Das E-Mail-Sicherheitsgateway NoSpamProxy untertützt die Anbindung an die De-Mail-Infrastruktur. Mit Hilfe von De-Mail ist eine gesetzlich geregelte Zustellung von rechtlich relevanten E-Mail-Nachrichten möglich. MIt Hilfe von NoSpamProxy kann Ihr Unternehmen E-Mail-Nachrichten mit De-Mail-Empfängern austauschen, ganz unabhängig davon, ob Ihre E-Mail-Server in der internen IT-Infrastruktur betrieben werden oder als SaaS-Dienst wie z.B. Office 365. In meinem Beispiel befinden sich alle Postfächer in Exchange Online.

Die Anbindung von De-Mail und Office 365 über das E-Mail-Gateway wird im nachfolgenden Schaubild deutlich.

• Alle Benutzerpostfächer, mit Benutzerverwaltung im lokalen Active Directory, befinden sich in Office 365
• Exchange Online ist für die zentralisierte E-Mail-Zustellung (Centralized Mail-Flow) konfiguriert
• E-Mail-Verkehr mit externen E-mail-Systemen erfolgt über das E-Mail-Sicherheitsgateway NoSpamProxy
• Anbindung an die De-Mail-Infrastruktur über das De-Mail-Gateway von T-Systems 

Die zur Anbindung an Office 365 erforderlichen Komponenten, wie z.B: Azure AD Connect, sind im Diagramm nicht dargestellt, um die Übersichtlichkeit zu gewährleisten. 

Technische Umsetzung

Das E-Mail-Gatewaysystem wird in diesem Beispiel auf einer Hyper-V-Plattform betrieben. Da die De-Mail-Zertifikate auf einer Smardcard gespeichert sind und der Betrieb des Gateways unbeaufsichtigt erfolgen soll, muss die Smartcard über einen zertifizierten Kartenleser permanent eingebunden werden. Entsprechende Smartcard-Lesegeräte sind als USB-Geräte erhältlich. Beim Erwerb einer De-Mail-Signaturkarte erhalten Sie einen passenden Kartenleser.

Die Verbindung des physikalischen Smartcard-Lesegerätes zum virtualisierten Betriebssystem erfolgt mit Hilfe eines USB-Servers. Für diesen USB-Server wird auf dem virtualisierten Betriebssystem eine Treiber-Software installiert, die einen virtualisierten USB-Port bereitstellt. Über diesen vUSB-Port ist anschließend das Smartcard-Lesegerät mit dem Betriebssystem verbunden. Zusätzlich werden noch die passenden Treiber und die Verwaltungssoftware für das De-Mail-Zertifikat benötigt.

Das folgende Schaubild verdeutlicht die technische Anbindung des Smartcard-Lesegerätes mit einem virtualisierten Betriebssystem.

System-Komponenten

• Betriebssystem E-Mail-Gateway: Windows Server 2012R2
• Smartcard-Lesegerät: SCR uTrust 2700 F (Lieferumfang De-Mail-Paket)
• USB-Server: WuT USB-Server Gigabit 2.0 (Produkt-Webseite)
  • Der USB-Server kann über PoE mit Spannung versorgt werden. Dies erleichtert die Integration erheblich. Alternativ ist eine Spannungsversorgung mit 24-48V über eine Schreibklemme möglich.

Software-Komponenten

• vUSB-Treiber (USB-Umlenkung), (Download)
• WuTility zur Verwaltung des USB-Servers (Download)
• Lesegerät-Treiber für SCR uTrust 2700 F (Download)
• Smartcard-Treiber für TCOS-TeleSec Card OS mit manueller Installation über den Windows Geräte-Manager (Download)
• TeleSec CardManager .NET zur Verwaltung der Smartcard (Download)
• NoSpamProxy E-Mail-Sicherheitsgateway (Download)

Die Anbindung an De-Mail erfolgt immer auf einem NoSpamProxy-System mit installierter Gateway-Rolle. Ob es sich um ein reines Gateway-System handelt oder aber um ein System mit installierte Intranet- und Gateway-Rolle ist unerheblich.  In der nachfolgenden Beschreibung gehe ich davon aus, dass die NoSpamProxy Gateway-Software bereits installiert ist und die Nutzung von De-Mail lizensiert ist.

