SEPPMail Benutzerhandbuch 6.5.3
Contents
1. Der Befehl mu mit einem Semikolon abgeschlossen werden Hinweis Falls mehrere Header mit dem Namen HEADER existieren werden alle Header gel scht L scht die mit HEADER angegebene Header Zeile innerhalb der E Mail Der R ckgabewert ist immer positiv Der Befehl hat 1 Parameter Parameter Header Gibt das Header Feld an welches gel scht werden soll Beispiele f r den Parameter Header Feld e return path 2013 SEPPmail AG 202 e from e to e subject e envelope to e etc Beispiel rmheader X Greylist Erkl rung In diesem Beispiel werden alle X Greylist Header entfernt 7 2 18 setheader Der Befehl setheader erm glicht es eine Header Zeile innerhalb einer E Mail hinzuzuf gen oder zu ver ndern Aufbau des Befehls setheader HEADER TEXT Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl f gt einer E Mail den HEADER mit dem WERT hinzu Falls dieser Header bereits besteht so wird dieser auf den angegebenen WERT ge ndert Hinweis Falls mehrere Header mit dem Namen HEADER existieren wird der jeweils erste gefundene Header angepa t Der R ckgabewert ist immer positiv Dieser Befehl hat 2 Parameter Parameter HEADER Gibt das Header Feld an welches hinzugef gt oder ver ndert werden soll Beispiele f r den Parameter Header Feld return path from to subject envelope to e e e e e e etc2. Vertrauenstatus Vertrauensstatus des Zertifikats Es sind die folgenden Werte m glich undefined Der Vertrauensstatus undefiniert wird f r alle X 509 Root Zertifikate vergeben die SEPPmail automatisch von eingehenden S MIME signierten E Mails erntet und in den Zertifikatsspeicher importiert Da diese X 509 Root Zertifikate noch nicht bekannt sind ist es erforderlich dass die Benutzung durch einen Administrator authorisiert wird Hinweis Alle neu importierten X 509 Root Zertifikate die den Status undefiniert haben werden im t glichen Status Report aufgef hrt der an alle Benutzer der Gruppe ststisticsadmin um Mitternach via E Mail gesendet wird trusted Der Vertrauensstatus trusted wird f r alle X 509 Root Zertifikate vergeben die f r die produktive Zertifikatspr fung aller eingehenden signierten E Mails verwendet werden untrusted Der Vertrauensstatus untrusted wird f r alle X 509 Root Zertifikate vergeben die nicht f r die produktive Zertifikatspr fung aller eingehenden signierten E Mails verwendet werden 2013 SEPPmail AG 175 Hinweis Die Bezeichner der Spalte Trust State sind farblich dargestellt und dienen als Link zur Anzeige von Detailinformationen des jeweiligen Zertifikats Wenn Sie Detailinformationen zum jeweiligen Zertifikat in diesem Men punkt anzeigen wollen w hlen Sie mit dem Mauszeiger den Bezeichner des Trust State vom entsprechenden Zertifikat
3. Default language Festlegen der Standard Sprache f r das GINA Portal Available Languages Aktivieren Deaktivieren und Hinzuf gen bestehender und oder neuer Sprachen Erfahren Sie mehr dazu im Kapitel GINA Webmail Sprachunterst tzung verwalten a Wenn Sie die Einstellungen vom Master Template bernehmen m chten klicken Sie auf das Kontrollk stchen Use settings from master template Diese Option ist nur dann sichtbar wenn Sie sich in der Konfuration einer zus tzlich angelegten GINA Domain befinden Sektion Security Choose how the user can Definiert das Standard Verfahren f r einen Kennwort Reset retrieve lost passwords innerhalb der GINA Domain Minimum password length Definiert die minimale L nge eines Kennworts Password Complexity Definiert die Komplexit t des Kennworts 2013 SEPPmail AG 73 Parameter Choose how the user can retrieve lost passwords W hlen Sie das Verfahren f r den Kennwort Reset damit ein externer GINA Benutzer sein GINA Benutzerkennwort zur cksetzen kann Danach wird je nach ausgew hlem Verfahren f r den Kennwort Reset eines der folgenden Verfahren verwendet Auswahlwert default Reset by hotline Der Wert default bezieht sich auf die f r die jeweilige GINA Domain ausgew hlte globale Standardeinstellung Dieses wird innerhalb der Konfiguration der GINA Domain in der Sektion Security eingestellt Auswahlwert Reset by Email verification Der externe GI
4. Do not encrypt outgoing Ausgehende E Mails werden NICHT verschl sselt wenn das mails with the following text angegebene Tag im Betreff eingef gt wurde in subject Parameter Always encrypt mails with the following text in subject Standard confidential Sie k nnen einen Tag definieren um die Verschl sselung einer ausgehenden E Mail zu initiieren F gen Sie diesen Tag incl der eckigen Klammern in der Betreffzeile hinzu so wird SEPPmail diese E Mail verschl sselt versenden Die passende Verschl sselungsmethode wird dabei automatisch durch SEPPmail ausgew hlt Die Backslash innerhalb des Tags stellen Escape Symbole dar Dieses sind durch den Benutzer nicht einzugeben Beispiel Betreff confidential Sichere E Mail Verschl sselung Reihenfolge der Verschl sselungsmethoden 1 S MIME Benutzerverschl sselung 2 PGP Benutzerverschl sselung 2013 SEPPmail AG 96 3 S MIME Domainverschl sselung 4 PGP Domainverschl sselung 5 Verschl sselung als GINA Nachricht Es wird versucht die Verschl sselungsmethoden der Reihenfolge nach anzuwenden Wird kein Schl sselmaterial des Empf ngers im SEPPmail Schl sselspeicher gefunden so wird die E Mail via Adhoc Verschl sselung als GINA Nachricht versendet Wird die Verwendung der GINA Technologie deaktiviert und eine E Mail kann nicht anderweitig verschl sselt werden so wird diese E Mail von SEPPmail zur ckgewiesen und nicht versendet Der Absender erh lt
5. GUI Access to X 509 Root Certificates Section 6 14 2 Gruppen erstellen Men Groups Zum Erstellen einer neuen Gruppe w hlen Sie in der Konfigurationsoberfl che die Schaltfl che Create new user group Geben Sie den Namen der neuen Gruppe sowie eine kurze Beschreibung ein und w hlen Sie dann die Schaltfl che Create um die Erstellung der neuen Gruppe abzuschlie en 6 14 3 Gruppen verwalten Men Groups Benutzer k nnen je nach Rolle einer oder mehreren Gruppen zugeordnet werden Alle Mitglieder der Gruppe backup Backup Operator erhalten das Systembackup des jeweiligen Systems einmal t glich via E Mail Das Systembackup wird t glich um 0 00 Uhr erzeugt und via E Mail an alle Mitglieder dieser Gruppe gesendet Siehe Kapitel Backup User erstellen 24 Die weiteren vordefinierten Gruppen erm glichen deren Mitgliedern die Administration der SEPPmail Appliance Die Gruppe webmailaccountsadmin erlaubt beispielsweise den Zugriff auf den Men punkt Webmail accounts in der SEPPmail Konfigurationsoberfl che F r jeden Men punkt in der Konfigurationsoberfl che gibt es eine entsprechende Gruppe jeweils vermerkt mit GUI Access to So k nnen verschiedene Administrationsaufgaben an mehrere Personen bertragen werden Zum L schen einer vorhandenen Gruppe w hlen Sie die Schaltfl che Edit neben der Gruppe die Sie l schen wollen W hlen Sie zum L schen die Schaltfl che Delet
6. 2 2 ee ae ee RER E Mails in der Warteschlange anzeigen uuussnnnnssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn Men p unkt St tistics 2 2 2 een Renee Men punkt Users 2 2 20222002 sa nn na aa na denen aaa Hedi bersicht Men punkt Users uasasasesssssnennnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnen lu EE rd E EE Interne Benutzer verwalten ea an Men punkt Groups se aaa bersicht Men punkt GroUpS anasesensssnnennnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnennnnnnnnnnnnnnnnnennnnnnnnnnennnnnnnnnnnennnnen Gr ppenierstellen 2 4i 2 2 22 Aa A E A A WERTEN Benutzer zuweisen und eptlerpert eseou dee EENS SEN Men punkt GINA account uk bersicht Men punkt GINA accounts GINA Benutzerkonten sperren unesssennsennuonsnonnunnsnnnnunnnnnnnunnnnnnnennnnnnnnnnnnnnnsnnnsnnnannnsnnnnnnnnnnennnennnnnnnanen GINA Benutzerkonten l schen uruasussnsnnsnnannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn GINA Benutzerkonten verwalten uunussnssnsansnsannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnnannnnn Men punkt PGP public keys us 4u4nn 4nnnannnnannnnnannnnnnnnn nenn nnnn anne 2013 SEPPmail AG bersicht Men punkt PGP public keys snassssesesennnnnnnnnnnnnennnnnnnnennnnnnnnnnnnennnnennnnnnnnnnnnnnnnnnnnnnnnnnn
7. 2013 SEPPmail AG 203 Beispiel 1 setheader x smenc yes Erkl rung In diesem Beispiel wird einer E Mail der zus tzliche Header x smenc mit dem Wert yes hinzugef gt Beispiel 2 setheader from info customer com Erkl rung In diesem Beispiel wird in einer E Mail das Header Feld from auf dem Wert info customer com ge ndert 7 2 19 logsubject Der Befehl Logsubject erm glicht es den Inhalt der Betreffzeile einer E Mail zu protokollieren Aufbau des Befehls logsubject Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl sendet den Inhalt der Betreffzeile als Log Info an den System Logger Der R ckgabewert ist immer positiv Dieser Befehl hat keinen Parameter 7 2 20 tagsubject Der Befehl tagsubject erm glicht es dem Betreff einer E Mail einen Textbestandteil anzuh ngen Aufbau des Befehls tagsubject TEXT Der Befehl mu mit einem Semikolon abgeschlossen werden In der Betreffzeile einer E Mail wird den angegebene TEXT angeh ngt Der R ckgabewert ist immer positiv Dieser Befehl hat 1 Parameter 2013 SEPPmail AG 204 Parameter TEXT Der Parameter gibt den Text Zeichenkette an der an die Betreffzeile angeh ngt wird Beispiel tagsubject priv Erkl rung In diesem Beispiel wird an den Inhalt der Betreffzeile einer E Mail die Zeichenkette priv angeh ngt 2013 SEPPmail AG 205 7 3 Befehle f r
8. Mail System Sektion Relaying 2013 SEPPmail AG 64 Relaying allowed Netzwerke oder IP Adressen die SEPPmail als E Mail Relay f r ausgehende E Mails verwenden k nnen Stellen Sie sicher dass nur interne Netzwerke bzw IP Adressen die unter Ihrer Verwaltung stehen aufgelistet sind Damit verhindern Sie den mi br uchlichen Versand von E Mails ber SEPPmail Die Definition der Netzwerke wird nach der Classless Inter Domain Routing CIDR Notation festgelegt Diese entspricht zum Beispiel folgenden Werten e Die Netzmaske 255 255 255 255 entspricht 32 einzelne IP Adresse e Die Netzmaske 255 255 255 0 entspricht 24 Klasse C Netzwerk e Die Netzmaske 255 255 0 0 entspricht 16 Klasse B Netzwerk e Die Netzmaske 255 0 0 0 entspricht 8 Klasse A Netzwerk Add Relaying for Erfassen Sie eine zus tzliche IP Adresse die eine Releayberechtigung haben soll 6 5 7 Antispam Einstellungen Men Mail System Sektion Antispam gt Bereich Recommended Settings Use Greylisting Greylisting ist eine Methode zur Spam Bek mpfung Dabei werden E Mails von unbekannten Absendern nicht unmittelbar entgegengenommen sondern zun chst abgewiesen Bei legitimen Mails h lt der sendende Mailserver die Mails pendent und bermittelt diese zu einem sp teren Zeitpunkt nochmals Beim erneuten Zustellversuch werden die Mails dann angenommen Es wird bei diesem Mechanismus davon ausgegangen dass Mails
9. Bm SEPPMAIL Cluster Configuration Login Home System Mail System Mail Processing SSL CA Administration Cluster Logs Webmail Logs Statistics Users Groups Webmail accounts PGP public keys X 509 Certificates X 509 Root Certificates Domain keys Prepare for Cluster use this key to add a different device to this device cluster Download Cluster Identifier duster members Device ID IP Address Port Status 0000 0000 0002 10 10 0 10 22 ok remove from cluster remove this device from chu Tue Jun 21 04 18 33 CEST 2011 Abbildung 2 Cluster Status des 1 Cluster Member Systems 2 SEPPMAI L Login Home System Mail System Mail Processing SSL CA Administration Cluster Logs Webmail Logs Statistics AAIL Users Groups Webmail accounts PGP public keys X 509 Certificates X 509 Root Certificates Domain keys Cluster Configuration Prepare for Cluster use this key to add a different device to this device cluster Download Cluster Identifier duster members Device ID IP Address Port Status 0000 0000 0001 10 10 0 9 22 oK remove from cluster remove this device from chu Tue Jun 21 04 18 33 CEST 2011 Abbildung 3 Cluster Status des 2 Cluster Member Systems Wenn Sie ein SEPPmail System einem bestehenden Clusterverbund hinzuf gen oder erstmalig einen Clusterverbund erzeugen so wird die gesamte bestehende Clusterkonfiguration auf dieses neue Cluster Member System repliziert und dan
10. Parameter Beschreibung Always encrypt mails with Ausgehende E Mails werden verschl sselt wenn das the following text in subject angegebene Tag im Betreff eingef gt wurde Always encrypt mails with Ausgehende E Mails werden verschl sselt wenn die Microsoft Outlook confidential flag Outlook Nachrichtenoption Vertraulich gesetzt ist set Always use GINA technology Ausgehende E Mails werden via GINA Technologie for mails with the following verschl sselt wenn das angegebene Tag im Betreff eingef gt text in subject wurde Always use GINA technology Ausgehende E Mails werden via GINA Technologie for mails with Outlook verschl sselt wenn die Microsoft Outlook Nachrichtenoption private flag set Privat gesetzt ist Create GINA users with Bei neu erzeugten GINA Benutzerkonten wird ein leeres empty password if the Kennwort gesetzt wenn das angegebene Tag im Betreff following text is in the eingef gt wurde subject Always use S MIME or Ausgehende E Mails werden automatisch S MIME oder openPGP if keys are OpenPGP verschl sselt wenn Schl sselmaterial des available Empf ngers im SEPPmail Schl sselspeicher vorhanden ist Always use GINA encryption Ausgehende E Mails werden automatisch via GINA Technologie if account exists and no S verschl sselt wenn f r den Empf nger ein GINA Benutzerkonto MIME or openPGP key is existiert und kein Schl sselmaterial des Empf ngers im known SEPPmail Schl sselspeicher vorhanden ist
11. SEPFmail Outlook Add In has been successfully installed Click Close to exit The installation was successful Cancel lt Back Installation erfolgreich abgeschlossen Outlook Add In 2013 SEPPmail AG 32 4 4 2 Installation ohne Benutzeroberfl che Alternativ kann die Installation ber die Eingabeaufforderung mit diversen Parametern gestartet werden Hinweis Die Eingabeaufforderung muss als Administrator gestartet werden Beispiel Aufruf als einzelne Befehlszeile msiexec q i SecureMailAddInSetup 1 2 6 msi SMWarning false SMEncrypt true SMSign true SMWebmail true SMHelp tru SMEncryptSelected false SMSignSelected false SMWebmailSelected fals Jli Aller este Msiexec Parameter Installation ohne Benutzeroberfl che li log txt log txt erzeugen mit Basis Informationen im aktuellen Verzeichnis MSI Parameter unterstrichen ist jeweils der Default Wert SMWarning true false Warnung bei unverschl sselten E Mails ein ausschalten SMEncrypt true false Verschl sseln ein ausschalten SMSign true false Signieren ein ausschalten SMWebmail true false Verschl sseln mit Lesebest tigung ein ausschalten SMHelp true false Hilfe ein ausschalten SMEncryptSelected true false Verschl sseln Standard aktiv inaktiv SMSignSelected true false Signieren Standard aktiv inaktiv 2013 SEPPmail AG 33 SMWebmailSelected true false Verschl sseln mit
12. W hlen Sie Create self signed certificate aus um ein selbst generiertes und selbst signiertes SSL Device Zertifikat zu erzeugen Um die Erstellung des SSL Zertifikats auszuf hren klicken Sie auf die Schaltfl che Create Request Danach erhalten Sie eine Best tigung mit den Zertifikatsdetails Es ist ebenfalls m glich ein Wildcard SSL Zertifikat zu erstellen Wildcard Zertifikate gelten nicht nur f r einen dedizierten Host sondern k nnen f r mehrere Hosts einer Domain verwendet werden Beispiel Ein SSL Zertifikat mit dem Namen ginatest testdomain net kann nur f r diesen einen Host verwendet werden Anderenfalls wird eine Zertifikatsfehlermeldung im Webbrowser angezeigt Ein Wildcard SSL Zertifikat k nnen Sie auf beliebigen Hosts einer Domain verwenden z B ginatest testdomain net webmail testdomain net oder secmail testdomain net Um ein Wildcard SSL Zertifikat zu erzeugen geben Sie den Hostnamen wie folgt ein kundendomain tld Nach Eingabe der Informationen erhalten Sie eine Best tigung mit den Zertifikatsdetails Diese 2013 SEPPmail AG 108 beinhaltet neben den von Ihnen angegebenen Werten folgende Angaben 1 die Seriennummer des Zertifikats Serial No 2 die G ltigkeitsdauer Validity 3 den Fingerprint SHA1 Fingerprint Bitte beachten Sie dass zur Aktivierung des neuen SSL Device Zertifikats ein Neustart der SEPPmail Appliance erforderlich ist Sie k nnen den Neustart ausf hren inde
13. ge ndert und auf einen entsprechend komplexen Wert gesetzt wird Melden Sie sich als Benutzer admin am System an und klicken Sie auf das Men Users W hlen Sie dort den Benutzer admin aus Dort k nnen Sie das Kennwort ndern und bei Bedarf weitere Einstellungen vornehmen die den Benutzer admin betreffen 3 7 2 Festlegen des HTTPS Protokolls f r den sicheren Zugriff zum System Unter dem Men punkt System finden Sie die Schaltfl che Advanced View Klicken Sie auf diese um weitere Konfigurationsoptionen aufzurufen In den Sektionen GUI Protocol und GINA https Protocol k nnen Sie einstellen ob entsprechende Zugriffe auf die Appliance mittels HTTP oder HTTPS erfolgen sollen Aus Sicherheitsgr nden wird empfohlen die Option HTTP zu deaktivieren und sowohl f r die Konfigurationsoberfl che GUI Protocol wie auch f r GINA https Protocol nur HTTPS zuzulassen 3 7 3 Backup Benutzer erstellen Um die Konfiguration der SEPPmail Appliance regelm ssig zu sichern legen Sie hierf r einen Backup Benutzer an Das Backup der Appliance wird t glich verschl sselt und an die E Mail Adressen aller Backup Benutzer gesendet Klicken Sie zur Erstellung eines Backup Benutzers auf den Men punkt Users und dann auf die Schaltfl che Create new user account F llen Sie die Felder ser ID Full Name E Mail und Password aus Stellen Sie sicher dass es sich bei der E Mail Adresse um eine g l
14. gepr ft Bei der Pr fung werden nur Root CA Zertifikate mit dem Status trusted ber cksichtigt Beispiel Betreff Sichere E Mail Verschl sselung signed INVALID Parameter remove signature if S MIME signature check fails Aktivieren Sie diesen Parameter falls Sie die S MIME Signatur einer E Mail entfernen wollten Dies wird nur ausgef hrt wenn die S MIME Signatur durch SEPPmail nicht erfolgreich gegen eine Root CA im eigenen Root CA Speicher gepr ft werden konnte Siehe Men X 509 Root Certificates i Sektion Ruleset gt Bereich Signing gt Outgoing Emails S MIME sign outgoing mails Ausgehende E Mails werden S MIME signiert wenn das with the following text in angegebene Tag im Betreff eingef gt wurde subject 2013 SEPPmail AG 99 Sign all outgoing Emails if S Ausgehende E Mails werden S MIME signiert wenn f r den MIME certificate available internen Absender ein Benutzerkonto existiert und ein S MIME Zertifikat vorhanden ist Do not S MIME sign outgoing Ausgehende E Mails werden NICHT S MIME signiert wenn das mails with the following text angegebene Tag im Betreff eingef gt wurde in subject S MIME sign outgoing mails Ausgehende E Mails werden S MIME signiert wenn das with domain key with the angegebene Tag im Betreff eingef gt wurde Hierbei wird nicht following text in subject das S MIME Benutzerzertifikat des Absenders verwendet sondern das Zertifikat ein
15. gt Priority Primary Lel Note CARP is used for the alias addresses this means that you can use the same alias addresses on different devices for load balancing failover Set the same VHID for two or more equal addresses on same LAN segment ONLY Abbildung 1 Hochverf gbarkeitscluster virtuelle Cluster IP Adresse des 1 SEPPmail Cluster Member Systems D SEI f MAI L Login Home System Mail System Mail Processing SSL CA Administration Cluster Logs Webmail Logs Statistics WISS E MAIL SECURIT Users Groups Webmail accounts PGP public keys X 509 Certificates X 509 Root Certificates Domain keys System Comment System seppmail Cluster Member 10 10 0 10 Description IP Addresses DI interface 10 ol ol voll aa w Media current state Ethernet autoselect EI Interface 2 aal ell al Koll aa Media Belteurrent state Ethernet autoselect IP ALIAS Addresses W 1P Alias 0 24 vhn 1 Te Interface Interface 1 Priority Backup current state Backup E iP Alias 1 Interface Interface 1 wi Priority Primary El 1P Alias 2 Wl aa vhn 1 Te Interface Interface 1 Priority Primary E P aias3 U U J 2412 vho 1 Te interface Interface 1 Priority Primary Note CARP is used for the alias addresses this means that yo
16. 2013 SEPPmail AG 84 Damit der Bereich Search Keys Certificates im GINA Portal angezeigt wird muss im Men Mail Processing gt Webmail Domain in der Sektion Extended Settings der Parameter Allow unregistered users to search public keys certificates of internal users aktiviert werden Siehe GINA Webmail Domains verwalten oi Damit der Bereich Search Keys Certificates nur f r angemeldete Benutzer angezeigt wird muss die Option Enable S MIME certificate PGP key search and management in webmail aktiviert werden 6 6 2 Regeln zur Verarbeitung von GINA Nachrichten verwalten Men Mail Processing gt Sektion GINA settings Password Length L nge der durch Enhanced Secure Webmail automatisch generierten Kennworte Standard 8 Zeichen 0 Kennworte werden nicht automatisch generiert sondern vom Empf nger der GINA Nachricht gesetzt Use virtual hosting Definiert das Aussehen der URL f r den Zugang zum GINA Portal beim hinzuf gen zus tzlicher GINA Domains Secure GINA track access Adresse der Web Anwendung zur Anzeige des Lesestatus einer e g GINA Nachricht http 192 168 1 60 8080 Im Standardverhalten verwendet GINA pro angelegter GINA Domain eine eigenst ndige URL f r den Zugang zum GINA Portal Beispiel Es sind drei GINA Domains angelegt Jede GINA Domain besitzt ein igen Portalkonfiguration Auf die jeweiligen GINA Portale kann ber eine eigenst ndige URL zugegriffe
17. 4 Frontend Backend Cluster In den folgenden Abschnitten sind die jeweiligen 4 Betriebsarten im Detail beschrieben 6 10 2 Hochverf gbarkeitscluster Die Ausfallsicherheit des SEPPmail Systems kann durch die Bildung eines Clusters erh ht werden Das SEPPmail System besitzt eine integrierte Clusterfunktionalit t auf Basis des CARP Protokolls http de wikipedia org wiki Common Address Redundancy Protocol Um einen Cluster zu bilden sind mindestens zwei SEPPmail Systeme erforderlich die sich gegenseitig berwachen F llt ein System aus bzw antwortet dieses nicht mehr auf berwachungsanfragen so bernimmt das zweite System dessen Funktion Ist das ausgefallene System wieder verf gbar bzw es 2013 SEPPmail AG 123 antwortet wieder auf berwachungsanfragen so bernimmt es wieder seine urspr ngliche Aufgabe Diese Funktion kann mit bis zu 9 SEPPmail Systemen abgebildet werden wodurch Sie eine sehr hohe Ausfallsicherheit erreichen k nnen Das Hochverf gbarkeitscluster kann mit SEPPmail Systemen auf Hardwarebasis und auf Basis der Virtualisierung mit VMware ESX abgebildet werden Ein Mischbetrieb mit Systemen auf Hardwarebasis und virtualisierten Systemen ist ebenfalls m glich Wie funktioniert das Hochverf gbarkeitscluster Bei diesem Verfahren werden einem Cluster eine oder mehrere virtuelle IP Adresse n mit verschiedenen Priorit ten zugeordnet Jedes Cluster Member System hat unabh ngig von der zugewiesenen virt
18. Anwendung Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl pr ft ob f r alle Empf nger einer E Mail S MIME Public Keys im lokalen Zertifikatsspeicher zur Verf gung stehen Der R ckgabewert ist positiv wenn f r alle Empf nger der E Mail S MIME Public Keys vorhanden sind und f r den Parameter Anwendung der Wert strict angegeben wurde sonst ist der R ckgabewert negativ Wird f r den Parameter Anwendung der Wert auto angegeben werden die Empf nger in zwei Gruppen aufgeteilt Die Gruppe von Empf ngern f r die S MIME Public Keys vorhanden sind erh lt einen positiven R ckgabewert Die Gruppe von Empf ngern f r die keine S MIME Public Keys vorhanden sind erh lt einen negativen R ckgabewert Der Befehl hat 1 Parameter 7 6 17 sign_smime Der Befehl sign smime erm glicht es eine E Mail mit der S MIME Signatur des Absenders zu versehen Aufbau des Befehls sign _smime Der Befehl mu mit einem Semikolon abgeschlossen werden Der R ckgabewert ist positiv wenn die Nachricht erfolgreich signiert wurde sonst negativ Dieser Befehl hat keinen Parameter Beispiel if sign_smime 2013 SEPPmail AG 224 log 1 sign smime successful L else IP Erkl rung In diesem Beispiel wird eine E Mail mit der S MIME Signatur des Absenders versehen Es wird weiterhin gepr ft ob dieser Vorgang erfolgreich durchgef hrt werden konnte Falls ja ist der R ckgabewert true und es
19. DLP System sein Set header X X Header und Wert f r alle durch SEPPmail empfangenen E Mails z B von intern oder extern empfangene E Mails For all incoming mails Set header X X Header und Wert f r alle durch SEPPmail gesendeten E Mails z B GINA Nachrichten die durch GINA erzeugt werden oder For all outgoing mails Status Nachrichten die durch SEPPmail erzeugt werden Set header X X Header und Wert f r alle durch SEPPmail verschl sselten E Mails For all mails that have been encrypted Set header X X Header und Wert f r alle durch SEPPmail entschl sselten E Mails For all mails that have been decrypted Sektion Ruleset gt Bereich Archiving Parameter Beschreibung Send a copy of ALL emails S mtliche durch SEPPmail transportierte E Mails werden an die to the following Address angegebene E Mail Adresse in Kopie gesendet 2013 SEPPmail AG 103 Sektion Ruleset gt Bereich Custom Commands Parameter Beschreibung Custom commands for Ruleset Befehle f r die Verarbeitung eingehender Nachrichten incoming Email Custom commands for Ruleset Befehle f r die Verarbeitung ausgehender Nachrichten outgoing Email Custom commands for User Ruleset Befehle f r die Erstellung von Benutzerkonten Creation Diese zus tzlichen selbstdefinierten Ruleset Befehle werden jeweils am Anfang der entsprechenden Sektion im Ruleset Quellcode eingef gt und somit als erstes verarbeitet Parameter
20. Failover Cluster mit Aufteilung des ein und ausgehenden E Mail Datenflusses Load Balancing Cluster werden in den Cluster Member Systemen mindestens zwei virtuelle Cluster IP Adresse konfiguriert Eine virtuelle Cluster IP Adresse f r den eingehenden E Mail Datenfluss IP Alias 0 und eine weitere virtuelle Cluster IP Adresse IP Alias 1 f r den ausgehenden E Mail Datenfluss Damit ist beim Ausfall eines Cluster Member Systems gew hrleistet dass das zweite System die Funktion des ausgefallenen Systems mit bernehmen kann Ein Cluster Member System mu dabei mit der Priorit t Primary konfiguriert werden und ein Cluster Member System mit der Priorit t Backup Die Priorit ten m ssen je virtueller IP Adresse entgegengesetzt vergeben werden Jedem Cluster Member System sind nun jeweils zwei oder auch mehr falls z B 3 Systeme verwendet werden IP Alias Adressen als virtuelle Cluster IP Adressen zugeordnet Die einzelnen Cluster Member Systeme reagieren je nach eingerichteter Priorit t auf jeweils eine virtuelle Cluster IP Adresse F llt ein System aus so kann das verbleibende System immer als Backup System arbeiten Zus tzlich mu f r jede virtuelle Cluster IP Adresse eine eindeutige Virtual Host ID vergeben werden da wir mehr als eine Alias IP Adresse pro Cluster Member System gebunden haben die VHID mu f r die entsprechende virtuelle Cluster IP Adresse auf jedem System identisch sein um SEI f MAI L Login
21. Fingerprint falls der E Mail Server an den Sie ausgenende E Mails via TLS versenden wollen ein Wildcard SSL Zertifikat verwendet Erhalten Sie beim Versenden einer E Mail via TLS Transportverschl sselung die Logmeldung status deferred Server certificate not verified so berpr fen Sie das SSL Zertifikat des empfangenden E Mail Servers auf die Verwendung eines Wildcard Zertifikats Weiter unten wird das Vorgehen beschrieben Fingerprint E Mails werden nur versendet falls der Versand via TLS Verschl sselung m glich ist und das SSL Zertifikat des empfangenden E Mail Servers dem definierten Fingerprint entspricht Als Fingerprint wird SHAT unterst tzt Wie Sie den Fingerprint eines SSL Zertifikats auslesen wird weiter unten beschrieben berpr fen des empfangenden E Mail Servers auf die Verwendung eines Wildcard SSL Zertifikats Ob ein E Mail Server ein Wildcard SSL Zertifikat verwendet kann sehr einfach mit dem Kommandozeilentool OpenSSL durchgef hrt werden Beispiel 2013 SEPPmail AG 62 openssl s client starttls smtp Crl connect xxx xxx XXx xxx 25 Ersetzen Sie die IP Adresse xxx xxx xxx xxx durch die tats chliche IP Adresse des Zielservers oder verwenden Sie den Hostnamen openssl s client starttls smtp Cili connect postini com s8al psmtp com 25 Hier sehen Sie das Ergebnis der Abfrage Anhand des Zertifikats Subject im Parameter CN k nnen Sie feststellen ob es sich um ein W
22. Kundenname Gruppierung f r einen oder mehrere Kundenbereiche in denen dem Kunden zugeordneten GINA Benutzerkonten gruppiert werden Default Customer GINA Benutzerkonten die keinem anderen Kunden zugeordnet sind Parameter Kundenname Wird ein SEPPmail System f r mehrere Kunden gleichzeitig verwendet so k nnen einem Kunden spezifische Konfigurationsparameter explizit zugewiesen werden Dies ist auch f r GINA Benutzerkonten der Fall F r jeden im Men Customer angelegten Kunden wird eine eigene Sektion angelegt die mit dem Kundennamen bezeichnet wird Innerhalb dieses kundenspezifischen Bereichs werden alle dem Kunden zugeodeneten GINA Benutzerkonten angezeigt Ein externen GINA Benutzer kann mehreren Kundensektionen zugeordnet sein Parameter Default Customer Diese Sektion hat eine Sonderbedeutung Sie enth lt alle GINA Benutzerkonten die keiner anderen Kundensektion zugeordnet sind 2013 SEPPmail AG 166 Parameter No Customer Diese Sektion hat eine Sonderbedeutung Sie enth lt alle GINA Benutzerkonten die nicht mehr verwendet werden d rfen Diese GINA Benutzerkonten sind deaktiviert bleiben aber in der Konfiguration erhalten Sie k nnen wieder reaktiviert werden indem sie einem Kunden oder dem Default Customer zugeordnet werden Parameter E mail E Mail Adresse des GINA Empf ngers Parameter Account status Administrativer Status des GINA Benutzerkontos des Empf ngers Der Acc
23. Name Hostname Geben Sie hier den Hostnamen des SEPPmail Systems ein z B securemail Domain Geben Sie hier die Domain des SEPPmail Systems ein z B seppmail ch Hinweis 2013 SEPPmail AG 47 Der Name des Systems setzt sich aus dem Hostnamen und der Domain zusammen z B securemail seppmail ch Sektion DNS Use built in DNS Resolver Bei diesem Parameter versucht das System die DNS Namensaufl sung immer mit Hilfe der DNS Root Nameserver im Internet Wenn Sie diesen Parameter ausw hlen kann die Aufl sung von DNS Namen ggf sehr lange dauern und die Reaktion des SEPPmail Systems kann sich dadurch verz gern Use the following DNS DNS Anfragen f r Adressen f r die SEPPmail nicht selbst Servers zust ndig ist werden an bergeordnete DNS Name Server weitergeleitet Dazu sollte SEPPmail die DNS Anfrage zun chst an einen internen DNS Server im eigenen Netzwerk oder die DNS Server Ihres Internet Providers weitergeben die Sie hier spezifizieren k nnen Primary Gehen Sie hier den Ersten DNS Name Server ein an den SEPPmail DNS Anfragen weiterleitet Alternate 1 Ist der prim re DNS Name Server nicht verf gbar oder antwortet nicht k nnen Sie hier einen alternativen DNS Name Server angeben an den dann die DNS Anfragen weitergeleitet werden Alternate 2 Sind der prim re und der Erste alternative DNS Name Server nicht verf gbar oder antworten nicht k nnen Sie hier einen weiteren alternativen DNS Name Server
24. Sektion Backup Restore Schaltfl che Download Manuelles Erzeugen einer Datensicherung zum Speichern auf dem lokalen PC Die Datensicherung ist mit einem Kennwort gesch tzt Schaltfl che Change Password ndern des Kennworts f r die Datensicherung Bevor Sie die erste Datensicherung durchf hren setzten Sie das Kennwort zu Schutz der Backupdatei Beachten Sie dass die Backupdatei mit dem Kennwort gesch tzt ist welches zum Zeitpunkt der Erstellung des Backups aktuell war Schaltfl che Import Backup File Importieren einer zuvor erstellen Datensicherung Sie ben tigen dazu das Kennwort mit welchem die Backupdatei zum Zeitpunkt der Erstellung gesichert wurde Ohne das passende Kennwort kann das Backup nicht zur ckgesichert werden Kundenspezifische Sprachvarianten f r das GINA Subsystem sind nicht Bestandteil der Datensicherung und m ssen manuell gesichert und neu installiert werden 2013 SEPPmail AG 183 Verwalten des Spezial Kunden No Customer Beim Kunden No Customer handelt es sich um einen speziellen Kunden Die Verwaltung dieses Kunden erfolgt prinzipiell analog zu manuell angelegten Kunden bzw dem Kunden Default Customer mit den folgenden Ausnahmen e Es k nnen keine Managed E Mail Domains zugeordnet werden e Es kann kein Backup erstellt werden 6 20 3 Bestehenden Kunden l schen Men Customers Zum L schen eines vorhandenen Kunden w hlen Sie den Kunden aus und klicken S
25. Virus SPAM and Phishing Protection Updates ben tigt UDP 6277 Appliance Internet Wird f r Protection Pack mit DCC ben tigt UDP 24441 Appliance Internet Wird f r Protection Pack mit Pyzor ben tigt TCP UDP 123 Appliance Internet Erm glicht die NTP Zeitsynchronisation TCP 8080 Admin PC Appliance Stellt den s HTTP und Administratoren Zugang oder im internen Netz sicher TCP 8443 Es wird empfohlen nur HTTPS die SSL verschl sselte Verbindung HTTPS ber Port TCP 8443 zuzulassen TCP 5061 Appliance Internet Wird f r den SMS Versand via verwendet Regeln zur Gew hrleistung der Netzwerkkommunikation der SEPPmail Appliance Internet Appliance Stellt die verschl sselte Kommunikation ber SSL HTTPS zu SEPPmail her Wird f r die Nutzung der GINA Technologie ben tigt optional je nach Konfiguration der SEPPmail Appliance In einfachen Installationen wird keine Firewall zwischen der SEPPmail Appliance und dem internen Netz verwendet Die mit markierten Regeln entfallen dann 2013 SEPPmail AG 20 3 6 Netzwerkeinstellungen und Systemregistrierung Nachfolgend wird beschrieben wie Sie Ihre SEPPmail Appliance in Ihr Netzwerk integrieren und die Netzwerkkommunikation pr fen k nnen Dazu geh ren die Definition der IP Adressen Ihrer SEPPmail Appliance DNS Einstellungen Eingabe des Standard Gateways die Vergabe eines Hostnamen und die Angabe Ihrer internen Domain
26. Zum Abschlu k nnen Sie pr fen ob die Einstellungen korrekt sind indem Sie die Funktion Check Update der Appliance nutzen und Ihr System registrieren 3 6 1 Installations PC einrichten Zur erstmaligen Konfiguration der Netzwerkparameter Ihrer SEPPmail Appliance muss sich Ihr Computer im selben Netzwerk wie die Appliance selbst befinden Falls sich dieser nicht bereits im IP Adressenbereich 192 168 1 xxx 24 befindet ndern Sie die IP Adresse Ihres Computers auf eine IP Adresse zwischen 192 168 1 1 24 192 168 1 254 24 Netwerkmaske 255 255 255 0 Hinweis Verwenden Sie nicht die Adresse 192 168 1 60 diese ist f r die SEPPmail Appliance reserviert Dies ist die Standard IP Adresse im Auslieferungszustand Ein Beispiel entsprechender Netzwerkeinstellungen sehen Sie in nachfolgender Abbildung z Eigenschaften von Internetprotokoll Version 4 TCP IPv4 nn nn u u IP Einstellungen k nnen automatisch zugewiesen werden wenn das Netzwerk diese Funktion unterst tzt Wenden Sie sich andernfalls an den Netzwerkadministrator um die geeigneten IP Einstellungen zu beziehen 5 IP Adresse automatisch beziehen Folgende IP Adresse verwenden IP Adresse 192 168 1 10 Subnetzmaske 255 255 255 d Standardgateway DNS Serveradresse automatisch beziehen Folgende DNS Serveradressen verwenden Bevorzugter DNS Server Alternativer DNS Server F Einstellungen beim Beenden berpr fen 2013 S
27. eine vertragliche Vereinbarung mit dem ausgew hlten Zertifikatsanbieter erforderlich Der Folgende Zertifikatsanbieter Signtrust bietet hierzu einen sehr einfach zu handhabenden Online Antrag an Sie k nnen den Signtrust Online Antrag unter diesem Link erreichen Signtrust Online Antrag Folgende CA Connectoren stehen im Men CA zur Verf gung 1 S TRUST CA von Deutscher Sparkassen Verlag GmbH 2 none CA Connector ist deaktiviert 3 Signtrust CA von Deutsche Post Signtrust und DMDA GmbH 4 SwissSign CA von SwissSign AG 100 ige Tochterfirma der Schweizerischen Post 6 8 2 CA Zertifikat einrichten Men CA Um ein CA Zertifikat zu erzeugen klicken Sie auf die Schaltfl che Request a new Certificate Gehen Sie bei der Zertifikatserstellung analog den Schritten im Kapitel SSL Zertifikat einrichtenhod vor 6 8 3 CA Zertifikat sichern Men CA F hren Sie die Sicherung aus indem Sie auf die Schaltfl chen Download Certificate und Download Key klicken Schaltfl che Beschreibung Download Certificate Sichern Sie den ffentlichen Teil public Key des CA Zertifikats Download Key Sichern Sie den privaten Teil private Key des CA Zertifikats 6 8 4 Verbindung zur externen CA S Trust einrichten Men CA Um die Verbindung zum externen Zertifikatsanbieter S Trust einzurichten klicken Sie in der Konfigurationsoberfl che auf die Schaltfl che Save Klicken Sie auf die Schaltfl
28. glich Diese folgenden M glichkeiten f r das Zur cksetzen eines Kennworts k nnen nur im Rahmen der Funktion Self Service Passwort Management SSPM ausgef hrt werden Siehe GINA Self Service Passwort Management s Auswahlwert Reset by SMS Der externe GINA Benutzer kann ein neues Kennwort via SMS auf sein Mobiltelefon anfordern Dieses neue Einmalkennwort verwendet der Benutzer f r den n chsten Login Dabei muss er ein neues pers nliches Kennwort erfassen Ein Login mit dem neu gesetzten Kennwort ist nun m glich Beim Reset des Kennworts via SMS muss die Mobilfunkrufnummer im Benutzerprofil des Benutzers hinterlegt worden sein Beinhaltet ein ausgew hltes Verfahren zur Kennwortr cksetzung die Option SMS so ist es ebenfalls erforderlich den SMS Versand im Men Mail Processing einzurichten 2013 SEPPmail AG 74 Auswahlwert Let user choose between hotline and SMS Der externen GINA Benutzer kann zum anfordern eines neuen Kennworts zwischen den beiden Optionen Hotline und SMS ausw hlen Parameter Mobile Number Beinhaltet die Mobilfunkrufnummer des GINA Benutzers fals diese vom Benutzer beim Verwalten seines Benutzerkontos hinterlegt wurde F r den Support besteht die M glichkeit dem Benutzer bei Bedarf ein neues One Time Kennwort Einmalkennwort als SMS zu senden Klicken Sie dazu auf die Schaltfl che SMS password reset Es wird ein neues One Time Kennwort automatisch durch SEPPmail
29. no mail rejection ca einen Monat zu nutzen bevor die Option Use Greylisting aktiviert wird Durch die Option Greylist learning only no mail rejection befindet sich die SEPPmail Appliance bez glich der Greylisting Funktion in einem Lernmodus und weist keine E Mails tempor r zur ck Use Antispam Engine Dieser Parameter bewirkt dass der SPAM Filter auf dem Note remember to SEPPmail System aktiviert wird Die Konfiguration des SPAM activate in ruleset Filters wird im Ruleset Generator im Men Mail Processing 6 durchgef hrt Use Antivirus Engine Dieser Parameter bewirkt dass der Virenscanner auf dem Note remember to SEPPmail System aktiviert wird Die Konfiguration des activate in ruleset Virenscanners wird im Ruleset Generator im Men Mail Processing 6 durchgef hrt Require HELO Dieser Parameter bewirkt dass gepr ft wird ob der sendende command E Mail Server das HELO Kommando beim Verbindungsaufbau mit SEPPmail verwendet Ist dies nicht der Fall werden bei Aktivierung dieses Parameters keine E Mails angenommen PTR check reverse SPAM Versender benutzen h ufig E Mail Server die nicht im DNS lookup DNS engetragen sind Wenn diese Option aktiviert wird werden keine E Mails von E Mail Servern angenommen die keinen Eintrag im DNS haben Check if sender Mit dieser Option aktivieren Sie die berpr fung des Domain domain is valid Teils der Absender E Mail Adresse jeder von extern einge
30. not encrypt gesetzt ist 7 4 3 smime_create_key Der Befehl smime create key erm glicht es f r einen Benutzer ein S MIME Zertifikat zu generieren Aufbau des Befehls Pr Een eem Tee Ti 2013 SEPPmail AG 209 Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl generiert ein S MIME Zertifikat f r einen Benutzer durch die lokale CA Optional kann das SUBJECT f r das Zertifikat angegeben werden Der R ckgabewert ist immer positiv Der Befehl hat 1 Parameter Parameter SUBJECT Definiert das Subject f r das zu erzeugende S MIME Zertifikat Innerhalb des SUBJECT steht die Variable sender zur Verf gung ber diese Variable steht der Absender der E Mail zur Verf gung Beispiel smime create key C CH OU Department O Company emailAddress sender Erkl rung In diesem Beispiel wird ein S MIME Zertifikat ber die lokale CA generiert Das optionale SUBJECT wird ebenfalls mitgegeben 7 4 4 smime_revoke_keys Der Befehl smime revoke keys erm glicht es alle noch nicht abgelaufenen S MIME Zertifikate eines Benutzers zu revozieren Aufbau des Befehls smime revoke keys Der Befehl mu mit einem Semikolon abgeschlossen werden Der R ckgabewert ist positiv wenn alle Zertifikate revoziert werden konnten oder abgelaufen sind Der R ckgabewert ist negativ wenn mindestens ein Zertifikat nicht revoziert werden konnte z B weil es ein imporiiertes Zertifikat i
31. options 2013 SEPPmail AG 56 automatically send Dieser Parameter bewirkt dass der ffentliche Schl ssel des new public keys to durch OpenPGP erzeugten Schl sselpaars automatisch an die users internen Benutzer im Firmenentzwerk via E Mail versendet werden Sektion Relaying Relaying allowed oe Geben Sie hier die IP Adresse des E Mail Servers ein von dem das SEPPmail System E Mails empfangen darf Sie k nnen hier auch ein gesamtes IP Netz angeben Relaying allowed Gg Haben Sie noch einen zweiten E Mail Server von dem E Mails angenommen werden sollem dann geben Sie hier zus tzlich dessen IP Adresse es Das SEPPmail System E Mails empf ngt nun ebenfalls von diesem System eingehende E Mails Sie k nnen hier auch ein gesamtes IP Netz angeben Add Relaying for Alle weiteren zus tzlichen E Mail Server oder IP Netzwerke von denen das SEPPmail System eingehende E Mails empfangen darf k nnen Sie hier erfassen Sektion Antispam Recommended Settings Haben Sie die optionale Software Option Protection Pack AntiVirus uns SPAM Protection erworden dass stehen Ihnen die Optionen zum Einrichten dieser optionalen Konponenten zur Verf gung Use Greylisting Dieser Parameter bewirkt dass die Funktion Greylisting im E Mail System aktiviert wird Eingehende externe E Mails werden nicht mehr unmittelbar sondern zeitlich verz gert angenommen Dies bewirkt dass von SPAM Versendern verwendete Methoden zur direkt
32. t ausf llt welches normalerweise auf die angesprochene virtuelle Cluster IP Adresse reagiert so bernimmt automatisch ein Cluster Member System mit der n chst niedrigeren Priorit t die virtuelle Cluster IP Adresse inclusive der Funktion des ausgefallenen Cluster Member Systems 2013 SEPPmail AG 124 Die Priorit ten sind in der folgenden Reihenfolge geordnet 1 Primary 2 Secondary 3 Backup Das Einrichten der Priorit t des jeweiligen Cluster Member Systems f hren Sie im Men System durch 2013 SEPPmail AG 125 6 10 3 Load Balancing Cluster Ein Cluster kann zus tzlich zur Erh hung des E Mail Durchsatzes verwendet werden Hierf r gibt es die folgenden M glichkeiten 1 Aufteilung des eingehenden und ausgehenden E Mail Datenflusses auf je ein Cluster Member Systemlt23 2 Einsatz eines externen Load Balancers zum Verteilen der E Mails auf verschiedene Cluster Member Systeme je nach Konfiguration 12N 3 Lastverteilung basierend auf dem DNS Round Robin Verfahrenh2d http de wikipedia org wiki Lastverteilung per DNS Einsatz mit redundanten externen und internen MTAs Mail Transport Agent h Das Failover Verhalten des Clusters wird durch diese Konfigurationen nicht ver ndert Aufteilung des eingehenden und ausgehenden E Mail Datenflusses auf je ein Cluster Member System Die Aufteilung des ein und ausgehenden E Mail Datenflusses kann wie bereits erw hnt auf drei verschiedene Arten erfolge
33. tige Unternehmen sowie f r Cloud Anbieter Self Service Passwort Management SSPM Vergessene Passw rter k nnen vom Empf nger automatisch und ohne Sicherheitsrisiken via Mobile Phone neu generiert bzw angefordert werden 2013 SEPPmail AG 68 Interne Verschl sselung IME Komfortable firmeninterne Verschl sselung vertraulicher E Mails vom Arbeitsplatz des Absenders bis zum Desktop des Empf ngers dadurch sind vertrauliche E Mails im gesamten Firmennetz vor unerlaubtem Zugriff gesch tzt 6 6 1 1 GINA Domains erstellen Men Mail Processing Um eine neue GINA Domain zu erstellen klicken Sie in der Rubrik GINA domains auf die Schaltfl che Create new GINA domain Sektion Create new GINA Domain Parameter Beschreibung eine Beschreibung der neuen GINA Domain Hostname Name des Hosts der neuen GINA Domain Dieser Name ist Bestandteil der URL unter der Webmails abgerufen werden z B https secmail cusomer com customer Best tigen Sie die Erstellung einer neuen GINA Domain mit einem Klick auf die Schaltfl che Create 6 6 1 2 GINA Domains l schen Men Mail Processing Um eine bestehende GINA Domain zu l schen w hlen Sie die GINA Domain im Men Mail Processing gt GINA domains aus und klicken Sie die Schaltfl che Delete Best tigen Sie das L schen einer bestehenden GINA Domain mit einem Klick auf die Schaltfl che Delete 6 6 1 3 GINA Domains verw
34. 22 SSH zul sst vgl Abschnitt Firewall Router einrichten gt 3 6 6 Das System auf den neusten Stand bringen Klicken Sie im Web Administrationsportal auf den Men punkt Administration und dann auf die Schaltfl che Check for Update Falls ein Update zur Verf gung steht klicken Sie zus tzlich auf die Schaltfl che Fetch Update Dies kann zeitaufw ndig sein wenn das gelieferte System noch eine ltere Firmware enth lt und deshalb mehrere Updates durchf hren mu Wiederholen Sie den Schritt bis keine Updates mehr angezeigt werden Das System optimiert diesen Prozess so dass nicht f r jede Zwischenversion ein Update durchgef hrt werden muss sondern nur f r diejenigen welche die Datenstruktur ver ndern Es kann unter Umst nden vorkommen dass Sie l ngere Zeit keine R ckmeldung erhalten Wenn dies der Fall ist aktualisieren Sie die Ansicht indem Sie auf den Link System Administration oberhalb der Schaltfl chen klicken Solange Sie nicht ausgeloggt wurden ist das Update noch nicht abgeschlossen Die SEPPmail Appliance muss nach Updates jeweils einen Neustart durchf hren Sie m ssen sich neu anmelden F hren Sie diesen Schritt gegebenenfalls selbst durch falls das System lange keine R ckmeldung gibt Ihnen also nicht die Loginmaske angezeigt wird Sie k nnen den Neustart ausl sen indem Sie innerhalb des Men s Administration auf die Schaltfl che Reboot klicken und danach den angezeigten Sicherh
35. Appliance zu einem bestehenden Cluster hinzuzuf gen oder um ein Cluster erstmalig einzurichten w hlen Sie in der Konfigurationsoberfl che den Men punkt Cluster Zum Aufbau des Clusters m ssen die Felder in der Sektion Add this device to existing cluster ausgef llt werden Gehen Sie dabei wie folgt vor 1 W hlen Sie f r den Parameter Cluster Identifier die Datei mit der Cluster Identifizierung aus welche Sie heruntergeladen haben 2 Geben Sie f r den Parameter Cluster Member IP die physische IP Adresse der ersten SEPPmail Appliance ein zu welchem Sie dieses System hinzuf gen m chten Befinden sich schon mehrere Appliances im Cluster so reicht die physische IP Adresse eines Cluster Members Systems 3 Geben Sie f r den Parameter IP address of this device die eigene physische IP Adresse ein unter der diese Appliance f r andere Appliances im Cluster erreichbar ist 4 berpr fen Sie alle zuvor eingegebenen Werte Schlie en Sie den Vorgang durch ausw hlen der Schaltfl che start ab Der Clusterverbund wird nun erstellt bzw erweitert indem die bestehende Cluster Konfiguration auf das neue Cluster Member System repliziert wird Alle nun folgenden nderungen der Konfiguration im Cluster werden mit dem neu hinzugef gten Cluster Member System sofort automatisch synchronisiert D SEI l MAI L Login Home System Mail System Mail Processing SSL CA Administration Cluster Logs Webm
36. Benutzerkennworts Frage und Antwort diesen zum Identifizieren des Empf ngers Parameter Answer Antwort auf die Sicherheitsfrage Parameter Password Setzen eines neuen Benutzerkennworts 2013 SEPPmail AG 169 Parameter Must Change Password Wenn Sie diese Option setzen wird der GINA Empf nger beim n chsten Login aufgefordert sein Kennwort zu ndern Parameter Zip Attachment Nutzen Sie diesen Parameter wenn Sie m chten dass GINA Nachrichten in Form einer ZIP Dateianlage zur GINA Nachricht gesendet werden Dieser Parameter ist bei Empf ngern erforderlich die Outlook Web Access OWA verwenden da GINA Nachrichten im Format einer HTML Datei aus OWA nicht entschl sselt werden k nnen Um die Einstellung nur bei einzelnen GINA Nachrichten zu nutzen kann das Tag owa in der Betreffzeile der E Mail verwendet werden Sollte eine GINA Nachricht im Format einer HTML Datei an einen OWA Empf nger gelangen erkennt die SEPPmail Appliance dies Der Absender wird daraufhin aufgefordert die E Mail nochmal zu senden Gleichzeitig wird im GINA Benutzerkonto des Empf ngers der Parameter ZIP Attachment automatisch gesetzt Bei allen neu gesendeten GINA Nachrichten werden die GINA Nachrichten innerhalb einer ZIP Dateianlage gesendet und k nnen via Outlook Web Access dargestellt werden Parameter Account status locked Webmail Konto ist deaktiviert gesperrt enabled Webmail Konto ist aktiviert Diese Opt
37. Custom commands for incoming Email Nutzen Sie diesen Bereich um zus tzliche selbstdefinierte Ruleset Befehle f r die Verarbeitung eingehender Nachrichten zu aktivieren Parameter Custom commands for outgoing Email Nutzen Sie diesen Bereich um zus tzliche selbstdefinierte Ruleset Befehle f r die Verarbeitung ausgehender Nachrichten zu aktivieren Parameter Custom commands for User Creation Verwenden Sie diesen Bereich um zus tzliche selbstdefinierte Ruleset Befehle f r die Erstellung von Benutzerkonten zu aktivieren Beispiel if authenticated else createaccount CREATEGPGKEYS log 1 user account generated ER Sektion Ruleset gt Bereich Advanced Options Re inject mails to sending Verarbeitete E Mails werden an den einliefernden E Mail Server mailserver use with care zur ckgesendet Run in queueless mode use Aktiviert den Queueless Mode f r die Verarbeitung von E Mail with care Completely disable GINA Deaktiviert das GINA Subsystem technology 2013 SEPPmail AG 104 Parameter Beschreibung Completely disable user Deaktiviert die benutzerbasierte S MIME und OpenPGP Ver und based S MIME and openPGP Entschl sselung Parameter Re inject mails to sending mailserver use with carel Mit dieser Einstellung werden alle E Mails nach der Bearbeitung an den Server zur ckgeschickt von dem sie an SEPPmail gesendet wurden z B zentral
