S/MIME-Gateway einrichten

Das "S/MIME-Gateway" ermöglicht es, ausgehende Mails automatisch zu signieren und verschlüsseln. Eingehende Mails können automatisch entschlüsselt werden. Bei signierten Mails lässt sich die Signatur prüfen. Als Teil der Signatur empfangene Zertifikate können manuell oder automatisch für den verschlüsselten Versand hinterlegt werden.
Die Signaturprüfung bei eingehenden Mails sowie die Verschlüsselung ausgehender Mails sind ohne Zusatzkosten nutzbar. Dafür muss auch kein S/MIME-Zertifikat erworben werden. Ebenfalls kostenlos möglich ist das Signieren und Entschlüsseln innerhalb eines geschlossenen Teilnehmerkreises auf Domain-Ebene (Domain-Zertifikate). Die Konfiguration von Domain-Zertifikaten ist im letzten Abschnitt dieser Seite beschrieben.
S/MIME-Zertifikate zum Signieren und Entschlüsseln müssen üblicherweise bei einer CA gekauft werden. Diese individuellen S/MIME-Schlüssel müssen zudem im DEFENDO entsprechend ihrer Anzahl kostenpflichtig lizenziert werden. Sie erhalten von uns eine Lizenz-Datei, die Sie bitte im Menü "System > Lizenzen" installieren. Kostenlose, zeitlich begrenzte Testlizenzen erhalten Sie über Ihren Fachhändler.
Konfiguriert wird das S/MIME-Gateway im Menü "Module > Mail-Server > S/MIME-Gateway".

Signatur eingehender Mails verifizieren und Mails verschlüsseln

Diese beiden Operationen ergänzen sich und können ohne weiteres aktiviert werden. Es sind keine S/MIME-Schlüssel notwendig. Auf dem Reiter (Tab) "Verifizieren" sollten Sie die Option "Empfangene Zertifikate zur Verschlüsselung nutzen" aktivieren. Andernfalls müssten Sie die Zertifikate von Kommunikationspartnern, an die E-Mails verschlüsselt versendet werden sollen, manuell importieren. Das Hochladen von Zertifikaten sowie Anzeige, Deaktivieren oder Löschen von automatisch importierten Zertifikaten ist auf dem Reiter (Tab) "Verschlüsseln" unter "S/MIME-Partner bearbeiten" möglich.
Sollten Sie sich beim Import von Zertifikaten für eine manuelle Freigabe entschieden haben (entweder grundsätzlich oder bei Zertifikatsfehlern), werden Ihnen die erhaltenen Zertifikate im Menü "Monitoring > Mail-Server" auf dem Reiter (Tab) "S/MIME Zertifikate" angezeigt. Mit dem grünen Pfeil schalten Sie die Zertifikate frei.
Es kann bis zu einer Minute dauern, bis das Zertifikat unter "S/MIME-Partner bearbeiten" zu sehen ist.
Das Ergebnis der Signaturprüfung kann dem lokalen Empfänger über Symbole oder über einen konfigurierbaren Text-Präfix im Betreff der Mail angezeigt werden. Antwortet der lokale Empfänger auf eine derart markierte Mail, werden die Symbole bzw. der Präfix automatisch durch DEFENDO entfernt. Bei eingehenden Mails werden die Symbole, der Präfix oder dem Präfix ähnliche Texte aus dem Betreff entfernt, so dass der Status nicht gefälscht werden kann.