Installation

Installieren Sie zuerst den USB-Server und richten Sie das Smartcard-Lesegerät im Windows Server Betriebssystem ein. Die in diesem Artikel beschriebenen Schritte und zu installierenden Komponenten gelten für Windows Server 2012R2 und Windows Server 2016 identisch. Für Windows Server 2019 liegen noch keine Erfahrungen vor.

1. Verbinden Sie den USB-Server mit einem PoE-Switch-Port
2. Installieren Sie die WuTility-Software
   1. vergeben Sie eine IP-Adresse
   2. vergeben Sie ein Kennwort für die Anmeldung an die Web-Oberfläche des USB-Servers
   3. aktualisieren Sie die Firmware des USB-Servers
3. Installieren Sie die USB-Umlenkung
4. Schließen Sie das Smartcard-Lesegerät am USB-Server an, das Lesegerät erscheint in der Übersicht der USB-Umlenkung
5. Konfigurieren Sie die Einbindung für das Lesegerät auf permanent
   
    
6. Installieren Sie den Lesegerät-Treiber für SCR uTrust 2700 F

An diesem Punkt haben Sie das Smartcard-Lesegerät über den USB-Server und den virtuellen USB-Treiber der USB-Umlenkung mit dem Windows Server Betriebssystem verbunden. Bei jedem Neustart des Betriebssystems wird das Lesegerät automatisch verbunden.

Für die folgenden Installationsschritte und die Einbindung des De-Mail-Zertifikates ist es erforderlich, dass Sie eine Konsolenverbindung zum virtualisierten Betriebssystem herstellen. Die Einbindung des Smartcard-Zertifikates innerhalb einer RDP-Sitzung auf dem Windows Server nicht möglich, da dies durch den Windows Smartcard-Treiber aktiv verhindert. Sie erkennen dies daran, dass es beim Start des TCOS-CardManagers zu folgender Fehlermeldung kommt.

In einer VMware Hypervisor-Plattform ist der Zugriff über eine Konsolensitzung kein Problem. Wenn Sie aber Hyper-V als Hypervisor-Plattform einsetzen, müssen Sie auf die folgenden Einstellung des Hyper-V-Hostsystems achten.

Die Funktion "Erweiterten Situngsmodus zulassen" muss ausgeschaltet sein. Wenn diese Funktion eingeschaltet ist, werden alle Sitzungen durch das Gast-Betriebssystem als RDP-Sitzungen wahrgenommen. Dies führt automatisch dazu, dass der beschriebene Zugriff auf die Smartcard-Blibliotheken unterbunden wird. Diese Funktion muss nur für den Zeitraum der Konfiguration der De-Mail-Zertifikate in Windows Server ausgeschaltet sein bzw. immer dann, wenn Sie mit dem TCOS CardManager arbeiten müssen.

Folgende Schritte sind notwendig, um die TCOS-Smartcard und die De-Mail-Zertifikate zu integrieren:

1. Installieren Sie den TCOS-Smartcard-Treiber über den Windows Geräte-Manager manuell 
   
   Stellen Sie vor allen weiteren Aktionen sicher, das der Treiber für das Smartcard-Lesegerät und die TCOS-Smartcard im Geräte-Manager richtig erkannt wurden.
   
2. Installieren Sie den TCOS CardManager
3. Stecken Sie die De-Mail-Signaturkarte in den Kartenleser und starten Sie anschließend den TCOS-CardManager, um den Zugriff auf die Signaturkarte nach Eingabe der PIN zu testen
4. Schließen Sie den TCOS CardManager

Der die TCOS-Softwarekomponenten sind so programmiert, dass die De-Mail-Zertifikate beim ersten Zugriff auf die Signaturkarte in den lokalen Zertifikatsspeicher des angemeldeten Benutzers kopiert werden. Dieser Zertifikatsspeicher ist für installierte Softwarelösungen gänzlich ungeeignet. Die Zertifkate müssen in den Zertifikatsspeicher des Computers verschoben werden. Hierbei hilft Ihnen das Tool CertificatePromoter.exe, das Sie vom Net at Work-Support erhalten können. 

