Securepoint UTM Mail-Connector und JanaServer2

Druckversion

E-Mails mit Mail-Connector abholen und über JanaServer2 verteilen

Durch den Einsatz der SSL-und TSL-Verschlüsselung beim Transport der E-Mails lassen sich diese nicht mehr mit dem POP3-Proxy auf Viren überprüfen und die Funktionen des Mail-Filters sind eingeschränkt. Setzt man den Mail-Connector zum Abholen der E-Mails ein, kann man die diese Funktionalitäten der UTM wieder nutzen.
Vorrausetzung für die Nutzung des Mail-Connectors ist jedoch die Weitergabe der heruntergeladenen E-Mails an einen internen Mail-Server, der die Verteilung an die E-Mail-Clients übernimmt. Durch den Einsatz des Jana-Servers unter Windows kann man den Mail-Connector mit einem internen SMTP-Server verbinden.

Der Jana-Server wird von Thomas Hauck programmiert und ist auf der WEB-Seite janaserver.de zu finden. Es gibt die aktuelle Version 2.7.0.292 in einer 32- und 64-bit Ausgabe für Windows, die auch unter Windows 8.1 und Windows 10 läuft. (Beim Gebrauch der Software sind die Lizenzbedingungen auf der WEB-Seite zu beachten)

Einrichtungsübersicht

Provider

Beim Provider sind einzelne E-Mail-Konten eingerichtet, die unabhängig voneinander abgerufen werden.
(Auf die Verwendung von Sammel-Accounts in Verbindung mit Multidrop wird in diesem Post nicht eingegangen)

Mail-Connector

Für jedes E-Mail -Konto beim Provider wird ein Eintrag zum Abruf der E-Mails eingerichtet.
Diese werden an den internen SMTP-Server weitergeleitet.

Interner Mail-Server

Der JanaServer2 ist nach der Installation über Port 25 und der IP-Nummer des Gerätes, auf dem der der Server läuft als interner SMTP-Server erreichbar.
Für jeden Empfänger der E-Mails wird ein E-Mail-Benutzer innerhalb der Jana-Server-Verwaltung angelegt. Über die E-Mail -Adresse des Benutzers stellt der interne SMTP-Server die E-Mail zu und speichert diese zunächst auf dem Host des Jana-Servers.

E-Mail-Client

In dem Client-Email-Programm wird der Zugang zu den E-Mails über den Benutzer des Jana-Servers hergestellt und die E-Mails vom internen Mail-Server abgeholt.

E-Mail-Versand

Da der Mail-Connector kein Mail-Relay ist, muss der Versand der E-Mails über den Jana-Server erfolgen. Dazu wird im Jana-Server ein SMTP-Zugang zum Provider angelegt, der als Smart-Host verwendet wird. Damit werden alle ausgehende E-Mails über denselben SMTP-Kanal eines E-Mail-Accounts beim Provider versendet. Der Empfänger sieht aber immer die ursprüngliche Absender-E-Mail-Adresse, so dass dieser den Absender richtig identifizieren kann. Die Verschlüsselung der E-Mails übernimmt der Jana-Server.

Durchführung

JanaServer2

Von dem Funktionsumfang des JanaServer2 werden nur folgende Funktionen benötigt:
- interner SMTP-Server über Port 25
- E-Mail-Server
- SSL-E-Mail-Server
- Administration

Der JanaServer2 kann auf einem "Kommunikations-Server" oder auf einem bestehenden Windowsserver installiert werden. Als Kommunikations-Server ist ein eigenständiger PC mit WIN10, WIN8.1 oder WIN7 gemeint, der wie ein Server ständig zur Verfügung steht.

Der JanaServer2 wird im Beispiel unter der IP 10.1.0.22 betrieben.

Nach der Ausführung von JanaSetup64.exe (bzw. JanaSetup.exe) wird ein Dienst mit dem Namen Jana Server2 erzeugt und gestartet. Zusätzlich wird das Programm JanaAdmin.exe installiert. Der Start dieses Programms ist nicht notwendig um den JanaServer2 zu aktivieren. Es erzeugt ein Symbol im Infobereich. Damit kann der Server konfiguriert oder der Dienst gestoppt und gestartet werden.
Die Verwaltung des Servers ist auch mit dem Link //10.1.0.22:2506/jana-admin/index.shtml im Browser möglich.
Eine detaillierte, vollständige Anleitung für die Konfiguration kann man aus der Information der WEB-Seite des JanaServer2 entnehmen.

