S/MIME-Gateway einrichten
Das "S/MIME-Gateway" ermöglicht es, ausgehende Mails automatisch zu signieren und verschlüsseln. Eingehende Mails können automatisch
entschlüsselt werden. Bei signierten Mails lässt sich die Signatur prüfen. Als Teil der Signatur empfangene Zertifikate können
manuell oder automatisch für den verschlüsselten Versand hinterlegt werden.
Die Signaturprüfung bei eingehenden Mails sowie die Verschlüsselung ausgehender Mails sind ohne Zusatzkosten nutzbar. Dafür
muss auch kein S/MIME-Zertifikat erworben werden. Ebenfalls kostenlos möglich ist das Signieren und Entschlüsseln innerhalb
eines geschlossenen Teilnehmerkreises auf Domain-Ebene (Domain-Zertifikate). Die Konfiguration von Domain-Zertifikaten ist
im letzten Abschnitt dieser Seite beschrieben.
S/MIME-Zertifikate zum Signieren und Entschlüsseln müssen üblicherweise bei einer CA gekauft werden. Diese individuellen S/MIME-Schlüssel
müssen zudem im DEFENDO entsprechend ihrer Anzahl kostenpflichtig lizenziert werden. Sie erhalten von uns eine Lizenz-Datei, die Sie bitte im Menü
"System > Lizenzen" installieren. Kostenlose, zeitlich begrenzte Testlizenzen erhalten Sie über Ihren Fachhändler.
Konfiguriert wird das S/MIME-Gateway im Menü "Module > Mail-Server > S/MIME-Gateway".
Signatur eingehender Mails verifizieren und Mails verschlüsseln
Diese beiden Operationen ergänzen sich und können ohne weiteres aktiviert werden. Es sind keine S/MIME-Schlüssel notwendig.
Auf dem Reiter (Tab) "Verifizieren" sollten Sie die Option "Empfangene Zertifikate zur Verschlüsselung nutzen" aktivieren. Andernfalls müssten Sie die Zertifikate von Kommunikationspartnern, an die E-Mails verschlüsselt versendet werden
sollen, manuell importieren. Das Hochladen von Zertifikaten sowie Anzeige, Deaktivieren oder Löschen von automatisch importierten
Zertifikaten ist auf dem Reiter (Tab) "Verschlüsseln" unter "S/MIME-Partner bearbeiten" möglich.
Sollten Sie sich beim Import von Zertifikaten für eine manuelle Freigabe entschieden haben (entweder grundsätzlich oder bei
Zertifikatsfehlern), werden Ihnen die erhaltenen Zertifikate im Menü "Monitoring > Mail-Server" auf dem Reiter (Tab) "S/MIME Zertifikate" angezeigt. Mit dem grünen Pfeil schalten Sie die Zertifikate frei.
Es kann bis zu einer Minute dauern, bis das Zertifikat unter "S/MIME-Partner bearbeiten" zu sehen ist.
Das Ergebnis der Signaturprüfung kann dem lokalen Empfänger über Symbole oder über einen konfigurierbaren Text-Präfix im Betreff
der Mail angezeigt werden. Antwortet der lokale Empfänger auf eine derart markierte Mail, werden die Symbole bzw. der Präfix
automatisch durch DEFENDO entfernt. Bei eingehenden Mails werden die Symbole, der Präfix oder dem Präfix ähnliche Texte aus dem Betreff entfernt, so
dass der Status nicht gefälscht werden kann.
Ausgehende Mails signieren und Mails entschlüsseln
Auch diese beiden Operationen ergänzen sich. Sobald Sie Ihre ausgehenden Mails signieren, müssen Sie damit rechnen, verschlüsselte
Mails zurück zu erhalten. Sie sollten in diesem Fall daher unbedingt auch die Option "Mails entschlüsseln" aktivieren.
Um diese Operationen nutzen zu können, benötigen Sie für jede teilnehmende E-Mail-Adresse ein S/MIME-Zertifikat sowie eine
kostenpflichtige DEFENDO Lizenzerweiterung für die Anzahl S/MIME-Zertifikate.
Beantragen bzw. importieren Sie die benötigten S/MIME-Zertifikate im Menü "System > Zertifikatsverwaltung > Schlüsselbund".
Aktivieren Sie die Option "Mails entschlüsseln". Eingehende Mails werden jetzt automatisch entschlüsselt, wenn ein passender Schlüssel verfügbar ist und die Empfänger-Adresse
(Envelope-To) im Zertifikat enthalten ist. Wie bei der Signaturprüfung wird dem lokalen Empfänger über ein Symbol oder einen
konfigurierbaren Text-Präfix im Betreff der Mail angezeigt, ob die Mail verschlüsselt war. Symbol, Präfix bzw. dem Präfix
ähnliche Texte werden ebenfalls wie bei der Signaturprüfung beschrieben entfernt.
