Damit die SPX- Verschlüsselung eingerichtet werden kann, ist es wünschenswert ein paar Dinge vorzubereiten. Sofern man das SPX-Registrierungsportal verwendem möchte, wirkt es vertrauenswürdiger, ein öffentlich, signiertes Zertifikat einzusetzen.
Mögliche Kunden werden schnell misstrauisch wenn sie eine Zertifikatsfehlermeldung im Webbrowser erhalten.
Wie ein solches Zertfikat erstellt wird, habe ich bereits im folgenden Beitrag beschrieben: Zertifikat public SSL für Sophos UTM einrichten. Alternativ nutzt Ihr Lets Encrypt, was Euch ab UTM 9.600-5 zur Verfügung steht.
Vorbereitung
Was den Hostnamen für das SPX-Portal angeht, sieht es für den Kunden professioneller aus, wenn er zum Beispiel auf spx.sult.eu zugreift. Konstellationen wie irgendwas.sult.no-ip/dyndns.org sollten vermieden werden. Wenn man mit dyndns arbeiten muss, kann man einen Alias erstellen, der auf den dyndns-Eintrag zeigt.
Damit die SPX-Verschlüsselung funktioniert, muss die UTM als Relay für ausgehende Emails eingerichtet werden. Eine genaue Anleitung dazu findet Ihr hier: Email Protection für Sophos UTM einrichten.
Aktivierung SPX Verschlüsselung
Unter Email Protection -> SPX-Verschlüsselung muss SPX aktiviert werden. Anschließend kann man die Portaleinstellungen anpassen.
Bei Hostname trägt man die öffentliche URL ein, unter der das Portal für die Kunden erreichbar sein soll. Der Port ist mit 10444 vorbelegt.
Der nächste Schritt ist die Erstellung einer SPX-Vorlage unter dem Reiter SPX-Vorlagen.
Die Konfiguration der SPX-Vorlage ist ziemlich trivial. Die Texte kann man natürlich übersetzen. Hier die übersetzten Kennworteinstellungen und Anweisungen für Empänger.
Danach navigiert man zu Email Protection -> SMTP. Dort wird die Vorlage bei Globale SPX-Vorlage zugewiesen.
Damit ist die Grundkonfiguration abgeschlossen. Bei den Cients kann man nun das SPX-Plugin installieren. Für Outlook z.B. direkt von der UTM unter Email Protection -> SPX-Verschlüsselung -> Sophos Outlook Add-in. Die aktuelleste Version findet Ihr ansonsten hier: Sophos Outlook Addin.
Bei mir gibt es Probleme, wenn ich Port 8080 einstellen will. Das wird schon vom Proxy benutzt.
Moin,
Du könntest unter Web Protection -> Filteroptionen -> Sonstiges den Webfilter-Port ändern. Aber Vorsicht! Falls Du den Contentfilter im Standardmodus laufen lässt, musst Du die Änderung auch bei den Clients durchführen. Falls Du keine Lizenz für den Webfilter hast, besorg Dir eine Testlizenz. Vielleicht kann man den Webfilter-Port auch über die CLI ändern, das weiß ich aber nicht.
Ja, das hat funktioniert! Danke!
Sehr gerne.
Hier noch eine kleine Hilfestellung aus der Community, wenn das SPX-Portal über 443 erreichbar sein soll:
Bitte folgendes konfigurieren:
Email Protection / SPX-Portaleinstellungen
Hostnamen: z.B. portal.domain.de
Lauschadresse: z.B. WAN VDSL2 (Address). Achtung, die Webserver lauschen auf WAN VDSL1 (Address), also eine andere Schnittstelle.
Port: 443
Schnittstellen & Routing / Uplink-Überwachung
WAN VDSL1
WAN VDSL2
Aktivieren und beide Schnittstellen als IPv4-Standard-GW aktivieren. Der öffentliche DNS-Server hat den entsprechenden A-Eintrag für portal.domain.de.
Danach wird der Link https://portal.domain.de:443/register/1234xyz in den e-Mails ausgegeben. Auch das Sichere Antworten funktioniert super.
Der Port 433 ist der offizielle Port für https und Unternehmen, wie z.B. DATEV, Energieversorger, Behörden, etc., lassen keine anderen Ports zu.
Kleiner Nachteil: Wer ebenfalls Webserver betreibt, benötigt zwei öffentliche IP-Adressen.
Beste Grüße und viel Erfolg!
