In diesem Beispiel wird über @KEYSERVER@ 384 definiert, dass öffentliche Schlüssel - egal ob S/
MIME oder OpenPGP - nicht nur lokal auf der Appliance, sonder auch auf den in der
Administrationsoberfläche angegebenen Schlüssel-Servern (siehe Mail Processing 160
Ruleset generator 168 Key server 181 ) gesucht werden soll (Zeile 01).
Der Befehl pgp_keys_avail() 336 prüft somit sowohl lokal auf der Appliance als auch auf den in
der Administrationsoberfläche angegebenen Schlüsselservern, ob ein passender, Benutzer
basierter öffentlicher - im Beispiel OpenPGP - Schlüssel für das Verschlüsseln zur Verfügung
steht (Zeile 2). Das Ergebnis dieser Abfrage wird protokolliert (Zeile 03 und 10). Steht ein
entsprechender Schlüssel zur Verfügung, wird mit dem Verschlüsseln fortgefahren (Zeile 04),
dessen Erfolg beziehungsweise Misserfolg ebenfalls protokolliert wird (Zeile 05 und 07).
© 2016 SEPPmail AG
385
8.8.5.4
@TAGDECRYPTED@
Die Funktion @TAGDECRYPTED@ fügt dem Betreff einer E-Mail das im Ruleset generator (siehe Mail
Processing 160 Ruleset generator 168 Encryption / Decryption 171 Incoming e-mails "Add
this text to message
subject after decryption") eingetragene Schlüsselwort für entschlüsselte E-Mails an.
Beispiel
Zeile Code
02
log(1, 'mail is smime signed encrypted');
03
@TAGDECRYPTED@
04 } else {
05
log(1, 'mail could not be smime decrypted');
06 }
Erklärung
In diesem Beispiel wird über über den Befehl decrypt_smime() 342 (Zeile 01) versucht die EMail mit einem passenden S/MIME User-Key zu entschlüsseln. Gelingt dies, so wird das mittels
log() 300 in das Log geschrieben (Zeile 02). Zusätzlich wird über die Funktion @TAGDECRYPTED@
385 (Zeile 03) dem Betreff der E-Mail das Kennzeichen für die erfolgreiche Entschlüsselung (im
Standard [secure]) hinzugefügt.
Schlägt die Entschlüsselung fehl, so wird dies ebenfalls über den Befehl log() 300 in das Log
8.8.5.5
Die Funktion @REMOVETAGDECRYPTED@ entfernt das in der Appliance (siehe Mail Processing 160
Ruleset generator 168 Encryption / Decryption 171 Incoming e-mails "Add this text to
message subject after decryption") festgelegte Schlüsselwort (tag), welches nach erfolgreichem
Entschlüsseln gesetzt wird - im Standard [secure] - aus dem Betreff einer E-Mail.
Beispiel
Zeile Code
01 @REMOVETAGDECRYPTED@
© 2016 SEPPmail AG
386
8.8.6
LFT
8.8.6.1
@REMOVELFMTAGS@
Die Funktion @REMOVELFMTAGS@ entfernt alle von der Appliance für LFT verwendeten Tags
(Betreffzeilen Schlüsselworte) aus einer E-Mail, also [lfm] und [lfm:nocrypt] (siehe auch Tabelle 1 des
Kapitels Steuern der Appliance 86 ).
Beispiel
Zeile Code
01 @REMOVELFMTAGS@
© 2016 SEPPmail AG
387
8.8.7
Header Tagging
8.8.7.1
Die Funktion @TAGHEADERENCRYPTED@ fügt einer E-Mail den im Ruleset generator 168 (siehe
Mail Processing 160 Ruleset generator 168 Header Tagging 179 "Set header
to value
For
all mails that have been encrypted") eingetragenen X-headermit dem entsprechenden Wert an.
Beispiel
Zeile Code
01 if (encrypt_smime()) {
02
log(1, 'mail successfully smime encrypted');
03
04 } else {
05
06 }
Erklärung
In diesem Beispiel wird über über den Befehl encrypt_smime() 344 (Zeile 01) versucht die EMail mit einem passenden S/MIME Zertifikat zu verschlüsseln. Gelingt dies, so wird das mittels
log() 300 in das Log geschrieben (Zeile 2). Zusätzlich wird über die Funktion
@TAGHEADERENCRYPTED@ 387 (Zeile 03) der E-Mail der X-headerfür erfolgreich verschlüsselte EMails angefügt.
Schlägt die Verschlüsselung fehl, so wird dies ebenfalls über den Befehl log( 300 in das Log
8.8.7.2
Die Funktion @TAGHEADERDECRYPTED@ fügt einer E-Mail den im Ruleset generator 168 (siehe
Mail Processing 160 Ruleset generator 168 Header Tagging 179 "Set header
to value
For
all mails that have been decrypted") eingetragenen X-headermit dem entsprechenden Wert an.
Beispiel
Zeile Code
02
log(1, 'mail is smime decrypted');
03
04 } else {
05
06 }
Erklärung
In diesem Beispiel wird über über den Befehl decrypt_smime() 342 (Zeile 01) versucht die EMail mit einem passenden S/MIME User-Key zu entschlüsseln. Gelingt dies, so wird das mittels
log( 300 in das Log geschrieben (Zeile 2). Zusätzlich wird über die Funktion
@TAGHEADERDECRYPTED@ 387 (Zeile 03) der E-Mail der X-headerfür erfolgreich entschlüsselte EMails angefügt.
Schlägt die Entschlüsselung fehl, so wird dies ebenfalls über den Befehl log( 300 in das Log
© 2016 SEPPmail AG
388
8.9
Anwendungsbeispiele für das Regelwerk
Die hier dargestellten Codebeispiele sollen als Vorlage zur Abbildung spezifischer Anforderungen
dienen.
Achtung:
Bei den hier aufgelisteten Code-Beispielen handelt es sich lediglich Vorschläge
beziehungsweise Empfehlungen!
Vor dem Aktivieren von "Custom Commands" ist in jedem Fall zu prüfen ob
das jeweilige Beispiel 100%ig auf die Anforderung passt
gegebenenfalls Anpassungen erforderlich sind
der entsprechende Code das gewünschte Verhalten ohne Seiteneffekte
hervorruft.
Sollten Kombinationen aus diesen Code-Beispielen benötigt werden, so ist unbedingt
auf die korrekte Reihenfolge sowie der entsprechenden Platzierung im Regelwerk zu
achten.
© 2016 SEPPmail AG
389
8.9.1
Bounce von E-Mails nicht authentifizierter Benutzer
Wurde unter Mail Processing 160 Ruleset generator 168 User Creation 169 die Option "Manual
user creation: Only process outgoing mails from users with an account" gewählt, so werden im
Standardverhalten der Appliance E-Mails von Benutzern aus managed domains auch trotz
angeforderter, kryptographischer Aktion unbehandelt durchgeleitet, sofern diese Absender keinen
Benutzer Account (siehe Users 251 ) auf der Appliance haben.