Kommen wir schließlich zur Option "Ausgehende Mails signieren". Hier ist entscheidend, dass
DEFENDO nur dann eine Signatur anbringt, wenn sich der Absender in irgendeiner Form authentifiziert hat. Dies ist problemlos möglich,
wenn der Absender Mails direkt über den
DEFENDO-Mail-Server verschickt. In diesem Szenario ist
DEFENDO typischerweise sowohl Posteingangs- als auch Postausgangs-Server für die lokalen Clients und die Clients können sich am
DEFENDO anmelden. Schwierig wird es, wenn ein interner Mail-Server im Spiel ist und
DEFENDO lediglich als Relay für ausgehende Mails fungiert. In diesem Fall muss
DEFENDO der Absender-Adresse in ausgehenden E-Mails vertrauen. Da sich die Absender-Adresse leicht fälschen lässt, muss der interne
Mail-Server sicherstellen, dass die Adresse korrekt ist. Auch die
DEFENDO-Konfiguration muss zusätzlich abgesichert werden. Abhängig vom vorliegenden Szenario sind die notwendigen Einstellungen nachfolgend
beschrieben:
- DEFENDO ist Postausgangs-Server für die Clients
- Legen Sie, sofern noch nicht vorhanden, in der Benutzerverwaltung die benötigten Benutzerkonten an. Die Benutzer müssen Mitglied
der Gruppe "sytem-mail" sein.
- Bei allen beteiligten Benutzerkonten muss auf dem Reiter (Tab) "Mail-Administration" der zugehörige S/MIME-Schlüssel hinterlegt werden.
- Aktivieren Sie Authentifizierung im DEFENDO Mail-Server ("Module > Mail-Server > SMTP Einstellungen" auf dem Reiter (Tab) "Relay Kontrolle")
- Sofern keine Mischlösung der beiden Szenarien vorliegt, sollten Sie sicher stellen, dass in der Konfiguration des S/MIME-Gateways
auf dem Reiter (Tab) "Signieren" die Listen "Absender-Adresse vertrauen wenn empfangen von" und "Ohne Authentifzierung nutzbare S/MIME-Schlüssel" leer sind.
- Postausgangs-Server für die Clients ist ein interner Mail-Server
- In der Regel ist es in diesem Szenario nicht möglich, dass sich der interne Mail-Server stellvertretend für den Client am
DEFENDO anmeldet. Viele Mail-Server lassen sich aber so konfigurieren, dass sich der Client anmelden muss und der Mail-Server dann
die Absender-Adresse (From- bzw. Sender-Header) prüft. Eine E-Mail wird nur dann akzeptiert, wenn der Absender zum angemeldeten
Benutzer passt. In diesem Fall kann DEFENDO der Absender-Adresse trauen, sofern die Mail direkt vom internen Mail-Server empfangen wird. Stellen Sie sicher, dass Ihr
interner Mail-Server so eingestellt ist.
In der Grundeinstellung prüft Microsoft Exchange die Absender-Adressen wie beschrieben.
- Tragen Sie in der Konfiguration des S/MIME-Gateways die IP-Adresse des internen Mail-Server auf dem Reiter (Tab) "Signieren" unter "Absender-Adresse vertrauen wenn empfangen von" ein. Die S/MIME-Schlüssel, die genutzt werden dürfen, hinterlegen Sie bitte unter "Ohne Authentifzierung nutzbare S/MIME-Schlüssel".
Ihr S/MIME-Gateway ist nun einsatzbereit.
Domain-Zertifikate
S/MIME-Zertifikate werden stets auf einzelne E-Mail-Adressen ausgestellt. Bei Domain-Zertifikaten wird hingegen für eine ganze
E-Mail-Domain ein einziges S/MIME-Zertifikat genutzt. Nun gibt es allerdings keine Wildcard-Zertifikate im Sinne von "*@example.com"
für S/MIME. Es kommt daher ein ganz normales Zertifikat zum Einsatz, das auf besondere Weise genutzt wird. Meist ist sogar
ein selbsterstelltes S/MIME-Zertifikat ausreichend.
Das Konzept der Domain-Zertifikate ist nicht standardisiert. Üblicherweise kommt es nur zwischen Verschlüsselungs-Gateways
zum Einsatz.
Nutzt ein Kommunikationspartner Domain-Zertifikate, müssen Sie das Zertifikat auf dem Reiter (Tab) "Verschlüsseln" unter "S/MIME-Partner bearbeiten" importieren. Entscheidend ist, dass Sie das Zertifikat dort unter dem Domainnamen (z.B. "example.com") und nicht wie sonst
üblich unter der E-Mail-Adresse (z.B. "mail@example.com") ablegen.
Der Eintrag aktiviert nicht nur die Verschlüsselung. Signiert der Kommunikationspartner Mails mit dem Domain-Zertifikat, berücksichtigt
DEFENDO dies auch bei der Signaturprüfung. Im Betreff werden Mails mit Domain-Signatur zusätzlich mit "[SIGNIERT VON <*@example.com>]"
markiert.
Wenn Sie selbst ein Domain-Zertifikat nutzen wollen, müssen Sie es im Menü "Module > Mail-Server > Domains" in der jeweiligen Domain hinterlegen. Wählen Sie das gewünschte S/MIME-Zertifikat auf dem Reiter (Tab) "S/MIME" aus. Dies genügt bereits, um eingehende Mails entschlüsseln zu können. Sollen ausgehende Mails zusätzlich signiert werden,
tragen Sie die Empfänger bitte unter "Signiere Mails an folgende Empfänger-Adressen und -Domains" ein.
Bei der Prüfung von S/MIME-Signaturen muss die Absender-Adresse mit der E-Mail-Adresse aus dem Zertifikat abgeglichen werden.
Bei Domain-Signaturen stimmen diese typischerweise nicht überein, was zu einer Fehlermeldung führen sollte. Signieren Sie
daher nur, wenn Sie wissen, dass die S/MIME-Software des Empfängers Domain-Signaturen handhaben kann und für Ihre Domain entsprechend
konfiguriert wurde.