Ersteinrichtung

Im folgenden werden die Konfigurationsschritte für die Ersteinrichtung der REDDOXX Appliance beschrieben.
Die Konfigurationsschritte dienen dem Überblick über die einzurichtenden Parameter für den Betrieb der Appliance.
Weitergehende Schritte und umfangreiche Beschreibungen sind in den jeweiligen Bereichen verlinkt.
Die Konfigurationsschritte sind zusätzlich auch als Screencasts verfügbar:

Die Einstellungen befinden sich im Webinterface => Konfiguration => Settings

  • Vergeben Sie hier die E-Mail-Adresse der Appliance, diese muss im Format einer gültigen E-Mail-Domäne sein und auch von der REDDOXX Appliance empfangen werden.
    Diese E-Mail-Adresse darf nicht anderweitig verwendet werden
  • Die Administrator Adresse wird für den Versand von E-Mail Benachrichtigungen verwendet, für Backup Benachrichtigungen oder Diagnose Benachrichtigungen im Fehlerfall.
  • Falls notwendig sind im Reiter "Proxy" die Proxy Einstellungen zu konfigurieren

Die Einstellungen befinden sich im Webinterface => Konfiguration => Network

  • Bitte prüfen Sie hier die Netzwerk Konfiguration
  • In den Netzwerkanschlüssen kann ein zweites Netzwerkinterface zum Beispiel für die Anbindung eines gesonderten Storage Netzwerks konfiguriert werden
  • Falls statische Routen notwendig sind, können diese im Reiter "Static Routes" konfiguriert werden
  • Richten Sie die im Unternehmen verwendeten Zeitserver ein
  • Der Reiter SNMP dient der Konfiguration von Monitoring Systemen
  • Über den Reiter SMB/CIFS kann die Appliance Freigabe konfiguriert werden (dies dient der Integration des Archives in Unternehmenseigene Backup Pläne)

Die Einstellungen befinden sich im Webinterface => Konfiguration => E-Mail Transport
Wenn statt SMTP Mailflow der E-Mail Abruf via POP3 stattfinden soll, nutzen Sie bitte die entsprechende POP3 Kurzanleitung.

Screencast SMTP Mailflow mit MS Exchange:

Trusted Networks / Local Networks

  • In den Trusted Networks / Local Networks werden die internen Systeme angegeben, die Mails über die Appliance schicken dürfen
  • In CIDR Notation für einen Single Host wäre dies z.B. 192.168.4.6/32

Local Domains

  • In den Local Domains werden alle Domänen eingerichtet für die die Appliance E-Mail entgegen nehmen soll
  • Die Empfängerüberprüfung kann dabei ebenfalls aktiviert werden, damit die Appliance nur Mails für bekannte Empfänger entgegen nimmt.
    Empfänger müssen hierfür im Vorfeld entweder über ein Directory Synchronisiert, oder als Lokale Nutzer mit zugehörigen E-Mail-Adressen in der Benutzerverwaltung angelegt werden.
  • Für Domänen die bei Microsoft 365 liegen, kann hier "enable Hosted Exchange support" aktiviert werden, damit erkennt die Appliance dann anhand der DKIM Signatur der E-Mail,
    dass es sich um eine ausgehende E-Mail handelt (auch ohne Trusted Network Eintrag für die Microsoft 365 Netze).
    Voraussetzung hierbei ist, dass für die Domäne DKIM aktiviert sein muss (https://security.microsoft.com/dkimv2)
  • Zusätzlich kann für jede Local Domain auch noch DKIM eingerichtet werden, sodass die Appliance ausgehende E-Mails mit einer DKIM Signatur versieht

External Domain Policies

  • In den External Domain Policies werden Richtlinien für die Verbindung mit spezifischen Domains festgelegt
  • Hierbei können ein oder mehrere öffentliche Zertifikate der Gegenstelle ausgewählt, das TLS Verhalten sowie eine etwaige Benutzerauthentifizierung gefordert werden
  • Die Einstellungen sind nur bei wenigen Kommunikationspartnern notwendig, die dann im Vorfeld auch die entsprechenden Zertifikate zur Verfügung stellen
  • External Domain Policies haben Vorrang vor SMTP Transport Policies und dienen auch dem Schutz vor versehentlicher Fehlkonfiguration der SMTP Transport Policies für bestimmte Domains
  • Für die Verwendung der MTLs Richtlinien muss im entsprechenden SMTP Receive Connector ausgewählt sein, dass das Client Zertifikat angefordert wird (Request Client certificate in TLS Settings)

