App "Mailarchivierung" einrichten

Diese Anleitung beschreibt in groben Zügen, wie Sie das Mailarchiv auf Ihrem DEFENDO bzw. PRAXISWÄCHTER installieren und worauf Sie bei der Konfiguration achten müssen.

App installieren und lizenzieren

Rufen Sie das Menü "System > Apps" auf und installieren Sie dort zuerst die "Datenbank", dann die "Mailarchivierung".
In der Testphase (Version 7.1-4.0 BETA) ist noch keine Lizenzierung erforderlich. Melden Sie sich bitte nach der Installation des Mailarchivs von der Administrationsoberfläche ab und wieder an. Erst dann wird das zugehörige Menü "Module > Mail-Server > Archivierung" sichtbar.
Installieren Sie ansonsten bitte den Lizenzschlüssel im Menü "System > Lizenzen". Kostenlose, zeitlich begrenzte Testlizenzen erhalten Sie über Ihren Fachhändler.
Lizenziert wird nach der max. Benutzeranzahl Ihrer DEFENDO-Lizenz.
Beginnen Sie nun mit der Konfiguration des Archivs im Menü "Module > Mail-Server > Archivierung", indem Sie dort ein neues Archiv erstellen.

Der Archivschlüssel

Das zentrale Element des Archivs ist der Archivschlüssel. Mit diesem Schlüssel werden alle archivierten Mails sowie die zugehörige Datenbank mit den Metadaten AES-256 verschlüsselt.
Sollte dieser Schlüssel verloren gehen, ist das Archiv unbrauchbar und kann auch nicht wiederhergestellt werden!
Aus diesem Grund wird Ihnen auch unmittelbar angeboten, ein Backup des Schlüssels anzufertigen. Das Backup wird mit dem von Ihnen gewählten Passwort AES-256 verschlüsselt. Sie benötigen das Passwort wieder, wenn Sie den Archivschlüssel importieren wollen.
Sollten Sie das Passwort vergessen, kann der Archivschlüssel nicht wiederhergestellt werden. Sollte keine weitere Kopie des Schlüssel existieren, ist auch dann das Archiv verloren!
Beim Format für das Schlüsselbackup haben wir uns bewusst für eine Text-Datei entschieden, denn so können Sie den Schlüssel sogar ausdrucken und in Papierform z.B. in einem Safe lagern.

Konfiguration des Speichermediums

Der nächste entscheidende Schritt ist die Festlegung des Speichermediums, auf dem das Archiv die verschlüsselten E-Mails sowie das Backup der Datenbank mit den Metadaten ablegen soll. Wechseln Sie dazu im Archiv-Menü auf den Reiter (Tab) "Speichermedien".
Da die Speicherkapazität des DEFENDOs begrenzt ist, muss im Produktivbetrieb die Speicherung auf der Netzwerk-Freigabe einer NAS oder eines Windows-Servers erfolgen (SMB-Protokoll). Legen Sie dazu ein Speichermedium vom Typ "Windows-Freigabe" an.
Weitere Speichermöglichkeiten wie z.B. in der Cloud sind angedacht.
Zu Testzwecken mit kleinen Datenmengen kann die Speicherung auf der lokalen Festplatte des DEFENDOs erfolgen. Nutzen Sie dazu ein Speichermedium vom Typ "lokal (nur zu Testzwecken)".
Wird die App inkl. Daten deinstalliert, werden die auf einem Speichermedium des Typs "lokal (nur zu Testzwecken)" archivierten Mails und Datenbank-Backups ebenfalls unwiederbringlich gelöscht.
Die Überführung von Testdaten in den Produktivbetrieb ist möglich. Mit Hilfe der Backup-Funktionen können Sie die auf der Festplatte des DEFENDOs archivierten Mails samt eines aktuellen Datenbank-Backups auf eine Netzwerk-Freigabe spiegeln
  • Option "Inklusive Spiegelung des Archivs und des Datenbank-Backups auf Windows-Freigabe" aktivieren und zugehörige Parameter konfigurieren
  • Zuerst "Jetzt ein Backup der Datenbank erstellen" ausführen
  • Dann "Jetzt ein Backup des Archivs und des Datenbank-Backups erstellen" ausführen
  • Prüfen Sie, dass sowohl die verschlüsselten Mails als auch das Datenbank-Backup auf der Freigabe erfolgreich abgelegt wurden
  • Stellen Sie sicher, dass Sie über eine Sicherung des Archivschlüssels verfügen
  • Deinstallieren Sie die App inkl. Daten und installieren Sie die App neu
  • Rufen Sie dann das Archivmenü auf und wählen Sie im Assistenten "Archiv initialisieren" die Option "Backup eines DEFENDO Mail-Archivs importieren"
  • Konfigurieren Sie das Speichermedium vom Typ "Windows-Freigabe" mit den Zugangsdaten des zuvor gespiegelten Archivs

