Microsoft 365 stellt ein Zertifikat für den M365EO-Host bereit. Bezugnehmend auf das vorherige Beispiel wäre dieses für die Domäne contoso-de.mail.protection.outlook.com ausgestellt.
Dieses Zertifikat wird für das Absichern der Strecke vom SEPPmail Secure E-Mail Gateway zu M365EO mittels TLS benötigt. In der Regel ist dabei die TLS-Sicherheitsstufe «sicher (secure)» möglich.
Um den Weg von M365EO zum SEPPmail Secure E-Mail Gateway zu sichern, wird ein SSL Zertifikat einer akkreditierten Zertifizierungsstelle (CA) benötigt. Dieses Zertifikat muss als Antragsteller den FQDN, welcher für die [default] GINA verwendet wird - im Beispiel securemail.contoso.de - beinhalten. Dies kann also ein Einzel- ein SAN- oder ein Wildcard-Zertifikat sein.
Um die TLS-Verbindung zu Ihrem M365EO-Host zu konfigurieren, ist zum Menü Mail System der Administrationsoberfläche des SEPPmail Secure E-Mail Gateways zu navigieren. In der Sektion Managed Domains ist nun auf den E-Mail-Domain-Name (im Beispiel contoso.de) zu klicken. Darauf folgend erscheint ein Untermenü, in welchem in der Sektion TLS Settings die Option Secure: Only send mail if TLS is possible and the certificate is valid and its common name can be checked (not expired or revoked, and signed by a trusted certificate authority) gewählt werden sollte. Abschliessend müssen die Änderungen über die Schaltfläche Save changes links unten im Untermenü gespeichert werden. Daraufhin wechselt die Anzeige wieder in das Menü Mail System.
Nun ist in der Sektion SMTP Settings, im Abschnitt TLS Encryption die Option Require TLS Encryption zu aktivieren. Das bedeutet, dass ausschliesslich TLS-gesicherte SMTP-Verbindungen vom SEPPmail Secure E-Mail Gateway angenommen werden.
Um das Zertifikat zu importieren, welches von M365EO für das Verbinden vom SEPPmail Secure E-Mail Gateway geprüft wird, muss im Menü SSL das oben genannte Zertifikat der akkreditierten CA über die Schaltfläche Import existing certificate... importiert oder via Request or create new certificate... ein CSR (Certificate Signing Request) für das Signieren des von der Appliance selbst generierten öffentlichen Schlüssel zu erzeugen (siehe auch SSL).
