E-Mail-Routing mittels Testmail überprüfen

Bevor wir nun das E-Mail-Routing zum ersten Mal testen, müssen wir noch die Authentifizierung per SASL an unserem Smarthost im Internet aktivieren. Dazu legen Sie den Smarthost zunächst mit seinem Hostnamen oder IP-Adresse unter "Admin / MTA / SASL / Add password" an und tragen die erforderlichen Credentials ein.

Für den Versand einer Testmail nutzen Sie dann am besten den integrierten SMTP-Client unter "Admin / Other / Send email", um den internen Mailserver zu umgehen. Den Versand der Testmail können Sie dann live über "Logs / MTA" mitverfolgen. Wenn dieser Schritt erfolgreich war, senden Sie eine weitere Testmail über Ihren internen Mailserver und überprüfen, ob Ciphermail diese korrekt routet.

Bild 4: Auskunftsfreudig – Ciphermail schreibt ausführliche und lesbare Logdateien.

Schlüssel und Zertifikate importieren oder generieren

Die asymmetrischen Verschlüsselungsverfahren S/MIME und PGP arbeiten jeweils mit einem öffentlichen und einem privaten Schlüssel. Diese müssen Sie auf dem Ciphermail-Gateway hinterlegen, damit es die Ver- und Entschlüsselung und das Signieren von Nachrichten anstelle des Benutzers vornehmen kann. Für die Verwendung von S/MIME müssen Sie zunächst entscheiden, ob Sie Ihre Benutzer mit offiziellen oder selbstsignierten Zertifikaten ausstatten wollen. Offizielle S/MIME Zertifikate können Sie entweder bei Resellern wie der PSW Group oder direkt bei einer Certificate Authority (CA) wie GlobalSign oder Comodo erwerben.

Für den Einsatz kommerzieller Zertifikate spricht, dass sich auf Empfängerseite die Zertifikatsgültigkeit anhand der Signatur der CA überprüfen lässt. Entscheiden Sie sich dagegen für den Betrieb einer eigenen CA und die Ausgabe selbst- signierter Zertifikate, ist auf Seiten des Empfängers die Gültigkeit der Zertifikate nur dann überprüfbar, wenn dort zuvor Ihre Root-CA hinterlegt wurde. Ciphermail bringt eine eigene CA mit, deren Einrichtung die Dokumentation unter [4] beschreibt.

Haben Sie dagegen ein oder mehrere offizielle S/MIME-Zertifikate für Ihre eigenen Benutzer bei einer CA erworben, importieren Sie diese über "S/MIME / Certificate Store / Import Certificates + Import keys" in den Zertifikatsspeicher von Ciphermail. Die Professional- und Enterprise-Versionen verfügen zusätzlich über eine integrierte Schnittstelle, mit deren Hilfe Sie externe CAs auch direkt anbinden können. Die Schnittstelle unterstützt derzeit folgende Anbieter: CSR, Global Sign EPKI und Intellicard EPKI (Enterprise PKI).

Bei CSR handelt es sich um einen sogenannten "certificate request handler". Dieser generiert statt eines Zertifikats einen privaten Schlüssel und einen PKCS#12-Zertifikats-Request, der an eine Remote-CA mit CSR-Unterstützung übermittelt wird. Die CA stellt auf Basis des Requests ein S/MIME Zertfikat aus. Dieses müssen Sie anschließend manuell in den Ciphermail Zertifikatsspeicher importieren.

INFO The subject contains the "must encrypt" trigger for the sender and will therefore be encrypted; Recipients: [info@company.xy]
INFO must encrypt mail attribute is set; Recipients: [info@company.xy]
INFO There are no valid S/MIME encryption certificates for the recipient(s); Recipients: [info@company.xy]
INFO There are valid PGP encryption keys for recipient(s); Recipients: [info@company.xy]
INFO Trying to PGP/MIME sign the message; Recipients: [info@company.xy]
INFO Message was PGP/MIME signed. Hash algorithm: SHA256; Recipients: [info@company.xy]
INFO Trying to PGP/MIME encrypt the message; Recipients: [info@company.xy]
INFO Message was PGP/MIME encrypted. Encryption algorithm: AES-128; Compression algorithm: ZLIB; Add integrity packet: true; Recipients: [info@company.xy]

Komfortabler geht das, wenn Sie über einen EPKI-Account bei GlobalSign oder Intellicard verfügen. Die Beantragung / Ausstellung und der Import von Zertifikaten erfolgen dann vollautomatisch. E-Mail-Zertifikate externer Empfänger enthalten nur den öffentlichen Schlüssel, daher ist in diesem Fall nur der Menüpunkt "Import Certificates" relevant.

Die Aktivierung der PGP-Verschlüsselung auf Ciphermail ist im Vergleich zu S/MIME weniger komplex, da der PGP-Standard keine offiziellen Zertifizierungsstellen vorsieht. Stattdessen werden die Schlüsselpaare – bei PGP Keyrings genannt – einfach am Client erzeugt und über die Funktion "PGP / Import keyring" in Ciphermail importiert. Enthält der Keyring neben dem öffentlichen auch einen privaten Schlüssel, muss der Admin beim Import das zugehörige Passwort angeben.

Auch im Fall von PGP gilt, dass Sie für externe E-Mail-Empfänger nur den öffentlichen Schlüssel importieren müssen. Haben Ihre internen Benutzer bisher noch keinen PGP-Keyring, erzeugen Sie diesen über "PGP / Create Keyring". Für jeden Keyring müssen Sie eine E-Mail-Adresse angeben, die von PGP als UserID zur Identifikation des Schlüssels Verwendung findet. Weitere E-Mail-Adressen fügen Sie im Bedarfsfall später in der Schlüsselverwaltung hinzu.