SMTP Receive Connectors

  • Passen Sie hier die Einstellungen für den Empfangsconnector an, dieser ist per Default an alle Interfaces und Port 25 gebunden.
  • Sie können weitere Connectoren hinzufügen, achten Sie dabei dann darauf, dass jeder Empfangsconnector nur an ein Netzwerkgerät gebunden sein kann
  • Sie können den Hostname, TLS Einstellungen, Authentifizierungsparameter sowie SPF, DKIM, DMARC konfigurieren
  • RealTime Blacklists sowie Antispoofing können ebenfalls (mit zugehörigen Ausnahmen, falls benötigt) konfiguriert werden

SMTP Transport Policies

  • Richten Sie hier eine neue Transport Policy ein (via Hinzufügen)
  • Hier wird über die Absender / Empfänger Filterung im Feld Adressen in Verbindung mit den Smarthost Einstellungen aus dem Transport Feld definiert, wohin E-Mails weitergeleitet werden sollen
  • Zusätzlich können TLS Einstellungen, Authentifizierung und der FQDN gesetzt werden der über ein Helo Command mitgeschickt wird.
  • Die Regeln werden der Reihenfolge nach abgearbeitet
  • Für jede Local Domain sollte entsprechend der Transport zu einem SmartHost (interner Mailserver) konfiguriert werden, da sonst ohne explizite Regel die Default transport policy greifen würde und die Mails via DNS an den MX weitergeleitet werden (womit es dann zu einer Mailloop kommen würde)
  • Zusätzlich können für andere Domains Transportregeln erstellt werden, die von einer DNS Abfrage abweichend verwendet werden sollen

IP-Address filter

  • Hier können Black und Whitelist Einträge für Netzwerke konfiguriert werden, die die Kommunikation mit der Appliance verhindern oder erlauben
  • Zusätzlich werden Absender IP Adressen in dieser Filterliste angezeigt und für 24h geblockt, welche 5-malig eine falsche SMTP Authentifizierung versucht haben oder die über den RealTime Blacklist Filter gefiltert wurden

  • Im Administrativen Bereich können Sie das Live Log verfolgen und nach auch via Rechtsklick das Protokoll Level (für die Anzeige) anpassen sowie nach bestimmten Nachrichten oder Verbindungen filtern.
  • Weitergehende Recherchen sind im Bereich Log Files möglich, dort kann nach bestimmten Prozessen über einen definierten Zeitramen gesucht und das Ergebnis auch gespeichert werden.
  • Die Update Übersicht zeigt verfügbare Updates und Hotfixe an, wobei in den Einstellungen festgelegt werden kann, ob und in welchem Zeitraum nach Updates gesucht und Hotfixe automatisch installiert werden sollen
  • Realms dienen der Konfiguration eines Anmeldebereichs, welcher z.B. via Active Directy eine Synchronisation des Verzeichnisses vornehmen kann und somit Gruppen, Benutzer und Berechtigungen importiert werden.
    Weitergehende Zugriffsbeschränkungen (Policies) oder das Anlegen von Stellvertreter Richtlinien sind ebenfalls möglich.

Die Anmelde Konfiguration ist ebenfalls als Screencast verfügbar:

Storage
Die Einstellungen befinden sich im Webinterface => Konfiguration => Storage

  • Fügen Sie hier das zu verwendende Storage hinzu (dies findet Verwendung in der Archivierung und im Appliance Backup)
  • Als Storage empfiehlt sich die Verwendung von iSCSI oder LocalDisc, CIFS hingegen wird wegen seiner Protokollbedingten Anfälligkeit nicht empfohlen

Backup
Die Einstellungen befinden sich im Webinterface => Administration => Backup and Restore

  • Richten Sie hier die internen Backups der Appliance nach Zeitplan ein (das Backup umfasst nur die Konfiguration, nicht das Mailarchiv!)

Die Einstellungen befinden sich im Webinterface => Maildepot
Zusätzlich sind verschiedene Archivierungs Szenarien abhängig der eingesetzten Systeme in den Kurzanleitungen dokumentiert.

