|
  
|
|
|
Vorgehen:
Generell wird empfohlen einen Relay-Server für den Versand von E-Mails in das Internet zu verwenden. Dieser sollte sowohl vom Backend- als auch vom GINA-Satellite-System verwendet werden (siehe Mail System Outgoing server).
Weiterhin sind auf beiden Systemen folgende Vorbereitungen zu treffen:
•(nur notwendig, sofern eine direkte Verbindung zwischen dem Backend- und dem GINA-Satellite-System und entgegengesetzt hergestellt werden kann und soll)
SSL
Generieren (Request or create new certificate...) oder Einbinden eines vorhandenen Zertifikates (Import existing certificate...)
oFingerprint
Notieren des Fingerprints zur späteren Verwendung im entgegengesetzten System für das Einrichten der TLS-Verbindung
•CA
oAnlage der CA via Request or create new certificate authority...
oBackup
Download des Root Zertifikats mittels Download certificate für das spätere Einbinden im entgegengesetzten System unter X.509 Root Certificates
•X.509 Root Certificates
Import des Root Zertifikates des entgegengesetzten Systems via Import S/MIME root certificate...
Backend-System
oManaged domains
Öffnen jedes einzelnen Domain name durch Klicken auf den jeweiligen Namen
▪
•Settings GINA domain
Auswahl auf „[default]“
Wird „- disabled -“ gewählt, so wird das GINA Forwarding für die jeweilige Managed domain unterbunden.
•S/MIME domain encryption
Öffnen des Domänen-Zertifikat-Folgemenüs durch Klicken auf Fingerprint SHA1:....
oFingerprint
Wert aus SHA256 notieren
Diese Fingerprints müssen im Satellite System unter Relay domain key fingerprint: eingegeben werden.
Sofern der das zu verwendende Domänen-Zertifikat unter Domain encryption einen anderen Status als „managed“ hat, beziehungsweise das Satelliten-System die Teilnahme am Managed Domain Service nicht prüfen kann, Sind die Zertifikate zum späteren Import auf dem Satellitensystem zu exportieren:
oDownload certificate
o(das zusätzliche Absichern der Verbindung zwischen den beiden Systemen via TLS ist nur möglich, sofern eine direkte Verbindung hergestellt werden kann)
TLS settings Add TLS domain... , Folgemenü unter
•Domain name (use a leading "." to include all subdomains)
Eintrag „kunde.pseudo“
(dies ist die Domäne, welche später für die E-Mail Adresse unter Use remote GINA server, reachable under the following email address verwendet wird.
•Optional forwarding server address
bleibt leer, sofern der Domain name per DNS aufgelöst wird, andernfalls muss die IP-Adresse des GINA-Satellite-Systems eingetragen werden
▪TLS settings
Auswahl von Fingerprint: Only send mail if TLS is possible and the fingerprint of the server certificate has the following fingerprint
Im darunterliegenden Eingabefeld wird der/die Fingerprint(s) des/r Zertifikate/s aus dem Menü SSL der GINA-Satellite-Systeme eingetragen.
•Mail Processing Ruleset generator
oGeneral settings Log message meta data
Deaktivieren
oAdvanced options Use remote GINA server, reachable under the following email address
Angabe einer E-Mail-Adresse mit einer keinesfalls erreichbaren E-Mail Domäne (zum Beispiel „GINA@kunde.pseudo“ (siehe auch Domain name (use a leading "." to include all subdomains)
•Domain Certificates S/MIME domain certificates..., Folgemenü Manual S/MIME domain certificates Import S/MIME certificate..., Folgemenü
oDomain name
Laut Beispiel „kunde.pseudo“
oCertificate Data
Import des zuvor vom GINA-Satellite-System für die dort angelegte Managed domain „kunde.pseudo“ erzeugten Domänenzertifikats (siehe auch S/MIME domain encryption)
•GINA Domains
Eine GINA Domain muss nicht angelegt werden
GINA-Satellite-System
•Administration Bulk import Import X.509 keys and certficates Import
Damit GINA-Träger-E-Mails signiert werden können, ist das Importieren wenigstens eines PKCS#12 Schlüsselpaares und das daraus resultierende automatische Anlegen eines Users erforderlich.
Sollen unterschiedliche GINA Domains zum Einsatz kommen, ist unter Umständen das Importieren jeweils eines PKCS#12 Schlüsselpaares pro GINA Domains sinnvoll. Dabei sollte im Antragsteller des Zertifikates aus dem PKCS#12 jeweils eine E-Mail Adresse mit einem möglichst allgemeingültigen Namensteil und der, beziehungsweise eine der zugeordneten Managed domains, im Domänenteil stehen, wie zum Beispiel „securemail@managed-domain1.tld“, „securemail@managed-domain2.tld“, „securemail@managed-domainn.tld“.
Diese E-Mail Adressen kommen dann bei der Konfiguration der jeweiligen GINA Domain zum Einsatz (siehe nächster Punkt)
•GINA Domains
Konfigurieren der [default] GINA, beziehungsweise Einrichten der erforderlichen GINA Domains
▪GINA name
Öffnen der jeweiligen GINA
Im Folgemenü die gewünschten Einstellungen vornehmen.
Für das Signieren der GINA-Träger-E-Mails
•Extended settings Force sending of GINA mails from this address:
Eintragen der zur jeweiligen GINA Domains passenden E-Mail Adresse (siehe Punkt oberhalb)
▪Create S/MIME domain keys for managed domain encryption and send public key to vendor pool
Auf „Off for all domains“ setzen
▪Anlage der E-Mail Domäne der unter Use remote GINA server, reachable under the following email address des Backend-Systems angegebenen E-Mail Adresse via Add managed domain... .