1. Starten Sie CertificatePromoter-exe als Administrator
2. Wählen Sie ein De-Mail-Zertifikat aus und verschieben Sie das ausgewählte Zertifikat
3. Wiederholen Sie die Schritte 1 & 2 für die beiden anderen De-Mail-Zertifikate

Nachdem nun die De-Mail-Zertifikate im richtigen Zertifikatsspeicher abgelegt sind, muss der Zugriff auf die Zertifikate und die privaten Schlüssel konfiguriert werden. Die hierzu erforderlichen Schritte habe ich im Artikel "Zugriff auf privaten SSL-Schlüssel konfigurieren" beschrieben. Führen Sie die dort beschriebenen Schritte für die drei verschobenen De-Mail-Zertifikate durch.

Damit sind alle Voraussetzungen für eine funktionierende Anbindung des E-Mail-Security Gateways NoSpamProxy an De-Mail abgeschlossen. Die Konfiguration erfolgt in der NoSpamProxy MMC-Verwaltungsoberfläche im Menüpunkt Connected systems. Sie können entweder einen Telekom De-Mail-Connector oder einen Mentana-Claimsoft De-Mail-Connector hinzufügen. 

1. Vergeben Sie einen individuellen Namen
2. Wählen Sie beim Telekom Connector aus, ob die Verbindnung zum Telekom- oder zum T-Systems-Endpunkt erfolgen soll
3. Geben Sie die PIN für das De-Mail-Zertifikat ein
4. speichern Sie die Konfiguration

Wenn alle Einstellungen und Konfiguration korrekt durchgeführt wurden, wird in der NoSpamProxy MMC-Verwaltungsoberfläche nach kurzer Zeit die Anzahl der zur Verfügung stehenden De-Mail-Domänen angezeigt. Diese Information wurde durch NoSpamProxy vom De-Mail-Gateway abgefragt und ist daher ein Beleg für die funktionierende Verbindung.

Ab diesem Punkt können Sie mit den weiteren Benutzer-Konfigurationen für De-Mail, entsprechend der NoSpamProxy Anleitung fortfahren.

Hinweise

• Wenn Sie mehrere E-Mail-Gatewaysysteme betreiben möchten und eine redundante Anbindung an die De-Mail-Infrastruktur planen, so benötigt jedes Gatewaysystem einen eigenes Smartcard-Lesegerät und eine eigene De-Mail-Signaturkarte.
• Verwenden Sie für die Verbindung von Smardcard-Lesegeräten an virtualisierte Betriebssysteme nur USB-Server in Industriequalität.
• Die De-Mail-Signaturkarte muss im Kartenleser verbleiben. Der Kartenleser und der USB-Server sind an einem abgesichterten und zutrittsbeschränktem Ort zu platzieren.

Troubleshooting

Sollte es doch zu Problemen bei der Verbindung zum De-Mail-Gateway kommen, prüfen Sie bitte die folgenden Punkte:

• Ist eine direkte HTTPS-Verbindung vom Gateway-System zum De-Mail-Endpunkt über TCP-Port 443 möglich?
  • Überprüfen Sie die Einstellungen der Unternehmens-Firewall.
• Wird ein Proxy-Server für ausgehende HTTPS-Verbindungen von internen Serversystemen eingesetzt?
  • Konfigurieren den Proxy-Server für die Gateway-Rolle entsprechend dieses Knowledge Base Artikels.
• Sind die Berechtigungen für den Zugriff auf das De-Mail-Zertifikat für die NoSpamProxy Dienstkonten konfiguriert?
  • Konfigurieren Sie die Berechtigungen entsprechend dieses Blog-Artikels.
• Sind die TLS-CipherSuite TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 und die elliptische Kurve NistP521 in der SCHANNEL Konfiguration des Windows Server Betriebssystems aktiviert?
  • Windows Server 2016: Überprüfen Sie die TLS-Einstellungen mit Hilfe einer administrativen PowerShell-Sitzung.
  • Windows Server 2012R2: Überprüfen Sie die TLS-Einstellungen mit Hilfe des Tools IISCrypto.

Damit erschöpfen sich auch schon die allgemeinen Möglichkeiten zum Troubleshooting der De-Mail-Anbindung. In den meisten Fällen liegt ein Problem beim Verbindungsaufbau vor. Dies ist entweder die HTTPS-Strecke selbst oder aber die Aushandlung der TLS-Verschlüsselung (Handshake). Die Analyse des TLS-Handshake erfordert die Installation eines Werkzeuges zur Netzwerkanalyse, wie z.B. Wireshark oder Microsoft Message Analyzer.

