Net at Work hat einen Maintenance Release für die Version 9.2 der NoSpamProxy Gateway-Lösung veröffentlicht.
Neu in Version 9.2
Neu: SwissSign Schnittstelle In Zukunft wird die automatische Beantragung von Zertifikaten über das Trustcenter von SwissSign mit enQsig möglich sein. SwissSign bietet seit 2001 digitale Zertifikate und Signaturen an und ist seit 2005 eine 100% Tochter der Schweizerischen Post. Als anerkannter Certificate Services Provider (CSP) rangiert SwissSign in den weltweiten Statistiken hinter Unternehmen aus den USA und Japan als europäische Marktführerin und bildet somit eine ideale Alternative für bisherige SignTrust Kunden.
Neu: GlobalSign Schnittstelle Neben SwissSign als neuem Zertifikatsanbieter hat noch das Trustcenter von GlobalSign seinen Weg in enQsig von Net at Work gefunden. GlobalSign wurde 1996 als eine der ersten Zertifizierungsstellen gegründet. Mit der Implementierung von GlobalSign können enQsig Kunden dann wahlweise Zertifikate von zwei europäischen Zertifizierungsstellen beziehen.
Laden Sie den neuen Release direkt über die Webseite von Net at Work herunter: http://www.netatwork.de/gateway-solutions/enqsig/download/download/
Ein direkter Update-Vorgang ist ab der Version 8.0 auf die Version 9.2 möglich. Bei älteren Versionen, wie NoSpamProxy 5, 6 oder 7 muss zunächst auf die Version 8.0 aktualisiert werden.
Windows 2003 wird ab der Version 9.1 nicht mehr unterstützt! Installieren Sie bitte das Update nicht, auch wenn es Ihnen angeboten wird und der Installer problemlos durchläuft. Sie kommen nicht ohne Datenverlust auf die Version 9.0 zurück.
Wichtige Hinweise für das Update finden Sie im Net at Work Tec-Blog.
Bitte beachten Sie, dass Sie eine Installation nur aktualisieren können, sofern die Software-Wartung am 15.11.2014 Gültigkeit besaß.
Weitere Informationen über die NoSpamProxy Gateway Module finden Sie hier. Bei Fragen zu NoSpamProxy Protection, NoSpamProxy Encryption und E-Mail Sicherheit helfen wir Ihnen gerne weiter. Kontaktieren Sie uns: info@granikos.eu.
NoSpamProxy Azure Edition is the cloud based email security gateway of the successful NoSpamProxy family of products by Net at Work. The Azure edition of NoSpamProxy can easiliy be deployed using the Microsoft Azure Marketplace.
NoSpamProxy Azure easily connects an Office 365 tenant and offers an easy way to provide centralized email encryption and decryption with PGP and/or S/MIME for mailboxes hosted in Exchange Online. Additionally, NoSpamProxy Azure provides compliant anti-spam handling, an anti-malware component, and a large file portal.
The edition currently available in Microsoft Azure installs a NoSpamProxy single-server deployment. A single-server deployment combines the NoSpamProxy intranet role and the gateway role on a single server.
The NoSpamProxy Azure Edition is provided as BYOL (Bring Your Own License) deployment. In addition to the recurring fees for the Microsoft Azure VM you are required to buy a NoSpamProxy license. If you already own a NoSpamProxy Version 11 license, the license can be used for the NoSpamProxy Azure Edition as well.
DeploymentOptions Notes Deployment Links
Due to the nature of a cloud service NoSpamProxy Azure can be operated in different scenarios in Microsoft Azure. By default the system is configured as a workgroup system without any Active Directory domain membership. The different operational scenarios for NoSpamProxy Azure depend on the existence of a Site-2-Site VPN between your Azure deployment and your on-premises IT infrastructure.
Currently a direct connection to Azure AD is not supported, but it is planned for a future release.
Depending on the size of the Azure VM different throughputs can be reached in regards to emails per minute.
Tests have shown the following results for Standard A Virtual Machines:
The following steps describe a simple deployment of NoSpamProxy Azure.
Go to Azure Marketplace and search for NoSpamProxy, select the NoSpamProxy Azure Edition.
Click Create to configure the NoSpamProxy Azure system.
