Securepoint UTM: Über Mail-Relay E-Mails versenden.

Druckversion

In einem vorhergehenden Beitrag vom 01.09.2017 habe ich beschrieben, wie man den JanaServer2 mit dem Mail-Connector verbindet, um mit einem internen Mail-Server die E-Mails an die Clients zu verteilen.
Dabei wurden die ausgehenden E-Mails über den JanaServer2 mittels einer Smarthost-Konfiguration über ein gemeinsames Ausgangskonto versendet.

Zitat Securepoint UTM - Mail-Relay How To:

Um wirklich sicherzugehen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mail-Relay auch für ausgehende Mails verwendet werden.

Die UTM bietet eine Mail-Relay-Funktion, welche von dem Mail-Connector teilweise mitbenutzt wird.

Um die Schutzfunktionen der UTM beim Versand der E-Mails zu nutzen, kann man den JanaServer2 per SMTP-Einstellung auf das Mail-Relay einstellen.

E-Mail-Client ===> JanaServer2 ===> UTM (Mail-Relay) ===> Internet ===> E-Mail-Empfänger

Der E-Mail-Client bleibt dabei unverändert. Er schickt seine E-Mails weiterhin an sein Benutzerkonto des JanaServer2.

Einrichtung

Mail-Relay (UTM)

Anwendungen => Mail-Relay

=> Register SMARTHOST

In dieser Anwendung aktivieren wir bei Smarthost den zugehörigen Schalter.

Smarthost:  hier den SMTP-Server des Internetproviders eintragen (z.B.: smtp.meinprovider.de)

Port: für TLS 587 oder SSL 467  (hier muss man probieren und über das UTM-Log herausfinden was funktioniert)

Authentifizierung aktivieren: EIN

Benutzer: E-Mail-Benutzer für den SMART-Host-Account beim Provider. Dies ist das SMTP-Konto, über das alle ausgehenden E-Mails geschickt werden.

(beim JanaServer2 ist diese Verbindung unter SMTP-Server eingetragen)

Passwort: Zugangspasswort für dieses Konto

=> Register RELAYING

Hier wird der Weg des internen Mail-Servers nach draußen definiert. (Einen Weg vom Internet nach innen wird nicht benötigt, der Mail-Connector holt die E-Mails ab und das Mail-Relay braucht nicht im Internet sichtbar zu sein).

Wir fügen also einen Host hinzu. Wenn der Mail-Server die IP 10.1.0.22 hat muss man diese Nummer für die ausgehende Post vermitteln:

Option:  kein Eintrag, es wird keine Information des Mail-Headers ausgewertet!

Host: interne IP des Mail-Servers (im Beispiel 10.1.0.22)

Aktion: RELAY

zusätzlich im unteren Teil

TLS Verschlüsselung auf EIN         CA: default        Zertifikat: default

UTM Port-Filter

Damit der Mail-Server (IP 10.1.0.22) sich mit dem Mail-Relay verbinden kann, benötigt man eine Regel für das Netzwerk-Objekt "mail-server-jana" (=10.1.0.22) und das interne Interface.
(wenn man das Netzobjekt noch nicht hat, muss man es noch anlegen)

Neues Objekt: mail-server-jana | Zone: internal | Adresse: 10.1.0.22/32
Neue Regel (Port 25):  mail-server-jana ==> internal-interface ==> smtp

Wenn die UTM auf dem LAN2 (eth1) mit der IP 10.1.0.11 konfiguriert ist, dann ist aus der Sicht des internen Mail-Servers (JanaServer2) die UTM jetzt ein SMTP-Ziel mit 10.1.0.11 Port 25.
(so wie der JanaServer2 auch ein SMTP-Ziel ist mit 10.1.0.22 Port 25)

JanaServer2, E-Mail, SMTP Ausgänge

Jetzt muss noch der SMTP-Ausgang des JanaServer2, auf den alle Benutzer des JanaServer2 eingestellt sind, auf das Mail-Relay der UTM eingestellt werden.

JanaServer2 => Administration => E-Mail => erweitert => SMTP-Eintrag (mit dem account für den "smarthost" wenn vorhanden oder neuen Eintrag hinzufügen)

Menüpunkt der  Jana-Administration: Überschrift ISP Smtp-Server anlegen/ändern

Sichere Verbindung (SSL/TSL) für den Postausgang verwenden:    keine

Name des Smtp-Servers:        IP der UTM des LAN2 (internal Interface) (im Beispiel=  10.1.0.11)

Authentifikation:  keine

Jetzt werden die ausgehenden E-Mails des JanaServer2 über das UTM-Mail-Relay an den Internet-Provider versendet und mit den Möglichkeiten der UTM geprüft.

