Administration

Dieses Menü beinhaltet Funktionen für das Verwalten des Systems.

Abschnitte auf dieser Seite:

•Licence and registration

•Update

•Maintenance

•Backup

•Bulk Import

•Bulk export

Sektion License and registration

Ist eine gültige Lizenz vorhanden, so wird in diesem Abschnitt die Meldung «Valid License detected» ausgegeben.

Andernfalls die Appliance registriert werden. im Normalfall geschieht das über die Schaltfläche Register this device..., welche das Untermenü REGISTER THIS DEVICE öffnet.

Ist der Zugang zum SEPPmail Lizenzserver (update.seppmail.ch beziehungsweise support.seppmail.ch) über TCP Port 22 (siehe Firewall / Router einrichten sowie Sektion Proxy settings des Menüpunktes System) nicht möglich, da es sich zum Beispiel um ein PCI gehärtetes oder ein DMZ abgeschottetes System handelt, so kann das Registrieren über Import license file... vorgenommen werden.

Sektion Update

View release notes zeigt das Untermenü REVISION INFORMATION, welches die komplette Versions-Historie sowie Inhalte verfügbarer und geplanter Updates des SEPPmail Secure E-Mail Gateways beinhaltet. Bei jeder Version ist ein Link zu den jeweiligen Extended Release Notes (ERN) zu finden.

Weiterhin kann durch Klicken dieser Schaltfläche ein Abgleich mit dem SEPPmail Lizenzserver erzwungen werden, wodurch zum Beispiel kurzfristig angeforderte Lizenzänderungen sofort übernommen werden.

empty

Achtung:

Nachdem in der REVISION INFORMATION auch zwingend vom Administrator zu beachtende Informationen (siehe rote Schrift) enthalten sein können, empfehlen wir dringend, diese Informationen vor jedem Update zu lesen.

Perform update (reboot automatically) startet bei verfügbarem Update den Download der Firmware vom SEPPmail Update Server und startet das System im Anschluss mit der neuen Firmware. Nach Klicken dieser Schaltfläche wechselt die Anzeige in das Menü Home. Dort ist der Fortschritt des Downloads im Abschnitt Firmware version der Sektion Home - System zu verfolgen. Nach Abschluss des Downloads und erfolgtem Reboot erscheint automatisch wieder das Login.

empty

Hinweis:

Sollte der Zugriff auf die Administrationsoberfläche im Fehlerfall nicht mehr möglich sein, so kann ein Update auch über die Console (siehe auch Rudimentäre Systembefehle).

Prefetch update (reboot manually) startet bei verfügbarem Update den Download der Firmware vom SEPPmail Update Server. Nach Klicken dieser Schaltfläche wechselt die Anzeige in das Menü Home. Dort ist der Fortschritt des Downloads im Abschnitt Firmware version der Sektion Home - System zu verfolgen. Nach Abschluss des Downloads wird die neue Firmware mit dem nächsten (manuellen) Reboot übernommen.

Ist der Zugang zum SEPPmail Lizenzserver (update.seppmail.ch beziehungsweise support.seppmail.ch) über TCP Port 22 (siehe Firewall / Router einrichten sowie Sektion System - Proxy settings) nicht möglich, da es sich zum Beispiel um ein PCI gehärtetes oder ein DMZ abgeschottetes System handelt, so kann eine Update Datei über den Support angefordert werden. Diese Datei wird über Upload hochgeladen. Durch einem Neustart des SEPPmail Secure E-Mail Gateways wird die neue Firmware aktiv.

empty

Hinweis:

(neu in 13.0.0)

Generell sind alle Firmware-Dateien signiert, um das Einspielen einer eventuell manipulierten Firmware zu verhindern.

empty

Hinweise:
In der Regel wird immer die aktuellste Firmware eingespielt (kumulativ). In seltenen Fällen ist jedoch das Update in mehreren Schritten notwendig, zum Beispiel wenn Abhängigkeiten bei den Konfigurationsdateien bestehen. In diesen Fällen muss die Appliance so oft aktualisiert werden, bis sie auf dem aktuellen Stand ist (Meldung You already have the latest version installed).