Configure the required parameters as needed
Select an appropriate virtual machine type. NoSpamProxy Azure doesn't have extraordinary system requirements for processor and memory. SQL Server 2014 Express is downloaded and installed as part of the standard setup of NoSpamProxy. Even SQL Server 2014 Express can be run on a standard VM..
All other settings remain unchanged for this simple deployment. You can adjust the settings, if required for your individual deployment. Especially if you want to utilize exisiting resources.
Verify the technical summary and click OK to add the configured system to your shopping cart.
Verify the selected Azure service offering and the configured virtual machine. Click Purchase to buy the selected subscription. The deployment is a so called BYOL Deployment and requires a valid NoSpamProxy trial license or an existing full license. After the NoSpamProxy setup as been completed in the virtual machine you will be redirected to a web page to request a trial license.
Connect to the newly deployed virtual machine using Remote Desktop. After first log on NoSpamProxy setup will start automatically as part of an scheduled task. The scheduled task will execute the following steps:
Do not close or interrupt the Windows PowerShell window.
After the setup has finished the public web page of NoSpamProxy Azure Edition will be opened in Internet Explorer. After initial setup of the operating system Internet Explorer runs in secure mode. Therefore, a security warning is displayed. Just add the web page to the list of exclusions and request your personal NoSpamProxy trial license.
The program setup adds new security groups and adds the logged on account to these security groups. It is required to log off and log on again to reflect the new group memberships. This is mandatory to sucessfully manage NoSpamProxy.
After log on start the NoSpamProxy Configuration MMC to import the license.
The NoSpamProxy Configuration MMC displays the NoSpamProxy version.
After initial import of the license you can start configuring NoSpamProxy to suit your needs.
Die E-Mail Gateway Lösung NoSpamProxy von Net at Work ist seit Kurzem als NoSpamProxy Azure Edition im Azure Marketplace verfügbar. Somit kann NoSpamProxy auch dann für den Schutz der E-Mail Kommunikation eingesetzt werden, wenn keine eigenen IT-Systeme für den Betrieb von NoSpamProxy zur Verfügung stehen.
Die in NoSpamProxy Azure integrierte Möglichkeit zur Anbindung von Office 365 bietet eine einfache und kostengünstige Möglichkeit zur zentralen Ver-und Entschlüsselung von E-Mails und zur sicheren Spamabwehr.
Das aktuell verfügbare Paket installiert eine Single-Server Variante, bei der die NoSpamProxy Intranet-Rolle und die Gateway-Rolle auf einem System kombiniert betrieben werden.
Die NoSpamProxy Azure Edition wird als BYOL (Bring Your Own License) System bereitgestellt und erfordert neben den Betriebskosten in Microsoft Azure den Erwerb einer NoSpamProxy Lizenz. Eine bereits vorhandene Lizenz für die aktuelleste NoSpamProxy Version kann bei einer Migration zu Microsoft Azure weiter verwendet werden.
Betriebsmöglichkeiten Hinweise Bereitstellung Links
NoSpamProxy Azure kann auf unterschiedliche Weise in Microsoft Azure betrieben werden. Das System wird standardmäßig als Workgroup System und somit ohne eine AD-Mitgliedschaft in Microsoft Azure bereitgestellt. Die einzelnen Betriebsmöglichkeiten von NoSpamProxy Azure leiten hauptsächlich dadurch ab, ob zwischen der eigenen IT-Infrastruktur und Microsoft Azure ein Site-2-Site VPN besteht oder nicht.
Aktuell wird eine direkte Anbindung an Azure AD nicht unterstützt, ist aber in Planung.
Je nach ausgewählter Azure VM können unterschiedliche Datendurchsätze hinsichtlich der verarbeiteten E-Mails pro Minute erreicht werden.
Lasttests auf Basis von Standard A Maschinen haben folgendes Ergebnis gebracht:
Die nachfolgenden Schritte beschreiben die einfache Bereitstellung von NoSpamProxy Azure.
Suchen Sie im Azure Marketplace nach NoSpamProxy und wählen Sie die NoSpamProxy Azure Edition aus.
Klicken Sie auf Create, um das NoSpamProxy Azure System zu konfigurieren.