38. E Mail Systemen ist damit sichergestellt und die Installation zus tzlicher Softwarekomponernten entf llt F r Empf nger die keine S MIME Zertifikate oder OpenPGP Schl ssel besitzen kann die GINA Technologie zur sicheren E Mail Ubertragung genutzt werden 2 6 Remote Administration mittels Web Portal S mtliche Verwaltungsm glichkeiten des SEPPmail Secure E Mail Gateways stehen ber eine webbrowserbasierten Konfigurationsoberfl che zur Verf gung Die Verbindung zwischen Webbrowser und dem SEPPmail Secure E Mail Gateway ist zus tzlich verschl sselt HTTPS 2013 SEPPmail AG 3 Inbetriebnahme der Secure E Mail Gateway Appliance 3 1 Bevor Sie beginnen Bitte berpr fen Sie den Verpackungsinhalt auf Vollst ndigkeit Der Lieferumfang besteht aus ES Beschreibung SEPPmail Hardware Appliance bzw SEPPmail Virtual Appliance f r VMware ESX oder Microsoft Hyper V Server Quick Install Guide Kaltger tekabel 240V Sollte der Lieferumfang bei Ihnen unvollst ndig sein oder sollten bei der Installation der SEPPmail Appliance Probleme oder Fragen auftauchen kontaktieren Sie bitte SEPPmail oder Ihren SEPPmail Fachh ndler Eine Liste mit den Kontaktangaben der jeweiligen Fachh ndler finden Sie auf der Webseite der SEPPmail AG http www seppmail ch 3 2 Integration der Appliance in Ihre E Mail Umgebung Standard Konfiguration In diesem Abschnitt wird ein einfaches Szenario beschrieben in dem die SEPPmail Appl
39. Firewallkonfiguration Das Men Administration wird dann nach etwas l ngerer Wartezeit trotzdem angezeigt 6 9 4 Einstellungen der Appliance sichern und wiederherstellen Men Administration gt Sektion Backup Um die Einstellungen der SEPPmail Appliance zu sichern oder wiederherzustellen stehen in der Konfigurationsoberfl che verschiedene M glichkeiten zur Verf gung Wichtiger Hinweis Ein Systembackup enth lt alle Konfigurationsdaten bis auf die Folgenden 1 das lokale SSL Device Zertifikat 2 das lokale Root CA Zertifikat 3 der lokale Cluster Identifier Stellen Sie sicher dass die genannten Ausnahmen vom Systembackup separat manuell gesichert werden Im Fehlerfall k nnen Sie nur die Daten wiederherstellen die im Systembackup enthalten sind und die Sie zus tzlich zum Systembackup manuell gesichert haben Die folgenden Bewegungsdaten sind ebenfalls nicht im Systembackup enthalten 1 die lokalen Log Dateien 2 die lokalen System Statistiken 3 der lokale LFM Store 4 die lokale E Mail Queue 2013 SEPPmail AG 118 Schaltfl chen Beschreibung Backup Download Manuelles Herunterladen eines Systembackups Backup Change Password ndern des Backup Kennworts Restore Import Backup Manuelles Zur cksichern eines Systembackups File Restore Import Idif Manuelles Zur cksichern einer LDIF Datei Allgemeiner Hinweis zum Backup Um den aktuellen Stand Ihrer SEPPmail Appliance zu sichern m ssen Si
40. Home System Mail System Mail Processing SSL CA Administration Cluster Logs Webmail Logs Statistics Users Groups Webmail accounts PGP public keys X 509 Certificates X 509 Root Certificates Domain keys Sjan EES System SEPPmail Cluster Member 10 10 0 9 Description IP Addresses 7 Interface 1 10 voll ol ald aa e Media Beltcurrent state Ethernet autoselect interfsce2 192 eil ai IP ALIAS Addresses P Alias 0 10 voll A L24 vho 1 Te Interface D current state Master IP Alias 1 ol voll A 24 vho 2 Ts nterf i El IP Alias IP Alias 3 UU M l2elelve Te Interface Interface 1 Priority Primary Le Note CARP is used for the alias addresses this means that you can use the same alias addresses on different devices for load balancing failover Set the same VHID for two or more equal addresses on same LAN segment ONLY Abbildung 5 Hochverf gbarkeitscluster mit zus tzlicher Lastverteilung zwei virtuelle Cluster IP 2013 SEPPmail AG 147 Adressen des 1 SEPPmail Cluster Member Systems D SEI f MAI L Login Home System Mail System Mail Processing SSL CA Administration Cluster Logs Webmail Logs Statistics WISS E MAIL SECURIT Users Groups Webmail accounts PGP public keys X 509 Certificates X 509 Root Certificates Domain keys System Comment Sy
41. IP Adresse eines SEPPmail Systems ein welches bereits Bestandteil des Clusters ist zudem Sie dieses System hinzuf gen wollen Verwenden Sie keine virtuelle IP Adresse des Clusters Siehe Men System gt IP Adresses in der Konfigurationsoberfl che Die Verbindung der Cluster Systeme untereinander erfolgt ber eine Secure Shell Verbindung auf Port TCP 22 Ver ndern Sie diese Port Einstellung nicht IP address of this IP address other devices in the cluster can device use to connect to this device Do NOT use an IP alias address Geben Sie hier die eindeutige IP Adresse des lokalen Systems ein welches dem bestehenden Cluster hinzugef gt werden soll Siehe Men System gt IP Adresses in der Konfigurationsoberfl che Die Verbindung der Cluster Systeme untereinander erfolgt ber eine Secure Shell Verbindung auf Port TCP 22 Ver ndern Sie diese Port Einstellung nicht Connect Schaltfl che Start W hlen Sie die Schaltfl che Start nachdem Sie alle notwendigen Werte f r die entsprechenden Parameter eingegeben haben um die Cluster Funktion auf dem lokalen System zu starten Dieses System wird nun Bestandteil des Cluster Verbunds Add this device as Cluster Identifier Importieren Sie in diesem Eingabefeld die frontend server no Cluster Identifier Datei eines bestehenden local database SEPPmail Cluster Systems Das lokale System wird dem bereits bestehenden Cluster als spezielle Frontend Ser
42. Lesebest tigung Standard aktiv inaktiv Tooltips true false Tooltips f r Schaltfl chen ein ausschalten LMonly true false Registry Werte nur in HKEY_LOCAL_MACHINE speichern ein ausschalten 4 5 Deinstallation des Microsoft Outlook Add In Die Deinstallation des SEPPmail Add In f r Microsoft Outlook erfolgt ber die Systemsteuerung im Men Programme und Funktionen Beispiel Windows 7 64bit 1 Rechtsklick auf den Eintrag SEPPmail Outlook Add In gt Deinstallieren anta CSE e Alle Systemsteuerungselemente Programme und Funktionen X Lo Programme und Funktionen durchsuc OD Datei Bearbeiten Ansicht Extras Startseite der Systemsteuerun e e m 2 d Programm deinstallieren oder ndern Installierte Updates anzeigen W hlen Sie ein Programm aus der Liste aus und klicken Sie auf Deinstallieren ndern oder Windows Funktionen Reparieren um es zu deinstallieren aktivieren oder deaktivieren Organisieren Deinstallieren ndern Reparieren Ev Name e Herausgeber Installiert am Gr e Version a EA SEPPmail Outlook Add In SEPPmail AG 11 04 2012 _440MB 1 2 6 Deinstallieren ndern Se SEPPmail AG Produktversion 1 2 6 Reparieren EPPmail Outlook Add In Gr e 4 40 MB 1 Element ausgew hlt Deinstallation Outlook Add In 2013 SEPPmail AG 34 4 6 4 6 1 Folgende Werte werden standardm ig geschrieben SMEncrypt o SMEncryptSelected o
43. MIME Certificates Domainzertifikaten Search Domain Certificate Suchen nach einem bestehenden S MIME Domainzertifikaten im lokalen Domainzertifikatsspeicher f r automatisch importierte Managed Domainzertifikate Sollten Sie keine automatische Aktualisierung der S MIME Domain keys w nschen so deaktivieren Sie die Option Auto Update SMIME Domain Certificates 6 19 2 OpenPGP Domain keys importieren Men Domain keys Zum Importieren eines bestehenden OpenPGP Schl sselpaars w hlen Sie in der Konfigurationsoberfl che die Schaltfl che Import PGP Key Geben Sie im Feld Domain name den zugeh rigen E Mail Domainnamen an Sie k nnen dann die entsprechende Datei ausw hlen oder den Schl ssel in Textform einf gen 6 19 3 OpenPGP Domain keys herunterladen oder l schen Men Domain keys Um einen OpenPGP Domain key von der SEPPmail Appliance auf Ihren PC herunterzuladen klicken Sie auf den Namen der angezeigten E Mail Domain des entsprechenden Schl ssels und dann auf die Schaltfl che Download public key M chten Sie hingegen einen OpenPGP Domain key l schen w hlen Sie die Schaltfl che Delete Key 2013 SEPPmail AG 179 6 19 4 S MIME Domain keys importieren Men Domain keys Zum Importieren eines bestehenden S MIME Domainzertifikats w hlen Sie in der Konfigurationsoberfl che die Schaltfl che Import S MIME certificate Geben Sie im Feld Domain name den zugeh rigen E M
44. Mails im GINA Portal aktiv sein soll Ein GINA Benutzer kann dann an interne Mitarbeiter E Mails aus dem GINA Portal senden Sie k nnen ber diese Funktion Nachrichten ausschlie lich an E Mail Adressen interner Mitarbeiter senden Der E Mail Versand an externen E Mail Adressen ist nicht m glich Do not allow GINA users to Aktivieren Sie diesen Parameter wenn Sie verhindern m chten edit recipient when replying dass beim Beantworten einer GINA Nachricht die E Mail to e mails Adresse des Empf ngers ver ndert werden kann Allow messages to be Aktivieren Sie diese Einstellung wenn die Schaltfl che Outlook downloaded as Outlook im GINA Frontend angezeigt werden soll Sie k nnen dann die message msg files entschl sselte E Mails im Outlook Format msg im lokalen Dateisystem speichern und nachtr glich in Outlook importieren Die Nachricht wird im Klartext abgelegt Allow messages to be Aktivieren Sie diese Einstellung wenn die Schaltfl che downloaded as MIME Lem Nachricht speichern im GINA Frontend angezeigt werden soll files Sie k nnen dann die entschl sselte E Mails im Standard Format eml im lokalen Dateisystem speichern und nachtr glich in einem E Mail Client importieren Die Nachricht wird im Klartext abgelegt When encrypting mail with Die Kurzinformation f r den GINA Empf nger wird als nur Text GINA technology use text Nachricht ausgef hrt und nicht als HTML Nachricht only emails no HTML emails
45. Men punkt Cluster Zum Hinzuf gen des neuen SEPPmail Systems als Frondend Server zu einem bestehenden Cluster m ssen die Felder in der Sektion Add this device as frontend server no local database ausgef llt werden Gehen Sie dabei wie folgt vor 1 W hlen Sie f r den Parameter Cluster Identifier die Datei mit der Cluster Identifizierung aus welche Sie heruntergeladen haben Siehe Abschnitt Cluster Identifizierung herunterladenl14 2 Geben Sie f r den Parameter Existing Appliance IP die physische IP Adresse des Cluster Member Systems bzw die Alias IP Adresse des bestehenden Clusterverbunds an zu welchem Sie eine Verbindung aufbauen m chten 3 berpr fen Sie alle zuvor eingegebenen Werte Schlie en Sie den Vorgang durch ausw hlen der Schaltfl che start ab Auf den Backend Servern ist keine Anpassung notwendig D SEI f MAI L Login Home System Mail System Mail Processing SSL CA Administration Cluster Logs Webmail Logs Statistics Users Groups Webmail accounts PGP public keys X 509 Certificates X 509 Root Certificates Domain keys Cluster Configuration Prepare for Cluster use this key to add a different device to this device cluster Add this device to Cluster Identifier T Durchsuchen existing cluster ieh Cluster Member IP IP of the device you went to connect to Do NOT use an IP alias address WARNING All data Ml HU M Port 22 i IP addres
46. Mobilfunkrufnummer im Benutzerprofil des Benutzers hinterlegt worden sein Beinhaltet ein ausgew hltes Verfahren zur Kennwortr cksetzung die Option SMS so ist es ebenfalls erforderlich den SMS Versand im Men Mail Processing einzurichten Auswahlwert Let user choose between hotline and SMS Der externen GINA Benutzer kann zum anfordern eines neuen Kennworts zwischen den beiden Optionen Hotline und SMS ausw hlen Parameter Mobile Number Beinhaltet die Mobilfunkrufnummer des GINA Benutzers falls diese vom Benutzer beim Verwalten seines Benutzerkontos hinterlegt wurde F r den Support besteht die M glichkeit dem Benutzer bei Bedarf ein neues One Time Kennwort Einmalkennwort als SMS zu senden Klicken Sie dazu auf die Schaltfl che SMS password reset Es wird ein neues One Time Kennwort automatisch durch SEPPmail generiert und via SMS gesendet Sektion User Logs In diesem Bereich sehen Sie eine Historie der Benutzerinteraktionen Bei einem Brute Force Angriff handelt es sich um das Durchprobieren aller m glichen oder zumindest sehr vieler Kennwortkombinationen 2013 SEPPmail AG 171 6 16 Men punkt PGP public keys W hlen Sie den Men punkt PGP public keys um die OpenPGP Benutzerschl ssel der Kommunikationepartner auf der SEPPmail Appliance zu verwalten Folgende Vorg nge werden in den kommenden Abschnitten beschrieben bersichtl1 OpenPGP Schl ssel importierenl N Op
47. Nachricht gleich verschl sselt zur ck gesendet Beispiel einer GINA Nachricht 2013 SEPPmail AG 11 2 Vollautomatische E Mail Domainverschl sselung zwischen allen SEPPmail Appliances Die SEPPmail Appliance bietet Ihnen die M glichkeit den E Mail Verkehr permanent zwischen mehreren E Mail Domains zu verschl sseln Einzige Bedingung dabei ist dass die Kommunikationspartner ber je eine SEPPmail Appliance verf gen Zwischen den Systemen werden alle Nachrichten automatisch ver und entschl sselt Bei diesem Verfahren kommen sogenannte Domainzertifikate bzw Domainschl ssel zum Einsatz 3 S MIME Benutzerverschl sselung Das Verfahren der Verschl sselung mittels S MIME basiert auf ffentlichen und privaten Schl sseln M it ffentlichen Schl sseln werden die E Mails verschl sselt und k nnen anschliessend nur mit den zugeh rigen privaten Schl sseln entschl sselt werden Dank der zentralen Verarbeitung l uft dieser Vorgang automatisch ab wenn entsprechende S MIME Benutzerzertifikate auf der SEPPmail Appliance existieren Diese k nnen auf der SEPPmail Appliance selbst erstellt oder durch einen ffentlichen Zertifikatsanbieter ausgestellt werden In beiden F llen lassen sich die Zertifikate automatisiert erstellen Die SEPPmail Appliance unterst tzt zu diesem Zweck verschiedene Schnittstellen zu ffentlichen Zertifikatsanbietern 4 OpenPGP Benutzerverschl sselung OpenPGP funktioniert n
48. Parameter Issued to Ausgestellt f r Dieser Wert beschreibt bei X 509 Root Zertifikaten meist den Betreiber Firma der Root CA bzw beschreibt die spezifische Verwendung eines Zwischenzertifikats Parameter Issued by Ausgestellt von Dieser Wert beschreibt bei X 509 Root Zertifikaten meist die Firma bzw den Betreiber der Root CA der dieses Zertifikat ausgestellt hat Parameter Expires on G ltigkeitszeitraum L uft aus am Das Ablaufdatum des jeweiligen Zertifikats definiert das Ende der Verwendung des jeweiligen Zertifikats Nach dem Erreichen bzw berschreiten des Ablaufdatums wird dieses Zertifikat nicht mehr f r die Zertifikatspr fung und die E Mail Signatur verwendet Importieren Sie ein neues X 509 Root Zertifikat dieser CA wenn diese weiterhin verwendet werden soll 6 18 2 X 509 Root Zertifikate importieren Men X 509 Root Certificates Manuelles Importieren Zum Importieren eines bestehenden X 509 Root Zertifikats w hlen Sie in der Konfigurationsoberfl che die Schaltfl che Import S MIME Root Certificate W hlen Sie zum Import eines X 509 Root Zertifikats die entsprechende Datei aus Automatisches Importieren Neben dem manuellen Importieren von X 509 Root Zertifikaten k nnen diese auch automatisch importiert werden Dazu werden alle eingehenden S MIME signierten E Mails ausgewertet Wurde eine S MIME Signatur von einer Root CA ausgestellt die sich noch nicht im Zertifikatsspeiche
49. PortallsoN Enable S MIME certificate Erm glicht einem GINA Benutzer zus tzlich einen vorhandenen PGP key search and PGP oder S MIME Public Key im Zertifikatsspeicher der management in GINA SEPPrmail Appliance abzulegen Der GINA Benutzer kann dann auch via PGP oder S MIME verschl sselte E Mails erhalten Weitere Informationen erhalten Sie im Kapitel GINA S MIME und PGP Schl sselsuche ber Webmail Portal s i Sie m ssen diese Option aktivieren um die folgende Option Allow unregistered users to search public keys certificates of internal users aktivieren zu k nnen Sonst ist die folgende Option nicht aktivierbar Allow download of public Erm glicht es externen nicht registrierten Benutzern domain keys domain selbstst ndig ber das GINA Portal nach vorhandenen PGP certificates oder S MIME Domain Keys der angelegten Managed Domains Note You must assign Use zu suchen und diese herunterzuladen GINA Settings under Mail System Settings Managed Domains Allow unregistered users to Erm glicht es externen nicht registrierten Benutzern search public keys selbstst ndig ber das GINA Portal nach vorhandenen PGP 2013 SEPPmail AG 71 certificates of internal users oder S MIME Public Keys interner Benutzer zu suchen und diese and domain keys if enabled herunterzuladen above Allow GINA users to write Aktivieren Sie diese Einstellung wenn die Schaltfl che zum new mails not reply Erzeugen neuer E
50. SEPPmail AG 217 Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl pr ft ob f r alle Empf nger einer E Mail Domain PGP Public Keys im lokalen Zertifikatsspeicher zur Verf gung stehen Der R ckgabewert ist positiv wenn f r alle Empf nger der E Mail Domain PGP Public Keys vorhanden sind und f r den Parameter Anwendung der Wert strict angegeben wurde sonst ist der R ckgabewert negativ Wird f r den Parameter Anwendung der Wert auto angegeben werden die Empf nger in zwei Gruppen aufgeteilt Die Gruppe von Empf ngern f r die Domain PGP Public Keys vorhanden sind erh lt einen positiven R ckgabewert Die Gruppe von Empf ngern f r die keine Domain PGP Public Keys vorhanden sind erh lt einen negativen R ckgabewert Der Befehl hat 1 Parameter 7 6 4 decrypt_smime Der Befehl decrypt smime erm glicht es S MIME verschl sselte E Mails zu entschl sseln Aufbau des Befehls decrypt_smime Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl versucht eine S MIME verschl sselte E Mail zu entschl sseln Der R ckgabewert ist positiv wenn die E Mail entschl sselt wurde sonst negativ Dieser Befehl hat keinen Parameter 7 6 5 decrypt_domain_smime Der Befehl decrypt domain smime erm glicht es domainverschl sselte S MIME E Mails zu entschl sseln Aufbau des Befehls decrypt domain smime Der Befehl mu mit einem Semikolon abgeschlossen werden D
51. SEPPmail Appliance aus dem Internet erreichbar sein wird Interne IP Adresse der Appliance Die interne IP Adresse und Subnetzmaske unter der die SEPPmail Appliance in Ihrem internen Netzwerk erreichbar sein wird Hostname der Appliance Ein frei w hlbarer Hostname Ihrer SEPPmail Appliance z B secureemailgateway Dieser ist normalerweise im DNS Server aufgef hrt Interne Domain in welcher sich die SEPPmail Appliance befindet Beispiele sind ihrefirma local oder ihredomain de usw DNS Server Hier k nnen Sie bis zu drei IP Adressen von DNS Servern eingeben Es kann sich sowohl um interne wie auch um externe DNS Server handeln Interne DNS Server m ssen Anfragen f r externe Adressen entsprechend weiterleiten Hostname oder IP Adresse des bestehenden internen E Mail Servers Hostname oder IP Adresse unter der Ihr bestehender interner E Mail Server im internen Netzwerk angesprochen werden kann E Mail Domains Geben Sie hier die Domains der E Mail Adressen Ihrer Organisation an z B firma ch firma com firma de Standard Gateway IP Adresse Dies ist die Standard Gateway IP Adresse Ihrer Firewall oder Ihres Routers ber welche die SEPPmail Appliance die Verbindung mit dem Internet herstellen kann Ben tigte Informationen zum Einrichten der SEPPmail Appliance Die SEPPmail Appliance mu aus Internet als Webserver erreichbar sein und ben tigt deshalb eine von extern erreichbare IP Adresse Oft ist di
52. Server Sollte der E Mail Server eine Authentifizierung erfordern geben Sie den Benutzernamen und das Kennwort ein 6 5 4 TLS Verschl sselung pro Dom ne einrichten Men Mail System Sektion TLS settings Um ausgehende E Mails via TLS Transportverschl sselung zu bermitteln f gen Sie die E Mail Domain des Empf ngers hinzu Klicken Sie auf die Schaltfl che Add TLS Domain 2013 SEPPmail AG 61 Name der E Mail Domain des Empf ngers Optional Forwarding Server IP Adresse oder Hostname des f r die Empf nger E Mail Address Domain zust ndigen E Mail Servers Sektion TLS Settings TLS Beschreibung Einstellung Keine TLS Verschl sselung E Mails werden ber einen TLS verschl sselten Kanal versendet falls der empfangende E Mail Server TLS Verschl sselung unterst tzt Encrypt E Mails werden nur versendet falls der Versand mittels TLS Verschl sselung m glich ist Verify E Mails werden nur versendet falls der Versand via TLS Verschl sselung m glich und das SSL Zertifikat des empfangenden E Mail Servers g ltig ist Secure E Mails werden nur versendet falls der Versand via TLS Verschl sselung m glich und das SSL Zertifikat des empfangenden E Mail Servers g ltig ist und der Name des E Mail Servers gem Zertifikat erfolgreich berpr ft werden kann Diese Pr fung kann kann nicht bei der Verwendung von Wildcard SSL Zertifikaten eingesetzt werden Verwenden Sie die TLS Einstellung
53. Sie in diesem Feld den Inhalt des Templates im Textformat ein Die folgenden Variablen Platzhalter stehen innerhalb der Konfiguration f r das Template zur Verf gung 1 to E Mail Adresse des Empf ngers 2 header_to Header der urspr nglichen E Mail als Anlage Ein neues Template erstellen Sie k nnen zus tzlich zum Standard Template mit der Bezeichnung bounce_noenc bei Bedarf zus tzliche Templates einrichten Ein Template wird jeweils durch eine entsprechende Regelwerk Anweisung verwendet Um ein zus tzliches Template einzurichten klicken Sie die Schaltfl che Create new template Geben Sie eine Bezeichnung f r das neue Template ein und klicken Sie die Schaltfl che Create W hlen Sie anschlie end Ihr neues Template in der Auswahlliste aus und klicken Sie auf die Schaltfl che Edit Sie k nnen nun den Text des neuen Templates bearbeiten 2013 SEPPmail AG 92 6 6 6 Regelwerk verwalten Men Mail Processing gt Sektion Ruleset Generator Die Sektion Ruleset ist in folgende Bereiche unterteilt General Settings 92 User Creation eA Encryption Decryption 9 s Signingls Key Generationho Protection Pack Anti SPAM Anti Virus ho Header taggingho 8 Archivingl10 9 Custom Commandsl o3 10 Advanced Optionsl103 11 Remote Webmail Relay ho NO PUD Diese Bereiche werden nachfolgend einzeln erl utert Sektion Ruleset Generator gt Bereic
54. VI Installation ohne Benutzeroberfl che uunnsunnnssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnen 32 5 Deinstallation des Microsoft Outlook Add In u u002020200 0200 RER 33 6 Registry Eintr ge des Microsoft Outlook Add In uuuusuunnsnnnennnnnnnnnnnnnnnnnnn nn 34 HEY LOCAL MACHINE u28nsrenBneisnnesnnsrssonsr snennn nennen nennen nennen aaa anara dahaa dadaa kanaba aniani 34 HIKEY GURRENT USER essen een SEENEN 36 7 Versand von E Mails sin aa 37 SEPPmail IronPort Anbindung 38 Referenz der Men punkte 41 1 Konfigurations bersicht ursussrnennnsennennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nennen nn 41 2 Men punkt Login n 4 een Een 42 A Men punkt Home uk 43 A Men punkt System 45 bersicht Men punkt System aeasesessasnnenuennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnsnnnennnnnnnnnnnnanenen 45 E Mail Logs an einen zentralen Syslog Server weiterleiten usnsnennsensnennnennnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 52 Datum und Zeit einstellen und NTP Synchronisation einrichten uunsnsrennensnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 52 SNMP aktiviere Da ie aa ER Hi a a ati 52 5 Men punkt Mail System uusnsssunnsnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 53 bersicht Men punkt Mail System auasesesssssnnennnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnennnnnnnnnnnnnnnennn 53 Zu
55. alle eingehenden E Mails vom externen E Mail Server oder auch einem vorgelagerten E Mail Relay z B Firewall angesprochen bzw die eingehenden E Mails werden von den externen oder vorgelagerten Systemen an diese virtuelle IP Adresse gesendet Unter einer virtuellen IP Adresse sind nun die beiden physichen SEPPmail Systeme logisch zusammengefa t Grunds tzlich reagieren beide Systeme wenn die virtuelle IP Adresse 2013 SEPPmail AG 126 angesprochen wird Dies ist aber nicht immer sinnvoll da wir jeweils ein System f r alle eingehenden E Mails verwenden wollen und das andere System f r alle ausgehenden E Mails Um dies zu erreichen ist die Reihenfolge in der die einzelnen Systeme antworten sollen in einer Hierarchie festgelegt wenn eine der beiden virtuellen IP Adressen angesprochen wird In Abbildung 1 gr n dargestellt sehen Sie die virtuelle IP Adresse 10 10 0 1 f r alle ausgehenden E Mails Hier ist das Cluster Member System mit der IP Adresse 10 10 0 9 als Primary eingerichtet und reagiert immer als erstes System wenn die virtuelle IP Adresse 10 10 0 1 angesprochen wird Das Cluster Member System mit der IP Adresse 10 10 0 10 ist als Secondary eingerichtet und reagiert nur dann wenn der Cluster Member Primary nicht verf gbar ist In Abbildung 1 orange dargestellt sehen Sie die virtuelle IP Adresse 10 10 0 2 f r alle eingehenden E Mails Hier ist das Cluster Member System mit der IP Adresse 10 10 0 10 als Primary eingericht
56. che S Trust 2013 SEPPmail AG 113 connector um die Einstellungen f r die Einbindung der S Trust MPKI zu bearbeiten Sollten Sie noch keinen GA Connector eingerichtet haben w hlen Sie einen CA Connector S Trust aus und speichern Sie diese Einstellung Jetzt k nnen Sie den zuvor ausgew hlten CA Connector konfigurieren Alle zur Konfiguration erforderlichen Daten erhalten Sie von der S Trust CA 6 8 5 Verbindung zur externen CA Signtrust einrichten Men CA Um die Verbindung zum externen Zertifikatsanbieter Signtrust einzurichten klicken Sie in der Konfigurationsoberfl che auf die Schaltfl che Save Klicken Sie auf die Schaltfl che Signtrust connector um die Einstellungen f r die Einbindung der Signtrust MPKI zu bearbeiten Sollten Sie noch keinen GA Connector eingerichtet haben w hlen Sie einen CA Connector Signtrust aus und speichern Sie diese Einstellung Jetzt k nnen Sie den zuvor ausgew hlten CA Connector konfigurieren Alle zur Konfiguration erforderlichen Daten erhalten Sie von der Signtrust CA Parameter Beschreibung Certificate Request Sender E Mail Adresse die als Absender f r die Beauftragung von Email Zertifikaten verwendet wird Class 3 certificate Auswahl des Class3 Zertifikats zur pers nlichen Identifizierung des Administrators Password Kennwort f r das Class3 Zertifikat des Administrators Hinweis Bitte beachten Sie dass alle von SEPPmail an die CA ausgehenden E Ma
57. dazu eine E Mail Benachrichtigung Es wird der Inhalt des Templates bounce_noenc verwendet Parameter Always encrypt mails with Outlook confidential flag set Nutzen Sie diesen Parameter wenn E Mails in Microsoft Outlook mit der Nachrichtenoption Vertraulich stets verschl sselt werden sollen Es wird analog zum vorherigen Men punkt verfahren Parameter Always use secure webmail technology for mails with the following text in subject Standard priv Sie k nnen einen Tag definieren um die Verschl sselung einer ausgehenden E Mail via zu initiieren F gen Sie diesen Tag incl der eckigen Klammern in der Betreffzeile hinzu so wird SEPPmail diese E Mail verschl sselt versenden Als Verschl sselungsmethode wird die Verwendung der GINA Technologie erzwungen Die Backslash innerhalb des Tags stellen Escape Symbole dar Dieses sind durch den Benutzer nicht einzugeben Beispiel Betreff priv Sichere E Mail Verschl sselung Parameter Always use secure webmail technology for mails with Outlook private flag set Nutzen Sie diese Option wenn E Mails in Microsoft Outlook mit der Nachrichtenoption Private stets verschl sselt werden sollen Als Verschl sselungsmethode wird die Verwendung der GINA Technologie erzwungen Parameter Create Secure webmail users with empty password if the following text is in the subject Standard l emptypw Sie k nnen einen Tag definieren um GINA Benutzerkon
58. die erste Lesebest tigung zur ckgeschickt Zus tzlich enth lt die Lesebest tigung einen Link unter dem die vollst ndige bersicht der Lesebest tigungen aufgef hrt ist Dieser Link beginnt mit der Adresse welche in diesem Feld eingegeben wird Der hintere Teil des Links wird jeweils dynamisch generiert Beispiel EE EE R ckmeldung an den Absender http 192 168 253 60 8080 track app track MjAxMZA3Mj 6 6 3 GINA SMS Kennwortversand verwalten Men Mail Processing gt Sektion GINA password via SMS Allgemeiner Hinweis zum SMS Versand von GINA Kennwortbenachrichtigungen Die GINA Schnittstelle erm glicht es beim erstmaligen Versand einer GINA Nachricht die Kennwortbenachrichtigung via SMS an den Empf nger zu bermitteln Dieser Vorgang kann vereinfacht werden indem die Mobilfunkrufnummer f r den Versand der Kennwortbenachrichtigung als Bestandteil des Betreff der GINA Nachricht verwendet wird Die Mobilfunkrufnummer wird vor dem Versand ins Internet aus dem Betreff durch SEPPmail entfernt Sie haben die folgenden M glichkeiten die Kennwortbenachrichtigung via SMS zu bermitteln e als Bestandteil der E Mail Betreffzeile mobile 49123456789 oder sms 49123456789 im Betreff einf gen Beispiel Betreff Sichere E Mail Verschl sselung mobile 49123456789 Betreff Sichere E Mail Verschl sselung sms 49123456789 2013 SEPPmail AG 87 e verwenden einer zuvor im GINA Benutzerkonto hinte
59. down Herunterfahren des Systems und ausschalten Um einen ungewollten Neustart oder ein ungewolltes Herunterfahren zu verhindern m ssen diese Vorg nge mit einem Sicherheitscode best tigt werden Der Sicherheitscode wird jeweils automatisch generiert und angezeigt und muss von im Feld Security code eingegeben werden Beispiel Pleas nter the security code ivahkagh in the field below Hierbei ist die Zeichenfolge ivahkagh der Security Code Dieser muss im Feld Security code eingegeben werden Klicken Sie dann auf die Schaltfl che Reboot system now um einen Neustart auszuf hren Bei einem Herunterfahren des Systems verfahren Sie analog 6 9 6 Appliance auf Werkseinstellungen zur cksetzen Men Administration gt Sektion Database and System Settings Zum Zur cksetzen des Systems auf die Werkseinstellungen klicken Sie auf die Schaltfl che Perform factory reset Um ein ungewolltes Zur cksetzen des Systems zu verhindern muss dieser Vorgang mit einem Sicherheitscode best tigt werden Der Sicherheitscode wird jeweils automatisch generiert und angezeigt und muss von Ihnen im Feld Security code in umgekehrter Reihenfolge von hinten nach vorne eingegeben werden Nach korrekter Eingabe des Sicherheitscodes und einem Klick auf die Schaltfl che Factory reset erscheint die Best tigungsmeldung Factory reset in progress The device will automatically switch off after finishing Sobald d
60. einliefert Auf diesem Listener darf SEPPmail nicht in der Relayliste eingetragen sein Dieser Listener kann z B auf der bestehenden IP Adresse 192 168 1 11 auf einen speziellen Port z B 10025 gebunden sein oder auf einer weiteren IP Adresse im IP Netzwerk 192 168 1 0 24 Die Umleitung kann man auf zwei Arten Implementieren 1 per Content Filter 2 per Message Filter Der Unterschied zwischen Message Filter und Content Filter ist dass ein Message Filter immer auf die gesamte E Mail angewendet wird Hat eine E Mail z B mehrere Empf nger so gilt die Aktion f r alle Empf nger Bei einem Content Filter kann man ber verschiedene Policy Eintr ge die E Mail aufsplitten Das sollte in unserem Fall keine Rolle spielen Ein weiterer Unterschied ist dass man im Message Filter erkennen kann ob eine E Mail verschl sselt oder signiert ist und somit nur diese E Mail zu SEPPmail umleiten kann 2013 SEPPmail AG 39 Um die L sung Einfach und bersichtlich zu gestalten empfehlen wir alle ausgehenden E Mails zu SEPPmail weiterzuleiten nicht nur die zu verschl sselnden oder zu signierenden E Mails und mit einem Content Filter zu arbeiten Konfiguration IronPort e Bestehender Listener mit SEPPmail in der Relaylist e Neuer Listener Incoming SEPPmail mit SEPPmail nicht in der Relaylist Incoming Contentfilter IncomingSEPPmail normalerweise nicht notwendig Reciving Listener IncomingMail AND Remote IP IS NOT IP von SEPPma
61. ft Wird mindestens eine IP Adresse gefunden so wird der Log Eintrag Mail contains an IP address im System Logger geschrieben Wird keine IP Adresse gefunden so wird der Log Eintrag Mail does not contain an IP address im System Logger geschrieben 7 2 6 disclaimer Der Befehl disclaimer f gt einen Textanhang einer bestehenden E Mail hinzu Aufbau des Befehls disekanimer E vVonlaget I IRMEOS i TONM Jeer Lite Der Befehl mu mit einem Semikolon abgeschlossen werden 2013 SEPPmail AG 191 Dieser Befehl f gt einen Textanhang aus der Vorlage einer bestehenden E Mail hinzu Wenn eine leere Zeichenfolge als Vorlage angegeben ist wird versucht anhand der Einstellungen der Managed Domains den richtigen Disclaimer zu w hlen Dazu werden die den jeweiligen E Mail Domains zugeordneten Disclaimer ausgewertet Ist force auf true gesetzt so wird jeder ausgehenden E Mail ein Textanhang hinzugef gt Dies ist unabh ngig davon ob es sich im eine Antwort E Mail handelt oder nicht Ist force nicht angegeben dann werden die Paramater Also add disclaimer to replies in reply to header set und Add disclaimer to all outgoing emails im Men Mail Processing gt Sektion Ruleset Generator gt Bereich gt General Settings ausgewertet Statt true kann auch yes oder 1 verwendet werden Der R ckgabewert ist immer positiv Dieser Befehl hat 3 Parameter Parameter Vorlage Definiert den Namen der Vorlage w
62. liefert die E Mail an den angegebenen E Mail Server Port aus Wird kein Parameter angegeben so wird die E Mail dem lokalen Mail Transport Agent MTA bergeben Hinweis e Alle nachfolgenden Befehle werden ignoriert e Dieser Befehl kann nicht die Bedingung einer if else Anweisung sein siehe Abschnitt if else Anweisungenlis Der R ckgabewert ist immer positiv Der Parameter hat 1 Parameter 2013 SEPPmail AG 213 Parameter Optionen zum Parameter loop Das E Mail wird an den Mailserver zur ckgegeben von welchem es angenommen wurde queueless Diese Einstellung bewirkt dass Mails an einzelne Empf nger w hrend der Verarbeitung nicht zwischengelagert werden Stattdessen wird die eingehende Verbindung erst quittiert wenn dieabgehende Verbindung quittiert wurde Wenn beim Versand an mehrere Empf nger die Annahme f r einige Empf nger nicht quittiert wird befinden sich diese Mails kurzzeitig bis zur Quittierung durch die empfangenden Mailserver auf der Appliance keine Option Der Befehl wird ohne Parameter aufgerufen Beispiel 1 deliver relay customer com 587 Erkl rung In diese Beispiel wird die E Mail an den angegebenen E Mail Server mit Zielport TOP 587 gesendet Beispiel 2 deliver Erkl rung In diesem Beispiel wird die E Mail direkt ber den eigenen lokalen E Mail Transport Agent MTA ausgeliefert 7 5 4 drop Der Befehl drop erm glicht es eine E Mail zur ckzuweisen Aufb
63. lokalen E Mail Olient sicher Es sind deshalb keinerlei Anpassungen der E Mail Clients erforderlich Der Benutzer hat innhalb seines E Mail Clients die folgenden Steuerungsm glichkeiten um E Mails verschl sselt zu versenden e W hlen Sie in MS Outlook die Nachrichtenoption Vertraulich e Geben Sie alternativ in der Betreffzeile das Tag secure ein Dies ist der im Standard definierte Begriff welcher einen verschl sselten E Mail Versand ausl st Neben dem Tag secure stehen weitere Begriffe zur Verf gung beispielsweise zur Signierung von E Mails Sie k nnen die Begriffe in der Konfigurationsoberfl che im Men Mail Processing in der Sektion Ruleset Generator einsehen und bei Bedarf anpassen F r weitere Details siehe Abschnitt Regelwerk verwalten 9A See TTT Sicherheit N Sicherheitseinstellungen f r diese Nachricht ndern Keine AutoArchivierung dieses Elements Abstimmungs und Verlaufoptionen Abstimmungsschaltfl chen verwenden Die bermittlung dieser Nachricht best tigen Das Lesen dieser Nachricht best tigen Antworten senden an bermittlung verz gern bis Ohne Nachricht l uft ab nach Ohne V Kopie der gesendeten Nachricht speichern Nachrichtenoption Vertraulich in Outlook 2013 SEPPmail AG 28 4 Microsoft Outlook Add In 41 Einleitung Das SEPPmail Add In f r Microsoft Outlook kann auf PC Sy
64. mit einem Benutzerzertifikat Die Signierung der E Mails mit einem S MIME Benutzerzertifikat erlaubt dem Empf nger die Authentizit t der E Mail mit seinem E Mail Client zu pr fen Damit wird sichergestellt dass der Absender authentisch ist und die E Mail w hrend und nach dem Versand nicht ver ndert wurde Bei dieser Methode wird f r jeden E Mail Absender ein eigenes S MIME Zertifikat ben tigt Wir empfehlen die Verwendung von Zertifikaten die durch einen ffentliche Zertifikatsanbieter ausgestellt wurden Sie k nnen diesen Vorgang automatisieren indem Sie einen der in die SEPPmail Appliance integrierten CA Connectoren zu verschiedenen offiziellen Zertifizierungsstellen verwenden Die Verbindung der SEPPmail Appliance zu den ffentlichen Zertifikatsanbietern erm glicht Ihnen eine vollautomatisierte Ausstellung der Zertifikate ohne Betreuungsaufwand Alternativ k nnen E Mails auch im E Mail Client des jeweiligen Absenders signiert werden Das Secure E Mail Gateway SEPPmail wird diese E Mails dann nur noch verschl sseln Viele S MIME Zertifikate eignen sich sowohl zum Signieren als auch zum Verschl sseln Es kann deshalb sinnvoll sein die Zertifikate zus tzlich auf der SEPPmail Appliance zu installieren Dadurch k nnen E Mails mit den entsprechenden Zertifikaten automatisch entschl sselt werden Digitale E Mail Signatur mit einem Firmenzertifikat Die Signierung der E Mails mit einem S MIME Firmenzertifikat erf llt denselben Zweck
65. r den folgenden Zeitabschnitt Letztes Jahr Sektion Memory Usage Visualisation Sie sehen die aktive und totale Auslastung des Arbeitsspeichers Speicherauslagerungen sowie freie Kapazit ten des Arbeitsspeichers 2013 SEPPmail AG Parameter Today Last Week Last Year Last 3 Years Last Month 155 Beschreibung Arbeitsspeicher Statistiken f r den folgenden Zeitabschnitt heute Arbeitsspeicher Statistiken f r den folgenden Zeitabschnitt Letzte Woche Arbeitsspeicher Statistiken f r den folgenden Zeitabschnitt Letzten Monat Arbeitsspeicher Statistiken f r den folgenden Zeitabschnitt Letztes Jahr Arbeitsspeicher Statistiken f r den folgenden Zeitabschnitt Letzte 3 Jahre 2013 SEPPmail AG 156 6 13 Men punkt Users W hlen Sie den Men punkt Users um die internen Benutzer der SEPPmail Appliance zu verwalten Folgende Vorg nge werden in den kommenden Abschnitten beschrieben bersichtl158 Benutzer erstellenl15 amp Benutzer verwalten 15 6 13 1 bersicht Men punkt Users User ID Name des Benutzerkontos zur Anmeldung an der SEPPmail Konfigurationsoberfl che Tats chlicher Benutzername z B Robert Lander Anzahl der im Benutzerkonto installierten PGP Benutzerschl ssel S MIME Anzahl der im Benutzerkonto installierten S MIME Benutzerzertifikate Aktueller administrativer Status des Benutzer 6 13 2 Interne Benutzer erstellen Men Users Zum Erstellen eines neu
66. ren Fehler abgewiesen 7 7 3 Idap_getcerts Der Befehl Ldap getcerts erm glicht es S MIME Public Keys bei einem LDAP Verzeichnisdienst abzurufen Aufbau des Befehls ldap getcerts URI USER PASSWORD BASEDN Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl erm glicht es S MIME Public Key f r jeden Empf nger einer E Mail bei einem LDAP Verzeichnisdienst anzurufen Der R ckgabewert ist immer positiv Dieser Befehl hat 1 Parameter Paramater Beispiel URI Idap directory domain tid USER Benutzername zur Anmeldung am LDAP Verzeichnis PASSWORD Kennwort zur Anmeldung am LDAP Verzeichnis BASEDN ou pki participant dc pki dce domain dc tld Die IP Adresse oder der Name des LDAP Servers Es k nnen auch zwei mit Komma getrennte Werte angegeben werden In diesem Fall wird automatisch auf den zweiten Server zugegriffen wenn der erste nicht erreicht werden kann USER Der User welcher f r den Zugriff verwendet werden soll PASSWORD Das Passwort des Users BASEDN Die Base DN Distinguished Name f r die Abfrage 2013 SEPPmail AG 232 Beispiel lcap getcerte l Leem rectory Comala tlee p 2oupkei Leet lemer de domain de tld Erkl rung In diesem Beispiel wird f r den Empf nger einer E Mail der S MIME Public Key bei einem LDAP Verzeichnisdienst abgefragt Der Zugang zu diesem LDAP Verzeichnisdienst ist ffentlich deshalb sind keine Anmeldeinformationen erford
67. st ndig mit dem Clusterverbund synchronisiert Alle Daten auf diesem System mit Ausnahme der Einstellungen in den Men s System und SSL sowie den Log Dateien und Statistiken in den Men s Logs Webmail Logs und Statistics gehen verloren Dies ist insofern wichtig falls sich auf diesem System noch ben tigte Daten wie z B S MIME Zertifikate PGP Schl ssel GINA Benutzerkonten etc befinden Weiterhin ist es sehr wichtig zu verstehen in welcher Reihenfolge SEPPmail Systeme einem bestehenden Clusterverbund hinzugef gt werden m ssen bzw welches System die Replikationsquelle und welches System das Replikationsziel ist Falls Sie diese Systeme beim erstellen eines neues Clusterverbunds verwechseln so kann es passieren dass ein bestehendes und eingerichtetes SEPPmail System mit leeren Daten des neu hinzugef gten Systems berschrieben wird Noch viel wichtiger ist dies bei einem bestehenden Clusterverbund der bereits aus mehreren Cluster Member Systeme besteht Das Verwechseln von Replikationsquelle und Replikationsziel bedeutet in diesem Fall den kompletten Clusterverbund mit leeren Daten des neuen Systems zu berschreiben Der gesamte Clusterverbund w re dann unbrauchbar Bitte bedenken Sie dies bei der Konfiguration 2013 SEPPmail AG 138 6 10 6 3 Konfiguration der VMware ESX Umgebung F r den Aufbau und Betrieb eines SEPPmail Clusters auf Basis virtueller Maschinen in einer VMware ESX Umgebung ist es erfor
68. tzlichen GINA Domain als Pfad unterhalb der Default GINA Domain verwendet wird Um dieses Verhalten zu optimieren kann es sinnvoll sein keinen separaten FQDN als Hostnamen f r die zus tzliche Domain zu verwenden sondern einen einfachen Pfadnamen Beispiel GINA Hostname customerDomainl mypath GINA URI eingebettet in der Secure Webmail f r customerDomainl https secmail customer com mypath web app op init Ersetzen Sie den Pfad mypath durch einen f r Sie passenden Wert Verhalten mit zus tzlichen GINA Domains und MIT aktiviertem virtuellen Hosting Bei aktiviertem virtuellem Hosting sind die GINA Portale der zus tzlichen GINA Domains ber eine eigenst ndige URL erreichbar Innerhalb jeder zus tzlichen GINA Domain muss ein eindeutiger FODN als Hostname eingetragen werden Beispiel GINA Hostname Default 2013 SEPPmail AG 86 secmail customer com GINA URL eingebettet in der Secure Webmail Default https secmail customer com web app op init GINA Hostname customerDomainl secmail customerl1 com GINA URI eingebettet in der Secure Webmail f r customerDomainl https secmail customerl1 com web app op init Parameter Secure GINA track access Diese Funktion erm glicht eine differenzierte R ckmeldung von Lesebest tigungen f r versendete GINA Nachrichten Wird eine GINA Nachricht mit Anforderung der Lesebest tigung an mehrere Empf nger verschickt wird dem Absender nur
69. und installiert es automatisch Prefetch reboot manually L dt ein vorhandenes Update herunter installiert es aber nicht Die Installation erfolgt erst nach dem n chsten Reboot Schaltfl che Check for Update Klicken Sie auf die Schaltfl che Check for Update um Online nach verf gbaren Softwareupdates f r SEPPmail zu suchen Falls ein Update zur Verf gung steht wird Ihnen dies angezeigt Zus tzlich wird ebenfalls eine Release Information angezeigt Schaltfl che Fetch Update Zum Installieren eines vorhandenen Updates klicken Sie auf die Schaltfl che Fetch Update Dieser Vorgang kann zeitaufw ndig sein wenn das gelieferte System noch eine ltere Firmware enth lt und deshalb mehrere Updates durchgef hrt werden m ssen Nach jedem Update erfolgt ein Reboot des Systems Wiederholen Sie diesen Schritt bis keine verf gbaren Updates mehr angezeigt werden Das System optimiert diesen Update Prozess so dass nicht f r jede Zwischenversion ein Update installiert werden muss sondern nur f r die Updates welche die Datenstruktur ver ndern Schaltfl che Prefetch reboot manually F r Kunden mit einer Netzwerkinfrastruktur in der Updates nur innerhalb daf r vorgesehener Zeitr ume durchgef hrt werden k nnen Wartungsfenster kann ein Softwareupdate vorab heruntergeladen werden Das eigentliche Update k nnen Sie im Wartungszeitraum durch Neustarten des SEPPmail Systems durchf hren ber die Schaltfl ch
70. uursssnsennnnnnnnnnnnnnnnnn nn 20 Installations PC eihrichten 2 22 2 2 2 44 422520242220202 EREEeEEEEEEEEEEEENEEEEEEEE EES RNENSE EE ani Login als Administrator nunnssenessnnnnnannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn Netzwerkeinstellungen der SEPPmail Appliance Host und Domainnamen vergeben nnuunssannnnannnnnnnnnnnnnnnnnnnnnnn NetzwerkkK nfiguration pr fen ssssessnsssnssuiseseisnnanssennenengrerunssn antun eE Pa Aa r AER AAR EES EES Das System auf den neusten Stand bringen uuussesnnnnsnnnnnnennnnnnnnnnnnennnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnenn REGER E E E 7 Wichtige Sicherheitsmassnahmen ursusssennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn Administrator Kennwort and o e rea aea a eE reana E Raa a E A EE SaO Aaaa aaaeaii 24 Festlegen des HTTPS Protokolls f r den sicheren Zugriff ZUM System uunsennenennnnnonnnnnnnnnnnnnnennnenn 24 Backup Benutzer erstelle ia e e a e a a aa E e A aaraa aa eSa ada Esada iaeiaiai 24 8 Weitere Schritte 2 n Hin r a 25 E Mail D tenfluss umstellen 2 2 RR ae RR Erb 25 E M il Glients verwenden 02a RN 27 Microsoft Outlook Add In 28 1 Einleitung Lee gegen reines 28 2 Systemanforderungen 2 u nn ne 28 BADIAN Aa RE 29 4 Installation s ae ann 29 Installation mit Benutzeroberfl che ursssssnsssnnuonnunnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnannennnunnnennnnnnnensnnnnrennnnnnann 30 2013 SEPPmail AG Part V Part
71. wie die Signierung mit einem S MIME Benutzerzertifikat Bei dieser Variante wird jedoch nur ein einziges Zertifikat ben tigt Da S MIME Zertifikate grunds tzlich nur f r eine E Mail Absenderadresse g ltig sind erhalten alle ausgehenden E Mails den gleichen technischen Absender E Mails erscheinen beim Empf nger immer mir derselben E Mail Adresse aber korrektem Benutzernamen Die automatische Erfassung von Kontakten und zugeh rigen E Mail Adressen funktioniert dadurch beim Empf nger nicht mehr wie erwartet Ebenso sind an anderen Stellen Schwierigkeiten zu erwarten So besteht z B die Gefahr dass alle Ihre Firmen E Mails abgewiesen werden wenn die verwendete Absenderadresse beim Empf nger f lschlich als SPAM eingestuft wird 2 3 Zentraler Firmen E Mail Disclaimer Das Secure E Mail Gateway SEPPmail kann Ihre E Mails mit einem Firmen E Mail Disclaimer erg nzen Es werden Disclaimer im Text oder HTML Format unterst tzt Nutzen Sie den zentralen Firmendisclaimer um einen einheitlichen Text oder Angaben wie Adresse und Firmeninhaber an alle E Mails anzuh ngen Beispiel im Textformat Firma AG Musterstrasse 1 1234 Musterstadt www meinefirma ch 2013 SEPPmail AG 13 2 4 E Mail Contentpr fung durch Virus Spam and Phishing Protection Protection Pack SEPPrmail Protection Pack Virus SPAM and Phishing Protection ist als Option erh ltlich und sch tzt Sie vor SPAM unerw nschten E Mails Viren sch dlichen E
72. 00000 0 gt Solarwinds Net b A Sonic AR Sony Corporation Er UsageTimeStamp REG_SZ 2012 4 11 17 26 18 Computer HKEY_CURRENT_USER Software SEPPmail OutlookAddIn Registry HKEY_CURRENT_USER Der Zeitstempel UsageTimeStamp in HKEY_CURRENT_USER wird dabei mit der aktuellen Uhrzeit belegt Hierdurch wird erm glicht dass die Einstellungen zu den Schaltfl chen individuell f r den User eingestellt werden k nnen ohne dass die Einstellungen f r andere Benutzer beintr chtigt werden Ist der Zeitstempel UsageTimeStamp von HKEY_CURRENT_USER neuer als der in HKEY_LOCAL_MACHINE dann werden immer die Werte aus HKEY_CURRENT_USER vom Add In verwendet 2013 SEPPmail AG 37 4 7 Versand von E Mails Beim Versand von E Mails werden die folgenden Felder je nach der Status der Schaltfl chen in einen separaten Header der E Mail geschrieben Parameter x Smenc x smsign x smwebmail 2013 SEPPmail AG 38 5 SEPPmail IronPort Anbindung Achtung Wichtig ist die aktuelle Policy des IronPort Systems zu verstehen bevor nderungen durchgef hrt werden Konfigurationsvorschlag Alle einkommenden E Mails werden von IronPort empfangen und auf SPAM und Viren gepr ft Alle soweit gepr ften E Mails werden an SEPPmail weitergeleitet wo diese gegebenenfalls entschl sselt und zur IronPort zur ckschickt werden Dort werden alle E Mails jetzt auch die entsch
73. 7 3 2 member o Der Befehl member of erm glicht es zu pr fen ob ein Absender einer bestimmten Gruppe zugeordnet ist Aufbau des Befehls menberorl lcgBoup Der Befehl mu mit einem Semikolon abgeschlossen werden Als Gruppe wird eine lokale SEPPmail Gruppe bezeichnet Diese Gruppen werden im Men Groups verwaltet Der R ckgabewert ist positiv wenn der Absender der angegebenen Gruppe zugeordnet ist sonst negativ Dieser Befehl hat 1 Parameter Parameter group Definiert den Namen der Gruppe gegen den die E Mail Adresse des Absenders als Mitglied gepr ft werden soll Beispiel if member of support setheader x smenc yes else Erkl rung In diesem Beispiel wird gepr ft ob der Absender Mitglied der Gruppe support ist Falls ja dann wird als R ckgabewert true geliefert und der Befehl setheader wird ausgef hrt Falls nein wird als R ckgabewert false geliefert 7 3 3 setuserattr Der Befehl setuserattr erm glicht es Zusatzinformationen f r den aktuellen Benutzer zu speichern Aufbau des Befehls setuserattr ATTR VALUE Der Befehl mu mit einem Semikolon abgeschlossen werden Es wird eine zus tzliche Variable f r den aktuellen Benutzer gesetzt Der User mu authentifiziert sein Der R ckgabewert ist immer positiv Der Befehl hat 2 Parameter 2013 SEPPmail AG 207 Hinweis e F r VALUE k nnen Variablen benutzt werden die durch Idap
74. AG 160 Schaltfl che Parameter Beschreibung Expires on Ablaufdatum des Zertifikats Sektion PGP Schaltfl che Parameter Beschreibung Import PGP key vorhandenes PGP Schl sselpaar importieren Generate new PGP key neues PGP Schl sselpaar f r den Benutzer die SEPPmail selbst generieren Key ID Schl ssel ID des Schl sselpaars User ID Benutzer ID des Schl sselpaars Issued on Ausstellungsdatum des Schl sselpaars Expires on Ablaufdatum des Schl sselpaars Sektion Remote POP3 Geben Sie die POP3 Authentifizierungsdetails des Benutzers ein um E Mails des Benutzers regelm ssig von einem POP3 Server abzurufen Parameter Beschreibung Mail server IP Adresse oder Hostname des POP3 E Mail Servers von dem E Mails abgeholt werden sollen 2013 SEPPmail AG 161 6 14 Men punkt Groups W hlen Sie den Men punkt Groups um die Gruppenstruktur der SEPPmail Appliance zu verwalten Folgende Vorg nge werden in den kommenden Abschnitten beschrieben bersicht 16 Gruppen erstellenl1e Gruppen verwalten 169 Benutzer zuweisen und entfernenheA 6 14 1 bersicht Men punkt Groups Wollen Sie zus tzlich zum Benutzer admin weiteren Benutzern administrative Rechte an der Konfigurationsoberfl che geben so k nnen Sie einen Benutzer zum Mitglied unterschiedlicher Gruppen machen Die Gruppenstruktur entspricht im wesentlichen den einzelnen Men punkten Sie haben ber den Men punkt Groups
