Richtlinien legen fest, wie die REDDOXX Appliance eingehende E-Mails bezgülich Verschlüsselung und Signierung behandelt.
Richtlinien werden der Reihenfolge nach von oben nach unten angewendet und können via Drag & Drop sortiert werden
E-Mail-Adressen können entweder einzeln oder mit Wildcard * gesetzt werden, z.B. *@domain.tld oder *@* für alle
Bei einer ausgehenden Policy sollten die Ausgehenden Adressen mindestens *@* als Eintrag besitzen, * allein würde ansonsten den Versand von Abwesenheitsnachrichten verhindern,
da diese keinen Absender besitzen und mit * in der Policy allerdings der MailSealer versuchen würde für diesen nicht existierenden Absender eine MailSealer Lizenz zu finden.
Ein aussagekräftiger Kommentar für die Richtlinie wird empfohlen
Folgende Schritte sind für eine ausgehende Richtlinie notwendig:
Klicken Sie auf Hinzufügen und legen Sie einen beschreibenden Namen für die Richtlinie fest
Wählen Sie Ausgehend als Richtung
Falls gewünscht, kann die Appliance Kalender Einladungen von der Verschlüsselung ausschließen (da es hier insbesondere bei Empfängern mit Outlook sonst dazu kommen kann, dass eine entschlüsselte Mail leer im Postfach erscheint, da der Kalender Typ dann von Outlook nicht mehr erkannt wird)
Wechseln Sie in den Reiter Adressen und geben die Absender und Empfänger Adressen Zeilenweise untereinander an
Hier sind auch Wildcards möglich
Wechseln Sie in den Reiter Signieren und wählen zwischen einer der drei folgenden Optionen:
Signatur erzwingen: falls dies nicht möglich ist (wenn der Public Key des Absenders fehlt) wird die Mail an den Absender zurückgeworfen (bounced)
Wenn möglich signieren: die E-Mail wird unsigniert versendet, falls kein Public Key des Absenders vorhanden ist, der Absender wird nicht informiert
Nicht signieren: die E-Mail wird unsigniert versendet
Wechseln Sie in den Reiter Verschlüsselung und wählen unter den folgenden Optionen:
Verschlüsselung erzwingen: Wenn die Verschlüsselung an einen Empfänger nicht möglich ist, wird der Absender benachrichtigt
Wenn möglich verschlüsseln: Empfänger für die keine Verschlüsselung möglich ist, erhalten die E-Mail unverschlüsselt
Nicht verschlüsseln: Die E-Mail wird nicht verschlüsselt sondern im Klartext versendet
Wenn für eine Verschlüsselungs Richtlinie die Option "Verschlüsselung erzwingen" aktiviert ist, kann zusätzlich "Must be encrypted for all recipients" aktiviert werden.
Wenn es z.B. für zwei Empfänger unterschiedliche Richtlinien gibt verhindert diese Einstellung das beim gleichzeitigen Versand an beide Empfänger eine unverschlüsselte Nachricht an einen der Empfänger verschickt wird, die Option erzwingt dann für alle anderen Empfänger die Verschlüsselung
Speichern Sie die Richtlinie mit Save
Optional können Sie die Richtlinie nun erneut öffnen und auf deaktiviert setzen, falls diese zur Zeit nicht verwendet werden soll.
Die Abarbeitung bei gleichzeitiger Auswahl mehrere Encoder (S/MIME + PGP) sowie je nach gewählter Signierungs- und Verschlüsselungsvariante ist wie folgt:
Signieren
Verschlüsseln
Verwendete Methode
Erzwingen
Erzwingen
Es wird der erste Encoder verwendet der signieren und verschlüsseln kann.
Wenn möglich
Erzwingen
Es wird der erste Encoder verwendet der signieren und verschlüsseln kann. Falls kein Encoder gefunden wird der beides kann, dann wird der erste Encoder verwendet der verschlüsseln kann.
Nicht signieren
Erzwingen
Es wird der erste Encoder verwendet der verschlüsseln kann.
Erzwingen
Wenn möglich
Es wird der erste Encoder verwendet der signieren und verschlüsseln kann. Falls kein Encoder gefunden wird der beides kann, dann wird der erste Encoder verwendet der signieren kann.
Wenn möglich
Wenn möglich
Es wird der erste Encoder verwendet der signieren und verschlüsseln kann. Falls kein Encoder gefunden wird der beides kann, dann wird der erste Encoder verwendet der verschlüsseln kann. Falls kein Encoder gefunden wird der verschlüsseln kann, dann wird der erste Encoder verwendet der signieren kann.
Nicht signieren
wenn möglich
Es wird die erste Methode verwendet die verschlüsseln kann.
Erzwingen
Nicht verschlüsseln
Es wird die erste Methode verwendet die signieren kann.
Wenn möglich
Nicht verschlüsseln
Es wird die erste Methode verwendet die signieren kann.
Folgende Schritte sind für eine eingehende Richtlinie notwendig:
Klicken Sie auf Hinzufügen und legen Sie einen beschreibenden Namen für die Richtlinie fest
Wählen Sie Eingehend als Richtung
Setzen Sie "Mail unverändert weiterleiten", wenn der Client die Entschlüsselung übernehmen soll
Wechseln Sie in den Reiter Adressen und geben die Absender und Empfänger Adressen Zeilenweise untereinander an
Hier sind auch Wildcards möglich
Speichern Sie die Richtlinie mit Save
Per Default entschlüsselt die Appliance E-Mails automatisch und ohne eine Policy, wenn die zur Entschlüsselung notwendigen Schlüssel vorhanden sind.
Eingehende Richtlinien sind daher nur notwendig, wenn z.B. via "Mail unverändert weiterleiten" die Entschlüsselung beim Client stattfinden soll.