Wichtige Hinweise zu den Speichermedien

Im Produktivbetrieb kann es natürlich vorkommen, dass der Speicherplatz auf einem Speichermedium irgendwann knapp wird. Daher ist es möglich, mehrere Speichermedien anzulegen. In der Konfiguration wird festgelegt, welches das aktive Speichermedium ist. Auf dieses Medium werden neue Mails archiviert und die Datenbank-Backups abgelegt.
Jedes Speichermedium ist mit einer numerischen ID versehen. Zu jeder archivierten Mail wird in der Datenbank die ID des Speichermediums hinterlegt, auf dem die Mail archiviert wurde. Nur so kann das Archiv die Mail auch wiederfinden.
Ändern Sie daher niemals nachträglich die Reihenfolge der Speichermedien in der DEFENDO-Konfiguration und löschen Sie niemals Speichermedien, wenn darauf bereits E-Mails archiviert wurden oder wenn es Speichermedien mit höherer ID gibt, auf denen archivierte Mails liegen.
Deaktivieren Sie stattdessen nicht mehr genutzte oder vorübergehend nicht erreichbare Speichermedien.
Sollten Sie Mails von mehreren Speichermedien auf ein einziges Speichermedium zusammenkopieren müssen, kontaktieren Sie bitte den technischen Support. Dieser kann den Typ der entfallenden Speichermedien so ändern, dass sie auf den neuen Speicherort verweisen.

Wie kommen Mails in das Archiv?

Für den einmaligen Import bestehender Daten wird Ihnen im Archiv-Menü auf dem Reiter (Tab) "Werkzeuge" der Import von einer Netzwerk-Freigabe sowie von POP- oder IMAP-Servern angeboten.
Wie E-Mails im laufenden Betrieb ihren Weg in das Archiv finden, können Sie auf dem Reiter (Tab) "Mail-Zuführung" wählen. Da eingehende Mails in der Regel den DEFENDO Mail-Server durchlaufen, sollten Sie unbedingt die Option "Archivierung durch DEFENDO Mail-Server" aktivieren. Inhaltlich werden die Mails dann vor Dateianhangs- und SPAM-Filter erfasst, so dass diese so originalgetreu wie möglich archiviert werden. Die tatsächliche Archivierung findet jedoch erst statt, wenn die Mails tatsächlich zugestellt werden. Wird eine Mail komplett unter Quarantäne gestellt also erst mit dem Abruf der Mail aus der Quarantäne. Wird die Mail z.B. vom SPAM-Filter abgewiesen, erfolgt keine Archivierung. Eine als SPAM markierte Mail wird auch im Archiv als SPAM kenntlich gemacht.
Oft verwaltet nicht DEFENDO die Postfächer sondern leitet eingehende Mails an einen internen Mail-Server wie z.B. Exchange weiter. Die Archivierung durch den DEFENDO Mail-Server für sich alleine ist dann nicht ausreichend. Schließlich sollten auch interne Mails archiviert werden, die den DEFENDO nie erreichen. Prüfen Sie in diesem Fall, welche Möglichkeiten der interne Mail-Server bietet, um ein Archiv einzubinden.
Handelt es sich um einen Exchange-Server nutzen Sie bitte dessen Journal-Funktion. Dabei leitet Exchange jede Mail per SMTP an eine definierte E-Mail-Adresse weiter. Dazu wird ein spezielles Format genutzt, in dem u.a. auch die Empfänger-Adressen von Blindkopien (Bcc) für die Auswertung durch das Archiv hinterlegt sind. Für den Fall länger andauernder Störungen sollte Sie ggf. zusätzlich ein "Alternatives Journalpostfach" als Fallback konfigurieren, dessen Inhalt dann aber auch dem Archiv zugänglich gemacht werden muss.
Um Mails per SMTP in das Archiv weiterzuleiten, können Sie in der Archiv-Konfiguration eine Domain festlegen. Alle Mails an diese Domain werden an das Archiv zugestellt. Dabei spielt es keinerlei Rolle, was Sie in der E-Mail-Adresse vor dem @-Zeichen angeben.
Da alle Mails an diese Domain direkt in das Archiv zugestellt werden, dürfen Sie hier keine real genutzte Domain konfigurieren. In der Regel ist auch kein DNS-Eintrag (und schon gar kein öffentlicher) für diese Domain erforderlich.
Anstelle der Weiterleitung über den DEFENDO Mail-Server kann auch eine DNAT-Regel in der Firewall konfiguriert werden. Die notwendigen Daten werden im Archiv-Menü angezeigt.
Grundsätzlich spricht nichts dagegen, die Archivierung durch den DEFENDO Mail-Server parallel zur den Archivierungsmöglichkeiten des internen Mail-Servers zu nutzen. Die DEFENDO Mailarchivierung erkennt Duplikate und archiviert diese nur einmal.
Schließlich kann das DEFENDO Mailarchiv auch E-Mails von einem POP3- oder IMAP4-Server abrufen. Oft stehen in diesem Fall aber nicht mehr alle Informationen über die Mail zur Verfügung (insbesondere Bcc-Empfänger), so dass diese Variante nicht empfohlen wird.