Konfiguration der TLS-CipherSuite und der elliptischen Kurven in Windows Server 2016

# Prüfung der TLS-CipherSuite
# Wird kein Ergebnis zurückgegeben, muss die CipherSuite aktiviert werden
(Get-TlsCipherSuite) | Where-Object {$_.Name -eq 'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384'}

# Alphabetische Auflistung der konfigurierten TLS-CipherSuites des OS
Get-TlsCipherSuite | Sort-Object Name | FT Name

# Aktivierung der CipherSuite 
Enable-TlsCipherSuite -Name TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

# Auflistung der aktivierten elliptischen Kurven
# Wird die Kurve NistP521 nicht aufgeführt, muss sie aktiviert werden
Get-TlsEccCurve

# Aktivierung der ECC Kurve NistP521
Enable-TlsEccCurve NistP521

# Alle Änderungen an den TLS-Einstelliunge erfordern einen Neustart des Servers

Weitere Links

• Transport Options in Exchange Online
• TCOS-SmartCards - TeleSec TCOS 3.0
• De-Mail-Gesetz (De-Mail-G)

Ich wünsche viel Spaß mit dem NoSpamProxy E-Mail-Sicherheitsgateway und De-Mail.

Mit der E-Mail Gateway Lösung NoSpamProxy können Sie leicht mehrere Office 365 Tenats mit einer Gateway-Lösung verbinden. Die Gründen für solch ein Szenario können vielfältig sein. Hierzu gehören Unternehmensfusionen, aber auch Abspaltungen, rechtliche oder betriebliche Erfordernisse zur Trennung der Datenspeicherung. 

Für das Szenario in diesem Blog Post

• Es existiert bereits eine Office 365 Global Verbindung zwischen dem E-Mail Gateway und Exchange Online
• Es soll ein neuer Tenant in Office 365 Deutschland erstellt und an das Gateway angebunden werden
• E-Mail-Empfänger nutzen eine separate Domäne im neuen Tenant

Der neue Office 365 Deutschlang Tenant wurde bereits erstellt und die benutzerdefinierte Domäne ebenfalls registriert. Hierbei hat sich gezeigt, dass es möglich ist in beiden Umgebungen den gleichen Tenantnamen zu verwenden. Micosoft prüft bei der Registrierung nicht, ob der Tenantname bereits in einer anderen Office 365 Umgebung verwendet wird. Allerdings wird innerhalb des Admin Centers von Office 365 Deutschland bei der Registrierung der benutzerdefinierten Domäne ein Abgleich vorgenommen. Sie können eine benutzerdefinierte Domäne nur einmal über alle Office 365 Plattformen hinweg registrieren. Das in diesem Post beschriebene Beispiel funktioniert ebenso für zwei oder mehr Tenants in Office 365 Global.

Ausgangssituation für die Konfiguration:

• Office 365 Global
  • Tenant: granikos.onmicrosoft.com
  • Benutzerdefinerte Domäne: granikos.eu
• Office 365 Deutschland
  • Tenant: granikos.onmicrosoft.de
  • Benutzerdefinierte Domäne: granikoslabs.eu

Zielumgebung

Das folgende Diagramm verdeutlicht das Setup mit NoSpamProxy und zwei Office 365 Tenants (Global/DE).

• E-Mail-Nachrichten von externen Empfängern werden über die MX-Einträge in den öffentlichen DNS-Zonen der Domänen zu NoSpamProxy geroutet
• NoSpamProxy führt eine Anti-Spam und Anti-Malware Filterung und ggf. eine E-Mail-Entschlüsselung durch
• Angenommene Nachrichten für gültige Empfänger werden durch NoSpamProxy zum passenden Tenant geroutet und dort ins Empfängerpostfach zugestellt
• Ausgehende Nachrichten werden von den Absendern im Postfach erstellt und durch Exchange Online zu NoSpamProxy geroutet
• NoSpamProxy führt weitere Aktionen, wie z.B. E-Mail-Verschlüsselung oder das Hinzufügen einer E-Mail-Signatur, durch
• NoSpamProxy stellt die Nachrichten auf Basis der MX-Einträge der Empfängerdomänen durch
• Empfänger des primären Tenants in Office 365 Global (mit AAD Connect Synchronisierung) werden von NoSpamProxy direkt aus dem lokalen AD synchronisisert
• Empfänger des sekundären Tenants in Office 365 Deutschland werden von NoSpamProxy aus einer lokalen Textdatei synchronisisert

Konfiguration

Die nachfolgenden Schritte beschreiben die Konfiguration des NoSpamProxy Gateways über die NoSpamProxy Management Oberfläche der Intranet-Rolle.

