Ausgangssituation:
Das SEPPmail Secure E-Mail Gateway wird mandantenfähig betrieben. Dies impliziert, dass besondere Sicherheitsmaßnahmen ergriffen werden.
Frage:
Was sollte explizit in mandantenfähigen Umgebungen beachtet werden?
Antwort:
Für das Absichern der Strecke zwischen dem SEPPmail Secure E-Mail Gateway und den E-Mail Servern der Mandanten (und umgekehrt) wird in der Regel TLS verwendet, idealerweise in der Ausprägung Fingerprint oder Secure, mindestens aber Verify.
Für das Konfigurieren von TLS hin zu den E-Mail Servern der Mandanten stehen im SEPPmail Secure E-Mail Gateway in den Einstellungen der jeweiligen Managed Domains (siehe ) unter TLS settings die entsprechenden Optionen bereit. Damit nur TLS gesicherte Verbindungen vom SEPPmail Secure E-Mail Gateway angenommen werden, sollte weiterhin die Option Mail System SMTP settings Require TLS encryption aktiviert werden.
Das Absichern der Verbindung vom E-Mail Server hin zum SEPPmail Secure E-Mail Gateway muss auf dem jeweiligen E-Mail Server konfiguriert werden.
Unter Umständen ist in diesem Zusammenhang auch der Artikel Admin: Mehrere SMTP-Authentifizierungen verwalten relevant.
Gegebenenfalls kann die Verbindung auch über einen VPN-Tunnel abgesichert werden. Dies muss dann allerdings über externe Komponenten realisiert werden. Das SEPPmail Secure E-Mail Gateway stellt nativ keine Möglichkeit für das Herstellen eines VPN-Tunnels bereit.
Als weitere Sicherheitsmaßnahmen muss in jedem Fall pro Managed domain die entsprechende Einschränkung für das Relaying unter Settings Allowed sending servers for this domain (leave empty to allow all relaying networks). Note: Entering an address here does not automatically allow relaying, beziehungsweise gegebenenfalls auch der Header check eingerichtet werden.
Auch bei aktiver Einstellung Exchange Online Integration ist ein Eintrag unter Allowed sending servers for this domain zwingend. In der Regel sind das IP-Adressen gegebenenfalls zusätzlicher, für das Relaying innerhalb der Managed domain berechtigter Server außerhalb von Exchange Online - beispielsweise ein Webserver, der E-Mails versenden darf. Sollte kein zusätzlicher Server relayen dürfen, so ist hier dennoch zwingend ein Eintrag vorzunehmen. In diesem Fall ist eine private (pseudo-)IP einzutragen, bei welcher sichergestellt ist, dass diese niemals auf das SEPPmail Secure E-Mail Gateway geroutet wird.
Weiterhin empfehlenswert ist unter Mail Processing Ruleset generator Protection pack die Option Reject incoming mails with spoofed sender domain. Bei Verwenden dieser Option sind im Menü Mail System die Relaying (beziehungsweise bei entsprechend gemischten Infrastrukturen auch Exchange Online Relaying) IPs zusätzlich unter Manual blocklisting / welcomelisting mit der „action“ accept einzutragen.
In reinen Exchange Online Infrastrukturen ist zwingend darauf zu achten, dass das SEPPmail Secure E-Mail Gateway ausschließlich von den Exchange Online Relaying IPs via Port 25 erreichbar ist. Ist das SEPPmail Secure E-Mail Gateway in MS-Azure hosted, so kann das über die Filter der virtuellen Maschine realisiert werden (siehe auch zweite Warnung unter Exchange Online Konfiguration).