75. Befehls ist positiv wenn der Parameter wert mindestens einmal vorkommt sonst negativ Dieser Befehl hat 3 Parameter Parameter Header Feld Gibt das Header Feld an dessen Inhalt gegen den Inhalt des Parameters Wert vergleichen werden soll Als Header Felder k nnen alle Header in einer E Mail verwendet werden Beispiele f r den Parameter Header Feld e return path e from e to e subject e envelope to e etc 2013 SEPPmail AG 188 Parameter Operator equal vergleicht auf Gleichheit match pr ft auf das Zutreffen eines regul ren Ausdrucks substit ist gleich wie match entfernt aber den zutreffenden Teil von Wert aus Header Feld use Hinweis Codierte Felder werden vor dem Vergleich decodiert Die Sonderzeichen Tabulator Wagenr cklauf Zeilenvorschub und Seitenende werden vor einem Vergleich mit dem Operator equal entfernt Parameter Wert Gibt den Wert an gegen den Vergleichen werden soll Dieser Wert kann auch ein regul rer Ausdruck sein Beispiel 1 compare x smenc equal yes Erkl rung Dieses Beispiel pr ft ob das Header Feld x smenc exakt den Wert yes beinhaltet Dies bedeutet nicht dass der Wert yes lediglich vorhanden ist sondern dass der Wert ausschlie lich yes beinhaltet Beispiel 2 if compare to match cusomer com tagsubject nosign else Erkl rung Dieses Beispiel pr ft bei einer ausgehenden E Mail im Header Feld to m
76. Beispiel wird im Header Feld subject aus der Zeichenkette Herr M ller wird die normalisierte Form Herr Mueller Beispiel 2 normalize header to Erkl rung IE In diesem Beispiel wird im Header Feld to aus der Zeichenkette lt Bernd H nsel gt bernd 2013 SEPPmail AG 196 haensel customer com die normalisierte Form lt Bernd Haensel gt bernd haensel customer com 7 2 12 notify Der Befehl notify erm glicht es eine E Mail Benachrichtigung bez glich einer durch SEPPmail verarbeiteten E Mail zu versenden Aufbau des Befehls notify Empf ngeradresse Vorlage From System Admin lt admin securemail com gt X MyHeader Test Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl erzeugt eine E Mail Banachrichtigung und sendet diese an die Empf ngeradresse Die Empf ngeradresse kann neben einer E Mail Adresse auch die Variable sender f r die Absender E Mail Adresse oder die Variable admin f r die E Mail Adresse des lokalen Administrator sein Das Aussehen der E Mail wird mit der Vorlage definiert Der dritte Parameter erm glicht es zus tzlich eigene Header einzuf gen Mehrere Header k nnen mit einem getrennt werden Der R ckgabewert ist immer positiv Dieser Befehl hat 3 Parameter Parameter Empf ngeradresse Dieser Parameter kann die folgenden Werte enthalten recipient customer com E Mail Adresse z B robert lander customer com Variable
77. CTLEVEL 2013 SEPPmail AG 235 Dieser Parameter definiert den Punktwert ab dem eine E Mail als SPAM abgewiesen wird Wertebereich 0 5 9 5 Schrittweite 0 5 Beispiel isepan 2 3 S EAM EE AS Erkl rung In diesem Beispiel wird eine E Mail auf SPAM berpr ft Der Parameter f r MARKLEVEL hat den Wert 2 5 Wird bei der SPAM Pr fung dieser Schwellwert erreicht bzw berschritten dann wird die E Mail mit dem TAG SPAM markiert Das TAG wird an den Betreff angeh ngt Wird der Schwellwert von 4 5 f r REJECTLEVEL erreicht oder berschritten dann wird die E Mil abgewiesen und nicht empfangen 7 8 3 partoftype Der Befehl partoftype erm glicht es den Dateityp von E Mail Dateianlagen zu bestimmen Aufbau des Befehls partoftype Typ Handlung Archivinhalte pr fen Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl pr ft ob die Dateianlagen einer E Mail einem bestimmten Typ entsprechen Die Handlung definiert was mit den Datenanlagen passiert wenn die Pr fung auf den Typ positiv ist Die Inhalte von Archivdateien werden durchsucht wenn Archivinhalte pr fen den booleschen Wert true hat Statt true kann auch yes oder 1 verwendet werden Der R ckgabewert ist immer dann positiv wenn das Ergebnis mindestens einer Pr fung der Dateianlagen einer E Mail positiv ist sonst ist er negativ Der Befehl hat 3 Parameter Parameter Typ Weitere Informationen zum Parameter Typ
78. D SEPPMAIL SWISS E MAIL SECURITY SEPPmail Version 6 5 3 Benutzerhandbuch mit Ruleset RR III SEPPmail AG Industriestrasse 7 CH 5432 Neuenhof 41 56 6482838 fon 41 56 6482839 fax info seppmail ch mail www seppmail ch Part Part Il Part Ill Part IV Inhaltsverzeichnis Vorwort 8 Einleitung 9 1 Sichere E Mail Kommunikation durch Verschl sselung ursussrnennnennnnnn 10 2 Digitale E Mail Signaturen uuussnnssnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nun 12 3 Zentraler Firmen E Mail Disclaimer usnssssnnnrnnnnnenn anne nenn nennen nennen 12 4 E Mail Contentpr fung durch Virus Spam and Phishing Protection Protection Pack unsusssnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 13 5 Kompatibilit t zu anderen Secure E Mail Systemen usnussennsnnnnnnnnnnnnnnn ann 13 6 Remote Administration mittels Web Portal unsrenssrennnnennnnnnnnnnnnnnnen nennen 13 Inbetriebnahme der Secure E Mail Gateway Appliance 14 E Te Sie E UE DE 14 2 Integration der Appliance in Ihre E Mail Umgebung Standard Konfiguration ueusssesnsnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 14 3 Ben tigte Informationen zur Inbetriebnahme ursssneennnnnnnnnnnnnnnnnn nn 16 4 SEPPmail Appliance anschlieseen AAR 18 5 Firewall Router einrtchten EEN 18 6 Netzwerkeinstellungen und Systemregistrierung
79. Distinguished Name f r die Abfrage FILTER Der Filter f r die Abfrage Das Attribut welches abgefragt werden soll VALUE Der Wer welcher im Attribut vorkommen soll Beispiel Es soll gepr ft werden ob der aktuelle Benutzer der Gruppe Meinegruppe angeh rt Die Anweisung sieht wie folgt aus EE EE ENEE ee OU ZSBSUsSEers OU TE OU MyBusiness DC Firma DC local mypassword OU SBSUsers OU Users OU MyBusiness DC Firma DC local mail sender memberOF Meinegruppe 2013 SEPPmail AG 230 Erkl rung e Sollte das angegebene Attribut oder der gesuchte Eintrag nicht existieren so ist der R ckgabewert negativ Sollten mehrere Eintr ge gefunden werden so wird nur der erste ausgewertet Sollten mehrere Attribute vorhanden sein so werden alle Attribute ausgewertet Multi value Falls keiner der angegebenen LDAP Server erreichbar ist so wird die Mail mit einem tempor ren Fehler abgewiesen 7 7 2 Idap_read Der Befehl Idap_read erm glicht es einen in einem LDAP Verzeichnis abgelegten Wert auszulesen Aufbau des Befehls ldap _read URI USER PASSWORD BASEDN FILTER ATTR VAR Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl baut eine Verbindung zu einem LDAP Server auf und speichert den Wert des abgefragten Attributs in der Variable VAR Der R ckgabewert ist positiv wenn der Variablen VAR ein Wert zugewiesen werden kann sonst negat
80. EPPmail AG 21 3 6 2 Login als Administrator S mtliche Verwaltungsm glichkeiten der SEPPmail Appliance stehen ber eine webbrowserbasierten Konfigurationsoberfl che zur Verf gung Im Auslieferungszustand k nnen Sie die Konfigurationsoberfl che unter der folgenden Adresse erreichen LAN1 https 192 168 1 60 8443 LAND https 192 168 2 60 8443 Der Standard Benutzername lautet admin Das Standard Kennwort lautet admin Hinweis Sie erhalten in diesem Stadium die Meldung No valid license found Please obtain a valid license da die SEPPmail Appliance mit einer tempor ren Lizenz ausgeliefert wird Folgen Sie den weiteren Anweisungen in diesem Kapitel um Ihr System grundlegend einzurichten und zu registrieren Dadurch erhalten Sie eine permanente Lizenz und k nnen die SEPPmail Appliance in vollem Umfang nutzen Beim Aufruf der Konfigurationsoberfl che im Webbrowser erhalten Sie eine Fehlermeldung mit dem Hinweis da das SSL Zertifikat der Webseite ung ltig ist W hlen Sie die Option diese Seite trotzdem aufzurufen Hinweis Die Meldung erscheint nur anf nglich bis ein g ltiges SSL Zertifikat installiert wurde siehe Men punkt SSL 108 3 6 3 Netzwerkeinstellungen der SEPPmail Appliance Um die Netzwerkparameter Ihrer SEPPmail Appliance zu konfigurieren klicken Sie in der Konfigurationsoberfl che auf den Men punkt System Sektion IP Addresses Interface 1 IP Adresse IP Adresse im Netzwe
81. GINA Benutzerkonten und Managed E Mail Domains werden dem Default Customer zugewiesen Weisen Sie dieselbe GINA Domain keiner Managed E Mail Domains zu die einem anderen Kunden zugeordnet ist wie die GINA Domain selbst 2013 SEPPmail AG 181 Jedem Kunden k nnen ein oder mehrere Benutzer als spezielle Kunden Administratoren zugewiesen werden Diese zugewiesenen Kunden Aministratoren verwalten die dem Kunden zugewiesenen GINA Benutzerkonten und die GINA Domains die den Managed E Mail Domains des Kunden zugeordnet sind Wenn Sie die Funktion Multitenancy das erste Mal aktiviert wird dann wird auch der Standard Kunde Default Customer erzeugt Alle zu diesem Zeitpunkt angelegten Managed E Mail Domains Benutzerkonten und GINA Benutzerkonten werden dem Standard Kunden Default Customer zugewiesen Das System arbeitet weiter wie zuvor Nur wenn Kunden angelegt werden und diesen Kunden Managed E Mail Domains Kunden Administratoren GINA Benutzerkonten optional und Benutzerkonten zugewiesen werden ver ndert sich das Verhalten in der Verarbeitung von E Mails zuvor beschrieben Der spezielle Kunde No Customer wird ebenfalls automatisch erzeugt wenn die Funktion Multitenancy das erste Mal aktiviert wird Diesem Kunden sollen alle GINA Benutzerkonten zugewiesen werden die sonst keinem Kunden zugewiesen wurden Diese GINA Benutzerkonten sollen nicht verwendet werden 6 20 1 Neuen Kunden erstellen Men Cust
82. IME Benutzerzertifikat herunterladen oder l schen Men X 509 Certificates Um ein S MIME Benutzerzertifikat von der SEPPmail auf Ihren PC herunterzuladen klicken Sie auf die E Mail Adresse des Zertifikats Zum Herunterladen des S MIME Benutzerzertifikats w hlen Sie die Schaltfl che Download Certificate M chten Sie hingegen das S MIME Benutzerzertifikat l schen w hlen Sie die Schaltfl che Delete Certificate 2013 SEPPmail AG 174 6 18 Men punkt X 509 Root Certificates W hlen Sie den Men punkt X 509 Root Certificates um die X 509 Root CA Zertfikate der vertrauensw rdigen Zertifizierungsstellen auf der SEPPmail Appliance zu verwalten Folgende Vorg nge werden in den kommenden Abschnitten beschrieben bersichtl17 X 509 Root Zertifikate importierenl 73 X 509 Root Zertifikate herunterladen oder l schenli7dl X 509 Root Zertifikate vertrauen 178 6 18 1 bersicht Men punkt X 509 Root Certificates Die SEPPmail Appliance beinhaltet bereits im Auslieferungszustand eine umfangreiche Liste mit X 509 Root Zertifikaten Diese Liste umfa t die g ngigsten ffentlichen Zertifizierungsstellen Im produktiven Betrieb kann jedoch es erforderlich sein diese Liste mit eigenen X 509 Root Zertifikaten von Kommunikationspartnern zu erweitern oder bereits importierte X 509 Root Zertifikate zu l schen Trust State aktueller Vertrauenstatus des Zeritikats Issued by Ausgestellt von Parameter Trust State
83. MIME Zertifikate Schl sselpaare wird f r jedes Schl sselpaar ein Benutzerkonto angelegt Jedem Benutzerkonto wird das passende S MIME Schl sselpaar automatisch zugeordnet Schaltfl che Import S MIME certificates Bestehende S MIME Public Keys k nnen Sie mit dem Klick auf die Schaltfl che Import S MIME certificates einlesen Die eingelesenen Zertifikate werden im SEPPmail eigenen Zertifikatsspeicher abgelegt Die eingelesenen S MIME Public Keys finden Sie im Men X 509 Certificates 2013 SEPPmail AG 121 6 9 8 Ausgehende Supportverbindung herstellen Men Administration gt Sektion Establish Support Connection Mit der Schaltfl che Establish Support Connection wird eine Verbindung zum Hersteller ge ffnet Verwenden Sie diese Funktion nur auf Anweisung des Herstellers Damit die Verbindung aufgebaut werden kann muss auf Ihrer Firewall bzw Ihrem Router Port TCP 22 SSH von der SEPPrmail Appliance ins Internet ge ffnet sein Um eine eingehende Supportverbindung herzustellen klicken Sie in der Konfigurationsoberfl che auf den Men punkt Administration und anschlie end auf die Schaltfl che Connect 2013 SEPPmail AG 122 6 10 Men punkt Cluster Dieses Kapitel beschreibt die grunds tzliche Funktionsweise und die Verwaltung des SEPP mail Cluster Sie erfahren welche Cluster Betriebsarten durch SEPPmail unterst tzt werden und wie Sie diese in der Konfigurationsoberfl che einricht
84. MTAs mit dem in den folgenden Abschnitten erl uterten Verfahren unterst tzen Im SEPPmail System kann der externe bzw der interne MTA auf mehrere Arten konfiguriert werden e Angabe einer IP Adresse e Angabe eines Hostnamens e Angabe einer Domain f r die ein MX Lookup durchgef hrt wird Die Unterscheidung zwischen IP Adresse Hostname und Domain erfolgt mittels eckiger Klammern f IP Adressen und Hostnamen m ssen in eckigen Klammern angegeben werden Domains f r die ein MX Lookup durchgef hrt wird ohne eckige Klammern Das SEPPmail System kann redundante externe oder interne MTAs unterst tzen indem f r den externen und den internen MTA je eine nur intern verf gbare Dummy Domain konfiguriert wird F r jede Dummy Domain werden 2 MX Records mit unterschiedlichen Preferences im internen DNS angelegt Das SEPPmail System leitet E Mails standardm ssig an den Host mit der niedrigsten Preference weiter Beim Ausfall dieses Hosts werden E Mails automatisch an den Host mit der h heren Preference geleitet Das einrichten der Hostnamen f r die redundanten internen und externen MTAs f hren Sie im Men Mail System durch 2013 SEPPmail AG 131 Load Balancing Cluster redundante interne und externe MTAs redundante interne redundante externe E Mail Server Cluster Member Primary E Mail Server IP 10 10 0 9 vollautomatische Synchronisierung Cluster Member Secondary IP 10 10 0 10 vir
85. Mail Domains Schaltfl che Profile W hlen Sie die Schaltfl che Profile um die eigenen Profildaten anzuzeigen Schaltfl che Edit profile W hlen Sie die Schaltfl che Edit profile um die eigenen Profildaten zu ndern Sie k nnen die folgenden Daten ndern e Name e Sprachvariante der Webmail Oberfl che e Mobilfunkrufnummer Schaltfl che Change password W hlen Sie die Schaltfl che Change password um das pers nliche Kennwort und die Sicherheitsfrage zum Wiederherstellen eines Kennwortes zu ndern Schaltfl che Keys Certificates W hlen Sie die Schaltfl che Keys Certificates um eigene S MIME Public Keys oder PGP Public Keys zum SEPPmail System hochzuladen Diese Zertifikate und Schl ssel k nnen zuk nftig genutzt werden um Ihnen S MIME oder PGP verschl sselte E Mails zu senden Ebenfalls haben Sie die M glichkeit S MIME oder PGP Public Keys von internen Mitarbeiten herunterzuladen um diesen ebenfalls S MIME oder PGP verschl sselte E Mails zu senden 2013 SEPPmail AG 82 6 6 1 8 GINA Self Service Passwort Management Die Funktion Self Service Passwort Management SSPM erm glicht es dass vergessene Kennworte vom Empf nger automatisch und ohne Sicherheitsrisiken via Mobiltelefon neu generiert bzw angefordert werden k nnen Diese Funktion steht optional zur Verf gung Sie ben tigen dazu eine separate Lizenz Ob Ihr SEPPmail System bereits f r die Nutzung lizenzi
86. Mails und Phishing E Mails gef lschten E Mails Die Antivirus Komponente aktualisiert konfinuierlich ihre Virendefinitionen und f hrt automatisch Virenpr fungen Ihrer E Mails durch SPAM E Mails werden durch den integrierten und einfach zu konfigurierenden SPAM Filter wirksam bek mpft Dieser basiert auf der Kombination verschiedener Filtertechniken wie Greylisting Blacklisting Bayes sche Filter und SMTP Protocol Checks Phishing Attacken werden durch GINA Nachrichten verhindert indem der Empf nger sowohl die verschl sselte Nachricht selbst wie auch ein Kennwort zum Abruf ben tigt Hinweis beim Einsatz mit bestehenden Antiviren Systemen Die SEPPmail Appliance kann auch mit bereits vorhandenen Antiviren Systemen eingesetzt werden Beachten Sie jedoch dass SEPPmail die E Mails verschl sselt versendet empf ngt Um E Mails auf Viren zu berpr fen m ssen diese in unverschl sselter Form vorliegen F hren Sie deshalb die Virenpr fung nach der Entschl sselung in Ihrem internen Netzwerk durch z B auf Ihrem internen E Mail Server falls Sie Ihr bestehendes Antiviren Produkt weiterhin einsetzen m chten 2 5 Kompatibilit t zu anderen Secure E Mail Systemen Aufgrund der zentralen E Mail Verarbeitung und Schl sselverwaltung l sst sich SEPPmail transparent in Ihre E Mail Infrastruktur integrieren Alle anerkannten und sicheren Standard Verschl sselungstechniken sind implementiert Die Kompatibilit t zu den g ngigen Secure
87. Mails wahlweise an eine dieser aufgel sten IP Adressen senden Da es sich hierbei jeweils um virtuelle Cluster IP Adressen handelt reagieren die Cluster Member Systeme je nach Priorit t z B im Fehlerfall Durch die DNS Round Robin Funktion kann f r den ein und ausgehenden E Maildatenfluss eine Lastverteilung erreicht werden Quelle Wikipedia http de wikipedia orao wiki Lastverteilung per DNS auch auszugsweise in diesem Kapitel wiedergegeben Das einrichten der virtuellen IP Adressen und das Zuweisen den Priorit ten f hren Sie im Men System durch 2013 SEPPmail AG 130 Load Balancing Cluster DNS Round Robin Verfahren virtuelle Cluster IP Adresse 10 10 0 1 interner E Mail Server externer E Mail Relay Server IP 10 10 0 9 IP 10 10 0 9 vollautomatische Synchronisierung Primary IP 10 10 0 10 IP 10 10 0 10 virtuelle Cluster IP Adresse 10 10 0 2 eingehende E Mails ausgehende E Mails DNS Round Robin Verfahren Abbildung 3 Schematische Darstellung der Lastverteilung durch das DNS Round Robin Verfahren f r ein und ausgehende E Mails Einsatz mit redundanten internen und externen MTAs Mail Transport Agent In der SEPPmail Konfiguration kann als externer MTA E Mail Relay genau 1 Host konfiguriert werden Analog kann pro interner E Mail Domain genau 1 interner MTA E Mail Server konfiguriert werden Das SEPPmail System kann redundante externe und interne
88. NA Benutzer kann sein Kennwort selbstst ndig zur cksetzen Zur Aktivierung und Best tigung dieser Aktion erh lt er eine E Mail Benachrichtigung mit einem Aktivierungslink Nach dem Best tigen dieses Aktivierungslinks wird das vom externen Benutzer zuvor neu eingegebene Kennwort aktiviert Ein Login mit dem neu gesetzten Kennwort ist nun m glich Auswahlwert Reset by hotline Der externe GINA Benutzer kann sein Kennwort nicht selbstst ndig zur cksetzen Er gibt dazu seine Rufnummer an unter der er f r den Support erreichbar ist Nach berpr fung durch die Sicherheitsfrage erh lt er vom Support Mitarbeiter ein neues Einmalkennwort zum n chsten Login Nach dem Login ist es erforderlich ein neues pers nliches Kennwort erfassen Ein Login mit dem neu gesetzten Kennwort ist nun m glich Auswahlwert Reset by hotline no reminder question answer Der externe GINA Benutzer kann sein Kennwort nicht selbstst ndig zur cksetzen Er gibt dazu seine Rufnummer an unter der er f r den Support erreichbar ist Eine berpr fung durch die Beantwortung einer Sicherheitsfrage ist nicht erforderlich Beim Erstmaligen Initialisieren des GINA Benutzerkontos ist es nicht erforderlich dass der Benutzer eine Sicherheitsfrage angibt Der Benutzer erh lt vom Support Mitarbeiter ein neues Einmalkennwort zum n chsten Login Nach dem Login ist es erforderlich ein neues pers nliches Kennwort erfassen Ein Login mit dem neu gesetzten Kennwort ist nun m
89. NA Users CSV Import Um GINA Benutzer zu importieren klicken Sie auf die Schaltfl che Import neben Import GINA Users CSV Die Datei Datei mit Benutzerinformationen muss im CSV Format vorliegen und folgende Syntax aufweisen EMAIL PASSWORD Die importierten Benutzer werden im Men GINA accounts angezeigt Schaltfl che Import openPGP secret keys Bestehende openPGP Schl sselpaare k nnen Sie mit einem Klick auf die Schaltfl che Import openPGP secret keys einlesen Sie k nnen die Schl ssel als Datei oder in Textform importieren Zus tzlich m ssen Sie den Passphrase des jeweiligen Schl ssels eingeben Wenn Sie eine gr ere Menge von OpenPGP Keys auf einmal importieren wollen m ssen diese Schl ssel in einer Schl sseldatei zusammengefasst vorliegen Beim Import der OpenPGP Schl sselpaare wird f r jedes Schl sselpaar ein Benutzerkonto angelegt Jedem Benutzerkonto wird das passende OpenPGP Schl sselpaar automatisch zugeordnet Schaltfl che Import S MIME keys Bestehende S MIME Zertifikate Schl sselpaare k nnen Sie mit einem Klick auf die Schaltfl che Import S MIME keys einlesen Die Zertifikate m ssen als Datei im Format PKCS 12 vorliegen Um eine gr ere Menge von S MIME Zertifikaten auf einmal zu importieren Bulk k nnen Sie diese in einem ZIP Archiv zusammenfassen Dieses ZIP Archiv darf keine Verzeichnisstruktur enthalten und nicht durch ein Kennwort gesichert sein Beim Import der S
90. PGP public keys X 509 Certificates X 509 Root Certificates Domain keys Prepare for Cluster use this key to add a different device to this device cluster Download Cluster Identifier Add this device to Cluster Identifier C Durchsuchen existing cluster Cluster Member IP IP of the device you went to connect to Do NOT use an IP alias address WARNING All data jel V fel Port 22 E IP address of this IP address other devices in the cluster can use to connect to this device Do NOT use an IP alias address configuration of this jevi I U 1 Port 22 device will be lost Connect start Add this device as Chatar Identifier LM frontend server no local database Existing Appliance IP IP or virtual IP of the device or cluster you went to connect to U l Port 22 Connect Tue Jun 21 04 18 33 CEST 2011 2010 SEPPmail AG Abbildung 1 Cluster Identifizierung herunterladen Em SEPPMAIL Login Home System Mail System Mail Processing SSL CA Administration Cluster Logs Webmail Logs Statistics SECU Users Groups Webmail accounts PGP public keys X 509 Certificates X 509 Root Certificates Domain keys Cluster Configuration ffnen von custera 222 m Prepare for Cluster use this key to add a different device to this device cluster Sie m c
91. PPmail AG 36 4 6 2 HKEY_CURRENT_USER Wenn die Option LMOnly false im Registry Zweig HKEY_LOCAL_MACHINE gesetzt ist Standard Wert dann wird beim Start von Microsoft Outlook gepr ft ob bereits Registry Werte f r das Add In im Bereich HKEY CURRENT USER Software SEPPmail OutlookAddIn bzw HKEY CURRENT USER Software Wow6432Node SEPPmail OutlookAddIn vorhanden sind Wenn ja wird der Zeitstempel UsageTimeStamp zwischen den Einstellungen aus HKEY_LOCAL_MACHINE mit denen aus HKEY_CURRENT_USER verglichen Sind die Einstellungen aus HKEY_LOCAL_MACHINE neuer oder keine Werte in HKEY_CURRENT_USER vorhanden dann werden die folgenden Einstellungen aus HKEY_LOCAL_MACHINE nach HKEY_CURRENT_USER kopiert P g Registrierungs Eaitor a O Datei Bearbeiten Ansicht Favoriten a J SEPPmail a 4 OutlookAddin Daten Wert nicht festgelegt Name ab Standard Typ REG_SZ p u SimonTatham gt bh Skype gt SkypeApps o SIpv24 A Smart File Advisor gt I Smart Projects s J Softerra eg eg 28 52 j 205 A deg Zeg o5 o Zeg Jee 35 53 SMEncrypt 5MEncryptSelected SMHelp SMSign SMSignSelected SMWarning SMWebmail SMWebmailSelected REG_DWORD REG_DWORD REG_DWORD REG_DWORD REG_DWORD REG_DWORD REG_DWORD REG_DWORD 0x00000001 1 0x00000000 0 0x00000000 0 0x00000001 1 0x00000000 0 0x00000001 1 0x00000001 1 0x000
92. Pmail AG 66 6 5 8 Blacklists Whitelists verwalten Men Mail System Sektion Blacklists Whitelists E Mail Server werden aufgrund von Spamming Aktivit ten in Blacklists aufgenommen Diese Listen werden durch verschiedene Anbieter im Internet gepflegt Um E Mails von solchen E Mail Servern abzuweisen tragen Sie entsprechende Realtime Blackhole Lists RBL in der Rubrik Blacklists ein Wenn Sie manuell Netzwerke blockieren oder explizit zulassen m chten tragen Sie diese in der Rubrik Manual Blacklisting Whitelisting ein Um beispielsweise alle E Mails vom Netzwerk 186 56 148 x zu verwerfen geben Sie 186 56 148 ein und definieren Sie die Aktion reject Netzwerke von denen Sie die Annahme von Mails explizit zulassen m chten deklarieren Sie hingegen mit der Aktion accept 2013 SEPPmail AG 67 6 6 Men punkt Mail Processing Dieses Kapitel beschreibt die Verwaltung des E Mail Regelwerks Folgende Vorg nge werden in den kommenden Abschnitten beschrieben GINA Webmail Schnittstelle 6 GINA Webmail Domains erstellen eg GINA Webmail Domains l schenl ei GINA Webmail Domains verwalten s amp GINA Webmail Layout verwalten zi GINA Webmail Sprachunterst tzung venwaltenlzzh GINA Self Service Passwort Management ai GINA Interne Verschl sselungl s Regeln zur Verarbeitung von Webmails verwalten 8 Webmail SMS Passwortversand verwaltenlse Disclaimer verwalten 90 E Mail Vorlagen Tem
93. Pmail System aber die Verbindung ber einen SOCKS Proxy Version 5 ins Internet m glich ist Connect through HTTP proxy Aktivieren Sie diese Option um SSH Verbindungen durch einen HTTP Proxy zu tunneln Diese Option kann verwendet werden wenn der direkte Zugang via SSH ins Internet reglementiert ist f r dass SEPPmail System aber die Verbindung ber einen HTTP Proxy ins Internet m glich ist Connect through Telnet Aktivieren Sie diese Option um SSH Verbindungen durch einen proxy Telnet Proxy zu tunneln Diese Option kann verwendet werden wenn der direkte Zugang via SSH ins Internet reglementiert ist f r dass SEPPmail System aber die Verbindung ber einen Telnet Proxy ins Internet m glich ist 2013 SEPPmail AG 51 Use port 80 instead of 22 Aktivieren Sie diese Option wenn eine HTTP Verbindung direkt ins Internet m glich ist Die SSH Verbindung verwendet dann den Port TCP mit Zielport 80 HTTP statt TCP mit Zielport 22 SSH TCP 22 Sektion Time zone Auswahl der Zeitzone W hlen Sie im Auswahlmen die f r den Standort des SEPPmail Systems g ltige Zeitzone aus Der Wechsel zwischen Sommer und Winterzeit wird automatisch durchgef hrt Sektion Time and Date Use current setting Bei dieser Option wird das aktuelle Datum und die aktuelle Uhrzeit der internen Systemuhr verwendet Automatically synchronize Bei dieser Option werden Datum und Uhrzeit gegen den with an NTP server angegebenen Zei
94. Port TCP 22 zum Update Server im SEPPmail Rechenzentrum aufzubauen d h alle physischen und virtuellen IP Adressen des SEPPmail Clusters e In einem Cluster werden die Konfigurationen der beiden SEPPmail Systeme automatisch synchronisiert mit Ausnahme der Einstellungen im Men System 2013 SEPPmail AG 146 6 10 6 9 Load Balancing Cluster einrichten Das zus tzliche Einrichten eines Load Balancing Clusters erfordert ein bereits funktionsf hig eingerichtetes Hochverf gbarkeitscluster Ein Load Balancing Cluster teilt den Datenfluss f r ein und ausgehende E Mails auf je ein Cluster Members System aus und erm glicht eine optimale Auslastung der vorhandenen Systemressourcen Jede Gruppe von Cluster Member Systemen erh lt zus tzlich zu den einzelnen physischen IP Adressen der Einzelsysteme eine virtuelle IP Adresse In Abh ngigkeit der zugewiesenen Priorit t werden die Systeme beim Ansprechen der virtuellen Cluster IP Adresse reagieren Haben zwei oder mehr Cluster Member Systeme die gleiche Priorit t im Clusterverbund so werden die Systeme in der Reihenfolge antworten in der diese gestartet wurden In dieser Dokumentation wird ein Clusterverbund aus zwei SEPPmail Systemen gezeigt Sie k nnen ebenfalls ein Cluster aus drei oder mehr Systemen einrichten In diesem Fall ist jede virtuelle Cluster IP Adresse als zus tzliche IP Alias Adresse anzulegen Bei der Konfiguration f r den Betrieb als Hochverf gbarkeitscluster
95. Pr fung der Dateianlagen einer E Mail positiv ist sonst ist er negativ Der Befehl hat 1 Parameter Parameter E Mail Addr f r Benachrichtigung Definiert die E Mail Adresse an die eine Benachrichtigung bei Virenfund gesendet wird Beispiel vscan antivirus admin customer com Erkl rung In diesem Beispiel wird eine E Mail Benachrichtigung an antivirus admin customer com gesendet wenn ein Virus gefunden wurde 2013 SEPPmail AG 237 79 Dateitypen 7 9 1 Liste der Dateitypen Folgende Dateitypen werden unterschieden CAB Mor e MSDOS Computable Rich Text Format Rich Text Format TAR TAR Archive 2013 SEPPmail AG 238 aD Beschreibung TARGA TARGA Bitmap TIFF TIFF Image ZIP PKZIP Archive ZOO Liste der Dateitypen 2013 SEPPmail AG 239 79 2 Gruppen von Dateitypen Folgende Gruppen von Dateitypen werden unterschieden iD Beschreibung Beinhaltete Dateitypen ARCHIVES Archivdateien ZIP ZIP SFX RAR LHARC LHA SQUISH UC2 ZOO TAR CAB BZIP GZIP Ausf hrbare EXE PE EXE COM E IS09660 HISIERRA ss Bilder JPEG BMP TIFF PNG GIF TARGA PBMPLUS NIFF FAX PCX LWF ICO JPG2000 EMF MEDIA Multimedia RIFF WAV RIFF AVI RIFF ANI RIFF MID RIFF MMF RIFF DIB RIFF RIFX MPEG VID MPEG SYS MPEG L3 MS ASF OFFICE Office Dokumente RTF PDF MS OFF MS XLS Gruppen von Dateitypen 2013 SEPPmail AG
96. Root Zertifikat auf Echtheit Um einem neuen automatisch importierten X 509 Root Zertifikat zu vertrauen w hlen Sie in der Konfigurationsoberfl che den Men punkt X 509 Root Certificates Anschlie end klicken Sie bei einem nicht vertrauten X 509 Root Zertifikat in der Spalte Trust State auf den Link Zum ndern des Vertrauensstatus verfahren Sie weiter wie im Abschnitt X 509 Root Zertifikat vertrauen 17d beschrieben 2013 SEPPmail AG 177 6 19 Men punkt Domain keys W hlen Sie den Men punkt Domain keys um die OpenPGP Domainschl ssel und S MIME Domainzertifikate der Kommunikationepartner auf der SEPPmail Appliance zu verwalten Folgende Vorg nge werden in den kommenden Abschnitten beschrieben bersichtl17N OpenPGP Domain keys importierenl73 OpenPGP Domain keys herunterladen oder l schenhr S MIME Domain keys importierenl17d S MIME Domain keys herunterladen oder l schenli7 Domain keys verwaltenh7d 6 19 1 bersicht Men punkt Domain keys Die SEPPmail Appliance bietet die M glichkeit automatisch S MIME Domainzertifikate anderer SEPPmail Systeme zu importieren Der Import dieser S MIME Public Domain keys erfolgt ber einen zentralen Update Dienst der durch die SEPPmail AG bereitgestellt wird Beim einrichten einer E Mail Domain ber die SEPPmail Konfigurationsoberfl che wird je nach Einstellung automatisch ein S MIME Domain Zertifikat erstellt Der ffentliche Teil dieses Zertifikat
97. SMHelp o deel deg Jee SMSign 9 SMSignSelected SMWarning SMWebmail o SMWebmailSelected o Tooltips Typ REG_SZ REG_DWORD REG_DWORD REG_DWORD REG_DWORD REG_DWORD REG_DWORD REG_DWORD REG_DWORD REG_DWORD REG_DWORD Registry Eintr ge des Microsoft Outlook Add In HKEY_LOCAL_MACHINE Bei der Installation werden nur Werte in den Registry Zweig HKEY_LOCAL_MACHINE geschrieben da die Installation des Add Ins f r alle Benutzer eines PCs Terminal Servers erfolgt Daten Wert nicht festgelegt 0x00000000 0 0x00000001 1 0x00000000 0 0x00000000 0 0x00000001 1 0x00000000 0 0x00000001 1 0x00000001 1 0x00000000 0 0x00000000 0 UsageTimeStamp REG_SZ 2012 4 11 9 59 35 Web Site REG_SZ http www seppmail com Registry HKEY_LOCAL_MACHINE Der Pfad in der Registry lautet HKEY LOCAL MACHINE SOFTWARE SEPPmail OutlookAddIn Auf 64bit Systemen wird da das Setup Paket im 32 bit Modus l uft der folgende Pfad verwendet HKEY LOCAL MACHINE SOFTWARE Wow6432Node SEPPmail OutlookAddIn In diesem Registry Key existiert ein Unterordner Key mit dem Namen Tooltips Hier werden in Ordnern pro Sprache die Tooltips f r die Schaltfl chen hinterlegt 2013 SEPPmail AG 35 Daten Wert nicht festgelegt Sichere Internet E Mail bermittlung nVersand Computer HKEY_LOCAL_MACHINE SOFTWARE Wow6432Node SEPPmail OutlookAddIn Tooltips DE er Registry Tooltips 2013 SE
98. Sektion Issue To Name or IP CN IP Adresse oder Hostname unter der SEPPmail aus dem Internet erreichbar ist Bei einem selbstsignierten Zertifikat muss der hier angegebene Werte dem Namen in der URL entsprechen unter der SEPPmail angesprochen wird Beispiel Soll SEPPmail unter der URL https securewebmail example tld angesprochen werden so lautet der im Feld Name or IP CN anzugebende Hostname securewebmail example tld E Mail Eine g ltige E Mail Adresse innerhalb der Firma unter der eine zust ndige Person erreicht werden kann Org Unit OU Name der zust ndigen Organisationseinheit optional Organization O Name der Organisation optional Locality L Ort in dem die Organisation ihren Sitz hat optional State ST Kanton Bundesland in dem die Organisation ihren Sitz hat optional 2013 SEPPmail AG 107 Country C Land in dem die Organisation ihren Sitz hat Sektion Attributes Key size bits Schl ssell nge in Bits M gliche Werte 1024 oder 2048 W hlen Sie als Schl ssell nge immer den Wert 2048 K rzere Schl ssel gelten nicht mehr als ausreichend sicher Signature F r diesen Parameter stehen die folgenden Werte zur Auswahl Create Erzeugt einen Zertifikatsantrag CSR zum Certificate Signieren von einer ffentlichen signing Zertifizierungsstelle request Create self Erzeugt ein selbstsigniertes SSL Device signed Zertifikat certificate
99. Sektion Large File Management Enable Large File Aktiviert oder Deaktiviert die Funktion Large File Management Management Days to store Large Files Zeitspanne in Tagen zur Vorhaltung der zwischengespeicherten Dateien Threshold for Large Files Gr e der E Mail in KB ab der eine E Mail via LFM verarbeitet wird Limit Large Files per Day Anzahl der Dateien die ein Benutzer pro Tag via LFM versenden kann 2013 SEPPmail AG 72 F r den Betrieb von Large File Management ist es erforderlich einen zus tzlichen Bereich auf dem lokalen Datenspeicher einzurichten Dieser Bereich wird im Men Home als LFM store angezeigt Zum Einrichten des zus tzlichen Datenspeichers f r Large File Management kontaktieren Sie Ihren Support Sektion Terms of use Use settings from master Aktivieren Sie dieses Kontrollk stchen falls Sie die template Einstellungen vom Master Template bernehmen m chten Require new users to accept Aktivieren Sie dieses Kontrollk stchen wenn jeder neue GINA terms of use Benutzer beim erstmaligen Aktivieren des GINA Benutzerkontos spezielle Nutzungsbedingungen akzeptieren mu Die detailierten Nutzungsbedingungen k nnen unter der eingetragenen URL eingesehen werden Terms of use URL required Geben Sie hier die URL ein unter der die Nutzungsbedingungen im Internet eingesehen werden k nnen z B http www customer com termsofuse html Sektion Language settings
100. Spanish s e Deutsch German d e Franz sisch French f e Italienisch Italian i Wenn Sie die Einstellungen vom Master Template bernehmen m chten klicken Sie auf das Kontrollk stchen Use settings from master template Diese Option ist nicht f r die Einstellungen der Standard Webmail Domain default sichtbar sondern wird nur in zus tzlich angelegten Webmail Domains angezeigt Schaltfl che Edit translations Sie k nnen ber die Schaltfl che Edit translations die aktuelle bersetzung bestimmter Textbestandteile der GINA Schnittstelle selbst und Textbestandteile der Kurzinformationstext der GINA Nachricht anpassen Innerhalb dieser Sektion k nnen Sie mit den folgenden Schaltfl chen navigieren Back R ckkehr in die bergeordnete Konfigurationsseite Advanced Erweitert die Anzeige und erm glicht die Bearbeitung weiterer Ressourceneintr ge der View bersetzung 2013 SEPPmail AG 78 Normal ist nur Verf gbar wenn zuvor die Schaltfl che Advanced View bet tigt wurde View Die folgenden Textbestandteile k nnen bearbeitet werden Customization 7A Text in Secure Webmail za Open hint in Secure Webmail z i Greeting on Login pagel7a Footer test zgi Webmail Password Notification Mail za In der Erweiterten Ansicht Edit Translation fiel A Sektion Customization Wichtige Anmerkung Verwenden Sie keines der reservierten Schl sselw rter msgid und msgstr in
101. TEMPLATE Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl verschl sselt eine Nachricht via GINA Technologie f r die Empf ngeradresse Die verschl sselte Nachricht kann anschlie end in der RuleEngine weiterverarbeitet werden Empfehlung Die GINA Nachricht direkt mit deliver abschicken Die Empf ngeradresse wird aus der aktuell verarbeiteten Nachricht entnommen Falls TEMPLATE angegeben ist wird ein spezielles Template f r die GINA Nachricht verwendet Falls nicht wird das Template anhand der Absenderadresse ausgew hlt Als Template wird in diesem Falls das angelegte GINA Profil bzw angelegte die GINA Domain bezeichnet Der R ckgabewert ist immer positiv Der Befehl hat 1 Parameter Parameter TEMPLATE Definiert das angelegte GINA Profil bzw angelegte die GINA Domain 2013 SEPPmail AG 222 7 6 13 pgp_encrypted Der Befehl pgp encrypted erm glicht es eine E Mail auf PGP Verschl sselung zu berpr fen Aufbau des Befehls pgp_encrypted Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl pr ft ob die vorliegende E Mail mit dem PGP Verfahren verschl sselt ist Der R ckgabewert ist positiv wenn die E Mail PGP verschl sselt ist sonst negativ Der Befehl hat keinen Parameter 7 6 14 pgp_keys_avail Der Befehl pgp keys avail erm glicht es die Verf gbarkeit von PGP Public Keys zu berpr fen Aufbau des Befehls pgp_keys_av
102. Type Typ der aktuellen Appliance z B SEPPmail 3000 VMware Virtual Appliance Aktuell auf dem System installierte Softwareversion Laufzeit des Systems nach dem letzen Neustart Sektion Anti Virus Active Inactive Status des optionalen Virenscanners Diese Funktion steht nur zur Verf gung wenn Sie die kostenpflichtige Softwareoption Protection Pack Anti spam Anti virus erworben haben Sektion Mail statistics Mails Processed Anzahl aller insgesamt vom System bertragenen E Mails empfangen gesendet Mails Processed S MIME Anzahl aller insgesamt via S MIME verarbeiteten E Mails entschl sselt verschl sselt Mails Processed openPGP Anzahl aller insgesamt via openPGP verarbeiteten E Mails entschl sselt verschl sselt Mails Processed DOMAIN Anzahl aller insgesamt via Domainverschl sselung verarbeitenten E Mails entschl sselt verschl sselt GINA Mails Anzahl aller insgesamt versendeten Secure Webmails ber das GINA Subsystem Mails currently in queue Anzahl aller E Mails in der Warteschlange Sektion Disk statistics Database Mail queue Log Zeigt die Auslastung einzelner Volumes der im System temp LFM store verwendeten Festplatte getrennt nach Bereichen 2013 SEPPmail AG 45 6 4 Men punkt System W hlen Sie den Men punkt System um grundlegende Netzwerkeinstellungen vorzunehmen Folgende Vorg nge werden in den kommenden Abschnitten beschrieben be
103. W hlen Sie diesen Link und Sie k nnen die gesamten Log Informationen zu dieser E Mail einsehen Source IP IP Adresse des E Mail Absenders Die IP Adresse beschreibt den E Mail Server der die E Mail direkt an SEPPmail gesendet hat Hier ist nicht der jeweilige Arbeitsplatzrechner gemeint 2013 SEPPmail AG 152 Parameter Beschreibung Date Versanddatum der E Mail From Absender E Mail Adresse r 6 11 1 E Mails in der Warteschlange anzeigen Men Logs E Mails die sich aktuell in der lokalen SEPPmail E Mail Warteschlange Mail Queue befinden werden durch klicken der Schaltfl che Show queued mails angezeigt Parameter Beschreibung Eindeutige Kennung der jeweiligen Nachricht Datum an welchem die entsprechende E Mail versandt wurde To Empf nger E Mail Adresse Status Der aktuelle Status der E Mail Verarbeitung 2013 SEPPmail AG 153 6 12 Men punkt Statistics Men Statistics In der bersicht werden die Statistiken f r Durchsatz Technologie AntiSPAM Prozessor und Speicher Statistiken dargestellt Diese Statistiken werden f r die Zeitabschnitte Heute Letzte Woche Letzten Monat Letztes Jahr und die letzten 3 Jahre angezeigt Sektion Throughput Visualisation Sie sehen die Anzahl versendeter und empfangener Nachrichten und die Anzahl der durchgef hrten Ver und Endschl sselungsoperationen Zus tzlich sehen Sie die Anzahl der Nachrichten die im Durchschnitt verarbei
104. Zertifikat speichern der Wert true gesetzt wurde Statt true kann auch yes oder 1 verwendet werden Der R ckgabewert ist positiv wenn alle der folgenden Punkte zutreffen e Die E Mail wurde mit dem S MIME Verfahren signiert e Die E Mail ist vollst ndig und unver ndert e Die E Mail wurde mit einem S MIME Zertifikat signiert das von einer als vertrauensw rdig eingestuften Certificate Authority CA ausgestellt wurde e Das zur Anbringung der Signatur verwendete S MIME Zertifikat ist weder auf einer der Appliance bekannten Revocation list CRL aufgef hrt noch ist dessen Ablaufdatum berschritten Falls einer der obigen Punkte nicht zutrifft ist der R ckgabewert negativ Dieser Befehl hat 1 Parameter Parameter Zertifikat speichern Option zum Parameter Zertifikat speichern M gliche Werte true oder yes oder 1 Beispiel if validate smime sig true log 1 smime signed valid else log 1 smime signed but signature invalid Erkl rung In diesem Beispiel wird die S MIME Signatur einer E Mail auf G ltigkeit berpr ft Ist der R ckgabewert von validate smime sig positiv dann wird der Log Eintrag smime signed valid geschrieben Sonst wird der Log Eintrag smime signed but signature invalid geschrieben 7 6 21 webmail_keys_avail Der Befehl webmail keys avail erm flicht es zu pr fen on ein GINA Benutzerkonto zur vorhanden ist Aufbau des Befehls webmail keys avail Anwen
105. ach st ndig mit dem Clusterverbund synchronisiert Alle Daten auf diesem System mit Ausnahme der Einstellungen in den Men s System und SSL sowie den Log Dateien und Statistiken in den Men s Logs Webmail Logs und Statistics gehen verloren Dies ist insofern wichtig falls sich auf diesem System noch ben tigte Konfigurationsdaten wie z B S MIME Zertifikate PGP Schl ssel Secure Webmail Konten etc befinden Weiterhin ist es sehr wichtig zu verstehen in welcher Reihenfolge SEPPmail Systeme einem bestehenden Clusterverbund hinzugef gt werden m ssen bzw welches System die Replikationsquelle und welches System das Replikationsziel ist Falls Sie diese Systeme beim Erstellen eines neues Clusterverbunds verwechseln so kann es passieren dass ein bestehendes und eingerichtetes SEPPmail System mit den leeren Daten des neu hinzugef gten Systems berschrieben wird Noch viel 2013 SEPPmail AG 143 wichtiger ist dies bei einem bestehenden Clusterverbund wenn dieser bereits aus mehreren Cluster Member Systemen besteht Das Verwechseln von Replikationsquelle und Replikationsziel bedeutet in diesem Fall dass der bestehende Clusterverbund mit den leeren Daten des neuen Systems berschreiben wird Replikation der Clusterkonfiguration Cluster Member Primary Replikationsquelle physische IP 10 10 0 9 mit bestehender P Konfiguration Cluster Identifizierung Cluster Konfiguration von 10 10 0 9 re
106. ach dem gleichen Grundprinzip wie S MIME Auch die OpenPGP Schl ssel werden auf der SEPPmail Appliance verwaltet und E Mails entsprechend automatisch ver und entschl sselt wenn das ben tigte Schl sselmaterial vorhanden ist Im Gegensatz zu S MIME werden die Schl ssel bei OpenPGP immer selbst erzeugt und nicht von unterschiedlichen ffentlichen Zertifizierungsstellen ausgestellt 5 TLS SSL Transportverschl sselung TLS SSL bietet eine zus tzliche Sicherheit und erg nzt die bisher beschriebenen Verschl sselungsmethoden Die Kommunikation zwischen der SEPPmail Appliance und anderen E Mail Servern wird in der Standardkonfiguration immer ber einen TLS SSL gesicherten Kanal aufgebaut sofern die Gegenstelle dies unterst tzt Ebenfalls kommt TLS SSL bei der bereits beschriebenen E Mail Domainverschl sselung zwischen mehreren SEPPmail Appliances zur Anwendung 2013 SEPPmail AG 12 2 2 Digitale E Mail Signaturen Beim Einsatz digitaler E Mail Signaturen wird die verbindliche E Mail Kommunikation gew hrleistet indem die Authentizit t einer Nachricht verifiziert werden kann Es wird somit sichergestellt dass eine Nachricht unver ndert beim Empf nger eintrifft und der angezeigte Absender auch dem tats chlichen Absender entspricht Das Secure E Mail Gateway SEPPmail kann Ihre E Mails entweder mit Benutzer oder mit Firmen Zertifikaten signieren Die beiden Verfahren werden im Folgenden kurz erl utert Digitale E Mail Signatur
107. ail Anwendung Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl pr ft ob f r alle Empf nger einer E Mail PGP Public Keys im lokalen Zertifikatsspeicher zur Verf gung stehen Der R ckgabewert ist positiv wenn f r alle Empf nger der E Mail PGP Public Keys vorhanden sind und f r den Parameter Anwendung der Wert strict angegeben wurde sonst ist der R ckgabewert negativ Wird f r den Parameter Anwendung der Wert auto angegeben werden die Empf nger in zwei Gruppen aufgeteilt Die Gruppe von Empf ngern f r die PGP Public Keys vorhanden sind erh lt einen positiven R ckgabewert Die Gruppe von Empf ngern f r die keine PGP Public Keys vorhanden sind erh lt einen negativen R ckgabewert Der Befehl hat 1 Parameter 7 6 15 pgp_secret_keys_avail Der Befehl pgp secret keys avail erm glicht es die Verf gbarkeit von PGP Private Keys zu berpr fen Aufbau des Befehls Pao secret keys avail p Der Befehl mu mit einem Semikolon abgeschlossen werden 2013 SEPPmail AG 223 Dieser Befehl pr ft ob f r alle Empf nger einer E Mail PGP Private Keys zur Verf gung stehen Der R ckgabewert ist positiv wenn ein PGP Private Keys f r den Absender vorhanden ist sonst negativ Dieser Befehl hat keinen Parameter 7 6 16 smime_keys_avail Der Befehl smime keys avail erm glicht es die Verf gbarkeit von S MIME Public Keys zu berpr fen Aufbau des Befehls smime keys avail
108. ail Domainnamen an und w hlen Sie zum Import eines S MIME Domainzertifikats die entsprechende Datei aus 6 19 5 S MIME Domain keys herunterladen oder l schen Men Domain keys Um ein vorhandenes S MIME Domainzertifikat von der SEPPmail Appliance auf Ihren PC herunterzuladen klicken Sie auf den Namen der angezeigten E Mail Domain des entsprechenden Schl ssels und dann auf die Schaltfl che Download Certificate M chten Sie hingegen ein vorhandenes S MIME Domainzertifikat l schen w hlen Sie die Schaltfl che Delete Certificate 6 19 6 Domain keys verwalten Men Domain keys W hlen Sie auf die Schaltfl che Update domain certificates um Domainzertifikate anderer SEPPrmail Appliances mit der eigenen SEPPmail Appliance abzugleichen Dieser Abgleich findet automatisch in periodischen Intervallen statt wenn das Kontrollk stchen Auto Update SMIME Domain Certificates aktiviert ist M chten Sie pr fen ob ein bestimmtes Domainzeriifikat bereits existiert und dessen Details ansehen geben Sie den entsprechenden E Mail Domainnamen im Suchfeld ein und klicken Sie auf die Schaltfl che Search Domain Certificate 2013 SEPPmail AG 180 6 20 Men punkt Customers W hlen Sie den Men punkt Customers das Anlegen einer kundenspezifischen Konfiguration zu erm glichen Um diese Funktion zu nutzen ist eine zus tzliche kostenpflichtige Lizenz erforderlich Folgende Vorg nge werden in den kommend
109. ail Logs Statistics Users Groups Webmail accounts PGP public keys X 509 Certificates X 509 Root Certificates Domain keys Cluster Configuration Prepare for Cluster use this key to add a different device to this device cluster Download Cluster Identifier Add this deviceto 4 Cluster Identifier em existing cluster ee gt Cluster Member IP IP of the device you went to connect to Do NOT use an IP alias address WARNING All data M U U Port 22 exeant net wOrK 3 TP address of this IP address other devices in the cluster can use to connect to this device Do NOT use an IP alias address configuration of this device U U Port 22 device will be lost Connect TT Add this device as Cluster Identifier eben frontend server no N local database Existing Appliance IP IP or virtual IP of the device or cluster you v nt to connect to Port 22 Connect St Tue Jun 21 04 18 33 CEST 2011 2010 SEPPmail AG Abbildung 1 Hinzuf gen einer SEPPmail Appliance zu einem bestehenden Cluster bzw erstmaliges Erzeugen eines Clusters 2013 SEPPmail AG 142 Nachdem der Clusterverbund erstellt wurde ndert sich die Anzeige im Men Cluster und es wird nun der Status des Clusterverbunds angezeigt Wenn Sie dieses System aus dem Clusterverbund wieder entfernen m chten so w hlen Sie in der Sektion remove from cluster die Schaltfl che remove this device from cluster
110. ailable via public GINA Aktiviert den Zugang zur Web Anwendung f r den SMS Versand GUI von Kennwortbenachrichtigungen ber das ffentliche GINA Portal Die Web Anwendung steht auf demselben Port zur Verf gung wie das GINA Portal Standard TCP 443 HTTPS Available via the following Aktiviert den Zugang zur Web Anwendung f r den SMS Versand URL eg von Kennwortbenachrichtigungen aus dem internen Netzwerk https 192 168 1 60 8443 Die Web Anwendung steht auf demselben Port zur Verf gung pwsend app wie die Konfigurationsoberfl che Standard TCP 8443 Access to GINA send password form Parameter Available via public Webmail GUl Zum Versenden einer Kennwortbenachrichtigung via SMS erh lt der interne Absender eine E Mail Nachricht Diese Kennwortbenachrichtigung wird beim Erzeugen eines GINA Kontos f r einen externen Empf nger automatisch generiert und an den internen Absender gesendet In dieser E Mail Nachricht befindet sich ein Link zu einer Web Anwendung ber die der SMS Versand durchgef hrt wird Je nach individueller Implementierung des Enhanced Secure Webmail Systems kann es erforderlich sein auf diese Web Anwendung ber das ffentliche GINA Portal zuzugreifen Aktivieren Sie diese Option um ber den Port auf die Web Anwendung zuzugreifen ber auch das GINA Portal erreichbar ist Es wird empfohlen den Standard Port f r HTTPS TCP 443 zu verwenden Beispiel GINA Portal erreichbar ber https secmail cust
111. aktivieren Sie den Footer Text innerhalb der GINA Anmeldung page Enable Footer text an all aktivieren Sie den Footer Text innerhalb der gesamten GINA other pages Oberfl che Die Einstellungen f r den Footer Test finden Sie in der Sektion GINA Webmail Sprachunterst tzung verwalten 7 amp 2013 SEPPmail AG 77 6 6 1 5 GINA Sprachunterst tzung verwalten In der Sektion Language Settings haben Sie die M glichkeit die bereits im Lieferumfang enthaltenen bersetzungen anzupassen oder eigene bersetzungen f r zus tzliche Sprachunterst tzungen der GINA Schnittstelle hinzuzuf gen Sie k nnen in dieser Sektion die folgenden Einstellungen vornehmen Edit translations 7 Download Add new 79 Parameter Schaltfl che Beschreibung Default language Einstellen der Standard Sprache f r die GINA Schnittstelle Available Languages Herunterladen und Anpassen einer vorhandenen Sprachvariante f r die GINA Schnittstelle Schaltfl che Edit Anpassen der bersetzung einer vorhandenen Sprachvariante Translations Schaltfl che Download aktuelle bersetzung der jeweiligen Sprache herunterladen und ggf als Vorlage f r eigene bersetzungen verwenden Schaltfl che Change speichern der durchgef hrten nderungen in dieser Sektion Schaltfl che Add new hinzuf gen bersetzung f r eine neuen Sprachvariante Die folgenden bersetzungen sind im Auslieferungszustand enthalten e Englisch English e e Spanisch