Hinweise zum JanaServer2:

Die ausgehenden E-Mails werden im Programmverzeichnis ../Jana2/mail/ zwischengespeichert, und nach dem Versenden gelöscht.

Man kann das Versenden der E-Mails durch den JanaServer2 starten wenn man das Programm admin.exe gestartet hat. Dieses erzeugt ein Icon in im Info-Bereich unten rechts. Mit der rechten Maustaste können verschiedene Funktionen abgerufen werden. Eine davon ist "E-Mails sofort abholen". Der JanaServer2 holt zwar keine E-Mails ab, aber mit dem Start der Funktion werden auch die zwischengespeicherten Ausgangs-Mails verarbeitet.

Securepoint UTM Mail-Connector und JanaServer2

Druckversion

E-Mails mit Mail-Connector abholen und über JanaServer2 verteilen

Durch den Einsatz der SSL-und TSL-Verschlüsselung beim Transport der E-Mails lassen sich diese nicht mehr mit dem POP3-Proxy auf Viren überprüfen und die Funktionen des Mail-Filters sind eingeschränkt. Setzt man den Mail-Connector zum Abholen der E-Mails ein, kann man die diese Funktionalitäten der UTM wieder nutzen.
Vorrausetzung für die Nutzung des Mail-Connectors ist jedoch die Weitergabe der heruntergeladenen E-Mails an einen internen Mail-Server, der die Verteilung an die E-Mail-Clients übernimmt. Durch den Einsatz des Jana-Servers unter Windows kann man den Mail-Connector mit einem internen SMTP-Server verbinden.

Der Jana-Server wird von Thomas Hauck programmiert und ist auf der WEB-Seite janaserver.de zu finden. Es gibt die aktuelle Version 2.7.0.292 in einer 32- und 64-bit Ausgabe für Windows, die auch unter Windows 8.1 und Windows 10 läuft. (Beim Gebrauch der Software sind die Lizenzbedingungen auf der WEB-Seite zu beachten)

Einrichtungsübersicht

Provider

Beim Provider sind einzelne E-Mail-Konten eingerichtet, die unabhängig voneinander abgerufen werden.
(Auf die Verwendung von Sammel-Accounts in Verbindung mit Multidrop wird in diesem Post nicht eingegangen)

Mail-Connector

Für jedes E-Mail -Konto beim Provider wird ein Eintrag zum Abruf der E-Mails eingerichtet.
Diese werden an den internen SMTP-Server weitergeleitet.

Interner Mail-Server

Der JanaServer2 ist nach der Installation über Port 25 und der IP-Nummer des Gerätes, auf dem der der Server läuft als interner SMTP-Server erreichbar.
Für jeden Empfänger der E-Mails wird ein E-Mail-Benutzer innerhalb der Jana-Server-Verwaltung angelegt. Über die E-Mail -Adresse des Benutzers stellt der interne SMTP-Server die E-Mail zu und speichert diese zunächst auf dem Host des Jana-Servers.

E-Mail-Client

In dem Client-Email-Programm wird der Zugang zu den E-Mails über den Benutzer des Jana-Servers hergestellt und die E-Mails vom internen Mail-Server abgeholt.

E-Mail-Versand

Da der Mail-Connector kein Mail-Relay ist, muss der Versand der E-Mails über den Jana-Server erfolgen. Dazu wird im Jana-Server ein SMTP-Zugang zum Provider angelegt, der als Smart-Host verwendet wird. Damit werden alle ausgehende E-Mails über denselben SMTP-Kanal eines E-Mail-Accounts beim Provider versendet. Der Empfänger sieht aber immer die ursprüngliche Absender-E-Mail-Adresse, so dass dieser den Absender richtig identifizieren kann. Die Verschlüsselung der E-Mails übernimmt der Jana-Server.

Durchführung

JanaServer2

Von dem Funktionsumfang des JanaServer2 werden nur folgende Funktionen benötigt:
- interner SMTP-Server über Port 25
- E-Mail-Server
- SSL-E-Mail-Server
- Administration

Der JanaServer2 kann auf einem "Kommunikations-Server" oder auf einem bestehenden Windowsserver installiert werden. Als Kommunikations-Server ist ein eigenständiger PC mit WIN10, WIN8.1 oder WIN7 gemeint, der wie ein Server ständig zur Verfügung steht.

Der JanaServer2 wird im Beispiel unter der IP 10.1.0.22 betrieben.

Nach der Ausführung von JanaSetup64.exe (bzw. JanaSetup.exe) wird ein Dienst mit dem Namen Jana Server2 erzeugt und gestartet. Zusätzlich wird das Programm JanaAdmin.exe installiert. Der Start dieses Programms ist nicht notwendig um den JanaServer2 zu aktivieren. Es erzeugt ein Symbol im Infobereich. Damit kann der Server konfiguriert oder der Dienst gestoppt und gestartet werden.
Die Verwaltung des Servers ist auch mit dem Link //10.1.0.22:2506/jana-admin/index.shtml im Browser möglich.
Eine detaillierte, vollständige Anleitung für die Konfiguration kann man aus der Information der WEB-Seite des JanaServer2 entnehmen.

Konfigurationsangaben für den JanaServer2:

Grundeinstellungen

Grundeinstellungen => IP-Adressen :: Festlegen der IP-Adressen - 127.0.0.1,10.1.0.22
Grundeinstellungen => IP-Adressen :: Funktionszuordnung Netzwerkkarte
nur Haken auf Zeile E-Mail-Server und SSL-E-Mail-Server in der Spalte mit der Server-IP 10.1.0.22

Alle anderen Servertypen werden nicht benötigt.
(die gesetzten Haken bewirken die Aktivierung der jeweiligen Funktion der Anwendung)

Soll eine Verwaltung des JanaServer2 innerhalb des lokalen Netzes möglich sein muss man noch einen Haken auf der Zeile Administration in der Spalte 10.1.0.22 setzen.

Grundeinstellungen => Ports

Hier werden alle Ports der JanaServer2-Funktionsteile festgelegt und mit denen Jana mit den anderen Programmen kommuniziert. Notwendige Abweichungen kann man hier eintragen.

Weitere Grundeinstellungen werden nicht benötigt.

Servertypen

Hier wird nichts angepasst oder verändert. (Diese Funktionen von Jana werden nicht benötigt)

E-Mail ( + erweitert)

E-Mail => Allgemein ::

Standards zunächst so übernehmen.
E-Mail-Adresse des Administrators: hier verweist man auf eine Adresse, an die Meldungen des JanaServers verschickt werden.(siehe Benutzer)

E-Mail versenden: Haken bei sofort versenden.
zusätzlich eine Intervallzeit (10 min) hinterlegen.

Alle Einstellungen für das Abholen von E-Mails werden deaktiviert (Eingabe von 0 oder keinen Haken). Der JanaServer2 holt keine E-Mails ab, er bekommt sie per SMTP vom Mail-Connector der UTM zugestellt.

E-Mail => Allgemein :: SMTP-Server-Parameter :
keinen Haken Lokaler SMTP-Server erfordert Authentifizierung
Das heißt: Zugriff auf den lokalen SMTP-Server ohne Authentifizierung, der Mail-Connector hat keine Benutzernanmeldung mit Passwort für die Verbindung zum lokalen SMTP-Server.

E-Mail => Pop3:-Server :: Hier werden keine Eintragungen benötigt, der JanaServer2 holt keine E-Mails ab.

E-Mail => SMTP-Server :: Hier werden die Verbindungen für das Versenden der ausgehenden E-Mails über den Provider verwaltet.
Wir wollen aber alle E-Mails über ein Konto (den "Smart-Host") versenden, um die Einrichtung der Benutzer zu vereinfachen. Die notwendigen Angaben sind aber vom Provider abhängig und müssen entsprechend ausprobiert werden. Dieser eine SMTP-Account (heißt hier Server) wird dann allen Benutzern zugeordnet.

E-Mail => Benutzer ::

Das Benutzerkonto des JanaServer2 ist die eigentliche Verbindung von

Mail-Connector ==> Mail-Server <==> Mail-Client.

E-Mail-Adresse: - hier die E-Mail-Adresse des Benutzers (Clients) beim Provider (ISP) eintragen
Benutzerkennung für den lokalen Pop3/Imap-Server: - der Name des Benutzers (eine Zeichenfolge)
Passwort für den lokalen Pop3/Imap-Server: - eine Zeichenfolge, das Passwort wird nur innerhalb des lokalen Netzwerks benötigt.

E-Mails an diese Adresse aus dem lokalen Netz nicht über ISP (=Internet Service Provider) zustellen.
Haken Ja

E-Mails an E-Mail-Adressen von Benutzern des JanaServer2 werden direkt im lokalen Netz verwaltet und versendet.

SMTP-Server: hier die oben angelegte smtp-Verbindung (Smart-Host) zuordnen (gleich für alle Benutzer).

Damit sind die Eintragungen für den JanaServer2 als Mail-Server abgeschlossen.
Der JanaServer2 muss nach diesen Eintragungen neu gestartet werden.

Arbeitsplatz - E-Mail-Client

Beispiel : Die Eintragungen für einen Outlook-Client mit Pop3:

Name des Benutzers : Vollständiger Name oder Bezeichnung (Beschreibung des Kontos)
E-Mail-Adresse: E-Mail-Adresse des Benutzers (Clients) beim Provider
Logon Information (für den JanaServer2)
Benutzername: Der bei E-Mail => Benutzer im JanaServer2 verwendete Name
Passwort: Das bei E-Mail => Benutzer im JanaServer2 verwendete Passwort
Pop3-Server: IP des JanaServer2 10.1.0.22
SMTP-Server: IP des JanaServer2 10.1.0.22

Erweitert: Der SMTP-Server erfordert Authentifizierung
Benutze die gleichen Einstellungen wie für den Eingangsserver
Portnummern pop3 110
smtp 25
der lokale Zugang zu pop3 und smtp ist ohne SSL oder TSL

UTM: Port-Filter

Wenn die einzelnen Arbeitsplätze keine E-Mails direkt vom pop3-Konto des ISP abholen oder an dem Mail-Server vorbei versenden sollen, dann muss man die Regeln, die das interne Netz oder die Arbeitsplätze mit dem Internet und den Diensten pop3, pop3ssl, smtp, smtpssl deaktivieren.
Der JanaServer2 muß aber per Smart-Host das Interner erreichen, deshalb benötigen wir eine neue Regel für das Netzwerkobjekt "mail-server-jana".

Neues Objekt: mail-server-jana | Zone: internal | Adresse: 10.1.0.22/32
Regel(port 465): mail-server-jana ==> internet ==> smtpssl (Hidenat, external-interface)
Regel(port 587): mail-server-jana ==> internet ==> smtptsl (Hidenat, external-interface)

(Bei den Regeln ist es sinnvoll das Logging (long) zu aktivieren, um die Aktivitäten der UTM beobachten zu können)

Mail-Connector

Für jedes E-Mail -Konto beim Provider wird ein Eintrag zum Abruf der E-Mails eingerichtet.
Zum Beispiel für ein Konto beim ISP Strato:
Server: pop3.strato.de
Benutzer: mailto@musterfirma.de
Passwort: ....
MULTIDROP: aus
AUTO/STARTTLS/SSL: hier SSL
KEEPMAILS: sicherheitshalber EIN
Lokale Mailbox: mailto@musterfirma.de - hier die E-Mail-Adresse beim ISP benutzen
SMTP Mailserver: 10.1.0.22 - IP des JanaServer2

Mail-Relay

Der Mail-Connector benötigt Funktionen des Mail-Relays zum weiterleiten der E-Mails an den Mail-Server. So wird für einen Eintrag im Mail-Connector je Domäne der E-Mail-Adressen (<account-indentifier>@musterfirma.de) eine SMTP-Route im Register SMTP-ROUTEN automatisch angelegt:
Anwendungen ==> Mail-Relay ==> Register: SMTP-ROUTEN
Domain: musterfirma.de :: Mail-Server: 10.1.0.22

Im gleichen Fenster sollte man unten bei "E-Mail-Adresse überprüfen" den Eintrag SMTP setzen. Dann werden nur E-Mails akzeptiert, deren Empfänger eine E-Mail-Adresse beim Mail-Server besitzen.

Testphase

Die Funktion des JanaServer2 kann in der Benutzeroberfläche unter Log-Dateien ==> Server und für ausgehende Mails ==> Smtp_Prot.log verfolgt werden. Bei der UTM kann LOG dafür verwendet werden.

Der Einsatz der Anwendung JanaServer2 bietet eine gute Alternative den Mail-Connector an einen internen Mail-Server anzubinden ohne einen aufwendigen und resourcenintensiven Kommunikationsserver einsetzen zu müssen.

Das Copyright der Software Janaserver2  liegt bei Thomas Hauck.    

Home-Page der Jana Server2 Anwendung (mit Downloadmöglichkeit)

Der Beitrag ist zusammen mit vielen anderen Beiträgen über UTM-Technik auch im Forum der Firma Securepoint zu finden:

Artikel Mail-Connector und JanaServer2

Neuer WEB-Auftritt am Start

Oft heißt es website under construction. Aber das ist sie immer, sonst wird es langweilig. Die Funktionen von WordPress müssen aber unter Provider-Bedingungen installiert und getestet werden bevor das Ziel „ein kompletter Webauftritt“ entwickelt ist. (agiles Projekt-Management).

Also abwarten, es entwickelt sich …

Scroll to top