Screencast MailDepot Konfiguration:

  • In den Settings kann die Archivierung aktiviert / deaktiviert werden
  • Für das Archiv wird ein Archiv Container benötigt, dieser muss über "Archive Container" erstellt und per Rechtsklick -> Als Standard setzen konfiguriert werden
  • Für den Archiv Container ist ein zuvor konfigurierte Storage notwendig
  • Über Archive Policies können Einschränkungen bezüglich der Archivierung gesetzt werden
  • Categories und Archive Tasks können zur automatisierten Bearbeitung archivierter Mails (z.B. Kategorisierung, Verschieben usw.) genutzt werden
  • Über Audit Sessions können Revisions Zugriffe auf das Archiv konfiguriert werden
  • Die MailDepot Connectoren dienen der Anbindung an Journal Postfächer (für die Archivierung interner E-Mails innerhalb des Unternehmens)

Die Einstellungen befinden sich im Webinterface => Spamfinder

Screencast Spamfinder Konfiguration:

  • In den Spamfinder Einstellungen können Sie die Speicherzeiten für Spam und einen Quarantäne Report (für die Benachrichtigung an User die in den letzten 24 Stunden Spam erhalten haben) anpassen
  • In den Filter Settings können Sie die Einstellungen für einige der verwendeten Filter (Virus Scanner, CISS, Fuzzy) anpassen
  • In den Filter Profiles können Sie Filterprofile anpassen / hinzufügen
  • Filterprofile werden den Benutzern über die Verwaltung der E-Mail-Adressen zugewiesen

Die Einstellungen befinden sich im Webinterface => MailSealer

  • In den MailSealer Settings kann der MailSealer und die Automatische Lizenzvergabe aktiviert, sowie Signatur und Verschlüsselungseinstellungen für S/MIME und OpenPGP ausgewählt werden
  • Wählen Sie, ob und in welcher Reihenfolge S/MIME oder PGP eingesetzt werden soll
  • Im Bereich Policies muss bei Mail Processing mindestens eine aus- und eine eingehende Policy eingerichtet werden (hier kann z.B. Absender und Empfänger jeweils mit * gewählt sein)
  • Policies werden dann der Reihenfolge nach abgearbeitet
  • Übersteuerungen können für Spezialfälle in den Encoding und Decoding Options definiert werden
  • Mit OpenPGP können Private Zertifikate automatisch erstellt werden, bei S/MIME müssen diese im Bereich Private Certificates hinzugefügt werden
  • Alternativ kann auch eine eigene Zertifizierungsstelle eingerichtet werden (via Private Certificate Authorities + Rechtsklick), welche dann S/MIME Zertifikate erstellt

Die Abarbeitung bei gleichzeitiger Auswahl mehrere Encoder (S/MIME + PGP) sowie je nach gewählter Signierungs- und Verschlüsselungsvariante ist wie folgt:

Signieren Verschlüsseln Verwendete Methode
Erzwingen Erzwingen Es wird der erste Encoder verwendet der signieren und verschlüsseln kann.
Wenn möglich Erzwingen Es wird der erste Encoder verwendet der signieren und verschlüsseln kann.
Falls kein Encoder gefunden wird der beides kann, dann wirt der erste encoder verwendet der verschlüsseln kann.
Nicht signieren Erzwingen Es wird der erste Encoder verwendet der verschlüsseln kann.
Erzwingen Wenn möglich Es wird der erste Encoder verwendet der signieren und verschlüsseln kann.
Falls kein Encoder gefunden wird der beides kann, dann wird der erste Encoder verwendet der signieren kann.
Wenn möglich Wenn möglich Es wird der erste Encoder verwendet der signieren und verschlüsseln kann.
Falls kein Encoder gefunden wird der beides kann, dann wird der erste Encoder verwendet der verschlüsseln kann.
Falls kein Encoder gefunden wird der verschlüsseln kann, dann wird der erste Encoder verwendet der signieren kann.
Nicht signieren wenn möglich Es wird die erste Methode verwendet die verschlüsseln kann.
Erzwingen Nicht verschlüsseln Es wird die erste Methode verwendet die signieren kann.
Wenn möglich Nicht verschlüsseln Es wird die erste Methode verwendet die signieren kann.
Nicht signieren Nicht verschlüsseln Es wird kein Encoder benötigt.

Die Einstellungen befinden sich im Webinterface => Diagnose Center

  • Aktivieren Sie die für Ihre Umgebung notwendigen Diagnosen via "Selftest Options" für die stündliche Prüfung
  • Deaktivieren Sie die für Ihre Umgebung nicht benötigten Diagnosen