|
  
|
|
|
Vorgehen:
Generell wird empfohlen einen Relay-Server für den Versand von E-Mails in das Internet zu verwenden. Dieser sollte sowohl vom Backend- als auch vom GINA-Satellite-System verwendet werden (siehe Mail System Outgoing server).
Weiterhin sind auf beiden Systemen folgende Vorbereitungen zu treffen:
•SSL
Generieren (Request or create new certificate...) oder Einbinden eines vorhandenen Zertifikates (Import existing certificate...)
o(nur notwendig, sofern eine direkte Verbindung zwischen dem Backend- und dem GINA-Satellite-System und entgegengesetzt hergestellt werden kann und soll)
Fingerprint
Notieren des Fingerprints zur späteren Verwendung im entgegengesetzten System für das Einrichten der TLS-Verbindung
Backend-System
oManaged domains
Öffnen jedes einzelnen Domain name durch Klicken auf den jeweiligen Namen
▪
•Settings GINA domain
Auswahl auf „[default]“
Wird „- disabled -“ gewählt, so wird das GINA Forwarding für die jeweilige Managed domain unterbunden.
|
Bei mandantenfähigen Installationen erscheint hier die Fehlermeldung, dass die [default]-GINA-Domain von mehr als einem Mandanten verwendet wird: GINA domain [default] used by more than one customer. Dies kann an dieser Stelle ignoriert werden, da die GINA-Mandantentrennung auf dem GINA-Satellite System erfolgt (und somit dort auch konfiguriert werden muss!). |
▪Fetch mail from remote POP3 server.Interval in minutes: aktivieren und Wert auf „1“ setzen.
o(das zusätzliche Absichern der Verbindung zwischen vom Backend- zum GINA-Satellite-System via TLS ist nur möglich, sofern eine direkte Verbindung hergestellt werden kann)
TLS settings Add TLS domain... , Folgemenü unter
•Domain name (use a leading "." to include all subdomains)
Eintrag „kunde.pseudo“
(dies ist die Domäne, welche später für die E-Mail Adresse unter Use remote GINA server, reachable under the following email address verwendet wird.
•Optional forwarding server address
bleibt leer, sofern der Domain name per DNS aufgelöst wird, andernfalls muss die IP-Adresse des GINA-Satellite-Systems eingetragen werden
▪TLS settings
Auswahl von Fingerprint: Only send mail if TLS is possible and the fingerprint of the server certificate has the following fingerprint
Im darunterliegenden Eingabefeld wird der/die Fingerprint(s) des/r Zertifikate/s aus dem Menü SSL der GINA-Satellite-Systeme eingetragen.
•Mail Processing Ruleset generator
oGeneral settings Log message meta data
Deaktivieren
oCustom Commands Custom macros and commands for all e-mails BEFORE processing
Zeile |
Code |
|---|---|
01 |
# Begin: Custom macros and commands for all e-mails BEFORE processing |
02 |
log(1,'Begin: Custom macros and commands for all e-mails BEFORE processing'); |
|
|
03 |
if (compare('to', 'match', 'GINA@kunde.pseudo')) { |
04 |
log(1, 'unpacking satellite mail'); |
05 |
unpack_mail(); |
06 |
logsubject(); |
07 |
log(1, 'deliver satellite mail unchanged'); |
08 |
deliver(); |
09 |
} |
10 |
# metadata setting is disabled in ruleset generator |
11 |
logsubject(); |
|
|
12 |
log(1,'End: Custom macros and commands for all e-mails BEFORE processing'); |
13 |
# End: Custom macros and commands for all e-mails BEFORE processing |
oAdvanced options Use remote GINA server, reachable under the following email address
Angabe einer E-Mail-Adresse mit einer keinesfalls erreichbaren E-Mail Domäne (zum Beispiel „GINA@kunde.pseudo“ (siehe auch Domain name (use a leading "." to include all subdomains)
•CA
oAnlage der CA via Request or create new certificate authority...
oBackup
Download des Root Zertifikats mittels Download certificate für das spätere Einbinden im GINA-Satellite-System unter X.509 Root Certificates
•Users
Um auf dem GINA-Satellite-System generierte E-Mails (in der Regel „GINA-Antworten und -Passwort-E-Mails“) via POP3(s) auf das Backend-System für das weitere Verarbeiten abholen zu können, muss via Create new user account... im Folgemenü ein Benutzer (im Beispiel „GINA@kunde.pseudo“) mit einem Passwort erstellt werden (siehe ). Im Anschluss erscheint das Detail-Menü des neu angelegten Users. Dort müssen die Eingabefelder der Sektion Remote POP3 entsprechend befüllt werden, gemäß Beispiel
oUser ID
Laut Beispiel wäre das „GINA@kunde.pseudo“
oMail server
Eingabe der IP-Adresse, des Hostname oder des MX-Eintrag des GINA-Satellite-System
oOptions Use SSL instead of STARTTLS
Aktivieren.
