Firmen stecken in einer Zwickmühle: Einerseits verschärfen die Gesetzgeber in Deutschland und Europa laufend die Anforderungen an die Datensicherheit und den ... (mehr)

E-Mail-Routing mittels Testmail überprüfen

Bevor wir nun das E-Mail-Routing zum ersten Mal testen, müssen wir noch die Authentifizierung per SASL an unserem Smarthost im Internet aktivieren. Dazu legen Sie den Smarthost zunächst mit seinem Hostnamen oder IP-Adresse unter "Admin / MTA / SASL / Add password" an und tragen die erforderlichen Credentials ein.

Für den Versand einer Testmail nutzen Sie dann am besten den integrierten SMTP-Client unter "Admin / Other / Send email", um den internen Mailserver zu umgehen. Den Versand der Testmail können Sie dann live über "Logs / MTA" mitverfolgen. Wenn dieser Schritt erfolgreich war, senden Sie eine weitere Testmail über Ihren internen Mailserver und überprüfen, ob Ciphermail diese korrekt routet.

Bild 4: Auskunftsfreudig – Ciphermail schreibt ausführliche und lesbare Logdateien.

Schlüssel und Zertifikate importieren oder generieren

Die asymmetrischen Verschlüsselungsverfahren S/MIME und PGP arbeiten jeweils mit einem öffentlichen und einem privaten Schlüssel. Diese müssen Sie auf dem Ciphermail-Gateway hinterlegen, damit es die Ver- und Entschlüsselung und das Signieren von Nachrichten anstelle des Benutzers vornehmen kann. Für die Verwendung von S/MIME müssen Sie zunächst entscheiden, ob Sie Ihre Benutzer mit offiziellen oder selbstsignierten Zertifikaten ausstatten wollen. Offizielle S/MIME Zertifikate können Sie entweder bei Resellern wie der PSW Group oder direkt bei einer Certificate Authority (CA) wie GlobalSign oder Comodo erwerben.

Lizenzierung und Preise

Das Ciphermail-Gateway steht in drei verschiedenen Versionen zur Verfügung.Die kostenfreie Open-Source-Community-Edition bietet die grundlegenden Verschlüsselungs- und DLP-Funktionen und erlaubt den Betrieb für ein unlimitierte Anzahl an Benutzern. Support und verschiedene Komfort- und Personalisierungsfunktionen sind in dieser Version nicht enthalten. In der Lizenz für die Professional-Edition (4500 Euro im ersten Jahr, 1500 Euro in jedem weiteren) ist bereits ein Support-Paket enthalten. Gegen Aufpreis lässt sich der Webmail-Messenger an das Gateway anbinden.Kunden mit Enterprise-Lizenz (9500 Euro im ersten Jahr) erhalten Silver-Support und können Enterprise-Features wie HSM-Module, Remote-CA-Konnektoren und externe Datenbanken inklusive HA-Clustering für Oracle beziehungsweise den Galera Cluster für MySQL nutzen. Der Webmail-Messenger ist in der Enterprise-Lizenz kostenfrei enthalten. Für kleinere Unternehmen hat der Hersteller eine preiswertere SME-Edition angekündigt. Der deutsche Ciphermail-Partner und Linux-Systemhaus in-put bietet indes vorinstallierte Appliances mit Ciphermail in der Community-Edition zu einem Preis ab 700 Euro an.

Für den Einsatz kommerzieller Zertifikate spricht, dass sich auf Empfängerseite die Zertifikatsgültigkeit anhand der Signatur der CA überprüfen lässt. Entscheiden Sie sich dagegen für den Betrieb einer eigenen CA und die Ausgabe selbst- signierter Zertifikate, ist auf Seiten des Empfängers die Gültigkeit der Zertifikate nur dann überprüfbar, wenn dort zuvor Ihre Root-CA hinterlegt wurde. Ciphermail bringt eine eigene CA mit, deren Einrichtung die Dokumentation unter [4] beschreibt.

Haben Sie dagegen ein oder mehrere offizielle S/MIME-Zertifikate für Ihre eigenen Benutzer bei einer CA erworben, importieren Sie diese über "S/MIME / Certificate Store / Import Certificates + Import keys" in den Zertifikatsspeicher von Ciphermail. Die Professional- und Enterprise-Versionen verfügen zusätzlich über eine integrierte Schnittstelle, mit deren Hilfe Sie externe CAs auch direkt anbinden können. Die Schnittstelle unterstützt derzeit folgende Anbieter: CSR, Global Sign EPKI und Intellicard EPKI (Enterprise PKI).

Bei CSR handelt es sich um einen sogenannten "certificate request handler". Dieser generiert statt eines Zertifikats einen privaten Schlüssel und einen PKCS#12-Zertifikats-Request, der an eine Remote-CA mit CSR-Unterstützung übermittelt wird. Die CA stellt auf Basis des Requests ein S/MIME Zertfikat aus. Dieses müssen Sie anschließend manuell in den Ciphermail Zertifikatsspeicher importieren.

Listing: Entscheidungsprozess bei der Verschlüsselung



INFO The subject contains the "must encrypt" trigger for the sender and will therefore be encrypted; Recipients: [info@company.xy]
INFO must encrypt mail attribute is set; Recipients: [info@company.xy]
INFO There are no valid S/MIME encryption certificates for the recipient(s); Recipients: [info@company.xy]
INFO There are valid PGP encryption keys for recipient(s); Recipients: [info@company.xy]
INFO Trying to PGP/MIME sign the message; Recipients: [info@company.xy]
INFO Message was PGP/MIME signed. Hash algorithm: SHA256; Recipients: [info@company.xy]
INFO Trying to PGP/MIME encrypt the message; Recipients: [info@company.xy]
INFO Message was PGP/MIME encrypted. Encryption algorithm: AES-128; Compression algorithm: ZLIB; Add integrity packet: true; Recipients: [info@company.xy]

Komfortabler geht das, wenn Sie über einen EPKI-Account bei GlobalSign oder Intellicard verfügen. Die Beantragung / Ausstellung und der Import von Zertifikaten erfolgen dann vollautomatisch. E-Mail-Zertifikate externer Empfänger enthalten nur den öffentlichen Schlüssel, daher ist in diesem Fall nur der Menüpunkt "Import Certificates" relevant.

Die Aktivierung der PGP-Verschlüsselung auf Ciphermail ist im Vergleich zu S/MIME weniger komplex, da der PGP-Standard keine offiziellen Zertifizierungsstellen vorsieht. Stattdessen werden die Schlüsselpaare – bei PGP Keyrings genannt – einfach am Client erzeugt und über die Funktion "PGP / Import keyring" in Ciphermail importiert. Enthält der Keyring neben dem öffentlichen auch einen privaten Schlüssel, muss der Admin beim Import das zugehörige Passwort angeben.

Auch im Fall von PGP gilt, dass Sie für externe E-Mail-Empfänger nur den öffentlichen Schlüssel importieren müssen. Haben Ihre internen Benutzer bisher noch keinen PGP-Keyring, erzeugen Sie diesen über "PGP / Create Keyring". Für jeden Keyring müssen Sie eine E-Mail-Adresse angeben, die von PGP als UserID zur Identifikation des Schlüssels Verwendung findet. Weitere E-Mail-Adressen fügen Sie im Bedarfsfall später in der Schlüsselverwaltung hinzu.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021