Schritt 1: Hinzufügen der Domänen

Fügen Sie sowohl die Domäne des Office 365 Deutschland Tenants und die benutzerdefinierte Domäne als Ihnen gehörende Domänen (Owned domains) hinzu. Ohne diesen Schritt können Sie die Domänen weder einem E-Mail-Server des Unternehmens oder Empfänger mit einer dieser Zieldomänen hinzufügen.

Schritt 2: Office 365 Deutschland Tenant in Exchange Online DE hinzufügen

Fügen Sie einen neuen E-Mail-Server (Corporate email servers) hinzu und wählen Sie den den Typ As Office 365 tenant aus.

Wählen Sie als Endpunkt German Azure Cloud aus und geben Sie den Tenantnamen des Office 365 Deutschland Tenants ein.

Ordnen Sie nun die beiden in Schritt 1 hinzugefügten Domänen der neuen E-Mail-Server Konfiguration zu.

Geben Sie bei Bedarf einen individuellen Kommentar ein und schließen Sie die Konfiguration ab.

Nach erfolgter Konfiguration sind beide Tenants in der Übersicht sichtbar.

Schritt 3: E-Mail Adressen importieren

Die Empfänger mit E-Mail-Adressen im Office 365 Deutschland Tenant werden von NoSpamProxy aus einer Textdatei importiert. Hierzu ist ein regelmäßiger Import in der NoSpamProxy MMC konfiguriert. Diese Adressen werden nur importiert, wenn die E-Mail-Domäne in Schritt 1 als eigene Domäne korrekt konfiguriert wurde.

Es wird nur die E-Mail-Adresse importiert. Der Import weiteren Benutzerinformation, wie z.B. Vorname und Nachname, ist eine der weitere Aufgaben in diesem Projekt.

Voraussetzungen

Das in diesem Blog Post gezeigte Beispiel erfordert NoSpamProxy in der Version 12.2.18094.7 oder höher, wenn der Tenantname in Office 365 Global und Office 365 Deutschland identisch sind. Sind beide Namen unterschiedliche, kann auch eine aktuelle Version 12.1 eingesetzt werden.

Aufgaben

Die beschriebene Konfiguration bietet erst einmal eine funktionsfähige Umgebung, ist aber für den Regelbetrieb in einem Unternehmen noch nicht optimal. In den nächsten Artikeln zur Anbindung an mehere Tenants werde ich folgenden Themen betrachten:

• PowerShell Script zum Erstellen von Empfängerobjekten in NoSpamProxy auf Basis von Azure AD Daten
• Konfiguration der Umgebung, um Empfänger unter einer Empfangsdomäne auf zwei oder mehr Tenants zu verteilen 

Links

• NoSpamProxy Produktinformation 
• Office 365

Viel Spaß mit Office 365 und NoSpamProxy.

Sie haben weitere Fragen zur beschriebenen Konfiguration? Kontaktieren Sie mich gerne per E-mail: thomas@mcsmemail.de.

Software-Lösungen, die einen TLS verschlüsselten Kommunikationskanal aufbauen möchten, benötigen Zugriff auf den privaten Schlüssel des zuverwendenden SSL Zertifkates im lokalen Zertifkatsspeicher des Servers. In den meisten Fällen installiert die Software ein selbstsigniertes Zertifkat und konfiguriert für dieses Zertifikat die korrekten Berechtigungen.

Bei der externen Kommunikation ist es aber häufig gewünscht, ein offiziell ausgestelltes SSL/TLS Zertifikat zu verwenden. 

Die nachfolgenden Schritte beschreiben die Konfiguration der Lese-Berechtigung für das E-Mail Security Gateway NoSpamProxy. In diesem besonderen Fall verwendet die Software kein reguläres Dienstkonto, sondern sog. virtuelle Dienstkonten. Diese Konten ermöglichen eine erhöhte Sicherheit beim Ausführen von Windows-Diensten.