Sollen E-Mails dieser Absender entgegen dem Standardverfahren abgewiesen (bounced) werden, so
kann dies über einen Custom Commands 180 erreicht werden.
Konfigurationsvorschlag
Anlegen des templates "bounce_no_user" über Mail Processing 160 Edit e-mail
templates 166
Navigieren zu Mail Processing 160 Ruleset generator 168 Custom Commands 180
"Custom commands for User Creation:"
Aktivieren der Option, sowie Einfügen des folgenden Codes in das darunter liegende
Eingabefeld:
Zeile Code
01 log(1, 'Starting Custom commands for User Creation');
02 if (!authenticated()) {
03
bounce('bounce_no_user', 'true');
04
log(1, 'user account missing, bouncing e-mail');
05 }
Umstellen der Option Mail Processing 160 Ruleset generator 168 User Creation 169 von
"Manual user creation: Only process outgoing mails from users with an account"
auf
"automatically create accounts for new users if user tries to sign / encrypt"
Beschreibung
Die unter "Custom commands for User Creation:" aufgeführten Befehle werden durch verwenden
der Option "automatically create accounts for new users if user tries to sign / encrypt" immer dann
ausgeführt, wenn kryptographische Aktionen angefordert wurden, der anfordernde Absender
jedoch nicht als Benutzer auf der Appliance vorhanden ist.
Da nur bereits - manuell - angelegten Benutzern das Ausführen kryptographischer Aktionen
gestattet sein soll, wird nun - anstatt einen Benutzer anzulegen - die betreffende E-Mail
abgewiesen (gelöscht), eine Bounce-Mail unter Verwendung der Vorlage "bounce_no_user" und
mit dem header der ursprünlichen E-Mail an den Absender gesendet (Zeile 03) und der Vorgang
in das Log geschrieben (Zeile 04).
Damit im Ruleset die entsprechende Stelle erreicht werden kann, muss die User Creation 169
von "Manual user creation" auf "Automatically create accounts for new users if user tries to sign /
encrypt" umgestellt werden.
Variationen
Anstelle des Befehls bounce() 314 kann die E-Mail auch über den Befehl drop() 318 abgewiesen
werden.
Verwendete
Befehle
authenticated() 303
bounce() 314
drop() 318
log() 300
© 2016 SEPPmail AG
390
Funktionen
keine
© 2016 SEPPmail AG
391
8.9.2
Einschränken des automatischen Generierens von Benutzern auf einen
bestimmten Personenkreis via LDAP
Soll das automatische Generieren von Benutzern auf einen bestimmten Personenkreis eingeschränkt
werden, so kann dies zum Beispiel durch die Abfrage eines LDAP-Verzeichnisdienstes erfolgen.
Überprüfen der Einstellung Mail Processing 160 Ruleset generator 168 User Creation 169
"Automatically create accounts for new users if user tries to sign / encrypt"
"Custom commands for User Creation:"
Eingabefeld:
Zeile Code
01 log(1, 'Starting Custom commands for User Creation');
02
DC=Firma,DC=local;(mail=$from)','memberOF',
'SecureMail')) {
log(1, '$from is member of SecureMail, creating user,
03
generating keys');
04
05 } else {
06
log(1, '$from is not member of SecureMail, bouncing e-mail');
07
08 }
Beschreibung
Der Abschnitt "Custom commands for User Creation:" wird bei aktiver Option "automatically create
accounts for new users if user tries to sign / encrypt" nur dann ausgeführt, wenn vom Absender
eine kryptographische Aktion angefordert wurde, dieser jedoch noch nicht als Benutzer auf der
SEPPmail Appliance vorhanden ist. Sind diese Voraussetzungen gegeben, wird in diesem Beispiel
zunächst über eine LDAP-Anfrage (in diesem Fall AD) die Zugehörigikeit des Absenders zur
berechtigten Gruppe geprüft (Zeile 02). Ist der Absender berechtigt, so wird dies im Log
eingetragen (Zeile 03) und der Absender als Benutzer in der SEPPmail Appliance, mit den unter
Mail Processing 160 Ruleset generator 168 Key Generation 177 angegebenen
Schlüsselmaterial, angelegt (Zeile 04). Andernfalls wird dies ebenfalls in das Log eingetragen
(Zeile 06), die E-Mail jedoch abgewiesen (Zeile 07).
Verwendete
Befehle
bounce() 314
createaccount() 305
ldap_compare() 369
log() 300
Funktionen
@CREATEGPGKEYS@ 378
© 2016 SEPPmail AG
392
8.9.3
Einschränken des für kryptographische Aktionen berechtigten
Personenkreises mittels LDAP Abfrage
Soll die Berechtigung für das Durchführen kryptographischer Aktionen im Live-Betrieb geprüft werden,
so kann dies mittels Abfrage eines LDAP-Verzeichnisdienstes realisiert werden.
Achtung:
Durch diese Art der Implementierung wird beim Versand jeder einzelnen,
kryptographisch zu behandelnden E-Mail eine LDAP-Abfrage gestartet. Dies kann zu
erheblichen Performance Einbussen, beziehungsweise gegebenenfalls auch zum
Überlasten des/r LDAP-Server/s führen.
"Custom commands for outgoing e-mails BEFORE encryption:"
Eingabefeld:
Zeile
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
Code
log(1, 'Starting Custom commands for outgoing e-mails BEFORE
encryption');
if(ldap_compare('192.168.10.10,192.168.10.11;CN=Peter Mueller,
DC=local;mypassword;OU=SBSUsers,OU=Users,
OU=MyBusiness,DC=Firma,DC=local;(mail=$from)',
'memberOF','SecureMail')) {
} else {
log(1, '$from is member of SecureMail, creating user,
generating keys');
}
} else {
log(1, '$from is not longer member of SecureMail, revoking
permission to encrypt and/or sign e-mails');
} else {
log(1, '$from is not member of SecureMail, user does
not exist, nothing to do');
}
### force domain encryption - if available - for unlicensed users
### only needed if "Always use S/MIME or OpenPGP if keys are
available" is selected
16
17
18
19
20
21
22 -
if (domain_smime_keys_avail()) {
log(1, 'found S/MIME domain certificate for recipient(s) $to trying to encrypt mail');
if (encrypt_domain_smime()) {
log(1, 'S/MIME Domain Encryption successful for
recipient(s) $to');
deliver();
} else {
log(1, 'S/MIME Domain Encryption FAILED for recipient(s) $to
© 2016 SEPPmail AG
393
Zeile
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
Code
trying OpenPGP Domain Encryption');
}
} else {
log(1, 'no S/MIME domain certificate found for recipient(s)
$to - trying OpenPGP Domain Encryption');
}
if (domain_pgp_keys_avail()) {
log(1, 'found OpenPGP public domain key for recipient(s) $to trying to encrypt mail');
if (encrypt_domain_pgp('no', '')) {
log(1, 'OpenPGP Domain Encryption successful for
recipient(s) $to');
deliver();
} else {
log(1, 'pgp domain encryption FAILED - going on without any
action');
}
} else {
log(1, 'Recipient(s) $to have no valid public OpenPGP key');
}
### end forcing domain encryption
38 }
Beschreibung
In diesem Beispiel wird zunächst über eine LDAP-Anfrage (in diesem Fall AD) die Zugehörigikeit
des Absenders zur berechtigten Gruppe geprüft (Zeile 02). Ist der Absender berechtigt, so wird
geprüft, ob er bereits ein Konto auf der SEPPmail Appliance hat (Zeile 03). Ist ein Konto
vorhanden, so werden diesem die Rechte für das Verschlüsseln/Signieren zugewiesen (Zeile 04).