112. alten Men Mail Processing Sie k nnen GINA Einstellungen bearbeiten indem Sie die entsprechende GINA Domain in der Rubrik GINA domains ausw hlen und auf die Schaltfl che Edit klicken Die Standard GINA Domain hat den Namen default 2013 SEPPmail AG 69 Sie k nnen Parameter in den folgenden Kategorien verwalten Hostnamele Secure Webmail Portes Secure Webmail Key and certificatel 6 Master Templatel e Adminler Extended settingsle Terms of use 7 Language settings 7N Security 7A Certificate login z i Diese Sektionen werden nachfolgend einzeln erl utert Sektion Secure GINA Host In der Sektion Secure GINA Host k nnen Sie f r Werte f r Hostname Port Key and certificate der GINA Domain hinterlegen Dieser Hostname ist Bestandteil der URL unter der GINA Nachrichten abgerufen werden z B https secmail customer com Falls Sie die Funktion Virtual Hosting aktiviert haben k nnen Sie f r die jeweilige GINA Domain einen eigenen Port vergeben und ein eigenes SSL Zertifikat hinterlegen Sektion Master Template Diese Sektion wird bei Auswahl der GINA Domain default nicht angezeigt In der Sektion Master Template w hlen Sie die GINA Domain aus die Sie als Vorlage verwenden m chten Die Einstellungen werden von dieser GINA Domain bernommen Dies erleichtert Ihnen die Verwaltung von Optionen welche f r mehrere GINA Domains G ltigkeit haben sollen Bei Auswahl der Sta
113. angeben an den dann die DNS Anfragen weitergeleitet werden Stellen Sie sicher dass ein hier angegebener DNS Name Server verf gbar ist da sonst die Funktion des SEPPmail beeintr chtig sein kann Search Domains Geben Sie hier eine Suchliste mit Domainnamen an die bei einer DNS Anfrage nacheinander abgefragt werden local zone Domain name Geben Sie einen pseudo Domainnamen an f r den Sie die lokale Aufl sung in die IP Adresse des zust ndigen E Mail Servers durchf hren wollen MX Record z B pseudo local host Hostname z B mail mx Pr ferenz z B 10 ip IP Adresse des E Mail Servers z B 10 0 0 1 Der f r die Domain pseudo local zust ndige E Mail Server wird nun in mail pseudo local mit der IP Adresse 10 0 0 1 und der Pr ferenz 10 aufgel st Lokale Zonen k nnen verwendet werden wenn Sie die Aufl sung des MX Records f r eine Domain nicht durch einen 2013 SEPPmail AG 48 eigenen lokalen DNS Server durchf hren k nnen und mehrere alternative E Mail Server f r eine Domain als Failover ben tigt werden Sektion Routing Default Gateway Geben Sie hier die IP Adresse des Standard Routers in Ihrem Netzwerksegmernt ein An diesen IP Router werden alle Datenpakete weitergeleitet die im lokalen Netzwerksegment nicht direkt zugestellt werden k nnen Static Routes Neben der Verwendung eines Standard Routers k nnen Sie auch statische IP Routen im SEPPmail System angeben Diese IP Routen haben Pr
114. au des Befehls leet I VO 11 ERROR Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl E Mail wird nicht mehr verarbeitet die E Mail und gibt optional einen Errorcode zur ck Der Befehl hat keinen R ckgabewert Der Befehl hat 2 Parameter 2013 SEPPmail AG 214 Hinweise e Weder eine Bounce E Mail an den Absender noch eine Benachrichtigung an den Empf nger wird erzeugt e Alle nachfolgenden Befehle werden ignoriert e Dieser Befehl kann nicht die Bedingung einer if else Anweisung sein siehe Abschnitt if else Anweisungenls Mit CODE und ERROR k nnen auch alternative Errorcodes gesetzt werden Werden keine Parameter angegeben so wird der Standard Errorcode mit dem entsprechenden Meldungstext zur ckgegeben Standard CODE 555 ERROR mail not accepted Parameter CODE Gibt den den Errorcode im Form eines numerischen Werts an z B 420 Parameter ERROR Gibt den Errorcode in Form einer Zeichenkette an z B system temporarily unavailable Beispiel drop 420 system temporarily unavailable Erkl rung Die E Mail wird mit dem tempor ren Fehler 420 system temporarily unavailable abgewiesen werden 7 5 5 reprocess Der Befehl reprocess erm glicht es eine E Mail erneut zu verarbeiten Aufbau des Befehls reprocess Der Befehl mu mit einem Semikolon abgeschlossen werden Alle an eine E Mail angeh ngten E Mails werden erneut verarbeit
115. auf die gesamte E Mail angewendet Das beinhaltet alle Header und den gesamten Body der E Mail Eine E Mail wird in mehrere Gruppen aufgeteilt wenn auf dem regul ren Ausdruck erfolgreich getestet werden konnte Eine Gruppe die dem regul ren Audruck entspricht und eine weitere Gruppe die dem regul ren Ausdruck nicht entspricht Durch den regul ren Ausdruck kann auch eine Vielzahl von Gruppen erzeugt werden Der Befehl rmatchsplit wird klassisch innerhalb der if else Kontrollstruktur verwendet 2013 SEPPmail AG 201 Der R ckgabewert dieses Befehls ist positiv wenn innerhalb der E Mail erfolgreich auf die REGEXP getestet werden konnte sonst negativ Dieser Befehl hat 1 Parameter Parameter REGEXP Dieser Parameter definiert den regul ren Ausdruck auf dem die E Mail gepr ft wird Beispiel if rmatchsplit sales customer com Invoice log 1 regex test successful I else log 1 regex test not successful Erkl rung In diesem Beispiel wird die E Mail auf das Vorhandensein der Textbestandteile sales customer com oder Invoice gepr ft Wird einer dieser Textbestandteile innerhalb der gesamten E Mail gefunden so wird die Anweisung log 1 regex test successful ausgef hrt sonst wird die Anweisung log 1 regex test not successful ausgef hrt 7 2 17 rmheader Der Befehl rmheader erm glicht es eine Header Zeile innerhalb einer E Mail zu l schen Aufbau des Befehls rmheader HEADER
116. ber Secondary Hierdurch ist eine Redundanz im Fehlerfall gegeben da sich beide Cluster Member Systeme berwachen und jeweils die Aufgabe des ausgefallenen Systems bernehmen k nnen Die virtuelle IP Adresse 10 10 0 1 hier gr n dargestellt und die virtuelle IP Adresse 10 10 0 2 hier orange dargestellt werden dem Hostnamen zugeordnet der z B im internen E Mail Server f r den Versand von ausgehende E Mails eingetragen ist Dieser Hostname wird in die folgenden IP Adressen aufgel st custer out domain tld 1800 IN A 10 10 0 1 custer out domain tld 1800 IN A 10 10 0 2 Bei jeder Aufl sung des angesprochenen Hostnamen cluster out domain tld wird der DNS Server alle zugeordneten IP Adressen zur ckliefern allerdings in anderer Reihendolge custer out domain tld 1800 IN A 10 10 0 2 custer out domain tld 1800 IN A 10 10 0 1 Der interne E Mail Server kann nun eine IP Adresse ausw hlen und die ausgehende E Mail versenden Da sich bei jeder Anfrage die Reihenfolge der zur ckgelieferten IP Adressen ndern k nnen die E Mails auf die zur Verf gung stehenden Cluster Member Systeme verteilt werden Zusammenfassung Beim Versand von ein und ausgehenden E Mails ber das SEPPmail Cluster wird statt einer virtuellen Cluster IP Adresse ein Hostname im jeweiligen E Mail Server angegeben Dieser wird dann zur Laufzeit in die zugeh rigen IP Adressen aufgel st So k nnen der interne und der externe E Mail Server ein und ausgehende E
117. bermittlung von Ihrer SEPPmail Appliance an Ihren bestehenden E Mail Server zu erm glichen m ssen Sie die Appliance daf r autorisieren Diese Einstellung ist meist als SMTP E Mail Relaying definiert Tragen Sie hierf r die interne IP Adresse oder den internen Hostnamen der SEPPrmail Appliance auf Ihrem E Mail Server in die Liste der autorisierten E Mail Relay Systeme ein 2013 SEPPmail AG 26 Definition der SEPPmail Appliance als Smarthost Die SEPPmail Appliance wird nach der Integration in Ihre E Mail Umgebung die Rolle eines SMTP Gateways bernehmen Ihr E Mail Server bermittelt E Mails dann nicht mehr direkt nach extern sondern neu an die SEPPmail Appliance Um diese nderung vorzunehmen definieren Sie den internen Hostnamen bzw die interne IP Adresse Ihrer SEPPmail Appliance auf Ihrem bestehenden E Mail Server als Smarthost ACHTUNG Mit dieser Anpassung ndern Sie die E Mail Kommunikation indem Sie die SEPPmail Appliance in den E Mail Datenfluss integrieren Alle E Mails werden nach der Umstellung an die SEPPmail Appliance gesendet F hren Sie diese Umstellung erst dann durch wenn alle anderen Konfigurationsschritte der SEPPmail Appliance abgeschlossen sind Es kann sonst zu einer Beeintr chtigung des E Mail Verkehrs kommen 2013 SEPPmail AG 27 3 8 2 E Mail Clients verwenden Der Einsatz standardisierter Verfahren und die zentrale Verarbeitung durch die SEPPmail Appliance stellt die Unabh ngigkeit vom
118. block 2 R ckgabewert negativ Erkl rung In diesem Beispiel wird f r eine eingehende E Mail der Anweisungsblock 1 ausgef hrt F r eine ausgehende E Mail wird der Anweisungsblock 2 ausgef hrt 7 2 9 log Der Befehl Log erm glicht es eine Meldung im Syslog aufzuzeichnen Aufbau des Befehls log Seure nimezag y Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl sendet den Wert des Parameters Eintrag an den System Logger Dem Eintrag wird in runden Klammern eine Identifikation Message ID angeh ngt Der Wert des Parameters Stufe kann einen Wert von 0 bis 7 annehmen und bestimmt die Wichtigkeit des Eintrags Die Aufgezeichneten Log Meldungen k nnen im Men Logs eingesehen werden Der R ckgabewert ist immer positiv Dieser Befehl hat 2 Paramater Parameter Stufe n Bedeutung n Bedeutung o fomo je fm 2 note je fan Parameter Eintrag 2013 SEPPmail AG 194 Geben Sie hier den Text an der als Log Eintrag im Syslog aufgezeichnet werden soll Beispiel log Lt kello wowile p Header der E Mail Dater mi 05 Aue 2019 Lt From sender customer com To recipient customer de Subject Some Topic Content Type text plain Message Id lt E0D4D Aufzeichnung im Log Aug 05 11 40 04 test gateway Erkl rung lt E42 DCB5 11D7 gt 40 00 0200 EODAD E42 DCB5 11D7 gt Hello World Die Zeichenkette Hello Worl
119. che publish S MIME domain keys Add Domain neu hinzugef gten E Mail Domains for all domains automatisch ein selbst signiertes X 509 S MIME Domainzertifikat erzeugt und an einen zentralen Updateservice bertragen wird Dieses neu erzeugte S MIME Domainzertifikat f r Ihre E Mail 2013 SEPPmail AG 54 Domain wird danach automatisch an alle SEPPmail Systeme verteilt so dass alle Unternehmen die ein SEPPmail System betreiben ohne weiteren Aufwand verschl sselte E Mails untereinander austauschen k nnen Hinweis Wenn Sie diesen nicht nutzen m chten dann deaktivieren Sie diesen Parameter bitte bevor Sie eine neue E Mail Domain anlegen Das S MIME Domainzertifikat wird dann nicht automatisch erzeugt Diesen Vorgang kann nach dem Anlegen in den Einstellungen der E Mail Domain manuell ber die Schaltfl che Generate new S MIME Certificate nachtr glich durchgef hrt werden Das so neu erzeugte S MIME Domainzertifikat wird nicht an den zentralen Updateservice bertragen Dieser Paramater ist im Standard aktiviert Fetch Mail from remote Dieser Parameter bewirkt dass das im Benutzerkonto POP3 server eingerichtete POP3 Konto durch SEPPmail in einem Zeitintervall abgeholt wird Dieses Intervall betr gt 3 Minuten Die so abgeholten E Mails werden an das lokale SEPPmail System weitergeleitet Dieser Paramater ist im Standard deaktiviert Verify recipient addresses Dieser Parameter bewirkt dass die E Mail Adresse d
120. cure Webmail Schnittstelle PGP public keys ffentliche PGP Schl ssel von Kommunikationspartnern importieren und verwalten X 509 Certificates ffentliche S MIME X 509 Zertifikate von Kommunikationspartnern importieren und verwalten X 509 Root Certificates S MIME X 509 Root CA Zertifikate importieren und verwalten Domain keys PGP und S MIME Domain Keys importieren synchronisieren und verwalten Customers Aktivieren und Einrichten einer Multi Kunden Konfiguration Multitenancy Hierbei k nnen z B E Mail Domains Benutzerkonten oder GINA Benutzerkonten dediziert einem zuvor definierten Kunden zugewiesen werden Referenz der Men punkte in der SEPPmail Konfigurationsoberfl che 6 2 Men punkt Login Men Login W hlen Sie den Men punkt Login um sich von der SEPPmail Konfigurationsoberfl che abzumelden oder um das das Kennwort des eigenen Benutzers f r die SEPPmail Konfigurationsoberfl che zu ndern In der folgenden Tabelle werden die einzelnen Parameter beschrieben User ID Password Zum Anmelden an der Konfigurationsoberfl che w hlen Sie die Schaltfl che Log in Log out Zum Abmelden von der Konfigurationsoberfl che w hlen Sie die Schaltfl che Log out Change Password New Password In diesem Feld k nnen Sie das Kennwort f r den angemeldeten Benutzer ndern Wenn Sie das neue Kennwort eingeben wird f r jedes Zeichen ein Punkt als Platzhaltern angezeigt Um Tippfehler zu vermeiden ist e
121. d wird mit der Priorit t info im Syslog aufgezeichnet 7 2 10 logheader Der Befehl Togheader erm glicht es den Inhalt einer Headers an den System Logger zu senden Aufbau des Befehls EAD logheader H SCT p Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl dient zum Debuggen der Verarbeitung von E Mails durch die RuleEngine Es wird der Inhalt des HEADER an den System Logger gesendet Der R ckgabewert ist immer positiv Dieser Befehl hat keine Parameter Beispiel logheader Message ID Erkl rung 2013 SEPPmail AG In diesem Beispiel wird der Inha 7 2 11 normalize_heade 195 lt des Headers Message ID an den System Logger gesendet r Der Befehl normalize header erm glicht es alle Sonderzeichen in einem Header durch normale ASCII Zeichen zu ersetzen Aufbau des Befehls normalize header HEADER Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl ersetzt alle Sonderzeichen in HEADER durch normale ASCIl Zeichen Sonderzeichen k nnen z B deutsche Umlaute wie oder sein Der R ckgabewert dieses Befeh Parameter HEADER Gibt die Bezeichnung des HEAD Is ist immer positiv Dieser Befehl hat 1 Parameter ER an Beispiele f r den Parameter HEADER return path from to subject envelope to etc Beispiel 1 normelkizeiheederiisubsleeun r Erkl rung In diesem
122. d existing key Parameter Beschreibung X 509 Key F gen Sie den private Key des Zertifikats ein X 509 Certificate F gen Sie den public Key des Zertifikats ein Parameter X 509 Key F gen Sie in diesem Feld den private Key des Zertifikats ein Falls der private Key durch ein Kennwort gesch tzt ist muss dieses zuvor entfernt werden Parameter X 509 Certificate and optional intermediate certificates F gen Sie in diesem Feld den public Key des Zertifikats ein Zus tzlich zum eigenen public Key f gen Sie hier ebenfalls weitere optionale Zweischenzertifikate Intermediate Certificates und den public Key des Root CA Zeriifikats ein Draus ergibt sich eine Zertifikatskette Chain die der SEPPmail Webserver an den Webbrowser des Benutzers bergibt und die zur berpr fung des SSL Device Zertifikats verwendet werden Reihenfolge f r das Einf gen der Zertifikatsbestandteile 1 Public Key des eigenen SSL Device Zertifikats 2 Public Key von einer oder mehreren Intermediate CA Zertifikaten 3 Public Key der Root CA Schlie en Sie den Vorgang in beiden F llen ab indem Sie auf die Schaltfl che Create Request klicken 2013 SEPPmail AG 110 6 7 4 SSL Device Zertifikat sichern Men SSL gt Schaltfl che Backup Certificate Sichern Sie das Zertifikat indem Sie auf die Schaltfl che Backup Certificate klicken Sie k nnen das aktuell installierte SSL Device Zertifikat public und private Key a
123. der Betreffzeile verwendet werden Sollte eine GINA Nachricht im HTML Format an einen OWA Empf nger gelangen erkennt die SEPPrmail Appliance dies Der Absender wird aufgefordert die E Mail nochmal zu schicken Gleichzeitig wird im GINA Benutzerkonto des Empf nger der Parameter Zip Attachement aktiviert Der Empf nger kann eine mit dieser Einstellung erzeugte GINA Nachricht problemlos lesen Send copy to myself Diese Einstellung bewirkt dass bei GINA Benutzern die Option checked by default when send copy to myself Kopie ausgehender E Mails an sich writing GINA mails selbst schicken standardm ssig aktiviert ist Sender always receives Aktivieren Sie diese Einstellung um eine Benachrichtigung zu notification when recipient erhalten wenn ein ein Empf nger eine GINA Nachricht im GINA reads mail in web viewer Portal ffnet und liest Die benutzerspezifischen Einstellungen overrides user setting werden berschrieben Allow account self Erm glicht die Registrierung eines neuen GINA Empf ngers ohne registration in GINA portal das dieser zuvor eine GINA Nachricht erhalten hat Der Benutzer without initial mail kann sich selbst ber das GINA Portal als GINA Empf nger registrieren Er erh lt eine Anmeldebest tigung via E Mail mit einem Aktivierungs Link Nach best tigen des Aktivierungs Link kann das neue GINA Benutzerkonto genutzt werden Weitere Informationen erhalten Sie im Kapitel GINA Selbstregistrierung ber Webmail
124. der SwissSign CA 2013 SEPPmail AG 115 6 9 Men punkt Administration W hlen Sie den Men punkt Administration um administrative Aufgaben der SEPPmail Appliance zu verwalten Folgende Vorg nge werden in den kommenden Abschnitten beschrieben Appliance registrierenl113 Lizenzdatei einspielenl 3 Appliance nach verf gbaren Updates pr fenli14 Einstellungen der Appliance sichern und wiederherstellenl1A Appliance neu starten oder herunterfahrenl1 amp Appliance auf Werkseinstellungen zur cksetzen Bestehende Benutzer oder Schl ssel importierenl119 Eingehende Supportverbindung herstellen 12 6 9 1 SEPPmail Appliance registrieren Men Administration gt Sektion License and Registration Eine Registrierung des SEPPmail Systems ist erforderlich um eine permanente Lizenz zu erhalten Klicken auf die Schaltfl che Register this device und Sie erhalten Sie ein Registrierungsfenster F llen Sie die Felder im Registrierungsfenster mit Ihren Angaben aus Geben Sie in der oberen H lfte Ihre Kundeninformationen und in der unteren H lfte die Daten Ihres Resellers ein Schlie en Sie die Eingaben ab indem Sie auf die Schaltfl che Send klicken Erscheint die Meldung Registration successful haben Sie den Registrierungsvorgang erfolgreich abgeschlossen F r diese Installation wird nun durch SEPPmail eine Lizenz f r Ihr System ausgestellt Der Import der Lizenz in SEPPmail erfolgt dabei automatisch
125. derlich die Sicherheitseinstellungen des vSwitch und den entsprechenden Portgruppen wie folgt einzurichten Im VMware vSphere Client w hlen Sie Bestandsliste gt ESX Server gt Reiter Konfiguration gt Netzwerk Abbildung 1 Sicherheitseinstellung der Portgruppen im vSwitch eines VMware ESX Systems 2013 SEPPmail AG 139 6 10 6 4 Einrichten der Basiseinstellungen eines SEPPmail Systems Um ein SEPPmail Cluster System einzurichten m ssen auf den zugeh rigen Systemen einige Basiseinstellungen vorgenommen werden Alle weiteren Einstellungen werden beim Aufbau eines Clusters oder dem Hinzuf gen eines neuen SEPPmail Systems zu einem bestehenden Cluster automatisch auf das neue Cluster Member System repliziert Danach synchronisieren sich alle Cluster Member Systeme untereinander wenn auf einem Cluster Member System eine Ver nderung der Konfigurationsparameter oder der Bewegungsdaten erfolgt Die Bewegungsdaten beinhalten PGP und S MIME Benutzerzertifikate Domainzertifikate sowie X 509 Root Zertifikate Die Basiseinstellungen beinhalten die folgenden statischen systemspezifischen Konfigurationsparameter die nicht zwischen den Cluster Member Systemen repliziert und synchronisiert werden e alle Einstellungen im Men System e das SSL Device Zertifikat im Men SSL e die Systemlizenz und die Registrierungsdaten des Systems Die Log Dateien und Statistiken in den Men s Logs Webmail Log
126. die Benutzerverwaltung 7 3 1 createaccount Der Befehl createaccount erm glicht es neue Benutzerkonten zu erstellen Aufbau des Befehls EE UE Eeer ES US ERTO ENAME Der Befehl mu mit einem Semikolon abgeschlossen werden Als Benutzerkonto wird ein lokales SEPPmail Benutzerkonto bezeichnet Dieses Benutzerkonto kann im Men Users eingesehen werden Dieser Befehl wird klassisch innerhalb einer LDAP Anbindung zum Benutzermanagement eingesetzt Der R ckgabewert dieses Befehls ist immer positiv Dieser Befehl hat 3 Parameter Parameter KEYS Dieser Parameter gibt an welches Schl sselmaterial beim Erstellen der Benutzerkontos automatisch generiert werden soll Das Format entspricht einer Bitmaske in Oktalnotation Die folgenden Werte stehe zur Verf gung Bit O OpenPGP Schl sselpaar generieren Bit 1 S MIME Zertifikat mit der eigenen CA generieren Bit 2 S MIME Zertifikat via CA Connector generieren Mask Mask Mask Mask Mask Bito openreP x x x Bit 1 S MIME mit eigenerca x x On2 smmewacaoomecier x x Parameter USERID Dieser Parameter gibt die UID des Benutzers an Parameter NAME Dieser Parameter gibt des Namen des Benutzers an Hinweis e F r USERID und NAME k nnen Variablen benutzt werden die durch den Befehl ldap _read gesetzt wurden e Sonderzeichen in USERID und NAME werden automatisch ersetzt 2013 SEPPmail AG 206
127. diese Adresse von Ihrem Dienstleister XML Beispiel https xmll aspsms com xml template Quellcode f r das XML Template Sie erhalten diese Daten von Ihrem Dienstleister XML Beispiel lt xml version 1 0 encoding UTF 8 gt lt aspsms gt lt Userkey gt xyz lt Userkey gt lt Password gt xyz lt Password gt lt Originator gt Secmail lt Originator gt lt FlashingSMS gt 1 lt FlashingSMS gt lt Recipient gt lt PhoneNumber gt number lt PhoneNumber gt lt Recipient gt lt MessageData gt lt CDATA sms gt lt MessageData gt lt Action gt SendTextSMS lt Action gt lt aspsms gt Parameter Use HTTP GET service Hier binden Sie den HTTP GET Service eines externen Dienstleisters ein um GINA Kennwortbenachrichtigungen via SMS zu versenden Dazu stehen die folgenden Parameter zur Verf gung Server address Adresse des externen Servers an den der HTTP GET String bermittelt werden soll Sie erhalten diese Adresse von Ihrem Dienstleister HTTP Get Beispiel https www chrus ch HTTP Get String 2013 SEPPmail AG 89 Pfadname mit Anwendung incl der bergebenen Parameter mit den zu bermittelnden SMS Daten HTTP Get Beispiel mysms http send php user xyz amp pwd xyz amp from Secmail amp to number amp msg sms Zugriffsberechtigung auf die integrierte Web Anwendung f r den SMS Versand Parameter Beschreibung Disabled Zugang zur Web Anwendung f r den SMS Versand ist deaktiviert Av
128. dingung besteht aus einem einzelnen Befehl die mindestens einen R ckgabewert hat Anweisungsblock 1 wird nur dann ausgef hrt wenn der R ckgabewert positiv ist Anderenfalls wird falls vorhanden ausschlie lich Anweisungsblock 2 ausgef hrt Beispiel if authenticated else createaccount CREATEGPGKEYS logi user acconnt rege Stell D p Erkl rung 2013 SEPPmail AG 185 Das Beispiel wertet den R ckgabewert des Befehls authenticated aus Wenn der interne interne Absender der E Mail erfolgreich authentifiziert wurde der R ckgabewert true ist dann wird ohne weitere Aktion im Programmablauf fortgefahren Falls die Authentifizierung nicht erfolgreich durchgef hrt wurde wird ein Benutzerkonto f r den Absender angelegt 7 2 Allgemeine Befehle Parameter die in eckigen Klammern angegeben sind z B OLDRECIPIENT sind optional und m ssen nicht angegeben werden Fehlt dieser Parameter wird ein vordefinierter Standardwert bzw Standardverhalten angewendet Innerhalb von Vorlagen stehen die folgenden Variablen zur Verf gung 7 2 1 add_rcpt Der Befehl add rept erm glicht es eine zus tzliche Empf nger E Mail Adresse hinzuzuf gen Aufbau des Befehls cl ven urn Mar NcBesiser r Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl dient zum Hinzuf gen einer zus tzlichen Empf nger E Mail Adresse Die E Mail Adresse wird im Envelope hinzugef
129. dung 2013 SEPPmail AG 226 Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl pr ft ob f r alle Empf nger einer E Mail ein GINA Benutzerkonto zur Verf gung steht Ist die Anwendung des Befehls strict so ist der R ckgabewert nur dann positiv wenn f r alle Empf nger GINA Benutzerkonten vorhanden sind Ist die Anwendung auto teilt der Befehl die Empf nger in zwei Gruppen auf und gibt jeder Gruppe den entsprechenden R ckgabewert mit Dieser Befehl hat 1 Parameter 7 6 22 webmail_keys_gen Der Befehl webmail keys gen erm glicht es GINA Benutzerkonten zu erzeugen Aufbau des Befehls webmail keys gen Empf ngeradresse L nge des Kennworts NoPwEmailIlsSmsSend Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl generiert ein GINA Benutzerkonto und schickt das Initialisierungskennwort an den Absender der urspr nglichen E Mail oder an Empf ngeradresse falls diese angegeben ist Der R ckgabenwert ist immer positiv Der Befehl hat 3 Parameter Parameter Empf ngeradresse Definiert die E Mail Adresse an die die E Mail mit dem Initialisierungskennwort gesendet werden soll Parameter Lange des Kennworts Definiert die L nge des Kennworts O f r leeres Kennwort Wird der Parameter nicht angegeben wird der Standardwert verwendet Dieser kann ber die Konfigurationsoberfl che eingesehen und ver ndert werden Parameter NoPwEmaillsSmsSend Op
130. durch Blacklisten Bewertung vollst ndig oder durch Greylisting tempor r abgewiesen wurden Sektion Queue Control Siehe E Mails in der Warteschlange anzeigenl53 Schaltfl che Show queued mails W hlen Sie die Schaltfl che Show queued mails um anzuzeigen welche E Mails sich derzeit noch in der Warteschlage befinden Schaltfl che Retry to deliver queued mails W hlen Sie die Schaltfl che Retry to deliver queued mails um den Versand von E Mails in der Warteschlange auszul sen Sektion Log Archive Schaltfl che Download complete log W hlen Sie die Schaltfl che Download complete log um die komplette E Mail Log Datei einzusehen In der aktuellen E Mail Log Datei sind alle aktuellen sowie archivierten Log Informationen enthalten 2013 SEPPmail AG 151 Schaltfl che Download log archive W hlen Sie die Schaltfl che Download log archive um alle archivierten Log Informationen einzusehen Schaltfl che Delete log archive W hlen Sie die Schaltfl che Delete log archive um die das Log Archive zu l schen Sektion Filter In diesem Eingabefeld geben Sie die Werte ein nach denen die Log Dateien durchsucht werden sollen Als Ergebnis erhalten Sie eine bersicht mit den Log Informationen die den eingegebenen Filterwerten entsprechen W hlen Sie zus tzlich die Option Include recently archived logs aus so werden auch k rzlich archivierte Log Informatio
131. durch eine Onlineverbindung zum Lizenzserver F r die Registrierung und den Lizenzbezug ist es erforderlich dass SEPPmail eine Onlineverbindung ins Internet auf Zielport TCP 22 SSH herstellen kann Sollte dies nicht m glich sein so schlagen die Registrierung bzw der Lizenzbezug fehl 6 9 2 Lizenzdatei einspielen Men Administration gt Sektion License and Registration Die Lizenzierung der SEPPmail Appliance erfolgt nach kurzer Zeit automatisch wenn Sie die Appliance registrieren siehe Abschnitt Appliance registrieren 113 Um eine Lizenzdatei manuell einzuspielen klicken Sie auf die Schaltfl che Import License File Klicken Sie auf die Schaltfl che Browse um die Lizenzdatei auszuw hlen welche Sie einspielen m chten Sie k nnen die aktuellen Lizenzdaten im Men Home einsehen 2013 SEPPmail AG 116 Die Verwendung von Lizenzdateien wird f r Neuinstallationen nicht mehr unterst tzt Bei Neuinstallationen erfolgt die Lizenzierung ausschlie lich ber die Onlinelizenzierung 6 9 3 Appliance nach verf gbaren Updates pr fen Men Administration gt Sektion Update Um Ihre SEPPmail Appliance auf den neusten Softwarestand zu bringen stehen in der Konfigurationsoberfl che verschiedene M glichkeiten zur Verf gung Schaltfl chen Beschreibung Check for Update Pr ft Online auf neue Updates und zeigt eine Release Information an Fetch Update L dt ein vorhandenes Update herunter
132. e Prefetch reboot manually starten Sie den Download des Updates Nach erfolgtem Download wird eine Statusmeldung unterhalb der Schaltfl chen angezeigt Nach einen Reboot wird das zuvor heruntergeladene Update automatisch installiert Allgemeine Hinweise 2013 SEPPmail AG 117 Es kann unter Umst nden vorkommen dass Sie l ngere Zeit keine R ckmeldung erhalten Wenn dies der Fall ist aktualisieren Sie die Ansicht indem Sie auf den Link System Administration oberhalb der Schaltfl chen klicken Solange Sie nicht ausgeloggt wurden ist das Update noch nicht abgeschlossen Die SEPPmail Appliance muss nach Updates jeweils einen Neustart durchf hren und Sie m ssen sich neu anmelden F hren Sie diesen Schritt gegebenenfalls selbst durch falls das System lange keine R ckmeldung gibt Ihnen also nicht die Loginmaske angezeigt wird Pr fen Sie nach dem Neustart erneut ob weitere Updates zur Verf gung stehen Wenn Sie die Meldung You already have the latest version installed erhalten ist Ihre SEPPrmail Appliance auf dem neusten Softwarestand Sollten in Zukunft weitere Updates verf gbar sein wird dies nach einem Neustart automatisch im Men Home und im Men Administration angezeigt Wenn Sie auf das Men Administration zugreifen wollen und dieser Vorgang dauert sehr lange bzw l nger als gewohnt dann kann SEPPmail unter Umst nden keine Onlinepr fung auf neue Updates durchf hren Pr fen Sie ggf Ihre
133. e Ethernet autoselect I Interface2 aal 1esll Al end za m media L lcurrent state Ethernet autoselect IP ALIAS Addresses 1P Alias 0 24 e vho To Interface Interface 1 j Backup Lel current state Master IP Alias 1 pi fel e 24 w VHID 2 Interface Interface 1 Lel Priority Primary IP Alias 2 HU 24 vhn 1 2 Interface Interface 1 Priority Primary Le IP Alias 3 U Wl aa e vho 1 Ts Interface Interface 1 w Priority Primary Lel Note CARP is used for the alias addresses this means that you can use the same alias addresses on different devices for load balancing failover Set the same VHID for two or more equal addresses on same LAN segment ONLY Abbildung 4 Hochverf gbarkeitscluster automatischer Statuswechsel des sekund ren Systems das prim re Cluster Member System ist nicht verf gbar Somit ist die Clusterkonfiguration abgeschlossen Beim Einsatz eines Clusters ist folgendes zu beachten e Beim Routing von E Mails zum SEPPmail Cluster sollte immer die virtuelle Cluster IP Adresse angesprochen werden e Im internen E Mail Server und im externen MTA m ssen alle IP Adressen des Clusters berechtigt sein E Mails zuzustellen d h alle physischen und virtuellen IP Adressen des SEPPmail Cluster E Mail Relay Einstellungen der jeweiligen Komponenten e In der Firewall m ssen alle IP Adressen des Clusters berechtigt werden eine SSH Verbindung
134. e CRL Datei kann unter der folgenden Adresse direkt vom SEPPmail Webserver heruntergeladen werden https lt IP Adresse SEPPmail gt certs crl Sektion Internal CA Settings Passen Sie die Einstellungen der internen CA den Angaben Ihrer Organisation an Die angegebenen Werte werden beim Erzeugen von Zertifikaten durch die lokale SEPPmail CA ber cksichtigt Paramater Static Subject Part CG Land in dem die Organisation ihren Sitz hat OU Name der zust ndigen Organisationseinheit O Name der Organisation Parameter Validity in days G ltigkeit des CA Zertifikats in Tagen Parameter Extension settings gt Bereich Weitere Parameter name Name des Parameters value entsprechender Wert Beispiel SEPPmail unterst tzt als Standardfunktion das Ausstellen und Bereitstellen einer CRL als Datei zum Download von extern Um wirksam zu werden ist es erforderlich den Sperrlistenverteilungspunkt im Zertifikat selbst mit anzugeben 2013 SEPPmail AG 112 F gen Sie dazu folgenden zus tzlichen Parameter hinzu name E EE EE value URI https lt Hostname SEPPmail gt certs crl Sektion External CA Aktivieren Sie einen der vorhandenen CA Connectoren um automatisch Benutzerzertifikate ber die Managed PKI einer externen CA zu beziehen Bei einer Managed PKI handelt es sich um die Schnittstelle zu einem Zertifikatsanbieter der es erm glicht automatisiert Zertifikate abzurufen Dazu ist i d R
135. e E Mail Drehscheibe Parameter Run in queueless mode use with care Diese Einstellung bewirkt dass E Mails an einzelne Empf nger w hrend der Verarbeitung nicht zwischengespeichert werden Stattdessen wird die Verbindung einer eingelieferten E Mail erst dann quittiert wenn die verarbeitete E Mail erfolgreich an den n chsten E Mail Server weitergeleitet wurde und diese abgehende Verbindung quittiert wurde Wenn beim Versand an mehrere Empf nger die Annahme f r einige Empf nger nicht quittiert wird befinden sich diese E Mails kurzzeitig bis zur Quittierung durch die empfangenden E Mail Server auf der Appliance Parameter Completely disable secure webmail technology Mit dieser Option k nnen Sie die GINA Technologie zentral deaktivieren Dies kann erforderlich sein wenn SEPPmail von extern nicht erreichbar ist bzw die GINA Technologie nicht ben tigt wird Parameter Completely disable user based S MIME and openPGP Mit diesem Parameter k nnen Sie die Benutzerverschl sselung f r S MIME und OpenPGP zentral deaktivieren Dies kann erforderlich sein wenn Sie ausschlie lich die GINA Technologie oder ausschlie lich Domainverschl sselung nutzen wollen Sektion Ruleset gt Bereich Advanced Options gt Remote GINA Relay Use remote GINA server E Mail Adresse des Remote GINA Servers reachable under the following email address This is a remote GINA server Konfigurationsparameter wenn Sie SEPPmail a
136. e Group 2013 SEPPmail AG 164 6 14 4 Benutzer zuweisen und entfernen Men Groups Um einen Benutzer einer bestehenden Gruppe hinzuzuf gen w hlen Sie die Schaltfl che Edit neben der Gruppe der Sie einen Benutzer hinzuf gen wollen W hlen Sie die im Bereich Group members einen Benutzer F gen Sie diesen Benutzer durch w hlen der Schaltfl che Add user der Gruppe hinzu W hlen Sie zum Speichern des hinzugef gten Benutzer die Schaltfl che Save changes Um einen Benutzer aus einer Gruppe zu entfernen markieren Sie den Benutzereintrag in der Liste Group members und w hlen Sie zum Entfernen die Schaltfl che Remove selected users 2013 SEPPmail AG 165 6 15 Men punkt GINA accounts W hlen Sie den Men punkt GINA Konten um die automatisch erzeugten Webmail Konten der SEPPmail Appliance zu verwalten Folgende Vorg nge werden in den kommenden Abschnitten beschrieben bersichtlie3 GINA Benutzerkonten sperrenliel GINA Benutzerkonten Joschenhei GINA Benutzerkonten verwaltenlis 6 15 1 bersicht Men punkt GINA accounts Men GINA accounts Dieses Men ist in mehrere Bereiche aufgeteilt die zum Teil dynamisch erzeugt werden Dynamisch erzeugt bedeutet in diesem Zusammenhang dass f r jeden angelegten Kunden im Men Customer eine eigene Sektion angezeigt wird In dieser Sektion werden alle dem Kunden zugeordneten GINA Benutzerkonten angezeigt
137. e urspr ngliche E Mail Das Aussehen der Bounce E Mail wird durch die Vorlage definiert Der Absender dieser E Mail ist admin Der E Mail wird der Header der urspr nglichen E Mail als Dateianlage angeh ngt wenn Header als Anlage den booleschen Wert true hat Anstatt true kann auch yes oder 1 verwendet werden Der Befehl hat keinen R ckgabewert Dieser Befehl hat 2 Parameter 2013 SEPPmail AG 212 Hinweis e Alle nachfolgenden Befehle werden ignoriert e Dieser Befehl kann nicht die Bedingung einer if else Anweisung sein siehe Abschnitt if else Anweisungenl1s Parameter Vorlage Definiert die zu verwendende Vorlage Vorlagen k nnen im Men Mail Processing gt Sektion Edit Disclaimer verwaltet werden Parameter Header als Anlage Option zum Parameter Header als Anlage M gliche Werte true alternativ yes oder 1 Beispiel bounce bounce yes Erkl rung Die Auslieferung der E Mail soll verhindert werden und an den Absender soll eine E Mail geschickt werden Der Inhalt der E Mail ist in der Vorlage bounce definiert Der E Mail soll der Header der nicht ausgelieferten E Mail als Anlage angeh ngt werden Die Anweisung sieht wie folgt aus 7 5 3 deliver Der Befehl deliver erm glicht es eine E Mail unmittelbar auszuliefern Aufbau des Befehls deliver Mailserver Port loop queueless Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl
138. e zuerst ein Backup Kennwort festlegen Dieses wird beim Zur ckspielen eines Backups ben tigt Schaltf che Download Um die Datensicherung durchzuf hren klicken Sie auf die Schaltfl che Download Sie erhalten eine verschl sselte Datei zum lokalen Speichern F r die Verschl sselung wird das angegebene Kennwort verwendet Schaltf che Change Password Bevor Sie das Erste Backup erstellen ist er erforderlich dass Sie ein Kennwort zur Sicherung der Backupdateien vergeben Dieses Kennwort ben tigen Sie um die Backupdatei im Fehlerfall wieder einspielen zu k nnen Um das Kennwort f r zuk nftige Backups zu ndern klicken Sie auf die Schaltfl che Change Password Achtung die nderung wirkt sich nur auf zuk nftige Backups aus Backup Dateien aus der Vergangenheit sind weiterhin mit dem entsprechenden in der Vergangenheit gesetzten Passwort gesch tzt Schaltfl che Import Backup File Um eine Backup Datei einzuspielen und somit Einstellungen der Appliance wiederherzustellen klicken Sie auf die Schaltfl che Import Backup File Um die Wiederherstellung durchzuf hren w hlen Sie im anschliessenden Dialog die Backup Datei aus und geben Sie das dazugeh rige Passwort ein 6 9 5 Appliance neu starten oder herunterfahren Men Administration gt Sektion System Schaltfl che Beschreibung Reboot Neustart des Systems 2013 SEPPmail AG 119 Schaltfl che Beschreibung Shut
139. ebssystemen und Microsoft Outlook Versionen installiert werden Microsoft Windows Betriebssysteme e Windows XP e Windows Vista e Windows 7 32bit und 64bit e Windows Terminal Server Microsoft Outlook Versionen e Outlook 2000 e Outlook XP Outlook 2003 Outlook 2007 e Outlook 2010 32bit e Outlook 2010 64bit NET Framework Das NET Framework muss in der Version 3 5 SP1 oder neuer vorhanden sein Fehlt dieses versucht die Installationsroutine diese Komponente automatisch aus dem Internet zu beziehen und zu installieren 2013 SEPPmail AG 29 4 3 Download Das SEPPmail Add In f r Microsoft Outlook k nnen Sie auf der folgenden Webseite in der jeweils aktuellen Version herunterladen http di seppmail ch 4 4 Installation Die Installation besteht aus zwei Dateien Setup exe e Ist erforderlich um auf Windows Vista und Windows 7 bei eingeschaltetem UAC per Rechtsklick Als Administrator ausw hlen zu k nnen e Pr ft vor dem Ausf hren der msi Datei ob die Voraussetzungen f r die Installation z B NET Framework vorhanden sind SecureMailAddInSetup 1 2 6 msi F hrt die eigentliche Installation durch e Kann auch direkt gestartet werden wenn entsprechende Rechte vorhanden sind z B inaktives UAC und Administrator Rechte e Kann auch f r die automatisierte Software Verteilung verwendet werden 2013 SEPPmail AG 30 4 4 1 Installation mit Benutzeroberfl che Beispiel Windo
140. edrigen Werten das Risiko einer Falscherkennung so dass legitime E Mails als SPAM erkannt werden Eine als SPAM erkannte und markierte E Mail wird an den urspr nglichen Empf nger weitergeleitet 2013 SEPPmail AG 102 Parameter Check incoming mails for spam and redirect spam to leave empty to reject spam Sie k nnen mit diesem Parameter eingehende E Mails auf SPAM berpr fen und bei positiver Erkennung an die hier zus tzlich angegebene E Mail Adresse weiterleiten Der urspr ngliche Empf nger erh lt diese E Mail nicht mehr Wenn keine E Mail Adresse angegeben ist werden entsprechende E Mails gel scht Spam level Sie definieren hier einen Schwellwert ab dem eine eingehende E Mail als SPAM eingestuft und an die angegebene E Mail Adresse weitergeleitet wird Wenn keine E Mail Adresse angegeben ist werden entsprechende E Mails beim Empfang zur ckgewiesen Sektion Ruleset gt Bereich Header tagging Wird das SEPPmail System zusammen mit anderen E Mail verarbeitenden Systemen verwendet die darauf angewiesen sind dass eingehende ausgehende verschl sselte und entschl sselte E Mails eine spezielle Markierung erhalten so k nnen Sie diese Markierung durch selbst definierte X Header abbilden Ein zus tzliches E Mail verarbeitendes System kann diese durch SEPPmail gesetzten X Header auswerten und darauf reagieren Ein Beispiel f r ein zus tzliches E Mail verarbeitendes System kann ein Data Loss Prevention
141. efehl decrypt pgp erm glicht es PGP verschl sselte und signierte E Mails zu entschl sseln Aufbau des Befehls decrypt_pgp Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl versucht alle PGP verschl sselten und signierten Texte und Anlagen einer E Mail zu entschl sseln und deren Signaturen zu pr fen Der R ckgabewert ist positiv wenn mindestens ein Text oder eine Anlage entschl sselt oder deren Signatur erfolgreich gepr ft wurde Andernfalls ist der R ckgabewert negativ Dieser Befehl hat keinen Parameter 7 6 2 decrypt_domain_pgp Der Befehl decrypt domain pgp erm glicht es domainverschl sselte und signierte PGP E Mails zu entschl sseln Aufbau des Befehls decrypt domain pgp Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl versucht alle PGP verschl sselten und signierten Texte und Anlagen einer E Mail zu entschl sseln und deren Signaturen zu pr fen die durch den Absender via Domainverschl sselung verschl sselt wurden Der R ckgabewert ist positiv wenn mindestens ein Text oder eine Anlage entschl sselt oder deren Signatur erfolgreich gepr ft wurde Andernfalls ist der R ckgabewert negativ Dieser Befehl hat keinen Parameter 7 6 3 domain_pgp_keys_avail Der Befehl domain pgp keys avail erm glicht es die Verf gbarkeit von PGP Domian Public Keys zu berpr fen Aufbau des Befehls domain pgp keys avail Anwendung 2013
142. efehle f r die Benutzerverwaltung uusrsnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 205 e EE 205 member Ofisini ea REIHE 206 E e en hreeee T T A E E A 206 2013 SEPPmail AG A Befehle f r die Zertifikatsverwaltung uurssssennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 208 Slachpep Keessier 208 El E E 208 smimez create key nasser EEESENEEENEEEEEEeEE 208 smime e E E 209 Ee 209 5 Befehle f r die Handhabung von Nachrichten ursssneennsnnnnnnnnnnnnnnn nn 211 Elte EE 211 leie 211 ea E en SEENEN 212 lee EE 213 Cl lge 214 6 Befehle f r die Ver und Entschl sselung usrssssennnnnnnnnnnnnnnnnnnnnnnnnnn nn 216 ra 1al 81A 09 BE 81e 61 EE 216 deerypt domalin pgp mmer air rn EENS 216 elei siele EL DEE 216 depvpk Stplrtet eseu 217 decy ee lon le RE ln EE 217 elei Wu BC ET E 218 delete_smime_sigf 218 encrypt_PQP ureesnnnnnnn 219 encrypt_domain_pgp 219 enerypt Smimel as2a rinnen ees 220 Teia oi ae olna ert ege AT OTE T E E T 220 enerypt Webmail geeegndeeeekr Ee a Aerar aa e AE eT a Aa ara Aa aeaea A EE aaae i i erakoa RE 221 giele ere 222 POP Keys avalll iiutcs ei EA AE AEEA E E A E 222 ae Jo BEEEX 1 ET E 222 smime_keys_availf Gel Bon ln EE GU e EE Taaa ETAETA e11 Ta EE EE Cu e 224 VO en ET UE 225 Webmail k ys EE 226 pack_ma ill unpack_mail 7 Befehle f r LDAP Zugriff auf externe Quellen uuunsnssennns
143. eine bersicht aller den jeweiligen Gruppen zugeordneten Benutzern Eine Ausnahme bildet die folgende Gruppe backup Backup Operator Sie dient nicht zur Vergabe von Berechtigungen an Men punkten der Konfigurationsoberfl che W hlen Sie die Schaltfl che Create new user group um eine neue Gruppe anzulegen Siehe Gruppen erstellenhe Gruppen die einmal angelegt wurden k nnen nachtr glich nicht mehr gel scht werden admin Alle Mitglieder dieser Gruppe sind dem Standardbenutzer admin Administrator gleichgestellt und haben uneingeschr nkten administrativen Zugang zur Konfigurationsoberfl che mit allen Berechtigungen Um einen Benutzer Sicherheits quivalent zum Standardbenutzer admin zu machen f gen Sie diesen Benutzer der Gruppe admin Administrator hinzu administrationadmin Alle Mitglieder dieser Gruppe haben Zugriff auf das Men GUI Access to Administration in der Konfigurationsoberfl che Administration Section backup Dieses Gruppe ist eine Sonderbedeutung zugeordnet Sie Backup Operator unterscheidet sich von den Systemgruppen f r den Zugriff auf die Konfigurationsoberfl che dadurch dass kein Zugriff auf die Konfigurationsoberfl che erfolgt Alle Mitglieder dieser Gruppe erhalten das Systembackup des jeweiligen Systems einmal t glich via E Mail Das Systembackup wird t glich um 0 00 Uhr erzeugt und via E Mail an alle Mitglieder dieser Gruppe gesendet caadmin Alle Mitgliede
144. eispiel emnerypt Eeer yss eeng Eemeren Ore p Erkl rung In diesem Beispiel wird versucht alle Texte und Anlagen einer E Mail zu verschl sseln und zu signieren da Signatur den Wert yes hat Zum Verschl sseln wird der PGP Public Key des mit Adresse spezifizierten Empf ngers verwendet In unserem Fall recipient customer org 7 6 9 encrypt_domain_pgp Der Befehl encrypt domain pgp erm glicht es E Mails via PGP Domainverschl sselung zu verschl sseln Aufbau des Befehls encrypt domain pgp 2013 SEPPmail AG 220 Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl verschl sselt alle Texte und Anlagen der E Mail via PGP Domainverschl sselung Stehen nicht f r alle Empf nger Domain PGP Public Keys zur Verf gung werden zwei Gruppen gebildet Der R ckgabewert ist f r die Gruppe der Empf nger positiv f r die verschl sselt werden konnte F r die Gruppe der Empf nger f r die nicht verschl sselt werden konnte ist der R ckgabewert negativ Dieser Befehl hat keinen Parameter Beispiel encrypt domain pgp Erkl rung In diesem Beispiel wird versucht alle Texte und Anlagen einer E Mail via PGP Domainverschl sselung zu verschl sseln 7 6 10 encrypt_smime Der Befehl encrypt smime erm glicht es E Mails via S MIME zu verschl sseln Aufbau des Befehls encrypt_smime Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl verschl ssel
145. eitscode best tigen Pr fen Sie nach dem Neustart jeweils erneut ob weitere Updates zur Verf gung stehen Wenn Sie die Meldung You already have the latest version installed sehen ist Ihre SEPPmail Appliance auf dem neusten Stand Sollten in Zukunft weitere Updates verf gbar sein wird dies nach einem Neustart jeweils automatisch angezeigt 3 6 7 Das System registrieren Registrieren Sie Ihr System damit Sie eine permanente Lizenz erhalten Klicken Sie im Web Administrationsportal auf den Men punkt Administration und dann auf die Schaltfl che Register this device Es erscheint ein Registrierungsfenster F llen Sie die Felder im Registrierungsfenster mit Ihren Angaben aus Geben Sie in der oberen H lfte Ihre Kundeninformationen und in der unteren H lfte die Daten Ihrer Bezugsquelle ein Schlie en Sie die Eingaben ab indem Sie auf die Schaltfl che Send klicken Erscheint die Meldung Registration successful haben Sie den Registrierungsvorgang erfolgreich abgeschlossen 2013 SEPPmail AG 24 3 7 Wichtige Sicherheitsmassnahmen In den kommenden Abschnitten werden folgende Sicherheitsma nahmen beschrieben ndern des Administrator Passworts 24 Festlegen des HTTPS Protokolls f r den sicheren Zugriff auf die Appliancel2 Erstellen eines Backup Users zur regelm ssigen Sicherung der Appliancel2N 3 7 1 Administrator Kennwort ndern Bitte stellen Sie sicher dass das Kennwort des Benutzers admin
146. elche als Textanhang verwendet werden soll Vorlagen k nnen im Men Mail Processing gt Sektion Edit Disclaimer verwaltet werden Parameter Position top oberhalb des E Mail Body bottom unterhalb des E Mail Body Default bottom Parameter force Dieser Paramater erzwingt das hinzuf gen eines Textanhangs an eine ausgehende E Mail Option zum Parameter force M gliche Werte true oder yes oder 1 Beispiel lt ele ztwereoe HU Va VES Erkl rung In diesem Beispiel wird der Standard Textanhang anhand der Einstellungen innerhalb der Managed Domains ausgew hlt und am Ende jeder versendeten E Mail angeh ngt Es ist dabei unerheblich ob es sich um eine Antwort E Mail handelt oder nicht 7 2 7 from_managed_domain Der Befehl from managed domain erm glicht es zu pr fen ob eine E Mail von einem Absender einer Managed Domain gesendet wurde Aufbau des Befehls 2013 SEPPmail AG 192 from managed domain Der Befehl mu mit einem Semikolon abgeschlossen werden Der R ckgabewert ist positiv wenn die E Mail von einem Absender einer Managed Domain versendet wurde sonst negativ Der Befehl hat keinen Parameter Beispiel if from managed domain log 1 E Mail is from managed domain else log 1 E Mail isn t from managed domain Erkl rung In diesem Beispiel wird gepr ft ob eine E Mail von einer unter Managed Domains eingetrage
147. en bertragung von E Mails erfolglos bleiben Sie k nnen mit dieser Funktion das Aufkommen an SPAM E Mails deutlich reduzieren Der Empfang von gew nschten E Mails wird durch diese Funktion nicht verhindert sondern nur zeitlich verz gert Der E Mail Server des Absenders wird nach einer kurzen Zeit einen erneuten Zustellversuch unternehmen Die E Mail wird dann angenommen Als externe E Mails gelten alle E Mails die nicht von einem E Mail Server kommen der unter in der Sektion Relaying erfasst sind Hinweis 2013 SEPPmail AG 57 Diese Funktion wirkt nur dann wenn das SEPPmail System eingehende E Mails aus dem Internet direkt empf ngt Bereits von einem anderen E Mail Server eimpfangene und weitergeleitete SPAM E Mails k nnen durch diese Funktion nicht vermieden werden Hinweis zum Greylisting Greylisting ist eine Methode zur Bek mpfung von SPAM E Mails Bei dieser Funktion wird davon ausgegangen dass E Mail Server und E Mail Clients sich an den RFC Standard f r SMTP halten SPAM Versender benutzen oft keine RFC konforme Software zum Versenden von SPAM E Mails Das tempor re Abweisen der zu sendenden E Mail durch den Empf nger wird nicht ausgewertet und ein erneuter Zustellversuch wird nicht unternommen Sich selbst ndig ber E Mail verbreitende Viren werden auf diese Weise abgewiesen da sie ebenfalls keinen erneuten Zustellversuch unternehmen Es wird empfohlen die Option Greylist learning only
148. en Men Mail System Sektion Managed Domains Zum Erstellen einer neuen E Mail Domain w hlen Sie in der Konfigurationsoberfl che die Schaltfl che Add Domain Domain Name Tragen Sie im Bereich Domain Name den oder die E Mail Domainnamen ein die Sie mit Ihrer Appliance verwalten m chten Hierbei handelt es sich um Ihre Domain s passend zu den E Mail Adressen Ihrer Organisation Wenn Sie beim Anlegen mehrere E Mail Domainnamen im Eingabefeld eintragen separieren Sie diese jeweils mit einem Leerzeichen Forwarding Server IP or MX Im Bereich Forwarding Server IP or MX name tragen Sie name die IP Adresse oder den Hostnamen des f r die E Mail Domain zust ndigen E Mail Servers ein Stellen Sie sicher dass SEPPmail den entsprechenden E Mail Server unter der angegebenen IP Adresse oder dem Hostnamen falls notwendig erreichen kann Die Appliance wird eingehende E Mails der definierten Domain s entschl sseln und an den entsprechenden E Mail Server weiterleiten Assign to customer W hlen Sie den Kunden aus dem diese E Mail Domain zugeordnet werden soll 6 5 3 Ausgehenden E Mail Verkehr steuern Men Mail System Sektion Outgoing Server Wenn SEPPmail E Mails direkt an externe E Mail Empf nger senden soll w hlen Sie die Option Use built in mail transport agent Falls der externe Versand durch einen bestehenden E Mail Server erfolgen soll definieren Sie den entsprechenden Server als Outgoing