Schritt für Schritt Anleitung

Schritt 1

Öffnen Sie den lokalen Zertikatsspeicher mit Hilfe des MMC Snap-Ins.

Schritt 2

Wählen Sie das gewünschte Zertifkat aus und öffnen Sie mit einem Rechts-Klick auf dem Zertifkat das Kontextmenü.

Wählen Sie Manage Private Keys, um die Berechtigungen für den privaten Schlüssel zu verwalten.

Schritt 3

Klicken Sie auf Add und fügen Sie die gewünschten Konten hinzu. In diesem Beispiel ist es notwendig, das lokale Computersystem als Lokation auszuwählen und nicht die Active Directory Domäne. Virtuelle Dienstkonten erforden das Prefix NT Service.

Für NoSpamProxy benötigen die folgenden Konten Lese-Zugriff:

NT Service\NetatworkMailGatewayIntranetRole
NT Service\NetatworkMailGatewayManagementService
NT Service\NetatworkMailGatewayGatewayRole
NT Service\NetatworkMailGatewayPrivilegedService

Klicken Sie anschließend auf Check Names, um die eingegebenen Bentuzerkonten zu prüfen.

Schritt 4

Bei korrekter Auflösung werden die Anzeigename der Dienstkonten im Fenster angezeigt. Klicken Sie anschließend auf OK. 

Schritt 5

Setzen Sie für alle hinzugefügten Dienstkonten die Lese-Berechtigung und klicken Sie anschließend OK.

Um Anschluß kann das nun korrekt konfigurierte Zertifkat durch NoSpamProxy für den Aufbau von TLS Verbindungen verwendet werden.

Link

• Service Accounts Step-by-Step Guide, https://technet.microsoft.com/en-us/library/dd548356(v=ws.10).aspx

Die NoSpamProxy Gateway-Rolle benötigt für mehrere Funktionen Zugriff ins Internet. Dieser Zugriff kann sowohl direkt, als auch über einen klassischen Proxy erfolgen. Zu den Funktionen gehört u.a. der Webservice-Zugriff auf De-Mail.

Die Proxy-Konfiguration erfolgt direkt in der Konfigurationsdatei des Gateway-Service. Diese Anpassung muss auf jedem Server mit installierter Gateway-Rolle durchgeführt werden.

• Dateipfad (Beispiel): E:\Program Files\Net at Work Mail Gateway\Gateway Role
• Dateiname: NetatworkMailGatewayRole.exe.config

Für die Konfiguration eines Proxy-Servers wird in der Konfigurationsdatei ein zusätzlicher Xml-Node hinzugefügt.

1. Stoppen der NoSpamProxy Gateway-Rolle über die NoSpamProxy Managementkonsole
2. Erstellen einer Kopie der Konfigurationsdatei
3. Anpassen der Konfigurationsdatei
4. Starten der NoSpamProxy Gateway-Rolle über die NoSpamProxy Managementkonsole

Das nachfolgende Beispiel bezieht sich auf NoSpamProxy 11.1.179.0

NetatworkMailGatewayRole.exe.config vor der Anpassung

<?xml version="1.0" encoding="utf-8"?>
<configuration>
	<runtime>
	   <gcServer enabled="true" />
	   <generatePublisherEvidence enabled="false" />
	   <assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">
		   <dependentAssembly>
			   <assemblyIdentity name="Newtonsoft.Json" publicKeyToken="30ad4fe6b2a6aeed" culture="neutral" />
			   <bindingRedirect oldVersion="0.0.0.0-8.0.0.0" newVersion="8.0.0.0" />
		   </dependentAssembly>
		   <dependentAssembly>
			   <assemblyIdentity name="System.Web.Http" publicKeyToken="31bf3856ad364e35" culture="neutral" />
			   <bindingRedirect oldVersion="0.0.0.0-5.2.3.0" newVersion="5.2.3.0" />
		   </dependentAssembly>
		   <dependentAssembly>
			   <assemblyIdentity name="Microsoft.Owin" publicKeyToken="31bf3856ad364e35" culture="neutral" />
			   <bindingRedirect oldVersion="0.0.0.0-3.0.1.0" newVersion="3.0.1.0" />
		   </dependentAssembly>
	   </assemblyBinding>
	</runtime>
</configuration>