Andernfalls wird zunächst ein Log Eintrag (Zeile 06) und anschliessend ein neues Benutzerkonto
für den Absender erzeugt und mit Schlüsselmaterial gemäss der Einstellungen unter Mail
Processing 160 Ruleset generator 168 Key Generation 177 bestückt (Zeile 07).
Ist der Absender im Besitz eines Kontos auf der SEPPmail Appliance, jedoch nicht mehr Mitglied
der entsprechenden AD-Gruppe (Zeile 10), so wird dies im Log vermerkt (Zeile 11) und dem
Benutzer die Rechte für das Verschlüsseln/Signieren entzogen (Zeile 12) (damit das
Schlüsselmaterial auf der Appliance erhalten bleibt, wird das Konto lediglich deaktiviert, nicht
gelöscht. Durch das deaktivieren des Benutzerkontos wird die verwendete Benutzerlizenz wieder
freigegeben).
Für Absender, welche weder im Besitz eines Benutzerkontos, noch Mitglied der berechtigenden
AD-Gruppe sind, ist keine Aktion erforderlich. Dies wird so in das Log eingetragen (Zeile 14).
Die durch die Kommentarzeilen "### force domain encryption" und "### end forcing
domain encryption" eingegrenzten Befehle sind nur dann notwendig, wenn die Option "Always
use S/MIME or OpenPGP if keys are available" des Abschnitts Mail Processing 160 Ruleset
generator 168 Encryption/Decryption 171 aktiviert wurde, damit die Domänenverschlüsselung
auch dann zu tragen kommt, wenn vom Empfänger ein öffentlicher Schlüssel vorhanden, der
Absender jedoch nicht in der Gruppe der zum Verschlüsseln berechtigten Personen ist.
So wird zunächst geprüft, ob ein öffentlicher S/MIME Domänenschlüssel der Ziel-E-Mail Domäne
(n) vorhanden ist (Zeile 16). Ist dies der Fall, so wird das protokolliert (Zeile 17) und die E-Mail an
die Ziel-E-Mail Domänen mit dem jeweiligen Schlüssel verschlüsselt (Zeile 18), im Log
dokumentiert (Zeile 19) und die E-Mail ausgeliefert (Zeile 20). Schlägt die Verschlüsselung fehl,
so wird dies ebenso protokolliert (Zeile 22), als wenn kein S/MIME Schlüssel des/r Empfänger
vorhanden ist (Zeile 25).
Für diejenigen Empfänger Domänen, für die kein S/MIME Schlüssel bekannt ist, oder die
© 2016 SEPPmail AG
394
Verschlüsselung fehlschlug, wird nun versucht, mit einem öffentlichen OpenPGP Domänen
Schlüssel zu verschlüsseln.
Auch hier wird zunächst geprüft, ob ein öffentlicher OpenPGP Domänenschlüssel der Ziel-E-Mail
Domäne(n) vorhanden ist (Zeile 27). Ist dies der Fall, so wird das protokolliert (Zeile 28) und die
E-Mail an die Ziel-E-Mail Domänen mit dem jeweiligen Schlüssel verschlüsselt (Zeile 29), im Log
dokumentiert (Zeile 30) und die E-Mail ausgeliefert (Zeile 31). Schlägt die Verschlüsselung fehl,
so wird dies ebenso protokolliert (Zeile33), als wenn kein S/MIME Schlüssel des/r Empfänger
vorhanden ist (Zeile 36).
Es wird im Standard Ruleset - gegebenfalls unverschlüsselt - fortgefahren.
Verwendete
Befehle
authenticated() 303
createaccount() 305
deliver() 315
domain_pgp_keys_avail() 333
domain_smime_keys_avail() 340
encrypt_domain_pgp() 334
encrypt_domain_smime() 341
ldap_compare() 369
log() 300
setuserattr() 307
Funktionen
@CREATEGPGKEYS@ 378
© 2016 SEPPmail AG
395
8.9.4
GINA-Verschlüsselung zwischen Mandanten erzwingen
Ist die SEPPmail Appliance als mandantenfähiges System (siehe Customers 274 ) mit der
Anforderung eingerichtet, alle E-Mails mit einem Verschlüsselungskennzeichen zwischen den
Mandanten mittels GINA Technologie zu verschlüsseln, so kann dies zum Beispiel wie folgt realisiert
werden.
"Custom commands for outgoing e-mails BEFORE decryption:"
Einfügen des folgenden Codes in das Eingabefeld:
Zeile
01
02
Code
decryption');
if (from_managed_domain()) {
03
if (compare('x-smenc', 'equal', 'yes')) {
log(1, 'Encryption requested by AddIn, set X-headerfor
GINA encryption');
setheader('x-smwebmail', 'yes');
rmheader('x-smenc');
} else {
}
04
05
06
07
08
09
if (compare('subject', 'substitute', '(?i)@TRIGGERTEXT@')) {
log(1, 'Encryption requested by tag @TRIGGERTEXT@, set
X-headerfor GINA encryption');
} else {
}
10
11
12
13
14
15
16
17
18
19
20
if (compare('sensitivity', 'equal', '(?i)companyconfidential'))
{
log(1, 'Encryption requested by sensitivity flag, set
X-headerfor GINA encryption');
rmheader('sensitivity');
} else {
}
22
23
24
if (compare('subject', 'substitute', '\[priv\]')) {
log(1, 'GINA encryption requested by tag
[priv], set X-headerfor GINA encryption');
} else {
}
25
26
27
28
29
30
31
32
if (compare('x-smwebmail', 'equal', 'yes')) {
log(1, 'Encrypting with GINA technology');
rmheader('x-smwebmail');
compare('subject', 'substitute', '\[.*?\].*?');
@CREATEUSER@
if (encrypt_webmail()) {
@TAGSIGNED@
21
© 2016 SEPPmail AG
396
Zeile
33
34
35
36
37
38
39
40
Code
} else {
log(1, 'webmail encryption failed');
drop ('550', 'Mail not accepted');
}
} else {
}
} else {
}
Beschreibung
Zunächst wird hier geprüft, ob die E-Mail von einer bekannten Maildomäne (siehe Mail System
137 Managed domains 137 ) stammt (Zeile 02). In den nächsten Schritten wird jeweils geprüft,
ob vom Absender ein anderes Verschlüsselungsmerkmal als der X-headerfür die GINAVerschlüsselung gesetzt wurde (Zeile 03, 09, 14, 20). Sollte ein anderes
Verschlüsselungsmerkmal vorhanden sein, so wird dieses jeweils in den X-headerfür das Triggern
der GINA-Verschlüsselung umgesetzt, protokolliert und der Ursprungstrigger entfernt (Zeile 04-06,
10+11, 15-17, 21+22).
