Direkt zum Inhalt | Direkt zur Navigation

Benutzerspezifische Werkzeuge

This is SunRain Plone Theme

Sektionen

Sie sind hier: Startseite / Unix / Automatische E-Mail Ver- und Entschlüsselung mit Djigzo / Ciphermail S/MIME Gateway

Automatische E-Mail Ver- und Entschlüsselung mit Djigzo / Ciphermail S/MIME Gateway

Automatische E-Mail Ver- und Entschlüsselung mit Djigzo S/MIME Gateway
Aus Djigzo wird Ciphermail!
Die Entwickler der Software Djigzo haben sich entschieden, ihrer Software einen aussagekräftigeren Namen zu geben, der auch auf den eigentlichen Einsatzzweck hinweist.

Checkliste Voraussetzungen:

  • Debian 7.1
  • djigzo-web_2.5.0-4_all.deb
  • djigzo_2.5.0-4_all.deb

Notwendiges Wissen:

  • Administration von Linux
  • Administration Postfix

Quellen

S/MIME Zertifikate:

Einführung:

Djigzo ver- und entschlüsselt vollautomatisch E-Mails. Der Anwender erfährt von dieser Arbeit nichts, weil djigzo mitten in dem Datanverkehr eingebunden ist.
Djigzo ist ein Java-Programm und steht unter der GNU Affero General Public License Version 3, Die Software klinkt sich als Filter in Postfix ein.
Ein Nachteil bei diesem Aufbau ist aber, das die Verschlüsselung erst ab dem S/MIME Gateway statt findet. D.h die Mail vom Client zum Gateway sind unverschlüsselt.

 S/MINE Gateway

Basis Installation:

Die Installation stellt sich unter Debian als sehr einfach heraus.

Nach einer Basis Installation von Debian sind noch folgende zusätzliche Packet zu installieren:

apt-get -y install tomcat6 postgresql postfix  tzdata-java ant ant-optional mktemp \
mailutils libasound2 libasyncns0 libatk-wrapper-java libatk-wrapper-java-jni libflac8 \
libgif4 libjson0 libogg0 libpulse0 libsndfile1 libvorbis0a libvorbisenc2 libx11-xcb1 \
openjdk-6-jre symlinks libsasl2-2 libsasl2-modules sasl2-bin

Wer die Installation nicht durchführen möchte, kann sich auch eine fertige Appliances herunterladen.

DJIGZO Debian Installaion:

Die Debian Packet werden von den Download Server von DJIGZO heruntergeladen

wget http://www.djigzo.com/downloads/djigzo-release-2.5.0-4/djigzo_2.5.0-4_all.deb
wget http://www.djigzo.com/downloads/djigzo-release-2.5.0-4/djigzo-web_2.5.0-4_all.deb

https://www.ciphermail.com/downloads/djigzo-release-2.9.0-0/djigzo_2.9.0-0_all.deb
https://www.ciphermail.com/downloads/djigzo-release-2.9.0-0/djigzo-web_2.9.0-0_all.deb

und entsprechend Installiert.

dpkg -i djigzo_2.5.0-4_all.deb
dpkg -i djigzo-web_2.5.0-4_all.deb

dpkg -i djigzo_2.9.0-0_all.deb
dpkg -i djigzo-web_2.9.0-0_all.deb

Nach dem installieren der Packet müssen folgende manuell  Anpassungen durchgeführt werden:

Anpassung Postfix:

Kopieren der DJIGZO Postfix Konfigurationsdateien

cp /etc/postfix/djigzo-main.cf /etc/postfix/main.cf
cp /etc/postfix/djigzo-master.cf /etc/postfix/master.cf

newaliases
/etc/init.d/postfix restart

Anpassung Tomcat:

echo "JAVA_OPTS=\"\$JAVA_OPTS -Ddjigzo-web.home=/usr/share/djigzo-web\"" >> /etc/default/tomcat6
echo "JAVA_OPTS=\"\$JAVA_OPTS -Djava.awt.headless=true -Xmx128M\"" >> /etc/default/tomcat6
echo "TOMCAT6_SECURITY=no" >> /etc/default/tomcat6
chown tomcat6:djigzo /usr/share/djigzo-web/ssl/sslCertificate.p12
cp /usr/share/djigzo-web/conf/tomcat/server-T6.xml /etc/tomcat6/server.xml

echo "<Context docBase=\"/usr/share/djigzo-web/djigzo.war\" unpackWAR=\"false\"/>" > /etc/tomcat6/Catalina/localhost/djigzo.xml
echo "<Context docBase=\"/usr/share/djigzo-web/djigzo-portal.war\" unpackWAR=\"false\"/>" > /etc/tomcat6/Catalina/localhost/web.xml