Ausgehende Mails signieren und Mails entschlüsseln

Auch diese beiden Operationen ergänzen sich. Sobald Sie Ihre ausgehenden Mails signieren, müssen Sie damit rechnen, verschlüsselte Mails zurück zu erhalten. Sie sollten in diesem Fall daher unbedingt auch die Option "Mails entschlüsseln" aktivieren.
Um diese Operationen nutzen zu können, benötigen Sie für jede teilnehmende E-Mail-Adresse ein S/MIME-Zertifikat sowie eine kostenpflichtige DEFENDO Lizenzerweiterung für die Anzahl S/MIME-Zertifikate.
Beantragen bzw. importieren Sie die benötigten S/MIME-Zertifikate im Menü "System > Zertifikatsverwaltung > Schlüsselbund".
Aktivieren Sie die Option "Mails entschlüsseln". Eingehende Mails werden jetzt automatisch entschlüsselt, wenn ein passender Schlüssel verfügbar ist und die Empfänger-Adresse (Envelope-To) im Zertifikat enthalten ist. Wie bei der Signaturprüfung wird dem lokalen Empfänger über ein Symbol oder einen konfigurierbaren Text-Präfix im Betreff der Mail angezeigt, ob die Mail verschlüsselt war. Symbol, Präfix bzw. dem Präfix ähnliche Texte werden ebenfalls wie bei der Signaturprüfung beschrieben entfernt.
Kommen wir schließlich zur Option "Ausgehende Mails signieren". Hier ist entscheidend, dass DEFENDO nur dann eine Signatur anbringt, wenn sich der Absender in irgendeiner Form authentifiziert hat. Dies ist problemlos möglich, wenn der Absender Mails direkt über den DEFENDO-Mail-Server verschickt. In diesem Szenario ist DEFENDO typischerweise sowohl Posteingangs- als auch Postausgangs-Server für die lokalen Clients und die Clients können sich am DEFENDO anmelden. Schwierig wird es, wenn ein interner Mail-Server im Spiel ist und DEFENDO lediglich als Relay für ausgehende Mails fungiert. In diesem Fall muss DEFENDO der Absender-Adresse in ausgehenden E-Mails vertrauen. Da sich die Absender-Adresse leicht fälschen lässt, muss der interne Mail-Server sicherstellen, dass die Adresse korrekt ist. Auch die DEFENDO-Konfiguration muss zusätzlich abgesichert werden. Abhängig vom vorliegenden Szenario sind die notwendigen Einstellungen nachfolgend beschrieben:
DEFENDO ist Postausgangs-Server für die Clients
Legen Sie, sofern noch nicht vorhanden, in der Benutzerverwaltung die benötigten Benutzerkonten an. Die Benutzer müssen Mitglied der Gruppe "sytem-mail" sein.
Bei allen beteiligten Benutzerkonten muss auf dem Reiter (Tab) "Mail-Administration" der zugehörige S/MIME-Schlüssel hinterlegt werden.
Aktivieren Sie Authentifizierung im DEFENDO Mail-Server ("Module > Mail-Server > SMTP Einstellungen" auf dem Reiter (Tab) "Relay Kontrolle")
Sofern keine Mischlösung der beiden Szenarien vorliegt, sollten Sie sicher stellen, dass in der Konfiguration des S/MIME-Gateways auf dem Reiter (Tab) "Signieren" die Listen "Absender-Adresse vertrauen wenn empfangen von" und "Ohne Authentifzierung nutzbare S/MIME-Schlüssel" leer sind.
Postausgangs-Server für die Clients ist ein interner Mail-Server
In der Regel ist es in diesem Szenario nicht möglich, dass sich der interne Mail-Server stellvertretend für den Client am DEFENDO anmeldet. Viele Mail-Server lassen sich aber so konfigurieren, dass sich der Client anmelden muss und der Mail-Server dann die Absender-Adresse (From- bzw. Sender-Header) prüft. Eine E-Mail wird nur dann akzeptiert, wenn der Absender zum angemeldeten Benutzer passt. In diesem Fall kann DEFENDO der Absender-Adresse trauen, sofern die Mail direkt vom internen Mail-Server empfangen wird. Stellen Sie sicher, dass Ihr interner Mail-Server so eingestellt ist.
In der Grundeinstellung prüft Microsoft Exchange die Absender-Adressen wie beschrieben.
Tragen Sie in der Konfiguration des S/MIME-Gateways die IP-Adresse des internen Mail-Server auf dem Reiter (Tab) "Signieren" unter "Absender-Adresse vertrauen wenn empfangen von" ein. Die S/MIME-Schlüssel, die genutzt werden dürfen, hinterlegen Sie bitte unter "Ohne Authentifzierung nutzbare S/MIME-Schlüssel".
Ihr S/MIME-Gateway ist nun einsatzbereit.

Domain-Zertifikate

S/MIME-Zertifikate werden stets auf einzelne E-Mail-Adressen ausgestellt. Bei Domain-Zertifikaten wird hingegen für eine ganze E-Mail-Domain ein einziges S/MIME-Zertifikat genutzt. Nun gibt es allerdings keine Wildcard-Zertifikate im Sinne von "*@example.com" für S/MIME. Es kommt daher ein ganz normales Zertifikat zum Einsatz, das auf besondere Weise genutzt wird. Meist ist sogar ein selbsterstelltes S/MIME-Zertifikat ausreichend.
Das Konzept der Domain-Zertifikate ist nicht standardisiert. Üblicherweise kommt es nur zwischen Verschlüsselungs-Gateways zum Einsatz.
Nutzt ein Kommunikationspartner Domain-Zertifikate, müssen Sie das Zertifikat auf dem Reiter (Tab) "Verschlüsseln" unter "S/MIME-Partner bearbeiten" importieren. Entscheidend ist, dass Sie das Zertifikat dort unter dem Domainnamen (z.B. "example.com") und nicht wie sonst üblich unter der E-Mail-Adresse (z.B. "mail@example.com") ablegen.
Der Eintrag aktiviert nicht nur die Verschlüsselung. Signiert der Kommunikationspartner Mails mit dem Domain-Zertifikat, berücksichtigt DEFENDO dies auch bei der Signaturprüfung. Im Betreff werden Mails mit Domain-Signatur zusätzlich mit "[SIGNIERT VON <*@example.com>]" markiert.
Wenn Sie selbst ein Domain-Zertifikat nutzen wollen, müssen Sie es im Menü "Module > Mail-Server > Domains" in der jeweiligen Domain hinterlegen. Wählen Sie das gewünschte S/MIME-Zertifikat auf dem Reiter (Tab) "S/MIME" aus. Dies genügt bereits, um eingehende Mails entschlüsseln zu können. Sollen ausgehende Mails zusätzlich signiert werden, tragen Sie die Empfänger bitte unter "Signiere Mails an folgende Empfänger-Adressen und -Domains" ein.
Bei der Prüfung von S/MIME-Signaturen muss die Absender-Adresse mit der E-Mail-Adresse aus dem Zertifikat abgeglichen werden. Bei Domain-Signaturen stimmen diese typischerweise nicht überein, was zu einer Fehlermeldung führen sollte. Signieren Sie daher nur, wenn Sie wissen, dass die S/MIME-Software des Empfängers Domain-Signaturen handhaben kann und für Ihre Domain entsprechend konfiguriert wurde.

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany