Icon Makefg

Konfiguration der CYREN Dienste

, , , ,

Konfiguration der CYREN Dienste für die Verwendung eines Webproxy

Dieser Artikel beschreibt, wie Sie in allen NoSpamProxy – Versionen ab der Version 9.2 lizensiert mit dem Modul Protection einen Proxy-Server für die CYREN Dienste konfigurieren. Dazu müssen Sie die Dateien

  • ctasd.conf
  • ctipd.conf (zusätzlich verfügbar ab Version 12.x)
  • ctwsd.conf (zusätzlich verfügbar ab Version 13.x)

aus dem Verzeichnis  “C:\ProgramData\Net at Work Mail Gateway\CYREN\” bearbeiten.

Der folgende Abschnitt ist dafür verantwortlich:

#   If you connect to the Internet through a proxy server, you
#   should uncomment the following parameters and assign appropriate
#   values.
#ProxyPort = 80
#ProxyServerAddress = myproxy
#ProxyAuth = NoAuth
#ProxyUserName = user@proxy
#ProxyPassword = 1234
#ProxyAccess = 1

Wenn Sie einen Proxy-Server ohne Authentifizierung verwenden, entfernen Sie das #-Zeichen vor den Zeilen “ProxyPort”, “ProxyServerAddress”, “ProxyAuth” und “ProxyAccess”. Tragen Sie bei “ProxyPort” den entsprechenden Port Ihres Proxy-Servers ein. Hinter den Eintrag “ProxyServerAddress” konfigurieren Sie entweder die IP-Adresse oder den FQDN Ihres Proxy-Servers. Bei “ProxyAuth” belassen Sie den Eintrag auf “NoAuth”.

Wenn Sie einen Proxy-Server mit Authentifizierung verwenden, müssen Sie zusätzlich die Optionen “ProxyUserName” und “ProxyPassword”. Tragen Sie bei “ProxyUserName” und “ProxyPassword” die entsprechenden Anmeldeinformationen ein. Zusätzlich müssen Sie den Wert “ProxyAuth” auf “Basic” ändern.

Nachdem Sie die Datei abgespeichert haben, müssen Sie die Dienste NoSpamProxy – CYREN Service (ctasd.conf), NoSpamProxy – CYREN IP Reputation Service (ctipd.conf) und NoSpamProxy – CYREN URL Categorization Service (ctwsd.conf) neu starten, damit die Änderungen übernommen werden.

Hinweis

Damit alle Cyren Dienste ordnungsgemäß funktionieren, muss der uneingeschränkte Zugriff auf *.ctmail.com gegeben sein. Auch ein Virenscan auf diese Verbindungen darf nicht gemacht werden, da dort auch die Definitionen für den Cyren Premium AntiVirus heruntergeladen werden!

/by
Icon Makefg

NoSpamProxy Software-Archiv

, , , , , , , , ,

Hier finden Sie alle Versionen, die Voraussetzung für ein Upgrade auf die aktuelle Version sind. Beachten Sie bei Durchführung des Upgrades unbedingt die Installations- und Upgrade-Anleitung der jeweiligen Version, da teilweise manuelle Änderungen erforderlich sind. Beachten Sie auch, dass Änderungen, die Sie beispielsweise beim Upgrade von Version 7.6 auf 8.0 durchführen müssen, auch für ein direktes Upgrade von 7.6 auf 8.5 erforderlich sind.

Die aktuelle Version finden Sie unter Software-Download.

 

13.1 (Schneller Kanal)

13.1 (Regulärer Kanal)

 

13.0 (Schneller Kanal)

13.0 (Regulärer Kanal)

 

12.2 (Schneller Kanal)

12.2 (Regulärer Kanal)

 

12.1 (Schneller Kanal)

12.1 (Regulärer Kanal)

 

12.0

 

11.1

 

11.0

 

10.1

 

9.2

 

8.5

/by
Icon Makefg

Liste bekannter LDAP-Verzeichnisse samt Konfigurationseinstellung

, , , ,

An dieser Stelle finden Sie einige bekannte Schlüsselserver namhafter Hersteller. Des Weiteren finden Sie in der Liste die entsprechenden Einstellungen für die Einbindung in NoSpamProxy.