Konfigurationsangaben für den JanaServer2:

Grundeinstellungen

Grundeinstellungen => IP-Adressen :: Festlegen der IP-Adressen - 127.0.0.1,10.1.0.22
Grundeinstellungen => IP-Adressen :: Funktionszuordnung Netzwerkkarte
nur Haken auf Zeile E-Mail-Server und SSL-E-Mail-Server in der Spalte mit der Server-IP 10.1.0.22

Alle anderen Servertypen werden nicht benötigt.
(die gesetzten Haken bewirken die Aktivierung der jeweiligen Funktion der Anwendung)

Soll eine Verwaltung des JanaServer2 innerhalb des lokalen Netzes möglich sein muss man noch einen Haken auf der Zeile Administration in der Spalte 10.1.0.22 setzen.

Grundeinstellungen => Ports

Hier werden alle Ports der JanaServer2-Funktionsteile festgelegt und mit denen Jana mit den anderen Programmen kommuniziert. Notwendige Abweichungen kann man hier eintragen.

Weitere Grundeinstellungen werden nicht benötigt.

Servertypen

Hier wird nichts angepasst oder verändert. (Diese Funktionen von Jana werden nicht benötigt)

E-Mail ( + erweitert)

E-Mail => Allgemein ::

Standards zunächst so übernehmen.
E-Mail-Adresse des Administrators: hier verweist man auf eine Adresse, an die Meldungen des JanaServers verschickt werden.(siehe Benutzer)

E-Mail versenden: Haken bei sofort versenden.
zusätzlich eine Intervallzeit (10 min) hinterlegen.

Alle Einstellungen für das Abholen von E-Mails werden deaktiviert (Eingabe von 0 oder keinen Haken). Der JanaServer2 holt keine E-Mails ab, er bekommt sie per SMTP vom Mail-Connector der UTM zugestellt.

E-Mail => Allgemein :: SMTP-Server-Parameter :
keinen Haken Lokaler SMTP-Server erfordert Authentifizierung
Das heißt: Zugriff auf den lokalen SMTP-Server ohne Authentifizierung, der Mail-Connector hat keine Benutzernanmeldung mit Passwort für die Verbindung zum lokalen SMTP-Server.

E-Mail => Pop3:-Server :: Hier werden keine Eintragungen benötigt, der JanaServer2 holt keine E-Mails ab.

E-Mail => SMTP-Server :: Hier werden die Verbindungen für das Versenden der ausgehenden E-Mails über den Provider verwaltet.
Wir wollen aber alle E-Mails über ein Konto (den "Smart-Host") versenden, um die Einrichtung der Benutzer zu vereinfachen. Die notwendigen Angaben sind aber vom Provider abhängig und müssen entsprechend ausprobiert werden. Dieser eine SMTP-Account (heißt hier Server) wird dann allen Benutzern zugeordnet.

E-Mail => Benutzer ::

Das Benutzerkonto des JanaServer2 ist die eigentliche Verbindung von

Mail-Connector ==> Mail-Server <==> Mail-Client.

E-Mail-Adresse: - hier die E-Mail-Adresse des Benutzers (Clients) beim Provider (ISP) eintragen
Benutzerkennung für den lokalen Pop3/Imap-Server: - der Name des Benutzers (eine Zeichenfolge)
Passwort für den lokalen Pop3/Imap-Server: - eine Zeichenfolge, das Passwort wird nur innerhalb des lokalen Netzwerks benötigt.

E-Mails an diese Adresse aus dem lokalen Netz nicht über ISP (=Internet Service Provider) zustellen.
Haken Ja

E-Mails an E-Mail-Adressen von Benutzern des JanaServer2 werden direkt im lokalen Netz verwaltet und versendet.

SMTP-Server: hier die oben angelegte smtp-Verbindung (Smart-Host) zuordnen (gleich für alle Benutzer).

Damit sind die Eintragungen für den JanaServer2 als Mail-Server abgeschlossen.
Der JanaServer2 muss nach diesen Eintragungen neu gestartet werden.

