Email Encryption S/MIME für Sophos UTM einrichten…

Die Einrichtung der Email Encryption auf der UTM ist sehr schnell erledigt. Ich beschränke mich in diesem Howto auf die Verwendung von S/MIME Zertifikaten. Ziel ist es, E-Mails von der UTM signieren, verschlüsseln, verifizieren und  entschlüsseln zu lassen.

Vorwort

Beim Einsatz der Email Encryption muss das S/MIME Zertifikat nicht wie üblich von Euch am PC und am Mobiltelfon installiert werden. Außerdem kann bei Verwendung von Archivierungslösungen und Signatursoftware wie z.B. Mailstore oder Code2 auf den Import der Zertifikate verzichtet werden.

Wenn man es ganz genau nimmt, bricht man also die Ende-zu-Ende-Verschlüsselung auf. Die UTM nimmt die Entschlüsselung einer E-Mail vor, bevor sie zum Mailserver zugestellt wird. Genauso ist es mit ausgehenden E-Mails. Diese werden erst auf der UTM verschlüsselt und dann an den Empfänger übertragen.

Einrichtung

Voraussetzung für die Email Encryption ist, dass Euer interner Mailserver E-Mails über die UTM versendet. Wie das eingerichtet wird, findet Ihr in dieser Anleitung: Email Protection für Sophos UTM einrichten.

Zunächst aktiviert Ihr die Email Encryption über den Schieber unter Email Protection -> Email Encryption -> Allgemein.

Nach Eingabe der Zertifizierungsinstanzdaten wird eine CA erstellt. Da hiervon abgeleitete Zertifikate nicht öffentlich vertrauenswürdig sind, rate ich von der Nutzung ab. Ihr könnt Euch Zertifikate besser von einer öffentlichen CA besorgen.

Weiter geht es mit den Standardrichtlinien, die Ihr unter Email Protection -> Email Encryption -> Optionen einstellt.

Ich persönlich lasse eingehende E-Mails nicht von der UTM verifizieren. Das überlasse ich meinem Mailclient. Dann sehe ich anhand der Signatur einer E-Mail, mit wem ich verschlüsselt kommunizieren kann. Wer das nicht möchte, setzt einfach alle Haken.

Bei Automatisches Auslesen der S/MIME-Zertifikate aktivieren sollte der Haken rein, wie beschrieben.

Falls Ihr also Zertifikate von einer öffentlichen CA beantragt und erhalten habt, richtet Ihr die internen Benutzer ein, wie im Schaubild zu sehen.

Bei dem Kennwort handelt es sich um das Exportkennwort der Zertifikatsdatei im Format *.p12.

Nachdem Ihr den Benutzer gespeichert habt, wäre die Konfiguration der Email Encryption schon abgeschlossen.

Da ich persönlich kein PGP benutzen möchte, deaktiviere ich dies im Profil.

Solltet Ihr dann eine verschlüsselte E-Mail erhalten, wird sie von der UTM entschlüsselt und an Euren Mailserver weitergeleitet. Der Betreff der E-Mail wird mit (S/MIME: Encrypted) ergänzt, sodass der Nutzer informiert wird, dass der Absender verschlüsselt gesendet hat.

Falls Ihr feststellen solltet, dass Eure signierten E-Mails beim Empfänger nicht vertrauenswürdig eingestuft werden: Sophos UTM Firmware 9.508-10 S/MIME Problem, Lösung verfügbar.

Fazit

Man merkt sehr deutlich, dass die Email Encryption auf der UTM noch nicht ganz ausgereift ist. Für Unternehmen, die nur sehr wenige Postfächer mit S/MIME Zertifikaten ausstatten, ist die Konfiguration der internen Benutzer noch überschaubar und konfigurierbar.

Ich denke, dass Sophos die Email Encryption mit der UTM 9.7 weiter ausbauen wird. Zumindest ist das in Planung.

Upcoming SG UTM Releases DMARC Domain Certificate Support S/MIME SMIME

Solltet Ihr weitere Fragen haben, hinterlasst einen Kommentar!

6 Gedanken zu „Email Encryption S/MIME für Sophos UTM einrichten…

    1. Thorsten Sult Beitragsautor

      Moin! Bei InstantSSL von Sectigo gibt es noch kostenlose Trial-Zertifiakte für 1 Jahr: InstantSSL. Die werden das Angebot aber vermutlich in einem Jahr einstellen. Wann genau weiß ich nicht, deswegen solltest Du schnell sein.

      Antworten
    1. Thorsten Sult Beitragsautor

      Nee, die Aussage stimmt so leider nicht. Das Angebot für kostenlose S/MIME-Zertifikate für 1 Jahr ist noch aktiv. Ich weiß das, weil ich bei unserem Reseller nachgefragt habe. Sectigo wird das aber lt. Aussage des Mitarbeiters vermutlich in einem Jahr nicht mehr anbieten.

      Wie in dem Artikel von Frankysweb auch beschrieben ist, halte ich es für sehr fragwürdig, dass der Anbieter Acatlis den privaten Schlüssel eines Zertifikates auf seinen Servern speichert. Dann doch lieber 31$ für ein 3-Jahreszertifikat ausgeben…

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.