Abschliessend wird nun auf den X-headerfür die GINA-Verschlüsselung (x-smwebmail) geprüft
(Zeile 25). Ist dieser vorhanden, so wird dies protokolliert (Zeile 26), der X-headerentfernt (Zeile
27), alle eventuell noch vorhandenen Betreffzeilen Schlüsselworte (im Beispiel müssten diese
jeweils in eckigen Klammern [] stehen) entfernt (Zeile 28), ein Benutzer angelegt, sofern nicht
bereits vorhanden (Zeile 29), ein GINA-Account angelegt, sofern nicht bereits vorhanden (Zeile
30), und die E-Mail GINA verschlüsselt (Zeile 31). War das Verschlüsseln erfolgreich, so wird
(optional)die E-Mail als erfolgreich signiert gekennzeichnet (Zeile 32). Anderfalls wird das
Fehlschlagen der Verschlüsselung protokolliert (Zeile 34) und die Email verworfen (Zeile 35).
Variationen
Zurückweisen von E-Mails bei Fehlschlagen der GINA Verschlüsselung anstatt diese zu verwerfen
Hierfür ist folgende Zeile wie folgt zu ändern:
Zeile
35
Code
Verwendete
Befehle
bounce() 314
compare() 292
drop() 318
encrypt_webmail() 350
from_managed_domain() 297
log() 300
rmheader() 326
setheader() 327
Funktionen
@CREATEUSER@ 378
@CREATESEPPMAILACCOUNT@ 379
@TAGSIGNED@ 381
@TRIGGERTEXT@ 383
© 2016 SEPPmail AG
397
8.9.5
Behandlung von E-Mails zwischen Mandanten
Auf mandantenfähigen Systemen ist das Standardverhalten bei der Kommunikation zwischen den
Mandanten systembedingt anders, als bei der Kommunikation hin zu externen
Kommunikationspartnern.
Wird zum Beispiel eine E-Mail vom Absender an einen anderen Mandanten auf der gleichen
SEPPmail Appliance als zu verschlüsselnd markiert, so ergäbe es keinen Sinn diese zu verschlüsseln
und anschliessend sofort wieder zu entschlüsseln.
Um das Markieren der E-Mails so anzupassen, dass es für den jeweiligen Empfänger-Mandanten so
aussieht, als käme die E-Mail aus dem Internet und nicht von einem anderen Mandanten auf der
gleichen SEPPmail Appliance Appliance, sind die folgenden "Custom Commands" in das Ruleset
einzubinden.
Achtung:
Der Grund, weshalb diese Funktion nicht bereits im Standard Bestandteil
mandantengetrennter Systeme ist, liegt in einem gewissen Gefahrenpotential, bei
unsachgemäss eingerichteter Infrastruktur.
Deshalb ist vor dem Aktivieren dieses „Custom“ Teils unbedingt vom Betreiber sicher
zu stellen – in der Regel durch vorgeschaltete Schutzinstanzen – dass weder aus
dem Internet, noch von managed domains anderer, auf der SEPPmail Appliance
verwalteten Mandanten, E-Mails mit gefälschtem Absender auf die SEPPmail
Appliance gelangen (siehe gegebenenfalls auch Mail System 137 Managed
domains 137 Edit managed domain 147 Settings 147 "Allowed outgoing sending
servers").
Würde eine, aus dem Internet stammende E-Mail, mit einer gefälschten
Absenderadresse einer managed domain auf die Appliance gelangen, so würde
diese ebenfalls gemäß diesem Ruleset behandelt und somit fälschlicherweise als
„sicher“ eingestuft!
"Custom commands for outgoing e-mails BEFORE decryption:"
Aktivieren der Option sowie Einfügen des folgenden Codes in das darunter liegende
Eingabefeld:
Zeile
Code
01
decryption');
02 if (from_managed_domain()) {
03 log(1, 'Mail is from managed domain');
04
05
06
07
08
09
if (compare('x-smsign', 'equal', 'yes')) {
log(1, 'Signing requested by AddIn, tag as signed ok');
@TAGSIGNED@
} else {
}
10
11
12
13
14
if (compare('subject', 'substitute', '@SIGNTEXT@')) {
log(1, 'Signing requested by subject tag, tag as signed ok');
@TAGSIGNED@
} else {
}
15
if (compare('sensitivity', 'equal', 'private')) {
log(1, 'GINA encryption requested by sensitivity flag, encrypt
with GINA');
16
© 2016 SEPPmail AG
398
Zeile
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47 }
48
Code
@CREATEUSER@
deliver();
} else {
log(1, 'GINA encryption failed');
}
} else {
}
if (compare('subject', 'substitute', '[priv]')) {
log(1, 'GINA encryption requested by sensitivity flag, encrypt
with GINA');
@CREATEUSER@
deliver();
} else {
log(1, 'GINA encryption failed');
}
} else {
}
log(1, 'Deleting encryption triggers, tag as secure');
if (compare('x-smenc', 'equal', 'yes')) {
} else {
}
compare('subject', 'substitute', '@TRIGGERTEXT@');
@TAGDECRYPTED@
deliver();
else {
log(1, 'Mail is not from managed domain, going on in standard
ruleset');
49 }
Beschreibung
Mit Zeile 1 wird der Beginn der "Custom Command" Abfolge in das Log geschrieben
In Zeile 2 wird geprüft, ob eine E-Mail von einer auf der SEPPmail Appliance verwalteten E-Mail
Domäne (managed domain) - also einem anderen Mandanten - kommt. Falls nicht, wird dies im
Log eingetragen (Zeile 47) und im Standard Ruleset fortgefahren.
Die beiden folgenden Anweisungsblöcke sind nur dann relevant, wenn die Optionen Mail
Processing 160 Ruleset generator 168 Signing 174 Outgoing e-mails "S/MIME sign outgoing
mails with the following text in subject:" beziehuingsweise Incoming e-mails "Add this text to
message subject if S/MIME signature check succeeds:" aktiv sind.