Mit den Encoding Options können die Verschlüsselungseinstellungen auf Basis der Empfänger Adressen detailliert angepasst werden.
Hiermit ist es ebenfalls möglich die Default Einstellungen des MailSealers zu übersteuern.
Dies ist dann hilfreich, wenn die Kommunikation mit bestimmten Empfängern z.B explizit andere Algorithmen benötigt, oder sogenannte Gateway Zertifikate verwendet werden sollen.
Folgende Schritte sind zum Anpassen der Verschlüsselungs Optionen notwendig:
Klicken Sie auf Hinzufügen
Vergeben Sie der Richtlinie eine passende Beschreibung
Wählen Sie, welche Verschlüsselungsmethoden (S/MIME, PGP, REDDCRYPT) verwendet werden sollen und passen Sie die Reihenfolge der Abarbeitung via Drag & Drop an
Geben Sie die E-Mail-Adressen der Empfänger zeilenweise an, für die diese Verschlüsselungsrichtlinie angewendet werden soll
Wechseln Sie anschließend in die jeweiligen Reiter der Verschlüsselungsmethoden und passen diese an, sofern Sie in Punkt 3 aktiviert wurden
Hier können Sie für die Verschlüsselung und Signatur die jeweils verwendeten Algorithmen anpassen, falls die Gegenseite dies erfordert
Wählen Sie im Bereich "Forced signing certificate" ein privates Zertifikat aus, wenn alle E-Mails die über diese Richtlinie verschickt werden, mit einem bestimmten privaten Zertifikat signiert werden sollen
(z.B. wenn Sie als Absender nicht mit Ihrem, sondern dem Zertifikat einer anderen Adresse, wie beispielsweise eines Info Postfaches signieren wollen)
Wählen Sie im Bereich "Forced encryption certificate" ein öffentliches Zertifikat einer Gegenstelle aus, wenn alle E-Mails die über diese Richtlinie verschickt werden, mit dem öffentlichen Zertifikat der Gegenstelle verschlüsselt werden sollen (dies wird häufig als Verschlüsselung via Gateway Zertifikat bezeichnet)
Wählen Sie, ob via REDDCRYPT automatisch Benutzer in Ihrer REDDCRYPT Organisation angelegt werden sollen (Auto create Accounts), hierzu müssen entsprechend ausreichend Lizenzen verfügbar sein.
Zusätzlich muss im REDDCRYPT Portal die Domain als Vertrauenswürdig (https://app.reddcrypt.com/settings/organization/trusted-domains) konfiguriert sein (via TXT DNS Record im REDDCRYPT Portal unter Einstellungen -> Meine Organisation -> Meine Domains)
Wählen Sie, ob E-Mails direkt (statt über das REDDCRYPT Portal) verschickt werden sollen, die so verschickten E-Mails sehen Sie dann nicht in anderen REDDCRYPT Anwendungen
Diese Option ist entsprechend nur dann empfehlenswert, wenn die Gegenseite Ebenfalls eine REDDOXX Appliance als Verschlüsselungs Gateway einsetzt
Wählen Sie, ob für Empfänger die noch keinen REDDCRYPT Account besitzen, jedes mal zufällige Kennwörter für die Verschlüsselung generiert werden (Create random One Time Encryption Key), oder ein fest hinterlegtes verwendet werden soll
Im Fall der Verwendung zufälliger Kennwörter erhält der Absender eine E-Mail mit dem entsprechend generierten Kennwort, welches dem Empfänger auf einem anderen Weg mitgeteilt werden muss, damit dieser die verschlüsselte E-Mail lesen kann
Mit den Decoding Options können die Entschlüsselungseinstellungen auf Basis der Sender Adressen detailliert angepasst werden.
Dies ist dann hilfreich, wenn die Kommunikation mit bestimmten Empfängern z.B über sogenannte Gateway Zertifikate stattfinden sollen.
Folgende Schritte sind zum Anpassen der Entschlüsselungs Optionen notwendig:
Klicken Sie auf Hinzufügen
Vergeben Sie der Richtlinie eine passende Beschreibung
Wählen Sie, ob die E-Mail an den Absender zurück geschickt werden soll, wenn die Signatur ungültig ist.
Geben Sie die E-Mail-Adressen der Absender zeilenweise an, für die diese Entschlüsselungsrichtlinie angewendet werden soll
Wechseln Sie anschließend in die jeweiligen Reiter der Entschlüsselungsmethoden und passen diese je nach Bedarf an
Wählen Sie, ob die Überprüfung der Zertifikate auf Gültigkeit deaktiviert werden soll (Disable certificate validation)
Wählen Sie, ob Signaturen die als Anhänge an eine E-Mail angehängt wurden, von der E-Mail entfernt werden sollen (Remove detached signature from message)
Somit werden in den Empfangenden E-Mail Clients diese Signaturen dann nicht angezeigt
Mit Allowed signing certificate wählen Sie hier ein öffentliches Zertifikat der Gegenstelle welches zusätzlich bei der Signaturprüfung akzeptiert wird
Wählen Sie, ob die Überprüfung der OpenPGP Schlüssel auf Gültigkeit deaktiviert werden soll (Disable key validation)
Wählen Sie, ob Signaturen die als Anhänge an eine E-Mail angehängt wurden, von der E-Mail entfernt werden sollen (Remove detached signature from message)
Somit werden in den Empfangenden E-Mail Clients diese Signaturen dann nicht angezeigt
Wenn Sie zwei REDDOXX Appliances miteinander als REDDCRYPT Gateway verwenden und in der sendenden REDDOXX Appliance ein fest hinterlegtes Verschlüsselungskennwort hinterlegt ist (bei der sendenden Appliance in den Encoding Options) setzen Sie hier ebenfalls das Verschlüsselungskennwort ein