Arbeitsplatz - E-Mail-Client

Beispiel : Die Eintragungen für einen Outlook-Client mit Pop3:

Name des Benutzers : Vollständiger Name oder Bezeichnung (Beschreibung des Kontos)
E-Mail-Adresse: E-Mail-Adresse des Benutzers (Clients) beim Provider
Logon Information (für den JanaServer2)
Benutzername: Der bei E-Mail => Benutzer im JanaServer2 verwendete Name
Passwort: Das bei E-Mail => Benutzer im JanaServer2 verwendete Passwort
Pop3-Server: IP des JanaServer2 10.1.0.22
SMTP-Server: IP des JanaServer2 10.1.0.22

Erweitert: Der SMTP-Server erfordert Authentifizierung
Benutze die gleichen Einstellungen wie für den Eingangsserver
Portnummern pop3 110
smtp 25
der lokale Zugang zu pop3 und smtp ist ohne SSL oder TSL

UTM: Port-Filter

Wenn die einzelnen Arbeitsplätze keine E-Mails direkt vom pop3-Konto des ISP abholen oder an dem Mail-Server vorbei versenden sollen, dann muss man die Regeln, die das interne Netz oder die Arbeitsplätze mit dem Internet und den Diensten pop3, pop3ssl, smtp, smtpssl deaktivieren.
Der JanaServer2 muß aber per Smart-Host das Interner erreichen, deshalb benötigen wir eine neue Regel für das Netzwerkobjekt "mail-server-jana".

Neues Objekt: mail-server-jana | Zone: internal | Adresse: 10.1.0.22/32
Regel(port 465): mail-server-jana ==> internet ==> smtpssl (Hidenat, external-interface)
Regel(port 587): mail-server-jana ==> internet ==> smtptsl (Hidenat, external-interface)

(Bei den Regeln ist es sinnvoll das Logging (long) zu aktivieren, um die Aktivitäten der UTM beobachten zu können)

Mail-Connector

Für jedes E-Mail -Konto beim Provider wird ein Eintrag zum Abruf der E-Mails eingerichtet.
Zum Beispiel für ein Konto beim ISP Strato:
Server: pop3.strato.de
Benutzer: mailto@musterfirma.de
Passwort: ....
MULTIDROP: aus
AUTO/STARTTLS/SSL: hier SSL
KEEPMAILS: sicherheitshalber EIN
Lokale Mailbox: mailto@musterfirma.de - hier die E-Mail-Adresse beim ISP benutzen
SMTP Mailserver: 10.1.0.22 - IP des JanaServer2

Mail-Relay

Der Mail-Connector benötigt Funktionen des Mail-Relays zum weiterleiten der E-Mails an den Mail-Server. So wird für einen Eintrag im Mail-Connector je Domäne der E-Mail-Adressen (<account-indentifier>@musterfirma.de) eine SMTP-Route im Register SMTP-ROUTEN automatisch angelegt:
Anwendungen ==> Mail-Relay ==> Register: SMTP-ROUTEN
Domain: musterfirma.de :: Mail-Server: 10.1.0.22

Im gleichen Fenster sollte man unten bei "E-Mail-Adresse überprüfen" den Eintrag SMTP setzen. Dann werden nur E-Mails akzeptiert, deren Empfänger eine E-Mail-Adresse beim Mail-Server besitzen.

Testphase

Die Funktion des JanaServer2 kann in der Benutzeroberfläche unter Log-Dateien ==> Server und für ausgehende Mails ==> Smtp_Prot.log verfolgt werden. Bei der UTM kann LOG dafür verwendet werden.

Der Einsatz der Anwendung JanaServer2 bietet eine gute Alternative den Mail-Connector an einen internen Mail-Server anzubinden ohne einen aufwendigen und resourcenintensiven Kommunikationsserver einsetzen zu müssen.

Das Copyright der Software Janaserver2  liegt bei Thomas Hauck.    

Home-Page der Jana Server2 Anwendung (mit Downloadmöglichkeit)

Der Beitrag ist zusammen mit vielen anderen Beiträgen über UTM-Technik auch im Forum der Firma Securepoint zu finden:

Artikel Mail-Connector und JanaServer2

Scroll to top