Beim Update im Cluster ist folgendes zu beachten:

•Alle Maschinen sollten zeitnah aktualisiert werden, so dass lange Laufzeiten mit unterschiedlichen Versionsständen vermieden werden.

•Ist ein Update in mehreren Stufen notwendig (siehe oben), so ist immer auf allen Cluster-Partnern der gleiche Versionsstand herzustellen, bevor auf die nächst höhere Version aktualisiert wird.
Ein Beispiel für die oben genannte Situation wäre das Update von Version 7.0.4 auf 7.2. Hier wird zunächst nur die Version 7.1 zum Update angeboten. Erst wenn alle Maschinen diesen Stand haben darf auf die dann angebotene Version 7.2 aktualisiert werden.

•Ist nach einem Update ein erneutes Generieren des Rulesets notwendig (dies wird mittels Klick auf View release notes angezeigt), so sind zunächst alle Maschinen auf einen einheitlichen Stand zu bringen. Danach muss das Ruleset an einer beliebigen Maschine aktualisiert werden (siehe Mail Processing Ruleset generator Save and create ruleset).

•Handelt es sich um einen Frontend-/Backend-Cluster, so sind zunächst die Frontend und erst dann die Backend-Maschinen zu aktualisieren, um zum Beispiel bei Sicherheitserweiterungen den Zugriff innerhalb des Clusters nicht zu gefährden.

empty

Achtung:

Wird die Appliance nach dem Update auf eine Major-Version mit einem Ruleset einer Vorgängerversion betrieben, so erscheint unter Home - System status, sowie im Daily Report (siehe Groups admin beziehungsweise statisticsadmin) zusätzlich die Meldung The current ruleset was created for another version. Please generate a new ruleset or update your special ruleset.

Das heisst, nach dem Update auf eine Major-Version ist grundsätzlich das Ruleset neu zu generieren (siehe Mail Processing Ruleset generator Save and create ruleset, beziehungsweise SMTP Ruleset Generate ruleset).

Werden bei Custom Rulesets (siehe auch Custom Commands) noch Befehle verwendet, welche nicht mehr unterstützt werden, wird beim Generieren des Rulesets ein entsprechender Fehler ausgegeben.

Nachdem das Generieren eines neuen Rulesets ohne vorherige Anpassungen im Ruleset generator keinen Einfluss auf die Art des Verarbeitens einer E-Mail hat, wird generell empfohlen nach jedem Update das Ruleset neu zu generieren.

Sektion Maintenance

empty

Achtung:

Zu Beachten gilt, dass alle hier aufgeführten Aktionen Wartungsoperationen sind und somit mit einem Neustart der Appliance verbunden sein können beziehungsweise sind.

Parameter

Beschreibung

Support connection

Sollten auf dem SEPPmail Secure E-Mail Gateway unerwartet Probleme auftauchen, so kann im Rahmen einer Störungsmeldung mittels Connect eine Support Verbindung zum Hersteller aufgebaut werden. Hierdurch wird eine SSH Verbindung (TCP Port 22) zum SEPPmail Support Server aufgebaut.

Für das Etablieren einer Support Connection ist zwingend die Eingabe der Ticket Nummer erforderlich, welche beim Öffnen einer Störungsmeldung über die entsprechenden Support-Kanäle mitgeteilt wurde.

empty

Hinweis:

Solange die Support Connection aufgebaut ist, wird dies - unabhängig vom Menü - in der Kopfleiste der Administrationsoberfläche durch folgenden Text angezeigt:

Support connection is established: Please disconnect under 'Administration' if not needed anymore

empty

Hinweis:

Sollte der Zugriff auf die Administrationsoberfläche nicht mehr möglich sein, so kann die Support Connection auch über die Console gestartet werden (siehe auch Rudimentäre Systembefehle).