Backup des Archivs

Auf die zentrale Bedeutung des Archiv-Schlüssels und dessen Backup wurde bereits weiter oben eingegangen.
In den Backup-Einstellungen des Archiv-Menüs sollten Sie auf jeden Fall "Automatisches Backup der Datenbank" aktivieren. So wird regelmäßig die Datenbank mit Metadaten auf dem aktiven Speichermedium gesichert.
Ohne dieses Backup der Datenbank sind schlimmstenfalls alle Zusatzdaten wie z.B. Zeitstempel oder Notizen der Anwender verloren. Zudem müssten die verschlüsselten Mails aufwändig manuell restauriert und neu in ein leeres Archiv importiert werden.
Der verschlüsselte Mailbestand des Archivs liegt ausschließlich auf den konfigurierten Speichermedien.
Erstellen Sie daher unbedingt regelmäßige Backups dieser Speichermedien. Nutzen Sie dazu die Backupfunktionen des Systems, das die Speichermedien zur Verfügung stellt.
Optional bietet DEFENDO an, das komplette Archiv (inkl. darin gespeicherter Datenbank-Backups) auf eine Netzwerk-Freigabe zu spiegeln. Insbesondere bei Archiven, die über mehrere Speichermedien verteilt vorliegen, kann so das komplette Archiv einem externen System zum Zwecke der Erstellung regelmäßiger Backups verfügbar gemacht werden.

Zeitstempeldienst

Bei einem ordentlichen Archiv muss nachweisbar sein, dass es nicht manipuliert wurde. Das wird über einen Zeitstempeldienst gewährleistet. Für den produktiven Einsatz muss es ein akkreditierter und in der Regel kostenpflichtiger Anbieter sein. Kostenlos zum Testen können Sie z.B. freetsa.org verwenden.
Installieren Sie zunächst das CA-Zertifikat des Anbieters im Menü System > Zertifikatsverwaltung > CA Zertifikate". Im Archiv-Menü unter "Zeitstempel" wählen Sie dann dieses CA-Zertifikat aus und hinterlegen die URL, unter der die Zeitstempel abgerufen werden können.

Zugriff auf das Archiv

Im Archiv-Menü stehen auf dem Reiter (Tab) "Benutzer" drei Varianten der Benutzerauthentifzierung zur Wahl. Wenn DEFENDO als Unternehmens-Mailserver fungiert und entsprechend ohnehin alle Mail-Benutzer in der DEFENDO-Benutzerverwaltung angelegt sind, bietet es sich natürlich an, "DEFENDO Benutzerverwaltung" zu wählen. Alle Mitglieder der DEFENDO-Benutzergruppe "system-mail" können sich dann am Archiv anmelden - sofern aktiviert mit Einmalpasswort. Berechtigungen, die sich aus Benutzergruppen ergeben (Mail-Verteiler, gemeinsame IMAP-Ordner) sind dem Archiv dann ebenso automatisch bekannt wie die Liste der eigenen E-Mail-Domains.
Sind im DEFENDO keine Benutzer angelegt, kann die Authentifzierung über das Active-Directory oder über eine eigene Benutzerverwaltung innerhalb des Archivs erfolgen.
Für die Authentifizierung über DEFENDO-Benutzerverwaltung und für die anderen beiden Optionen werden unterschiedliche Nummernkreise bei den Benutzer-IDs verwendet. Wechselt man zu einem späteren Zeitpunkt die Benutzerverwaltung, gehen bis dahin gemachte individuelle Einstellungen, Notizen und Kategorisierungen verloren!
Folgende Arten von Archivbenutzern gibt es:
Benutzer "admin"
spezielles Menü im Archiv mit weiteren Einstellungen
kein Zugriff auf archivierte E-Mails
Passwort immer identisch zu "admin" im DEFENDO
Benutzer "auditor"
priviligierter Benutzer mit Vollzugriff auf alle E-Mails im Archiv
Benutzer "revisor"
für speziellen Zugriff (z.B. Steuerprüfer)
wahlweise Vollzugriff auf alle E-Mails oder Zugriff auf Mails in bestimmten Ordnern oder mit bestimmten Domains
Benutzer "dataofficer"
nur bei aktivierter Löschfunktion mit Zustimmung
prüft Löschanfragen und stimmt diesen zu oder lehnt sie ab
normale Benutzer
Zugriff auf Mails mit eigenen Adressen als Absender oder Empfänger
als eigene Adressen zählen auch die Adressen von Gruppen/Verteilern