149. en Abschnitten beschrieben Neuen Kunden erstellenhs Bestehenden Kunden verwaltenlis Bestehenden Kunden l schenlts3 Allgemeiner Informationen Wenn Sie die Funktion Multitenancy aktiviert haben dann ndert sich der E Mail Datenfluss zwischen Absender und Empf nger wie folgt E Mails werden nur zwischen Absendern und Empf ngern bertragen die demselben Kunden zugeordnet sind Wenn ein GINA Empf nger nicht demselben Kunden zugeordnet ist wie der Absender dann wird ein neues GINA Benutzerkonto erstellt unter den Kunden dem auch der Absender zugeordnet ist Im GINA Portal angemeldete Benutzer k nnen nur an die internen Empf nger Nachrichten versenden die demselben Kunden zugeordnet sind Alle S MIME Zertifikate und PGP Schl sselpaare f r dieselbe E Mail Adresse werden mit allen GINA Benutzerkonten geteilt die ebenfalls dieselbe E Mail Adresse haben Jeder Kunde ist einer oder mehreren Managed E Mail Domains exklusiv zugewiesen Eine Managed E Mail Domain kann nicht mehreren Kunden zugewiesen werden Benutzer die E Mail Adressen haben deren Domain einem Kunden zugewiesen wurde werden automatisch ebenfalls demselben Kunden zugewiesen Andere Benutzer k nnen einem Kunden manuell zugewiesen werden GINA Empf nger m ssen einem Kunden immer manuell zugewiesen werden GINA Benutzerkonten und Managed E Mail Domains k nnen immer nur einem einzigen Kunden zur gleichen Zeit zugewiesen werden Keinem Kunden explizit zugewiesene
150. en Authentifizierung nachgewiesen werden Die nachfolgende Abbildung zeigt ein Beispiel einer GINA Nachricht 7 r D NM ev test Nachricht HTML x Nachricht Entwicklertools N Xx B In Ordner verschieben Absender sperren 7 Kategorisieren 4 v Regel erstellen amp Listen sicherer Adressen Nachverfolgung Antworten Allen Weiterleiten L schen Suchen antworten L Andere Aktionen 3 Als ungelesen markieren P Antworten Aktionen Junk E Mail EI Optionen E Von u3sec andreas berger webinit net Gesendet Fr 05 03 2010 19 59 An andy test2 swisssecure ch Nachricht secure email htm 6 KB In Sie haben ein verschl sseltes E Mail erhalten Sie k nnen die Nachricht anschauen indem Sie die angef gte Dateianlage in einem Internetbrowser z B Internet Explorer ffnen und das entsprechende Passwort eingeben Je nach Dateigr sse und Internetverbindung kann es eine Weile dauern bis das Anmeldefenster angezeigt wird Sollte dies das erste verschl sseltes E Mail sein das sie von uns erhalten wird Ihnen das Passwort vom Absender mitgeteilt Sie k nnen das Passwort nach Ihren W nschen ndern Zuk nftige Emails die Sie von uns erhalten ffnen Sie immer mit demselben Passwort Sie haben bereits ein Passwort erhalten dieses jedoch vergessen Setzen Sie sich bitte mit dem Absender dieses E Mails in Verbindung Wenn Sie das E mail im Internetbrowser beantworten wird Ihre
151. en Benutzerskontos w hlen Sie die Schaltfl che Create new user account F llen Sie folgende Felder aus um den Benutzer zu erstellen Full Name Vollst ndiger Name des Benutzers Parameter User ID 2013 SEPPmail AG 157 Erfassen Sie in diesem Feld die Benutzer ID des Benutzers z B die E Mail Adresse oder einen anderen eindeutigen Wert Ben tigt wird diese ID zum Anmelden an der Konfigurationsoberfl che Parameter Full Name Vollst ndiger Name des Benutzers z B Robert Lander Hinweis Geben Sie den vollst ndigen Namen des Benutzers unbedingt ein da dieser Wert beim Erstellen von Benutzerzertifikaten erforderlich ist Parameter E Mail Erfassen Sie in diesem Feld die E Mail Adresse des Benutzers Anhand dieser E Mail Adresse werden gepr ft ob ein Absender berechtigt ist die Cryptofunktion von SEPPmail zu nutzen F r alle Absender die kein Benutzerkonto haben wird die Cryptofunktion nicht angewendet Parameter Password Erfassen Sie in diesem Feld das Kennwort des Benutzers geben Sie dieses zwei Mal ein Hinweis Ein Passwort f r den Benutzer wird nur dann ben tigt wenn dieser administrative Berechtigung an der Konfigurationsoberfl che erhalten soll Die Berechtigung f r den Zugriff auf bestimmte Men punkte kann durch die Auswahl der Gruppen definiert werden 6 13 3 Interne Benutzer verwalten Men Users Um die Details eines Benutzers zu bearbeiten klicken Sie auf die User ID d
152. en k nnen Allgemeine Informationen zu den Cluster Betriebsartenh23 Hocherverf gbarkeitscluster 123 Load Balancing Clusterl123 Geo Cluster MultiSite System J 133 Frontend Backend Clusterhs Einrichten eines Clusterkonfigurationhs 6 10 1 Allgemein Es gibt verschiedene Arten eines Cluster Betriebs die durch SEPPmail unterst tzt werden Ein Cluster bezeichnet einen Rechnerverbund aus mehreren vernetzten Computersystemen Diese miteinander vernetzten Computersysteme sind zwar physisch getrennt werden aber logisch als eine Einheit betrachtet So ist es m glich dass ein Cluster als ein einziges logisches System angesprochen werden kann tats chlich aber aus mehreren physischen Systemen besteht F r den Einsatz eines Clusters gibt es verschiedene Zielsetzungen die sich ja nach Anwendung unterscheiden F r ein Cluster aus mehreren SEPPmail Systemen gibt es die folgenden 4 Betriebsarten 1 Hochverf gbarkeitscluster zur Ausfallsicherheit Failover 2 Load Balancing Cluster zur Lastverteilung Aufteilung des eingehenden und ausgehenden Mailflusses auf je ein Cluster Member System Einsatz eines externen Load Balancers zum verteilen des E Mails auf verschiedene Cluster Member Systeme je nach Konfiguration Lastverteilung basierend auf dem DNS Round Robin Verfahren er DNS 3 Geo Cluster zum replizieren von Konfigurationsdatenbanken auf geografisch http de wikipedia org wiki Lastverteilun voneinander entfernte Systeme
153. enPGP Schl ssel herunterladen oder l schenh7 6 16 1 bersicht Men punkt PGP public keys Key ID Schl ssel ID des Schl sselpaars E mail addresses Benutzer ID des Schl sselpaars Benutzemame innerhalb des Schl sselpaars Ausstellungsdatum des Schl sselpaars Ablaufdatum des Schl sselpaars 6 16 2 OpenPGP Schl ssel importieren Men PGP public keys Zum Importieren eines bestehenden OpenPGP Schl sselpaar klicken Sie die Schaltfl che Import PGP key Beim Import eines OpenPGP Schl ssels k nnen Sie die entsprechende Datei ausw hlen oder den Schl ssel in Textform einf gen 6 16 3 OpenPGP Schl ssel herunterladen oder l schen Men PGP public keys Um einen ffentlichen OpenPGP Schl ssel von der SEPPmail Appliance auf Ihren PC herunterzuladen oder zu l schen klicken Sie auf die Key ID des Schl ssels Zum Herunterladen des OpenPGP Keys w hlen Sie die Schaltfl che Download public key M chten Sie hingegen den OpenPGP Schl ssel l schen w hlen Sie die Schaltfl che Delete Key Zus tzlich k nnen Sie einen Kommentar zudem PGP public key im Feld Comment erfassen 2013 SEPPmail AG 172 6 17 Men punkt X 509 Certificates W hlen Sie den Men punkt X 509 Certificates um die S MIME Benutzerzertifikate der Kommunikationepartner auf der SEPPmail Appliance zu verwalten Folgende Vorg nge werden in den kommenden Abschnitten beschrieben bersichtl173 S MIME Schl ssel impo
154. enutzername E Mail Adresse Schritt 3 Best tigen Sie den Activation Link in der Best tigungs E Mail Das neu angelegte GINA Konto wurde nun aktiviert und kann genutzt werden Schritt 4 Melden Sie sich hierzu mit Ihren Anmeldedaten an Nach der erfolgreichen Anmeldung an Ihren neuen GINA Konto k nnen Sie Ihr Konto verwalten oder eine neue GINA Nachricht verfassen Weitere Informationen erhalten Sie im Men GINA Webmail Konto verwalten N 2013 SEPPmail AG 81 6 6 1 7 GINA Benutzerkonto verwalten Zum Verwalten des eigenen GINA Benutzerkontos ist es erforderlich das GINA Portal im Webbrowser aufzurufen Sie gelangen ber den folgenden Link zum GINA Portal https lt IP Adresse oder Hostname gt web app Zur Administration eines GINA Benutzerkontos stehen die folgenden Schaltfl chen zur Verf gung Write e mailt Grottes Edit profilele Change password 8 Keys Certificates 8 Schaltfl che Write e mail W hlen Sie die Schaltfl che Write e mail um eine neue GINA Nachricht zu erzeugen Als Absender wird Ihre eigene E Mail Adresse verwendet Als Empf nger k nnen Sie alle E Mail Adressen verwenden die im E Mail Routing des SEPPmail Systems eingerichtet sind Hierbei handelt es sich um die internen E Mail Adressen desjenigen der das SEPPmail System betreibt Es ist nicht m glich GINA Nachrichten an beliebige externen Empf nger im Internet zu verwenden Die Relayberechtigung gilt f r alle internen E
155. er Befehl l scht eine Signatur aus der signierten E Mail Der R ckgabewert ist positiv wenn die E Mail nach dem S MIME Verfahren signiert war Andernfalls ist der R ckgabewert negativ Dieser Befehl hat keinen Parameter Hinweis Die G ltigkeit der S MIME Signatur wird nicht gepr ft 2013 SEPPmail AG 219 7 6 8 encrypt_pgp Der Befehl encrypt pgp erm glicht es E Mails via PGP zu verschl sseln und zu signieren Aufbau des Befehls enenypcBpgpIa Soma TL T ekeeasee 11 3 Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl verschl sselt alle Texte und Anlagen der E Mail Zus tzlich werden sie signiert wenn die Signatur den booleschen Wert true hat Anstatt true kann auch yes oder 1 verwendet werden Ist die Adresse spezifiziert wird ausschliesslich der PGP Public Key dieses Empf ngers zum Verschl sseln aller E Mails f r alle Empf nger verwendet Stehen nicht f r alle Empf nger PGP Public Keys zur Verf gung werden zwei Gruppen gebildet Der R ckgabewert ist f r die Gruppe der Empf nger positiv f r die verschl sselt werden konnte F r die Gruppe der Empf nger f r die nicht verschl sselt werden konnte ist der R ckgabewert negativ Dieser Befehl hat 2 Parameter Parameter Signatur Option zum Parameter Signatur M gliche Werte true oder yes oder 1 Parameter Adresse E Mail Adresse des Empf ngers dessen PGP Public Key zum Verschl sseln verwendet werden soll B
156. er Gruppen definiert werden Parameter Encryption Settings Hier k nnen Sie den administrativen Status des Benutzerkontos beeinflussen Sie k nnen die Cryptofunktionen des Benutzers durch die folgenden Optionen einschr nken oder wieder freigeben 1 May not encrypt mails deaktiviert das verschl sseln ausgehender E Mails f r diesen Benutzer 2 May not sign mails deaktiviert das signieren ausgehende E Mails f r diesen Benutzer Wenn Sie beide Optionen aktivieren dann wird das Benutzerkonto deaktiviert Der Benutzer kann in diesem Fall die Cryptofunktionen f r ausgehende E Mails nicht mehr nutzen Eingehende E Mails werden weiterhin entschl sselt Durch das Deaktivieren des Benutzerkontos bleibt dieses in der Konfiguration erhalten es wird aber keine Benutzerlizenz verbraucht 2013 SEPPmail AG 159 Hinweis Ben tigt ein Benutzer die Cryptofunktionen von SEPPmail nicht mehr und existiert f r diesen Benutzer S MIME oder OpenPGP Schl sselmaterial so empfehlen wir das Benutzerkonto nicht zu l schen sondern zu deaktivieren Die verbrauchte Benutzerlizenz wird dadurch wieder frei Eingehende E Mails f r diesen Benutzer k nnen weiterhin entschl sselt werden L schen Sie das Benutzerkonto mit existierenden Schl sselmaterial so wird ebenfalls eine verbrauchte Benutzerlizenz freigegeben Eingehende E Mails f r diesen Benutzer k nnen dann nicht mehr durch SEPPmail entschl sselt werden Das Benutzerzertifikat eine
157. er Import des SSL Device Zertifikats im Men SSL ben tigt alle brigen Einstellungen wie z B die Einstellungen im Men Mail Processing und weitere werden beim Erstellen des Clusters automatisch bernommen 4 In einer virtualisierten Umgebung muss eine zweite virtual Appliance importiert werden Diese darf kein Duplikat der bestehenden ersten Instanz sein 5 Im ersten SEPPmail System die Cluster Identifizierung herunterladen 6 Das Zweite SEPPmail System dem Cluster hinzuf gen 7 Festlegung und Konfiguration der virtuellen IP Adresse n des Clusters Je nach Betriebsart des Clusters werden eine oder zwei virtuelle IP Adressen ben tigt Wird das Cluster als reiner Hochverf gbarkeitscluster Failover Cluster betrieben keine Aufteilung des ein und ausgehenden E Mail Datenflusses dann wird nur eine virtuelle Cluster IP Adresse ben tigt Wird das Cluster zus tzlich f r Load Balancing zur Erh hung der Performance eingerichtet dann werden zwei virtuelle Cluster IP Adressen ben tigt 2013 SEPPmail AG 137 Auch bei dieser Betriebsart Hochverf gbarkeitscluster mit zus tzlichem Load Balancing bleibt das Failover Verhalten des Clusters erhalten 6 10 6 2 Sicherheitshinweise Wenn Sie ein neues SEPPmail System einem bestehenden Clusterverbund hinzuf gen oder erstmalig einen Clusterverbund erzeugen so wird die gesamte bestehende Clusterkonfiguration auf dieses neue Cluster Member System repliziert und danach
158. er Netzwerkeinstellungen wie z B IP Adresse Host und Domainname Routing System Datum und Uhrzeit Mail System Einrichtung des SEPPmail E Mail Systems E Mail Domains und E Mail Routing E Mail Relay Server Access Control TLS AntiSPAM Blacklists Whitelists Mail Processing Regeln zur Verarbeitung von E Mails Verwaltung von GINA Domains SMS Kennwortversand Disclaimer E Mail Templates Virenscanner und SPAM Protection Regeln und Schwellwerte Regelwerk f r E Mail Signierung Ver und Entschl sselung verwalten anzeigen laden SSL Device Zertifikat f r den SEPPmail Secure Webmail Webserver einrichten und sichern CA Eigene Zertifizierungsstelle CA einrichten Connector zur SwissSign CA einrichten CA Zertifikat anfordern und sichern Administration SEPPrmail registrieren Software Updates installieren Datensicherung erstellen und zur cksichern SEPPmail neu starten oder herunterfahren SEPPmail auf Werkseinstellungen zur cksetzen bestehende Benutzer oder Schl ssel importieren ausgehende Supportverbindung aktivieren Cluster Cluster Verbund mit mehreren SEPPmail Systemen einrichten E Mail Logdateien einsehen und verwalten Statistics Grafische Anzeige des verarbeiteten E Mail Verkehrs und der Systemauslastung SEPPmail Benutzerkonten erstellen und verwalten SEPPmail Gruppen erstellen und verwalten 2013 SEPPmail AG 42 GINA accounts Verwalten von automatisch erzeugten GINA Konten GINA bezeichnet die fr here Se
159. er Vorgang abgeschlossen ist schaltet sich SEPPmail automatisch aus Damit alle auf dem System gespeicherten Daten sicher gel scht werden haben Sie die M glichkeit durch das Aktivieren des Parameters Secure Overwrite Partitions will be overwritten ten times with random data might take very long die Bereiche des Datenspeichers 10 Mal mit zuf lligen Daten zu berschreiben Dieser Vorgang dauert sehr lange bietet aber eine h here Sicherheit vor unberechtigtem Wiederherstellen von gel schten Daten 6 9 7 Bestehende Benutzer oder Schl ssel importieren Men Administration gt Sektion Import Schaltfl che Beschreibung Import Users CSV Importieren von Benutzern aus einer CSV Datei Import GINA Users CSV Importieren von GINA Benutzern aus einer CSV Datei 2013 SEPPmail AG 120 Schaltfl che Beschreibung Import openPGP secret keys Importieren von OpenPGP Schl sseln Import S MIME keys Import von S MIME Schl sselpaaren Import S MIME certificates Import von S MIME public Keys Schaltfl che Import Users CSV Import Benutzerkonten importieren Sie indem Sie auf die Schaltfl che Import neben Import Users CSV klicken Die Datei mit Benutzerinformationen muss im CSV Comma Separated Values Format vorliegen und folgende Syntax aufweisen USERID NAME EMAIL PASSWORD Das Feld PASSWORD ist optional Die importierten Benutzer werden im Men Users angezeigt Schaltfl che Import GI
160. er verarbeiteten E Mail gesendet Die E Mail Adresse des Absenders steht ber die Variable sender zur Verf gung Als Nachrichteninhalt wird der Inhalt der Vorlage bounce noenc verwendet Es werden zus tzlich die Header Erom und X MyHeader mit den jeweiligen Werten eingef gt Beispiel 2 notify revision customer com monit rev From System Admin lt admin customer com gt X MyHeader Revision Erkl rung Bei der Verarbeitung einer E Mail wird eine zus tzliche E Mail Benachrichtigung erzeugt Diese wird an die E Mail Adresse revision customer com gesendet Als Nachrichteninhalt wird der Inhalt der Vorlage monit rev verwendet Es werden zus tzlich die Header From und X MyHeader mit den jeweiligen Werten eingef gt 7 2 13 replace_rcpt Der Befehl replace rcpt erm glicht es den die Empf nger einer E Mail zu ndern Aufbau des Befehls ceplace Aere ene ULOHDRECITEITRNTIZTZEINEINRRIEIFPATRN TEE 2013 SEPPmail AG 198 Der Befehl mu mit einem Semikolon abgeschlossen werden Die Empf nger der verarbeiteten E Mail k nnen in Abh ngigkeit der verwendeten Parameter ver ndert werden Jeder Parameter entspricht einem regul ren Ausdruck der als Ergebnis eine E Mail Adresse oder einen Teil einer E Mail Adresse liefern muss Wird f r den Parameter OLDRECIPIENT der Wert admin customer com angenommen das ist der in der E Mail enthaltene urspr ngliche Empf nger und f r den Param
161. erlich 7 7 4 Idap_getpgpkeys Der Befehl Idap getpgpkeys erm glicht es PGP Public Keys bei einem LDAP Verzeichnisdienst abzurufen Aufbau des Befehls ldap _ getpgpkeys QURT USER PASSWORD BASEDN Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl erm glicht es PGP Public Key f r jeden Empf nger einer E Mail bei einem LDAP Verzeichnisdienst anzurufen Der R ckgabewert ist immer positiv Dieser Befehl hat 1 Parameter Paramater Beispiel URI Idap directory domain tid USER Benutzername zur Anmeldung am LDAP Verzeichnis PASSWORD Kennwort zur Anmeldung am LDAP Verzeichnis BASEDN ou pki participant dce pki dce domain dc tld Die IP Adresse oder der Name des LDAP Servers Es k nnen auch zwei mit Komma getrennte Werte angegeben werden In diesem Fall wird automatisch auf den zweiten Server zugegriffen wenn der erste nicht erreicht werden kann USER Der User welcher f r den Zugriff verwendet werden soll PASSWORD Das Passwort des Users BASEDN Die Base DN Distinguished Name f r die Abfrage Beispiel 2013 SEPPmail AG 233 Idape amp getpgpkeys nldap directory domasinzeld 2 ou pkicparereipane de pkas de domain de tld Erkl rung In diesem Beispiel wird f r den Empf nger einer E Mail der PGP Public Key bei einem LDAP Verzeichnisdienst abgefragt Der Zugang zu diesem LDAP Verzeichnisdienst ist ffentlich deshalb sind keine Anmeldeinformationen erfo
162. ert ist k nnen Sie im Men Home in der Sektion License sehen Um diese Funktionen zu verwenden gehen Sie folgenderma en vor ffnen Sie eine bereits erhaltenen GINA Nachricht Im Anmeldedialog klicken Sie den Forgot your Password Sie erhalten daraufhin eine Auswahl der M glichkeiten wie Sie das Kennwort zur cksetzen k nnen In Abh ngigkeit der Sicherheitseinstellungen f r das Zur cksetzen des Kennworts werden Ihnen die folgenden M glichkeiten angeboten Sie haben im Rahmen der Funktion Self Service Passwort Management SSPM zus tzlich zu den Standard Funktionen folgende M glichkeiten das Kennwort zur ckzusetzen default Reset by hotline Standard Siehe GINA Webmail Domains verwalten A Reset by Email verification Standard Siehe GINA Webmail Domains verwalten 72 Reset by hotline Standard Siehe GINA Webmail Domains verwalten 72 Reset by hotline no Standard Siehe GINA Webmail Domains verwalten 2 reminder question answer Diese folgenden M glichkeiten f r das Zur cksetzen eines Kennworts k nnen nur im Rahmen der Funktion Self Service Passwort Management SSPM ausgef hrt werden Reset by SMS der Webmail Benutzer erh lt ein neues Kennwort via SMS wenn die Sicherheitsfrage richtig beantwortet wurde danach muss der Webmail Benutzer ein neues Kennwort ausw hlen und speichern Let user choose between der Webmail Benutzer hat die M glichkeit dass Zur cksetzen hotline and SMS des Kennwo
163. erver und Clients sich an den RFC Standard f r SMTP halten Spammer benutzen oft keine RFC konforme Software zum Versenden von Spam Mails Sie kommen mit dem Fehler nicht zurecht und merken sich nicht dass sie es sp ter nochmals versuchen m ssten Sich selbst ndig verbreitende Viren werden auf diese Weise abgewiesen da sie ebenfalls keinen zweiten Versuch des Versendens vornehmen Es wird empfohlen den Parameter Greylist learning only no mail rejection ca einen Monat zu nutzen bevor der 2013 SEPPmail AG 65 Parameter Use Greylisting aktiviert wird Durch den Parameter Greylist learning only no mail rejection befindet sich SEPPmail bez glich Greylisting in einem Lernmodus und weist keine E Mails permanent ab Use Antispam Engine Note Aktivieren Sie diesen Parameter um das Protection Pack Anti remember to activate in spam Anti virus f r Anti SPAM zu nutzen ruleset Use Antivirus Engine Note Aktivieren Sie diesen Parameter um das Protection Pack Anti remember to activate in spam Anti virus f r Anti Virus zu nutzen ruleset Require HELO command Es wird gepr ft ob der sendende Mailserver das HELO Kommando benutzt Ist dies nicht der Fall werden bei Aktivierung dieser Option keine Mails angenommen PTR check reverse DNS Spammer benutzen oft nicht in DNS eingetragene Mailserver lookup Wenn diese Option aktiv ist werden keine Mails von entsprechenden Mailservern angenommen Chec
164. es using SMTP Lookups Empf ngers vorab bei dem f r die E Mail Domain eingerichteten E Mail Server an den die E Mails weitergeleitet werdeb berpr ft wird Verl uft die Pr fung der Empf nger E Mail Adresse nicht erfolgreich wird die Annahme der E Mail vom SEPPmail System verweigert Sektion Outgoing Server Use built in mail transport Dieser Parameter bewirkt dass ausgehende E Mails in Richtung agent Internet direkt durch das SEPPmail System an den Ziel E Mail Server des E Mail Empf ngers zugestellt wird Use the following SMTP M chten Sie ausgehende E Mails in Richtung Internet nicht server direkt zustellen empfielt sich die Verwendung eines E Mail Relay Servers bei Ihrem Provider Alle ausgehenden E Mails werden an diesen E Mail Relay Server bertragen welcher dann Ihre E Mails in Richtung Empf nger weiterleitet Sie k nnen alternativ auch einen bestehenden internen E Mail Server f r den Versand nutzen Server name Geben Sie hier bitte den Hostnamen oder die IP Adresse des E Mail Relay Servers Ihres Providers oder des bestehenden internen E Mail Servers ein 2013 SEPPmail AG 55 Hinweis Verwenden Sie hier nach M glichkeit einen Hostnamen da sich IP Adressen f r E Mail Relay Server schneller ndern k nnen und dadurch zus tzlicher Aufwand bei der Konfiguration des Systems vermieden werden kann Wenn Sie einen bestehenden internen E Mail Server verwenden k nnen Sie dessen IP Adresse verwende
165. es die Adresse der Firewall oder einer Reverse Proxies 2013 SEPPmail AG 17 Web Application Firewall In einfachen Installationen kann dazu die IP Adresse verwendet werden unter der Ihr Internet Router von extern erreichbar ist Sie finden diese Information mit folgenden Schritten 1 ffnen Sie auf einem Windows PC eine Eingabeaufforderung und geben Sie den Befehl nslookup ein und dr cken Sie Enter 2 Geben Sie nach dem gt Zeichen Prompt set querytype mx ein und best tigen Sie mit Enter 3 Geben Sie die E Mail Domain Ihrer Organisation ein z B ihredomain com und best tigen Sie mit Enter 4 Sie erhalten eine oder mehrere Antworten mit dem Begriff mail exchanger Servernamen hinter dem Begriff mail exchanger mit der geringsten MX Preference Nummer haben die h chste Priorit t bei der Namensaufl sung 2013 SEPPmail AG 3 4 SEPPmail Appliance anschliessen Falls Sie die VM Version Virtual Machine der SEPPmail Appliance erworben haben starten Sie Ihre virtuelle Appliance Wenn Sie die Hardware Version besitzen schlie en Sie die SEPPmail Appliance wie folgt an 1 Verbinden Sie die mit LAN1 oder eth0 gekennzeichnete Ethernet Schnittstelle der SEPPmail Appliance mit der Ethernet Schnittstelle Ihres Computers Benutzen Sie dazu ein gekreuztes RJ45 Patchkabel auch bekannt als Crossover Kabel Alternativ k nnen Sie einen Ethernet Hub oder Ethernet Switch mit einem normalen RJ45 Patch
166. es durch die angegebene E Mail definierten Benutzers Parameter S MIME sign outgoing mails with the following text in subject Standard sign Sie k nnen einen Tag definieren um eine ausgehende E Mail zu signieren F gen Sie diesen Tag incl der eckigen Klammern in der Betreffzeile hinzu Falls ausgehende E Mails nicht standardm ig signiert werden so kann der Benutzer die Signierung der aktuellen E Mail initiieren Die Backslash innerhalb des Tags stellen Escape Symbole dar Dieses sind durch den Benutzer nicht einzugeben Beispiel Betreff sign Sichere E Mail Verschl sselung Parameter Sign all outgoing Emails if S MIME certificate available Aktivieren Sie diesem Parameter um s mtliche ausgehenden E Mails zu signiert sofern ein entsprechende S MIME Zertifikat f r den Absender vorhanden sind Parameter Do not S MIME sign outgoing mails with the following text in subject Standard nosign Sie k nnen einen Tag definieren um eine ausgehende E Mail NICHT zu signieren F gen Sie diesen Tag incl der eckigen Klammern in der Betreffzeile hinzu so wird diese E Mail durch das Ruleset nicht cryptografisch verarbeitet falls dies evtl der Voreinstellung entsprechen sollte Das Ruleset kann somit umgangen werden Die Backslash innerhalb des Tags stellen Escape Symbole dar Dieses sind durch den Benutzer nicht einzugeben Die Backslash innerhalb des Tags stellen Escape Symbole dar Diese sind durch den Benu
167. es entsprechenden Benutzers Sektion User Data Full Name vollst ndiger Name des Benutzers editierbar E Mail E Mail Adresse des Benutzers muss eindeutig sein Password Kennwort des Benutzers Encryption Settings administrativer Status des Benutzerkontos 2013 SEPPmail AG 158 Parameter Beschreibung Notification Settings Lesebest tigung f r GINA Nachrichten User Statistics statistische bersicht des Systembenutzung Parameter User ID Benutzer ID des Benutzers z B die E Mail Adresse oder ein anderer eindeutiger Wert Dieser Parameter ist Read Only und kann nachtr glich nicht mehr ver ndert werden Die Benutzer ID ist der Anmeldename des Benutzers f r den Zugang zur Konfigurationsoberfl che Parameter Full Name Vollst ndiger Name des Benutzers Dieser Parameter kann nachtr glich ver ndert werden Hinweis Geben Sie den vollst ndigen Namen des Benutzers unbedingt ein da dieser Wert beim Erstellen von Benutzerzertifikaten erforderlich ist Parameter E Mail E Mail Adresse des Benutzers Dieser Parameter ist Read Only und kann nachtr glich nicht mehr ver ndert werden Parameter Password Das Kennwort des Benutzers kann hier neu vergeben werden Hinweis Ein Passwort f r den Benutzer wird nur dann ben tigt wenn dieser administrative Berechtigung an der Konfigurationsoberfl che erhalten soll Die Berechtigung f r den Zugriff auf bestimmte Men punkte kann durch die Auswahl d
168. et entgegengesetzt der vorherigen Darstellung und reagiert immer als erstes System wenn die virtuelle IP Adresse 10 10 0 2 angesprochen wird Das Cluster Member System mit der IP Adresse 10 10 0 9 ist als Secondary eingerichtet und reagiert nur dann wenn der Cluster Member Primary nicht verf gbar ist Zusammenfassung Jedes einzelne SEPPmail System kann ber zwei verschiedene virtuelle IP Adressen angesprochen werden und reagiert mit jeweils unterschiedlichen Priorit ten einmal als Primary und einmal als Secondary Dadurch ist der Betrieb beim Ausfall eines Cluster Member Systems weiterhin m glich Das verbliebene Cluster Member System bernimmt dann die Arbeit des nicht mehr verf gbaren Systems und wird alle ein und ausgehenden E Mails verarbeiten F r die Nutzung von Enhanced Secure Webmail kann eine virtuelle Cluster IP Adresse 10 10 0 1 angesprochen werden In Abh ngigkeit der Cluster Member Priorit ten wird im Beispiel in Abbildung 1 das Cluster Member System mit der IP Adresse 10 10 0 9 antworten da dies mit der Priorit t Primary eingerichtet ist Ist dieses System nicht verf gbar so wird das Cluster Member System mit der IP Adresse 10 10 0 10 antworten da dies mit der Priorit t Secondary eingerichtet ist Das einrichten der virtuellen IP Adressen und das Zuweisen den Priorit ten f hren Sie im Men System durch Load Balancing Cluster statisch virtuelle Cluster IP Adresse 10 10 0 1 inter
169. et und an den Absender zur ckgesendet Dies kann dann erforderlich sein wenn sich im Posteingang eines Benutzers noch verschl sselte E Mails befinden Diese k nnen zur erneuten Entschl sselung an die Appliance gesendet werden und verarbeitet bzw entschl sselt werden Der Befehl hat keinen R ckgabewert Dieser Befehl hat keinen Parameter 2013 SEPPmail AG 215 Hinweis e Die urspr ngliche Message ID wird aus den neu entschl sselten E Mails entfernt e Es wird keine Bounce E Mail an den Absender erzeugt e Alle nachfolgenden Befehle werden ignoriert e Dieser Befehl kann nicht die Bedingung einer if else Anweisung sein siehe Abschnitt if else Anweisungenls Beispiel if compare to match i reprocess decrypt reprocess log 1 reprocess recipient found Re injecting attached messages reprocess drop 220 mesage reprocessed else Erkl rung In diesem Beispiel sendet ein internen Benutzer eine verschl sselte E Mail als Anhang in einer nicht verschl sselten E Mail an die systemspezifische E Mail Adresse reprocess decrypt reprocess Die verschl sselte E Mail im Anhang wird erneut verarbeitet bzw es wird versucht diese E Mail zu entschl sseln Es wird ein Log Eintrag erzeugt Nach dem Ausf hren von reprocess wird die urspr ngliche E Mail mit drop gel scht 2013 SEPPmail AG 216 76 Befehle f r die Ver und Entschl sselung 7 6 1 decrypt_pgp Der B
170. eten IP Adressen zur ckgeliefert dies aber jedes Mal in unterschiedlicher Reihenfolge Der interne E Mail Server kann nun eine dieser IP Adressen zum Versand der E Mail ausw hlen Im Fehlerfall wird das im Cluster mit der n chst niedrigeren Priorit t verf gbare Cluster Member System antworten Abbildung 3 zeigt eine logische Darstellung des Szenarios Was passiert im Detail Jedes SEPPmail System hat eine eigene v llig separate IP Adresse ber die nur dieses System angesprochen werden kann z B f r die Konfiguration von Einstellungen die nicht im Cluster synchronisiert werden In Abbildung 3 sind dies die IP Adressen 10 10 0 9 und 10 10 0 10 Zus tzlich gibt es zwei virtuelle IP Adressen um die beiden SEPPmail Systeme logisch zu jeweils einer Gruppe zusammenzufassen In Abbildung 3 sind diese virtuellen IP Adressen Gruppen farblich getrennt dargestellt Der interne und der externe E Mail Server sprechen f r den Versand von ein und ausgehenden E Mails an das SEPPmail Cluster System einen Hostnamen statt einer virtuellen IP Adresse an Wird eine Anfrage f r diesen Hostnamen an den DNS Server gestellt so wird der Hostname in alle 2013 SEPPmail AG 129 eingerichteten IP Adressen aufgel st In unserem Fall entsprechenden die aufgel sten IP Adressen den virtuellen Cluster IP Adressen wie in Abbildung 3 dargestellt Die beiden virtuellen IP Adressen haben jeweils ein anderes System als Cluster Member Primary und Cluster Mem
171. eter der Wert support customer com definiert so wird die E Mail an den neuen Empf nger support customer vom gesendet Ebenfalls k nnen Teile der beiden Parameter als regul rer Ausdruck beschrieben werden Es kann z B nach dem Domainanteil innerhalb der Parameter gesucht werden und dieser durch einen neuen Wert ersetzt werden Mehrere Empf nger k nnen mit Strichpunkten abgetrennt werden Der R ckgabewert ist immer positiv Dieser Befehl hat 2 Parameter Parameter OLDRECIPIENT Regul rer Ausdruck der die urspr gliche E Mail Adresse oder Teile davon beschreibt Parameter NEWRECIPIENT Regul rer Ausdruck der die neue E Mail Adresse oder Teile davon beschreibt Beispiel replace rcpt mydomain com customer ch Erkl rung In diesem Beispiel wird im Parameter OLDRECIPIENT der Domainanteil der urspr nglichen E Mail Adresse des der Empf ngers von mydomain com in den Wert des Paramaters NEWRECIPIENT customer ch ge ndert Der Bestandteil der E Mail Adresse vor dem bleibt dabei unver ndert Falls OLDRECIPIENT angegeben wird wird nur dieser Empf nger bzw der Bestandteil des Empf ngers angepa t Falls mehrere E Mail Empf ngeradressen vorhanden sind w rden alle Empf ngeradressen von mydomain com zu mydomain ch ge ndert werden 7 2 14 replace_sender Der Befehl replace_sender erm glicht es den Absender im Envelope einer E Mail zu ver ndern Aufbau des Befehl
172. f alle Empf nger zutrifft Aufbau des Befehls rmatch REGEXP Der Befehl mu mit einem Semikolon abgeschlossen werden Der R ckgabewert dieses Befehls ist positiv wenn innerhalb der E Mail erfolgreich auf die REGEXP 2013 SEPPmail AG 200 getestet werden konnte sonst negativ Dieser Befehl hat 1 Parameter Parameter REGEXP Definiert den regul ren Ausdruck auf den getestet werden soll Beispiel 1 dae LEE er Deele E nortiry sender info sene email p p else Erkl rung In diesem Beispiel wird berpr ft ob die E Mail Adresse aller Empf nger einer E Mail den Domainbestandteil customer org hat Ist dies der Fall dann wird eine E Mail Benachrichtigung an den Absender gesendet Beispiel 2 aae mereh O Nicat onar re ae rr E noriry sender into send email Fromms System Zeta lt admin customer com gt else Erkl rung In diesem Beispiel wird berpr ft ob die E Mail Adresse aller Empf nger einer E Mail den Domainbestandteil customer org hat Ist dies der Fall dann wird eine E Mail Benachrichtigung an den Absender gesendet Zus tzlich wird f r den Header From ein neuer Wert gesetzt 7 2 16 rmatchsplit Der Befehl rmatchsplit erm glicht es eine E Mail durch einen regul ren Audruck aufzuteilen Aufbau des Befehls rmatchsplit REGEXP Der Befehl mu mit einem Semikolon abgeschlossen werden Der regul re Ausdruck wird
173. generiert und via SMS gesendet Parameter Minimum password length und Password Complexity Parameter Beschreibung Minimum password length Minimale Passwortl nge Standard 8 Zeichen Must Contain at least one Das Passwort muss mindestens einen Kleinbuchstaben lower case letter beinhalten Must Contain at least one Das Passwort muss mindestens einen Grossbuchstaben upper case letter beinhalten Must Contain at least one Das Passwort muss mindestens eine numerisches Zeichen number enthalten Must Contain at least one Das Passwort muss mindestens ein Sonderzeichen enthalten special character Must not contain own name Das Passwort darf den eigenen Namen oder die eigene E Mail or mail address Adresse nicht beinhalten Must be different from Das Passwort darf nicht das Gleiche sein wie das Vorherige previous password Wenn Sie die Einstellungen vom Master Template bernehmen m chten klicken Sie auf das Kontrollk stchen Use settings from master template Sektion Certificate login In der Sektion Certificate Login k nnen Sie Root CA Zertifikate hinterlegen z B SuisselD die f r eine GINA Benutzer Identifikation verwendet werden k nnen Jeder GINA Benutzer muss in seinem Webbrowser ein Zertifikat installiert haben welches vor einer der hier hinterlegten Root CAs ausgestellt wurde Wenn Sie die Einstellungen vom Master Template bernehmen m chten klicken Sie auf das Kontrollk stchen Use setting
174. gent Use the following SMTP server Server name 192 168 1 xxx Server requires authentication User ID Password Sektion Outgoing Server Hier ist die IP Adresse des Listeners anzugeben bzw wie oben ein Hostname welcher auf beide Listener aufl st wird F r beide IP Adressen der IronPort Systeme ist im SEPPmail System die Relay Berechtigung einzutragen Siehe Mail Relayinal 6 Relaying Relaying allowed 192 168 A 11 32 e Relaying allowed aal veel l das Add Relaying for M H eL 222 b Sektion Relaying Die Konfigurationsbeschreibung f r die SEPPmail IronPort Anbindung wurde uns mit freundlicher Genehmigung zur Verf gung gestellt von AVANTEC AG Badenerstrasse 281 CH 8003 Z rich http www avantec ch info avantec ch 2013 SEPPmail AG 41 6 Referenz der Men punkte 6 1 _Konfigurations bersicht Das Konfigurationsoberfl che der SEPPmail Appliance ist in folgende Gruppen aufgeteilt In der folgenden Tabelle sind alle Gruppen kurz beschrieben Die Gliederung dieses Teils des Handbuchs richtet sich nach dem Aufbau dieser Gruppen Login Anmeldung an der Konfigurationsoberf che ndern des pers nlichen Kennworts f r die Konfigurationsoberfl che Home Anzeige administrativer Daten wie z B Systemstatus System und Benutzerlizenz aktuelle Softwareversion statistische Daten zur Systemauslastung System Durchf hren grundlegend
175. gt Der R ckgabewert ist immer positiv Dieser Befehl hat 1 Parameter Parameter E Mail Adresse Dieser Parameter definiert eine E Mail Adresse die als zus tzlicher Empf nger im Envelope hinzugef gt 2013 SEPPmail AG 186 wird Beispiel acel rept recipient UCusTtTomer Guer A p Erkl rung In diesem Beispiel wird ein zus tzlicher Empf nger hinzugef gt Beim Empf nger erscheint die E Mail im Posteingang so als ob diese via BCC gesendet wurde Der urspr ngliche Empf nger wird nicht ver ndert 7 2 2 authenticated Der Befehl authenticated berpr ft den Identifikationsstatus des Absenders der E Mail Der Identifikationsstatus des Absenders beinhaltet die Identit t und die Authentifizierung Aufbau des Befehls authenticated header Der Befehl mu mit einem Semikolon abgeschlossen werden Der R ckgabewert dieses Befehls ist positiv wenn sich der Absender erfolgreich authentifiziert hat sonst negativ Dieser Befehl hat 1 Parameter Hinweis Authentifiziert bedeutet entweder dass sich der Benutzer via SMTP authentifiziert hat oder dass die E Mail von einem E Mail Server kommt der eine Relay Berechtigung hat Die Relay Berechtigung f gen Sie im Men Mail System gt Sektion Relaying hinzu Als Benutzer werden die lokalen Named User auf der Appliance bezeichnet Parameter header Wenn header als Wert angegeben wird so wird der Benutzer erneut authentifiziert Dazu wird d
176. h General Settings Do not touch mails with the Definieren Sie einen Tag um die cryptografische Verarbeitung following text in subject einer E Mail zu verhindern Add disclaimer to all F gt den Standard Disclaimer allen ausgehenden E Mail outgoing emails Nachrichten hinzu Also add disclaimer to F gt den Standard Disclaimer allen ausgehenden E Mail replies in reply to header Nachrichten hinzu die durch den internen Benutzer als Antwort set auf eine empfangene Nachricht gesendet wurden Reprocess mails sent to Erm glicht es den Entschl sselungsvorgang einer empfangenen reprocess decrypt E Mail noch einmal durchzuf hren reprocess Show message subject in Aktiviert die Anzeige der Betreffzeile innerhalb der Log Dateien logs Parameter Do not touch mails with the following text in subject Standard plain Definieren Sie einen Tag um die cryptografische Verarbeitung einer E Mail zu verhindern F gen Sie diesen Tag incl der eckigen Klammern in der Betreffzeile hinzu so wird diese E Mail durch das Ruleset nicht cryptografisch verarbeitet Das Ruleset kann somit umgangen werden Die Backslash innerhalb des Tags stellen Escape Symbole dar Dieses sind durch den Benutzer nicht einzugeben Beispiel Betreff plain Sichere E Mail Verschl sselung 2013 SEPPmail AG 93 Aktivieren Sie diesem Parameter um dem Benutzer die M glichkeit zu gehen das eingerichtete Ruleset zu umgehen Parameter Add disc
177. heitshinweiselt3N Prepare for Cluster use this key to add a different device to this device cluster Add this device to Cluster Identifier existing cluster WARNING All data except network configuration of this device will be lost 2013 SEPPmail AG Schaltfl che Download Cluster Identifier W hlen Sie die Schaltfl che Download Cluster Identifier um den systemeigenen RSA PRIVATE KEY herunterzuladen und als Datei lokal zu speichern Die heruntergeladene Datei hat den Dateinamen clusterid txt Eine Cluster Identifizierung wird ben tigt um eine weitere SEPPmail Appliance zu diesem Ger t hinzuzuf gen und somit einen Cluster Verbund zu bilden Importieren Sie in diesem Eingabefeld die Cluster Identifier Datei eines bestehenden SEPPmail Cluster Systems Das lokale System wird dem bereits bestehenden Cluster hinzugef gt Bitte beachten Sie die Sicherheitshinweise wenn Sie ein neues System einem bestehenden Clusterverbund hinzuf gen Fahren Sie mit der weiteren Einrichtung des Clusters erst dann fort wenn Sie das Prinzip der Einrichtung eines Clusterverbunds komplett verstanden haben Ohne das Beachten der Sicherheitshinweise k nnen Sie den kompletten Clusterverbund unbrauchbar machen Die Sicherheitshinweise finden Sie im Kapitel Sicherheitshinweisel 3A 135 Cluster Member IP IP of the device you want to connect to Do NOT use an IP alias address Geben Sie hier die eindeutige
178. henden E Mail Existiert im DNS kein Eintrag f r diese Domain so wird die E Mail nicht angenommen 2013 SEPPmail AG 58 Require valid Aktivieren Sie diese Option wenn E Mails nur von den E Mail hostname in HELO Servern angenommen werden sollen die sich mit einem g ltigen command Hostnamen melden Existiert im DNS kein Eintrag f r diesen Hostnamen so wird die E Mail nicht angenommen Require fully Aktivieren Sie diese Option wenn E Mails nur von den E Mail qualified hostname in Servern angenommen werden sollen die sich mit einem HELO command vollst ndigen Hostnamen FQDN Fully qualified domain name identifizieren Limit incoming Mit dieser Einstellung limitieren Sie die Anzahl paralleler connections for Verbindungen je IP Es soll so verhindert werden dass einzelne SMTP per IP Server SEPPmail berlasten k nnen optional Settings Greylist learning only Dieser Parameter aktiviert den Greylisting Lernmodus Dabei no mail rejection wird die Datenbank mit den f r den Greylisting Betrieb ben tigten Informationen aufgebaut Nutzen Sie diese Option ca einen Monat bevor Sie den aktiven Greylisting Modus Use Greylisting aktivieren und verwenden Strict PTR check Bei Nutzung dieser Option wird f r die Annahme von E Mails reserse DNS lookup vorausgesetzt dass die IP Adresse des sendenden E Mail Servers in seinen Hostnamen im DNS aufgel st werden kann PTR und dass der Hostname wieder auf die ents
179. hronisiert Damit ist gew hrleistet dass zu jedem Zeitpunkt die ben tigten Daten wie z B neue Benutzerkonten incl Benutzerzertifikaten oder Secure Webmail Konten auf allen Cluster Member Systemen zur Verf gung stehen Eine manuelle Konfiguration jedes einzelnen Systems bzw eine manuelle Synchronisation der Konfiguration zwischen den Cluster Member Systemen ist nicht mehr notwendig und reduziert den administrativen Konfigurationsaufwand Wie wird ein Geo Cluster eingerichtet Bei der Einrichtung eines Geo Clusters wird ein Cluster Member System am Standort B zu einem Cluster Member System vom Standort A hinzugef gt Diese Cluster Member Systeme werden nicht ber eine virtuelle Cluster IP Adresse verbunden wie das Hochverf gbarkeits und Load Balancing Cluster Es erfolgt lediglich die Synchronisation der Konfigurationsdaten Verfahren Sie hierzu wir in den Kapiteln Cluster Identifizierung herunterladenh4 und SEPPmail Cluster einrichten 2013 SEPPmail AG 149 6 10 6 11 Frontend Backend Cluster einrichten Falls Sie ein neu hinzugef gtes SEPPmail System aus Sicherheitsgr nden ohne lokale Datenbank z B Benutzerzertifikate Domainzertifikate etc betreiben m chten k nnen Sie das neue System alternativ als Frontend Server hinzuf gen Die eigentlichen Konfigurations und Benutzerdaten liegen dabei auf den brigen SEPPmail Systemen die als Backend Server Appliances operieren W hlen Sie dazu in der Konfigurationsoberfl che den
180. hten folgende Datei herunterladen Do oad d lt lusterid txt E SE device to Cluster Identifier Durchsuchen Vom Typ Textdatei Cluster Member IP d of the device you went to connect to Dd Von https 192 168 14 60 8443 LEE H A H E Wie soll Firefox mit dieser Datei verfahren een ee Es IP address of this 1P kddress other devices in the cluster card figer ee device l l l Port 22 ffnen mit PSPad editor Standard een Datei speichern Add this device as Cluster Identifier DE 1 F r Dateien dieses Typs immer diese Aktion ausf hren frontend server no local database Existing Appliance IP IP or virtual IP of the device or cluster U U U Port 22 Connect Tue Jun 21 04 18 33 CEST 2011 2010 SEPPmail AG Abbildung 2 Cluster Identifizierung herunterladen und lokal speichern 2013 SEPPmail AG 141 6 10 6 7 SEPPmail Cluster einrichten Zum Einrichten eines SEPPmail Cluster ben tigen Sie mindestens zwei Systeme Grunds tzlich gibt es f r die Anzahl der Cluster Member Systeme keine Beschr nkung Sie k nnen ohne weiteres 10 Systeme oder mehr in einem Clusterverbund betreiben Dieser Clusterverbund kann alle je nach spezifischer Anforderung so eingerichtet werden dass alle 4 Betriebsarten Anwendung finden Die prim re Einrichtung eines SEPPmail Cluster bestehend aus mindestens zwei Systemen funktioniert genauso wie das Hinzuf gen weiterer Cluster Member Systeme Um eine SEPPmail
181. iance externe E Mails aus dem Internet direkt entgegennimmt und interne E Mails nach extern ins Internet versendet Je nach Aufbau Ihrer E Mail Infrastruktur k nnen weitere E Mail Server oder Gateways im E Mail Datenfluss vorkommen In diesem Szenario wird SEPPmail als SMTP Gateway zwischen dem Internet und Ihrem internen E Mail Server installiert Dadurch ndert sich der E Mail Datenfluss in den folgenden zwei wesentlichen Punkten 1 E Mails aus dem Internet werden nicht mehr direkt an internen Ihren E Mail Server sondern neu an die SEPPmail Appliance gesendet 2 Ihr E Mail Server schickt seine E Mails nicht mehr direkt ins Internet sondern neu an die SEPPmail Appliance Die SEPPmail Appliance bernimmt somit eine Smarthost Funktion 2013 SEPPmail AG 15 Die E Mail Infrastruktur f r den beschriebenen Aufbau sehen Sie in nachfolgender Abbildung Ga EEN gt Firewall SH D Client mit Eudora Client mit Thunderbird E Mail Server 298 Client mit Outlook 2003 Typischer Aufbau einer E Mail Infrastruktur mit einer SEPP mail Appliance 2013 SEPPmail AG 3 3 Ben tigte Informationen zur Inbetriebnahme Es wird empfohlen folgende Informationen Ihrer E Mail Umgebung zusammenzustellen bevor Sie mit der Inbetriebnahme beginnen Ben tigte Information Ihre Angabe ffentlicher DNS Eintrag oder ffentliche IP Adresse der Appliance Dies ist der Name oder die IP Adresse unter der Ihre
182. ie E Mail Adresse im EROM Feld des Headers benutzt Beispiel 1 if authenticated else createaccount CREATEGPGKEYS log il usert account Generace y Erkl rung 2013 SEPPmail AG 187 Dieses Beispiel wertet den R ckgabewert des Befehls authenticated aus Wenn der interne Absender der E Mail erfolgreich authentifiziert wurde der R ckgabewert true ist dann wird ohne weitere Aktion im Programmablauf fortgefahren Falls die Authentifizierung nicht erfolgreich durchgef hrt wurde wird ein Benutzerkonto f r den Absender angelegt Beispiel 2 if authenticated header else createaccount CREATEGPGKEYS log il usert SEET gGenercatecit y Erkl rung Dieses Beispiel wertet den R ckgabewert des Befehls authenticated aus Wenn der interne Absender der E Mail erfolgreich authentifiziert wurde der R ckgabewert true ist dann wird ohne weitere Aktion im Programmablauf fortgefahren Falls die Authentifizierung nicht erfolgreich durchgef hrt wurde wird ein Benutzerkonto f r den Absender angelegt 7 2 3 _compare Der Befehl compare vergleicht Werte in Headerfeldern Aufbau des Befehls compare Header Feld Operator Wert Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl vergleicht den Inhalt des Parameters Header Feld mit Hilfe des Parameters Operator mit dem Parameter Wert Der R ckgabewert dieses
183. ie Schaltfl che Registration um ein Benutzerkonto anzulegen W hlen Sie die Schaltfl che Continue zu fortfahren Best tigen Sie im folgenden Dialog mit der Schaltfl che Save Sie erhalten dann eine Best tigungs E Mail mit einem Activation Link Mit der Auswahl dieses Links best tigen Sie die Registrierung Das Benutzerkonto ist nun aktiv und Sie k nnen sich anmelden Verwenden Sie dazu die bei der Registrierung angegebenen Daten f r Benutzernamen und Passwort Benutzername E Mail Adresse Schritt 2 Nach erfolgreichem Anmelden k nnen Sie ber ihr neues GINA Konto E Mails an interne Benutzer versenden Der Empf nger erh lt Ihre Nachricht als verschl sselte GINA Nachricht in sein Postfach Die Nachricht bleibt auch nach dem Lesen weiterhin verschl sselt im Postfach des Empf ngers 6 6 1 10 GINA S MIME und PGP Schl sselsuche via GINA Portal Externe Benutzer habe die M glichkeit ber das GINA Portal selbst nach S MIME oder PGP Public Keys von internen Mitarbeitern suchen und diese herunterladen Es ist ebenfalls m glich nach S MIME oder PGP Public Keys von Zertifikaten f r die Domainverschl sselung zu suchen und diese herunterzuladen Zum GINA Portal gelangen Sie via Webbrowser unter dem folgenden Link https lt SecureWebmailApplaince gt web app Der Platzhalter lt SecureWebmailAppliance gt steht f r die IP Adresse oder den Hostnamen unter der dem das SEPPmail System intern erreichbar ist
184. ie in der Konfigurationsoberfl che die Schaltfl che Delete Beim L schen werden alle den Kunden zugewiesenen GINA Benutzerkonten und Managed E Mail Domains dem Standard Kunden Default Customer zugewiesen 2013 SEPPmail AG 184 7 Referenz der Regelwerk Anweisungen 7 1 Kontrollstrukturen iflelse Anweisungen Die if else Anweisungen sind Kontrollstrukturen und dienen innerhalb des Rulesets der Ablaufsteuerung Sie sind ein elementarer Bestandteil des Regelwerks Ist eine Bedingung erf llt wird eine Aktionen ausgef hrt sonst wird eine alternative Aktion ausgef hrt Die auszuf hrende Aktion ist kann immer nur ein Befehl sein Wenn als Aktion mehrere Befehle ausgef hrt werden sollen so k nnen diese einzelnen Befehle in einem Anweisungsblock zusammengefa t werden Ein Anweisungsblock wird innerhalb geschweifter Klammern geschrieben Mit i wird festgelegt welche Voraussetzung zur Ausf hrung einer Aktion erf llt sein mu Mit else wird eine alternative Aktion eingeleitet sollte die durch if geforderte Bedingung nicht erf llt sein Eine if else Anweisung muss nicht durch ein Semikolon abgeschlossen werden if else Anweisungen k nnen geschachtelt werden Aufbau des Befehls if Bedingung Anweisungsblock 1 oder if Bedingung Anweisungsblock 1 L else Anweisungsblock 2 Die i Anweisung bestimmt aufgrund des R ckgabewertes der Bedingung den weiteren Verlauf im Programmablauf Die Be