Mail processing

Mit Klicken von Preempt wird der E-Mail Verkehr auf der Appliance angehalten. Eingehende E-Mails werden mit dem SMTP Code 422 temporär abgewiesen.

Während Preempt aktiv ist wird folgende Meldung Mail processing is preempted. Please restore it under 'Administration' if not needed anymore. in der Statusleiste angezeigt. Die Einstellung bleibt auch nach einem Neustart des SEPPmail Secure E-Mail Gateways erhalten.

Über Restore wird die normale Funktion des SEPPmail Secure E-Mail Gateways wiederhergestellt.

empty

Hinweis:

Mit dieser Funktion wird die E-Mail Queue angehalten, zum Beispiel während eines Updates im Cluster - auch wenn dies nicht erforderlich ist.

Kommen im Cluster virtuelle IPs zum Einsatz (siehe auch System - IP ALIAS Addresses), kann der E-Mail Verkehr vor einem Update gegebenenfalls bereits auf Netzwerkebene umgeleitet werden. Hierfür kann die «Priority» temporär auf «Backup», herabgestuft werden.

Clone device

Erstellt einen Klon eines anderen SEPPmail Secure E-Mail Gateways.

Hierfür ist die Cluster-ID (siehe Cluster Prepare for cluster Download cluster identifier) des zu klonenden SEPPmail Secure E-Mail Gateways - also der Quellmaschine - herunterzuladen und über die «Datei-Auswahl-Schaltfläche» unter Cluster ID of original device: der Zielmaschine bereitzustellen. Unter IP Address: ist dann die IP- Adresse der Quellmaschine einzugeben. Der Klonprozess wird im Anschluss durch Klicken von Start cloning... gestartet.

empty

Hinweis:

Vor dem Klonen haben idealerweise Quell-, als auch Zielmaschine denselben Firmware-Stand. Sind unterschiedliche Firmwarestände nicht zu vermeiden, da zum Beispiel das Update auf der Quellmaschine aufgrund zu geringer Partitionsgrössen verweigert wird, ist das Klonen von einem niedrigeren Versionsstand auf einen höheren zulässig. Dabei ist jedoch das Delta der Versionsstände möglichst gering zu halten. Das heisst, die Quellmaschine ist auf den höchstmöglichen Firmware-Stand zu bringen. Für die Zielmaschine kann immer das unter https://downloads.seppmail.com/index.php/images/ verfügbare Image verwendet werden.

Keinesfalls darf eine Quellmaschine mit einem höheren Versionsstand auf ein Ziel mit niedrigeren Versionsstand geklont werden!

empty

Achtung:

Handelt es sich bei der Quellmaschine um Hardware, so kann die Device ID nicht übernommen werden! Aus diesem Grund ist vor dem Klonen ein Ticket an support@seppmail.com unter Nennung der bestehenden License ID zu erstellen. Der Support überträgt dann die Lizenzdaten auf eine neue License ID und teilt diese im Ticket mit. Nach dem Aufsetzen der virtuellen Appliance ist diese zu registrieren (Administration License and registration REGISTER THIS DEVICE) und die über den Support erhaltene neue License ID unter Activation Code einzugeben.

Da sich das Ändern der License ID insbesondere im Cluster auswirkt, ist in einer Cluster-Konfiguration die Quellmaschine ZWINGEND vor dem Klonen aus dem Cluster zu entfernen (siehe Remove from cluster remove this device from cluster)!

