EgoSecure Mail Encryption Quick Setup Guide
Inhalt 1 Einleitung... 2 2 Vorbereitung... 3 2.1 Firewall... 3 3 Inbetriebnahme... 3 3.1 Einschalten und anschließen... 3 3.2 Erstes Login... 3 3.3 Admin-Passwort ändern... 3 3.4 Systemeinstellungen... 3 3.5 Administration... 3 3.5.1 Registrieren des Geräts... 3 3.5.2 Backup Passwort erfassen... 4 3.5.3 Updates durchführen... 4 3.6 Mail System... 4 3.6.1 Managed Domains... 4 3.6.2 Relaying... 4 3.7 Mail Processing... 4 3.7.1 Web Mail Domains... 4 3.7.2 Ruleset Generator... 4 3.8 SSL... 5 3.9.1 Optional: swisssign connector mit silver light Zertifikaten... 5 3.10 Optional: Benutzung von EgoSecure mit nur einer öffentlichen IP Adresse... 6 1 Einleitung Wir gratulieren Ihnen zum Kauf Ihrer EgoSecure Appliance. Dieser Quick Setup Guide soll Ihnen helfen, die Appliance ohne Komplikationen in Betrieb zu nehmen. In diesem Quick Setup Guide werden nur die wichtigsten Einstellungen behandelt. Ein ausführliches Handbuch für weitergehende Informationen finden Sie auf unserer Homepage http://www.egosecure.de
2 Vorbereitung 2.1 Firewall 3 Inbetriebnahme 3.1 Einschalten und anschließen Ihre EgoSecure Appliance muss aus dem Internet auf Port TCP/443 (https) erreichbar sein. Wenn die Appliance als Anti Spam Gateway eingesetzt wird oder wenn kein solcher vorhanden ist, so muss sie außerdem auch per Port TCP/25 (smtp) erreichbar sein. Falls ein bestehender Antispam Gateway vorhanden ist, so sollte dieser weiterhin die Mails entgegennehmen und diese anschließend an die EgoSecure Appliance weiterleiten. Ausgehend sollten keine Einschränkungen vorgenommen werden, sprich die EgoSecure Appliance sollte Verbindungen ins Internet herstellen können. Falls Sie die ausgehenden Ports einschränken wollen, so müssen mindestens folgende Verbindungen erlaubt sein: Port benötigt für Bemerkungen Schalten Sie die EgoSecure Appliance ein und schließen Sie das Netzwerkkabel an. Initial kann Ihre EgoSecure Appliance mit einem Webbrowser unter https://192.168.1.60:8443 erreicht werden. 3.2 Erstes Login Melden Sie Sich mit dem Usernamen admin und dem Passwort admin an der EgoSecure Appliance an. 3.3 Admin-Passwort ändern Klicken Sie nach erfolgreicher Anmeldung auf Login und ändern Sie das Administratorenpasswort. TCP/22 Software Updates, E- MailDomainverschlüsselung, Support Connection, Registration, Lizenzen Zwingend notwendig auf Zieladresse update.egosecure.de TCP/25 Auslieferung von E-Mails Nicht notwendig wenn die EMails an einen weiteren internen Mailserver (Smarthost) zur Auslieferung übergeben werden. TCP/UDP/ 53 DNS 123 Zeitsynchronisation Wenn kein interner DNS Server verfügbar ist. Wenn kein interner Zeitserver verfügbar ist. TCP/80 Virenupdates Nur notwendig, wenn VSPP für die Virenprüfung eingesetzt wird. 3.4 Systemeinstellungen Klicken Sie auf System und erfassen Sie die Netzwerkeinstellungen des Systems. Eintrag IP-Adresses DNS Bemerkungen Die IP Adresse des Systems. Für den normalen Betrieb wird nur eine einzelne IP-Adresse benötigt. Sie können diese Einstellung auf Use built-in DNS Resolver oder alternativ eigene DNSServer erfassen. 6277 24441 7 2703 Antispam Prüfung 2.2 DNS - Eintrag Nur notwendig, wenn Sie VSPP für Antispam einsetzen. Routing Tragen Sie unter Default Gateway die IP- Adresse Ihres Default Gateways ein. Wenn Sie Save wählen, werden die Einstellungen sofort aktiviert. Wenn Sie die IP Adresse des Systems geändert haben müssen Sie sich mit Ihrem Browser neu mit der korrekten IP Adresse verbinden. Damit die Empfänger sichere Webmails lesen können, muss die Appliance auf Port TCP/443 (https) eingehend erreichbar sein. Hierzu ist es notwendig, einen sinnvollen DNS Eintrag (Hostnamen) zu erstellen, z.b. securemail.mycompany.com. Dieser Hostname kann später nicht mehr geändert werden, da sonst bereits versendete E-Mails nicht mehr gelesen werden können. Die dem Hostname zugrundeliegende IP-Adresse darf geändert werden. 3.5 Administration 3.5.1 Registrieren des Geräts Wechseln Sie in die Rubrik Administration und wählen Sie den Button Register this device. Diese Angaben werden benötigt, damit die Lizenz
ausgestellt werden kann und damit Sie bei neuen Softwareversionen informiert werden können. Wenn Sie noch keine Lizenz für Ihr System erworben haben, wird eine temporäre Testlizenz für Ihr Gerät ausgestellt. 3.5.2 Backup Passwort erfassen Wählen Sie unter der Rubrik Backup den Button Change Password und erfassen Sie ein Backup Passwort. Dieses Passwort wird benötigt, damit Sie ein von dieser Appliance erstelltes Backup auf eine neue Maschine einspielen können. Ohne dieses Passwort ist eine Wiederherstellung der Konfiguration nicht mehr möglich! Nachdem Sie das Backup Passwort erfasst haben, können Sie zu einem späteren Zeitpunkt ein Backup herunterladen. In diesem Backup sind abgesehen von den Log-Dateien alle auf dem Gerät gespeicherten Daten wie erfasste Benutzer, Zertifikate etc. enthalten. Später können Sie die Backuperstellung automatisieren, indem Sie unter der Rubrik User erfasste Benutzer der Gruppe Backup Administrator zuordnen. Mitglieder dieser Gruppe erhalten jede Nacht automatisch ein Backup der EgoSecure Appliance. 3.5.3 Updates durchführen Klicken Sie in der Rubrik Administration auf Fetch Update, um die neuste Softwareversion zu installieren. Nach dem Download der neuen Firmware wird die EgoSecure Appliance automatisch neu gestartet. Falls Ihr Gerät mit einer sehr alten Softwareversion ausgeliefert wurde müssen Sie diesen Schritt eventuell mehrmals ausführen. 3.6 Mail System 3.6.1 Managed Domains für eine Firma mit den E-Maildomains meinefirma.com und meinefirma2.com und einem E-Mailserver mit der IP- Adresse 192.168.2.100. Für die so erfassten E-Maildomains werden automatisch Domainzertifikate erstellt und an einen zentralen Server übermittelt. Sobald diese Zertifikate vom Hersteller freigeschaltet werden sind diese unter der Rubrik Domain Keys sichtbar und können von anderen EgoSecure Appliances für die E-Mail- Domainverschlüsselung verwendet werden. 3.6.2 Relaying Tragen Sie hier die IP-Netzwerke bzw. die IP- Adressen der Rechner/Server ein, welche E-Mails über die EgoSecure - Appliance versenden dürfen. Im Normalfall ist dies nur Ihr interner E-Mailserver. In unserem Beispiel würde der Eintrag deshalb folgendermaßen aussehen: 3.7 Mail Processing 3.7.1 Web Mail Domains Damit die Empfänger Ihre sicheren Webmails lesen können, muss hier der DNS Eintrag (Hostname) erfasst werden, unter welchem Ihre EgoSecure - Appliance aus dem Internet erreichbar ist. Klicken Sie auf den Button Edit und passen Sie den Eintrag Webmail Host entsprechend an. Außerdem können Sie hier auch Ihr Firmen-Logo und eine Admin E- Mailadresse erfassen. Letztere wird benötigt, damit der Empfänger sein vergessenes Passwort zurücksetzen kann. Idealerweise tragen Sie hier die E-Mail Adresse Ihres internen Supports ein. An diese Adresse wird eine E-Mail mit Instruktionen verschickt, wenn ein Benutzer das Feld Passwort vergessen anwählt. 3.7.2 Ruleset Generator Klicken Sie in der Rubrik Mail System auf Add Domain und tragen Sie die eigenen E-Maildomains ein. Wenn Sie mehrere E-Maildomains auf dem gleichen E-Mailserver verwalten, können Sie diese mit einem Abstand getrennt eintragen. Beispiel Vor der Inbetriebnahme und nach einem Update sollten Sie den
Button Create Ruleset betätigen. Die Voreinstellungen passen für die meisten Installationen. 3.8 SSL 3.8.1 Erstellen des csr (certificate signing requests) Damit die Empfänger von sicheren Webmails beim Öffnen derselben keine Sicherheitswarnungen angezeigt bekommen sollten Sie ein gültiges SSL Device Zertifikat für die Webmail Schnittstelle der EgoSecure - Appliance erwerben. Wie von anderen Webservern gewohnt geschieht dieser Kauf in zwei Schritten. Zuerst wird ein Key und ein CSR (Certificate Signing Request) generiert, dieser dann von einer Zertifizierungsstelle unterschrieben und anschließend auf dem Gerät importiert. Klicken Sie auf Request new Certificate und füllen Sie mindestens die Felder Name or IP und E-Mail aus. Name or IP muss dem 3.7.1 gewählten Hostname entsprechen. Klicken Sie anschließend auf Create Request. 3.8.2 Import des Zertifikates Klicken Sie anschließend auf Download and Import signed certificate und schicken Sie eine Kopie des Requests an Ihre CA. Von dieser erhalten Sie anschließend das (signierte) Zertifikat: Fügen Sie dieses bei Import Certificate ein und klicken Sie auf Import Certificate 3.9.1 Optional: swisssign connector mit silver light Zertifikaten Nach dem Unterschreiben Ihres SwissSign Vertrages erhalten Sie von der SwissSign ein Passwort und ein PKCS12 Zertifikat. Wählen Sie bei Parameter die Option Silver light certificates. Klicken Sie bei PKCS12 identity file auf durchsuchen und geben Sie den Pfad zum PKCS12 File an. Unter PKCS12 Password müssen Sie das von der SwissSign erhaltene Passwort angeben. Wählen Sie anschließend Save. Anmerkung: Damit bei der Signatur der Zertifikate die gesamte Trust Chain mitgegeben werden kann müssen Sie sicherstellen, dass diese unter Root Certificates importiert wird.
3.10 Optional: Benutzung von EgoSecure mit nur einer öffentlichen IP Adresse Falls Sie nur eine öffentliche IP Adresse besitzen und diese schon von einem https - Service besetzt ist (z.b. für OWA) können Sie trotzdem die Webmail Technologie benutzen. Wechseln Sie auf System Settings und klicken Sie auf Advanced View. Aktivieren Sie im Bereich Webmail Protocol die Option Enable local https proxy und geben Sie im Feld die IP Adresse des Webservers ein, an welchen die Anfragen weitergeleitet werden sollen. Anmerkung: Die Weiterleitung geschieht ausschließlich per http, nicht per https. Auf dem Zielserver muss deshalb das http Protokoll aktiviert sein.