Diese Verzeichnisse werden automatisch über den OpenKeys Server ( https://openkeys.de ) abgefragt. Dieser kann ab NoSpamProxy Version 12.1 aktiviert werden.

Anbieter: A-Trust
Hostname: ldap.a-trust.at:389
Anmeldung: Anonymous
LDAP Suche: Unbeschränkte Suche auf (mail=%e)
LDAP Felder: userCertificate;binary

Anbieter: Arbeitsagentur (Für weitere Infos zu diesem LDAP-Server wenden Sie sich bitte an: IT-Systemhaus.Vertrauensdienste@arbeitsagentur.de)
Hostname: cert-download.arbeitsagentur.de:389
Anmeldung: CN=Username,OU=BA,O=Bundesagentur fuer Arbeit,C=de
LDAP Suche: Im Container OU=BA,O=Bundesagentur fuer Arbeit,C=de auf (mail=%e)
LDAP Felder: ​userCertificate;binary

Anbieter: Bundesamt f. Sicherheit in der IT
Hostname: x500.bund.de:389
Anmeldung: Anonymous
LDAP Suche: Unbeschränkte Suche auf (mail=%e)
LDAP Felder: userCertificate;binary

Anbieter: D-TRUST
Hostname: directory.d-trust.net:389
Anmeldung: Anonymous
LDAP Suche: Im Container c=de auf (mail=%e)
LDAP Felder: userCertificate;binary

Anbieter: Datev
Hostname: ldap.crl.esecure.datev.de:389
Anmeldung: Anonymous
LDAP Suche: Unbeschränkte Suche auf (mail=%e)
LDAP Felder: userCertificate;binary
Hinweis:
Dieses System wird über OpeneKeys abgefragt, es werden aber nur Zertifikate von vertrauten Root CAs importiert, da nicht jede CA zum Verschlüsseln geeignete Zertifikate ausstellt.

Anbieter: ​DFN
Hostname: ldap.pca.dfn.de:389
Anmeldung: ​Anonymous
LDAP Suche: Im Container mit der ​Basis-DN: o=DFN-Verein,c=DE nach (mail=%e) suchen
LDAP Felder: userCertificate;binary​

Anbieter: S-Trust
Hostname: directory.s-trust.de:389
Anmeldung: Anonymous
LDAP Suche: Im Container dc=s-trust,dc=de auf (mail=%e)
LDAP Felder: userCertificate;binary

Anbieter: Siemens PKI
Hostname: cl.siemens.com:389
Anmeldung: Anonymous
LDAP Suche: Unbeschränkte Suche auf (mail=%e)
LDAP Felder: userCertificate;binary

Anbieter: T-Systems Mailpass
Hostname: ldap.t-mailpass.de:389
Anmeldung: Anonymous
LDAP Suche: Unbeschränkte Suche auf (mail=%e)
LDAP Felder: userCertificate;binary

Anbieter: DigiCert, Inc. (vormals VerSign Inc.)
Hostname: ldap://directory.pki.digicert.com:389
Anmeldung: Anonymous
LDAP Suche: Unbeschränkte Suche auf (mail=%e)
LDAP Felder: userCertificate;binary

Anbieter: SwissSign AG
Hostname: directory.swisssign.net:389
Anmeldung: Anonymous
LDAP Suche: Im Container o=SwissSign,c=CH auf (mail=%e)
LDAP Felder: userCertificate;binary

/by
Icon Makefg

Einbindung des WebPortals erfordert einen Benutzer Account

, , , ,

Bei der Einbindung des WebPortals in die Konfiguration müssen bei verschiedenen Szenarien die folgenden Einstellungen beachtet werden, die außerhalb des NoSpamProxy, aber zwingend für das Einbinden notwendig sind.