Letzte Schritte

Der Zugriff auf das Archiv erfolgt über Reverse-Proxy. In der Grundkonfiguration ist der Zugriff über Reverse-Proxy-Port 443 bereits freigeschaltet. Nutzen Sie die URL "https://DEFENDO-IP/archive/".
Falls die Firewall so konfiguriert wurde, dass der Reverse-Proxy-Port 443 auch aus dem Internet erreichbar ist, ist die Groupware vermutlich auch schon aus dem Internet erreichbar.
Zunächst sollte sich der "admin" am Archiv anmelden und letzte Konfigurationen in den Untermenüs von "Verwaltung" vornehmen.
Domains konfigurieren (falls nicht über DEFENDO verwaltet)
Tragen Sie unter "Domänen" alle gleich zu behandelnden lokalen Domains ein (z.B. "example.com" und "example.net"; eine Domain pro Zeile), unter "Domänenalias" dann die Hauptdomain (identisch zum Eintrag in "Domänen", falls Sie nur eine einzelne Domain eintragen wollen).
Benutzer anlegen (falls nicht über DEFENDO oder Active-Directory verwaltet)
Bei "E-Mail-Adressen" hinterlegen Sie bitte alle persönlichen E-Mail-Adressen des Benutzers
Bei "Benutzername" wird der Login-Name für das Archiv festgelegt
Die nachfolgenden Einstellungen sind für erste Tests nicht von Belang
Legen Sie am Ende der Maske das "Passwort" fest
Gruppen anlegen (falls nicht über DEFENDO oder Active-Directory verwaltet)
Tragen Sie unter "E-Mail-Adressen" die Adressen der Gruppenmitglieder ein (eine Adresse pro Zeile)
Tragen Sie unter "Zugeordnete Mailadressen" die E-Mail-Adressen ein, über die man Mails an die Gruppe senden kann
Alle Gruppenmitglieder können danach nicht nur ihre persönlichen Mails im Archiv sehen sondern zusätzlich alle Mails von oder zu den "zugeordneten Mailadressen".

Fertig

Die Archivierung ist nun einsatzbereit. Eine Kurzanleitung für Anwender finden Sie im Downloadbereich.
Da der Fokus eines Archivs auf der langfristigen Speicherung liegt, werden Änderungen nicht immer sofort sichtbar. So wird insbesondere der Suchindex nur zweimal pro Stunde aktualisiert.
Bis eine neue Mail im Archiv gefunden werden kann, vergehen also bis zu 30 Minuten.
Im Archivmenü können Sie auf dem Reiter (Tab) "Werkzeuge" jedoch jederzeit die Funktion "Index aktualisieren" aufrufen.
Ein Überblick über alle zeitgesteuerten Aktionen:
  • xx:00, xx:15, xx:30, xx:45 Uhr: Suchindex mit persönlichen Kategorien und Anmerkungen aktualisieren
  • xx:00, xx:15, xx:30, xx:45 Uhr: Zeitstempel, sofern mind. 10.000 neue Mails zu stempeln sind
  • xx:02, xx:17, xx:32, xx:47 Uhr: E-Mail-Abruf von POP3-/IMAP4-Servern
  • xx:05, xx:35 Uhr: Suchindex aktualisieren
  • xx:12 Uhr: inkrementelles Datenbankbackup + Spiegelung (außer 01:12 Uhr; bei täglich: nur 01:12 Uhr)
  • 01:12 Uhr: vollständiges Datenbankbackup + Spiegelung (bei wöchentlich: nur Sonntags)
  • 02:30 Uhr: gelöschte Mails aus Suchindex entfernen
  • 03:40 Uhr: gelöschte Mails vom Speichermedium entfernen
  • 06:30 Uhr: Statistiken aktualisieren (für Benutzer "admin")
  • 23:57 Uhr: Zeitstempel (bei wöchentlich: nur Sonntags)

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany