Mehrfach verwendete Einstellungen bei Konnektoren

Einige der folgenden Einstellungen werden in mehreren Konnektoren verwendet:

Sie müssen über das Feld Name jedem Konnektor einen eigenen Namen geben. Der Name muss gegenüber anderen Konnektoren aus dem gleichen Bereich eindeutig sein. Der Name hilft Ihnen dabei, unterschiedliche Konnektoren zu unterscheiden. Sie können Ihn dazu nutzen, die Funktion des Konnektors kurz zu beschreiben.

Je nach Typ des Konnektors kann er entweder auf mehreren Gatewayrollen parallel oder nur auf einer einzelnen Rolle verwendet werden. Wählen Sie hier die Gatewayrollen aus, auf denen Sie den Konnektor betreiben möchten.

Ein Smarthost ist ein dedizierter Server für die Zustellung von E-Mails. Smarthosts stehen zum Beispiel bei Ihrem Internet Provider oder auch im eigenen Firmennetz, falls nur über diesen Server E-Mails versendet werden dürfen.

  • Geben Sie auf der Seite Dedizierter Server den Servernamen (empfohlen) oder die IP-Adresse und den Port des dedizierten Servers ein.
  • Falls der Server eine Authentifizierung erfordert, geben Sie den Benutzernamen und das Passwort ein.

TIPP: Um nach Beendigung der Konfiguration zu überpüfen, ob das Ihnen vorliegende Passwort mit dem konfigurierten Passwort übereinstimmt, klicken Sie Überprüfen.

NoSpamProxy unterstützt als Authentisierungsverfahren die Methode Basic. Bei dieser Methode werden Benutzername und Kennwort unverschlüsselt über das Internet übertragen. Sofern Ihr Provider das unterstützt, sollten Sie die Verbindungssicherheit für die Verbindungen aktivieren.

Die Optionen für die Verbindungssicherheit zu Smarthosts müssen Sie, wie unter Verbindungssicherheit beschrieben, konfigurieren. SMTP-Sendekonnektoren für E-Mails an externe Adressen nutzen die zertifikatsbasierte Identität als Client-Identität.

Verbindungssicherheit eines SMTP-Smarthosts

HINWEIS: Wenn Sie die E-Mails an externe Adressen über einen weiteren Smarthost verschicken und in den Vertrauensstellungen bei einer Domäne die Verschlüsselung erzwingen, wird der Versand an diese Domäne fehlschlagen, sofern der Smarthost für die E-Mails keine Verschlüsselung unterstützt. Sie müssen also dafür sorgen, dass der Smarthost für die E-Mails StartTLS immer unterstützt.

Bei der direkten Zustellung über DNS-Server wird versucht, die E-Mails direkt zu Ihren Ziel-Servern zuzustellen. Legen Sie für diesen Konnektor die notwendige Verbindungssicherheit fest. Zusätzlich können Sie hier eine bestimmte Client-Identität hinterlegen, damit sich NoSpamProxy zu anderen Servern authentifizieren kann.

Die Verbindungssicherheit legt die Verschlüsselung der Transportverbindung fest. Der hier beschriebene Dialog wird bei den unterschiedlichen Konnektoren mehrfach benutzt. Dabei sind in einigen Konnektoren einzelne Konfigurationsoptionen ausgeblendet. Es handelt sich hierbei um die Verschlüsselung auf dem Transportweg. Eine Ende-zu- Ende-Verschlüsselung ist nicht gemeint.

Einstellungen für die Verbindungssicherheit

Im Abschnitt Sicherheitseinstellungen können Sie den Sicherheitsgrad für die Übermittlung von E-Mails an lokale Adressen festlegen. Folgende Einstellungen sind möglich:

Verbindungssicherheit durch StartTLS erlauben (empfohlen) In diesem Modus ist die Verschlüsselung der Verbindungen möglich, aber nicht erzwungen. Dem einliefernden Server ist es freigestellt, die Verbindung via StartTLS zu verschlüsseln. In diesem Modus müssen Sie Empfangskonnektoren ein Zertifikat im Bereich Server-Identität zur Verfügung stellen. Sendekonnektoren können Sie optional ein Zertifikat im Bereich Client-Identität zur Verfügung stellen, um die Identität des sendenden Servers für den empfangenden Server sicher zu stellen.

Verbindungssicherheit durch StartTLS verlangen Wenn Sie sicherstellen möchten, dass alle Verbindungen über den entsprechenden Empfangskonnektor verschlüsselt werden, müssen Sie diese Option auswählen. Nun verlangt NoSpamProxy zwingend eine verschlüsselte Verbindung vom einliefernden Server via StartTLS. Auch in diesem Modus müssen Sie dem Gateway ein Zertifikat im Abschnitt Server-Identität zur Verfügung stellen.

TLS als Verbindungssicherheit nutzen Mit dieser Einstellung erwartet ein SMTP-Konnektor einen Verbindungsaufbau mittels SMTPS. Ein POP3 Konnektor erwartet POP3S. Verwenden Sie diese Einstellung nur dann, wenn es zwingende Gründe dafür gibt. Das StartTLS-Verfahren ist das modernere und mittlerweile gängige Verfahren zur Verbindungsverschlüsselung. Normalerweise wird für SMTPS ein separater Port (üblicherweise 465) verwendet, da die Verbindung automatisch verschlüsselt erwartet wird, ähnlich wie bei HTTPS über den Port 443.

Verbindungssicherheit abschalten Mit dieser Einstellung werden Verbindungen niemals verschlüsselt. NoSpamProxy bietet dann einliefernden Servern keine Verbindungssicherheit an.

WARNUNG: SMTPS auf Port 25 ist nicht RFC-konform. Nutzen Sie stattdessen einen eigenen Empfangskonnektor, den Sie auf den Port 465 legen.

HINWEIS: Das notwendige Verschlüsselungsniveau für Verbindung mit StartTLS oder SMTPS beträgt mindesten 128 Bit. Verbindungen mit einer kleineren Verschlüsselungsstärke werden nicht angenommen. Des Weiteren werden nur TLS-Verbindungen zugelassen. SSL-Verbindungen werden nicht unterstützt, da sie nicht mehr als sicher gelten.

Für die Verschlüsselung der Transportverbindung werden SSL-Zertifikate benötigt. Der empfangende E-Mail- Server benötigt zwingend ein Zertifikat als Server-Identität, um die Verschlüsselung der Verbindung zu ermöglichen. Der sendende E-Mail-Client kann mit einem Zertifikat seine eigene Client-Identität belegen.

Server-Identität Ein SSL-Zertifikat im Empfangskonnektor wird genutzt, um eine Verbindungssicherheit bereitstellen zu können. Mithilfe des Zertifikats als Server-Identität beim empfangenden E-Mail- Server wird die Verschlüsselung durch StartTLS bzw. TLS ermöglicht. Ohne Zertifikat muss die Verschlüsselung für Verbindungen deaktiviert werden.

Client-Identität Ein SSL-Zertifikat in SMTP Sendekonnektoren wird genutzt, um die Identität des sendenden E-Mail-Servers sicher zu stellen. Auch ohne Zertifikat als Client-Identität kann die Verbindungssicherheit durch StartTLS bzw. TLS genutzt werden, da das Zertifikat der Server- Identität des empfangenden Servers für die Verschlüsselung der Transportverbindung ausreicht.

WARNUNG: Beim Hinzufügen eines Zertifikats für die Transportverschlüsselung durch StartTLS benötigt die Gatewayrolle Leserechte auf den privaten Schlüssel. Diese Rechte für die Rolle werden automatisch erteilt. Sie müssen allerdings einmal die Gatewayrolle stoppen und wieder starten, damit diese Änderung wirksam wird und die Gatewayrolle Leserechte auf dem privaten Schlüssel des genutzten Zertifikats erhält. Es erscheint auch ein entsprechender Warnhinweis in der Oberfläche.

Nach der Auswahl des Zertifikats müssen Sie ggf. einen PIN-Code in das Feld Zertifikats-PIN (optional) eingeben, falls der Zertifikatsspeicher die Zertifikate mit einem solchen geschützt hat.

HINWEIS: Bitte kontrollieren Sie die Eingabe Ihrer PIN sehr sorgfältig, da viele der durch einen PINCode geschützten Zertifikate durch dreimalige Falscheingabe unwiderruflich zerstört werden.

Wird für Verbindungen StartTLS oder SMTPS erzwungen, so können Sie im Punkt Notwendige Client-Identität noch einschränken, welche Clients sich verbinden dürfen indem Sie den Zugriff nur erlauben sofern sich die Gegenstelle mit einem passenden Zertifikat authentifiziert.

Erlaube Verbindungen von jedem Server Jeder Server darf sich verbinden.

Verlange ein Zertifikat Das von der Gegenstelle vorzulegende Zertifikat hängt vom hier ausgewählten Zertifikat ab: Bei einem Zwischen- oder Stammzertifikat muss sich die Gegenstelle mit einem Zertifikat ausweisen, das das gewählte Zertifikat in der Zertifikatskette hat. Bei einem Endzertifikat muss sich die Gegenstelle mit exakt diesem Zertifikat ausweisen.

Verlange ein vertrautes Zertifikat Die Zertifikatskette des vorgelegten Zertifikats muss über die Zertifikate des Windows- Zertifikatsspeichers auflösbar sein.

Festlegen der notwendigen Client-Identität

Die Kosten werden genutzt, wenn mehrere Sendekonnektoren für die Zustellung einer E-Mail genutzt werden können. In einem solchen Fall wird der Konnektor mit den geringsten Kosten genutzt. Sollte die E-Mail über diesen Konnektor nicht zugestellt werden können, ist die E-Mail-Zustellung endgültig fehlgeschlagen. In diesem Fall werden keine weiteren Konnektoren mit höheren Kosten genutzt.

Ein Sendekonnektor kann so konfiguriert werden, dass er E-Mails nur für einen Teilbereich des zur Verfügung stehenden DNS-Namensraums zustellt. Sollten mehrere Konnektoren auf eine E-Mail zutreffen, so wird der Konnektor mit den niedrigsten Kosten verwendet.

Standardmäßig wird in einem neuen Konnektor ein Namensraum von * als Absenderdomäne und * als Empfängerdomäne automatisch angelegt. Dadurch ergibt sich bei einem neuen Konnektor keine Einschränkung im DNS Namensraum, da der Platzhalter "*" jedem möglichen Namen entspricht. Falls der von Ihnen angelegte Konnektor nicht alle Domänen verwalten soll, müssen Sie den Standard- Namensraum löschen und durch einen anderen Namensraum ersetzen.

Konnektor-Namensräume

Ein Konnektor-Namensraum besteht aus einem Muster für sowohl die Senderdomäne als auch Zieldomäne. Dieses Muster darf auch Platzhalter (* und ?) enthalten.

Definition eines DNS Namensraums

BEISPIEL:  Um einen Sendekonnektor für externe Adressen zu bauen, der nur E-Mails von der Domäne "example.com" an die Domäne "netatwork.de" versendet, müssen folgende Einstellungen getätigt werden.

Muster Senderdomäne Muster Zieldomäne
example.com netatwork.de