S/MIME-Gateway einrichten

Das "S/MIME-Gateway" ermöglicht es, ausgehende Mails automatisch zu signieren und verschlüsseln. Eingehende Mails können automatisch entschlüsselt werden. Bei signierten Mails lässt sich die Signatur prüfen. Als Teil der Signatur empfangene Zertifikate können manuell oder automatisch für den verschlüsselten Versand hinterlegt werden.

Die Signaturprüfung bei eingehenden Mails sowie die Verschlüsselung ausgehender Mails sind ohne Zusatzkosten nutzbar. Dafür muss auch kein S/MIME-Zertifikat erworben werden. Ebenfalls kostenlos möglich ist das Signieren und Entschlüsseln innerhalb eines geschlossenen Teilnehmerkreises auf Domain-Ebene (Domain-Zertifikate). Die Konfiguration von Domain-Zertifikaten ist im letzten Abschnitt dieser Seite beschrieben.

S/MIME-Zertifikate zum Signieren und Entschlüsseln müssen üblicherweise bei einer CA gekauft werden. Diese individuellen S/MIME-Schlüssel müssen zudem im DEFENDO entsprechend ihrer Anzahl kostenpflichtig lizenziert werden. Sie erhalten von uns eine Lizenz-Datei, die Sie bitte im Menü "System > Lizenzen" installieren. Kostenlose, zeitlich begrenzte Testlizenzen erhalten Sie über Ihren Fachhändler.

Konfiguriert wird das S/MIME-Gateway im Menü "Module > Mail-Server > S/MIME-Gateway".

Diese beiden Operationen ergänzen sich und können ohne weiteres aktiviert werden. Es sind keine S/MIME-Schlüssel notwendig. Auf dem Reiter (Tab) "Verifizieren" sollten Sie die Option "Empfangene Zertifikate zur Verschlüsselung nutzen" aktivieren. Andernfalls müssten Sie die Zertifikate von Kommunikationspartnern, an die E-Mails verschlüsselt versendet werden sollen, manuell importieren. Das Hochladen von Zertifikaten sowie Anzeige, Deaktivieren oder Löschen von automatisch importierten Zertifikaten ist auf dem Reiter (Tab) "Verschlüsseln" unter "S/MIME-Partner bearbeiten" möglich.

Sollten Sie sich beim Import von Zertifikaten für eine manuelle Freigabe entschieden haben (entweder grundsätzlich oder bei Zertifikatsfehlern), werden Ihnen die erhaltenen Zertifikate im Menü "Monitoring > Mail-Server" auf dem Reiter (Tab) "S/MIME Zertifikate" angezeigt. Mit dem grünen Pfeil schalten Sie die Zertifikate frei.

Das Ergebnis der Signaturprüfung kann dem lokalen Empfänger über Symbole oder über einen konfigurierbaren Text-Präfix im Betreff der Mail angezeigt werden. Antwortet der lokale Empfänger auf eine derart markierte Mail, werden die Symbole bzw. der Präfix automatisch durch DEFENDO entfernt. Bei eingehenden Mails werden die Symbole, der Präfix oder dem Präfix ähnliche Texte aus dem Betreff entfernt, so dass der Status nicht gefälscht werden kann.

Auch diese beiden Operationen ergänzen sich. Sobald Sie Ihre ausgehenden Mails signieren, müssen Sie damit rechnen, verschlüsselte Mails zurück zu erhalten. Sie sollten in diesem Fall daher unbedingt auch die Option "Mails entschlüsseln" aktivieren.

Beantragen bzw. importieren Sie die benötigten S/MIME-Zertifikate im Menü "System > Zertifikatsverwaltung > Schlüsselbund".

Aktivieren Sie die Option "Mails entschlüsseln". Eingehende Mails werden jetzt automatisch entschlüsselt, wenn ein passender Schlüssel verfügbar ist und die Empfänger-Adresse (Envelope-To) im Zertifikat enthalten ist. Wie bei der Signaturprüfung wird dem lokalen Empfänger über ein Symbol oder einen konfigurierbaren Text-Präfix im Betreff der Mail angezeigt, ob die Mail verschlüsselt war. Symbol, Präfix bzw. dem Präfix ähnliche Texte werden ebenfalls wie bei der Signaturprüfung beschrieben entfernt.

