SEPPmail: Integration mit einem E-Mail Gateway

In der Vergangenheit wurde die SEPPmail häufig zwischen dem Secure E-Mail Gateway (AntiSpam) und dem Mailserver implementiert. Dieser Ansatz hat den Nachteil, dass die Inhalte (Attachements, URLs) von verschlüsselten Nachrichten nicht geprüft werden. In diesem Beitrag betrachten wir deshalb die Integration als Loop.

Beim folgenden Beitrag handelt es sich um einen Designvorschlag. Da die Umsetzung stark vom eingesetzten Secure E-Mail Gateway und Mailserver abhängen, braucht es für die Ableitung einer funktionsfähigen Konfiguration die entsprechenden Produktkenntnisse.

Dieser Beitrag gliedert sich in folgende Abschnitte:

  1. Unterschiede zwischen dem Inline und dem Loop Deployment
  2. Wie werden die Komponenten für einen Loop konfiguriert
  3. Weiterführende Informationen

SEPPmail Integration

Die SEPPmail lässt sich grundsätzlich auf zwei Arten in den Mailflow hängen (für Exchange Online klicke hier).

Inline

Klassischerweise wird die SEPPmail zwischen dem Secure E-Mail Gateway und dem Mailserver platziert.

  • Vorteil: Einfache Integration
  • Nachteil: Der Inhalt von verschlüsselten Nachrichten kann nicht analysiert werden
    Ausnahme: SEPPmail mit Protection Pack
Eingehender Mailflow Inline

Loop

Damit das Secure E-Mail Gateway auch verschlüsselte Nachrichten vollständig prüfen kann, muss die SEPPmail als Loop integriert werden.

  • Vorteil: Der Inhalt von verschlüsselten Nachrichten kann analysiert werden
  • Nachteile: Komplexere Integration und doppelte Belastung vom Secure E-Mail Gateway
Eingehender Mailflow Loop

Konfigurationsanleitung Loop

Die Integration als Loop lässt sich sowohl basierend auf IP-Adressen als auch auf X-Headern realisieren. Welche Variante gewählt wird, ist unter anderem abhängig von den Möglichkeiten auf dem Secure E-Mail Gateway.

Konfiguration des Secure E-Mail Gateways

Nachfolgen sind die Begriffe AntiSpam (AS), AntiVirus (AV) und Secure E-Mail Gateway (SEG) abgekürzt.

Relaying

Die IP-Adresse der SEPPmail und vom Mailserver müssen auf dem SEG für das Relaying der entsprechenden Domains berechtigt sein.

Eingehender Mailflow

Eingehend bedeutet, dass die Empfängerdomain vom SEG verwaltet wird. Je nach verwendetem SEG, muss diese Prüfung als Bedingung in den nachfolgenden Regeln hinzugefügt werden.

Eingehende Regel 1: Unbehandelte Nachrichten
BedingungAktionen
a) Source-IP <> SEPPmail
b) Header X-SM-incoming oder X-SM-internal nicht vorhanden
– AS-Checks basierend auf der SMTP-Session, dem Envelope und den Mail Headern durchführen
– Mail an SEPPmail routen
Eingehende Regel 2: Verarbeitete Nachrichten
BedingungAktionen
a) Source-IP = SEPPmail
b) Header X-SM-incoming = yes oder X-SM-internal = yes
– Optional: AS-Checks basierend auf der SMTP-Session, dem Envelope und den Mail Headern durchführen
– AS- und AV-Checks basierend auf dem Body durchführen
– Mail an internen Mailserver routen

Ausgehender Mailflow

Ausgehend bedeutet, dass die Empfängerdomain nicht vom SEG verwaltet wird. Je nach verwendetem SEG, muss diese Prüfung als Bedingung in den nachfolgenden Regeln hinzugefügt werden.

Ausgehende Regel 1: Unbehandelte Nachrichten
BedingungAktionen
a) Source-IP <> SEPPmail
b) Header X-SM-outgoing oder X-SM-internal nicht vorhanden
– AS- und AV-Checks durchführen
– Mail an SEPPmail routen
Ausgehende Regel 2: Verarbeitete Nachrichten
BedingungAktionen
a) Source-IP = SEPPmail
b) Header X-SM-outgoing = yes oder X-SM-internal = yes
– Optional: AS-Checks basierend auf der SMTP-Session, dem Envelope und den Mail Headern durchführen
– Optional: Weiteres Processing durch den SEG (Header Removal, DKIM signing, etc.)
– Mail an externen Mailserver routen

Konfiguration vom Mailserver

Der Mailserver muss eingehende Nachrichten vom SEG akzeptieren (Empfangskonnektor) und die ausgehenden Nachrichten über das SEG senden (Sendekonnektor).

Konfiguration der SEPPmail

Als Voraussetzung muss das Ruleset auf der SEPPmail mit der Version 11.1 oder neuer generiert werden.

Relaying

Das Secure E-Mail Gateway wird für das Relaying berechtigt (unter Mail System):

Wichtig: Das Secure E-Mail Gateway muss eine OpenRelay Situation verhindern

Mailflow

Sowohl Ein- als auch ausgehende Nachrichten werden an das Secure E-Mail Gateway weitergeleitet (unter Mail System\Managed Domain):

Anstatt per Domain kann diese Option auch global konfiguriert werden (unter Mail System\Outgoing Server)

Die Überprüfung der Empfängeradresse sollte auf dem Secure E-Mail Gateway durchgeführt werden und kann entsprechend auf der SEPPmail deaktiviert werden (unter Mail System):

Anmerkungen

S/MIME Verschlüsselung

Bei der S/MIME Verschlüsselung wird nur der Body einer Nachricht verschlüsselt. Ein Secure E-Mail Gateway kann somit auch bei verschlüsselten Nachrichten die SMTP-Session und den Mail Header analysieren. Der Mail Body kann aber erst nach dem Entschlüsseln geprüft werden.

Aufbau einer E-Mail: Links Envelope, Rechts Mail

S/MIME Signierung

Auch die S/MIME Signierung betrifft nur den Body einer Nachricht. Falls ein Secure E-Mail Gateway diesen verändert (z.B. ein Attachement entfernt), wird die Signatur dadurch ungültigt. Veränderungen am Mail Header (z.B. Subject Tagging) sind jedoch problemlos möglich.

SEPPmail Protection Pack

Um verschlüsselte Nachrichten durch die SEPPmail auf Viren zu prüfen, kann als Alternative zum Loop auch das kostenpflichtige Protection Pack lizenziert werden.

Exchange Online

Um die Schutzfunktionen von Microsoft Exchange Online (aktuell Microsoft 365 Defender, kürzlich noch Office 365 ATP) zu nutzen, muss die SEPPmail ebenfalls als Loop eingebunden werden. Eine Schritt-für-Schritt Anleitung hierfür gibt es im SEPPmail Handbuch (HowTo / FAQ –> Microsoft Office365: Anbinden von Exchange Online mit ATP / EOP).

Eingehender Mailflow Exchange Online

Leave a Reply

Your email address will not be published. Required fields are marked *