HOB WebSecureProxy als SSL-Gegenstelle für E-Mail Clients
HOB bietet mit dem HOB WebSecureProxy ein SSL-Gateway an, welches den E‑Mail-Datenstrom zur Clientseite mit SSL verschlüsselt und zur Mailserverseite hin unverschlüsselt kommuniziert. Vorzugsweise in der DMZ platziert, wird der Mailserver so vor Angriffen aus dem Internet abgeschirmt.
Viele moderne E-Mail Clients enthalten standardmäßig SSL Verschlüsselung. Als Mailempfangsprotokoll kommt entweder POP3 oder IMAP4 in Frage. Entsprechend wird bei aktivierter SSL-Verschlüsselung über POP3S am Mailserverport 995 oder über IMAP4S am Port 993 E-Mail empfangen. Der SSL geschützte E-Mailversand geschieht über SMTPS am Mailserverport 465. Die genannten Ports sind die für diese Kommunikation vorgegebenen Standardports. Zur Authentifizierung des HOB WebSecureProxies wird ein von einer externen CA (Certificate Authority) signiertes Zertifikat benötigt.
Der Vorteil dieser Variante liegt darin, dass keinerlei Zusatzsoftware (auch von HOB nicht) auf dem Clientsystem installiert werden muss.
Die Konfiguration des HOB WebSecureProxy geschieht in einem XML-File. Sehen Sie nachfolgend für dieses Szenario die entsprechende Konfiguration des HOB WebSecureProxy:
<sslgate-configuration>
<general>
<report-intv>1800</report-intv>
<prot-event-log>YES</prot-event-log>
<network-statistic-level>9</network-statistic-level>
</general>
<connection>
<name>SSLGATE001</name>
<gateport>993</gateport>
<gate-in-ineta>10.0.0.150</gate-in-ineta>
<SSL-config-file>
C:\Programme\HOBLink\WebSecureProxy\sslsettings\
hserver.cfg
</SSL-config-file>
<SSL-certdb-file>
C:\Programme\HOBLink\WebSecureProxy\sslsettings\
hserver.cdb
</SSL-certdb-file>
<SSL-password-file>
C:\Programme\HOBLink\WebSecureProxy\sslsettings\
hserver.pwd
</SSL-password-file>
<max-session>50</max-session>
<serverineta>mail.company.com</serverineta>
<serverport>143</serverport>
<timeout>3600</timeout>
</connection>
<connection>
<name>SSLGATE002</name>
<gateport>465</gateport>
<gate-in-ineta>10.0.0.150</gate-in-ineta>
<SSL-config-file>
C:\Programme\HOBLink\WebSecureProxy\sslsettings\
hserver.cfg
</SSL-config-file>
<SSL-certdb-file>
C:\Programme\HOBLink\WebSecureProxy\sslsettings\
hserver.cdb
</SSL-certdb-file>
<SSL-password-file>
C:\Programme\HOBLink\WebSecureProxy\sslsettings\
hserver.pwd
</SSL-password-file>
<max-session>50</max-session>
<serverineta>mail.company.com</serverineta>
<serverport>25</serverport>
<timeout>3600</timeout>
</connection>
</sslgate-configuration>
Erläuterung der verwendeten Tags:
<sslgate-configuration>
Das <sslgate-configuration>-Tag steht zu Beginn der XML-Konfiguration. Innerhalb dieses Tags liegt die gesamte Konfiguration des HOB WebSecureProxy.
<general>
Das <general>-Tag enthält die Grundkonfiguration des HOB WebSecureProxy, so z.B. Einträge zur Protokollierung/Logging.
<report-intv>
Das <report-intv>-Tag aktiviert die Ausgabe über Speichernutzung, Anzahl der Threats, etc. in das Event-Log bzw. die Konsole. Die Ausgabe erfolgt gemäß der vorliegenden Beispielkonfiguration alle 1800 Sekunden.
<prot-event-log>
Das <prot-event-log>-Tag aktiviert die Ausgabe von Errormeldungen und Events.
<network-statistic-level>
Das <network-statistic-level>-Tag definiert die Ausgabe der Netzwerknutzung. Mögliche Parameter: 1 bis 9, minimale bis maximale Informationsausgabe.
<connection>
Innerhalb des <connection>-Tag wird eine Verbindungskonfiguration definiert, wie z.B. der Listening-Port oder die Zieladresse. Innerhalb der HOB WebSecureProxy Konfiguration kann das <connection>-Tag mehrmals vorkommen.
<name>
Das <name>-Tag definiert den Namen der Verbindungskonfiguration, hier SSLGATE001. Dieser Eintrag ist zwingend notwendig.
<gateport>
Das <gateport>-Tag definiert den Listening-Port für eingehende Verbindung. Hier wird der Port 993 für IMAPS sowie Port 465 für SMTPS im folgenden <connection>-Tag geöffnet.
<gate-in-ineta>
Optional, nur für multi-homed Systeme. Definiert den Netzwerkadapter über die IP-Adresse.
<SSL-config-file>, <SSL-certdb-file>, <SSL-password-file>
Pfad auf das SSL-Zertifikat, -Konfigurationsfile und -Passwortfile.
<max-session>
Definition der maximalen Anzahl gleichzeitiger Verbindungen innerhalb dieser Konfiguration.
<serverineta>
IP-Adresse des Mailservers. Hier: mail.company.com
<serverport>
Zielport auf dem Mailserver. Hier 143 für IMAP4 und 25 für SMTP.
<timeout>
Optional. Definiert die Zeit bis ein Verbindungs-Timeout als Fehler angezeigt wird.
Der HOB WebSecureProxy stellt gemäß der vorliegenden Konfiguration zwei 1:1 Verbindungen bereit.
Konfiguration des E-Mail Clients
Im lokalen E-Mail Client ist ein Konto zu erstellen, welches statt des Mailservers den HOB WebSecureProxy als Zieladresse für Mailempfang (POP3 bzw. IMAP4) und –versand (SMTP) enthält. Die Option „SSL-Verbindung erforderlich“ ist zu setzen.
Clientseitige SSL-Kommunikation über den HOB Universal Client
Der HOB Universal Client wird wahlweise auf dem Client installiert oder mit dem Webbrowser herunter geladen. Der HOB Universal Client verschlüsselt die zwischen dem E-Mail-Client und dem HOB WebSecureProxy ausgetauschten Daten. Der E-Mail Client selbst muss nicht SSL-fähig sein. Zusätzlich können die ausgetauschten Daten vor der Verschlüsselung mittels V42.bis komprimiert werden. Der E-Mail-Versand/Empfang erfolgt viel schneller. Sämtliche Kommunikation zwischen dem HOB Universal Client und dem HOB WebSecureProxy findet auf einem IP-Port statt.
Konfiguration des E-Mail Clients
Im lokalen E-Mail Client ist ein Konto zu erstellen welches statt des Mailservers den eigenen Client adressiert (localhost). Der HOB Universal Client nimmt die Daten entgegen und leitet sie an den HOB WebSecureProxy SSL-verschlüsselt und komprimiert weiter. Die Option „SSL-Verbindung erforderlich“ ist für diesen Fall im E Mail Client nicht zu setzen.
|