Icon Makefg

Ab Version 13 erzeugt NoSpamProxy zwei DKIM-Schlüssel, einen im RSA-Format und einen EdDSA-Format (Edwards-Curve Digital Signature Algorithm). Die RFC hierzu finden Sie hier https://tools.ietf.org/html/rfc8463

DKIM Schlüssel Version 13

Im Beispiel der “key2018r” ist im RSA-Format wie bisher auch. Der “key2018e” ist mit Version 13 neu und muss zusätzlich im DNS veröffentlicht werden.

Upgrade auf NoSpamProxy Version 13

Nach einem Upgrade auf Version 13 wird der EdDSA-Key automatisch zusätzlich zu den existierenden Schlüsseln erzeugt. Ebenfalls wird folgender Vorfall auf der Startseite der Konsole dargestellt
“Der DNS-Eintrag dkim.teste._domainkey.dkim.test ( Eigene Domäne ) fehlt. Bitte erstellen Sie den DNS-Eintrag um diesen Vorfall zu lösen. Wir werden den Eintrag in einigen Minuten erneut überprüfen.”DKIM Schlüssel nicht veröffentlicht

E-Mails gelten als gültig, solange eine der aufgetragenen DKIM-Schlüssel erfolgreich validiert werden konnte. Es stellt also kein Problem dar, wenn der neue DKIM-Schüssel im EdDSA-Format benutzt wird aber noch nicht veröffentlich ist. Dies sollte aber trotzdem zeitnah umgesetzt werden.

Bitte beachten: Wenn die Intranet Rolle einen eigenen internen DNS Server verwendet, der keine Abfragen nach extern durchführt, müssen alle DKIM Schlüssel auf diesem DNS Server ebenfalls veröffentlicht werden.

Erstellung eines neuen Schlüsselpaares

Ab Version 13 wird eine größere Verschlüsselungssicherheit (2048bit) für den RSA-Schlüssel verwendet, wodurch der Schlüssel größer als die im DNS erlaubten 255 Zeichen wird. Hierfür muss der erzeugte Schlüssel beim Einbinden in das DNS korrekt umgebrochen werden. Hierfür verwenden Sie das doppelte Anführungszeichen (“) und brechen entsprechend dort um, so dass im ersten Teil weniger als 255 Zeichen enthalten sind.

Erzeugter Schlüssel im NoSpamProxy (ohne Umbruch)
"v=DKIM1; k=rsa;
p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQ
EAzvf5N0hu8i4wM5quF3e5otVwN/IhKeoEEbkstlIgGY
XSZQ+Tc7tJmkn/QyD8rvTWhAdmrLPfsDt2GwCkKBlupw
P7mtyQYR8bzw2fPCiUMW+Y7FyfRJSAFhRwykkrG1JbCy
J5Phn8qRYH4Rq1lo8BavEr7+/MeEf/CR1gdXH6kQ+SEc
a0M/2OJjoHOLdmvsyb9qnBa5HB58DQr6FpneHXCfAY6m
OI6vykmkVfb/MAr9CZFKrWY+17dPHDhKJDEwsQymCGUu
GwzLwlPcjLVbMSQGXrtdWy8cJbeOa+iO2Gwp4yS2urmT
/k8aK4256GhSQbBH3HOCxRgNL3Yb4G1mo92QIDAQAB"

Zu verwendender Schlüssel im DNS (mit Umbruch)
"v=DKIM1; k=rsa;
p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQ
EAzvf5N0hu8i4wM5quF3e5otVwN/IhKeoEEbkstlIgGY
XSZQ+Tc7tJmkn/QyD8rvTWhAdmrLPfsDt2GwCkKBlupw
P7mtyQYR8bzw2fPCiUMW+Y7FyfRJSAFhRwykkrG1JbCy
J5Phn8qRYH4Rq1lo8BavEr7+/MeEf/CR1gdXH"
"6kQ+SEca0M/2OJjoHOLdmvsyb9qnBa5HB58DQr6Fpne
HXCfAY6mOI6vykmkVfb/MAr9CZFKrWY+17dPHDhKJDEw
sQymCGUuGwzLwlPcjLVbMSQGXrtdWy8cJbeOa+iO2Gwp
4yS2urmT/k8aK4256GhSQbBH3HOCxRgNL3Yb4G1mo92Q
IDAQAB"

Sicherung der DKIM-Schlüssel

Vor jedem Update des NoSpamProxy-Systems auf eine neue Version, oder bei normalen Sicherungen, sollte der aktuelle DKIM-Schlüssel exportiert und gesichert werden.
Den Schlüssel kann man unter “Menschen und Identitäten > DKIM-Schlüssel” exportieren und im Falle einer Wiederherstellung des Systems auch wieder importieren.

Hinweis

Manche DKIM Validierungstools geben bei DKIM Schlüssel im neuen EdDSA-Format noch einen Fehler aus, da diese nur RSA-Formate erwarten.
Funktionierende Tools sind z.B. MXToolBox https://mxtoolbox.com/dkim.aspx

Icon Makefg

Es kann vorkommen, dass bei Systemen in der Cloud – zum Beispiel in Microsoft Azure – der Port 25 ausgehend vom Anbieter blockiert wird. Port 25 wird aber zum Versand von E-Mails benötigt, was einen Betrieb von NoSpamProxy auf solch einem System behindert.

Hierzu bieten wir eine Alternative an, um solche Systeme trotzdem zu nutzen: unseren “TCP-Proxy”. Dieses System kann auf unten beschriebene Weise in NoSpamProxy aktiviert werden. Dann werden die Mails vom Server aus über Port 443 an den TCP-Proxy gesendet und von dort dann über Port 25 weiter zum Empfängersystem.

Allgemeine Hinweise zur Benutzung des TCP-Proxy

  • Wenn der TCP-Proxy implementiert ist, tritt dieser als absendendes System auf. Somit muss der TCP-Proxy auch mit in Ihrem SPF-Eintrag aufgenommen werden. Bitte fügen Sie folgenden Eintrag in Ihren SPF-Eintrag hinzu:
    include:_spf.proxy.nospamproxy.de
  • Sie müssen das unten erwähnte Zertifikat herunterladen und auf dem System mit der NoSpamProxy-Gateway-Rolle in die Microsoft Zertifikatsverwaltung des Computerkontos als “Vertrauenswürdiges Stammzertifikat” importieren.

Einbinden des TCP-Proxy

  1. Stoppen Sie den Dienst der Gateway-Rolle über die NoSpamProxy-Konsole oder die Windows-Dienste
  2. Öffnen Sie als Administrator einen Texteditor auf dem System, auf dem die Gateway-Rolle installiert ist.
  3. Öffnen Sie die Konfigurationsdatei “Gateway Role.config” aus dem Verzeichnis “C:\ProgramData\Net at Work Mail Gateway\Configuration\”.
  4. Suchen Sie in der Datei nach “<smtpServicePointConfiguration“. Dort ändern/fügen Sie den Wert “isProxyTunnelEnabled="true"” als Attribut hinzu.
    Falls “<smtpServicePointConfiguration” nicht zu finden ist, suchen Sie bitte alternativ nach “<netatwork.nospamproxy.proxyconfiguration” und fügen die folgende Zeile direkt unter diesem Wert hinzu:
    <smtpServicePointConfiguration isProxyTunnelEnabled="true" />
  5. Speichern Sie die Datei ab und schließen Sie den Editor.
  6. Legen Sie das Root CA Zertifikat im Zertifikatsspeicher von Microsoft im Computerkonto unter “Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate” auf dem Server mit der Gateway Rolle ab.
  7. Bearbeiten Sie in der NoSpamProxy-Konsole unter “Konfiguration > NoSpamProxy Komponenten > Gateway Rollen” die entsprechende Gateway Rolle und ändern Sie den Wert für “SMTP Servername” auf den Wert “proxy.nospamproxy.de“.
  8. Starten Sie den Gateway-Rollen-Dienst wieder
  9. Öffnen Sie die Datei “Gateway Role.config” erneut und prüfen Sie, ob der Wert beim Start erhalten geblieben ist.
Icon Makefg