Konfigurieren Sie die Parameter für
Wählen Sie einen passenden VM Typ. NoSpamProxy hat keine großen Anforderungen an Prozessor und Arbeitsspeicher. Der verwendete SQL Server 2014 Express kommt initial mit einem kleinen System zurecht.
In diesem einfachen Beispiel bleiben die weiteren Einstellungen unverändert. Diese können bei Bedarf individuell angepasst werden, um bereits bestehende Ressourcen zu nutzen.
Prüfen Sie in der technischen Zusammenfassung die Einstellung und klicken Sie OK, um die das konfigurierte System in den Warenkorb zu legen.
Prüfen Sie auf der Angebotsseite den ausgewählten Azure Service und die konfigurierte VM. Klicken Sie auf Purchase, um den Service und das Systemabo zu kaufen. Da es sich um ein BYOL Deployment handelt, benötigen Sie für die Konfiguration entweder eine NoSpamProxy Testlizenz oder eine gültige NoSpamProxy Volllizenz.
Melden Sie sich nach der erfolgreichen Erstellung des System per Remote Desktop an. Bei der ersten Anmeldung wird die Installation von NoSpamProxy durch einen Scheduled Task gestartet. Der Task führt folgende Schritte durch:
Schließen oder Unterbrechen Sie das Windows PowerShell Fenster nicht.
Nach Abschluss der Installation wird die öffentliche Webseite von NoSpamProxy Azure aufgerufen. Da der Internet Explorer zu diesem Zeitpunkt noch im abgesicherten Modus läuft, erscheint ein Warnhinweis. Nehmen Sie NoSpamProxy in die Liste der Ausnahmen auf. Über diese Webseite können Sie Ihre persönliche Testlizenz anfordern.
Durch die Installation von NoSpamProxy wurden Gruppenmitgliedschaften für das Benutzerkonto des angemeldeten Administrators geändert. Um NoSpamProxy verwalten zu können, müssen Sie sich einmal ab- und wieder anmelden.
Starten Sie nach der erneuten Anmeldung die NoSpamProxy Verwaltungskonsole um beginnen Sie mit dem Import der Testlizenz oder Ihrer vorhandenen Volllizenz.
In der Verwaltungskonsole können Sie auf der rechten Seite die installierte Version von NoSpamProxy ablesen.
Nach dem Import der Lizenz erfolgt die individuelle Konfiguration von NoSpamProxy für Ihre Anforderungen.
Anfang Juli wurde Version 11 der erfolgreichen Anti-Spam und E-Mail Verschlüsselungslösung NoSpamProxy veröffentlicht.
NoSpamProxy eignet sich sowohl für E-Mail Umgebungen, die sich rein On-Premises befinden, als auch für den Betrieb mit Office 365. Gerade hier zeigt sich der absolute Mehrwert durch den Einsatz der zentralen S/MIME Verschlüsselung oder des Portals zum einfachen und sicheren Austausches großer Dateien.
Ein schneller Blick auf die Unterschiede in der NoSpamProxy Verwaltungskonsole zeigt einen prägnaten neuen Menüpunkt.
Mit der neuen DKIM Funktion ist es ein Leichtes, DKIM Signaturen für die eigenen Domänen zu erstellen und diese im Regelwerk von NoSpamProxy anzuwenden. Mit Hilfe von DKIM wird sichergestellt, dass eine mit DKIM signierte Nachricht wirklich von der sendenden Domäne stammt. Ein empfangendes E-Mail System kann so die Echtheit des Absenders überprüfen.
In der Vergangenheit war die Einrichtung und Konfiguration von DKIM nicht trivial. In diesem Fall ist die Schlüsselerzeugung und die Bereitstellung des öffentlichen Schlüssels extrem einfach gehalten und beschränkt sich auf drei Schritte.
Schritt 1: Auswahl der gewünschten eigenen Domäne und Festlegung des DNS Names (Selector)
Nun wird in der Regel für ausgehende E-Mails die DKIM Signierung aktiviert. Mehr ist nicht mehr erforderlich, um eine zusätzliche E-Mail Sicherheitsfunktion zu aktivieren. Gerade beim Betrieb mehrerer E-Mail Gateways wird die Einfachheit der Konfiguration deutlich, da die DKIM Einrichtung nur einmal ausgeführt werden muss.