•Domain Certificates S/MIME domain certificates..., Folgemenü Manual S/MIME domain certificates Import S/MIME certificate..., Folgemenü
oDomain name
Angabe des <„kunde.pseudo“
oCertificate Data
Import des zuvor vom GINA-Satellite-System für die dort angelegte Managed domain „kunde.pseudo“ erzeugten Domänenzertifikats (siehe auch S/MIME domain encryption)
•GINA Domains
Eine GINA Domain muss nicht angelegt werden
GINA-Satellite-System
•Administration Bulk import Import X.509 keys and certficates Import
Damit GINA-Träger-E-Mails signiert werden können, ist das Importieren wenigstens eines PKCS#12 Schlüsselpaares und das daraus resultierende automatische Anlegen eines Users erforderlich.
Sollen unterschiedliche GINA Domains zum Einsatz kommen, ist unter Umständen das Importieren jeweils eines PKCS#12 Schlüsselpaares pro GINA Domains sinnvoll. Dabei sollte im Antragsteller des Zertifikates aus dem PKCS#12 jeweils eine E-Mail Adresse mit einem möglichst allgemeingültigen Namensteil und der, beziehungsweise eine der zugeordneten Managed domains, im Domänenteil stehen, wie zum Beispiel „securemail@managed-domain1.tld“, „securemail@managed-domain2.tld“, „securemail@managed-domainn.tld“.
Diese E-Mail Adressen kommen dann bei der Konfiguration der jeweiligen GINA Domain zum Einsatz (siehe nächster Punkt)
•GINA Domains
Konfigurieren der [default] GINA, beziehungsweise Einrichten der erforderlichen GINA Domains
▪GINA name
Öffnen der jeweiligen GINA
Im Folgemenü Change GINA Settings for die gewünschten Einstellungen vornehmen.
Für das Signieren der GINA-Träger-E-Mails
•Extended settings Force sending of GINA mails from this address:
Eintragen der zur jeweiligen GINA Domains passenden E-Mail Adresse (siehe Punkt oberhalb)
▪Create S/MIME domain keys for managed domain encryption and send public key to vendor pool
Auf „Off for all domains“ setzen
▪Verify recipient addresses using SMTP lookups
Deaktivieren
▪Anlage der E-Mail Domäne der unter Use remote GINA server, reachable under the following email address des Backend-Systems angegebenen E-Mail Adresse via Add managed domain... .
Im Folgemenü Settings
•Domain name
Eingabe laut Beispiel „kunde.pseudo“
•Forwarding server
Eingabe „[127.0.0.1]“
Erneutes Öffnen der soeben angelegten Managed domain
oKlicken von Generate S/MIME key
oÖffnen des neu generierten Zertifikates durch Klicken auf SHA1:... unter Fingerprint
▪Im sich öffnenden Untermenü das Zertifikat mittels Download certificate... herunterladen. Dieses ist auf dem Backend-System unter Domain Certificates für die Zieldomäne (laut Beispiel „kunde.pseudo“) einzubinden.
Anlage aller Managed domains, wie sie auch auf dem Backend-System vorhanden sind mittels Add managed domain... .
Im Folgemenü Settings
▪Domain name
Kommagetrennte Eingabe der Domänen aus dem Backend-System
▪Forwarding server
Eingabe „[127.0.0.1]“
oGegebenenfalls Zuordnen der jeweils gewünschten GINA zur jeweiligen Managed domains
(siehe Settings GINA domain).
o(nur möglich, sofern eine direkte Verbindung mit dem Backend-System hergestellt werden kann)
TLS settings Add TLS domain... , Folgemenü unter
•Domain name (use a leading "." to include all subdomains)
•Eingabe des Names Backend-Systems
•Optional forwarding server address
bleibt leer, sofern der Domain name per DNS aufgelöst wird, andernfalls muss die IP-Adresse des Backend-Systems eingetragen werden
▪TLS settings
Auswahl von Fingerprint: Only send mail if TLS is possible and the fingerprint of the server certificate has the following fingerprint
Im darunterliegenden Eingabefeld wird der/die Fingerprint(s) des/r Zertifikate/s aus dem Menü SSL der Backend Maschine(n) eingetragen.