In diesem Artikel möchten wir auf die Vorgehensweise bei der Inhaltsfilter-Konfiguration eingehen. Hierbei sind die Kombinationen der Inhaltsfiltereinträge entscheidend.

Konfigurationsmöglichkeit 1

Man kann mehrere Inhaltsfiltereinträge innerhalb eines Inhaltsfilters definieren. Diese Inhaltsfiltereinträge sind ODER-verknüpft. Diese Einträge werden nach einander von oben nach unten abgearbeitet und sobald der erste Eintrag greift, werden die nachfolgenden nicht mehr berücksichtigt.

Beispiel:

Ein Inhaltsfiltereintrag auf Dateityp (englisch: File type) “Office – Word” und ein Inhaltsfiltereintrag auf Dateiname (englisch: Filename)”*.doc”

Inhaltsfilter mit Dateiname Bedingungen im Inhaltsfiltereintrag  Inhaltsfilter mit MIME Type Bedingungen im Inhaltsfiltereintrag

In diesem Fall wird zuerst auf den Dateityp geprüft und falls dieser Eintrag übersprungen wird, da der Dateityp nicht übereinstimmt, werden alle Dateien die eine Office Word Dateiendung haben durch den Folgeeintrag abgewiesen. Somit kann keine umbenannte Datei mit einer Office Word Endung zugestellt werden.

Konfigurationsmöglichkeit 2

Man kann mehrere Bedingungen innerhalb eines Filtereintrages definieren. Diese Bedingungen sind UND-verknüpft. Somit müssen beide Bedingungen auf eine Datei zutreffen, damit sie vom Inhaltsfiltereintrag bearbeitet werden

Beispiel:

Inhaltsfiltereintrag auf Dateityp (englisch: File type) “Office – Word” UND Dateiname (englisch: Filename) “*.doc”

Inhaltsfilter mit zwei Bedingungen im Inhaltsfiltereintrag

In diesem Fall wird dieser Eintrag nur greifen, wenn die Datei einen Office Word Dateityp hat und auch auf “.doc” endet. Ansonsten wird dieser Eintrag übersprungen und ggf. wird der Anhang dann nicht korrekt verarbeitet.

Icon Makefg

Aufgrund der steigenden Notwendigkeit des Warteschlangenmodus innerhalb der eingehenden Sendekonnektoren des NoSpamProxy werden wir die direkte Zustellung abkündigen.

Was bedeutet Warteschlangenmodus?

Im Warteschlangenmodus werden die Mails vom NoSpamProxy empfangen, geprüft und dann direkt an den absendenden Server bestätigt. Erst danach werden die Mails an die nachfolgenden Systeme weiter gegeben.
Dieses Verfahren ist notwendig insbesondere bei der Inhaltsfilterung, beziehungsweise bei der Weiterleitung an Office 365 Tenants. Ebenfalls bietet es den Vorteil, dass wenn das nachfolgende System mal nicht erreichbar ist, das der NoSpamProxy dann die eingehenden Mails in der Warteschlange hält und bei Wieder-Erreichbarkeit dieses dann direkt weiterleitet.

Wie kann es konfiguriert werden?

Gehen Sie bitte in der Konsole des NoSpamProxy unter “Konfiguration > E-Mail Routing > Eingehende Sendekonnektoren” und klicken auf den Link “Zu Warteschlangenmodus wechseln”.