Ein weiteres neues Feature von NoSpamProxy ist die Möglichkeit, E-Mails mit einem zentral gesteuerten Disclaimer zu versehen. Neben dem Hinzufügen von rein rechtlichen Informationen, dem klassischen Disclaimer, können auch unternehmensweite E-Mail Signaturen mit Benutzerinformationen aus dem Active Directory hinzugefügt werden.
Die Verwaltung und Konfiguration erfolgt über eine eigene Weboberfläche, die für den Administrator bequem über die NoSpamProxy Verwaltungsoberfläche erreichbar ist.
Die Bereitstellung als Webseite ist besonders vorteilhaft für Unternehmen, in denen die Konfiguration und Pflege der E-Mail Signaturen einer Abteilung außerhalb der IT unterliegt. Für die Pflege der Disclaimer-Konfigurationen ist lediglich ein Browser und natürlich die erforderliche Berechtigung zur Verwaltung notwendig.
Die Funktion für zentrale Disclaimer in NoSpamProxy werden wir in einem separaten Blogartikel und einer Schritt-für-Schritt Anleitung beleuchten.
Version 11 von NoSpamProxy zeigt erneut, dass sichere E-Mail Kommunikation mit Software Made in Germany bequem und einfach zu realisieren ist. Es gibt keinen Grund, keine E-Mail Verschlüsselung und sichere E-Mail Übertragung einzusetzen.
Sie möchten die E-Mail Kommunikation Ihres Unternehmens sicherer machen? Sie möchten mehr über E-Mail Verschlüsselung erfahren? Wir helfen Ihnen gerne weiter, rufen Sie uns an 02433 9524780 oder senden Sie uns eine E-Mail an info@granikos.eu.
Wir selber begleiten das Produkt schon seit einigen Jahren und sind gerade vom Einsatz in Kombination mit Office 365 überzeugt.
Mit der E-Mail Gateway Lösung NoSpamProxy können Sie leicht mehrere Office 365 Tenats mit einer Gateway-Lösung verbinden. Die Gründen für solch ein Szenario können vielfältig sein. Hierzu gehören Unternehmensfusionen, aber auch Abspaltungen, rechtliche oder betriebliche Erfordernisse zur Trennung der Datenspeicherung.
Für das Szenario in diesem Blog Post
Der neue Office 365 Deutschlang Tenant wurde bereits erstellt und die benutzerdefinierte Domäne ebenfalls registriert. Hierbei hat sich gezeigt, dass es möglich ist in beiden Umgebungen den gleichen Tenantnamen zu verwenden. Micosoft prüft bei der Registrierung nicht, ob der Tenantname bereits in einer anderen Office 365 Umgebung verwendet wird. Allerdings wird innerhalb des Admin Centers von Office 365 Deutschland bei der Registrierung der benutzerdefinierten Domäne ein Abgleich vorgenommen. Sie können eine benutzerdefinierte Domäne nur einmal über alle Office 365 Plattformen hinweg registrieren. Das in diesem Post beschriebene Beispiel funktioniert ebenso für zwei oder mehr Tenants in Office 365 Global.
Ausgangssituation für die Konfiguration:
Das folgende Diagramm verdeutlicht das Setup mit NoSpamProxy und zwei Office 365 Tenants (Global/DE).
Die nachfolgenden Schritte beschreiben die Konfiguration des NoSpamProxy Gateways über die NoSpamProxy Management Oberfläche der Intranet-Rolle.
Fügen Sie sowohl die Domäne des Office 365 Deutschland Tenants und die benutzerdefinierte Domäne als Ihnen gehörende Domänen (Owned domains) hinzu. Ohne diesen Schritt können Sie die Domänen weder einem E-Mail-Server des Unternehmens oder Empfänger mit einer dieser Zieldomänen hinzufügen.
Fügen Sie einen neuen E-Mail-Server (Corporate email servers) hinzu und wählen Sie den den Typ As Office 365 tenant aus.
Wählen Sie als Endpunkt German Azure Cloud aus und geben Sie den Tenantnamen des Office 365 Deutschland Tenants ein.
