Automatische E-Mail Ver- und Entschlüsselung mit Djigzo / Ciphermail S/MIME Gateway
Aus Djigzo wird Ciphermail! Die Entwickler der Software Djigzo haben sich entschieden, ihrer Software einen aussagekräftigeren Namen zu geben, der auch auf den eigentlichen Einsatzzweck hinweist. |
Checkliste Voraussetzungen:
Notwendiges Wissen:
- Administration von Linux
- Administration Postfix
Quellen
S/MIME Zertifikate:
Einführung:
Djigzo ver- und entschlüsselt vollautomatisch E-Mails. Der Anwender erfährt von dieser Arbeit nichts, weil djigzo mitten in dem Datanverkehr eingebunden ist.
Djigzo ist ein Java-Programm und steht unter der GNU Affero General Public License Version 3, Die Software klinkt sich als Filter in Postfix ein.
Ein Nachteil bei diesem Aufbau ist aber, das die Verschlüsselung erst ab dem S/MIME Gateway statt findet. D.h die Mail vom Client zum Gateway sind unverschlüsselt.
Basis Installation:
Die Installation stellt sich unter Debian als sehr einfach heraus.
Nach einer Basis Installation von Debian sind noch folgende zusätzliche Packet zu installieren:
apt-get -y install tomcat6 postgresql postfix tzdata-java ant ant-optional mktemp \ mailutils libasound2 libasyncns0 libatk-wrapper-java libatk-wrapper-java-jni libflac8 \ libgif4 libjson0 libogg0 libpulse0 libsndfile1 libvorbis0a libvorbisenc2 libx11-xcb1 \ openjdk-6-jre symlinks libsasl2-2 libsasl2-modules sasl2-bin
Wer die Installation nicht durchführen möchte, kann sich auch eine fertige Appliances herunterladen.
DJIGZO Debian Installaion:
Die Debian Packet werden von den Download Server von DJIGZO heruntergeladen
wget http://www.djigzo.com/downloads/djigzo-release-2.5.0-4/djigzo_2.5.0-4_all.deb wget http://www.djigzo.com/downloads/djigzo-release-2.5.0-4/djigzo-web_2.5.0-4_all.deb https://www.ciphermail.com/downloads/djigzo-release-2.9.0-0/djigzo_2.9.0-0_all.deb https://www.ciphermail.com/downloads/djigzo-release-2.9.0-0/djigzo-web_2.9.0-0_all.deb
und entsprechend Installiert.
dpkg -i djigzo_2.5.0-4_all.deb dpkg -i djigzo-web_2.5.0-4_all.deb dpkg -i djigzo_2.9.0-0_all.deb dpkg -i djigzo-web_2.9.0-0_all.deb
Nach dem installieren der Packet müssen folgende manuell Anpassungen durchgeführt werden:
Anpassung Postfix:
Kopieren der DJIGZO Postfix Konfigurationsdateien
cp /etc/postfix/djigzo-main.cf /etc/postfix/main.cf cp /etc/postfix/djigzo-master.cf /etc/postfix/master.cf newaliases /etc/init.d/postfix restart
Anpassung Tomcat:
echo "JAVA_OPTS=\"\$JAVA_OPTS -Ddjigzo-web.home=/usr/share/djigzo-web\"" >> /etc/default/tomcat6 echo "JAVA_OPTS=\"\$JAVA_OPTS -Djava.awt.headless=true -Xmx128M\"" >> /etc/default/tomcat6 echo "TOMCAT6_SECURITY=no" >> /etc/default/tomcat6 chown tomcat6:djigzo /usr/share/djigzo-web/ssl/sslCertificate.p12 cp /usr/share/djigzo-web/conf/tomcat/server-T6.xml /etc/tomcat6/server.xml echo "<Context docBase=\"/usr/share/djigzo-web/djigzo.war\" unpackWAR=\"false\"/>" > /etc/tomcat6/Catalina/localhost/djigzo.xml echo "<Context docBase=\"/usr/share/djigzo-web/djigzo-portal.war\" unpackWAR=\"false\"/>" > /etc/tomcat6/Catalina/localhost/web.xml /etc/init.d/tomcat6 restart
Funktionsüberprüfung von DJIGZO
Wenn DJIGZO gestartet wurde, so läuft dieser auf dem Port 8443. Dies kann man überprüfen:
netstat -antp |grep 8443
Folgendes Logfile sollte beim starten von Tomcat nach fehlern beobachet werden:
tail -f /var/log/tomcat6/catalina.out
Konzept DJIGZO
DJIGZO teilt die Mails, die über das System laufen, in zwei Orte (Locality) ein.