185. ieser Befehl versucht eine domainverschl sselte S MIME E Mail zu entschl sseln Der R ckgabewert ist positiv wenn die E Mail entschl sselt wurde sonst negativ Dieser Befehl hat keinen Parameter 2013 SEPPmail AG 218 7 6 6 domain_smime_keys_avail Der Befehl domain smime keys avail erm glicht es die Verf gbarkeit von S MIME Domian Public Keys zu berpr fen Aufbau des Befehls domain smime keys avail Anwendung Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl pr ft ob f r alle Empf nger einer E Mail Domain S MIME Public Keys im lokalen Zertifikatsspeicher zur Verf gung stehen Der R ckgabewert ist positiv wenn f r alle Empf nger der E Mail Domain S MIME Public Keys vorhanden sind und f r den Parameter Anwendung der Wert strict angegeben wurde sonst ist der R ckgabewert negativ Wird f r den Parameter Anwendung der Wert auto angegeben werden die Empf nger in zwei Gruppen aufgeteilt Die Gruppe von Empf ngern f r die Domain S MIME Public Keys vorhanden sind erh lt einen positiven R ckgabewert Die Gruppe von Empf ngern f r die keine Domain S MIME Public Keys vorhanden sind erh lt einen negativen R ckgabewert Der Befehl hat 1 Parameter 7 6 7 delete_smime_sig Der Befehl delete smime sig erm glicht es die S MIME Signatur einer E Mail zu l schen Aufbau des Befehls delete smime sig Der Befehl mu mit einem Semikolon abgeschlossen werden Dies
186. il 1 AND Remote IP IS NOT IP von SEPPmail 2 optional falls Sie nur eine Ihrer Domains ber SEPPmail betreiben lassen wollen AND Envelope Recipient ends with securemailcustomer ch Action Send to Alternate Destination Host Cluster IP der beiden SEPPmail SEPPmail Das SEPPmail System ist so einzurichten dass eingehende E Mails an den Incoming SEPP mail Listener geschickt werden Men Mail System Siehe Zu verwaltende E Mail Domains einrichten 60 Managed Domains Domain Name Server IP Address Server Port TLS level Secure Webmail Settings Disclaimer Setting maildomain ch 192 168 1 11 10025 may default Automatically create and publish S MIME domain keys for all domains Fetch Mail from remote POP3 server Verify recipient addresses using SMTP Lookups Sektion Managed Domains Das Problem hier ist dass in der SEPPmail Konfiguration nur eine einzige IP Adresse angegeben werden kann wohin die eingehenden E Mails weitergeleitet werden also nicht beide Incoming IP Adressen Ihrer IronPorts Hierzu ist es notwendig einen fiktiven DNS Eintrag zu erzeugen welcher in beide IP Adressen der IronPorts aufgel st werden kann Diesen DNS Namen tragen Sie als Server IP Address der E Mail Domain ein Ausgehende E Mail versendet SEPPmail an den bestehenden Listener Siehe Ausgehenden E Mail Verkehr steuern 60 2013 SEPPmail AG 40 Outgoing Server Use built in mail transport a
187. ildcard SSL Zertifikat handelt In der Antwort wurde der Wert CN psmtp com zur ckgegeben In diesem Fall handelt es sich um ein Wildcard Zertifikat welches f r alle Hosts der Domain psmtp com verwendet werden kann Ebenfalls interessant ist der Parameter X509v3 Subject Alternative Name Als Wert wird hier DNS psmtp com zur ckgegeben In diesem Feld k nnen noch weitere Domains enthalten sein openssl s client starttls smtp crlf connect postini com s8al psmtp com 25 openssl x509 text noout depth 1 C US O Google Inc CN Google Internet Authority Certificate Subject C US ST California L Mountain View O Google Inc CN psmtp com xX509v3 Subject Alternative Name DNS psmtp com Die Darstellung der Ausgabe wurde auf die wesentlichen Informationen reduziert Auslesen des SHAT Fingerprint aus dem SSL Zertifikat des empfangenden E Mail Servers Einen Schritt zuvor wurde beschrieben wie Sie das vom empfangenden E Mail Server verwendete SSL Zertifikat auslesen k nnen Dabei ist es nicht relevant ob es sich hierbei um ein Wildcard Zertifikat handelt oder nicht Den Fingerprint eines SSL Zertifikats k nnen Sie sehr einfach mir dem Kommandozeilentool OpenSSL auslesen Beispiel kb openssl s client starttls smtp crlf connect xxx xxx xxx xxx 25 openssl x509 noout fingerprint Ersetzen Sie die IP Adresse xxx xxx XxXx xxx durch die tats chliche IP Adresse des Zielservers ode
188. ils und alle von der CA zur ck gesendeten E Mails nicht durch einen vorgelagerten SPAM Filter ver ndert zur ckgehalten oder gel scht werden Definieren Sie dazu bitte innerhalb den von Ihnen eingesetzten SPAM Filters die entsprechenden Ausnahmen f r die im Parameter Certificate Request Sender Email eingetragene E Mail Adresse und f r die von der CA als Absender verwendeten E Mail Adresse stcertregq support signtrust de Zur Nutzung des Signtrust CA Connectors steht Ihnen der folgende Online Anftrag zur Verf gung Der Bezug von Benutzerzertifikaten ber den Signtrust CA Connector erfolgt im Benutzerkonto im Men Users 2013 SEPPmail AG 114 6 8 6 Verbindung zur externen CA SwissSign einrichten Men CA Um die Verbindung zum externen Zertifikatsanbieter SwissSign einzurichten klicken Sie in der Konfigurationsoberfl che auf die Schaltfl che Save Klicken Sie auf die Schaltfl che SwissSign connector um die Einstellungen f r die Einbindung der SwissSign MPKI zu bearbeiten Sollten Sie noch keinen CA Connector eingerichtet haben w hlen Sie einen CA Connector SwissSign aus und speichern Sie diese Einstellung Jetzt k nnen Sie den zuvor ausgew hlten CA Connector konfigurieren Sie haben die Auswahl zwischen Silver light certificates oder Standard certificates Um Silver light certificates zu verwenden sind keine weiteren Angaben notwendig Alle zur Konfiguration erforderlichen Daten erhalten Sie von
189. ion wird verwendet um Brute Force Angriffe zu vermeiden Das GINA Benutzerkonto wird automatisch deaktiviert nachdem das Kennwort 4 Mal falsch eingegeben wurde Das Benutzerkonto wird solange gesperrt bis es durch den Administrator wieder freigegeben wird Parameter Password Security Level W hlen Sie das Verfahren f r den Kennwort Reset damit ein externer GINA Benutzer sein GINA Benutzerkennwort zur cksetzen kann Danach wird je nach ausgew hlem Verfahren f r den Kennwort Reset eines der folgenden Verfahren verwendet Auswahlwert default Reset by hotline Der Wert default bezieht sich auf die f r die jeweilige GINA Domain ausgew hlte globale Standardeinstellung Dieses wird innerhalb der Konfiguration der GINA Domain in der Sektion Security eingestellt Auswahlwert Reset by Email verification Der externe GINA Benutzer kann sein Kennwort selbstst ndig zur cksetzen Zur Aktivierung und Best tigung dieser Aktion erh lt er eine E Mail Benachrichtigung mit einem Aktivierungslink Nach dem Best tigen dieses Aktivierungslinks wird das vom externen Benutzer zuvor neu eingegebene Kennwort aktiviert Ein Login mit dem neu gesetzten Kennwort ist nun m glich Auswahlwert Reset by hotline Der externe GINA Benutzer kann sein Kennwort nicht selbstst ndig zur cksetzen Er gibt dazu seine Rufnummer an unter der er f r den Support erreichbar ist Nach berpr fung durch die Sicherheitsfrage erh lt er vom Supp
190. iorit t vor der Verwendung des Standard Routers Sektion GUI Protocol HTTP Port Aktivieren Sie diesen Parameter um den unverschl sselten Zugriff via HTTP Protokoll auf die Konfigurationsoberfl che zu erm glichen Geben Sie dazu einen entsprechenden TCP Port an Diese Option ist im Standard aktiviert und verwendet den Port TCP 8080 f r den Zugriff auf die SEPPmail Konfigurationsoberfl che HTTPS Port Standard Aktivieren Sie diesen Parameter um den verschl sselten Zugriff via HTTPS Protokoll auf die Konfigurationsoberfl che zu erm glichen Geben Sie dazu einen entsprechenden TCP Port an Diese Option ist im Standard aktiviert und verwendet den Port TCP 8443 f r den Zugriff auf die SEPPmail Konfigurationsoberfl che Hinweis Sollte die Konfigurationsoberfl che via HTTPS durch einen Fehler nicht mehr reagieren wird automatisch ein Fallback aktiviert der den Zugriff auf die Konfigurationsoberfl che via HTTP auf Port TCP 8080 erm glicht Dies funktioniert auch dann wenn die Nutzung von HTTP f r den Zugriff auf die Konfigurationsoberfl che deaktiviert wurde 2013 SEPPmail AG 49 Sektion GINA https Protocol HTTP Port Aktivieren Sie diesen Parameter um den unverschl sselten Zugriff via HTTP Protokoll auf die Webmail Schnittstelle des SEPPmail Systems zu erm glichen Geben Sie dazu einen entsprechenden TCP Port an Der HTTP Standardport ist TCP 80 Hinweis Verwenden Sie das HTTP Prot
191. irgendeinem Textbestandteil Text darf keine Leerzeilen enthalten um einen Zeilenumbruch zu erzeugen Verwenden Sie lt br gt zum Erzeugen eines Zeilenumbruchs Jedes lt br gt wird durch einen Zeilenumbruch ersetzt z B wie in reinen Text E Mails HTML TAG s sind nicht erlaubt Sie d rfen nur innerhalb von Textbestandteilen verwendet werden die im Webmail Viewer angezeigt werden Sektion Text in GINA Dieser Text wird innerhalb der GINA Nachricht als Kurzinformationstext angezeigt und enth lt Hinweise zur Handhabung dieser E Mail f r den Empf nger Sektion Open hint in GINA Dieser Text wird im Anmeldedialog angezeigt wenn Sie eine Webmail ffnen und sich zur Entschl sselung anmelden Sektion Greeting on Login page Begr ungstext nachdem Sie eine GINA Nachricht zum Entschl sseln ge ffnet haben Sektion Footer text 2013 SEPPmail AG 79 Dieser Text wird im Footer Bereich der GINA Oberfl che angezeigt und kann ein und ausgeblendet werden Siehe GINA Webmail Layout verwalten 76 Sektion GINA Password Notification Mail Dieser Text wird in die Passwortbenachrichtigung eingef gt die ein Absender erh lt nachdem er das Erste Mal eine GINA Nachricht an einen Empf nger versendet hat Sektion Edit Translation file W hlen Sie die Schaltfl che Advanded View um den Editor zur bersetzung der ausgew hlten Sprachversion zu erhalten In dieser Sektion k nnen Sie die bersetzung de
192. it dem Operator match auf das Vorhandensein der Domain customer com innerhalb der Empf nger E Mail Adresse Wenn die E Mail Adresse des Empf ngers die Zeichenkette customer com enth lt dann ist der R ckgabewert von compare true im Betreff wird das das Tag nosign hinzugef gt Je nach Basiskonfiguration des Ruleset bedeutet dies dass diese E Mail nicht signiert wird Beispiel 3 compare subject substitute s secure 2013 SEPPmail AG 189 Erkl rung Dieses Beispiel pr ft den Betreff Header Feld subject einer E Mail auf das Vorhandensein des regul ren Ausdrucks s secure Dieser Ausdruck wird in die Zeichenkette secure ausgewertet Wird diese Zeichenkette innerhalb des Betreff gefunden so wird diese entfernt 7 2 4 _compareattr Der Befehl compareattr erm glicht es Attribute Systemvariablen zu pr fen Aufbau des Befehls compareattr Attribut Operator Wert Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl vergleicht mit Hilfe des Operators den Inhalt des Header Feldes mit dem Wert Der R ckgabewert ist positiv sofern mindestens ein Vorkommnis besteht sonst negativ Der Befehl hat 3 Paramater Parameter Attribut Attribut kann die Variable connect from adressieren oder Variablen die mit Idap read oder setuserattr geschrieben wurden Parameter Operator F r Operator stehen zwei verschiedene Operatoren stehen zur Aus
193. iv Dieser Befehl hat 3 Parameter Parameter Die IP Adresse oder der Name des LDAP Servers Es k nnen auch zwei mit Komma getrennte Werte angegeben werden In diesem Fall wird automatisch auf den zweiten Server zugegriffen wenn der erste nicht erreicht werden kann U Der User welcher f r den Zugriff verwendet werden soll PASSWORD Das Passwort des Users BASEDN Die Base DN Distinguished Name f r die Abfrage FILTER Der Filter f r die Abfrage RI SER Das Attribut welches abgefragt werden soll Variable in welcher das Attribut gespeichert werden soll Beispiel Es soll der Wert des Attributs name aus einem LDAP Verzeichnis ausgelesen werden Dieser soll in der Variable name abgespeichert werden leap reac t 192 168 10 10 CN Peter Moeller DEE ou Users 2013 SEPPmail AG 231 OU MyBusiness DC Firma DC local mypassword OU SBSUsers OU Users OU MyBusiness DC Firma DC local mail sender name name Erkl rung e Sollte das angegebene Attribut oder der gesuchte Eintrag nicht existieren so wird der Variable ein leerer Wert zugewiesen Sollten mehrere Eintr ge Objekte gefunden werden so wird nur der erste ausgewertet Sollten mehrere Attribute vorhanden sein so werden alle Attribute ausgelesen und mit Strichpunkten abgetrennt der Variablen zugewiesen Multi value Attribut e Falls keiner der angegebenen LDAP Server erreichbar ist so wird die Mail mit einem tempor
194. k if sender domain is Es werden bei Nutzung dieser Option nur Mails angenommen valid wenn der vom Mailserver angegebene Mail Exchanger Host auf die entsprechende IP Adresse zeigt Require valid hostname in Ist diese Option aktiv werden Mails nur angenommen wenn HELO command sich der Mailserver mit einem g ltigen Hostnamen meldet Require fully qualified Aktivieren Sie diese Option wenn nur Mails von Mailservern domain name in HELO angenommen werden sollen welche sich mit einem command vollst ndigen Hostnamen FQDN Fully qualified domain name identifizieren Limit incoming connections Mit dieser Einstellung limitieren Sie die Anzahl paralleler for SMTP per IP Verbindungen je IP Es soll so verhindert werden dass einzelne Server SEPPmail berlasten k nnen Sektion Antispam gt Bereich Optional Settings Greylist learning only no Diese Option aktiviert den Greylisting Lernmodus Dabei wird mail rejection die Datenbank mit den f r den Greylisting Betrieb ben tigten Informationen aufgebaut Nutzen Sie diese Option ca einen Monat bevor Sie den aktiven Greylisting Modus Use Greylisting verwenden Strict PTR check reverse Bei Nutzung dieser Option wird f r die Annahme von Mails DNS lookup vorausgesetzt dass die Hostadresse des sendenden Mailservers im DNS ber seine IP Adresse aufgel st werden kann PTR und dass der Namenseintrag auch wieder auf die entsprechende IP Adresse zeigt A Record 2013 SEP
195. kabel verwenden 3 5 Definieren Sie auf Ihrer Firewall bzw Ihrem Internet Router folgende Regeln um die sichere E Mail Kommunikation durch SEPPmail zu gew hrleisten TCP 22 SSH Appliance TCP 22 SSH Appliance Appliance TCP 25 SMTP Firewall Router einrichten E Mail Server Appliance TCP 25 SMTP Appliance TCP 25 SMTP Appliance E Mail Server UDP 53 DNS TCP 53 DNS Nameserver intern Appliance 2013 SEPPmail AG Schlie en Sie die Appliance mittels beiliegendem Stromkabel an das Stromnetz an Erm glicht es Updates der Appliance durchzuf hren und kommt bei Support Sitzungen zum Einsatz Wird beim Betrieb mit mehreren Appliances im Clusterverbund ben tigt Wird ben tigt damit der interne E Mail Server ausgehende E Mails an die Appliance senden kann die dort verschl sselt oder signiert werden Erm glicht den E Mail Verkehr zwischen Internet und Appliance Wird f r das direkte Versenden von E Mails ins Internet ben tigt Wird f r das Versenden von E Mails an einen internen E Mail Server ben tigt Erm glicht die Namensaufl sung wenn interne DNS 19 BEE verwendet BEE Nameserver extern Erm glicht die Namensaufl sung wenn externe DNS Server verwendet werden Internet Erm glicht die Namensaufl sung wenn die Einstellung built in DNS Resolver verwendet wird TCP 80 Appliance Internet Wird f r Protection Pack
196. kieren Set confidential flag after Setzt die Outlook Nachrichtenoption vertraulich nach decryption erfolgreichen Entschl sselung Reject mails if S MIME Zur ckweisen von eingehenden S MIME verschl sselten E Mails decryption fails die nicht erfolgreich entschl sselt werden k nnen Parameter Add this text to message subject after decryption Standard secure Sie k nnen einen Tag definieren um eine erfolgreich entschl sselte E Mail zu markieren Dieser wird am Ende der Betreffzeile einer entschl sselten E Mail angeh ngt Die Backslash innerhalb des Tags stellen Escape Symbole f r die ffnende und schlie ende eckige Klammer dar Die Backslash werden beim Einf gen durch SEPPmail entfernt Beispiel Betreff Sichere E Mail Verschl sselung secure Parameter Set confidential flag after decryption Wird eine eingehende E Mail durch SEPPmail entschl sselt so wird automatisch die Outlook Nachrichtenoption vertraulich bei einer nach intern weitergeleiteten E Mail gesetzt Beim Antworten bleibt diese Nachrichtenoption erhalten und die ausgehende E Mail wird durch SEPPmail ebenfalls verschl sselt Parameter Reject mails if S MIME decryption fails Aktivieren Sie diesen Parameter falls eingehende verschl sselte E Mails zur ckgewiesen werden sollen wenn die Entschl sselung fehlschl gt 2013 SEPPmail AG 95 Sektion Ruleset gt Bereich Encryption Decryption gt Outgoing Emails
197. l sselten nochmals Viren und SPAM gepr ft und an das interne Groupware System z B MS Exchange oder Lotus Notes weitergeleitet Alternativ kann man auf dem IronPort System die verschl sselten und oder signierten E Mails erkennen und nur diese an SEPPmail umleiten Alle anderen E Mails werden direkt an das interne Groupware System weitergeleitet Ausgehende E Mails schickt das interne Groupware System zu IronPort Dieses leitet ausgehende E Mails in jedem Fall zu SEPPmail weiter Dort wird das Regelwerk gepflegt welche E Mails signiert und verschl sselt werden sollen Anschliessend werden die ausgehenden E Mails vom SEPPmail System zur ck zum IronPort System geleitet welches als einziges System E Mails in Richtung Internet versendet Das Problem bei dieser Konfiguration ist dass SEPPmail in der Relayliste des IronPort Systems stehen muss da das SEPPmail System ausgehende E Mails in Richtung Internet versenden will F r alle Hosts in der Relayliste von IronPort gilt automatisch immer die Outgoing Mail Policy Nach der akutellen Outgoing Policy findet dort keine Virenpr fung statt so dass die SEPPmail Anbindung so keinen Zusatznutzen bringt Dazu gibt es zwei L sungen 1 Sie bauen die Outgoing Mail Policy auf dem IronPort System so um dass sie hnlich aussieht wie die Incoming Policy Das ist aber eine unsch ne L sung 2 Sie konfigurieren einen speziellen Listener ber den SEPPmail eingehende E Mails
198. l Funktionsweise und wichtige Produktmerkmale der SEPPmail Appliance werden hier beschrieben Te j Im zweiten Teil wird erkl rt wie Sie das Secure E Mail Gateway SEPPmail in Betrieb nehmen Dies beinhaltet die Integration der Appliance in Ihr Netzwerk sowie die Einrichtung Ihrer Mail und Netzwerkumgebung Te i Der dritte und letzte Teil enth lt im ersten Abschnitt eine bersicht der verschiedenen Konfigurationsm glichkeiten Die weiteren Kapitel beschreiben Konfigurations und Administrationsschritte der einzelnen Men punkte im Detail Die Gliederung richtet sich zur einfachen Orientierung nach der Men struktur des Web Administrationsportals Wir w nschen Ihnen viel Erfolg bei der Installation 2013 SEPPmail AG 10 2 1 Sichere E Mail Kommunikation durch Verschl sselung SEPPrmail setzt auf verschiedene standardisierte Verschl sselungsverfahren und bietet dadurch h chste Sicherheit f r unterschiedliche Kommunikationspartner In diesem Abschnitt werden die Verfahren erl utert die dabei zum Einsatz kommen Die Secure E Mail Gateway Appliance SEPPmail entschl sselt eingehende E Mails automatisch Der Vorgang ist f r den E Mail Empf nger komplett transparent Er erh lt seine E Mails unverschl sselt in seiner Mailbox und liest diese wie bisher ohne Zusatzaufwand Eingehende E Mails k nnen mit einer digitalen Signatur versehen sein Bestandteil dieser Signatur ist das ffentliche S MIME Zertifikat des Abse
199. laimer to all outgoing mails Nutzen Sie diese Einstellung wenn Sie den Standard Disclaimer an alle ausgehenden E Mail Nachrichten anh ngen m chten Parameter Also add disclaimer to replies in reply to header set Nutzen Sie diese Einstellung wenn Sie den Standard Disclaimer auch an E Mail Nachrichten anh ngen wollen auf die der interne Benutzer geantwortet hat Parameter Reprocess mails sent to reprocess decrypt reprocess Diese Einstellung betrifft verschl sselte E Mails die an interne E Mail Empf nger geschickt wurden und vom SEPPmail System nicht entschl sselt werden konnten Dieser Fall kann z B eintreten wenn das Secure E Mail System zum Zeitpunkt des Erhalts einer E Mail nicht ber das ben tigte Schl sselmaterial verf gt Mit diesem Parameter erm glichen Sie entsprechenden Benutzern den Versand von E Mails welche nicht entschl sselt werden konnten an die Adresse reprocess decrypt reprocess um den Entschl sselungsvorgang mittels SEPPmail Appliance erneut auszul sen Parameter Show message subject in logs Nutzen Sie diese Einstellung wenn die Betreffzeile einer E Mail in den Log Dateien angezeigt werden soll Sektion Ruleset gt Bereich User Creation Manual user creation Only Deaktiviert das automatische anlegen von Benutzerkonten process outgoing mails from users with an account automatically create Aktiviert das automatische Anlegen von Benutzerkonten wenn accounts for new u
200. le einer signierten E Mail angeh ngt Die Backslash innerhalb des Tags stellen Escape Symbole f r die ffnende und schlie ende eckige Klammer dar Die Backslash werden beim Einf gen durch SEPPmail entfernt Die S MIME Signatur wird gegen die Root CA Zertifikate im SEPPmail Zertifikatsspeicher Men X 509 Root certificates gepr ft Bei der Pr fung werden nur Root CA Zertifikate mit dem Status trusted ber cksichtigt Beispiel Betreff Sichere E Mail Verschl sselung signed OK Parameter remove signature if S MIME signature check succeeds Aktivieren Sie diesen Parameter falls Sie die S MIME Signatur einer E Mail entfernen wollten Dies wird nur ausgef hrt wenn die S MIME Signatur durch SEPPmail erfolgreich gegen eine Root CA im eigenen Root CA Speicher gepr ft werden konnte Siehe Men X 509 Root Certificates 172 Parameter Add this text to message subject if S MIME signature fails Standard signed sINVALID Sie k nnen einen Tag definieren um eine S MIME signierte E Mail zu markieren deren Signatur NICHT erfolgreich gepr ft werden konnte Dieser Tag wird am Ende der Betreffzeile einer signierten E Mail angeh ngt Die Backslash innerhalb des Tags stellen Escape Symbole f r die ffnende und schlie ende eckige Klammer dar Die Backslash werden beim Einf gen durch SEPPmail entfernt Die S MIME Signatur wird gegen die Root CA Zertifikate im SEPPmail Zertifikatsspeicher Men X 509 Root certificates
201. ls Datei auf der lokalen Festplatte sichern Die Zertifikatsdatei ist im PEM Format und hat als Vorgabewert den Namen cert pem Beispiel BEGIN PRIVATE KEY MIIEVOIBADANBgkghkiG9wOBAOEFAASCBKcwggSJAgEAAoIBAODqLer 5Tp0J v KHp36xzcsUNkl1zcPW89MWAUCCLKmMf KTDOBaJgqrHpIhSgtkKLh MdyzTCEgkldAT VFbcif6 k5dNnDxz wCZ2Sz0Qo S END PRIVATE KEY BEGIN CERTIETICATE MIIFIJCCBAggAwIBAgIJALbDNMR6E0XASAMAUGCSQIGSIb3DOEBBOUAMIGMMRCWFOYD 7ejlce YN2vIn2mYMFtnOD yCxP9mPLsAGEdO6EaY IPRaVNJUISXYmJSicyOZIY PCqvmnfimMsxA3u0rID tein0SwbR g END CERTIFICATE 2013 SEPPmail AG 111 6 8 Men punkt CA W hlen Sie den Men punkt CA um die eigene Certificate Authority CA der SEPPmail Appliance zu verwalten Folgende Vorg nge werden in den kommenden Abschnitten beschrieben Interne CA Einstellungen verwaltenh1N CA Zertifikat einrichtenh 13 CA Zertifikat sichernl11 Verbindung zur externen CA Stelle SwissSign einrichtenh1A Verbindung zur externen CA Stelle Signtrust einrichtenh1 Verbindung zur externen CA Stelle S Trust einrichtenh1 6 8 1 Interne CA Einstellungen verwalten Men CA Sektion Certificate Revocation List Parameter Certificate Revocation List CRL herunterladen Klicken Sie auf die Schaltfl che Create and Download CRL um die CRL herunterzuladen und einzusehen Di
202. ls Remote GINA Relay nutzen Um die GINA Technologie nutzen zu k nnen ist es erforderlich dass SEPPmail System aus dem Internet zu erreichen Sollte dies nicht m glich sein k nnen Sie die GINA Technologie nicht nutzen Um diesem Umstand zu umgehen k nnen Sie ein externes SEPPmail System als Remote GINA Relay nutzen Parameter Use remote GINA server reachable under the following email address Die Kommunikation zwischen dem internen SEPPmail und dem SEPPmail welches als Remote GINA Relay genutzt wird erfolgt via E Mail Geben Sie die E Mail Adresse an die f r die 2013 SEPPmail AG 105 Kommunikation verwendet werden soll SEPPmail stellt in diesem Fall keine GINA Funktionalit t zur Verf gung sondern leitet ausgehende E Mails die via GINA Technologie versendet werden sollen an das Remote GINA Relay weiter In diesem Fall tragen Sie keine Werte f r die Parameter unter This is a remote Webmail server ein Parameter This is a remote GINA server Nutzen Sie SEPPmail als Remote GINA Relay dann erfassen Sie die Werte f r die folgenden Parameter Tragen Sie f r den Parameter Use remote GINA server reachable under the following email address keinen Wert ein Relay for domain E Mail Domain s des GINA Absenders F r die angegebenen E Mail Domain s stellt dieses System die GINA Funktion nach extern bereit Dieses System erzeugt GINA E Mails und stellt das Portal f r die externen Benutzer zur Entschl sselu
203. lt IP Adresse oder Hostname gt web app Externe Benutzer habe die M glichkeit sich selbst ber das GINA Portal als GINA Benutzer zu registrieren Zum Selbstregistrieren eines externen Benutzers gehen Sie wie im Folgenden beschrieben vor Schritt 1 Registrieren Sie sich als GINA Benutzer auf Ihrem SEPPmail System Auf das GINA Portal gelangen Sie via Webbrowser unter dem folgenden Link https lt SecureWebmailApplaince gt web app Der Platzhalter lt SecureWebmailAppliance gt steht f r die IP Adresse oder den Hostnamen unter der dem das SEPPmail System intern erreichbar ist Damit der Bereich Register new account im GINA Secure Webmail Portal angezeigt wird muss im Men Mail Processing gt Webmail Domain in der Sektion Extended Settings die Option Allow account self registration in webmail without initial mail aktiviert werden Siehe GINA Webmail Domains verwalten 69 Schritt 2 W hlen Sie im Bereich Register new account die Schaltfl che Registration um ein Benutzerkonto anzulegen W hlen Sie die Schaltfl che Continue zu fortfahren Best tigen Sie im folgenden Dialog mit der Schaltfl che Save Sie erhalten dann eine Best tigungs E Mail mit einem Activation Link Mit der Auswahl dieses Links best tigen Sie die Registrierung Das Benutzerkonto ist nun aktiv und Sie k nnen sich anmelden Verwenden Sie dazu die bei der Registrierung angegebenen Daten f r Benutzernamen und Passwort B
204. ltener Nachrichten die Anzahl der SPAM Erkennungen und die Anzahl der E Mails die anhand von Black oder Greylisting behandelt wurden Zus tzlich sehen Sie die Anzahl der SPAM Nachrichten die im Durchschnitt verarbeitet wurden und wie gro die maximale Anzahl verarbeiteter SPAM Nachrichten pro Minute in der entsprechenden Betrachtungsperiode war Parameter Beschreibung Today SPAM Statistiken f r den folgenden Zeitabschnitt heute Last Week SPAM Statistiken f r den folgenden Zeitabschnitt Letzte Woche Last Month SPAM Statistiken f r den folgenden Zeitabschnitt Letzten Monat Last Year SPAM Statistiken f r den folgenden Zeitabschnitt Letztes Jahr Last 3 Years SPAM Statistiken f r den folgenden Zeitabschnitt Letzte 3 Jahre Sektion CPU Usage Visualisation Sie sehen die Prozessorauslastung getrennt nach Systemverarbeitung Verarbeitung im User Mode Ausf hrung von Applikationen und Prozessen die bez glich Prozesspriorit t durch das nice Dienstprogramm gesteuert wurden Parameter Beschreibung Today Statistiken zur Prozessor Auslastung f r den folgenden Zeitabschnitt heute Last Week Statistiken zur Prozessor Auslastung f r den folgenden Zeitabschnitt Letzte Woche Last Month Statistiken zur Prozessor Auslastung f r den folgenden Zeitabschnitt Letzten Monat Last 3 Statistiken zur Prozessor Auslastung f r den folgenden Zeitabschnitt Letzte 3 Jahre Years Last Year Statistiken zur Prozessor Auslastung f
205. ltfl che Download and Import signed Certificate 5 F gen Sie das Zertifikat in der Sektion Import Certificate ein und w hlen Sie dann die Schaltfl che Import Certificate Der Vorgang zum Erstellen eines neuen SSL Device Zertifikats f r die SEPPmail Appliance ist nun abbeschlossen Zum Aktivieren des neuen SSL Device Zertifikats f hren Sie bitte einen Neustart des SEPPmail Systems durch Hinweis F gen Sie das neu erstellt igene SSL Device Zertifikat zusammen mit den zus tzlich ben tigten Zertifikaten f r ein oder mehrere Intermediate CA Zertifikate und das Zertifikat der Root CA selbst in der dargestellten Reinhenfolg in Stellen Sie dabei sicher dass die Reihenfolge in der di Zertifikatsbestandteil ingef gt werden korrekt ist Sie k nnen im Fehlerfall das SSL Device Zertifikat nicht nutzen Ebenfalls kann es zu Problemen beim Zugriff auf die Konfigurationsoberfl che kommen In diesem Fall k nnen Sie die 2013 SEPPmail AG 109 Konfigurationsoberfl che ber das Protokoll HTTP auf Port TCP 8080 erreichen http lt Appliance gt 8080 Reihenfolge f r das Einf gen der Zertifikatsbestandteile 1 Public Key des eigenen SSL Device Zertifikats 2 Public Key von einer oder mehreren Intermediate CA Zertifikaten 3 Public Key der Root CA 6 7 3 Bestehendes SSL Device Zertifikat verwenden Men SSL gt Schaltfl che Request an new Certificate Sektion Uploa
206. m Fall ein gewollter Zugang zum System im Fehlerfall ebenfall nicht mehr m glich ist Enable PIX workaround Aktivieren Sie dieses Parameter wenn Sie eine Cisco PIX Firewall einsetzen und der Zugang zum System via SSH ber diese Firewall erfolgt Zum Aktivieren dieser Einstellung ist ein Neustart erforderlich 2013 SEPPmail AG 50 Sektion Syslog Settings Forward maillog to syslog Hostname oder IP Adresse eines Syslog Servers im LAN Die server SEPPmail System Protokollierung wird zus tzlich an den angegebenen Syslog Server gesendet Als Zielport wird UDP 514 verwendet Sektion Proxy Settings Use direct connection on Aktivieren Sie diese Option wenn eine SSH Verbindung direkt port 22 outgoing preferred und ohne Umweg ber einen Proxy Server ins Internet m glich ist Eine SSH Verbindung verwendet das Protokoll TCP mit Zielport 22 TCP 22 Connect through SOCKS 4 Aktivieren Sie diese Option um SSH Verbindungen durch einen proxy generischen SOCKS Proxy zu tunneln Diese Option kann verwendet werden wenn der direkte Zugang via SSH ins Internet reglementiert ist f r dass SEPPmail System aber die Verbindung ber einen SOCKS Proxy Version 4 ins Internet m glich ist Connect through SOCKS 5 Aktivieren Sie diese Option um SSH Verbindungen durch einen proxy generischen SOCKS Proxy zu tunneln Diese Option kann verwendet werden wenn der direkte Zugang via SSH ins Internet reglementiert ist f r dass SEP
207. m Sie im Men punkt Administration auf die Schaltfl che Reboot klicken und danach den angezeigten Sicherheitscode best tigen 6 7 2 SSL Device Zertifikat von einer ffentlichen Zertifizierungsstelle anfordern Men SSL gt Schaltfl che Request an new Certificate Gehen Sie wie folgt vor 1 Verfahren Sie analog den Schritten im Abschnitt SSL Device Zertifikat selbst erstellenf108 w hlen Sie jedoch f r den Parameter Signature den Wert Create Certificate signing request um einen Zertifikatsantrag CSR zu erstellen Zum Erstellen des Zertifikatsantrags w hlen Sie die Schaltf che Create Request 2 W hlen Sie die Schaltfl che Download and Import signed Certificate Hinweis Falls Sie im oberen Bereich des Men s die gelb hinterlegte Information Remember to import the signed certificate angezeigt wird so wurde zuvor bereits ein Zertifikatsantrag erstellt 3 Kopieren Sie den Text in der Sektion Request und bermitteln Sie diesen an die Zertifizierungsstelle von der Sie das SSL Device Zertifikat anfordern wollen Sie sollten diesen Zertifikatsantrag zur Sicherheit noch einmal lokal in einer Textdatei speichern Bei vielen Zertifizierungsstellen k nnen Sie den Zertifikatsantrag CSR im Webportal bei der Beauftragung des SSL Device Zertifikats mit einf gen 4 Sobald Sie von der Zertifizierungsstelle Ihr SSL Device Zertifikat erhalten haben w hlen Sie im Men SSL die Scha
208. mmern in der Betreffzeile hinzu so wird diese E Mail durch das Ruleset nicht cryptografisch verarbeitet Das Ruleset kann somit umgangen werden Die Backslash innerhalb des Tags stellen Escape Symbole dar Dieses sind durch den Benutzer nicht einzugeben Beispiel Betreff noenc Sichere E Mail Verschl sselung Sektion Ruleset gt Bereich Signing gt Incoming Emails Add this text to message F gt eine Statusinformation im Betreff der E Mail hinzu wenn die subject if S MIME signature S MIME Signaturpr fung erfolgreich durchgef hrt werden konnte check succeeds remove signature if S MIME Entfernt die S MIME Signatur innerhalb der E Mail wenn die S signature check succeeds MIME Signaturpr fung erfolgreich durchgef hrt werden konnte Add this text to message F gt eine Statusinformation im Betreff der E Mail hinzu wenn die subject if S MIME signature S MIME Signaturpr fung NICHT erfolgreich durchgef hrt werden fails konnte remove signature if S MIME Entfernt die S MIME Signatur innerhalb der E Mail wenn die S signature check fails MIME Signaturpr fung NICHT erfolgreich durchgef hrt werden konnte Parameter Add this text to message subject if S MIME signature check succeeds 2013 SEPPmail AG 98 Standard signed sOK Sie k nnen einen Tag definieren um eine S MIME signierte E Mail zu markieren deren Signatur erfolgreich gepr ft werden konnte Dieser Tag wird am Ende der Betreffzei
209. n uunssunessnnnnsansnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnnnnnnnannnn 91 Regelwerk verwalten ununsnensennennnen Regelwerk anzeigen und laden le pt punkt SSE 44 0ee een SSL Device Zertifikat selbst erstellen u 22200000022200000n22B0n0nnnnnnnnnnnnnnnunnnnnnnnnnnnnnnnnunnnnnnnnnnnnnnnnnnnnnn 106 SSL Device Zertifikat von einer ffentlichen Zertifizierungsstelle Bestehendes SSL Device Zertifikat verwenden uuuuunnannnunnnnnnnunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnanunnnnnanen SSL Device Zertifik t sichern ua an kan 2013 SEPPmail AG 8 Menupunkt el e E Interne CA Einstellungen verwalten uunsnsssnnssnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnrannnnnnannnn GA Zertifikat einrichten 3 2 24 230 24 200 444 5020 SeEENE REESEN RENE EEEE GA Zertifikat Sichern 22 2 2 2e dee ee SEELEN Verbindung zur externen CA S Trust einrichten uunesnsennnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnennnnnnnnnnnnnnnnnnn Verbindung zur externen CA Signtrust einrichten Verbindung zur externen CA SwissSign einrichten uuessssnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnennnnnnnnnnnannnnnnnn D Men punkt Administration ek 10 11 12 13 14 15 16 SEPPmail Appliance regis OO eE aaae een ana men Eae aeieea SENS Lizenzdatei einspielen ee Appliance nach verf gbaren Updates pr fen unnsnsssnnnennnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnenn
210. n In Abbildung 1 werden ein und ausgehende E Mails durch eine statische Konfiguration jeweils an eine separate virtuelle IP Adresse gesendet Es existieren 2 SEPPmail Systeme die mit unerschiedlicher Priorit t auf jeweils zwei virtuelle IP Adressen Alias IP Adressen reagieren Jeweils ein System erh lt alle eingehenden E Mails und ein System erh lt alle ausgehenden E Mails Durch das Einrichten von zwei virtuellen IP Adressen k nnen die beiden SEPPmail Systeme ber eine dedizierte virtuelle IP Adresse separat angesprochen werden In Abbildung 1 ist dies logisch abgebildet Physisch existieren lediglich zwei SEPPmail Systeme Was passiert im Detail Jedes SEPPmail System hat eine eigene v llig separate IP Adresse ber die nur dieses System angesprochen werden kann z B f r die Konfiguration von Einstellungen die nicht im Cluster synchronisiert werden In Abbildung 1 sind dies die IP Adressen 10 10 0 9 und 10 10 0 10 Zus tzlich gibt es zwei virtuelle IP Adressen um die beiden SEPPmail Systeme logisch zu jeweils einer Gruppe zusammenzufassen In Abbildung 1 sind diese virtuellen IP Adressen Gruppen farblich getrennt dargestellt Die virtuelle IP Adresse 10 10 0 1 hier gr n dargestellt wird f r alle ausgehenden E Mails vom internen E Mail Server angesprochen bzw die ausgehenden E Mails werden vom internen E Mail Server an diese virtuelle IP Adresse gesendet Die virtuelle IP Adresse 10 10 0 2 hier orange dargestellt wird f r
211. n da sich diese bei internen Systemen nicht so h ufig ver ndern Server requires E Mail Relay Server bei Ihrem Provider oder auch bestehende authentication interne E Mail Server ben tigen meist eine Anmeldung damit Sie E Mails an diese Server bertragen k nnen Verwenden Sie dazu die entsprechenden Anmeldedaten Geben Sie hier bitte den Benutzernamen zur Anmeldung ein Geben Sie hier bitte das Kennwort zur Anmeldung ein Sektion TLS settings Schaltfl che Add TLS Um die TLS Einstellungen zu verwalten w hlen Sie Schaltfl che Domain Add TLS Domain Weitere Informationen zur Verwaltung von TLS E Mail Domains erhalten Sie im Kapitel TLS Verschl sselung pro Domain einrichten Lech Sektion SMTP settings max message size kb Geben Sie in diesem Feld die maximale Gr e einer E Mail in Kilobyte ein die durch das SEPPmail System bertragen werden darf E Mails die diese Gr e berschreiten werden abgelehnt Postmaster address Geben Sie die E Mail Adresse des lokalen Administrators des SEPPmail Systems ein Alle vom SEPPmail erzeugten Statusmeldungen werden an diese E Mail Adresse gesendet SMTP server HELO string Festlegen welchen Namen SEPPmail beim Versand von E Mails im HELO EHLO Befehl verwenden soll SMTP bind address Festlegung der IP Adresse einer Netzwerk Schnittstelle ber die use with care alle E Mails empfangen werden normalerweise nicht notwendig openPGP key creation
212. n sender repr sentiert die E Mail Adresse des Absender der verarbeiteten urspr glichen E Mail admin repr sentiert die E Mail Adresse des lokalen SEPPmail Administrators Hinweis Der Platzhalter admin bezieht sich auf den lokalen Administrator der Appliance Dieses definieren Sie im Men Mail System gt Sektion SMTP settings gt Parameter Postmaster address Parameter Vorlage Definiert das Aussehen und den Inhalt der E Mail Benachrichtigung Vorlagen k nnen im Men Mail Processing gt Sektion Edit Disclaimer verwaltet werden Parameter Eigene Header 2013 SEPPmail AG 197 Dieser Parameter erm glicht es zus tzlich eigene Header zu definieren und einzuf gen Mehrere Header k nnen durch ein Semikolon getrennt werden Beispiel f r eigene Header From System Admin lt admin customer com gt X MyHeader MyOwnHeaderValue Zusammengefa te Notation des Parameters mit mehrerem zus tzlichen Headern From System Admin lt admin customer com gt X MyHeader MyOwnHeaderValue Der Betreff einer E Mail durch den Header Subject definiert kann nicht ver ndert werden Dieser Wert ist immer Notification und ist fest vorgegeben Beispiel 1 motirty sender bounce meer UE VSyetem Acmimn lt admin securemail com gt X MyHeader Test Erkl rung Bei der Verarbeitung einer E Mail wird eine zus tzliche E Mail Benachrichtigung erzeugt Diese wird an den Absender d
213. n Sie in der Konfigurationsoberfl che auf den Men punkt System Geben Sie die entsprechenden Werte in den Feldern Hostname und Domain ein Den Hostnamen k nnen Sie frei w hlen z B securemailgateway Der Domainname entspricht der DNS Domain in welcher sich die Appliance befindet z B ihrefirma local oder ihredomain com Diese Einstellungen sind die interne Sicht sie m ssen also nicht den Daten wie sie vom Internet her G ltigkeit h tten entsprechen 3 6 5 Netzwerkkonfiguration pr fen F hren Sie folgende Schritte durch um sicherzustellen dass die SEPPmail Appliance mit den von Ihnen vorgenommenen Netzwerkeinstellungen funktioniert 1 Klicken Sie in der Konfigurationsoberfl che auf den Men punkt Administration 2 Klicken Sie auf die Schaltfl che Check for Update Falls Sie eine der beiden folgenden Meldungen erhalten war die Netzwerkkonfiguration erfolgreich e sou already have the latest version installed e There is a new version available Installed version is alteVersionsnummer latest 2013 SEPPmail AG 23 version is neueVersionsnummer Andemfalls erscheint die Meldung ERROR unable to connect to update server make sure that the device can make connections to the internet on port 22 Sollte diese Meldung erscheinen pr fen Sie nochmals ob Ihre Netzwerkeinstellungen korrekt sind und ob Ihre Firewall bzw Ihr Router die Verbindung von Ihrer Appliance ins Internet ber Port TCP
214. n der Sektion Extended Settings 7e Sektion Background Image 2013 SEPPmail AG 76 In dieser Sektion k nnen Sie eine Grafik als Hintergrund f r die GINA Oberfl che einzuf gen Weitere Eigenschaften k nnen Sie in der Sektion GINA Webmail Layout verwalten 76 verwalten Sektion GINA CSS In dieser Sektion verwalten Sie alle GINA CSS Eigenschaften Eine CSS Datei wird verwendet um das Layout der GINA Oberfl che anzupassen Dabei sind die Daten und die Formatierung getrennt voneinander Wenn Sie sich mit CSS besch ftigen k nnen Sie die GINA Oberfl che z B an Ihre Corporate Vorgaben anpassen und so einfach in Ihre Webseite integrieren Sektion Extended settings In dieser Sektion k nnen Sie die zuvor eingerichteten Optionen zum Anzeigen in der GINA Oberfl che aktivieren oder deaktivieren Parameter Beschreibung Disable Powered by Bei Aktivierung dieser Option wird der Text Powered by Logo in Webmail viewer SEPPmail beim Aufruf einer GINA Nachricht nicht angezeigt Enable Header logo on Login aktivieren Sie das Header Logo innerhalb der GINA Anmeldung page Enable Header logo an all aktivieren Sie das Header Logo innerhalb der gesamten GINA other pages Oberfl che Enable Footer logo on Login aktivieren Sie das Footer Logo innerhalb der GINA Anmeldung page Enable Footer logo an all aktivieren Sie das Footer Logo innerhalb der gesamten GINA other pages Oberfl che Enable Footer text an Login
215. n jedem Cluster Member System vorgenommen werden das zum Cluster geh rt Bei der Konfiguration f r den Betrieb als reines Hochverf gbarkeitscluster Failover Cluster wird in den Cluster Member Systemen die gleiche virtuelle Cluster IP Adresse konfiguriert Ein System mu dabei mit der Priorit t Primary konfiguriert werden und ein System mu mit der Priorit t Backup konfiguriert werden Siehe Abbildung 1 und Abbildung 2 Wir verwenden die IP Adressen aus der Darstellung im Kapitel Hochverf gbarkeitsclusterh2A D SEI f MAI L Login Home System Mail System Mail Processing SSL CA Administration Cluster Logs Webmail Logs Statistics SWISS E MAIL Er RITY Users Groups Webmail accounts PGP public keys X 509 Certificates X 509 Root Certificates Domain keys System Comment System SEPPmail Cluster Member 10 10 0 9 Description IP Addresses I interfsce 10 10 all all aa luede Eelleurrent state Ethernet autoselect El Interface2 192 ell al ell aa Media ellcurrent state Ethernet autoselect IP ALIAS Addresses I 1P Alias o IT voll b ln x Interface Interface 1 Priority Primary current state Master EI 1P Alias 1 I I U 24 vH o 3 Lelintertace Interface 1 Le l Priority Primary E IP Alias 2 24 vhn 1 Te Interface Interface 1 Priority Primary Ts M raiass I U U 24 lsluntp 1 12 interface Interface 1
216. n sondern ber seine eigene separate IP Adresse Jedes SEPPmail System hat eine eigene v llig separate IP Adresse ber die nur dieses System angesprochen werden kann z B f r die Konfiguration von Einstellungen die nicht im Cluster synchronisiert werden In Abbildung 2 sind dies die IP Adressen 10 10 0 9 und 10 10 0 10 Der wesentliche Unterschied zur Abbildung 1 ist dass hierbei keine virtuelle IP Adresse angesprochen wird Zum Verteilen ausgehender E Mails wird der Load Balancer am internen E Mail Server diese wahlweise an die Cluster Member Systeme mit den IP Adressen 10 10 0 9 und 10 10 0 10 verteilen Zusammenfassung Beim Einsatz eines externen Load Balancers werden die SEPPmail Cluster Member Systeme direkt vom Load Balancer angesprochen Falls ein Cluster Member System ausf llt so ist der Load Balancer daf r verantwortlich dies zu erkennen und die ein oder ausgehenden E Mails an das verbleibende System zu senden F r die Nutzung von Enhanced Secure Webmail kann weiterhin die virtuelle Cluster IP Adresse angesprochen werden In Abh ngigkeit der Cluster Member Priorit ten wird im Beispiel in Abbildung 2 das Cluster Member System mit der IP Adresse 10 10 0 9 antworten da dies mit der Priorit t Primary eingerichtet ist Ist dieses System nicht verf gbar so wird das Cluster Member System mit der IP Adresse 10 10 0 10 antworten da dies mit der Priorit t Secondary eingerichtet ist Das einrichten der virtuellen IP Ad
217. n werden https secmail customer1 com web app https secmail customer2 com web app https secmail customer3 com web app Die im Beispiel angegebenen FQDNs werden als Hostname innerhalb der jeweiligen GINA Domain angegeben Beispiel Hostname secmail customerl com Das Standardverhalten kann durch den folgenden Parameter ver ndert werden Parameter Use virtual hosting Die Aktivierung dieses Parameters ist erforderlich wenn zus tzliche GINA Domains angelegt werden m ssen und das jeweilige GINA Portal f r die zus tzlichen Domains ber eine eigenst ndige URL 2013 SEPPmail AG 85 erreichbar soll Standardverhalten ohne zus tzliche GINA Domains und ohne aktiviertes virtuelles Hosting Beispiel GINA Hostname Default secmail customer com GINA URL eingebettet in der Secure Webmail Default https secmail customer com web app op init Standardverhalten mit zus tzlichen GINA Domains und ohne aktiviertes virtuelles Hosting Beispiel GINA Hostname Default secmail customer com GINA URI eingebettet in der Secure Webmail f r Default https secmail customer com web app op init GINA Hostname customerDomainl secmail customerl1 com GINA URI eingebettet in der Secure Webmail f r customerDomainl https secmail customer com secmail customerl1 com web app op init In diesem Beispiel k nnen Sie erkennen dass ohne virtuelles Hosting das GINA Portal der zus
218. nd Server selbst keine Konfigurationsdatenbank existiert Die zur Laufzeit ben tigten Konfigurationsdaten werden ja nach Anforderung z B beim notwendigen Entschl sseln einer eingehenden E Mail vom Cluster auf den Frontend Server transferiert und nur tempor r vorgehalten Nach der E Mail Verarbeitung werden diese Konfigurationsdaten sofort wieder gel scht Diese Funktion kann in Szenarien Anwendung finden die entsprechende Anforderungen an die Compliance stellen Frontend Backend Cluster interner E Mail Server Cluster Member Primary IP Adresse 10 10 0 2 externer E Mail Relay Server vollautomatische Synchronisierung Cluster Member Secondary IP Adresse 10 10 0 3 virtuelle Cluster IP Adresse 10 10 0 1 Secure Webmail Frontend Server IP Adresse 10 10 0 8 ein und ausgehende Ohne lokale Datenbank E Mails Abbildung 1 Schematische Darstellung einer Frontend Backend Cluster Struktur 2013 SEPPmail AG 134 6 10 6 Einrichten einer Clusterkonfiguration Wichtiger Hinweis Bitte beachten Sie die Sicherheitshinweise wenn Sie nderungen an den Parametern des Clusterverbunds vornehmen Systeme aus dem Clusterverbund herausl sen Systeme im Fehlerfall ersetzten oder neue Systeme dem Clusterverbund hinzuf gen Ohne das Beachten dieser Sicherheitshinweise k nnen Sie den kompletten Clusterverbund unbrauchbar machen Die Sicherheitshinweise finden Sie im Kapitel Sicher
219. ndard GINA Domain default wird diese als Vorlage zur bernahme von Einstellungen verwendet In welchem Umfang Einstellungen bernommen werden legen Sie in den einzelnen Sektionen fest die nachfolgend detailliert erl utert werden Sektion Admin In der Sektion Admin k nnen Sie eine E Mai Adresse f r den Administrator erfassen welcher eine Benachrichtigung als E Mail erh lt wenn einen GINA Empf nger sein Kennwort zur cksetzen lassen m chte Hierzu muss das Security Level auf Reset by hotline eingestellt sein Sektion Extended settings Parameter Beschreibung Use settings from master Aktivieren Sie dieses Kontrollk stchen falls Sie die template Einstellungen vom Master Template bernehmen m chten Default Forward Page URL die verwendet wird falls die GINA Oberfl che direkt statt ber eine GINA Nachricht aufgerufen wird optional Always zip HTML Verwenden Sie diese Einstellung wenn der versch sselte E attachments when encrypting Mail Teil einer GINA Nachricht im ZIP anstatt im HTML Format mail with GINA technology angeh ngt werden soll Diese Einstellung wird ben tigt wenn 2013 SEPPmail AG 70 for OWA compatibility for der Empf nger Outlook Web Access OWA verwendet da single mails use owa in GINA Nachrichten im HTML Format aus OWA nicht entschl sselt subject werden k nnen Um die Einstellung nur bei einzelnen E Mails zu nutzen kann der Begriff owa als Steuerkommando in
220. nders Um den Verwaltungsaufwand zu minimieren speichert die SEPPmail Appliance diese S MIME Zertifikate automatisch und nutzt sie zur S MIME E Mail Verschl sselung f r entsprechende Kommunikationspartner F r den sicheren E Mail Versand w hlt die SEPPmail Appliance aus folgenden 5 Methoden die f r den Empf nger bestm gliche aus 1 GINA Technologie Bei der GINA Verschl sselungstechnologie handelt es sich um ein patentiertes Verfahren Dabei werden E Mails nicht bis zur Abholung zwischengespeichert wie es bei anderen Webmailverfahren blich ist sondern vollst ndig verschl sselt an den Empf nger ausgeliefert Dort werden sie in seinem Postfach z B im Outlook gespeichert E Mails sind bei diesem Verfahren vor Phishing Attacken gesch tzt denn neben dem Kennwort ist f r den erfolgreichen Zugriff auch die verschl sselte E Mail selbst aus der Postfach des Empf ngers erforderlich Eine GINA Nachricht enth lt die Nachricht in verschl sselter Form als Dateianlage Der Empf nger ruft die Nachricht ab indem er die verschl sselte Dateianlage im lokalen Webbrowser ffnet Diese wird dann ber eine sichere SSL Verbindung HTTPS an die SEPPmail Appliance des Absenders bertragen und dort nach Eingabe eines Benutzerkennworts entschl sselt und angezeigt Durch die Kennworteingabe wird die Identit t des Empf ngers bei jedem Abruf gepr ft Im Gegensatz zum herk mmlichen E Mail Versand k nnen E Mail Zustellungen aufgrund der korrekt
221. nen Absender E Mail Adresse gesendet wurde 7 2 8 incoming Der Befehl incoming erm glicht es das Auslieferungsziel einer E Mail zu bestimmen Aufbau des Befehls incoming Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl pr ft ob eine E Mail lokal ausgeliefert wird Sind nicht alle Empf nger der E Mail ausschlie lich lokal oder ausschlie lich nicht lokal werden zwei Gruppen gebildet Hinweis Das Ausliefern einer E Mail ausschlie lich lokal bedeutet dass diese E Mail an einen Empf nger weitergeleitet werden kann der unter Managed Domains definiert wurde E Mails an diese Empf nger werden als ausschlie lich lokale Empf nger angesehen und durch den Anweisungsblock 1 behandelt Das Ausliefern einer E Mail ausschlie lich nicht lokal bedeutet dass die E Mail an einen externen Empf nger weitergeleitet wird Diese E Mail wird wie eine ausgehende E Mail behandelt und durch den Anweisungsblock 2 behandelt Der R ckgabewert ist f r die Gruppe der lokalen Empf nger positiv F r die Gruppe der nicht lokalen Empf nger ist der R ckgabewert negativ Dieser Befehl hat keinen Parameter Beispiel 2013 SEPPmail AG 193 Le dmesmaas l P Ruleset Anweisungen f r alle E Mails die lokal zugestellt werden k nnen Anweisungsblock 1 R ckgabewert positiv else Ruleset Anweisungen f r alle E Mails die nicht lokal zugestellt werden k nnen Anweisungs