Ordnen Sie nun die beiden in Schritt 1 hinzugefügten Domänen der neuen E-Mail-Server Konfiguration zu.
Geben Sie bei Bedarf einen individuellen Kommentar ein und schließen Sie die Konfiguration ab.
Nach erfolgter Konfiguration sind beide Tenants in der Übersicht sichtbar.
Die Empfänger mit E-Mail-Adressen im Office 365 Deutschland Tenant werden von NoSpamProxy aus einer Textdatei importiert. Hierzu ist ein regelmäßiger Import in der NoSpamProxy MMC konfiguriert. Diese Adressen werden nur importiert, wenn die E-Mail-Domäne in Schritt 1 als eigene Domäne korrekt konfiguriert wurde.
Es wird nur die E-Mail-Adresse importiert. Der Import weiteren Benutzerinformation, wie z.B. Vorname und Nachname, ist eine der weitere Aufgaben in diesem Projekt.
Das in diesem Blog Post gezeigte Beispiel erfordert NoSpamProxy in der Version 12.2.18094.7 oder höher, wenn der Tenantname in Office 365 Global und Office 365 Deutschland identisch sind. Sind beide Namen unterschiedliche, kann auch eine aktuelle Version 12.1 eingesetzt werden.
Die beschriebene Konfiguration bietet erst einmal eine funktionsfähige Umgebung, ist aber für den Regelbetrieb in einem Unternehmen noch nicht optimal. In den nächsten Artikeln zur Anbindung an mehere Tenants werde ich folgenden Themen betrachten:
Viel Spaß mit Office 365 und NoSpamProxy.
Sie haben weitere Fragen zur beschriebenen Konfiguration? Kontaktieren Sie mich gerne per E-mail: thomas@mcsmemail.de.
Das E-Mail-Sicherheitsgateway NoSpamProxy untertützt die Anbindung an die De-Mail-Infrastruktur. Mit Hilfe von De-Mail ist eine gesetzlich geregelte Zustellung von rechtlich relevanten E-Mail-Nachrichten möglich. MIt Hilfe von NoSpamProxy kann Ihr Unternehmen E-Mail-Nachrichten mit De-Mail-Empfängern austauschen, ganz unabhängig davon, ob Ihre E-Mail-Server in der internen IT-Infrastruktur betrieben werden oder als SaaS-Dienst wie z.B. Office 365. In meinem Beispiel befinden sich alle Postfächer in Exchange Online.
Die Anbindung von De-Mail und Office 365 über das E-Mail-Gateway wird im nachfolgenden Schaubild deutlich.
Die zur Anbindung an Office 365 erforderlichen Komponenten, wie z.B: Azure AD Connect, sind im Diagramm nicht dargestellt, um die Übersichtlichkeit zu gewährleisten.
Das E-Mail-Gatewaysystem wird in diesem Beispiel auf einer Hyper-V-Plattform betrieben. Da die De-Mail-Zertifikate auf einer Smardcard gespeichert sind und der Betrieb des Gateways unbeaufsichtigt erfolgen soll, muss die Smartcard über einen zertifizierten Kartenleser permanent eingebunden werden. Entsprechende Smartcard-Lesegeräte sind als USB-Geräte erhältlich. Beim Erwerb einer De-Mail-Signaturkarte erhalten Sie einen passenden Kartenleser.
Die Verbindung des physikalischen Smartcard-Lesegerätes zum virtualisierten Betriebssystem erfolgt mit Hilfe eines USB-Servers. Für diesen USB-Server wird auf dem virtualisierten Betriebssystem eine Treiber-Software installiert, die einen virtualisierten USB-Port bereitstellt. Über diesen vUSB-Port ist anschließend das Smartcard-Lesegerät mit dem Betriebssystem verbunden. Zusätzlich werden noch die passenden Treiber und die Verwaltungssoftware für das De-Mail-Zertifikat benötigt.
Das folgende Schaubild verdeutlicht die technische Anbindung des Smartcard-Lesegerätes mit einem virtualisierten Betriebssystem.