Im Block Zeile 4 - 9 wird geprüft, ob die E-Mail mittels Outlook AddIn als zu signierend
gekennzeichnet wurde. Ist dies der Fall, so wird der entsprechende X-header(x-smsign) aus der
E-Mail entfernt und dem Betreff der E-Mail das Kennzeichen für eine gültige Signatur - im
Standard [signed OK] - hinzugefügt.
Im Block Zeile 10 - 14 wird geprüft, ob die E-Mail mittels Betreffzeilen Kennzeichen - im Standard
[sign] - als zu signierend gekennzeichnet wurde. Ist dies der Fall, so wird dieses Kennzeichen mit
dem Kennzeichen für eine gültige Signatur - im Standard [signed OK] - ersetzt.
Der Anweisungsblock Zeile 15 - 26 ist nur dann relevant, wenn die Option "Always use GINA
© 2016 SEPPmail AG
399
technology for mails with Outlook "private" flag set" unter Mail Processing 160 Ruleset
generator 168 Encryption/Decryption 171 aktiv ist.
Es wird geprüft, ob GINA-Verschlüsselung über den SENSITIVITY-header (dieser wird zum
Beispiel im Outlook durch das Setzen des Vertraulichkeits-Flags gesetzt) "private" angefordert
wurde. Ist dies der Fall, so wird die E-Mail GINA-verschlüsselt.
Der Anweisungsblock Zeile 27 - 38 ist nur dann relevant, wenn die Option "Always use GINA
technology for mails with the following text in subject:" unter Mail Processing 160 Ruleset
generator 168 Encryption/Decryption 171 aktiv ist.
Es wird geprüft, ob GINA-Verschlüsselung über in der Option angegebene Schlüsselwort
angefordert wurde. Ist dies der Fall, so wird die E-Mail GINA-verschlüsselt.
Im Block Zeile 39 - 44 werden jegliche Verschlüsselungs-Trigger entfernt.
In Zeile 45 wird die E-Mail als sicher - im Standard [secure] - markiert, da die E-Mail sowohl beim
Übermitteln vom Absender-Mandanten, wie auch hin zum Empfänger-Mandanten über gesicherte
Kanäle stattfindet.
Verwendete
Befehle
bounce() 314
compare() 292
deliver() 315
encrypt_webmail() 350
from_managed_domain() 297
log() 300
rmheader() 326
Funktionen
@CREATESEPPMAILACCOUNT@ 379
@CREATEUSER@ 378
@TAGDECRYPTED@ 385
@TAGSIGNED@ 381
© 2016 SEPPmail AG
400
8.9.6
Unterdrücken oder Forcieren kryptographischer Aktionen an eine
bestimmte E-Mail Adresse
Sollen an eine bestimmte E-Mail Adresse oder auch E-Mail Domäne kryptographische Aktionen
unterbunden oder forciert werden, so ist dies über ein entsprechende "Custom Ruleset" möglich
"Custom commands for outgoing e-mails BEFORE encryption:"
Aktivieren der Option, sowie Einfügen des folgenden Codes für das unterdrücken
kryptographischer Aktionen in das darunter liegende Eingabefeld:
Zeile
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
Code
log(1, 'Starting Custom commands for outgoing e-mails BEFORE
encryption');
if (rmatchsplit('Empfängeradresse_oder_Domäne_welche_nicht_
kryptographisch_behandelt_werden_soll_als
_regulärer_Ausdruck')) {
compare('subject','substitute','(?i)@TRIGGERTEXT@|
(?i)@SIGNTEXT@|(?i)@NOENCTEXT@|
(?i)@NOSIGNTEXT@|(?i)\[plain\]|(?i)\[priv\]|
(?i)\[emptypw\]');
@REMOVETAGS@
@REMOVELFMTAGS@
rmheader('x-smwebmail');
rmheader('x-smemptypw');
rmheader('x-smsign');
rmheader('x-smnosign');
rmheader('x-smdomainsign');
rmheader('x-smplain');
rmheader('sensitivity');
tagsubject('[plain]');
} else {
}
Beschreibung
Zunächst wird geprüft, welche Empfänger einer Nachricht mit der angegebenen Adresse oder
Domäne übereinstimmen (Zeile 02). Für die betroffenen Empfänger werden zunächst alle für das
Steuern der Appliance möglichen Merkmale entfernt (Zeile 03 bis 14) (die Anzahl der tatsächlich
benötigten Merkmale hängt von den aktivierten Optionen des Rulesets ab und kann deshalb
erheblich geringer sein). Zuletzt wird der Betreff der E-Mail mit dem Kennzeichen einer
kryptographisch nicht zu behandelnden E-Mail versehen (Zeile 15).
Variationen
1) Sollen jegliche Bearbeitung, also auch zum Beispiel das Anhängen eines disclaimers durch die
Appliance unterdrückt werden, so kann statt dem Markieren der E-Mail auch direkt ausgeliefert
werden (Zeile 15). Hierfür ist die folgende Code Zeile wie folgt zu ändern:
Zeile
15
Code
deliver();
2)
Für das forcieren kryptographischer Aktionen ist die folgende Code Zeile zu ändern:
© 2016 SEPPmail AG
401
Zeile
15
Code
tagsubject('@TRIGGERTEXT@ @SIGNTEXT@');
Dabei würde durch @TRIGGERTEXT@ das Verschlüsseln, durch @SIGNTEXT@ das Signieren
forciert werden.
3)
Werden als Betreffzeilen Schlüssleworte zum Beispiel ausschliesslich Ausdrücke in eckigen
Klammern [] verwendet, so kann die Zeile 03 durch folgende ersetzt werden:
Zeile
03
Code
compare('subject', 'substitute', '\[.*?\].*?');
Dadurch würden alle durch eckigen Klammern [] eigegrenzten Ausdrücke im Betreff der E-Mail
entfernt werden.
4)
Werden als Betreffzeilen Schlüssleworte zum Beispiel ausschliesslich Ausdrücke in eckigen
Klammern [] verwendet, so kann die Zeil 03 durch folgende ersetzt werden:
Zeile
Code
if (rmatch('Empfängeradresse_oder_Domäne_welche_nicht_
02
kryptographisch_behandelt_werden_soll_als
_regulärer_Ausdruck')) {
Dadurch würden die gesamte E-Mail zum Verschlüsseln markiert, nicht nur an die Empfänger der
speziellen Domän(en).
Verwendete
Befehle
log() 300
compare() 292
deliver() 315
rmatch() 298
rmatchsplit() 299
rmheader() 326
tagsubject() 329
Funktionen
@NOENCTEXT@ 383
@NOSIGNTEXT@ 380
@REMOVELFMTAGS@ 386
@TAGHEADERDECRYPTED@ 387
@TRIGGERTEXT@ 383
@SIGNTEXT@ 380
@REMOVETAGS@ 382
© 2016 SEPPmail AG
402
9
HowTo
Dieses Kapitel enthält Konfiguratioinsvorschläge, insbesondere zur Anpassung der SEPPmail
Appliance an infrastrukturelle Gegebenheiten.