Der Klon kann nach Abschluss des Prozesses dem Cluster wieder hinzugefügt werden (siehe Add this device to existing cluster).

empty

Achtung:
Ist auf der Quellmaschine Large File Transfer (LFT) aktiv, so ist vor dem Klonen darauf zu achten, dass der Zielmaschine ebenfalls LFT Speicher von mindestens derselben Grösse wie der Quellmaschine (wenigstens aber so gross wie unter Sizing gefordert) zugeordnet ist.

empty

Achtung:

Beim Klonen

•werden alle Daten auf demjenigen SEPPmail Secure E-Mail Gateway gelöscht, auf welchem dieser Prozess gestartet wird (Zielmaschine).

•werden alle Daten der Quellmaschine - also auch IP addresses, Device ID (Ausnahme Hardware, siehe oben), SSL Zertifikate, License-Daten und so weiter - auf die Zielmaschine übernommen.

•wird die Quellmaschine nach Abschluss des Klon-Prozesses automatisiert heruntergefahren, unter anderem um doppelte IP-Adressen im Netzwerk zu vermeiden.

Reboot

Reboot... startet das System neu. Es erscheint ein Dialog zur Eingabe eines Sicherheitscodes, wodurch ein versehentlicher Neustart verhindert wird.

empty

Hinweis:

Sollte der Zugriff auf die Administrationsoberfläche nicht mehr möglich sein, so kann ein Neustart auch über die Console gestartet werden (siehe auch Rudimentäre Systembefehle).

Shutdown

Shut down... fährt das System herunter. Es erscheint ein Dialog zur Eingabe eines Sicherheitscodes, wodurch ein versehentliches Herunterfahren verhindert wird.

Resize large file storage

Durch Resize... wird ein Ändern der LFT Partitionsgrösse eingeleitet. Im Folgemenü erscheint ein Dialog, in welchem zur Eingabe eines Sicherheitscodes aufgefordert wird. Nach Eingabe des Codes fährt die Appliance herunter.

Bei virtuellen Systemen ist nun die virtuelle Festplatte zu erweitern und das System erneut zu starten, um den Vorgang abzuschliessen.

Bei Hardware müssten vor dem Durchführen des Resizings die einzelnen Raid-Platten nach und nach durch Grössere ersetzt und wiederhergestellt werden. Sind alle Platten ersetzt, kann der eigentliche Prozess durchgeführt werden.

empty

Achtung:

Generell sollte vor dieser Aktion unbedingt ein Backup erstellt werden.

Factory reset

Perform factory reset... setzt das System auf Werkszustand zurück. Es erscheint ein Dialog zur Eingabe eines Sicherheitscodes in umgekehrter Schreibweise um ein ungewolltes Zurücksetzen zu verhindern.

empty

Hinweis:

Der Zugriff auf die GUI sollte bereits unmittelbar nach Start des Resets nicht mehr möglich sein. Im Konsolenfenster der Appliance bleibt - sofern diese Option gewählt wurde - während des zehnmaligen Überschreibens der Login-Prompt erhalten. Nach Abschluss des Resets fährt die Appliance herunter.

Wird die Maschine danach neu gestartet, so ist im Konsolenfenster wieder der Hinweis zu sehen, wie in Kapitel Consolen Login genannt.

LDAP

(neu in 12.1.18)

Migrate LDAP to MDB Backend migriert das LDAP Backend zu MDB (siehe gegebenenfalls auch https://openldap.org/pub/hyc/mdb-paper.pdf).

Nach erfolgreicher Migration ist dieser Abschnitt nicht mehr zu sehen.

empty

Achtung:

Generell sollte vor dieser Aktion unbedingt ein Backup erstellt werden.

empty

Hinweis:

Das MDB Backend ist zwingend für das spätere Update auf die Version 13.x erforderlich!

Sektion Backup

empty

Hinweis:

Das Backup ist maschinenbezogen und beinhaltet somit die komplette Konfiguration.

empty

Hinweis:

Backups enthalten keine Logs. Um diese dauerhaft und gesichert aufzubewahren, empfiehlt sich der Export der Logs an ein externes System, siehe die Beschreibung unter System > Syslog settings.