System-Komponenten
Software-Komponenten
Die Anbindung an De-Mail erfolgt immer auf einem NoSpamProxy-System mit installierter Gateway-Rolle. Ob es sich um ein reines Gateway-System handelt oder aber um ein System mit installierte Intranet- und Gateway-Rolle ist unerheblich. In der nachfolgenden Beschreibung gehe ich davon aus, dass die NoSpamProxy Gateway-Software bereits installiert ist und die Nutzung von De-Mail lizensiert ist.
Installieren Sie zuerst den USB-Server und richten Sie das Smartcard-Lesegerät im Windows Server Betriebssystem ein. Die in diesem Artikel beschriebenen Schritte und zu installierenden Komponenten gelten für Windows Server 2012R2 und Windows Server 2016 identisch. Für Windows Server 2019 liegen noch keine Erfahrungen vor.
An diesem Punkt haben Sie das Smartcard-Lesegerät über den USB-Server und den virtuellen USB-Treiber der USB-Umlenkung mit dem Windows Server Betriebssystem verbunden. Bei jedem Neustart des Betriebssystems wird das Lesegerät automatisch verbunden.
Für die folgenden Installationsschritte und die Einbindung des De-Mail-Zertifikates ist es erforderlich, dass Sie eine Konsolenverbindung zum virtualisierten Betriebssystem herstellen. Die Einbindung des Smartcard-Zertifikates innerhalb einer RDP-Sitzung auf dem Windows Server nicht möglich, da dies durch den Windows Smartcard-Treiber aktiv verhindert. Sie erkennen dies daran, dass es beim Start des TCOS-CardManagers zu folgender Fehlermeldung kommt.
In einer VMware Hypervisor-Plattform ist der Zugriff über eine Konsolensitzung kein Problem. Wenn Sie aber Hyper-V als Hypervisor-Plattform einsetzen, müssen Sie auf die folgenden Einstellung des Hyper-V-Hostsystems achten.
Die Funktion "Erweiterten Situngsmodus zulassen" muss ausgeschaltet sein. Wenn diese Funktion eingeschaltet ist, werden alle Sitzungen durch das Gast-Betriebssystem als RDP-Sitzungen wahrgenommen. Dies führt automatisch dazu, dass der beschriebene Zugriff auf die Smartcard-Blibliotheken unterbunden wird. Diese Funktion muss nur für den Zeitraum der Konfiguration der De-Mail-Zertifikate in Windows Server ausgeschaltet sein bzw. immer dann, wenn Sie mit dem TCOS CardManager arbeiten müssen.
Folgende Schritte sind notwendig, um die TCOS-Smartcard und die De-Mail-Zertifikate zu integrieren:
Der die TCOS-Softwarekomponenten sind so programmiert, dass die De-Mail-Zertifikate beim ersten Zugriff auf die Signaturkarte in den lokalen Zertifikatsspeicher des angemeldeten Benutzers kopiert werden. Dieser Zertifikatsspeicher ist für installierte Softwarelösungen gänzlich ungeeignet. Die Zertifkate müssen in den Zertifikatsspeicher des Computers verschoben werden. Hierbei hilft Ihnen das Tool CertificatePromoter.exe, das Sie vom Net at Work-Support erhalten können.
Nachdem nun die De-Mail-Zertifikate im richtigen Zertifikatsspeicher abgelegt sind, muss der Zugriff auf die Zertifikate und die privaten Schlüssel konfiguriert werden. Die hierzu erforderlichen Schritte habe ich im Artikel "Zugriff auf privaten SSL-Schlüssel konfigurieren" beschrieben. Führen Sie die dort beschriebenen Schritte für die drei verschobenen De-Mail-Zertifikate durch.
Damit sind alle Voraussetzungen für eine funktionierende Anbindung des E-Mail-Security Gateways NoSpamProxy an De-Mail abgeschlossen. Die Konfiguration erfolgt in der NoSpamProxy MMC-Verwaltungsoberfläche im Menüpunkt Connected systems. Sie können entweder einen Telekom De-Mail-Connector oder einen Mentana-Claimsoft De-Mail-Connector hinzufügen.