Achtung:
Die hier aufgeführten Konfigurationsbeispiele sind als Konfigurationsvorschlag zu
verstehen, insbesondere, wenn sich diese auf Systeme von Drittherstellern beziehen.
Systembedingt sind hier gegebenenfalls weitere Anpassungen vorzunehmen.
In jedem Fall muss die Konfiguration vor dem Produktivschalten eines Systems
getestet werden.
© 2016 SEPPmail AG
403
9.1
IBM Notes: Schaltfläche für verschlüsseltes Senden erzeugen
Aufgrund der andersgearteten Struktur von IBM Notes, kann hierfür kein AddIn zur Verfügung gestellt
werden. Jedoch bietet IBM Notes die Möglichkeit, die Mail-Schablone so anzupassen, dass auch hier
entsprechende Schaltflächen zur Verfügung stehen.
Da unter Umständen bereits vorhandene Anpassungen an der Mailschablone nicht zu gefährden,
liefern wir lediglich ein Beispiel, wie eine Schaltfläche erzeugt werden kann. Die eigentliche Änderung
obliegt dem Kunden beziehungsweise dessen Systembetreuer.
Anbei ein Beispielcode für das Einfügen einer Schaltfläche “Senden verschlüsselt”:
MEMO_SEND:=”1024?;
FIELD Subject := “[confidential]” : Subject ;
FIELD ActionInProgress:=MEMO_SEND;
@If(@Command([FileSave]);@Command([FileCloseWindow]);@Return(“”))
Somit würde das Betreffzeilen-Schlüsselwort [confidential] beim Versenden mttels der rot markerten
Schaltfläche in die Betreffzeile eingefügt werden.
Eventuell weitere Schaltflächen für das Signieren beziehungsweise gleichzeitige Verschlüsseln und
Signieren können aus diesem Beispiel abgeleitet werden.
© 2016 SEPPmail AG
404
9.2
IronPort: Anbinden der SEPPmail Appliance
Achtung:
Wichtig ist, die aktuelle Policy des IronPort Systems zu verstehen, bevor Änderungen
durchgeführt werden.
Alle einkommenden E-Mails werden von IronPort empfangen und auf SPAM und Viren geprüft. Alle
soweit geprüften E-Mails werden an die SEPPmail Appliance weitergeleitet, wo diese gegebenenfalls
entschlüsselt und zur IronPort zurück gesendet werden. Dort werden alle E-Mails (jetzt auch die
entschlüsselten) nochmals Viren und SPAM geprüft und an das interne Groupware-System, zum
Beispiel Microsoft Exchange oder IBM Domino, weitergeleitet.
Alternativ kann das IronPort-System veranlasst werden, verschlüsselte und/oder signierte E-Mails zu
erkennen und nur diese an die SEPPmail Appliance umleiten. Alle anderen E-Mails werden direkt an
das interne Groupware-System weitergeleitet.
Ausgehende E-Mails schickt das interne Groupware-System zu IronPort. Dieses leitet ausgehende EMails in jedem Fall zur SEPPmail Appliance weiter. Dort wird das Regelwerk gepflegt, welche E-Mails
signiert und verschlüsselt werden sollen. Anschliessend werden die ausgehenden E-Mails von der
SEPPmail Appliance zurück zum IronPort-System geleitet, welches als einziges System E-Mails in
Richtung Internet versendet.
Das Problem bei dieser Konfiguration ist, dass die SEPPmail Appliance in der Relayliste des IronPortSystems stehen muss, da die SEPPmail Appliance ausgehende E-Mails in Richtung Internet
versenden will. Für alle Hosts in der Relay-Liste von IronPort gilt automatisch immer die Outgoing Mail
Policy. Nach der akutellen Outgoing Policy findet dort keine Virenprüfung statt, so dass die SEPPmail
Appliance Anbindung so keinen Zusatznutzen bringt.
Dazu gibt es zwei Lösungen:
1. Die Outgoing Mail Policy auf dem IronPort System wird so umgebaut, dass sie ähnlich aussieht wie
die Incoming Policy. Das ist aber eine unschöne Lösung.
2. Sie konfigurieren einen speziellen Listener, über den die SEPPmail Appliance eingehende E-Mails
einliefert. Auf diesem Listener darf die SEPPmail Appliance nicht in der Relay-Liste eingetragen
sein. Dieser Listener kann zum Beispiel auf der bestehenden IP-Adresse 192.168.1.11 auf einen
speziellen Port (zum Beispiel 10025) gebunden sein, oder auf einer weiteren IP-Adresse im IPNetzwerk 192.168.1.0/24.
Die Umleitung kann man auf zwei Arten Implementieren:
1. per Content Filter
2. per Message Filter
Der Unterschied zwischen Message Filter und Content Filter ist, dass ein Message Filter immer auf die
gesamte E-Mail angewendet wird. Hat eine E-Mail zum Beispiel mehrere Empfänger, so gilt die Aktion
für alle Empfänger. Bei einem Content Filter kann man über verschiedene Policy-Einträge die E-Mail
aufsplitten. Das sollte in unserem Fall keine Rolle spielen. Ein weiterer Unterschied ist, dass man im
Message Filter erkennen kann, ob eine E-Mail verschlüsselt oder signiert ist und somit nur diese EMail zur SEPPmail Appliance umleiten kann.
Um die Lösung einfach und übersichtlich zu gestalten empfehlen wir, alle ausgehenden E-Mails zur
SEPPmail Appliance weiterzuleiten (nicht nur die zu verschlüsselnden oder signierenden E-Mails) und
mit einem Content Filter zu arbeiten.
© 2016 SEPPmail AG
405
Konfiguration
IronPort
Bestehender Listener mit SEPPmail Appliance in der Relay-Liste
Neuer Listener Incoming SEPPmail Appliance mit SEPPmail Appliance nicht in der Relay-Liste
Incoming Contentfilter : IncomingSEPPmail Appliance
(normalerweise nicht notwendig: Receiving Listener = IncomingMail AND)
Remote IP IS NOT \[IP von SEPPmail Appliance 1\]
AND
Remote IP IS NOT \[IP von SEPPmail Appliance 2\]
(optional, falls Sie nur eine Ihrer Domänen über SEPPmail Appliance
betreiben lassen wollen: AND Envelope Recipient
ends with @securemailcustomer.ch )
Action: Send to Alternate Destination Host: \[Cluster IP der beiden SEPPmail Appliance\]
SEPPmail Appliance
Die SEPPmail Appliance ist so einzurichten, dass eingehende E-Mails an den Incoming SEPPmail
Appliance Listener geschickt werden.
Menü Mail System 137 : Siehe Zu verwaltende E-Mail Domänen einrichten
Sektion Managed
79
.
domains 137
Das Problem hier ist, dass in der SEPPmail Appliance Konfiguration nur eine einzige IP-Adresse
angegeben werden kann, wohin die eingehenden E-Mails weitergeleitet werden, also nicht beide
Incoming IP-Adressen Ihrer IronPorts. Hierzu ist es notwendig, einen (fiktiven) DNS-Eintrag zu
erzeugen, welcher in beide IP-Adressen der IronPorts aufgelöst werden kann. Dieser fiktive DNSName wird als "Server IP address" der E-Mail Domäne eingetragen.
Ausgehende E-Mail versendet die SEPPmail Appliance an den bestehenden Listener:
Siehe Ausgehenden E-Mail Verkehr steuern 79 .
Sektion Outgoing
server 139
Hier ist die IP-Adresse des Listeners anzugeben, bzw. wie oben ein Hostname, welcher auf beide
© 2016 SEPPmail AG
406
Listener aufgelöst wird.
Für beide IP-Adressen der IronPort Systeme ist in der SEPPmail Appliance die Relay-Berechtigung
einzutragen. Siehe Mail Relaying 79 .
Sektion Relaying 142
Die Konfigurationsbeschreibung für die SEPPmail Appliance - IronPort Anbindung wurde uns mit
freundlicher Genehmigung zur Verfügung gestellt von:
AVANTEC AG
Badenerstrasse 281
CH-8003 Zürich
http://www.avantec.ch
[email protected]
© 2016 SEPPmail AG
407
9.3
Microsoft Office365: Anbinden der SEPPmail Appliance
Selbstverständlich ist das Nutzen der SEPPmail E-Mail Verschlüsselung auch in Verbindung mit
Microsoft Office365 möglich.
Der hier aufgeführte Konfigurationsvorschlag erfolgt am Beispiel der E-Mail Domäne "seppmail365.ch"
Voraussetzung
Um die SEPPmail Appliance in den E-Mail Fluss einbinden zu können, hat die DNS-Verwaltung
ausserhalb von Office365 zu erfolgen.
E-Mail Fluss
inbound
Internet
outbound
Office365
[optional Spamfilter
] SEPPmail Appliance
SEPPmail Appliance
[optional Spamfilter
Office365
] Internet
Konfigurationsschritte
1. Verbindung von der SEPPmail Appliance zu Office365
a) Im Office365 Admin Center
Unter Domänen ist die entsprechende E-Mail Domäne (im Beispiel seppmail365.ch)
auszuwählen und die Domäneneinstellungen zu öffnen:
Die daraufhin erscheinenden Einstellungen sollten in etwa wie folgt aussehen, wobei der MXVerweis für die spätere Eingabe als Forwarding server (Mail System 137 Managed domains
137 Add/Edit managed domains 147 Settings 147 Forwarding server IP or MX name) in die
SEPPmail Appliance notiert werden sollte:
© 2016 SEPPmail AG
408
b) In der Administrationsoberfläche der SEPPmail Appliance
Unter Mail System 137 Managed domains 137 ist in der Spalte "Domain name" der
angezeigten Tabelle die entsprechende Domain (im Beispiel seppmail365.ch) anzuklicken.
Im Folgemenü ist nun der zuvor notierte Forwarding server unter Mail System 137 Managed
domains 137 Add/Edit managed domains 147 Settings 147 Forwarding server IP or MX name in
eckigen Klammern [] einzutragen:
und in der Sektion TLS settings 152 die Option "Secure: Only send e-mail if TLS is possible and
the certificate is valid and its common name can be checked (not expired or revoked, and signed
by a trusted certificate authority)" zu wählen:
2. Verbindung von Office365 zur SEPPmail Appliance
a) Im Exchange Admin Center
Unter Nachrichtenfluss ist nach Auswahl des Reiter Connectors über + ein neuer Connector zu
erstellen:
© 2016 SEPPmail AG
409
Dabei ist bei Von: Office 365 und bei An: Partnerorganisation auszuwählen
Im folgenden Menü wird dem neuen Connector ein Name gegeben. Dieser Name (im Beispiel
O365 to SEPPmail) sollte gegebenenfalls notiert werden, da er später beim Erstellen der
Transportregel für den E-Mail Fluss noch benötigt wird.
Weiterhin ist darauf zu achten, dass der Connector nach dem Erstellen eingeschalten (siehe rote
Markierung).
Optional ist eine Beschreibung des Connectors möglich.
© 2016 SEPPmail AG
410
Damit der Connector von der noch einzurichtenden Transportregel verwendet werden kann,
muss die entsprechende Option (blau) gewählt werden.
Folgend wird das Ziel - also die SEPPmail Appliance - konfiguriert, an welchen der Connector EMails weiterleiten soll. Hierzu ist zunächst die Option (blau) zu wählen und im Anschluss der
DNS Name anzugeben, unter welchem die SEPPmail Appliance aus dem Internet erreichbar ist
© 2016 SEPPmail AG
411
Nachdem die Verbindung von Office365 zur SEPPmail Appliance über das Internet hergestellt
wird, muss darauf geachtet werden, dass die Verbindung ausreichend abgesichert ist. Hierzu
sind folgende Einstellungen empfohlen (Diese Einstellung setzt voraus, dass im Menü SSL der
SEPPmail Appliance ein SSL Zertifikat einer vertrauenswürdigen Zertifizierungsstelle (CA)
importiert wurde, dessen Antragstellername zusätzlich mit dem Domänennamen übereinstimmt):
Nach Abschluss dieser Aktionen sollte die Zusammenfassung im Exchange Admin Center in
© 2016 SEPPmail AG
412
etwa so aussehen:
Anschliessend wird eine Transportregel erstellt, welche die ausgehenden Mails über den soeben
eingerichteten Connector routet.
Dieser Vorgang wird unter Nachrichtenfluss nach Auswahl des Reiter Regeln über + Neue
Regel erstellen... eingeleitet:
Im anschliessend erscheinenden Menü ist zunächst auf Weitere Optionen... zu klicken
© 2016 SEPPmail AG
413
In den erweiterten Optionen werden nun die Regeln wie folgt festgelegt:
© 2016 SEPPmail AG
414
b) In der Administrationsoberfläche der SEPPmail Appliance
Unter Mail System 137 Relaying 142 müssen alle unter https://technet.microsoft.com/en-US/
library/dn163583(v=exchg.150).aspx gelisteten IP-Adressen für das Relaying freigegeben
© 2016 SEPPmail AG
415
(Relaying alowed:) werden.