Ich möchte, das der Asbender das Kennwort festlegt. Wie muss ich dann vorgehen?
Hier ein Auszug aus der Hilfe:
Hallo Herr Sult, ich habe das Problem, dass bei Anhängen an eine E-Mail (spx) beim Öffnen die Anhänge nicht sichtbar sind. Man muss erst die Mail abspeichern und dann mit adobe öffnen. Kennen Sie hierfür eine Lösung ? Danke für einen Tipp
Moin,
zum Öffnen des PDF-Containers ist der Adobe Reader Voraussetzung. Ich vermute, dass der PDF-Container mit dem Edge-Browser geöffnet wurde? Dort werden dann in der Tat Anhänge nicht angezeigt. Man kann den Adobe Reader als Standardanwendung für PDF-Dokumente im OS registrieren. Weitere Informationen findet man bei Adobe Help.
Hallo,
ich habe ein Problem mit den intern von der UTM versendeten Emails mit den Passworten bei den Optionen ‚generated und stored for recipient‘ und ‚generated one-time….‘. Ich sehe im SMTP Log, das entsprechende Email erzeugt werden, es kommt aber keine bei mir an. Der Empfäger erhält eine verschlüsselte Email. Das gleiche Problem tritt auf, wenn bei der Verschlüsselung Fehler auftreten. Auch die dann erzeugte Email kommt nicht bei mir an.
Haben Sie vielleicht einen Tipp für mich?
Danke.
Moin,
ich würde mir noch die Routingprotokolle/Nachrichtenverfolgung am Mailserver anschauen. Ansonsten bitte die Frage in der Sophos Community stellen.
Danke für die Anleitung.
Gerne!
Hallo,
ich teste für uns gerade die Funktionalität. Am liebsten würde ich die Option wählen, dass PWs generiert werden (OTP). Ich habe aber keine Möglichkeit gefunden die Länge oder Komplexität der genereirten PWs anzupassen. Die standardmäßigen 8 Zeichen sind mir echt zu wenig.
Snd da Möglichkeiten bekannt, dass das geht? Ich habe leider nichts gefunden…
Gruß
Ralf
Moin Ralf,
vielen Dank für Deinen Kommentar. Mit OTP habe ich selbst noch nicht gearbeitet. Man kann unter Email Protection -> SPX-Verschlüsselung -> SPX-Konfiguration unter SPX-Kennworteinstellungen die Mindestlänge der Kennwörter ändern und Sonderzeichen erfordern. Vielleicht hilft Dir das weiter?!
Guten Tag!
Ich möchte die Option wählen, dass PWs generiert werden (OTP). Leider ist der dann angezeigte Dialog den der Nutzer sieht während er das PW erstmals eingeben und wiederholen soll komplett in ENGLIISCH. Eine Vielzahl meiner E-Mail–Empfänger wird dies irritieren.
Wissen Sie/Weiss jemand wo diese Texte hinterlegt sind und ob sich diese ändern lassen?
Moin,
die Frage wurde auch schon in der Community gestellt. Soweit ich weiß, ist es nicht möglich, die SPX-Registrierungseite auf Deutsch umzustellen.
Moin Thorsten, vielen Dank für das Tutorial!
Dazu habe ich eine Frage: wenn ich bei O365 meine Domäne mit E-Mail Postfächern verwalte und on premise eine SOPHOS UTM habe mit der ich SPX verschlüsseln möchte, wäre es dann ein gangbarer Weg die Mails von O365 an die UTM und dann wieder über O365 als Smarthost zu versenden? Letztlich möchte ich den Cloud-Vorteil (eingehende E-Mails auch bei Ausfall der DSL-Leitung) nicht aufgeben. Ausgehend wäre das dann halt nicht so…
Also Outlook > O365 > Connector zur SOPHOS UTM > SPX Verschlüsselung > Smarthost zu O365
Was meinst Du? Oder übersehe ich da gerade etwas?
VG, Carsten
Moin Carsten,
vielen Dank für Deinen Kommentar. Ich kann Dir nur folgende Lösung anbieten: Sophos UTM Email Protection und Office 365, zumindest den Teil für das Versenden von Exchange Online. Outlook > O365 > Connector zur SOPHOS UTM > SPX Verschlüsselung > Smarthost zu O365 würde leider zu einer Routingschleife führen. Damit die UTM E-Mails versenden kann, benötigst Du natürlich einen Reverse DNS Eintrag auf Deine fixe, öffentliche Adresse und Du müsstest Deinen SPF-Record anpassen.