222. nen 171 OpenPGP Schl ssel importieren uunssnensnenenennnennenn 171 OpenPGP Schl ssel herunterladen oder l schen uunsusssersnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 171 17 Men punkt X 509 Certftcates uk 172 bersicht Men punkt X 509 Certificates uunssesessasnnennnnnnennnnnnnnennnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnennnnen 172 S MIME Benutzerzertifikat importieren unssnsnensnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnrnnnnnnnnn ensure 172 S MIME Benutzerzertifikat herunterladen oder l schen unnssnnsennennnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 173 18 Men punkt X 509 Root Certificate Ab 174 bersicht Men punkt X 509 Root Certificates aasaseseseansnennnnnnnnennnnnennnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnennnnen 174 X 509 Root Zertifikate importieren uuunssnsssnnnnnannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnnnnnnnnnnnnnnnnnnnnnn 175 X 509 Root Zertifikate herunterladen oder l schen uuunsssnnnensnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnennnannnsnnnannnnnnn 176 X 509 Root Zertifikaten vertrauen uusnsenernansenensnnnonensnnnnnnnnnnunnnnannunnnunnnunnnunnnnnsnannrennnsnennnnnsnnnann nn 176 xX 509 Root Zertifikate automatisch importieren uunnsannssansnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnanen 176 19 Men punkt Domain keys uuussneennnsnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn anne 177 bersicht Men punkt Domain kayS aanssesssesnnnnnnnnnnnnnnnnnnnnnn
223. nen Internetzugang versenden und empfangen Ein dynamisches E Mail Routing erm glicht es dass E Mails grunds tzlich an allen Standorten durch das unternehmensinterne E Mail Transportnetzwerk versendet oder empfangen werden k nnen Dies erfordert an jedem Standort jeweils ein eigenes SEPPmail Cluster zur E Mail Signatur und zur Ver und Entschl sselung von E Mails Die an jedem Standort lokal eingerichteten SEPPmail Cluster sind jeweils als Hochverf gbarkeitscluster eingerichtet Jedes Cluster an den verschiedenen Standorten w re somit ein eigenst ndiges und aber lokal begrenztes System indem sich die Cluster Member Systeme gegenseitig berwachen und ihre Konfiguration untereinander synchronisieren Um zus tzlich eine globale Synchronisierung der einzelnen Cluster Systeme zwischen den geografisch getrennten Standorten einzurichten k nnen wir ein Geo Cluster oder auch MultiSite System einrichten Ein Geo Cluster synchronisiert die Konfigurationen zwischen den einzelnen lokalen Cluster Systemen der geografische getrennten Standorte zu einem globalen SEPPmail Cluster System Ein solches System wird als Geo Cluster bezeichnet Es verbindet alle lokalen Cluster Systeme der geografisch getrennten Standorte zu einem unternehmensweiten Geo Cluster In diesem Geo Cluster werden alle Konfigurations nderungen die an einem SEPPmail Cluster Member System durchgef hrt werden sofort auf alle Cluster Member Systeme in allen Standorten automatisch sync
224. nen in die Suche einbezogen Um den Filter auf alle archivierten Log Dateien anzuwenden w hlen Sie die Option Include complete archived logs might be time consuming Dies kann je nach Gr e der archivierten Log Dateien einige Zeit bis zum Anzeigen des Ergebnis in Anspruch nehmen Sektion Mail log last 500 In dieser Sektion k nnen Sie die Log Datei Eintr ge der letzten 500 E Mail Bewegungen einsehen Dies ist der schnellste und gebr uchlichste Weg Log Informationen einzusehen Farbcode f r den momentanen Verarbeitungsstatus einer E Mail black Die E Mail wurde noch nicht verarbeitet oder wurde direkt ausgeliefert green Die E Mail wurde erfolgreich ausgeliefert yellow Die E Mail konnte noch nicht erfolgreich ausgeliefert werden dieser Vorgang wird in Intervallen wiederholt red Die E Mail konnte nicht ausgeliefert werden und wurde zur ckgewiesen Den Verarbeitungsstatus einer E Mail k nnen Sie in der Spalte To Empf nger E Mail Adresse einsehen Die Empf nger E Mail Adresse wird entsprechend den oben aufgef hrten Farbcodes dargestellt So haben Sie sehr schnell die M glichkeit Abweichungen in der Verarbeitung von ein und ausgehenden E Mails zu erkennen Die letzten E Mail Bewegungen werden mit folgenden Details angezeigt Nr Eine fortlaufende Nummerierung der E Mail Nachrichten Der Wert dieser Spalte ist farbig dargestellt und dient ebenfalls als Link zur Detailansicht der Log Informationen
225. nennnennnannnsnnnannnnnnn Einstellungen der Appliance sichern und wiederherstellen uuur 22u04200n0400nnnnannnnnnnnnnnnnnnnnnnnnn Appliance neu starten oder herunterfahren zauurssunnssnnnnnannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannn Appliance auf Werkseinstellungen zur cksetzen nuunssnnnnnannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnnanen Bestehende Benutzer oder Schl ssel importieren Ausgehende Supportverbindung herstellen uuensensrennnennnannnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnennnennnannnsnnnannnnnnn Men punkt Cluster AANEREN ll Eug EE Hochverf gbarkeitscl sten u ese innen engeren edel Ce ECdEEeEeEREu EEN ge Lead Balancing C S TOs ar aE a a E ara p ea E AT e A Ea EEn Epor OoN ai Eoso Aaaa PEE aE Ee Frontend Backend Cluster Einrichten einer Clusterkonfiguration uusesssnsnunnnnnnnnnnnnnnnnnnnnnnennnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnsnnnnnnannnn berblick EE sicherheitshinweisei 2 222 2 2 ran iin Benni Konfiguration der VMware ESX Umgebung Einrichten der Basiseinstellungen eines SEPPmail Systems Einrichten der SEPP mail Cluster Systeme nn Cluster Identifizierung berunterladen nnne SEPP m il l ster einrichteh 2 202 22 2 ran Hochverf gbarkeitscluster einrtchten nnen ne EEn Load Balancing Cluster einrichten a ndi dae adadan G60 Gl ster einrichten S aranna runa N A A Bar RE Le Frontend Backend Cluster einrtichten nn Men punkt L0Qs
226. ner E Mail Server externer E Mail Relay Server Primary IP 10 10 0 9 IP 10 10 0 9 vollautomatische Synchronisierung Secondary IP 10 10 0 10 Primary IP 10 10 0 10 virtuelle Cluster IP Adresse 10 10 0 2 ausgehende E Mails eingehende E Mails Abbildung 1 Schematische Darstellung der statischen Aufteilung f r ein und ausgehenden E Mails 2013 SEPPmail AG 127 Einsatz eines externen Load Balancers zum Verteilen der E Mails auf verschiedene Cluster Member Systeme In Abbildung 2 werden ein und ausgehende E Mails durch einen externen Load Balancer dynamisch an die Cluster Member Systeme gesendet Jedes Cluster Member System erh lt dadurch gleicherma en ein und ausgehende E Mails Falls ein Cluster Member System nicht mehr verf gbar ist so ist der Load Balancer daf r verantwortich dies zu erkennen und entsprechend zu reagieren Abbildung 2 zeigt eine logische Darstellung des Szenarios Was passiert im Detail Die Clusterfunktionalit t von SEPPmail wird in diesem Szenario lediglich f r die Synchronisation der Konfiguration zwischen den Cluster Member Systemen verwendet Die Entscheidung welches System auf ein und ausgehende E Mails reagiert wird durch den vorgelagerten Load Balancer getroffen Dieser verteilt je nach Konfiguration und Lastsituation die E Mails an wahlweise an ein Cluster Member System Hierbei wird das Cluster Member System nicht ber eine virtuelle IP Adresse angesproche
227. ng bereit Relay email address E Mail Adresse des Remote GINA Relay Unter dieser E Mail Adresse ist dieses System als Remote GINA Relay erreichbar Relay domain key fingerprint Fingerprint des Domainkeys welcher von diesem Relay Server verwendet wird 6 6 7 Regelwerk anzeigen und laden Men Mail Processing gt Sektion SMTP Ruleset Paramerter Beschreibung Display Zeigt das aktuelle Ruleset an Upload Erm glicht den Upload eines eigenen Rulesets 2013 SEPPmail AG 106 6 7 Men punkt SSL W hlen Sie den Men punkt SSL um das SSL Device Zertifikat Secure Sockets Layer der SEPPmail Appliance zu verwalten Folgende Vorg nge werden in den kommenden Abschnitten beschrieben SSL Device Zertifikat selbst erstellenhod SSL Device Zertifikat von einer ffentlichen Zertifizierungsstelle anfordernl10 amp Bestehendes SSL Device Zertifikat verwendenhod SSL Device Zertifikat sichernh 10 6 7 1 SSL Device Zertifikat selbst erstellen Men SSL gt Schaltfl che Request an new Certificate SEPPmail erm glicht es ein eigenes SSL Device Zertifikate ber die Konfigurationsoberfl che zu erstellen F r eine Testinstallation ist es nicht zwingend erforderlich ein kostenpflichtiges SSL Device Zertifikat zu beschaffen Das Zertifikat kann auf der SEPPmail Appliance automatisch generiert und signiert werden F llen Sie die Felder wie folgt aus die kursiven Felder m ssen ausgef llt werden
228. nl60N SMTP Einstellungenle3 E Mail Relayingl e Antispam Einstellungenl e Blacklists Whitelists verwalten ee 6 5 1 bersicht Men punkt Mail System Sektion Managed Domains Domain Name Liste aller auf dem SEPPmail System angelegten E Mail Domains f r die E Mail Verschl sselung und das E Mail Routing Server IP Address Liste der E Mail Server IP Adressen f r die Weiterleitung der E Mails an die angelegten E Mail Server der E Mail Domains Server Port Liste der E Mail Server TCP Ports auf denen die Ziel E Mail Server E Mails f r die angelegten E Mail Domains annehmen TLS level Zeigt an welche Art der TLS Transportverschl sselung von der SEPPmail Appliance zum angegebenen E Mail Server f r die jeweilige E Mail Domain verwendet werden soll GINA Settings Zeigt das GINA Profil an welches f r diese E Mail Domain festgelegt wurde Disclaimer Settings Zeigt an welcher Disclaimer an ausgehende E Mails der jeweiligen E Mail Domain angef gt werden soll Name des Kunden dem diese E Mail Domain zugeordnet wurde Schaltfl che Add Domain W hlen Sie diese Schaltfl che um weitere E Mail Domains hinzuzuf gen Diese E Mail Domains m ssen passend sein zu den E Mail Adressen Ihres Unternehmens Weitere Informationen zur Verwaltung von E Mail Domains erhalten Sie im Kapitel Zu verwaltende E Mail Domains einrichten 6 Automatically create and Dieser Parameter bewirkt dass f r alle ber die Schaltfl
229. nnnnnnnnnnnnnnnnnnn 229 ldap comparei ncessennen een 229 ee MERET DEE 230 ldap getceris nee rennen ones ehe eek aaa diaii 231 Idap getpgpkeysl aussen een sehen anasa eaa aaea aaan Seaia 232 8 Befehle f r Content Management unsnsssennsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 234 e Ce Ta O ES EE E E E A A E A Ee TC partofty EE M tteg e E T E T E A A et EA a E SEENEN Liste der Dateitypen Gruppen von Dateitypen 2013 SEPPmail AG 2013 SEPPmail AG 1 Vorwort Die SEPPmail AG beh lt sich vor am Inhalt dieses Dokuments jederzeit und unangek ndigt nderungen vorzunehmen Sofern nicht anders vermerkt sind Namen und Daten von Personen oder Unternehmen die in diesem Dokument als Anwendungsbeispiele verwendet werden frei erfunden Die Herstellung einer angemessenen Zahl von Kopien dieses Dokuments ist gestattet jedoch nur f r den internen Gebrauch Zu anderen Zwecken darf dieses Dokument weder kopiert noch reproduziert werden weder teilweise noch vollst ndig nicht elektronisch mechanisch oder auf irgendeine andere Weise ausser mit ausdr cklicher schriftlicher Genehmigung der SEPPmail AG Der Inhalt dieses Dokuments kann m glicherweise ver ndert worden sein falls Sie es nicht direkt von der SEPPmail AG erhalten haben Auch wenn dieses Dokument mit der gr ssten Sorgfalt angefertigt wurde bernimmt die SEPPmail AG keine Verantwortung f r etwaige Fehler oder Unvollst ndigkeiten Die Benut
230. nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnenen 177 OpenPGP Domain keys importieren uusnsrensuonsunnnunnnunnnunnnnnnnnnnnnnnnennnnnnnnnnnsnnnnnnnnnnnnsnnnannnennnnnnnenen 178 OpenPGP Domain keys herunterladen oder l schen uuuessnnesnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 178 S MIME Domain keys importieren uunesssenssensuonsnunnusnnnnnnnnnnnnnnennnnnnnennnnnnnsnnnsnnnnnnnsnnnnnnnnnennnnnnnnnnnnen 179 S MIME Domain keys herunterladen oder l schen uusssessnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnen 179 Domain keys verwalten uuanessssannssannnnnnnnnnnnnnnnnnnnnnnnnnnn 20 Men punkt Customers Neuer Kuhden erstellen 2 ee REENEN EES 181 Bestehenden Kunden verwalten eusssnsssnsnonnuannunnnunnnunnnunnnunnnnnnnennnannnsnensnnnsnnnnnnnnnnnnersnnnenersnnnenernn 182 Bestehenden Kundenil schen u 1sns sa es ee aa a a eaea EENEN 183 Part VII Referenz der Regelwerk Anweisungen 184 1 Kontrollstrukturen if else Anweisungen uussssennnsnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnn 184 2 Allgemeine Befehle 2 2 2 aa an 185 tele We EE H ue EE ee e compareattr comparebody descaimert ee from_managed_domain leet EE ie EE ie EE EE normalize_header Lenk OU replace_rcpti al lee ee E EE 198 Ee UE 199 ue Ee EE 200 UU EI EE 201 GEET ees eene ee eege e ees 202 ie Ge To11 EE 203 tagsubject 203 3 B
231. o identify spam Check incoming mails for Aktiviert die SPAM Pr fung und sendet als SPAM erkannte E spam and redirect spam to Mails an die angegebene E Mail Adresse leave empty to reject spam Parameter Check mails for viruses and send infected mails to leave empty to reject infected mails Sie k nnen mit diesem Parameter eingehende E Mails auf Viren berpr fen und bei erkannter Infektion an die zus tzliche angegebene E Mail Adresse weiterleiten Der urspr ngliche Empf nger erh lt die infizierte E Mail nicht Wenn keine E Mail Adresse angegeben ist werden entsprechende E Mails gel scht Parameter Send notification to this email address if a virus was found Wird bei einer eingehenden E Mail ein Virus gefunden so wird eine Benachrichtigung ber dieses Ereignis an die hier angegebene E Mail Adresse gesendet Parameter Check incoming mails for spam and add the following text to the subject to identify spam Standard SPAM Sie k nnen mit diesem Parameter eingehende E Mails auf SPAM berpr fen Handelt es sich um eine als SPAM erkannte E Mail so wird der zus tzlich definierte Tag am Ende der Betreffzeile hinzugef gt um die E Mail als SPAM gekennzeichnet Tag level Sie definieren hier einen Schwellwert ab dem eine eingehende E Mail als SPAM eingestuft und markiert wird Je niedriger dieser Wert ist desto wahrscheinlicher ist es dass eine E Mail als SPAM erkannt wird Gleichzeitig erh ht sich bei ni
232. okoll nicht f r einen Zugriff auf die Webmail Schnittstelle aus dem Internet oder aus einem anderen unsicheren Netzwerk Sie erm glich dadurch das protokollieren von Webbrowserverbindungen zur Webmail Schnittstelles des SEPPrmail HTTPS Port Standard Aktivieren Sie diesen Parameter um den verschl sselten Zugriff via HTTPS Protokoll auf die Webmail Schnittstelle des SEPPmail Systems zu erm glichen Geben Sie dazu einen entsprechenden TCP Port an Der HTTPS Standardport ist TCP 443 Enable local https proxy Reverse Proxy Aktivieren Sie diesen Parameter um den redirect unknown requests to Zugang zum Webmail Subsystem nicht mehr direkt sondern ber http den lokalen SEPPmail Reverse Proxy zu aktivieren Sie k nnen den SEPPmail Reverse Proxy ebenfalls f r den Zugang zu einem internen OWA Server Outlook Web Access verwenden Auf der OWA Schnittstelle des internen MS Exchange Server muss HTTP aktiviert werden Der Reverse Proxy leitet alle nicht f r SEPPmail bestimmten Anfragen via HTTP nach intern weiter z B einer speziellen Landing Page auf der Firmenwebseite oder zu einem OWA Server Ebenfalls werden auch ActiveSync Verbindungen zum internen MS Exchange Server durch den Reverse Proxy weitergeleitet Sektion Console Login Disable console root login Aktivieren Sie diesen Parameter so wird der Konsolenzugang am SEPPmail System gesperrt Hinweis Bitte beachten Sie beim Aktivieren dieses Parameters dass in diese
233. omer com web app Web Anwendung f r den SMS Versand der Kennwortbenachrichtigung erreichbar ber https secmail customer com pesend app Parameter Available via the following URL Zum Versenden einer Kennwortbenachrichtigung via SMS erh lt der interne Absender eine E Mail Nachricht Diese Kennwortbenachrichtigung wird beim Erzeugen eines GINA Kontos f r einen externen Empf nger automatisch generiert und an den internen Absender gesendet In dieser E Mail Nachricht befindet sich ein Link zu einer Web Anwendung ber die der SMS Versand durchgef hrt wird Die Web Anwendung ist ausschlie lich ber die in diesem Eingabefeld definierte URI erreichbar Diese Einstellung k nnen Sie verwenden wenn die Web Anwendung nur aus dem internen Netzwerk erreichbar sein soll Beispiel 2013 SEPPmail AG 90 Web Anwendung f r den SMS Versand der Kennwortbenachrichtigung erreichbar ber https 192 168 1 60 8443 pwsend app 6 6 4 Disclaimer verwalten Men Mail Processing gt Sektion Edit Disclaimer Der Standard Disclaimer hat die Bezeichnung default Sie k nnen neben dem Standard Disclaimer zus tzliche Disclaimer hinzuf gen und Konfigurieren Disclaimer L schen oder bestehende Disclaimer editieren Einen Disclaimer l schen Um einen Disclaimer zu l schen w hlen Sie den zu l schenden Disclaimer aus und klicken Sie auf die Schaltfl che Delete Der Disclaimer wird aus der Konfiguration entfernt Beach
234. omers Zum Erstellen eines neuen Kunden klicken Sie in der Konfigurationsoberfl che die Schaltfl che Create new customer Sektion Customer details Parameter Beschreibung Customer Name des Kunden nicht mehr editierbar Bezeichner des Kunden editierbar Customer Admin E mail E Mail Adressen des Kunden Administrator editierbar Comment Kommentar editierbar Creation info Information zur Erzeugung des Kunden Benutzer mit Zeitstempel Sektion Import backup Importieren Sie ein zuvor erzeugtes Kundenbackup Es wird automatisch ein neuer Kunde angelegt 2013 SEPPmail AG 182 6 20 2 Bestehenden Kunden verwalten Men Customers Zum Verwalten eines vorhandenen Kunden w hlen Sie den Kunden aus und klicken Sie in der Konfigurationsoberfl che die Schaltfl che Edit Verwalten eines manuell angelegten Kunden oder des Standard Kunden Default Customer Sektion Customer details In dieser Sektion k nnen Sie die Detaildaten einsehen und ver ndern die Sie beim Anlegen des Kunden erfa t haben Sektion Customer administrators In dieser Sektion k nnen Sie vorhandene Benutzer als Kunden Administratoren hinzuf gen Sektion Assigned managed domains In dieser Sektion k nnen Sie vorhandenen Managed E Mail Domains diesem Kunden zuordnen Sektion Assigned GINA accounts In dieser Sektion k nnen Sie vorhandenen GINA Benutzerkonten zu diesem Kunden hinzuf gen oder entfernen
235. ort Mitarbeiter ein neues Einmalkennwort zum n chsten Login Nach dem Login ist es erforderlich ein neues pers nliches Kennwort erfassen Ein Login mit dem neu gesetzten Kennwort ist nun m glich 2013 SEPPmail AG 170 Auswahlwert Reset by hotline no reminder question answer Der externe GINA Benutzer kann sein Kennwort nicht selbstst ndig zur cksetzen Er gibt dazu seine Rufnummer an unter der er f r den Support erreichbar ist Eine berpr fung durch die Beantwortung einer Sicherheitsfrage ist nicht erforderlich Beim Erstmaligen Initialisieren des GINA Benutzerkontos ist es nicht erforderlich dass der Benutzer eine Sicherheitsfrage angibt Der Benutzer erh lt vom Support Mitarbeiter ein neues Einmalkennwort zum n chsten Login Nach dem Login ist es erforderlich ein neues pers nliches Kennwort erfassen Ein Login mit dem neu gesetzten Kennwort ist nun m glich Diese folgenden M glichkeiten f r das Zur cksetzen eines Kennworts k nnen nur im Rahmen der Funktion Self Service Passwort Management SSPM ausgef hrt werden Siehe GINA Self Service Passwort Managements Auswahlwert Reset by SMS Der externe GINA Benutzer kann ein neues Kennwort via SMS auf sein Mobiltelefon anfordern Dieses neue Einmalkennwort verwendet der Benutzer f r den n chsten Login Dabei muss er ein neues pers nliches Kennwort erfassen Ein Login mit dem neu gesetzten Kennwort ist nun m glich Beim Reset des Kennworts via SMS muss die
236. ount status kann folgende Werte anzeigen locked Das GINA Benutzerkonto des Empf ngers ist gesperrt enabled Das GINA Benutzerkonto des Empf ngers ist aktiv Parameter Last message status In dieser Spalte wird der Status der letzen Benutzerinteraktion angezeigt Der last message status kann folgende Werte anzeigen lt Statusmeldung gt Wird eine Statusmeldung in rot angezeigt dann wurde die letzte Benutzerinteraktion z B die Benutzeranmeldung am GINA Benutzerkonto nicht erfolgreich ausgef hrt Beispiele May 2 18 00 00 auth failure pwdCount 4 Das Benutzerkennwort des Empf ngers wurde 4 Mal falsch eingegeben May 2 18 00 00 auth failure disable Das Benutzerkonto des account Empf ngers wurde gesperrt nachdem das Benutzerkennwort 4 Mal falsch eingegeben wurde lt Statusmeldung gt Wird die Statusmeldung in gr n angezeigt dass wurde die letzte Benutzerinteraktion z B das Lesen einer GINA Nachricht erfolgreich ausgef hrt Beispiele May 2 18 00 00 success message ID Eine GINA Nachricht wurde vom lt 4DA69716 8030601 customer com gt Empf nger erfolgreich entschl sselt und angezeigt 2013 SEPPmail AG 167 May 2 18 00 00 auth ok Der Empf nger konnte sich erfolgreich an seinem GINA Benutzerkonto anmelden 6 15 2 GINA Benutzerkonten sperren Men GINA accounts Um GINA Benutzerkonten zu sperren klicken Sie in der Konfigurationsoberfl che auf den Men punkt GINA accoun
237. plates verwalten Regelwerk verwaltenle2 Remote Webmail Relay ho Regelwerk anzeigenlio3 Regelwerk ladenho 6 6 1 GINA Webmail Schnittstelle GINA ist die neue Standard Schnittstelle f r Secure Webmail Mit der Version 6 setzt SEPPmail einen neuen Secure E Mail Standard Die bertragung digital signierter und verschl sselter E Mails wird einfacher denn je f r Absender und Empf nger gleicherma en Die Secure E Mail Plattform SEPPmail V6 GINA darf als weltweit einfachste vielseitigste und trotzdem komfortabelste L sung f r die hoch sichere E Mail bertragung bezeichnet werden Sie besticht durch zahlreiche Highlights Modernes User Interface intuitiv bedienbare Benutzerschnittstelle Maximaler Komfort beim Empfangen und ffnen gesicherter E Mails via Webmail Benutzerfreundliche Einbindung mobiler Endger te Portalfunktionen Externe Benutzer erhalten die M glichkeit jederzeit verschl sselte E Mails an interne Mitarbeiter zu senden Externe Benutzer k nnen sich selbst ndig via Portal registrieren Bereits bestehende Keys S MIME oder PGP lassen sich durch die externen User selbst ndig hochladen Customizing Anpassung des Layouts an eigene Bed rfnisse Adaption s mtlicher GINA Komponenten an individuelle Bed rfnisse erm glicht beispielsweise die Umsetzung von Corporate Design Vorgaben Integration in Firmen Websites Portale etc Einbindung beliebiger Sprachen ideal f r international t
238. plizieren herunterladen Replikationsziel und in 10 10 0 10 Konfiguration Cluster Member Secondary physische IP 10 10 0 10 Abbildung 4 Schematische Darstellung der Replikation der Clusterkonfiguration zwischen zwei SEPP mail Cluster Member Systemen Bis jetzt haben Sie die prim re Replikation und dann folgende Sychronisation der Konfigurationsdaten zwischen den Cluster Member Systemen eingerichtet Um ein Hochverf gbarkeitscluster und ein Load Balancing Cluster einzurichten ist es erforderlich die einzelnen Cluster Member Systeme unter einer oder mehreren virtuellen Cluster IP Adressen zusammenzufassen 2013 SEPPmail AG 144 6 10 6 8 Hochverf gbarkeitscluster einrichten Zum Einrichten eines Hochverf gbarkeitsclusters sind zwei verschiedene Funktionen notwendig Im Men Cluster in der Konfigurationsoberfl che ist die Replikation und dann folgende Sychronisation der Konfigurationsdaten der Clusterkonfiguration zwischen den Cluster Member Systemen einzurichten und zu aktivieren Diesen Punkt haben wir bereits im vorherigen Kapitel behandelt Im Men System in der Konfigurationsoberfl che sind die berwachung der Cluster Member Systeme untereinander und die Priorit ten der einzelnen Cluster Member Systeme innerhalb des Clusters einzurichten Die Konfiguration der virtuellen Cluster IP Adresse n erfolgt im Men punkt System Advanced View in der Sektion IP ALIAS Adresses Diese Konfiguration mu i
239. ppe haben Zugriff auf das Men PGP GUI Access to PGP public keys in der Konfigurationsoberfl che Keys Section ssladmin Alle Mitglieder dieser Gruppe haben Zugriff auf das Men SSL in GUI Access to SSL der Konfigurationsoberfl che Section statisticsadmin Alle Mitglieder dieser Gruppe haben Zugriff auf das Men GUI Access to Statistics in der Konfigurationsoberfl che Zus tzlich erhalten alle Statistics Section Mitglieder dieser Gruppe einen t glichen System Report des jeweiligen Systems Der System Report wird t glich um 0 00 Uhr erzeugt und via E Mail an alle Mitglieder dieser Gruppe gesendet systemadmin Alle Mitglieder dieser Gruppe haben Zugriff auf das Men System GUI Access to System in der Konfigurationsoberfl che Section 2013 SEPPmail AG 163 usersadmin Alle Mitglieder dieser Gruppe haben Zugriff auf das Men Users in GUI Access to Users der Konfigurationsoberfl che Section webmailaccountsadmin Alle Mitglieder dieser Gruppe haben Zugriff auf das Men Webmail GUI Access to Webmail accounts in der Konfigurationsoberfl che Accounts Section x509certificatesadmin Alle Mitglieder dieser Gruppe haben Zugriff auf das Men X 509 GUI Access to X 509 Certificates in der Konfigurationsoberfl che Certificates Section x509rootcertificatesadm Alle Mitglieder dieser Gruppe haben Zugriff auf das Men X 509 in Root Certificates in der Konfigurationsoberfl che
240. prechende IP Adresse zeigt A Record Sektion Blacklists Add Blacklist RBL E Mail Server werden aufgrund von SPAM Aktivit ten in Blacklists aufgenommen Diese Listen werden durch verschiedene Anbieter im Internet gepflegt Um E Mails abzuweisen die von solchen E Mail Servern an Sie gesendet werden tragen Sie den Namen der entsprechenden Realtime Blackhole Lists RBL in diesem Eingabefeld ein Sektion Manual Blacklisting Whitelisting add acccess entry In diesem Men punkt k nnen Sie IP Netzwerke blockieren oder explizit zulassen aus denen ein E Mail Server versucht eine E Mail an das SEPPmail System zu senden Tragen Sie dazu das IP Netzwerk die Aktion und einen Kommentar in die entsprechende Eingabefelder ein network lt IP Netzwerk oder IP Host Adresse gt 2013 SEPPmail AG Parameter 59 Beschreibung action lt Aktion gt comment lt Kommentar zum Eintrag gt Der Parameter action kann folgende Werte annehmen accept reject accept explizit zulassen reject blockieren Beispiel Um alle E Mails die aus dem IP Netzwerk Bereich 186 56 148 x gesendet werden zu verwerfen geben Sie den IP Netzwerk Teil 186 56 148 ein und definieren Sie die Aktion reject Netzwerke aus denen Sie die Annahme von gesendeten E Mails explizit zulassen m chten deklarieren Sie hingegen mit der Aktion accept 2013 SEPPmail AG 60 6 5 2 Zu verwaltende E Mail Domains einricht
241. r chtigen 1 E Mail Datenfluss umstellen 25 2 E Mail Clients verwendenl 27 3 8 1 E Mail Datenfluss umstellen Um den sicheren E Mail Verkehr mit der SEPPmail Appliance zu erm glichen m ssen Sie folgende nderungen an Ihrem bestehenden E Mail Server vornehmen 1 Autorisierung der SEPPmail Appliance f r den E Mail Versand mittels E Mail Relay Einstellung 2 SEPPmail Appliance als Smarthost definieren Stellen Sie sicher dass der E Mail Verkehr mittels SEPPmail Appliance nach extern m glich ist indem Sie Ihre Firewall bzw Ihren Router wie zuvor beschrieben einrichten siehe Abschnitt Firewall Router einrichten et Sobald Sie die SEPPmail Appliance in Ihren E Mail Datenfluss integrieren m ssen Sie zudem die IP Adresse Ihres bestehenden E Mail Servers in Ihren Firewall Regeln durch die IP Adresse der Appliance ersetzen Sobald Sie die SEPPmail Appliance in Ihren E Mail Datenfluss integrieren m ssen Sie daf r sorgen dass die E Mails von extern nicht mehr zum E Mail Server sondern zu SEPPmail transportiert werden Dies kann in der Firewall oder einem vorgelagerten SPAM Filter eingerichtet werden je nach Ihrer Netzwerkinfrastruktur In der Standardeinstellung versendet SEPPmail E Mails direkt ins Internet Falls der E Mail Verkehr ber einen SMTP Gateway Relay erfolgen soll richten Sie Ihre Appliance entsprechend ein siehe Ausgehenden Mailverkehr steuern 60 Autorisierung f r den E Mail Versand Um die E Mail
242. r verwenden Sie den Hostnamen 2013 SEPPmail AG 63 y openssl s client starttls smtp crl connect postini com s8al psmtp com 25 openssl x509 noout fingerprint Als Ergebnis erhalten Sie die folgende Ausgabe openssl s client starttls smtp crlf connect postini com s8al psmtp com 25 openssl x509 noout fingerprint depth 1 C US O Google Inc CN Google Internet Authority verify error num 20 unable to get local issuer certificate verify return 0 250 HELP SHAl Fingerprint DD 9A EC 66 E2 43 81 B9 20 2B 75 DB 30 C8 67 CC 9B B0 D1 99 read errno 0 In der Ausgabe wird der ben tigte SHA1 Fingerprint angezeigt Sie k nnen diesen Wert nun in der Konfiguration verwenden bzw mit Copy amp Paste bernehmen 6 5 5 SMTP Einstellungen Men Mail System Sektion SMTP settings max message size kb Maximale Gr sse einer E Mail Nachricht Postmaster address E Mail Adresse des Postmasters SMTP server HELO string Festlegen welchen Namen SEPPmail beim Versand von E Mails im HELO EHLO Befehl verwenden soll SMTP bind address use with Festlegung der IP Adresse eines Netzwerk Interfaces ber welche alle Mails empfangen werden normalerweise nicht notwendig OpenPGP key creation Falls diese Option aktiviert wird werden die durch OpenPGP options automatically send generierten ffentlichen Schl ssel automatisch an die Benutzer new public keys to users versendet 6 5 6 Mail Relaying Men
243. r ausgew hlten Sprachversion bearbeiten Um diesen Bereich auszublenden w hlen Sie die Schaltfl che Normal View Sektion Download Sie k nnen ber die Schaltfl che Download die aktuelle bersetzung einer bestehenden Sprachvariante herunterladen und als Basis f r eine neue bersetzung einer zus tzlichen Sprachvariante verwenden Sektion Add new Zum Hinzuf gen der bersetzung f r eine neue Sprachunterst tzung w hlen Sie die Schaltfl che Add new Sie k nnen die folgenden Parameter erfassen Name Name der neuen Sprache in der jeweiligen Landessprache z B Polski f r Polnisch Please enter the name of the Hinzuf gen der bersetzung der vorhandenen Sprachen in der new language in every other neue Sprachvariante z B Deutsch German Allemand of the available languages Tedesco Alem n etc f r Deutsch Dies sind Pflichteingaben Please optionally select an Weisen Sie der neuen Sprachversion einen Buchstaben zu identifying letter for the new language Please upload the complete W hlen Sie die Ressourcendatei mit der kompletten translation file for the new bersetzung f r die neue Sprachversion zum Hochladen aus language 2013 SEPPmail AG 80 6 6 1 6 GINA Selbstregistrierung ber Webmail Portal Zum Registrieren eines eigenen GINA Benutzerkontos ist es erforderlich das GINA Portal im Webbrowser aufzurufen Sie gelangen ber den folgenden Link zum GINA Portal https
244. r dieser Gruppe haben Zugriff auf das Men CA in der GUI Access to CA Konfigurationsoberfl che 2013 SEPPmail AG 162 CE clusteradmin Alle Mitglieder dieser Gruppe haben Zugriff auf das Men Cluster GUI Access to Cluster in der Konfigurationsoberfl che Section domainkeysadmin Alle Mitglieder dieser Gruppe haben Zugriff auf das Men Domain GUI Access to Domain keys in der Konfigurationsoberfl che Keys Section groupsadmin Alle Mitglieder dieser Gruppe haben Zugriff auf das Men Groups GUI Access to Groups in der Konfigurationsoberfl che Section homeadmin Alle Mitglieder dieser Gruppe haben Zugriff auf das Men Home in GUI Access to Home der Konfigurationsoberfl che Section logsadmin Alle Mitglieder dieser Gruppe haben Zugriff auf das Men Logs in GUI Access to Logs der Konfigurationsoberfl che Section mailprocessingadmin Alle Mitglieder dieser Gruppe haben Zugriff auf das Men Mail GUI Access to Mail Mail Processing in der Konfigurationsoberfl che Processing Section mailsystemadmin Alle Mitglieder dieser Gruppe haben Zugriff auf das Men Mail GUI Access to Mail System in der Konfigurationsoberfl che System Section multiplecustomersadmin Alle Mitglieder dieser Gruppe haben Zugriff auf das Men Admin access to Customers in der Konfigurationsoberfl che Customer settings in multitenant deployments pgpkeysadmin Alle Mitglieder dieser Gru
245. r erforderlich das neue Kennwort zweimal einzugeben Um das neue Kennwort zu speichern w hlen Sie die Schaltfl che Change Password 2013 SEPPmail AG 43 6 3 Men punkt Home Men Home Sektion System Status System Status Der aktuelle SEPPmail Systemstatus Sektion License License Typ Hier werden Informationen zur System und Benutzerlizenz angezeigt Lizenznummer f r das SEPPmail System License Holder Eigent mer der SEPPmail Lizenz Ausstellungsdatum der Lizenz Zus tzliche Informationen zur Lizenz Encryption Signature Anzahl der erworbenen Benutzerlizenzen In Klammern wird die Licenses Anzahl bereits verwendeter Benutzerlizenzen angezeigt Large File Management LFM Anzahl der erworbenen Benutzerlizenzen f r die Funktion Large Licenses File Management In Klammern wird die Anzahl bereits verwendeter Benutzerlizenzen angezeigt Laufzeit der installierten System Lizenz Software Care Pack Anzeige des Ablaufdatums der Lizenz f r Software Updates Device Care Pack Anzeige des Ablaufdatums des Device Care Packs Protection Pack Anti spam Anzeige des Ablaufdatums der Lizenz f r AntiVirus und Anti virus AntiSPAM Internal Mail Encryption Lizenz f r interne Verschl sselung Active Inactive Self Service password Lizenz f r Self Service passwort management Active Inactive management 2013 SEPPmail AG 44 Sektion System Parameter Beschreibung Appliance
246. r von SEPPmail befindet so wird das bei der S MIME Signatur mitgelieferte Root CA Zertifikat automatisch importiert Dieses automatisch importierte Root CA Zertifikat wird im Zertifikatsspeicher mit dem Vertrauenstatus undefined undefiniert gekennzeichnet Alle Root CA Zertifikate mit diesem Vertrauenstatus werden nicht f r die berpr fung von S MIME Signaturen verwendet Zum Aktivieren dieses Zertifikats ist es erforderlich den Vertrauenstatus auf den Wert trusted zu setzen ber das Vorhandensein eines automatisch importierten Root CA Zertifikats mit dem Vertrauenstatus undefined undefiniert wird im t glichen Statusbericht hingewiesen Dieser wird t glich um 0 00 Uhr an alle Mitglieder der Gruppe statisticsadmin via E Mail gesendet 2013 SEPPmail AG 176 6 18 3 X 509 Root Zertifikate herunterladen oder l schen Men X 509 Root Certificates W hlen Sie in der Liste der X 509 Root Zertifikate erste Spalte den Link des Zertifikats aus welches Sie bearbeiten m chten Um ein X 509 Root Zertifikat von der SEPPmail Appliance auf Ihren PC herunterzuladen w hlen Sie die Schaltfl che Download Certificate M chten Sie hingegen ein X 509 Root Zertifikat l schen w hlen Sie die Schaltfl che Delete Certificate 6 18 4 X 509 Root Zertifikaten vertrauen Men X 509 Root Certificates Um den Vertrauenstatus bestehender X 509 Root Zertifikate zu ver ndern klicken Sie bei einem nicht vertra
247. rderlich 2013 SEPPmail AG 234 78 Befehle f r Content Management 7 8 1 iscalendar Der Befehl iscalendar erm glicht es eine E Mail auf das Vorhandensein des Mime Type text calendar zu pr fen Aufbau des Befehls iscalendar y Der Befehl mu mit einem Semikolon abgeschlossen werden Der Befehl pr ft ob die E Mail den Mime Type text calendar beinhaltet Falls ja ist der R ckgabewert positiv sonst negativ Dieser Befehl kann benutzt werden um zu verhindern dass E Mails mit Kalendereintrgungen z B Einladungen Termine Besprechungsanfragen signiert werden Microsoft Outlook kann z B nicht mit signierten Kalendereintr gen umgehen Dieser Befehl hat keine Parameter 7 8 2 isspam Der Befehl isspam erm glicht es eine E Mail auf SPAM zu berpr fen Aufbau des Befehls isspam MARKLEVEL TAG REJECTLEVEL Der Befehl mu mit einem Semikolon abgeschlossen werden Der R ckgabewert dieses Befehls ist immer positiv Dieser Befehl hat 3 Parameter Parameter MARKLEVEL Dieser Parameter definiert den Punktwert ab dem eine E Mail als SPAM E Mail markiert wird Zum Markieren wird das angegebene TAG verwendet Wertebereich 0 5 9 5 Schrittweite 0 5 Parameter TAG Dieser Parameter definiert einen Wortbestandteil TAG der zur Markierung einer E Mail als SPAM an den Betreff angeh ngt wird Beispiel f r diesen Parameter SPAM Parameter REJE
248. read gesetzt wurden e Es k nnen alle Attribute von InetOrgPerson benutzt werden e Die Attribute k nnen im GUI angezeigt werden Parameter ATTR und VALUE Folgende Systemattribute stehen zur Verf gung accountOptions Bit 0 User darf nicht verschl sseln Bit 2 User darf nicht signieren Name des Benutzers Kennwort des Benutzers f r GUI Zugriff 2013 SEPPmail AG 208 7 4 Befehle f r die Zertifikatsverwaltung 7 4 1 attachpgpkey Der Befehl attachpgpkey erm glicht es den OpenPGP Public Key des Absenders an eine E Mail anzuh ngen Aufbau des Befehls attachpgpkey Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl h ngt den OpenPGP Public Key des Absenders an eine E Mail als Dateianhang an Der R ckgabewert ist immer positiv Der Befehl hat keinen Parameter 7 4 2 has_smime_key Der Befehl has smime key erm glicht es zu pr fen ob der Benutzer einen g ltigen privaten S MIME Schl sselbestandteil besitzt Aufbau des Befehls has smime key Der Befehl mu mit einem Semikolon abgeschlossen werden Der R ckgabewert ist positiv wenn der Benutzer einen g ltigen privaten S MIME Schl sselbestandteil besitzt sonst negativ Der Befehl hat keinen Parameter Hinweis e Der R ckgabewert ist auch dann negativ wenn der Benutzer nur abgelaufene S MIME Zertifikate besitzt e Der R ckgabewert ist auch dann negativ wenn der Benutzer auf den Status may
249. resse ein unter der die SEPPrmail Appliance Ihren Syslog Server erreichen kann 6 4 3 Datum und Zeit einstellen und NTP Synchronisation einrichten Um Datum und Zeit manuell zu setzen oder die automatische Synchronisation Ihrer SEPPmail Appliance mit einem Network Time Protocol NTP Server einzurichten klicken Sie in der Konfigurationsoberfl che auf den Men punkt System und dann auf die Schaltfl che Advanced Views Nutzen Sie die Rubrik Time zone und Time and Date um Ihre Zeitzone zu definieren und um Datum und Zeit manuell zu setzen oder automatisch mit einem NTP Server zu synchronisieren 6 4 4 SNMP aktivieren Um den Einsatz des Simple Network Management Protocol SNMP zu steuern klicken Sie in der Konfigurationsoberfl che auf den Men punkt System und dann auf die Schaltfl che Advanced View Um SNMP zu aktivieren klicken Sie in der Sektion SNMP Daemon auf das Kontrollk stchen Enable SNMP Nach Aktivierung von SNMP k nnen Sie mit SNMP Tools wie z B snmpwalk Informationen Ihrer SEPPmail Appliance abrufen 2013 SEPPmail AG 53 6 5 Men punkt Mail System W hlen Sie den Men punkt Mail System um grundlegende Einstellungen des SEPPmail E Mail Systems vorzunehmen Folgende Vorg nge werden in den kommenden Abschnitten beschrieben bersichtl 59 Zu verwaltende E Mail Domains einrichten ei Ausgehenden E Mail Verkehr steuern et TLS Verschl sselung pro E Mail Domain einrichte
250. ressen und das Zuweisen den Priorit ten f hren Sie im Men System durch 2013 SEPPmail AG 128 Load Balancing Cluster externer Load Balancer virtuelle Cluster IP Adresse 10 10 0 1 interner E Mail Server externer E Mail Relay Server g Primary Secondary 5 E IP 10 10 0 9 IP 10 10 0 9 E vollautomatische 4 kd Synchronisierung kd 8 Secondary Prima s IP 10 10 0 10 IP 10 10 0 10 g virtuelle Cluster IP Adresse 10 10 0 2 ausgehende E Mails eingehende E Mails Abbildung 2 Schematische Darstellung der dynamischen Aufteilung f r ein und ausgehende E Mails durch einen externen Load Balancer Lastverteilung basierend auf dem DNS Round Robin Verfahren Eine detailierte Beschreibung dieser Funktion finden Sie im folgenden Artikel http de wikipedia org wiki Lastverteilung per DNS In der Konfiguration des internen und externen E Mail Servers wird nicht mehr eine virtuelle Cluster IP Adresse f r den E Mail Versand angegeben sondern jeweils ein Hostname z B cluster in domain tld oder cluster out domain tld der bei ein und ausgehenden E Mails angesprochen wird Im DNS ist es m glich zu jedem Hostnamen mehrere IP Adressen anzugeben Dadurch kann eine einfache Lastverteilung erreicht werden Fragt z B der internen E Mail Server den f r den E Mail Versand angegebenen Hostnamen des SEPPmail Clusters beim DNS an so werden immer alle diesem Hostnamen zugeordn
251. rk f r die Schnittstelle LAN1 bzw eth0 Netzwerkmaske zur IP Adresse der Schnittstelle Hnweis Die Definition der Netzmaske wird nach der Classless Inter Domain Routing CIDR Notation festgelegt e Die Netzmaske 255 255 255 255 entspricht 32 einzelne IP Adresse e Die Netzmaske 255 255 255 0 entspricht 24 Klasse C Netzwerk e Die Netzmaske 255 255 0 0 entspricht 16 Klasse B Netzwerk e Die Netzmaske 255 0 0 0 entspricht 8 Klasse A Netzwerk 2013 SEPPmail AG 22 Sektion DNS Primary IP Adresse des DNS Servers Hinweis Bitte stellen Sie sicher dass die DNS Eintr ge korrekt sind Domainnamen im Internet sollten durch die eingetragenen DNS Server aufgel st werden k nnen Falsche Eintr ge k nnen zu einem sehr langsamen Antwortverhalten der Konfigurationsoberfl che f hren so dass das Laden von Men punkten mehrere Minuten dauern kann Sie k nnen alternativ die Einstellung Use built in DNS Resolver verwenden Falls Sie diese Option verwenden stellen Sie sicher dass Sie Ihre Firewall bzw Ihren Router so einrichten dass die SEPPmail Appliance DNS Aufl sungen via Root DNS Server im Internet ausf hren kann vgl Abschnitt Firewall Router einrichten et Alternate 1 IP Adresse eines weiteren DNS Servers falls der prim re DNS Server nicht antwortet 3 6 4 Host und Domainnamen vergeben Um den Host und den Domainnamen Ihrer SEPPmail Appliance zu konfigurieren klicke
252. rlagen Templates verwalten Men Mail Processing gt Sektion Edit Mail Templates Bei Templates handelt es sich um vordefinierte Nachrichten welche in definierten F llen automatisiert versendet werden Templates k nnen nur innerhalb von Ruleset Anweisungen verwendet werden Das Standard Template bounce_noenc verwalten Das einzige Template welches nach Inbetriebnahme der SEPPmail Systems zur Verf gung steht hat die Bezeichnung bounce_noenc Dieses Template kommt zum Einsatz wenn ein Absender versucht eine verschl sselte E Mail zu verschicken die Verschl sselung jedoch fehlschl gt Die E Mail wird in einem solchen Fall nicht durch Enhanced Secure Webmail versendet Der Absender erh lt eine Benachrichtigung via E Mail mit dem Inhalt des Templates als Nachrichtentext Um das Template bounce_noenc zu bearbeiten klicken Sie auf die Schaltfl che Edit Ein Template l schen Um ein Template zu l schen w hlen Sie das zu l schende Template aus und klicken Sie auf die Schaltfl che Delete Das Template wird aus der Konfiguration entfernt Beachten Sie dabei dass dieses Template nicht mehr innerhalb der Ruleset Programmierung wird bevor Sie es l schen Anderenfalls kann es zu Problemen bei der Ausf hrung von Ruleset Anweisungen kommen Ein bestehendes Template editieren Um ein vorhandenes Template zu bearbeiten klicken Sie die Schaltfl che Edit Parameter Template as text F gen
253. rlegten Mobilfunkrufnummer Die im GINA Benutzerkonto hinterlegte Mobilfunkrufnummer kann f r die Funktion Self Service password management verwendet werden Externe GINA Benutzer haben die M glichkeit das eigene Benutzerkennwort bei Bedarf selbstst ndig zur ckzusetzen e Senden eines Einmalkennworts One Time Password ber die Konfigurationsoberfl che im Men GINA accounts gt Name des GINA Benutzerkontos Diese Option wird i d R zum Zur cksetzen des Benutzerkennworts durch einen Administrator verwendet e Verwenden einer in SEPPmail integrierten Web Anwendung Standard F r den internen Benutzer kann eine integrierte Web Anwendung zum SMS Versand an neue externe GINA Benutzer eingerichtet werden Auf diese Web Anwendung kann wahlweise ber den Konfigurationswebserver oder das ffentliche GINA Portal zugegriffen werden Zum Einrichten der Schnittstelle f r den SMS Versand stehen bei SEPPmail unterschiedliche Konfigurationsm glichkeiten zur Verf gung Hierbei handelt es sich um eine global wirksame Konfiguration die nicht durch den Benutzer beeinflusst werden kann Use cell phone GSM Mobiltelefon oder GSM Modem verwenden welches direkt an modem attached to die Hardware Appliance angeschlossen ist appliance Use Mail to SMS service E Mail zu SMS Dienst oder Gateway mit folgenden configuration below Einstellungen verwenden Use xml service XML Dienst verwenden weitere Informationen erhalten Sie ber config
254. rsicht A E Mail Logs an zentralen Syslog Server senden 52 Datum und Uhrzeit einstellen 52 SNMP aktivierenl5 6 4 1 bersicht Men punkt System Men System Das Men System kann zwei in zwei Ansichten betrachtet werden Die Grundlegenden Basiseinstellungen sind in der Ansicht Normal View zu sehen Diese Ansicht ist die Standardansicht wenn Sie dieses Men aufrufen Eine vollst ndige bersicht aller Einstellungen ist in der Ansicht Advanced View zu sehen Advanced View Durch bet tigen der Schaltfl che Advanced View k nnen Sie die Anzeige der verf gbaren Parameter erweitern Um die erweiterte Darstellung des Men punkts System wieder zusammenzufassen bet tigen Sie die Schaltfl che Normal View in der Erweiteren Darstellung In diesem Men werden die wichtigsten Parameter der LAN Anbindung des SEPPmail Systems eingerichtet Die hier eingetragenen Daten dienen auch als Grundeinstellung f r viele weitere Einstellungen Ihres SEPPmail Systems Sektion Comment System Description Geben Sie hier einen Bezeichnung die das SEPPmail System identifiziert Dieser Parameter wird z B als Betreff in der automatischen Datensicherung verwendet dient ansonsten lediglich der Beschreibung Sektion IP Addresses Interface 1 Geben Sie hier die IP Adresse mit Subnetzmaske und den Medientyp der physischen Netzwerk Schnittstelle LAN1 bzw eth0 ein Im Standard k nnen Sie den Medientyp a
255. rtierenlt7 S MIME Schl ssel herunterladen oder l schenh7 6 17 1 bersicht Men punkt X 509 Certificates E mail Address E Mail Adresse innhalb des Zertifikats Certificate Subject Identifikation des Zertifikats Serial Number Seriennummer des Zertifikats Ausstellungsdatum des Zertifikats 6 17 2 S MIME Benutzerzertifikat importieren Men X 509 Certificates Manuelles Importieren Zum Importieren eines bestehenden S MIME Benutzerzertifikats klicken Sie die Schaltfl che Import S MIME Certificate W hlen Sie zum Import eines S MIME Benutzerzertifikats die entsprechende Datei aus Die zu importieren de Datei darf nicht mit einem Kennwort gesichert sein Automatisches Importieren Neben dem manuellen Importieren von X 509 Benutzerzertifikaten S MIME Signaturen k nnen diese auch automatisch importiert werden Dazu werden alle eingehenden S MIME signierten E Mails ausgewertet und gegen die Menge der installierten und als trusted klassifizierten Root CA Zertifikate gepr ft Wurde eine S MIME Signatur von einer vertrauensw rdigen Root CA ausgestellt so wird diese Signatur im lokalen Zertifikatsspeicher angelegt Diese Signatur public Key steht dann global f r alle Benutzer zur Verf gung und kann zur Verschl sselung ausgehender E Mails verwendet werden Das Automatische Importieren von X 509 Benutzerzertifikaten S MIME Signaturen ist eine Basisfunktion von SEPPmail 2013 SEPPmail AG 173 6 17 3 S M
256. rts zwischen der Option Hotline und SMS auszuw hlen 6 6 1 9 GINA Interne Verschl sselung Die Funktion Interne Verschl sselung IME erm glicht es dass auch firmenintern vertrauliche E Mails auf komfortable Weise verschl sselt versendet werden k nnen vom Arbeitsplatz des Absenders bis zum Desktop des Empf ngers Dadurch sind vertrauliche interne E Mails im gesamten Firmennetz vor unerlaubtem Zugriff gesch tzt 2013 SEPPmail AG 83 Diese Funktion steht optional zur Verf gung Sie ben tigen dazu eine separate Lizenz Ob Ihr SEPPmail System bereits f r die Nutzung lizenziert ist k nnen Sie im Men Home in der Sektion License sehen Um diese Funktionen zu verwenden gehen Sie folgenderma en vor Schritt 1 Registrieren Sie sich als interner GINA Benutzer auf Ihrem SEPPmail System Auf das GINA Portal gelangen Sie via Webbrowser unter dem folgenden Link https lt SecureWebmailApplaince gt web app Der Platzhalter lt SecureWebmailAppliance gt steht f r die IP Adresse oder den Hostnamen unter der dem das SEPPmail System intern erreichbar ist Damit der Bereich Register new account in der Webmail Oberfl che angezeigt wird muss im Men Mail Processing gt Webmail Domain in der Sektion Extended Settings die Option Allow account self registration in webmail without initial mail aktiviert werden Siehe GINA Webmail Domains verwalten 6 W hlen Sie im Bereich Register new account d
257. rzeugt und an die Ziel E Mail Adresse des GINA Relay Systems gesendet Zus tzlich wird diese E Mail Nachricht mit dem Domainzertifikat signiert 7 6 24 unpack_mail Der Befehl unpack mail erm glicht es eine gepackte E Mail auf einem GINA Relay System zu entpacken Aufbau des Befehls Unpack mail 2013 SEPPmail AG 228 Der Befehl mu mit einem Semikolon abgeschlossen werden Der R ckgabewert ist immer positiv Dieser Befehl hat keine Parameter 2013 SEPPmail AG 229 7 7 Befehle f r LDAP Zugriff auf externe Quellen 7 7 1 Idap_compare Der Befehl Idap_compare erm glicht es einen in einem LDAP Verzeichnis abgelegten Wert mit einem angegebenen Attribut zu vergleichen Aufbau des Befehls ldap _compare URI USER PASSWORD BASEDN FILTER ATTR VALUE Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl baut eine Verbindung zu einem LDAP Server auf und pr ft den Wert eines Attributs Der R ckgabewert ist positiv wenn VALUE im Attribut vorhanden ist sonst negativ Dieser Befehl hat 3 Parameter Parameter Die IP Adresse oder der Name des LDAP Servers Es k nnen auch zwei mit Komma getrennte Werte angegeben werden In diesem Fall wird automatisch auf den zweiten Server zugegriffen wenn der erste nicht erreicht werden kann RI Der User welcher f r den Zugriff verwendet werden soll R U U PASSWORD Das Passwort des Users BASEDN Die Base DN