Um zu verhindern, dass beliebige andere Office365-Teilnehmer über die SEPPmail Appliance
relayen, wird zusätzlich unter Mail Processing 160 Ruleset generator 168 Custom
Commands 180 die Option "Custom Commands for outgoing e-mails" aktiviert und auf das in
der O365 Transport Rule gesetzte header-Feld geprüft. Hierfür muss im Eingabefeld der Option
gemäss obigem Beispiel folgender Code eingegeben werden:
if (!compare('X-O365-SEPPmail','equal','true')) {
drop('530','Access denied, sender is not allowed for relaying');
}
c) Im DNS
Der MX Record der Kundendomäne (im Beispiel "seppmail365.ch") wird so angepasst, dass er
ausschliesslich auf die SEPPmail Appliance zeigt:
seppmail365.ch.
IN MX 10
mail.seppmail.ch
Ebenfalls wird der von Microsoft vorgeschlagene SPF-Record um den Hostnamen der SEPPmail
erweitert:
seppmail365.ch.
include:mail.seppmail.ch -all"
IN TXT
"v=spf1 include:spf.protection.outlook.com
© 2016 SEPPmail AG
416
9.4
Mehrere SMTP-Authentifizierungen verwalten
Sollen zum Beispiel auf Mandantenfähigen Systemen mehrere SMTP Zugänge mit Authentifizierung
für die Abgabe von E-Mails des Kunden Groupware-Servers an die SEPPmail Appliance zur
Verfügung gestellt werden, so kann dies wie folgt realisiert werden:
1. Erstellen einer (pseudo) managed domain, mit der IP-Adresse [127.0.0.1] als Forwarding server
Eintrag (Mail System 137 Managed domain 137 Add domain... Add managed domains
147 Settings 147 Forwarding server IP or MX name).
Beispiel Domain name „pseudo.local“, Forwarding server IP Address or MX name „[127.0.0.1]“
2. Anlage je eines Benutzers pro benötigter SMTP-Authentifizierung
Administrationsoberfläche Users 251 Create new user account User Data 256
zum Beispiel
Zugriff A
Zugriff B
und so weiter.
Am Groupware-System wird nun die SEPPmail Appliance als SMTP-Server eingetragen und als
Benutzer für „Zugriff A“ „[email protected]“ mit dem vergebenen Passwort, als Benutzer für
„Zugriff B“ „[email protected]“ mit dem vergebenen Passwort und so weiter.
Damit diese (Pseudo-)User keine User-Lizenz auf der Appliance verbrauchen, empfiehlt es sich
© 2016 SEPPmail AG
417
diesen (Anmelde-)Benutzern das Recht für das kryptographische Behandeln von E-Mails zu entziehen.
Hierfür ist in Administrationsoberfläche unter Users 251 jeweils der entsprechende Benutzer (im
Beispiel SMTP_Auth_A und SMTP_Auth_B) anzuklicken und im Folgemenü in der Sektion User
Data 252 im Abschnitt Encryption settings jeweils die Haken bei den Optionen "May not Encrypt
mails" und "May not sign mail" zu setzen.
© 2016 SEPPmail AG
418
9.5
Migrieren der Daten von einer „on premise Appliance“ auf eine
Mandanten Instanz einer MSP-Appliance
Die korrekte Vorgehensweise für das Migrieren der Daten von einer „on premise Appliance“ auf eine
Mandanten Instanz einer MSP Appliance sieht wie folgt aus:
auf der „on premise Appliance“
a) Falls ausschliesslich die [default] GINA eingesetzt wurde, Erzeugen eines neuen GINA Interfaces in
dessen Namen und Hostname sich möglichst der Firmenname wiederspiegelt.
Andernfalls kann mit Punkt f) fortgefahren werden
-> Mail Processing 160 GINA domains 160 Create new GINA domain
b) Öffnen der Eigenschaften dieser neuen "GINA domain"
-> Mail Processing 160 GINA domains 160 , Auswahl der zuvor erzeugten neuen GINA, Edit
c) Auswahl des Master template [default]
-> Master template 186 , Auswahl des templates [default], Save
d) Übernehmen aller Einstellungen aus dem "Master template"
-> In allen folgenden Sektionen den Haken der Option "Use settings from master template" setzen
und jeweils mittels Save sichern. Im Anschluss jeweils den Haken aus "Use settings from master
template" wieder entfernen und mit Save bestätigen.
e) Übernehmen der neu erzeugten GINA für die verwalteten Domänen
-> Mail System 137 Managed domains 137 die zu bearbeitende verwaltete Domäne anklicken
und im Folgemenü unter GINA and disclaimer settings 152 unter "Use GINA settings" die neu
erstellte GINA auswählen. Der Vorgang muss für jede verwaltete Domäne wiederholt werden.
f) Aktivieren der Mandantenfähigkeit auf der „on premise Appliance“ (dieses Feature schaltet der
Support auf Anfrage für die entsprechende Appliance frei)
-> Customers 274 Multiple Customers 274 Enable
g) Einrichten eines Mandanten auf der Maschine, wobei die Namensgebung bereits den Konventionen
des MSPs entsprechen sollte. Die hier eingetragene Customer Admin E-Mail wird später täglich
automatisiert das Mandanten Backup empfangen.
-> Customers 274 Multiple Customers 274 Create new customer...
h) Öffnen der Eigenschaften für den neu angelegten Mandanten
-> Customers 274 Multiple Customers 274 , Auswahl des zuvor erzeugten Mandanten, Edit
i) Zuordnen des/r Mandanten Administrator(en). Diese können später selbständig die Log-Eintrage
ihrer zugeordneten E-Mail Domänen sehen, ihre GINA Einstellungen vornehmen und ihre GINA
Benutzer verwalten.
-> Customer Administrators 276 , Auswahl des/r Administratoren, Assign
j) Zuordnen aller auf der Appliance verwalteten Domänen
-> Assigned managed domains 276 , Auswahl der Domäne(n), Add
k) Zuordnen aller auf der Appliance vorhandenen GINA Benutzer
-> Assigned GINA accounts 277 , Manage accounts im Folgemenü Assign other GINA
accounts 279 Assign für jeden in der Sektion befindlichen GINA Benutzer
-> nach Abschluss dieser Aktion zurück in das übergeordnete Menü via Back
© 2016 SEPPmail AG
419
l) Vergeben des Mandanten Backup Passwortes
-> Backup/Restore 277 , Backup Change password
m) Download des Backups
-> Backup/Restore 277 , Backup Download
auf der „MSP Appliance“
n) Erstellen eines neuen Mandanten
-> Customers 274 Multiple Customers 274 Create new customer...
o) Im Menü für das Erstellen eines neuen Mandanten das zuvor auf der „on premise Appliance“
erstellte Backup importieren
-> Backup/Restore 277 , Backup Import backup file
© 2016 SEPPmail AG

SEPPmail Appliance Benutzerhandbuch

Transcription

Similar documents

Presseeinladung IT-Offensive 2016: Mit den Trends ins Tor treffen