oSMTP settings max. message size (KiB) (Note: cannot exceed xxxxxxx KiB)
Begrenzung aus dem Backend-System, beziehungsweise E-Mail Server übernehmen
oRelaying
Eingabe der IP Adresse(n) des/r Backend-Systems/e
▪General settings
Entfernen der Haken der Optionen
•Do not touch mails with the following text in subject
•Reprocess mails sent to reprocess@decrypt.reprocess
▪User creation
Auswahl von Create accounts for all users
•Incoming e-mails
Einstellungen des Backend-Systems übernehmen
•Outgoing e-mails
Einstellungen sind irrelevant, da eine zum Einsatz kommt, in welcher GINA erzwungen wird.
▪Signing
Entfernen aller Haken
•This is a remote GINA server
Aktivieren
oRelay for domain:
Eingabe aller Managed domains des Backend Systems als Regulärer Ausdruck
oRelay e-mail address:
Eingabe der Adresse aus der Option Use remote GINA server, reachable under the following email address des Backend-Systems, im Beispiel „GINA@kunde.pseudo“
oRelay domain key fingerprint:
bleibt leer.
oUse custom delivery method:"
Eingabe von continue'); if (!pack_mail('GINA@kunde.pseudo', true)) { log(1, 'pack_mail() failed'); drop(500, 'pack_mail() failed'); } deliver('
Über Edit policy table... wird im Folgemenü via Create new encryption policy... eine neue Policy erzeugt.
Im Folgemenü sind in den Settings folgende Parameter zu setzen:
oPolicy name
Eingabe eines eindeutigen Namens, zum Beispiel „GINA“.
oPolicy domains
Auswahl aller Managed domains mit Ausnahme von „kunde.pseudo“
oEncryption mode
Auswahl von „GINA-only“
oGINA options
bleibt leer
•SSL
Generieren (Request or create new certificate...) oder Einbinden eines vorhandenen Zertifikates (Import existing certificate...)
(nur notwendig, sofern eine direkte Verbindung zwischen dem Backend- und dem GINA-Satellite-System und entgegengesetzt hergestellt werden kann und soll
oFingerprint
Notieren des Fingerprints zur späteren Verwendung im Backend-System für das Einrichten der TLS-Verbindung
•Users
Um auf dem GINA-Satellite-System generierte E-Mails (in der Regel „GINA@-Antworten und -Passwort-E-Mails“) via POP3(s) auf das Backend-System für das weitere Verarbeiten abholen zu können, muss via Create new user account... im Folgemenü ein Benutzer mit einem Passwort erstellt werden (siehe ).
Laut Beispiel wäre das „GINA@kunde.pseudo“
•X.509 Root Certificates
Import des Root Zertifikates des Backend-Systems via Import S/MIME root certificate...
•Domain Certificates
Sofern das Satellite System die Domänenschlüssel der Managed domains des Backend-Systems nicht automatisch über den Managed Domain Service beziehen kann, müssen diese via S/MIME domain certificates... in Manual S/MIME domain certificates Import S/MIME certificate... jeweils importiert werden.
Einschränkungen
Large File Transfer (LFT)
LFT ist nur bedingt möglich.
So ist die in Large File Transfer (LFT) beschriebene Variante 1 (ausschließlich über den E-Mail Client) nicht möglich.
Für Variante 2 (Einliefern per GINA - beziehungsweise für LFT nach intern) müssten gegebenenfalls interne Benutzer via Administration Bulk import Import GINA Users (CSV) oder via Rest Schnittstelle (siehe auch Groups legacyappadmin) auf der Maschine als GINA-Accounts angelegt und auch gepflegt werden.
Auch für Variante 3 müssen die Voraussetzungen wie bei Variante 2 geschaffen werden.
Protection Pack (PP)
Einstellung nach Bedarf. Gegebenenfalls ist das Umleiten auf eine externe Schutz-Instanz via Custom commands möglich (siehe auch Sophos UTM: Erneute Virenprüfung nach dem Entschlüsseln). In der Regel ist dies jedoch nicht notwendig, da die Schutzmechanismen des Backend-Systems greifen.
