Anleitung SPX-Verschlüsselung Sophos UTM einrichten…

Damit die SPX- Verschlüsselung eingerichtet werden kann, ist es wünschenswert ein paar Dinge vorzubereiten. Sofern man das SPX-Registrierungsportal verwendem möchte, wirkt es vertrauenswürdiger, ein öffentlich, signiertes Zertifikat einzusetzen. Mögliche Kunden werden schnell misstrauisch wenn sie eine Zertifikatsfehlermeldung im Webbrowser erhalten.

 

Wie ein solches Zertfikat erstellt wird, habe ich bereits im folgenden Beitrag beschrieben: Anleitung Zertifikat public SSL für Sophos UTM einrichten.

Was den Hostnamen für das SPX-Portal angeht, sieht es für den Kunden professioneller aus, wenn er zum Beispiel auf spx.sult.eu zugreift. Konstellationen wie irgendwas.sult.no-ip/dyndns.org sollten vermieden werden. Wenn man mit dyndns arbeiten muss, kann man einen Alias erstellen, der auf den dyndns-Eintrag zeigt.

Ich gehe davon aus, dass bekannt ist, wie die SPX- Verschlüsselung grundsätzlich funktioniert! Unter Email Protection -> SPX-Verschlüsselung muss SPX aktiviert werden. Anschließend kann man die Portaleinstellungen anpassen.

Bei Hostname trägt man die öffentliche URL ein, unter der das Portal für die Kunden erreichbar sein soll. Der Port ist mit 10444 vorbelegt.

Der nächste Schritt ist die Erstellung einer SPX-Vorlage unter dem Reiter SPX-Vorlagen.

Die Konfiguration der SPX-Vorlage ist ziemlich trivial. Die Texte kann man natürlich übersetzen. Hier die übersetzten Kennworteinstellungen und Anweisungen für Empänger.

Danach navigiert man zu Email Protection -> SMTP. Dort wird die Vorlage bei Globale SPX-Vorlage zugewiesen.

Damit die SPX-Verschlüsselung funktioniert, muss die UTM als Relay für ausgehende Emails eingerichtet werden. Unter Email Protection -> SMTP -> Relaying kann man z.B. ein hostbasiertes Relay einstellen. Dort trägt man den internen Mailserver ein.

Anschließend muss man den Sendeconntector auf dem internen Mailserver anpassen. Dieser zeigt nun auf die interne Adresse der UTM.

Damit ist die Grundkonfiguration abgeschlossen. Bei den Cients kann man nun das SPX-Plugin installieren. Es kann für Outlook direkt von der UTM unter Email Protection -> SPX-Verschlüsselung -> Sophos Outlook Add-in heruntergeladen werden.

13 Gedanken zu „Anleitung SPX-Verschlüsselung Sophos UTM einrichten…

    1. Thorsten Sult Beitragsautor

      Moin,

      Du könntest unter Web Protection -> Filteroptionen -> Sonstiges den Webfilter-Port ändern. Aber Vorsicht! Falls Du den Contentfilter im Standardmodus laufen lässt, musst Du die Änderung auch bei den Clients durchführen. Falls Du keine Lizenz für den Webfilter hast, besorg Dir eine Testlizenz. Vielleicht kann man den Webfilter-Port auch über die CLI ändern, das weiß ich aber nicht.

      Antworten
    1. Thorsten Sult Beitragsautor

      Hier noch eine kleine Hilfestellung aus der Community, wenn das SPX-Portal über 443 erreichbar sein soll:

      Bitte folgendes konfigurieren:

      Email Protection / SPX-Portaleinstellungen

      Hostnamen: z.B. portal.domain.de
      Lauschadresse: z.B. WAN VDSL2 (Address). Achtung, die Webserver lauschen auf WAN VDSL1 (Address), also eine andere Schnittstelle.

      Port: 443

      Schnittstellen & Routing / Uplink-Überwachung

      WAN VDSL1
      WAN VDSL2

      Aktivieren und beide Schnittstellen als IPv4-Standard-GW aktivieren. Der öffentliche DNS-Server hat den entsprechenden A-Eintrag für portal.domain.de.

      Danach wird der Link https://portal.domain.de:443/register/1234xyz in den e-Mails ausgegeben. Auch das Sichere Antworten funktioniert super.

      Der Port 433 ist der offizielle Port für https und Unternehmen, wie z.B. DATEV, Energieversorger, Behörden, etc., lassen keine anderen Ports zu.

      Kleiner Nachteil: Wer ebenfalls Webserver betreibt, benötigt zwei öffentliche IP-Adressen.

      Beste Grüße und viel Erfolg!

      Antworten
    1. Thorsten Sult Beitragsautor

      Hier ein Auszug aus der Hilfe:

      Von Absender festgelegt: Wählen Sie diese Option, wenn der Absender der E-Mail das Kennwort selbst generieren soll. In diesem Fall muss der Absender das Kennwort in das Feld Betreff eingeben und dazu das folgende Format verwenden: [secure:“Kennwort“]“Text der Betreffzeile“, wobei „Kennwort“ das Kennwort zum Öffnen der verschlüsselten PDF-Datei ist und „Text der Betreffzeile“ der gewünschte Betreff ist. Selbstverständlich wird das Kennwort von der UTM entfernt, bevor die E-Mail an den Empfänger gesendet wird.

      Antworten
  1. Koch

    Hallo Herr Sult, ich habe das Problem, dass bei Anhängen an eine E-Mail (spx) beim Öffnen die Anhänge nicht sichtbar sind. Man muss erst die Mail abspeichern und dann mit adobe öffnen. Kennen Sie hierfür eine Lösung ? Danke für einen Tipp

    Antworten
    1. Thorsten Sult Beitragsautor

      Moin,

      zum Öffnen des PDF-Containers ist der Adobe Reader Voraussetzung. Ich vermute, dass der PDF-Container mit dem Edge-Browser geöffnet wurde? Dort werden dann in der Tat Anhänge nicht angezeigt. Man kann den Adobe Reader als Standardanwendung für PDF-Dokumente im OS registrieren. Weitere Informationen findet man bei Adobe Help.

      Antworten
  2. Fritz Kröger

    Hallo,
    ich habe ein Problem mit den intern von der UTM versendeten Emails mit den Passworten bei den Optionen ‚generated und stored for recipient‘ und ‚generated one-time….‘. Ich sehe im SMTP Log, das entsprechende Email erzeugt werden, es kommt aber keine bei mir an. Der Empfäger erhält eine verschlüsselte Email. Das gleiche Problem tritt auf, wenn bei der Verschlüsselung Fehler auftreten. Auch die dann erzeugte Email kommt nicht bei mir an.
    Haben Sie vielleicht einen Tipp für mich?
    Danke.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.