NetatworkMailGatewayRole.exe.config mit konfiguriertem Proxy-Server

<?xml version="1.0" encoding="utf-8"?>
<configuration>
	<runtime>
	   <gcServer enabled="true" />
	   <generatePublisherEvidence enabled="false" />
	   <assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">
		   <dependentAssembly>
			   <assemblyIdentity name="Newtonsoft.Json" publicKeyToken="30ad4fe6b2a6aeed" culture="neutral" />
			   <bindingRedirect oldVersion="0.0.0.0-8.0.0.0" newVersion="8.0.0.0" />
		   </dependentAssembly>
		   <dependentAssembly>
			   <assemblyIdentity name="System.Web.Http" publicKeyToken="31bf3856ad364e35" culture="neutral" />
			   <bindingRedirect oldVersion="0.0.0.0-5.2.3.0" newVersion="5.2.3.0" />
		   </dependentAssembly>
		   <dependentAssembly>
			   <assemblyIdentity name="Microsoft.Owin" publicKeyToken="31bf3856ad364e35" culture="neutral" />
			   <bindingRedirect oldVersion="0.0.0.0-3.0.1.0" newVersion="3.0.1.0" />
		   </dependentAssembly>
	   </assemblyBinding>
	</runtime>
	<system.net>
	   <defaultProxy>
		   <proxy usesystemdefault="true" proxyaddress="http://10.29.10.11:8080" bypassonlocal="true"  />
	   </defaultProxy>
	</system.net>
</configuration>

Hinweis

Bei der Installation eines Updates von NoSpamProxy wird die Datei NetatworkMailGatewayRole.exe.config überschrieben.

Dies bedeutet, dass nach die Konfiguration eines Proxy-Servers nach erfolgreicher Installation des Updates wieder eingetragen werden muss.

Links

• NoSpamProxy KB: Updates von Version 11.0 auf Version 11.1

NoSpamProxy Azure Edition is the cloud based email security gateway of the successful NoSpamProxy family of products by Net at Work. The Azure edition of NoSpamProxy can easiliy be deployed using the Microsoft Azure Marketplace.

NoSpamProxy Azure easily connects an Office 365 tenant and offers an easy way to provide centralized email encryption and decryption with PGP and/or S/MIME for mailboxes hosted in Exchange Online. Additionally, NoSpamProxy Azure provides compliant anti-spam handling, an anti-malware component, and a large file portal.

The edition currently available in Microsoft Azure installs a NoSpamProxy single-server deployment. A single-server deployment combines the NoSpamProxy intranet role and the gateway role on a single server.

The NoSpamProxy Azure Edition is provided as BYOL (Bring Your Own License) deployment. In addition to the recurring fees for the Microsoft Azure VM you are required to buy a NoSpamProxy license. If you already own a NoSpamProxy Version 11 license, the license can be used for the NoSpamProxy Azure Edition as well.

Content

DeploymentOptions
Notes
Deployment
Links

Deployment Options

Due to the nature of a cloud service NoSpamProxy Azure can be operated in different scenarios in Microsoft Azure. By default the system is configured as a workgroup system without any Active Directory domain membership. The different operational scenarios for NoSpamProxy Azure depend on the existence of a Site-2-Site VPN between your Azure deployment and your on-premises IT infrastructure.

• Without Site-2-Site VPN to Microsoft Azure
   
  • An on-premises email server (e.g. Exchange Server or SmarterMail) utilizes NoSpamProxy Azure as an external relay for outgoing messages. Incoming messages are received by NoSpamProxy Azure and are forwarded to the on-premises email server via the internet.
     
  • Email addresses of internal recipients are maintained manually using plain text file. The file itself is imported automatically by NoSpamProxy Azure
    This is a viable option, if there aren't too many email addresses to maintain.
     
  • Good option for Office 365 customers running a cloud only deployment without any on-premises Active Directory users and mailboxes. The required import file can be created by exporting Office 365 recipients and email addresses.
     
  • RDP access to the Azure VM and NoSpamProxy Azure must be limited to an external IP address of the company network.
     
• With Site-2-Site VPN to Microsoft Azure
   
  • AN on-premises email server (e.g. Exchange Server or SmarterMail) utilizes NoSpamProxy Azure as an internal Relay for outgoing messages. Incoming messages are received by NoSpamProxy Azure and forwarded to the on-premises email servers using the Site-2-Site VPN.
     