Es ist sehr wichtig zu verstehen, diese Orte zu verstehen, damit die entsprechenden Einstellungen richtig angewandet werden.
Intern User: Das sind alle User, die in der Firma sitzen und E-Mails über DJIGZO heraus senden
Extern User: Das sind alle E-Mail's, die von Intern nach draußen versendet werden, oder von draußen hereinkommen
Erste Anmeldung:
Wurde das Servlet erfolgreich gestartet, so kann der erste Login erfolgen. Der Container ist dabei unter /djigzo zu erreichen:
https://sgate.net-cry.de:8443/djigzo/
Die erste Anmeldung erfolgt mit:
username: admin
password: admin
Passwort ändern
Das sollte man nach dem ersten Login sofort ändern.
Zufinden ist das nach dem Login im Bereich Admin
Auf dieser Seite kann man das Passwort vom User "admin" ändern.
Hier können auch weitere Administrationen mit unterschiedlichen Rollen angelegt werden.
MTA (Postfix) Einstellungen
Relay Host
Der Realy Host ist ein wichtige Einstellung. Für DJIGZO hat der Relay Host die Rolle "Intern". Alle Mails von dieser Domain werden weitergeleitet.
Relay Network (vertrautes Netzwerk)
Eine ebenfaffs wichtige Einstellung ist das Netzwerk. Von diesem Netzwerk können die Clients Mail über DJIGZO senden
Host Einstellungen:
Unter Other kann der external relay Host eingetragen werden.
Sollte der external Host eine Verschlüsselung verlangen, so ist etwas handarbeit notwendig.
SASL Konfiguration
Die SASL Einstellung werden unter dem Punkt "SASL" eingetragen.
Dort wird der External relay Host mit dem entsprechenden User ungetragen
Jetzt muss die "/etc/postfix/main.cf" manuell angepasst werden.
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/smtp_client_passwd
smtp_sasl_security_options = noanonymous
Wichtig ist, das diese Packet installiert sind.
libsasl2-2 libsasl2-modules sasl2-bin
Danach ist Bassisinstallation beendet. Es erfolgt die Konfiguration
Konfiguration
Default Einstellungen.
Die Default Einstellungen werden unter "Settings" durchgeführt:
Die Einstellungen werden von dieser "Default Einstellung" für andere Einstellungen vererbt.
Wichtig Einstellungen sind:
Encrypt Mode:
Das wiederspricht dem ersten Gedangen, verschlüsselt oder signiert zu senden, so wird aber kein Secure-PDF erzeugt, wenn ein Mail über das Gateway versendet wird. Sonst steht das Telefon nicht mehr still.
Wir möchten eine Benachrichtigung zum Absender übermitteln, wenn die E-Mail verschlüsselt wurde.
Encryption subject trigger
Hier wird die Möglichkeit geschaffen, über einen Trigger in der Betreffzeile auf Wunsch die E-Mail zuverschlüsseln.
Enthält die Betreffzeile "--secure--" oder "--encrypt--", so wird diese Verschlüsselt versendet. Sollte kein Zertifikat vorhanden sein, so wird eine "Secure-PDF" mit Password erzeugt.
(?i)(--secure--|--encrypt--).
Mit diesem Einstellungen kann jetzt die Domain erzeugt werden. Dieser Erbt dann die Globalen Einstellungen
Artikelaktionen