Kommen wir schließlich zur Option "Ausgehende Mails signieren". Hier ist entscheidend, dass DEFENDO nur dann eine Signatur anbringt, wenn sich der Absender in irgendeiner Form authentifiziert hat. Dies ist problemlos möglich, wenn der Absender Mails direkt über den DEFENDO-Mail-Server verschickt. In diesem Szenario ist DEFENDO typischerweise sowohl Posteingangs- als auch Postausgangs-Server für die lokalen Clients und die Clients können sich am DEFENDO anmelden. Schwierig wird es, wenn ein interner Mail-Server im Spiel ist und DEFENDO lediglich als Relay für ausgehende Mails fungiert. In diesem Fall muss DEFENDO der Absender-Adresse in ausgehenden E-Mails vertrauen. Da sich die Absender-Adresse leicht fälschen lässt, muss der interne Mail-Server sicherstellen, dass die Adresse korrekt ist. Auch die DEFENDO-Konfiguration muss zusätzlich abgesichert werden. Abhängig vom vorliegenden Szenario sind die notwendigen Einstellungen nachfolgend beschrieben:

DEFENDO ist Postausgangs-Server für die Clients

Legen Sie, sofern noch nicht vorhanden, in der Benutzerverwaltung die benötigten Benutzerkonten an. Die Benutzer müssen Mitglied der Gruppe "sytem-mail" sein.

Bei allen beteiligten Benutzerkonten muss auf dem Reiter (Tab) "Mail-Administration" der zugehörige S/MIME-Schlüssel hinterlegt werden.

Aktivieren Sie Authentifizierung im DEFENDO Mail-Server ("Module > Mail-Server > SMTP Einstellungen" auf dem Reiter (Tab) "Relay Kontrolle")

Sofern keine Mischlösung der beiden Szenarien vorliegt, sollten Sie sicher stellen, dass in der Konfiguration des S/MIME-Gateways auf dem Reiter (Tab) "Signieren" die Listen "Absender-Adresse vertrauen wenn empfangen von" und "Ohne Authentifzierung nutzbare S/MIME-Schlüssel" leer sind.

Postausgangs-Server für die Clients ist ein interner Mail-Server

In der Regel ist es in diesem Szenario nicht möglich, dass sich der interne Mail-Server stellvertretend für den Client am DEFENDO anmeldet. Viele Mail-Server lassen sich aber so konfigurieren, dass sich der Client anmelden muss und der Mail-Server dann die Absender-Adresse (From- bzw. Sender-Header) prüft. Eine E-Mail wird nur dann akzeptiert, wenn der Absender zum angemeldeten Benutzer passt. In diesem Fall kann DEFENDO der Absender-Adresse trauen, sofern die Mail direkt vom internen Mail-Server empfangen wird. Stellen Sie sicher, dass Ihr interner Mail-Server so eingestellt ist.

In der Grundeinstellung prüft Microsoft Exchange die Absender-Adressen wie beschrieben.

Tragen Sie in der Konfiguration des S/MIME-Gateways die IP-Adresse des internen Mail-Server auf dem Reiter (Tab) "Signieren" unter "Absender-Adresse vertrauen wenn empfangen von" ein. Die S/MIME-Schlüssel, die genutzt werden dürfen, hinterlegen Sie bitte unter "Ohne Authentifzierung nutzbare S/MIME-Schlüssel".

Ihr S/MIME-Gateway ist nun einsatzbereit.

S/MIME-Zertifikate werden stets auf einzelne E-Mail-Adressen ausgestellt. Bei Domain-Zertifikaten wird hingegen für eine ganze E-Mail-Domain ein einziges S/MIME-Zertifikat genutzt. Nun gibt es allerdings keine Wildcard-Zertifikate im Sinne von "*@example.com" für S/MIME. Es kommt daher ein ganz normales Zertifikat zum Einsatz, das auf besondere Weise genutzt wird. Meist ist sogar ein selbsterstelltes S/MIME-Zertifikat ausreichend.

Nutzt ein Kommunikationspartner Domain-Zertifikate, müssen Sie das Zertifikat auf dem Reiter (Tab) "Verschlüsseln" unter "S/MIME-Partner bearbeiten" importieren. Entscheidend ist, dass Sie das Zertifikat dort unter dem Domainnamen (z.B. "example.com") und nicht wie sonst üblich unter der E-Mail-Adresse (z.B. "mail@example.com") ablegen.

Wenn Sie selbst ein Domain-Zertifikat nutzen wollen, müssen Sie es im Menü "Module > Mail-Server > Domains" in der jeweiligen Domain hinterlegen. Wählen Sie das gewünschte S/MIME-Zertifikat auf dem Reiter (Tab) "S/MIME" aus. Dies genügt bereits, um eingehende Mails entschlüsseln zu können. Sollen ausgehende Mails zusätzlich signiert werden, tragen Sie die Empfänger bitte unter "Signiere Mails an folgende Empfänger-Adressen und -Domains" ein.