258. s replace sender neter sencer I subst 2013 SEPPmail AG 199 Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl ersetzt den urspr nglichen Absender einer E Mail im Envelope durch neuer senden Der Wert f r From wird dadurch nicht ver ndert Der Parameter subst entspricht einem regul ren Ausdruck Ist subst angegeben so wird der subst entsprechende Teil des urspr nglichen Absenders durch den Wert von neuer sender ersetzt Der R ckgabewert ist immer positiv Dieser Befehl hat 2 Parameter Parameter neuer sender Dieser Parameter ist der Wert durch den die urspr ngliche Absender E Mail Adresse im Envelope ersetzt wird Ist subst mit angegeben so ist neuer sender die Zeichenkette die f r den Teil der E Mail Adresse eingesetzt wird auf den subst zutrifft Parameter subst Regul rer Ausdruck der auf die urspr ngliche Absender E Mail Adresse angewendet wird Beispiel 1 replace sender new sender customer com Erkl rung In diesem Beispiel wird die E Mail Adresse im Envelope der E Mail durch new_sender customer Com ersetzt Beispiel 2 replace sender customer com customer org Erkl rung In diesem Beispiel wird der Teil die E Mail Adresse im Envelope der E Mail durch auf den regul ren Ausdruck customer org zutrifft durch customer com ersetzt 7 2 15 rmatch Der Befehl rmatch erm glicht es zu pr fen ob ein regul rer Ausdruck au
259. s Public key wird automatisch an einen zentralen Update Dienst der SEPPmail AG weitergeleitet und nach manueller Pr fung automatisch an alle weltweit installierten SEPPmail Systeme verteilt Sektion PGP Domain Keys Schaltfl che Parameter Beschreibung Import PGP key Schaltfl che zum manuellen Importieren bestehender OpenPGP Domainzertifikate von Kommunikationspartnern Mail Domain zum Domain Public Key zugeordnete E Mail Domain Key ID Schl ssel ID des OpenPGP Public key Issued on Ausgestellt von Expires on Ablaufdatum des Zertifikats Sektion SMIME Domain Certificates Schaltfl che Parameter Beschreibung Import S MIME certificate Schaltfl che zum manuellen Importieren bestehender S MIME Domainzertifikate von Kommunikationspartnern Mail Domain zum Domain Public Key zugeordnete E Mail Domain 2013 SEPPmail AG 178 Schaltfl che Parameter Beschreibung E mail Address E Mail Adresse im Domainzertifikat z B domain confidentiality authority customer com Serial Number Seriennummer des Domainzertifikats Sektion Managed Domain keys Schaltfl che Parameter Beschreibung Aktualisierungsstatus letzter Aktualisierungsversuch der Domainzertifikate vom zentralen Update Dienst Update domain certificates Schaltfl che um die Aktualisierung der Domainzertifikate vom zentralen Update Dienst manuell durchzuf hren Auto Update SMIME Domain Aktiviert Deaktiviert das automatische Aktualisieren von S
260. s und Statistik sind ebenfalls systemspezifisch und werden nicht repliziert Alle anderen Konfigurationsparameter werden zwischen den Cluster Member Systemen repliziert und bei jeder Ver nderung synchronisiert 6 10 6 5 Einrichten der SEPPmail Cluster Systeme Das erste SEPPmail System eines Clusters mu vollst ndig eingerichtet sein Siehe Kapitel Inbetriebnahme von SEPPmaill1 Das zweite SEPPmail System mu mit den Basiseinstellungen eingerichtet werden Dies beinhaltet die Netzwerkkonfiguration und die Registrierung des Systems Siehe Kapitel Einrichten der Basiseinstellungen eines SEPPmail Systemsh3 2013 SEPPmail AG 140 6 10 6 6 Cluster Identifizierung herunterladen Eine Cluster Identifizierung wird ben tigt um ein weiteres SEPPmail System zu einem bestehenden Clusterverbund hinzuzuf gen oder einen Clusterverbund aus zwei SEPPmail Systemen zu bilden Um eine Cluster Identifizierung herunterzuladen w hlen Sie in der Konfigurationsoberfl che das Men Cluster W hlen Sie anschlie end die Schaltfl che Download Cluster Identifier in der Sektion Prepare for Cluster Sie erhalten danach einen Datei speichern Dialog und k nnen die Cluster Identifizierung als Datei clusterid txt lokal speichern m SEPPMAIL Cluster Configuration Login Home System Mail System Mail Processing SSL CA Administration Cluster Logs Webmail Logs Statistics Users Groups Webmail accounts
261. s from master template 2013 SEPPmail AG 75 6 6 1 4 GINA Layout verwalten Men Mail Processing Zum Anpassen des Layouts einer bestehenden Webmail Domain w hlen Sie innerhalb des Konfigurationsmen s der GINA Domain die Schaltfl che Edit GINA Layout Sie befinden sich nun in der Konfiguration f r das GINA Layout der jeweiligen GINA Domain Sie k nnen Parameter in den folgenden Kategorien verwalten Header Logol 3 Company Logol73 Favourites konse Footer Logol 7 Background Imagel75 Webmail CSS 78 Extended settings 7e Sektion Header Logo In dieser Sektion k nnen Sie eine zus tzliche Grafik im Bereich Header Logo der Webmail Oberfl che einbinden Die Anzeige dieser Grafik aktivieren Sie in der Sektion Extended Settings 7e Sektion Company Logo Um die GINA Oberfl che an Corporate Design Vorgaben anzupassen haben Sie die M glichkeit in dieser Sektion ein Firmenlogo einzuf gen Weitere Anpassungen k nnen Sie in der Standard CSS Datei der GINA Oberfl che vornehmen Siehe GINA Webmail Layout verwalten 7e Sektion Favourites Icon In dieser Sektion k nnen Sie ein optionales Favicon im Dateiformat ico einf gen Dieses Favicon wird dann als Grafik an Anfang der Adresszeile im Webbrowser angezeigt Sektion Footer Logo In dieser Sektion k nnen Sie eine zus tzliche Grafik im Bereich Footer Logo der GINA Oberfl che einbinden Die Anzeige dieser Grafik aktivieren Sie i
262. s of this IP address other devices in the cluster can use to connect to this device Do NOT use an IP alias address configuration of this Fer J Port 22 device will be lost E Connect Add this device as 4 Cluster Identifier C BEE frontend server no m local database 2 Existing ApplianceIP IP or virtual IP of the device or cluster you went to connect to ele W rore p2 3 rm TT Tue Jun 21 05 38 03 CEST 2011 2010 SEPPmail AG Abbildung 1 Hinzuf gen einer SEPPmail Appliance als Frondend Server zu einem bestehenden Cluster Member System bzw dem Clusterverbund 2013 SEPPmail AG 150 6 11 Men punkt Logs W hlen Sie den Men punkt Logs zum Verwalten der E Mail Log Dateien und um die Log Informationen der letzten 500 E Mail Bewegungen anzuzeigen Die letzten E Mail Bewegungen sind in der Sektion Mail Log last 500 aufgelistet Other Logs Anzeige zus tzlicher Log Dateien Queue Control Anzeige der E Mail Warteschlange Abarbeiten der aktuellen E Mail Warteschlange Log Archive Herunterladen und L schen von Logdateien Suche in bestehenden Logdateien Mail Log last 500 Anzeige der letzen 500 Logeintr ge in der E Mail Logdatei Sektion Other Logs Schaltfl che Show webmail log Anzeige der Log Informationen f r Nachtichten die via GINA Technologie versendet wurden Schaltfl che Show Blacklist Greylist Log Anzeige der Log Informationen f r eingehende E Mails die
263. s z B ausgeschiedenen Mitarbeiters kann bei externen Kommunikationspartnern weiterhin vorhanden sein und auch f r die Verschl sselung genutzt werden Parameter Notification Settings Aktiviert das Versenden von Benachrichtigungen wenn von diesem Benutzer versendete GINA E Mails vom Empf nger gelesen wurden Dies bezieht sich auf alle GINA E Mails die dieser Benutzer versendet Das Anfordern einer Lesebest tigung ist dann nicht mehr bei jeder ausgehenden GINA E Mails separat erforderlich Dieser Parameter kann durch eine bergeordnete Einstellung innerhalb der E Mail Domain bersteuert werden Parameter User Statistics Zeigt eine statistische bersicht zu verarbeiteten E Mail bzgl dem Cryptoverfahren der Anzahl und der letzen Aktivit t Sektion Group Memberships Zeigt an in welchen Gruppen das Benutzerkonto Mitglied ist Die Gruppenmitgliedschaft wird im Men Groups verwaltet Sektion S MIME Schaltfl che Parameter Beschreibung Import S MIME Certificate vorhandenes S MIME Zertifikat importieren Generate S MIME neues S MIME Zertifikat f r den Benutzer durch die SEPPmail Certificate CA selbst generieren Generate CA Certificate neues S MIME Zertifikat f r den Benutzer ber den eingerichteten CA Connector beziehen Serial Seriennummer des Zertifikats Certificate Authority Subject der CA die dieses Zertifikat ausgestellt hat Issued on Ausstellungsdatum des Zertifikats 2013 SEPPmail
264. schl sseln und lesen die mit dem neuen Schl ssel verschl sselt wurden Alle GINA Nachrichten die vor dem Erstellungszeitpunkt des neuen GINA Benutzerkontos empfangen wurden k nnen nicht mehr entschl sselt und gelesen werden Dies ist unabh ngig davon ob ein neu angelegtes GINA Benutzerkonto denselben Namen hat wie ein zuvor gel schtes GINA Benutzerkonto 6 15 4 GINA Benutzerkonten verwalten Men GINA accounts Sektion User Data 2013 SEPPmail AG 168 Creation Info Absender E Mail Adresse und Zeitstempel bei Erstellen des GINA Benutzerkontos Password reminder Sicherheitsfrage bei Verlust des Benutzerkennworts Frage und Antwort diesen zum Identifizieren des Empf ngers Antwort auf die Sicherheitsfrage Setzen eines neuen Benutzerkennworts Must Change Password Wenn Sie diese Option setzen wird der GINA Empf nger beim n chsten Login aufgefordert sein Kennwort zu ndern Zip Attachement GINA Nachrichten werden innerhalb einer ZIP Dateianlage gesendet Account status Status des Benutzerkontos Mobile number Mobilfunkrufnummer des Empf ngers Parameter Creation Info Absender E Mail Adresse und Zeitstempel bei Erstellen des GINA Benutzerkontos Parameter Name Name des GINA Empf ngers Diese Informationen kann der GINA Empf nger innerhalb seines Benutzerkontos selbst verwalten Parameter E Mail E Mail Adresse des Empf ngers Parameter Password reminder Sicherheitsfrage bei Verlust des
265. sers if versucht wird die Cryptofunktionen zu nutzen user tries to sign encrypt automatically create Aktiviert das automatische Anlegen von Benutzerkonten f r alle accounts for all users internen Absender E Mail Adressen von denen E Mails durch SEPPrmail transportiert werden Parameter Manual user creation Only process outgoing mails from users with an account Aktivieren Sie diesen Parameter wenn Sie die Nutzung der SEPPmail Appliance nur denjenigen Personen erm glichen m chten welche bereits ber ein Benutzerkonto auf der Appliance verf gen Parameter automatically create accounts for new users if user tries to sign encrypt Dieser Parameter erm glicht die automatische Erstellung neuer Benutzer Ist diese Einstellung 2013 SEPPmail AG 94 aktiv werden interne E Mail Absender automatisch als Benutzer auf der Appliance erfasst Dies erfolgt dann wenn der internen E Mail Absender versucht eine E Mail zu signieren oder zu verschl sseln Parameter automatically create accounts for all users Dieser Parameter erm glicht die automatische Erstellung neuer Benutzer Ist diese Einstellung aktiv werden interne E Mail Absender automatisch als Benutzer auf der Appliance erfasst Sektion Ruleset gt Bereich Encryption Decryption gt Incoming Emails Parameter Beschreibung Add this text to message Definiert einen Tag um eine erfolgreich entschl sselte E Mail zu subject after decryption mar
266. sind im Abschnitt Liste der Dateitypen 3A zu finden Parameter Handlung F r den Parameter Handlung stehen folgenden Optionen zur Verf gung info stellt das Resultat f r die folgenden Befehle zu Verf gung delete entfernt zus tzlich die entsprechende Dateianlage aus der E Mail Parameter Archivinhalte pr fen 2013 SEPPmail AG 236 Option zum Parameter Archivinhalte pr fen M gliche Werte true alternativ yes oder 1 Beispiel partoftype EXE delete true Erkl rung In diesem Beispiel wird eine E Mail auf das Vorhandensein von Dateianh ngen des Typ EXE berpr ft Wird ein Dateianhang gefunden so wird dieser aus der E Mail entfernt Enth lt die E Mail als Dateianhang eine Archivdatei so wird diese ebenfalls durchsucht Wird innerhalb der Archivdatei eine Datei vom Typ EXE gefunden so wird die Datei aus dem Archiv entfernt 7 8 4 vscan Der Befehl vscan erm glicht es alle Datenanlagen einer E Mail auf Viren zu pr fen Aufbau des Befehls vscan E Mail Addr f r Benachrichtigung Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl pr ft alle Dateianlagen einer E Mail auf bekannte Viren Wird ein Virus gefunden dann wird eine E Mail Benachrichtigung an E Mail Addr f r Benachrichtigung gesendet Ein nachfolgender Ruleset Befehl muss diese E Mail weiter behandeln Der R ckgabewert ist immer dann positiv wenn das Ergebnis mindestens einer
267. st Dieser Befehl hat keinen Parameter 7 4 5 _swisssign_create_key Der Befehl swisssign create key erm glicht es es S MIME Zertifikat f r einen Benutzer von der Zertifizierungsstelle SwissSign zu beschaffen Aufbau des Befehls 2013 SEPPmail AG 210 swisssign create key Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl hat keinen Parameter 2013 SEPPmail AG 211 7 5 Befehle f r die Handhabung von Nachrichten 7 5 1 archive Der Befehl archive erm glicht es eine E Mail erneut zu verarbeiten Aufbau des Befehls archive E MAIL ADRESSE Der Befehl mu mit einem Semikolon abgeschlossen werden Die E Mail wird innerhalb der Verarbeitung zus tzlich an die E MAIL ADRESSE gesendet bzw der E Mail wird die E MAIL ADRESSE als weiterer Empf nger hinzugef gt Der R ckgabewert ist immer positiv Der Befehl hat 1 Parameter Parameter E MAIL ADRESSE E Mail Adresse des zus tzlichen Empf ngers Beispiel archive recipient customer com Erkl rung In diesem Beispiel wird die gerade verarbeitete E Mail zus tzlich an den Empf nger recipient customer com gesendet 7 5 2 bounce Der Befehl bounce erm glicht es die Verarbeitung einer E Mail zu veweigern Aufbau des Befehls bounce Vorlage Header als Anlage Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl erzeugt eine Bounce E Mail und l scht di
268. stem SEPPmail Cluster Member 10 10 0 10 Description IP Addresses 9 Interfsce 10 voll all old za m media Beltcurrent state Ethernet autoselect I Interface2 aal 1esll al _60 24 Media Leltcurrent state Ethernet autoselect IP ALIAS Addresses Hl 1P Aliaso 10 24 e vho 1 Ts Interface Interface 1 Priority Backup current state Backup F 1P Alias 1 10 U U Wd aalslvnnm 2 Te Interface Interface 1 Priority Primary 7 IP Alias 2 Wl 24 vH o Interface Interface 1 Le Priority Primary Le F 1P Alias3 U 24 e vho 1 Te Interface Interface 1 w Priority Primary Lel Note CARP is used for the alias addresses this means that you can use the same alias addresses on different devices for load balancing failover Set the same VHID for two or more equal addresses on same LAN segment ONLY Abbildung 6 Hochverf gbarkeitscluster mit zus tzlicher Lastverteilung zwei virtuelle Cluster IP Adressen des 2 SEPPmail Cluster Member Systems Somit ist die Clusterkonfiguration abgeschlossen Beim Einsatz eines Clusters ist folgendes zu beachten e Beim Routing von E Mails zum SEPPmail Cluster sollte immer die virtuelle Cluster IP Adresse angesprochen werden e Im internen E Mail Server und im externen MTA m ssen alle IP Adressen des Clusters berechtigt sein E Mails zuzustellen d h alle physischen
269. stemen mit Microsoft Outlook installiert werden Die Installation kann mit Benutzerdialog oder im Silent Mode ohne Benutzerdialog erfolgen Je nach gew hlter Installation stehen unterschiedliche Einstellungen Parameter zur Verf gung um die Funktionalit t des Add Ins zu beeinflussen Das Add In selbst stellt in jeder Art von E Mail Fenster zum Verfassen einer E Mail definierbare Schaltfl chen zur Verf gung Abh ngig von den bei der Installation gew hlten Einstellungen sind es unterschiedlich viele Schaltfl chen mit unterschiedlichen Standard Einstellungen gedr ckt nicht gedr ckt Die Zust nde der Haupt Schaltfl chen beim sp teren Versenden einer E Mail werden in Form von Steuer Informationen in den Header der E Mail integriert und vom zentralen SEPPmail System ausgewertet Eine optionale Schaltfl che ruft eine Hilfe Seite im Standard Webbrowser auf Durch eine optionale Einstellung kann eine Warnung beim Versenden von unverschl sselten und unsignierten E Mails erscheinen Die Anwendung ist mehrsprachig und pa t sich der jeweiligen Sprache der Microsoft Outlook Oberfl che an Ist diese nicht verf gbar wird Englisch als Standardsprache f r das Add in verwendet Im Folgenden werden technische Details zu den System Anforderungen zur Installation zu den Abl ufen in der Registry und zum Versand von E Mails beschrieben 4 2 _Systemanforderungen Das SEPPmail Add In f r Microsoft Outlook kann unter verschiedenen Betri
270. t dass f r neue Benutzer automatisch OpenPGP Schl ssel erzeugt werden Parameter automatically create S MIME keys for new users Dieser Parameter bewirkt dass f r neue Benutzer automatisch S MIME Zertifikate erzeugt werden Parameter automatically buy SwissSign S MIME keys for new users Dieser Parameter ist im Standard nicht sichtbar Er wird in Abh ngigkeit des aktivierten CA Connnectors angezeigt Aktivieren Sie diesen um automatisch Benutzerzertifikate f r neue Benutzer ber den jeweiligen CA Connector zu beziehen Folgende CA Connectoren stehen im Men CA zur Verf gung 1 S TRUST CA von Deutscher Sparkassen Verlag GmbH 2 none GA Connector ist deaktiviert 3 Signtrust CA von Deutsche Post Signtrust und DMDA GmbH 2013 SEPPmail AG 101 4 SwissSign CA von SwissSign AG 100 ige Tochterfirma der Schweizerischen Post Sektion Ruleset gt Bereich Protection Pack Anti SPAM Anti Virus Check mails for viruses and Aktiviert den Virenscanner und sendet infizierte E Mails an die send infected mails to angegebene E Mail Adresse leave empty to reject infected mails Send notification to this Sendet eine Benachrichtigung ber einen Virenfund an die email address if a virus was angegebene E Mail Adresse found Check incoming mails for Aktiviert die SPAM Pr fung eingehender E Mails und markiert spam and add the following diese nach erfolgreicher SPAM Pr fung text to the subject t
271. t eine E Mail nach dem S MIME Standard Stehen nicht f r alle Empf nger S MIME Zertifikate zur Verf gung werden zwei Gruppen gebildet Der R ckgabewert ist f r die Gruppe der Empf nger positiv f r die verschl sselt werden konnte F r die Gruppe der Empf nger f r die nicht verschl sselt werden konnte ist er negativ Dieser Befehl hat keinen Parameter 7 6 11 encrypt_domain_smime Der Befehl encrypt domain smime erm glicht es E Mails via S MIME Domainverschl sselung zu verschl sseln Aufbau des Befehls encrypt domain smime Der Befehl mu mit einem Semikolon abgeschlossen werden 2013 SEPPmail AG 221 Dieser Befehl verschl sselt alle Texte und Anlagen der E Mail via S MIME Domainverschl sselung Stehen nicht f r alle Empf nger Domain S MIME Public Keys zur Verf gung werden zwei Gruppen gebildet Der R ckgabewert ist f r die Gruppe der Empf nger positiv f r die verschl sselt werden konnte F r die Gruppe der Empf nger f r die nicht verschl sselt werden konnte ist der R ckgabewert negativ Dieser Befehl hat keinen Parameter Beispiel encrypt domain esmine Erkl rung In diesem Beispiel wird versucht alle Texte und Anlagen einer E Mail via S MIME Domainverschl sselung zu verschl sseln 7 6 12 encrypt_webmail Der Befehl encrypt webmail erm glicht es eine E Mail unter Verwendung der GINA Technologie zu verschl sseln Aufbau des Befehls encrypt webmail
272. ten Sie dabei dass dieser Disclaimer nicht mehr innerhalb der Ruleset Programmierung wird bevor Sie diesen l schen Anderenfalls kann es zu Problemen bei der Ausf hrung von Ruleset Anweisungen kommen Einen vorhandenen Disclaimer editieren Um einen vorhandenen Disclaimer zu bearbeiten klicken Sie die Schaltfl che Edit Parameter Disclaimer as text F gen Sie in diesem Feld den Inhalt des Disclaimer im reinen Textformat ein Parameter Disclaimer as Html F gen Sie in diesem Feld den Inhalt des Disclaimers im HTML Format ein Sie k nnen hier unterschiedliche HTML Tags zur Formatierung benutzen z B Abs tze Schriftgr e oder Schriftfarbe Einen neuen Disclaimer erstellen Sie k nnen zus tzlich zum Standard Disclaimer mit der Bezeichnung default bei Bedarf zus tzliche Disclaimer einrichten Ein Disclaimer kann innerhalb der Konfiguration einer Managed Domain zugewiesen und verwendet werden Der Disclaimer wird an alle ausgehenden E Mails dieser Managed Domain automatisch angeh ngt Um einen zus tzlichen Disclaimer einzurichten klicken Sie die Schaltfl che Create new disclaimer Geben Sie eine Bezeichnung f r den neuen Disclaimer ein und klicken Sie die Schaltfl che Create W hlen Sie anschlie end Ihren neuen Disclaimer in der Auswahlliste aus und klicken Sie auf die Schaltfl che Edit Sie k nnen nun den Text des neuen Disclaimers bearbeiten 2013 SEPPmail AG 91 6 6 5 Mail Vo
273. ten mit einem leeres Kennwort zu erzeugen F gen Sie diesen Tag incl der eckigen Klammern in der Betreffzeile hinzu Der Empf nger der GINA Nachricht erh lt kein Initialisierungskennwort Er bestimmt sein pers nlichen Kennwort beim erstmaligen Login innerhalb des GINA Portals selbst Die Backslash innerhalb des Tags stellen Escape Symbole dar Dieses sind durch den Benutzer nicht einzugeben 2013 SEPPmail AG 97 Beispiel Betreff emptypw Sichere E Mail Verschl sselung Parameter Always use S MIME or OpenPGP if keys are available Aktivieren Sie diesen Parameter um ausgehende E Mails via S MIME oder OpenPGP zu verschl sseln sofern entsprechendes Schl sselmaterial vom Empf nger im SEPP mail Schl sselspeicher vorhanden sind Bei vorhandenem Schl sselmaterial des Empf ngers erfolgt die Verschl sselung nur dann wenn f r den internen Absender ein aktives Benutzerkonto existiert Parameter Always use Webmail encryption if account exists Aktivieren Sie diesem Parameter um ausgehende E Mails immer als GINA Nachricht zu versenden falls f r den Empf nger bereits ein GINA Benutzerkonten existiert Die Verwendung der GINA Technologie wird f r alle E Mails an den Empf nger erzwungen Parameter Do not encrypt outgoing mails with the following text in subject Standard noenc Sie k nnen einen Tag definieren um das Verschl sseln einer ausgehenden E Mail zu verhindern F gen Sie diesen Tag incl der eckigen Kla
274. tet wurden und wie gro die maximale Anzahl verarbeiteter Nachrichten pro Minute in der entsprechenden Betrachtungsperiode war Parameter Beschreibung Today Durchsatz Statistiken f r den folgenden Zeitabschnitt heute Last Week Durchsatz Statistiken f r den folgenden Zeitabschnitt Letzte Woche Last Month Durchsatz Statistiken f r den folgenden Zeitabschnitt Letzten Monat Last Year Durchsatz Statistiken f r den folgenden Zeitabschnitt Letztes Jahr Last 3 Years Durchsatz Statistiken f r den folgenden Zeitabschnitt Letzte 3 Jahre Sektion Technology Visualisation Sie sehen die Anzahl verarbeiteter E Mails getrennt nach den Typen Secure Webmail S MIME OpenPGP und Domainverschl sselung Zus tzlich sehen Sie die Anzahl der Nachrichten die im Durchschnitt verarbeitet wurden und wie gro die maximale Anzahl verarbeiteter Nachrichten pro Minute in der entsprechenden Betrachtungsperiode war Parameter Beschreibung Today Technologie Statistiken f r den folgenden Zeitabschnitt heute Last Week Technologie Statistiken f r den folgenden Zeitabschnitt Letzte Woche Monat Last Year Technologie Statistiken f r den folgenden Zeitabschnitt Letztes Jahr Last 3 Years Technologie Statistiken f r den folgenden Zeitabschnitt Letzte 3 Jahre Last Month Technologie Statistiken f r den folgenden Zeitabschnitt Letzten 2013 SEPPmail AG 154 Sektion Spam Visualisation Sie sehen die Anzahl erha
275. tige Adresse handelt Klicken Sie das Men Groups Im Bereich backup Backup Operator klicken Sie auf die Schaltfl che Edit F gen Sie die ben tigten Benutzer der Liste der Gruppenmitglieder hinzu Backup Kennwort setzen Damit die Datensicherung der Appliance durchgef hrt werden k nnen muss zus tzlich ein Backup Kennwort gesetzt werden Backups der Appliance werden mit diesem Kennwort verschl sselt Bei einer Wiederherstellung der Appliance durch Import einer Backupdatei muss dieses Kennwort eingegeben werden Um das Kennwort zu setzen klicken Sie auf den Men punkt Administration und anschlie end auf die Schaltfl che Change Password in der Sektion Backup 2013 SEPPmail AG 25 3 8 Weitere Schritte Sie haben nun die Grundlage f r den sicheren E Mail Verkehr durch die SEPPmail Appliance geschaffen F hren Sie folgenden 5 Schritte durch um eine Minimalkonfiguration zum sicheren E Mail Austausch zu erreichen 1 Datum und Zeit einstellen und NTP Synchronisation einrichten 52 2 Zu verwaltende E Mail Domains einrichten 60 3 E Mail Relay Einstellungen e3 4 SSL Zertifikat selbst erstellenhod f r den Testbetrieb 5 SSL Zertifikat von einer ffentlichen Zertifizierungsstelle anfordemltod f r den Produktivbetrieb Die folgenden beiden Punkte werden im Anschlu beschrieben F hren Sie diese jedoch erst nach den vorangehenden Schritten durch um den E Mail Verkehr nicht zu beeint
276. tion zum Parameter NoPwEmaillsSmsSend M gliche Werte true oder yes oder 1 Beispiel webmail keys gen Y Ein Erkl rung In diesem Beispiel wird ein GINA Benutzerkonto erzeugt Der Absender der urspr nglichen E Mail 2013 SEPPmail AG 227 erh lt eine E Mail Benachrichtigung mit dem Initialisierungskennwort Das Kennwort f r dieses GINA Benutzerkonto muss mindestens 8 Stellen haben 7 6 23 pack mai Der Befehl pack mail erm glicht es eine ausgehende E Mail f r die Weiterleitung an ein GINA Relay System zu packen Aufbau des Befehls pack mail E Mail Addr Domainsignatur Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl packt eine E Mail f r die Weiterleitung an ein GINA Relay System E Mail Addr definiert die E Mail Adresse des GINA Relay Systems Ist der optionale Parameter Domainsignatur true so wird die gepackte E Mail zus tzlich signiert Statt true kann auch yes oder 1 verwendet werden Der R ckgabewert ist positiv wenn das Packen der E Mail erfolgreich war sonst negativ Der Befehl hat 2 Parameter Parameter E Mail Addr Definiert die E Mail Adresse des GINA Relay Systems Paramater Domainsignatur Option zum Parameter Domainsignatur M gliche Werte true oder yes oder 1 Beispiel SES EEMAISCHEN Erkl rung In diesem Beispiel wird die ausgehende E Mail zur Weiterleitung an ein GINA Relay System gepackt Daraus wird eine neue E Mail Nachricht e
277. tionseinstellungen m ssen identisch sein um keine Abweichungen bei der E Mail Verabeitung zu haben Durch die Geo Cluster Funktion des SEPPmail Systems k nnen Konfigurations nderungen zwischen allen SEPPmail Systeme im Geo Cluster sofort repliziert werden Somit ist eine konsistente Konfiguration alle Systeme gew hrleistet Geo Cluster MultiSite System Firmennetzwerk d hend Firmennetzwerk Datacenter Sir Peer A enge Datacenter Standort A mals Standort B Cluster Member Primary IP Adresse 10 10 0 2 Cluster Member Primary IP Adresse 20 20 0 2 interner E Mail Server interner E Mail Server vollautomatische Synchronisierung vollautomatische Synchronisierung Cluster Synchronisierung durch VPN Tunnel Cluster Member Secondary IP Adresse 10 10 0 3 Cluster Member Secondary IP Adresse 20 20 0 3 virtuelle Cluster IP Adresse 10 10 0 1 virtuelle Cluster IP Adresse 20 20 0 1 firmeninternes E Mail Transportnetzwerk via VPN Tunnel Abbildung 1 Schematische Darstellung einer Geo Cluster Struktur 2013 SEPPmail AG 133 6 10 5 Frontend Backend Cluster Frontend Backend Cluster wobei die Frontend Systeme keine lokale Konfigurationsdatenbank besitzen Das Betreiben eines SEPPmail Systems als Frontend Server ist eine sehr spezielle Cluster Funktion Der Unterschied zur normalen Cluster Funktion des SEPPmail Systems besteht darin dass auf dem Fronte
278. ts Klicken Sie anschlie end auf die E Mail Adresse des entsprechenden GINA Benutzers Um das ausgew hlte GINA Benutzerkonto zu sperren w hlen Sie in der Sektion User Data im Bereich Account status auf die Option locked Das Benutzerkonto ist nun gesperrt und kann nur durch einen Administrator entsperrt werden 6 15 3 GINA Benutzerkonten l schen Men GINA accounts Um GINA Benutzerkonten zu l schen klicken Sie in der Konfigurationsoberfl che auf den Men punkt GINA accounts Klicken Sie anschlie end auf die E Mail Adresse des GINA Benutzers Um das ausgew hlte Benutzerkonto zu l schen klicken Sie auf die Schaltfl che Delete Account Wichtiger Hinweis Beim Erstellen eines GINA Benutzerkontos wird ein eindeutiger Schl ssel zur Ver und Entschl sselung der GINA Nachrichten erzeugt Alle GINA Nachrichten f r diesen Empf nger werden mit dem zu diesem GINA Benutzerkonto geh renden Schl ssel verschl sselt und k nnen nur mit diesem Schl ssel wieder entschl sselt und gelesen werden Wird ein GINA Benutzerkonto gel scht so wird ebenfalls der eindeutige Schl ssel f r dieses Benutzerkonto gel scht Dies hat zur Folge dass der Empf nger alle bisher empfangenen GINA Nachrichten nicht mehr entschl sseln und lesen kann Wird ein neues GINA Benutzerkonto f r einen zuvor gel schten Empf nger angelegt so wird ein neuer eindeutiger Schl ssel erzeugt Der Empf nger kann nur GINA Nachrichten ent
279. tserver ber das Protokoll NTP Zielport TCP 123 synchronisiert ee Hostname oder IP Adresse eines Zeitservers im Netzwerk Set date and time manually Hier k nnen Sie die Werte f r das aktuelle Datum und die aktuelle Uhrzeit manuell eingeben aktuelles Datum im Format dd mm ccyy aktuelle Uhrzeit im Format hh mm ss Sektion SNMP Daemon Enable SNMP Aktivieren und deaktivieren des SNMP Deamon auf dem SEPPmail System Nach Aktivierung des SNMP Protokols k nnen Sie mit SNMP Tools wie z B snmpwalk Informationen Ihres SEPPmail Systems abrufen Weitere Informationen zum SNMP Unterst tzung des SEPPmail Systems finden Sie im Kapitel SNMP I 52 Listen Address IP Adresse zu der sich das SNMP Monitoring verbindet Dies ist in der Regel die IP Adresse der SEPPmail Appliance 2013 SEPPmail AG 52 Parameter Beschreibung Read only Community Passwort f r den Nur Lese Zugriff auf die SNMP Daten Read write Community Passwort f r den Schreib Lese Zugriff auf die SNMP Daten Download MIBs ber diesen Link k nnen Sie MIB des SEPPmail Systems als ZIP Datei herunterladen 6 4 2 E Mail Logs an einen zentralen Syslog Server weiterleiten Um die E Mail Log Dateien Ihrer SEPPmail Appliance an einen zentralen Syslog Server zu senden klicken Sie in der Konfigurationsoberfl che auf den Men punkt System und dann auf die Schaltfl che Advanced View Tragen Sie in der Rubrik Syslog Settings den Namen oder die IP Ad
280. tuelle Cluster IP Adresse 10 10 0 1 Abbildung 4 Schematische Darstellung f r den Einsatz von redundanten internen und externen MTAs 2013 SEPPmail AG 132 6 10 4 Geo Cluster Ein Geo Cluster auch Multisite System genannt dient zum replizieren von Konfigurationsdatenbanken zwischen geografisch voneinander entfernten SEPPmail Systemen an verschiedenen Standorten des Unternehmens Einsatzbeispiel Ein Unternehmen ist weltweit t tig und betreibt aus diesem Grund mehrere Datacenter auf verschiedenen Kontinenten Die Unternehmensstandorte selbst sind alle durch ein VPN verbunden und haben in jedem Datacenter einen Zugang zum Internet Innerhalb dieses internen Unternehmensnetzwerks besteht ein E Mail Transportsystem z B auf Basis von Microsoft Exchange oder Lotus Notes Die nach extern gesendeten E Mails k nnen je nach intern abgebildeter Richtlinie an verschiedenen Internetzug ngen des Unternehmens ins Internet versendet werden z B falls ein Internetzugang an einem Standort nicht funktioniert die VPN Verbindung zwischen den Standorten davon aber nicht betroffen ist und dadurch der externe Versand von E Mails nun ber einen anderen Standort durchgef hrt wird Dazu ist es erforderlich dass die notwendige kryptografische E Mail Verarbeitung an allen Internetzug ngen gleich erfolgt Es m ssen alle Benutzerkonten und deren Zertifikate zu Signieren Entschl sseln und Verschl sseln vorhanden sein und auch die Konfigura
281. tware Foundation Copyright entwickelt www apache org Hinweise auf kommerzielle Produkte Verfahren oder Dienstleistungen durch Nennung des Produkt oder Herstellernamens oder auf beliebige andere Weise kommen nicht notwendigerweise einer Billigung Empfehlung oder Favorisierung durch die SEPPmail AG gleich Einfuhr Ausfuhr und Benutzung dieser und anderer Verschl sselungsprodukte sind m glicherweise gesetzlich eingeschr nkt In diesem Dokument vom Verfasser ge usserte Ansichten und Meinungen dr cken nicht notwendigerweise jene der SEPPmail AG aus und d rfen nicht zum Zweck der Werbung oder der Produktempfehlung benutzt werden Verweise auf Internetadressen sind vor der Drucklegung gr ndlich gepr ft worden Aufgrund des st ndigen Wandels der Internetinhalte kann die SEPPmail AG aber keine Garantie f r das Vorhandensein und den Inhalt der angegebenen Quellen bernehmen Sollten Sie in dieser Anleitung fehlerhafte Links finden teilen Sie uns dies bitte unter Angabe des betroffenen Links und der Versionsnummer dieser Anleitung an die Adresse info seppmail ch mit Druck Oktober 2013 CH 5432 Neuenhof 2013 SEPPmail AG 2 Einleitung Willkommen zur Secure E Mail L sung SEPPmail Das vorliegende Handbuch unterst tzt Sie bei Ihrer SEPPmail Installation und dient als Referenz der einzelnen Konfigurationsaspekte Es ist in folgende drei Teile gegliedert T Der erste Teil besteht aus einer Einf hrung in das Produkt Die e
282. tzer nicht einzugeben Beispiel Betreff nosign Sichere E Mail Verschl sselung Parameter S MIME sign outgoing mails with domain key with the following text in subject 2013 SEPPmail AG 100 Standard domainsign Sie k nnen einen Tag definieren um eine ausgehende E Mails mit einem Domainzertifikat Ihrer Organisation zu signieren F gen Sie diesen Tag incl der eckigen Klammern in der Betreffzeile hinzu Falls ausgehende E Mails nicht standardm ig signiert werden so kann der Benutzer die Signierung der aktuellen E Mail initiieren Die Backslash innerhalb des Tags stellen Escape Symbole dar Dieses sind durch den Benutzer nicht einzugeben Beispiel Betreff domainsign Sichere E Mail Verschl sselung Weitere Konfigurationsparameter 1 Using Certificate zu verwendendes Domainzertifikat eines aus einem in SEPPmail 2 Text before new FROM Text vor dem Domainabsender 3 Text after new FROM Text nach dem Domainabsender Sektion Ruleset gt Bereich Key Generation automatically create automatisches Erzeugen von OpenPGP Benutzerschl sseln openPGP keys for new users automatically create S MIME automatisches Erzeugen von S MIME Benutzerzertifikaten keys for new users automatically automatisches Beziehen von S MIME Benutzerzertifikaten ber S MIME den angezeigten CA Connector keys for new users Parameter automatically create openPGP keys for new users Dieser Parameter bewirk
283. u can use the same alias addresses on different devices for load balancing failover Set the same VHID for two or more equal addresses on same LAN segment ONLY 2013 SEPPmail AG 145 Abbildung 2 Hochverf gbarkeitscluster virtuelle Cluster IP Adresse des 2 SEPPmail Cluster Member Systems Die beiden Cluster Member Systeme sind nun unter einer virtuellen Cluster IP Adresse zusammengefa t Wird diese Cluster IP Adresse angesprochen so reagiert das System mit der Priorit t Primary Falls dieses System nicht verf gbar ist so antwortet das System mit der Priorit t Backup Es wird ein automatischer Statuswechsel durchgef hrt falls das prim re System nicht verf gbar ist Das System mit dem Status Backup erh lt seinen urspr nglichen Status automatisch zur ck sobald das prim re System wieder verf gbar ist In diesem Fall ist gew hrleistet dass im Fehlerfall ein und ausgehende E Mails weiterhin verarbeitet werden k nnen und im E Mail Datenfluss keine St rung auftritt D SEI i MAI L Login Home System Mail System Mail Processing SSL CA Administration Cluster Logs Webmail Logs Statistics Users Groups Webmail accounts PGP public keys X 509 Certificates X 509 Root Certificates Domain keys System Comment System SEPPmail Cluster Member 10 10 0 10 Description IP Addresses W Interface 1 ol voll ol Lold aa e media Beltcurrent stat
284. uellen Cluster IP Adresse eine jeweils eigene eindeutige IP Adresse ber diese eigene eindeutige IP Adresse kann jedes Cluster Member System explizit angesprochen werden Beispiel In der folgenden Abbildung ist die virtuelle Cluster IP Adresse des Clusters 10 10 0 1 Die Cluster Member Systeme haben in unserem Beispiel die IP Adressen 10 10 0 9 und 10 10 0 10 Hochverf gbarkeitscluster interner E Mail Server Cluster Member Primary IP 10 10 0 9 externer E Mail Relay Server vollautomatische Synchronisierung Cluster Member Secondary IP 10 10 0 10 virtuelle Cluster IP Adresse 10 10 0 1 ein und ausgehende E Mails Abbildung 1 Schematische Darstellung eines Hochverf gbarkeitsclusters Das Cluster selbst wird von anderen Systemen z B einem internen E Mail Server oder einem vorgelagerten E Mail Relay Server Gateway ber die eingerichtete n virtuelle n IP Adresse n angesprochen Im Beispiel oben ist das die IP Adresse 10 10 0 1 Wird das Cluster selbst ber seine Cluster IP Adresse angesprochen so reagiert immer das Cluster Member System mit der h chsten Priorit t auf die angesprochene virtuelle Cluster IP Adresse Alle anderen Cluster Member Systeme mit niedrigerer Priorit t reagieren nicht wenn die virtuelle Cluster IP Adresse angesprochen wird und ein Cluster Member System mit einer h heren Priorit t verf gbar ist Im Fehlerfall falls ein Cluster Member System mit h herer Priorit
285. uf dem Wert autoselect belassen F r jede physisch vorhandene Netzwerk Schnittstelle wird jeweils eine Schnittstellen Konfiguration angezeigt Die hier angezeigte Schnittstellen Nummer entspricht der folgenden 2013 SEPPmail AG 46 Netzwerk Schnittstelle Interface 1 LANI1 bzw eth0 Interface 2 Geben Sie hier die IP Adresse mit Subnetzmaske und den Medientyp der physischen Netzwerk Schnittstelle LAN2 bzw eth1 ein Im Standard k nnen Sie den Medientyp auf dem Wert autoselect belassen F r jede physisch vorhandene Netzwerk Schnittstelle wird jeweils eine Schnittstellen Konfiguration angezeigt Die hier angezeigte Schnittstellen Nummer entspricht der folgenden Netzwerk Schnittstelle Interface 2 LAN2 bzw eth1 Custom hosts file entries Zum durchf hren einer lokalen DNS Namensaufl sung k nnen Sie in diesem Feld eine Kombination von IP Adressen und Hostnamen eintragen Format 10 0 0 1 host domain tld Sektion IP ALIAS Addresses IP Alias 0 3 1 zus tzliche Alias IP Adresse der Schnittstelle 2 Netzwerkmaske der zus tzlichen Alias IP Adresse 3 VHID Virtual Host Identification der Schnittstelle 4 Interface Schnittstelle an die die zus tzlichen Alias IP Adresse gebunden wird 5 Priority Priorit t der Schnittstelle im Cluster Zus tzliche Informationen zu den einzelnen Konfigurationsm glichkeiten finden Sie in der Beschreibung des Men s Cluster Sektion
286. und virtuellen IP Adressen des SEPPmail Cluster E Mail Relay Einstellungen der jeweiligen Komponenten e In der Firewall m ssen alle IP Adressen des Clusters berechtigt werden eine SSH Verbindung Port TCP 22 zum Update Server im SEPPmail Rechenzentrum aufzubauen d h alle physischen und virtuellen IP Adressen des SEPPmail Clusters e In einem Cluster werden die Konfigurationen der beiden SEPPmail Systeme automatisch synchronisiert mit Ausnahme der Einstellungen im Men System 2013 SEPPmail AG 148 6 10 6 10 Geo Cluster einrichten Mit einem Geo Cluster k nnen lokale SEPPmail Cluster die sich an mehreren unterschiedlichen geografischen Standorten eines Unternehmens befinden ihre Konfigurationsdaten automatisch synchronisieren Betrachten wir beim Einsatz eines Geo Cluster folgendes Szenario Ein Unternehmen kann neben der Firmenzentrale noch weitere geografisch getrennte Standorte besitzen und zwischen diesen Standorten via VPN verbunden sein Die interne Kommunikation im Unternehmen wird ber ein unternehmensweites Groupware System abgebildet Jeder geografische Standort hat z B einen eigenen Internetzugang f r den lokalen Empfang und Versand von E Mails Jeder Standort betreibt eigene Groupware Server die untereinander miteinander verbunden sind Die unternehemensinterne E Mail Kommunikation wird ber dieses eigene E Mail Transportnetzwerk abgebildet Jeder geografische Standort kann seine E Mails ber einen eige
287. uration below den technischen Support Use HTTP GET service HTTP GET Dienst verwenden weitere Informationen erhalten Sie configuration below ber den technischen Support In Abh ngigkeit der ausgew hlten Option f r den SMS Versand k nnen Sie die Detailkonfiguration vornehmen Die folgenden Variablen Platzhalter stehen innerhalb der Konfiguration f r den XML Dienst und den HTTP GET Dienst zur Verf gung 1 sms zu bermittelnder Nachrichtentext 2 number Mobilfunkrufnummer incl Landesvorwahl xx 3 Scountrycode Landesvorwahl z B 49 4 Slocalnumber Mobilfunkrufnummer OHNE Landesvorwahl Parameter Use cell phone GSM modem attached to appliance 2013 SEPPmail AG 88 F r diesen Parameter steht keine Detailkonfiguration zur Verf gung Bei Verwendung einer Hardware Appliance haben die M glichkeit ein Mobiltelefon direkt via USB Kabel anzuschlie en Die Steuerung erfolgt dabei automatisch durch das SEPPmail System Parameter Use Mail to SMS service Mail from Absender Mail Adresse f r den SMS Versand Gateway Domain lt Mobile gt Gateway Dom ne f r den SMS Versand Parameter Use xml service Hier binden Sie den XML Service eines externen Dienstleisters ein um GINA Kennwortbenachrichtigungen via SMS zu versenden Dazu stehen die folgenden Parameter zur Verf gung Server address Adresse des externen Servers an den das XML Template bermittelt werden soll Sie erhalten
288. uten X 509 Root Zertifikat in der Spalte Trust State auf den Link UNTRUSTED Sie k nnen dem X 509 Root Zertifikat vertrauen indem Sie auf die Schaltfl che Trust this certificate klicken Nachdem Sie dem X 509 Root Zertifikat vertraut haben erhalten Sie die Best tigungsmeldung Trust status changed und das Zertifikat hat neu den Status trusted Zus tzlich k nnen Sie einen Kommentar zu dem Root CA Zertifikat im Feld Comment erfassen Analog dazu wechseln Sie den Vertrauenstatus auf untrusted 6 18 5 X 509 Root Zertifikate automatisch importieren Men X 509 Root Certificates Den manuellen Import von X 509 Root Zertifikaten ist im Kapitel X 509 Root Zertifikate importierenl173 beschrieben SEPPmail bietet zus tzlich die M glichkeit noch unbekannte X 509 Root Zertifikate aus eingehenden S MIME signierten E Mails automatisch zu importieren Diese Funktion wird auch als Certificate harversting das Ernten von Zertifikaten bezeichnet Diese automatisch importierten X 509 Root Zertifikate erhalten immer den Status Trust State undefined In der Konfigurationsoberfl che wird dieser Status durch ein Fragezeichen gekennzeichnet Der Administrator wird ber neu importierte X 509 Root Zertifikate im t glichen System Report informiert Den Vertrauensstatus muss der Administrator manuell in der Konfigurationsoberfl che ndern berpr fen Sie bitte vor dem ndern des Vertrauensstatus das neue X 509
289. ver hinzugef gt Existing Appliance IP or virtual IP of the device or cluster IP you want to connect to Geben Sie hier die eindeutige IP Adresse oder die virtuelle Cluster IP Adresse eines SEPPmail 2013 SEPPmail AG 136 Systems ein welches bereits Bestandteil des Clusters ist zudem Sie dieses System hinzuf gen wollen Die Verbindung der Cluster Systeme untereinander erfolgt ber eine Secure Shell Verbindung auf Port TCP 22 Ver ndern Sie diese Port Einstellung nicht Connect Schaltfl che Start W hlen Sie die Schaltfl che Start nachdem Sie alle notwendigen Werte f r die entsprechenden Parameter eingegeben haben um die Cluster Funktion auf dem lokalen System zu starten Dieses System wird nun Bestandteil des Cluster Verbunds als Frontend Server Referenz der Men Parameter im Men punkt Cluster 6 10 6 1 berblick Das Vorgehen f r die Einrichtung und den Betrieb eines SEPPmail Clusters wird in diesem Kapitel beschrieben Das in unserem Konfigurationsbeispiel eingerichtete SEPPmail Cluster besteht aus zwei Systemen In den folgenden Abschnitten dieses Kapitels werden alle notwendigen Konfigurationsschritte detailliert beschrieben Konfigurationsschritte 1 Erstes SEPPmail System vollst ndig einrichten 2 Zweites SEPPmail System einrichten 3 Beim zweiten SEPPmail System werden nur die Einstellungen im Men System die Registrierung des Systems im Men Administration und d
290. verwaltende E Mail Domains einrichten uessssnssennnennnennnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnennnannnennrannnennnnnnn 60 Ausgehenden E Mail Verkehr steuern unnuuussannnsannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnnnnnnn 60 TLS Verschl sselung pro Dom ne einrichten usnsnennnennnennnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnennrsnnnennrannnennnannn 60 Thee line DEE 63 ETS Ee EE 63 Antispam Einstellungen a sss0e0 energie 64 Blacklists Whitelists verwalten r a a aaaea meh nee 66 6 Men punkt Mail Processing unsussnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 67 GINA WebmailSchnittstell 2 322322222282 ae rn 67 GINA DoMmains erstellen u 22 22 2ER ein 68 GINA Bomains l schen Hal BR a ea eE A ah 68 GINA Doreen epwall tt 22040 Jegen EE Ae 68 GINA Layout verwalten 2 22 een eb ieh een a aes 75 GINA Sprachunterst tzung verwalten 77 GINA Selbstregistrierung ber Webmail Portal 80 GINA Benutzerkonto verwalten GINA Self Service Passwort Management GINA Interne Versehl sselung ege geed CEET Edge GINA S MIME und PGP Schl sselsuche via OINA Portal 83 Regeln zur Verarbeitung von GINA Nachrichten verwalten uunssnssennnennnennnonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 84 GINA SMS Kennwortversand verwalten unnssnnnennnennnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnnnnnnnrnnnnnnnnnnnnn 86 Disclaimer Verwalten SEENEN EES Eed 90 Mail Vorlagen Templates verwalte
291. wahl equal vergleicht auf Identit t match pr ft auf das Zutreffen eines regul ren Ausdrucks Parameter Wert Wert gegen den verglichen werden soll Beispiel i Camparsatti UU eegegeeng From Veema tu 1 1 111 log 1 Message comes from 172 16 161 1 else log 1 Message does NOT come from 172 16 161 1 Erkl rung In diesem Beispiel wird berpr ft ob die zu verarbeitende E Mail von einem E Mail Server bestimmten Server kommt Es wird die Systemvariable connect from ausgewertet 2013 SEPPmail AG 190 7 2 5 comparebody Der Befehl comparebody erm glicht es eine E Mail nach einem angegebenen Wert zu durchsuchen Aufbau des Befehls comparebody Wert Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl durchsucht den Nachrichtentext einer E Mail nach dem angegebenen Wert Der R ckgabewert dieses Befehls ist positiv wenn der Parameter wert mindestens einmal vorkommt sonst negativ Dieser Befehl hat 1 Parameter Parameter Wert Der Parameter Wert definiert den Suchbegriff nach dem innerhalb der E Mail gesucht wird Wert hat das Format eines regul ren Audrucks Beispiel it Comparebociy H Set L 2EN hASEAS TL 211 logi Mail contains an I2 ackliress g L else log 1 Mail does not contain an IP address Erkl rung In diesem Beispiel wird innerhalb des Nachrichtentextes einer E Mail auf das Vorhandensein einer IP Adresse gepr
292. wird eine Log Info an den System Logger gesendet 7 6 18 smime_signed Der Befehl smime signed erm glicht es eine E Mail auf das Vorhandensein einer S MIME Signatur zu berpr fen Aufbau des Befehls smime signed Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl pr ft ob die vorliegende E Mail mit dem S MIME Verfahren signiert ist Der R ckgabewert ist positiv wenn die E Mail S MIME signiert ist sonst negativ Dieser Befehl hat keinen Parameter 7 6 19 smime_encrypted Der Befehl smime encrypted erm glicht es eine E Mail auf S MIME Verschl sselung zu berpr fen Aufbau des Befehls smime encrypted Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl pr ft ob die vorliegende E Mail mit dem S MIME Verfahren verschl sselt ist Der R ckgabewert ist positiv wenn die E Mail S MIME verschl sselt ist sonst negativ Dieser Befehl hat keinen Parameter 7 6 20 validate_smime_sig Der Befehl validate smime sig erm glicht es die S MIME Signatur einer E Mail auf G ltigkeit zu pr fen Aufbau des Befehls 2013 SEPPmail AG 225 vallsidaiee smimess g Vrertirtikatesspeirchernn r Der Befehl mu mit einem Semikolon abgeschlossen werden Dieser Befehl pr ft die S MIME Signatur einer E Mail auf G ltigkeit Zus tzlich zur Signaturpr fung kann das Zertifikat in den Zertifikatsspeicher der Appliance importiert werden wenn f r den Parameter
293. ws 7 64bit 1 Rechtsklick auf die Datei setup exe und ausw hlen der Option Als Administrator ausf hren Name nderungsdatum Typ Gr e 5 SecureMailAddInSetup 1 2 6 msi 18 01 2012 10 52 Windows Installer Paket 2 085 KB T setup exe BEER 483 KB ffnen Mit PhraseExpress ffnen Kl Als Administrator ausf hren Installation Outlook Add In 2 Die Sicherheitsabfrage von Windows mit Ja beantworten um die Installation zu starten 3 Im Folgenden erscheinen die folgenden Bildschirme auf denen der Benutzer Wahlm glichkeiten hat a zu den sp ter angezeigten Schaltfl chen b zum Ein und Ausschalten einer Warnung beim Versand von unverschl sselten und unsignierten E Mails c zu den Standard Schaltfl chen Zust nden bei ffnen eines E Mail Fensters 19 sereno outo aaa n M D SEPPMAIL SWISS E MAIL SECURITY Please select the options that should be available within Outlook V Button Encrypt V Button Add signature V Button Encrypt with read receipt Waming Message for unencrypted or unsigned outgoing e mails Installation Outlook Add In angezeigte Schaltfl chen Warnmeldung 2013 SEPPmail AG D SEPPMAIL SWISS E MAIL SECURITY Start Outlook with buttons activated Button Encrypt Button Add signature Button Encrypt with read receipt Installation Outlook Add In aktive Schaltfl chen Installation Complete
294. zung dieses Dokuments beinhaltet die Zustimmung zu dessen Gebrauch ohne Mangelgew hr und ohne jegliche Garantien Jeglicher Gebrauch der hier aufgef hrten Informationen erfolgt auf eigenes Risiko PGP und Pretty Good Privacy sind gesetzlich gesch tzte Warenzeichen der PGP Corporation g ltig in den USA und anderen L ndern Java und alle Java basierten Marken sind Warenzeichen von SUN Microsystems Inc g ltig in den USA und anderen L ndern UNIX ist ein eingetragenes Warenzeichen unter der Verf gung der X Open Company g ltig in den USA und anderen L ndern Microsoft Internet Explorer Windows Windows NT Windows 2000 und Windows XP sind entweder eingetragene Warenzeichen oder gesetzlich gesch tzte Warenzeichen der Microsoft Corporation g ltig in den USA und anderen L ndern Netscape und Netscape Navigator sind gesetzlich gesch tzte Warenzeichen der Netscape Communications Corporation g ltig in den USA und anderen L ndern Alle etwaigen anderen hier aufgef hrten Warenzeichen sind Eigentum ihrer jeweiligen Besitzer und werden hier ohne die Absicht der Markenverletzung verwendet OpenSSL ist eine Anwendung die unter einer Apache hnlichen Lizenz vertrieben wird www openssl org OpenBSD ist ein Betriebssystem das unter dem Berkeley Copyright vertrieben wird www openbsd org GnuPG ist Software die unter der GNU Public License vertrieben wird www gnupg org Der Apache Webserver und Apache Tomcat werden unter dem Apache Sof
Download Pdf Manuals
Related Search