Für eine korrekte Funktion des SEPPmail Secure E-Mail Gateways sind folgende Kommunikationswege zu gewährleisten:
Funktion / Feature |
Port |
Quelle |
Ziel |
Beschreibung |
|---|---|---|---|---|
|
Lizenzänderungen Support |
TCP 22 (SSH) |
Appliance |
update.seppmail.ch
support.seppmail.ch |
Sollte der Zugriff über Port 22 nicht möglich sein, so besteht die Möglichkeit die Verbindung über einen Proxy-Server herzustellen (siehe auch System Proxy settings) |
E-Mail Kommunikation
(Hinweis: Bei der Verwendung von IP ALIAS Adressen steht die virtuelle IP-Adresse nur empfangend bereit. Der Versand erfolgt über die physikalische IP-Adresse des sendenden Systems.) |
TCP 25 (SMTP) |
E-Mail Server |
Appliance |
Wird für den Versand ausgehender E-Mails vom internen E-Mail Server an das SEPPmail Secure E-Mail Gateway benötigt (siehe unter anderem auch Mail System Relaying). |
Appliance |
E-Mail Server |
Wird für den Versand eingehender E-Mails vom SEPPmail Secure E-Mail Gateway an den internen E-Mail Server benötigt (siehe auch Mail System Managed domains Server IP Address). |
||
Internet |
Appliance |
Wird für den direkten Empfang von E-Mails aus dem Internet benötigt |
||
Smarthost |
Wird für den Empfang von E-Mails über einen Smarthost benötigt |
|||
Appliance |
Internet |
Wird für den direkten Versand von E-Mails in das Internet benötigt (siehe Mail System Outgoing server Use built-in mail transport agent). |
||
Smarthost |
Wird für den Versand von E-Mails über einen Smarthost benötigt (siehe Mail System Outgoing server Use the following SMTP server). |
|||
Namens- auflösung |
TCP/UDP 53 (DNS) |
Appliance |
Name-Server (intern) |
Ermöglicht die Namensauflösung über einen/mehrere interne DNS-Server (siehe System DNS). |
Name-Server (extern) |
Ermöglicht die Namensauflösung über einen/mehrere externe DNS-Server (siehe System DNS). |
|||
Internet |
Ermöglicht die Namensauflösung für die Einstellung Use built-in DNS Resolver (siehe System DNS). |
|||
GINA |
TCP 443 (HTTPS) |
Internet |
Appliance |
Wird für das Herstellen der SSL verschlüsselten Kommunikation über HTTPS zum SEPPmail Secure E-Mail Gateway benötigt, welche für das Nutzen der GINA-Technologie verwendet wird. |
Administrations-zugriff |
TCP 8080 (HTTP) und/oder TCP 8443 (HTTPS) |
Admin PC (Internet) |
Appliance |
Wird für den Zugriff auf die web-basierte Administrationsoberfläche benötigt. Es wird empfohlen, nur die SSL verschlüsselte Verbindung (HTTPS) über Port TCP/8443 zuzulassen.
|
TCP 8445 (HTTPS) |
Optional. Wird für die Administration via RestAPI benötigt. |
|||
|
(optional) |
TCP 80/443/ 873/ 2703 UDP 24441 |
Appliance |
Internet |
Wird für Updates des Protection Packs (AntiVirus/AntiSpam) benötigt (siehe unter anderem Mail System Antispam und Blocklists). |
Fetchmail (optional) |
TCP 995 (POP3S) 993 (IMAPS) 110 (POP3) 143 (IMAP) |
Appliance |
Internet |
Wird benötigt, sofern für SEPPmail Secure E-Mail Gateway-Benutzer E-Mail über eines der benannten Protokolle via Fetchmail abgeholt werden (siehe Mail System Managed domains Fetch mail from remote POP3 server. Interval in minutes: beziehungsweise Users Remote POP3). |
Cluster Kommunikation (optional) |
TCP 22 (SSH) |
Appliance |
Appliance |
Wird für die Synchronisation von Appliances im Cluster-Verbund benötigt. (siehe Clustern mehrerer Systeme beziehungsweise Cluster). |
Frontend |
Backend |
Wird für das Aufteilen der Appliance in Funktionsgruppen benötigt (siehe Frontend/Backend Cluster, GINA Satellite beziehungsweise Cluster Add this device as frontend server (no local database)). |
||
Backend |
Frontend |
(neu in 13.0.0) Bei aufgeteilten Systemen wird die Verbindung benötigt, damit im Backend-System das Frontend-System und dessen Zustand angezeigt werden kann. |
||
TCP 25 (SMTP) |
GINA -Frontend |
E-Mail-Server |
Wird für die Konstellation GINA Satellite benötigt. Die unter E-Mail Kommunikation dieser Tabelle genannten, weiteren Kommunikationsbeziehungen sind dann nicht erforderlich. |
|
Zeit- synchronisation (optional, im Cluster zwingend) |
UDP 123 (NTP) |
