Anleitung SPX-Verschlüsselung Sophos UTM einrichten…

Damit die Einrichtung der SPX-Verschlüsselung eingerichtet werden kann, ist es nötig, ein paar Dinge vorzubereiten. Zunächst einmal gehört zur Einrichtung ein sauberer Hostname für das SPX-Portal und auf jeden Fall ein öffentliches Zertifikat hierfür.

Wie ein solches Zertfikat erstellt wird, habe ich im folgenden Beitrag beschrieben: Anleitung Zertifikat public SSL für Sophos UTM einrichten.

Was den Hostnamen für das SPX-Portal angeht, sieht es für den Kunden immer besser aus, wenn er zum Beispiel auf https://spx.sult.eu zugreift, anstatt auf https://spx.sult.dyndns.org oder ähnliche Konstellationen. Man sollte also über eine eigene Internetdomäne verfügen. Wenn man mit dyndns arbeiten muss, kann man zumindest einen Alias erstellen, der auf den dyndns-Eintrag zeigt.

Soviel dazu, kommen wir zur eigentlichen Einrichtung auf der UTM. Unter Email Protection -> SPX-Verschlüsselung muss als erstes SPX aktiviert werden. Anschließend wird die Portaleinstellung vorgenommen.

Hier kommt als Hostname die öffentliche URL rein, unter der das Portal für die Kunden erreichbar sein soll. Lausch-Adresse ist hier etwas merkwürdig übersetzt, als Standard lassen wir any eingetragen. Der Port ist mit 10444 vorbelegt, also wäre der Zugriff auf das Portal durch die Kunden https://spx.sult.eu:10444.

Das kann manchmal zu Problemen führen, wenn beim Kunden der Port blockiert wird. Ihr könnt prüfen, ob 81, 8080 oder 8443 alternativ verwendet werden können.

Jetzt wird eine SPX-Vorlage unter dem Reiter SPX-Vorlagen erstellt.

Wie das Portal letztendlich aussehen soll, kann hier einstellt werden. Die Texte sollten in jedem Fall übersetzt werden, sodass die Kunden auch wissen, was zu tun ist.

Update: Hier die übersetzten Kennworteinstellungen und Anweisungen für Empänger.

Das Kennwort lasse ich eigentlich immer vom Empfänger festlegen. Die Vorlage wird anschließend unter Email Protection -> SMTP zugewiesen, sofern der einfache Modus verwendet wird.

Damit ist die Konfiguaration allerdings noch nicht abgeschlossen. Damit die SPX-Verschlüsselung funktioniert, muss die UTM als Relay für ausgehende Emails eingerichtet werden. Unter Email Protection -> SMTP -> Relaying könnt Ihr entweder ein hostbasiertes- oder ein authentifiziertes Relay einstellen. Im unteren Schaubild ist ein hostbasiertes Relay eingetragen. Der interne Mailserver soll hier zum Beispiel ein Exchange sein.

Sofern die Spamprotection an ist, werden ausgehende Emails per default auch geprüft. Entweder man schaltet dies unter Email Protection -> SMTP -> Relaying -> Inhaltsscan für (ausgehende) Relay-Nachrichten aus oder man definiert Regeln.

Ganz wichtig ist, dass der Sendeconntector auf dem Mailserver angepasst werden muss. Dieser zeigt nun auf die UTM, falls Ihr das nicht ohnehin schon konfiguriert habt.

Falls ein Smardhost verwendet werden soll, wird dieser auf der UTM unter Email Protection -> SMTP -> Erweitert -> Smarthost-Einstellungen eingetragen.

Nun kann das Sophos Outlook Add-in (SOA) bei den Usern installiert werden. Das Plugin für Outlook kann direkt von der UTM unter Email Protection -> SPX-Verschlüsselung -> Sophos Outlook Add-in heruntergeladen werden.

Im Livelog sollte nun folgendes stehen, wenn eine SPX-Email versendet wird:

sophos smtpd[15512]: SCANNER[15512]: id="1000" severity="info" sys="SecureMail"
sub="smtp" name="email passed" srcip="xxx" from="xxx" to="xxx" subject="Test"
queueid="1dxpmL-00042C-RR" size="17814" reason="spx" extra=""
About Thorsten Sult

Ich bin verheiratet, habe 2 Kinder und arbeite in einem Systemhaus als Systemadministrator. Angefangen bin ich mit der Konfiguration von Coreswitchen, Netzwerk Monitoring (Nagios) und redundanten Netzwerken.
Aktuell sind meine Schwerpunkte Migrationen von vorhandenen Kundensystemen auf aktuelle Techniken und die Implementierung von Sicherheitskomponenten wie z.B. Sophos UTM.

4 Comments

    1. Moin,

      Du könntest unter Web Protection -> Filteroptionen -> Sonstiges den Webfilter-Port ändern. Aber Vorsicht! Falls Du den Contentfilter im Standardmodus laufen lässt, musst Du die Änderung auch bei den Clients durchführen. Falls Du keine Lizenz für den Webfilter hast, besorg Dir eine Testlizenz. Vielleicht kann man den Webfilter-Port auch über die CLI ändern, das weiß ich aber nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.