Wenn alle Einstellungen und Konfiguration korrekt durchgeführt wurden, wird in der NoSpamProxy MMC-Verwaltungsoberfläche nach kurzer Zeit die Anzahl der zur Verfügung stehenden De-Mail-Domänen angezeigt. Diese Information wurde durch NoSpamProxy vom De-Mail-Gateway abgefragt und ist daher ein Beleg für die funktionierende Verbindung.
Ab diesem Punkt können Sie mit den weiteren Benutzer-Konfigurationen für De-Mail, entsprechend der NoSpamProxy Anleitung fortfahren.
Sollte es doch zu Problemen bei der Verbindung zum De-Mail-Gateway kommen, prüfen Sie bitte die folgenden Punkte:
Damit erschöpfen sich auch schon die allgemeinen Möglichkeiten zum Troubleshooting der De-Mail-Anbindung. In den meisten Fällen liegt ein Problem beim Verbindungsaufbau vor. Dies ist entweder die HTTPS-Strecke selbst oder aber die Aushandlung der TLS-Verschlüsselung (Handshake). Die Analyse des TLS-Handshake erfordert die Installation eines Werkzeuges zur Netzwerkanalyse, wie z.B. Wireshark oder Microsoft Message Analyzer.
# Prüfung der TLS-CipherSuite # Wird kein Ergebnis zurückgegeben, muss die CipherSuite aktiviert werden (Get-TlsCipherSuite) | Where-Object {$_.Name -eq 'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384'} # Alphabetische Auflistung der konfigurierten TLS-CipherSuites des OS Get-TlsCipherSuite | Sort-Object Name | FT Name # Aktivierung der CipherSuite Enable-TlsCipherSuite -Name TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 # Auflistung der aktivierten elliptischen Kurven # Wird die Kurve NistP521 nicht aufgeführt, muss sie aktiviert werden Get-TlsEccCurve # Aktivierung der ECC Kurve NistP521 Enable-TlsEccCurve NistP521 # Alle Änderungen an den TLS-Einstelliunge erfordern einen Neustart des Servers
Ich wünsche viel Spaß mit dem NoSpamProxy E-Mail-Sicherheitsgateway und De-Mail.
De-Mail ist Bestandteil der E-Government-2.0 Strategie Deutschlands und ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte Technik zur sicheren, vertraulichen und nachweisbaren E-Mail Kommunikation.
Eine komfortable Anbindung an die De-Mail Infrastruktur ist mit Hilfe der E-Mail Gateway Lösung NoSpamProxy Encryption möglich. Für eine Anbindung an die E-Mail Systeme eines Unternehmens muss eine De-Mail Gateway Kommunikation eingerichtet werden. Die Nutzung von De-Mail in dieserm Szenario erfordert den Einsatz einer Signaturkarte, was für die Anbindung an eine serverbasierte Softwarelösung ganz eigene Herausforderungen mit sich bringt.
Im nachfolgenden Artikel wird die Anbindung exemplarisch für die T-Systems De-Mail Schnittstelle unter Verwendung von NoSpamProxy Encryption beschrieben. Die von T-Systems zur Verfügung gestellte Gateway-Lösung wird hierzu nicht benötigt. Die NoSpamProxy Encryption Gateway Rolle ist in diesem Beispiel bereits auf dem Windows Server 2012R2 System installiert.
Lesegeräte für Signaturkarten sind mit einer USB Schnittstelle ausgestattet. Bei direkter Nutzung einer hardwarebasierten Serverlösung stellt dies kein Problem dar, da der Kartenleser direkt am Server angeschlossen werden kann.
In einer virtualisierten Serverinfrastruktur muss der USB Kartenleser mit Hilfe eines USB Servers dem Betriebssystem zur Verfügung gestellt werden. Hier gibt es unterschiedliche Produkte am Markt. T-System empfiehlt hier das SoHo Produkt myUTN-50a der Fa. SEH. Am Markt existieren auch industrietaugliche Alternativen.
Als Kartenlesen empfiehlt und verkauft T-Systems den SCR3310 (lt. Herstellt End of Life), der auch in diesem Beispiel verwendet wird.
Die Installation aller Smartcard Komponenten muss über die Konsole erfolgen. Eine Installation über eine RDP Verbindung (auch RDP Konsole) führt zu einer fehlerhaften Installation der Smartcard Komponenten.