/etc/init.d/tomcat6 restart

Funktionsüberprüfung von DJIGZO

Wenn DJIGZO gestartet wurde, so läuft dieser auf dem Port 8443. Dies kann man überprüfen:

netstat -antp |grep 8443

Folgendes Logfile sollte beim starten von Tomcat nach fehlern beobachet werden:

tail -f /var/log/tomcat6/catalina.out

Konzept DJIGZO

DJIGZO teilt die Mails, die über das System laufen, in zwei Orte (Locality) ein.
Es  ist sehr wichtig zu verstehen, diese Orte zu verstehen, damit die entsprechenden Einstellungen richtig angewandet werden.

Intern User: Das sind alle User, die in der Firma sitzen und E-Mails über DJIGZO heraus senden

Extern User: Das sind alle E-Mail's, die von Intern nach draußen versendet werden, oder von draußen hereinkommen

Erste Anmeldung:

Wurde das Servlet erfolgreich gestartet, so kann der erste Login erfolgen. Der Container ist dabei unter /djigzo zu erreichen:

https://sgate.net-cry.de:8443/djigzo/

Die erste Anmeldung erfolgt mit:

username: admin
password: admin

Passwort ändern

Das sollte man nach dem ersten Login sofort ändern.
Zufinden ist das nach dem Login im Bereich Admin

menu-admin.png

page-administrator.png

Auf dieser Seite kann man das Passwort vom User "admin" ändern.
Hier können auch weitere Administrationen mit unterschiedlichen Rollen  angelegt werden.

MTA (Postfix) Einstellungen

page-mta.png

Relay Host

Der Realy Host ist ein wichtige Einstellung. Für DJIGZO hat der Relay Host die Rolle "Intern". Alle Mails von dieser Domain werden weitergeleitet.

mta-config-relay.png

Relay Network (vertrautes Netzwerk)

Eine ebenfaffs wichtige Einstellung ist das Netzwerk. Von diesem Netzwerk können die Clients Mail über DJIGZO senden

mta-config-network.png

Host Einstellungen:

Unter Other kann der external relay Host eingetragen werden.
Sollte der external Host eine Verschlüsselung verlangen, so ist etwas handarbeit notwendig.

mta-config-host.png

SASL Konfiguration

Die SASL Einstellung werden unter dem Punkt "SASL" eingetragen.

page-mta-sasl.png

 Dort wird der External relay Host mit dem entsprechenden User ungetragen

mta-config-sasl.png

Jetzt muss die "/etc/postfix/main.cf" manuell angepasst werden.

smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/smtp_client_passwd
smtp_sasl_security_options = noanonymous
 

 Wichtig ist, das diese Packet installiert sind.

libsasl2-2 libsasl2-modules sasl2-bin

Danach ist Bassisinstallation beendet. Es erfolgt die Konfiguration

Konfiguration

Default Einstellungen.

Die Default Einstellungen werden unter "Settings" durchgeführt:

menu-setting.png

Die Einstellungen werden von dieser "Default Einstellung" für andere Einstellungen vererbt.

page-global-preferenc.png

Wichtig Einstellungen sind:

Encrypt Mode:

Das wiederspricht dem ersten Gedangen, verschlüsselt oder signiert zu senden, so wird aber kein Secure-PDF erzeugt, wenn ein Mail über das Gateway versendet wird. Sonst steht das Telefon nicht mehr still.

Wir möchten eine Benachrichtigung zum Absender übermitteln, wenn die E-Mail verschlüsselt wurde.

page-global-general.png

Encryption subject trigger

Hier wird die Möglichkeit geschaffen, über einen Trigger in der Betreffzeile auf Wunsch die E-Mail zuverschlüsseln.
Enthält die Betreffzeile "--secure--" oder "--encrypt--", so wird diese Verschlüsselt versendet. Sollte kein Zertifikat vorhanden sein, so wird eine "Secure-PDF" mit Password erzeugt.