Parameter

Beschreibung

Backup

Download startet das Herunterladen, Send Backup den E-Mail Versand (siehe Groups backup (Backup Operator)) der Backup-Datei. Diese Datei beinhaltet ausschliesslich Konfiguration und Schlüsselmaterial des SEPPmail Secure E-Mail Gateways. Voraussetzung für ein Backup ist ein gesetztes Backup Passwort, welches via Change password gesetzt beziehungsweise geändert werden kann.

Restore

Der Restore wird über Import backup file... initiiert.

empty

Hinweis:
In einem Cluster darf kein Restore auf einem einzelnen Cluster-Partner auf diese Art durchgeführt werden. Bei Bedarf ist eine ausgefallene Maschine wie unter Cluster Cluster members Device ID beschrieben auf der verbleibenden, intakten Maschine zunächst aus dem Cluster zu entfernen. Im Anschluss kann eine neue, virtuelle Maschine aufgesetzt und dem Cluster wieder hinzugefügt werden (siehe Add this device to existing cluster).

Backup using scp

Soll das Backup per SCP abgeholt werden, so kann über das Eingabefeld ein entsprechender public key (dieser beginnt mit «ssh-rsa » und endet mit «= <Beschreibung>») eingegeben werden, welcher über die Schaltfläche Save public key importiert wird. Damit wird der Zugriff auf das System über den Betriebssystem eigenen Benutzer «backup» für das Abholen des täglich um Mitternacht bereitgestellten Backups (backup.tgz) gewährleistet.

Durch Eingabe eines weiteren Schlüssels, wird der bestehende Schlüssel jeweils gelöscht. Das heisst, wird Save public key ohne die Eingabe eines Schlüssels gedrückt, so wird der Schlüssel gelöscht.

empty

Hinweis:
Mitglieder der Gruppe backup (siehe Groups) erhalten täglich um Mitternacht die Sicherungsdatei per E-Mail zugesandt. Voraussetzung ist natürlich ein gesetztes Backup Passwort.

Zu beachten gilt, dass Backups des jeweils vorherigen Firmware Standes in den aktuelle Firmware Stand eingespielt werden können. Dabei sollte im Anschluss unbedingt das Ruleset neu generiert werden (siehe Mail Processing Ruleset generator Save and create ruleset).

Backups neuerer Firmware Stände dürfen keinesfalls auf Maschinen mit älterem Firmwarestand eingespielt werden.

Sektion Bulk import

In dieser Sektion werden zahlreiche (Massen-)Importfunktionen bereit gestellt.

Auf mandantenfähigen Systemen können die importierten User, beziehungsweise privaten Schlüssel wahlweise automatisch anhand der E-Mail-Domänen oder manuell zugeordnet werden.

GINA-User müssen immer manuell zugeordnet werden.

Parameter	Beschreibung
Import users (CSV)	Über die Schaltfläche Import können Encryption/Signature-Benutzer mittels csv-Datei mit dem Aufbau «USERID;NAME;EMAIL;PASSWORD» importiert werden. Dabei ist die Vergabe eines Passwortes optional (siehe Users). Bei Benutzern, welche durch das SEPPmail Secure E-Mail Gateway automatisch generiert wurden entsprechen USERID und EMAIL jeweils der E-Mail Adresse des Benutzers, was die Einmaligkeit garantiert.
Import GINA users (CSV)	Über die Schaltfläche Import können GINA-Benutzer mittels csv-Datei mit dem Aufbau «EMAIL;PASSWORD;NAME;MOBILE» importiert werden. Die Angabe einer Mobilfunk-Nummer ist dabei optional. Denkbar wäre zum Beispiel die Eingabe einer Kundenliste, bei welcher die Postleitzahl des Kunden als Initialpasswort dient.
Import OpenPGP key pairs	Über die Schaltfläche Import ist das Importieren von OpenPGP Schlüsselpaaren möglich. Sollte für die im Schlüsselpaar vorhandene E-Mail Adresse noch kein Benutzer auf dem SEPPmail Secure E-Mail Gateway vorhanden sein, so wird dieser automatisch durch diese Aktion angelegt. Der Import ist sowohl über eine Datei, als auch durch Einfügen als Text, jeweils unter Angabe der passenden Passphrase möglich. Durch das Aneinanderreihen von Schlüsselpaaren - egal ob als Datei oder als Text - ist auch ein Massenimport möglich. Ebenso können einzelne Schlüsseldateien aus einer unverschlüsselten ZIP-Datei ohne Ordnerstruktur importiert werden. Bei einem Massenimport ist darauf zu achten, dass alle Schlüssel dieselbe Passphrase haben!
Import X.509 keys and certificates	Die Schaltfläche Import ruft das Untermenü BULK IMPORT PKCS#12 CERTIFICATE STRUCTURE auf, über welches der Massen-Import von PKCS#12 Dateien ermöglicht wird.