Für den USB Server ist die Verwendung einer dedizierten und fest konfigurierten IP-Adresse einer Zuweisung per DHCP vorzuziehen. Nach der Einrichtung muss der USB Server mit Hilfe der zugehörigen Verwaltungssoftware erreichbar sein und die USB Ports müssen im Gastbetriebssystem eingebunden werden. Die korrekte Einbindung kann im Gerätemanager kontrolliert werden.
Wichtig ist, dass die Einbindung des USB-Servers als „Autostart“ konfiguriert ist, damit der USB-Server beim Start des Betriebssystems automatisch verbunden wird.
Die Installation der Treibersoftware für den Kartenleser SCR3311 ist einfach, da es sich um eine simple Windows-Installer Lösung handelt. Nach der Installation muss der Kartenleser im Gerätemanager sichtbar sein und als korrekt installiert angezeigt werden.
Für den Zugriff auf die Smartcard muss der Treiber für das TCOS (TeleSec Chipcard Operating System) installiert werden. Hier ist TCOS Cardmodul Treiber für die manuelle Installation zu verwenden. Nach dem Entpacken des gezippten Archivs erfolgt die Installation (Treiber Update) mit Hilfe des Gerätemanagers. Nach der Installation muss die Smartcard im Gerätemanager sichtbar sein und als korrekt installiert angezeigt werden.
Für die Registrierung der auf der Smartcard gespeicherten Zertifikate muss die TCOS CardManager Software installiert werden. Auch hier ist die Installation einfach, da es sich um eine simple Windows-Installer Lösung handelt.
Nachdem alle Komponenten korrekt installiert sind, können die Zertifikate auf dem Server registriert und mit Hilfe eines Tools im Zertifikatsspeicher des Servers zur Nutzung bereitgestellt werden.
Starten Sie den TeleSec CardManager und wählen Sie die den Knoten Personalisierung -> Zertifikate und registrieren Sie alle Zertifikate.
Nach der Registrierung müssen die registrierten Zertifikate in den lokalen Zertifikatspeicher promotet werden, damit die Software mit den Zertifikaten arbeiten kann.
Starten Sie die CertificatePromoter.exe und wählen Sie alle registrierten Zertifikate. Klicken Sie anschließend auf Ok und starten Sie anschließend den Server durch.
Wichtig ist, dass nach der Bereitstellung der Zertifikate mindestens das Zertifikat für Client Authentication, Smart Card Logon im Zertifikatsspeicher aufgeführt wird.
In der Anzeige der Zertifikatsdetails können die erweiterten Nutzungsarten angezeigt werden:
Nachdem nun die Zertifikate korrekt im lokalen Zertifikatsspeicher verfügbar sind, kann der NoSpamProxy De-Mail Konnektor in der NoSpamProxy Verwaltungskonsole konfiguriert werden.
Vergeben Sie einen Namen für den Konnektor und wählen Sie T-System als Ziel aus. Anschließend wählen Sie das zu verwendete Zertifikat aus.
Im Auswahldialog für das Zertifikat werden alle Zertifikate angezeigt, die auf den verbundenen NoSpamProxy Gateway Systemen im lokalen Zertifikatsspeicher zur Verfügung stehen. Werden in diesem Dialog die De-Mail Zertifikate nicht angezeigt, müssen die Konfigurationsschritte zur Einbindung der Zertifikate überprüft werden.
Überprüfen Sie anhand der Zertifikate-Detailanzeige das zu verwendende Zertifikat (s.o.) und wählen es anschließend aus.
Für jedes Gateway-System muss ein separater Konnektor erstellt werden.
Nach der Einrichtung des Konnektors und der erfolgreichen Verbindung zum T-System De-Mail Server werden in der NoSpamProxy Verwaltungskonsole die zur Verfügung stehenden De-Mail Domänen angezeigt. Damit wurde die De-Mail Anbindung mit NoSpamProxy Protection eingerichtet.
Nach der rein technischen Anbindung des Unternehmens an De-Mail, muss De-Mail in Ihre Fachverfahren nach Ihren Wünschen und Anforderungen integriert werden. Dies erfordert eine ganz individuelle Beratung und Umsetzung.
Viel Spaß mit De-Mail.