(?i)(--secure--|--encrypt--).

page-global-encryption.png

Mit diesem Einstellungen kann jetzt die Domain erzeugt werden. Dieser Erbt dann die Globalen Einstellungen

 


 





 

Artikelaktionen

abgelegt unter: ,
Richard Becher sagt
15.03.2015 20:26
Vielen Dank für die Erklärung. Die einzige die auf Deutsch zu finden war und ein schnelles und unkompliziertes Setup ermöglicht.
Dominik sagt
21.04.2015 16:44
Hallo!

Vielen Dank für die gute Anleitung. Ich habe noch ein Verständnisproblem zu Ciphermail.
Wie kann ich CM mit z.B. Thunderbird koppeln? Ich stelle mir vor, dass CM einen IMAP-Server bereitstellt, von dem ich mit Thunderbird meine E-Mails abrufen kann, und einen SMTP-Server, über den ich Mails verschicken kann.

Ist das so gedacht, oder muss ich noch andere Tools installieren, dass es so läuft?

Danke
 Dominik
Andreas Kempf sagt
22.04.2015 07:55
Hallo Dominik,
wie in der Zeichnung rechts zu sehen ist, dient Ciphermail als SMTP-Gateway und wird in den Mail Verkehr transparent eingebunden. Ciphermail signiert, ver- und entschlüsselt Mail für den User transparent, egal welchen Client er verwendet.
Das bedeutet, es wird noch ein Mail-Server benötigt. An diesem Mail-Server kommen die Mail's unverschlüsselt an.
Als Mail Server empfehle ich Zarfa. Eine sehr gute Lösung als Mail Server (Groupware). Da es immer mehr darauf ankommt, auch Smartphons zu versorgen, benutze ich diese Software. Zarfa wird an Smartphones mit einem "Exchange-Connector" angebunden. Damit werden Kontakte, Kalender und Mails weitergereicht. Notfalls kann Zarfa auch als IMAP-Server dienen. Ich benutze keinen E-Mail Client's mehr, sonder nur noch die Weboberfläche von Zarfa oder ein Smarphone
Besonders Interessant ist bei Zarfa die Möglichkeit, ausgehende E-Mail's global mit einer HTML-Signatur (Disclaimers ) zu versorgen. Für die Verwaltung von dem Mail-Server kann yaffas genutzt werden. Es stellt eine entsprechende Weboberfläche zu Administration zu Verfügung.
Samuel sagt
19.06.2015 23:36
Hallo!

Ich habe eine teils ähnliche Frage wie Dominik.
Ist es möglich mittels ciphermail auch eingehende Mails zu entschlüsseln?
Wie wäre das am besten umzusetzen? Momentan läuft auf meinem Server Fetchmail und der Klient holt dann via IMAP die Mails vom Server ab.
Wäre es irgendwie möglich ciphermail darin zu integrieren?

Vielen Dank und viele Grüße,
Samuel
Andreas Kempf sagt
02.07.2015 16:59
Hallo,
ja, das ist der Sinn der Sache, damit der User sich damit nicht herumschlage muss.
ciphermail ver- und entschlüsselt ein- und ausgehende Mails, sobald ein Zertifikat für die E-Mail Adresse gefunden wurde.
In deinen Fall würde ich wie oben beschrieben, zwei Server aufsetzen.
Einen als sgate (Secure Gateway), dort läuft ciphermail und einen Zarafa Server.
Auf dem sgate können dann mit fetchmail die Mails abgehohlt werden. Diese werden dann an das sgate weitergeleitet.
Dort erfolgt die ver- und Entschlüsslung. Danach wird die Mail an Zarfa weitergeleitet, wo der Anwender mit IMAP oder was auch immer abholen.
Impune sagt
13.11.2015 22:32
Hallo,
ich muss auf unserer Ciphermail ein s/mime Domain Zertifikat hinterlegen.
Kann mir hier jemand helfen bzw. Tipps geben?

Wir wollen eine Domain zu Domain verschlüsselung einrichten.
Wäre für jede Hilfe sehr dankbar!

Grüße
impune
Kommentieren

Sie können einen Kommentar abgeben, indem Sie das untenstehende Formular ausfüllen. Nur Text. Web- und E-Mailadressen werden in anklickbare Links umgewandelt. Kommentare werden moderiert.

Enter the word