Parameter

Beschreibung

Import

users (CSV)

Über die Schaltfläche Import können Encryption/Signature-Benutzer mittels csv-Datei mit dem Aufbau «USERID;NAME;EMAIL;PASSWORD» importiert werden. Dabei ist die Vergabe eines Passwortes optional (siehe Users).

Bei Benutzern, welche durch das SEPPmail Secure E-Mail Gateway automatisch generiert wurden entsprechen USERID und EMAIL jeweils der E-Mail Adresse des Benutzers, was die Einmaligkeit garantiert.

Import

GINA users (CSV)

Über die Schaltfläche Import können GINA-Benutzer mittels csv-Datei mit dem Aufbau «EMAIL;PASSWORD;NAME;MOBILE» importiert werden. Die Angabe einer Mobilfunk-Nummer ist dabei optional.

Denkbar wäre zum Beispiel die Eingabe einer Kundenliste, bei welcher die Postleitzahl des Kunden als Initialpasswort dient.

Import

OpenPGP key pairs

Über die Schaltfläche Import ist das Importieren von OpenPGP Schlüsselpaaren möglich. Sollte für die im Schlüsselpaar vorhandene E-Mail Adresse noch kein Benutzer auf dem SEPPmail Secure E-Mail Gateway vorhanden sein, so wird dieser automatisch durch diese Aktion angelegt.

Der Import ist sowohl über eine Datei, als auch durch Einfügen als Text, jeweils unter Angabe der passenden Passphrase möglich.

Durch das Aneinanderreihen von Schlüsselpaaren - egal ob als Datei oder als Text - ist auch ein Massenimport möglich. Ebenso können einzelne Schlüsseldateien aus einer unverschlüsselten ZIP-Datei ohne Ordnerstruktur importiert werden. Bei einem Massenimport ist darauf zu achten, dass alle Schlüssel dieselbe Passphrase haben!

Import

X.509 keys and certificates

Die Schaltfläche Import ruft das Untermenü BULK IMPORT PKCS#12 CERTIFICATE STRUCTURE auf, über welches der Massen-Import von PKCS#12 Dateien ermöglicht wird.

Sektion Bulk export

Dient dem Exportieren von öffentlichen Schlüsseln interner Benutzer (Users).

Somit können diese bei Bedarf zum Beispiel gesammelt an einen Kommunikationspartner weitergegeben werden.

Parameter	Beschreibung
Export OpenPGP public keys	Über Export werden sämtliche gültigen «OpenPGP public keys» der internen Benutzer (Users) in eine Datei namens public_openpgp_keys.zip heruntergeladen.
Export X.509 certificates	Über Export werden sämtliche gültigen S/MIME Zertifikate der internen Benutzer (Users) in eine Datei namens public_smime_cert.zip heruntergeladen.

JavaScript aktivieren, um diese Seite anzuzeigen.

Tastaturnavigation