Appliance |
Internet |
Wird für die Zeitsynchronisation mit Zeitservern im Internet benötigt (siehe System Time and Date Set remote NTP server). |
Time-Server (intern) |
Wird für die Zeitsynchronisation mit internen Zeitservern benötigt (siehe System Time and Date Automatically synchronize via NTP). |
|||
System- überwachung (optional) |
UDP 161 (snmp) |
internes Netz |
Appliance |
Wird für das Überwachen des SEPPmail Secure E-Mail Gateways via SNMP benötigt (siehe System SNMP Daemon). |
TCP 5666 (NRPE) |
Wird für das Überwachen des SEPPmail Secure E-Mail Gateways per Nagios benötigt (siehe System NRPE Daemon). |
|||
SysLog (optional) |
UDP 514 TCP 6514 |
Appliance |
SysLog Server |
Wird für das Weiterleiten von Log-Einträgen an einen SysLog-Server benötigt (siehe System Syslog settings). |
MPKI (optional) |
TCP 443 (HTTPS) |
Appliance |
Internet |
Wird ein Managed Public Key Infrastructure (MPKI) Connector verwendet, so wird der Zugang zur Certification Authorithy (CA) über eine HTTPS Strecke hergestellt. Sollte der Zugriff über Port 443 nicht möglich sein, so besteht die Möglichkeit die Verbindung über einen Proxy-Server herzustellen (siehe auch System MPKI proxy settings)
|
OCSP / CRL check (optional) |
TCP 443 (HTTPS) 80 (HTTP) |
Appliance |
Internet |
Für Zertifikatsprüfungen via OCSP / CRL (siehe System OCSP / CRL check settings) wird der Zugriff via Port 443 (selten Port 80) zur CA benötigt. Die Möglichkeit eines entsprechenden Proxy-Eintrags besteht. |
Abfrage externer Keyserver (optional) |
TCP/UDP 389 (LDAP) und/oder TCP/UDP 636 (LDAPS) |
Appliance |
Internet |
Ermöglicht LDAP Abfragen an LDAP-Server im Internet, welche zum Beispiel von vielen CAs für das Bereitstellen von öffentlichen Schlüsseln betrieben werden (siehe Mail Processing Ruleset generator Key server). |
LDAP-Server (intern) |
Ermöglicht LDAP Abfragen an interne LDAP-Server zur Abfrage von öffentlichen Schlüsseln interner Benutzer zum Beispiel für Interne E-Mail Verschlüsselung (IME) (siehe Mail Processing Ruleset generator Key server). |
|||
Keyserver Abfrage von intern (optional) |
TCP/UDP 388,387 (LDAP) und/oder TCP/UDP 635 (LDAPS) |
internes Netz |
Appliance |
Ermöglicht LDAP Abfragen an den in die Appliance integrierten Schlüssel-Server (Key Server) zur Abfrage von öffentlichen Schlüsseln externer Kommunikationspartner, zum Beispiel für eine End-to-End Verschlüsselung (siehe Mail Processing Miscellaneous options Enable LDAP server on port 388, 387 and 635 to distribute collected S/MIME certificates to internal users). |
Keyserver Abfrage von extern (optional) |
TCP/UDP 1389 (LDAP) und/oder TCP/UDP 1636 (LDAPS) |
internes Netz |
Appliance |
Ermöglicht LDAP Abfragen an den in die Appliance integrierten Key Server zur Abfrage von öffentlichen Schlüsseln interner Benutzer. Diese Schlüssel können zum Beispiel für das Realisieren einer internen E-Mail Verschlüsselung verwendet werden (siehe auch System Key server). |
Firewall |
Ermöglicht LDAP Abfragen an den in die Appliance integrierten Key Server zur Abfrage von öffentlichen Schlüsseln interner Benutzer. Damit können unter Anderem (insbesondere bei Verwenden von selbst signierten Zertifikaten) diese Schlüssel externen Kommunikationspartnern zur Verfügung gestellt werden (siehe auch System Key server). |
|||
Self Service Password Management (SSPM) (optional) |
TCP 5061 |
Appliance |
Internet |
Wird von vielen SMS-Gateways für den SMS-Versand via Internet verwendet. Dies wird benötigt, sofern Self-Service Password Management (SSPM) per SMS über einen externen SMS Dienst eingestellt wird. Im Bedarfsfall ist der korrekte Port direkt beim Anbieter zu erfragen. |
Regeln für das Gewährleisten der Netzwerkkommunikation des SEPPmail Secure E-Mail Gateways
|
Generell ist darauf zu achten, dass nur die tatsächlich erforderlichen Kommunikationswege - abhängig von der eingesetzten Infrastruktur und den aktiven Optionen des SEPPmail Secure E-Mail Gateway - offen sind. Insbesondere die Erreichbarkeit aus dem Internet muss auf ein Minimum beschränkt sein. |