  • Automated import of internal email recipients from a LDAP source (e.g. Active Directory)
    This option simplifies recipient maintenance, as recipients are automatically imported by NoSpamProxy Azure.
     
  • Perfect option for Office 365 customers maintaining user accounts on-premises and running Azure AD Connect or maybe even having a full Office 365 hybrid setup with centralized mail flow.
     
  • RDP access to the Azure VM and NoSpamProxy Azure restricted to internal company network(s).

Currently a direct connection to Azure AD is not supported, but it is planned for a future release.
 

Notes

• The Azure Service for NoSpamProxy Azure System requires a Reverse-DNS configuration, as any other public facing SMTP service. External SMTP servers must be able to perform a Reverse-DNS check successfully. A link on how to configure Reverse-DNS in Azure is listed in the Links section.
   
• The system name of the NoSpamProxy Azure VM should not follow internal IT naming conventions, as the name is publically resolvable. Otherwise you are going to expose your internal naming conventions.

Depending on the size of the Azure VM different throughputs can be reached in regards to emails per minute.

Tests have shown the following results for Standard A Virtual Machines:

Deployment

The following steps describe a simple deployment of NoSpamProxy Azure.

Go to Azure Marketplace and search for NoSpamProxy, select the NoSpamProxy Azure Edition.

Click Create to configure the NoSpamProxy Azure system.

Configure the required parameters as needed

• Name
  System name which is added to Azure DNS and externally resolvable.
• VM disk type
  When selecting SSD as VM disk type, you must choose an Azure VM supporting SSD in a following step.
• User name, Password
  User name of the local administrator account
  As the Azure VM is accessible via RDP from the internet by default, you should use a non-trivial user name and password.
• Subscription
  Azure subscription to add the Azure resources to.
• Resource group
  Resource group for the new Azure resources. The example creates a new resource group.
• Location
  Azure region for the new resource group.

Select an appropriate virtual machine type. NoSpamProxy Azure doesn't have extraordinary system requirements for processor and memory. SQL Server 2014 Express is downloaded and installed as part of the standard setup of NoSpamProxy. Even SQL Server 2014 Express can be run on a standard VM..

All other settings remain unchanged for this simple deployment. You can adjust the settings, if required for your individual deployment. Especially if you want to utilize exisiting resources.

• Storage Account
  Storage for Azure VM VHD files
• Virtual Network
  Azure virtual network for the new Azure VM
• Subnet
  Azure virtual network subnet
• Public IP Address
  External IP address
• Network Security Group
  Network firewall configuration

Verify the technical summary and click OK to add the configured system to your shopping cart.

Verify the selected Azure service offering and the configured virtual machine. Click Purchase to buy the selected subscription. The deployment is a so called BYOL Deployment and requires a valid NoSpamProxy trial license or an existing full license. After the NoSpamProxy setup as been completed in the virtual machine you will be redirected to a web page to request a trial license.

Connect to the newly deployed virtual machine using Remote Desktop. After first log on NoSpamProxy setup will start automatically as part of an scheduled task. The scheduled task will execute the following steps:

• Configure the preinstalled SQL Server Express Edition
• Download and setup of the most current release of NoSpamProxy
• Redirect to the NoSpamProxy Azure web page to request a trial license
• Removal of the scheduled task

Do not close or interrupt the Windows PowerShell window.

After the setup has finished the public web page of NoSpamProxy Azure Edition will be opened in Internet Explorer. After initial setup of the operating system Internet Explorer runs in secure mode. Therefore, a security warning is displayed. Just add the web page to the list of exclusions and request your personal NoSpamProxy trial license.

The program setup adds new security groups and adds the logged on account to these security groups. It is required to log off and log on again to reflect the new group memberships. This is mandatory to sucessfully manage NoSpamProxy.

After log on start the NoSpamProxy Configuration MMC to import the license.

The NoSpamProxy Configuration MMC displays the NoSpamProxy version.

After initial import of the license you can start configuring NoSpamProxy to suit your needs.

Links

• NoSpamProxy Azure
• NoSpamProxy Protection
• Blogartikel: Gateway based email encryption with Office 365
• Microsoft Azure Trial
• Microsoft Azure Reverse DNS
• Microsoft Azure Reverse DNS mit der CLI