Icon Makefg

An dieser Stelle finden Sie einige bekannte Schlüsselserver namhafter Hersteller. Des Weiteren finden Sie in der Liste die entsprechenden Einstellungen für die Einbindung in NoSpamProxy.

Diese Verzeichnisse werden automatisch über den OpenKeys Server ( https://openkeys.de ) abgefragt. Dieser kann ab NoSpamProxy Version 12.1 aktiviert werden.

Anbieter: A-Trust
Hostname: ldap.a-trust.at:389
Anmeldung: Anonymous
LDAP Suche: Unbeschränkte Suche auf (mail=%e)
LDAP Felder: userCertificate;binary

Anbieter: Arbeitsagentur (Für weitere Infos zu diesem LDAP-Server wenden Sie sich bitte an: IT-Systemhaus.Zertifizierungsdienst@arbeitsagentur.de)
Hostname: cert-download.arbeitsagentur.de:389
Anmeldung: CN=Username,OU=BA,O=Bundesagentur fuer Arbeit,C=de
LDAP Suche: Im Container OU=BA,O=Bundesagentur fuer Arbeit,C=de auf (mail=%e)
LDAP Felder: ​userCertificate;binary

Anbieter: Bundesamt f. Sicherheit in der IT
Hostname: x500.bund.de:389
Anmeldung: Anonymous
LDAP Suche: Unbeschränkte Suche auf (mail=%e)
LDAP Felder: userCertificate;binary

Anbieter: D-TRUST
Hostname: directory.d-trust.net:389
Anmeldung: Anonymous
LDAP Suche: Im Container c=de auf (mail=%e)
LDAP Felder: userCertificate;binary

Anbieter: Datev
Hostname: ldap.crl.esecure.datev.de:389
Anmeldung: Anonymous
LDAP Suche: Unbeschränkte Suche auf (mail=%e)
LDAP Felder: userCertificate;binary

Anbieter: ​DFN
Hostname: ldap.pca.dfn.de:389
Anmeldung: ​Anonymous
LDAP Suche: Im Container mit der ​Basis-DN: o=DFN-Verein,c=DE nach (mail=%e) suchen
LDAP Felder: userCertificate;binary​

Anbieter: S-Trust
Hostname: directory.s-trust.de:389
Anmeldung: Anonymous
LDAP Suche: Im Container dc=s-trust,dc=de auf (mail=%e)
LDAP Felder: userCertificate;binary

Anbieter: Siemens PKI
Hostname: cl.siemens.com:389
Anmeldung: Anonymous
LDAP Suche: Unbeschränkte Suche auf (mail=%e)
LDAP Felder: userCertificate;binary

Anbieter: T-Systems Mailpass
Hostname: ldap.t-mailpass.de:389
Anmeldung: Anonymous
LDAP Suche: Unbeschränkte Suche auf (mail=%e)
LDAP Felder: userCertificate;binary

Anbieter: DigiCert, Inc. (vormals VerSign Inc.)
Hostname: ldap://directory.pki.digicert.com:389
Anmeldung: Anonymous
LDAP Suche: Unbeschränkte Suche auf (mail=%e)
LDAP Felder: userCertificate;binary

Anbieter: SwissSign AG
Hostname: directory.swisssign.net:389
Anmeldung: Anonymous
LDAP Suche: Im Container o=SwissSign,c=CH auf (mail=%e)
LDAP Felder: userCertificate;binary

Icon Makefg

Office 365 relevante IP Adressen

Alle für Office 365 relevanten IP-Adressen zur Integration in das Net at Work Mail Gateway finden sich stets gepflegt unter:
https://support.office.com/de-de/article/URLs-und-IP-Adressbereiche-von-Office-365-8548a211-3fe7-47cb-abb1-355ea5aa88a2

Wie Sie Office 365 im NoSpamProxy einrichten müssen, erfahren Sie unseren Dokumentationen im Dokument Integration in Office 365, in Microsoft Azure und als On-premises-Lösung