Im Folgemenü Settings
•Domain name
Eingabe laut Beispiel „kunde.pseudo“
▪Eingabe der IP-Adresse, des Hostname oder des MX-Eintrag des Backend-Systems
Erneutes Öffnen der soeben angelegten Managed domain
oKlicken von Generate S/MIME key
oÖffnen des neu generierten Zertifikates durch Klicken auf SHA1:... unter Fingerprint
▪Im sich öffnenden Untermenü das Zertifikat mittels Download certificate... herunterladen. Dieses ist auf dem Backend-System unter Domain Certificates für die Zieldomäne (laut Beispiel „kunde.pseudo“) einzubinden.
Anlage aller Managed domains, wie sie auch auf dem Backend-System vorhanden sind mittels Add managed domain... .
Im Folgemenü Settings
▪Domain name
Kommagetrennte Eingabe der Domänen aus dem Backend-System
▪Forwarding server
Eingabe des der IP Adresse, des Hostnames oder des MX des Backend-Systems
oGegebenenfalls Zuordnen der jeweils gewünschten GINA zur jeweiligen Managed domains
(siehe Settings GINA domain).
o(nur möglich, sofern eine direkte Verbindung mit dem Backend-System hergestellt werden kann)
TLS settings Add TLS domain... , Folgemenü unter
•Domain name (use a leading "." to include all subdomains)
Eingabe des Names Backend-Systems
•Optional forwarding server address
bleibt leer, sofern der Domain name per DNS aufgelöst wird, andernfalls muss die IP-Adresse des Backend-Systems eingetragen werden
▪TLS settings
Auswahl von Fingerprint: Only send mail if TLS is possible and the fingerprint of the server certificate has the following fingerprint
Im darunterliegenden Eingabefeld wird der/die Fingerprint(s) des/r Zertifikate/s aus dem Menü SSL der Backend Maschine(n) eingetragen.
oSMTP settings max. message size (KiB) (Note: cannot exceed xxxxxxx KiB)
Begrenzung aus dem Backend-System, beziehungsweise E-Mail Server übernehmen
oRelaying
Eingabe der IP Adresse(n) des/r Backend-Systems/e
▪General settings
Entfernen der Haken der Optionen
•Do not touch mails with the following text in subject
•Reprocess mails sent to reprocess@decrypt.reprocess
▪User creation
Auswahl von Create accounts for all users
•Incoming e-mails
Einstellungen des Backend-Systems übernehmen
•Outgoing e-mails
Einstellungen sind irrelevant, da eine zum Einsatz kommt, in welcher GINA erzwungen wird.
▪Signing
Entfernen aller Haken
•This is a remote GINA server
Aktivieren
oRelay for domain:
Eingabe aller Managed domains des Backend Systems als Regulärer Ausdruck
oRelay e-mail address:
Eingabe der Adresse aus der Option Use remote GINA server, reachable under the following email address des Backend-Systems, im Beispiel „GINA@kunde.pseudo“
oRelay domain key fingerprint:"
Eingabe der Fingerprints der zu verwendenden Domänenverschlüsselungszertifikate aus den jeweiligen Managed domains des Backend Systems (siehe S/MIME domain encryption), passen zur Eingabe unter Relay for domain:.
oUse custom delivery method:"
Eingabe von continue'); if (!pack_mail('GINA@kunde.pseudo', true)) { log(1, 'pack_mail() failed'); drop(500, 'pack_mail() failed'); } deliver('
Über Edit policy table... wird im Folgemenü via Create new encryption policy... eine neue Policy erzeugt.
Im Folgemenü sind in den Settings folgende Parameter zu setzen:
oPolicy name
Eingabe eines eindeutigen Namens, zum Beispiel „GINA“.
oPolicy domains
Auswahl aller Managed domains mit Ausnahme von „kunde.pseudo“
oEncryption mode
Auswahl von „GINA-only“
oGINA options
bleibt leer
•Domain Certificates
Sofern das Satellite System die Domänenschlüssel der Managed domains des Backend-Systems nicht automatisch über den Managed Domain Service beziehen kann, müssen diese via S/MIME domain certificates... in Manual S/MIME domain certificates Import S/MIME certificate... jeweils importiert werden.
Einschränkungen
Large File Transfer (LFT)
LFT ist nur bedingt möglich.
So ist die in Large File Transfer (LFT) beschriebene Variante 1 (ausschließlich über den E-Mail Client) nicht möglich.
Für Variante 2 (Einliefern per GINA - beziehungsweise für LFT nach intern) müssten gegebenenfalls interne Benutzer via Administration Bulk import Import GINA Users (CSV) oder via Rest Schnittstelle (siehe auch Groups legacyappadmin) auf der Maschine als GINA-Accounts angelegt und auch gepflegt werden.
Auch für Variante 3 müssen die Voraussetzungen wie bei Variante 2 geschaffen werden.
Protection Pack (PP)
Einstellung nach Bedarf. Gegebenenfalls ist das Umleiten auf eine externe Schutz-Instanz via Custom commands möglich (siehe auch Sophos UTM: Erneute Virenprüfung nach dem Entschlüsseln). In der Regel ist dies jedoch nicht notwendig, da die Schutzmechanismen des Backend-Systems greifen.