Szenarien

  • NoSpamProxy WebPortal wird parallel zur Gateway Rolle und/oder Intranet Rolle auf dem gleichen System betrieben
    Hierbei muss der Microsoft KB926642 Artikel angewandt werden. Dabei wird die Methode 2: Erstellen der LSA-Hostnamen (Local Security Authority), die in einer NTLM-Authentifizierungsanforderung referenziert werden können empfohlen, insbesondere für Produktivumgebungen. Methode 1: Deaktivieren der Loopback-Funktionalität für die Authentifizierung sollte nur auf Testumgebungen angewandt werden!
    Hinweis: Die Artikel bei Microsoft vertauschen die Methoden in der englischen und deutschen Variante. Prüfen Sie immer die genaue Bezeichnung!
  • NoSpamProxy WebPortal wird auf einem System in der DMZ / auf Computer(n) außerhalb der Domäne betrieben
    Hierbei muss der Microsoft KB951016 Artikel angewandt werden

 

/by
Icon Makefg

ASN1 Fehler, nicht genügend Arbeitsspeicher

, ,

Fehler:

Beim Empfang und der Entschlüsselung einer 5MB großen E-Mail, wird die E-Mail mit dem Fehler “ASN1 nicht genügend Arbeitsspeicher” abgewiesen. Der selbe Fehler wird auch in der Nachrichtenverfolgung angezeigt.

Status:

Dieses Problem tritt auf, weil eine Puffergröße vom .NET-Framework nicht ordnungsgemäß erhöht wird. Dieses Problem ist bei Microsoft bekannt und kann durch ein Update des .NET Frameworks auf die aktuellste Version oder mit einem Hotfix behoben werden.

Lösung:

  1. Installation / Upgrade der .NET Framework Version (Empfehlung Version größer/gleich .NET Framework 4.7.2)
    ODER
  2. Hotfix über den NoSpamProxy Support anfragen
/by
Icon Makefg

Gleichzeitige ausgehende Verbindungen setzen

, , , ,

Wie kann man die Anzahl der gleichzeitigen Verbindungen manuell festlegen?

Dieser Artikel beschreibt, wie Sie die Anzahl der ausgehenden Verbindungen der Gateway Rolle ändern können.

Die entsprechenden Einstellungen werden in der Datei “Gateway Role.config” in “C:\ProgramData\Net at Work Mail Gateway\Configuration\” auf der jeweiligen Gateway Rolle vorgenommen. Zum Editieren der Datei müssen Sie die Gateway Rolle zuvor anhalten.

Unterhalb des Tags
<netatwork.nospamproxy.proxyconfiguration ... >

fügen Sie im Tag <queueConfiguration> die Attribute maxConcurrentConnections="xx" und maxConcurrentConnectionsPerDomain="xx", dass diese z.B. so aussehen:
<queueConfiguration maxConcurrentConnections="100" maxConcurrentConnectionsPerDomain="10" />

Dies begrenzt die Anzahl der gleichzeitigen Verbindungen auf 100, wobei pro Domain nur maximal 10 gleichzeitige Verbindungen erlaubt sind.

/by
Icon Makefg

Gleichzeitige eingehende Verbindungen setzen

, , , ,

Wie kann man die Anzahl der gleichzeitigen Verbindungen manuell festlegen?

Dieser Artikel beschreibt, wie Sie die Anzahl der gleichzeitigen Verbindungen manuell festlegen können. Seit der Version 7.0 legt der NoSpamProxy diese Anzahl selbst und dynamisch fest. Als Grundlage für diese Entscheidung gilt die CPU- und Speicherauslastung. Um dieses Verhalten zu unterbinden, gehen Sie wie folgt vor:

Stoppen Sie zunächst den Dienst der Gateway Rolle. Die entsprechende Einstellung wird in der “Gateway Role.config” vorgenommen. Diese Datei finden Sie in “C:\ProgramData\Net at Work Mail Gateway\Configuration\” auf der jeweiligen Gateway Rolle.

Suchen Sie nach der Zeile, die mit folgenden Zeichen beginnt:
<netatwork.nospamproxy.proxyconfiguration...

Direkt unter dieser Zeile fügen Sie folgenden Wert ein:
<connectionLimits hardUpperConnectionLimit="" minimumNumberOfConcurrentSessions="" />

Wenn die Werte wie in diesem Beispiel nicht angegeben sind, gilt das dynamische Limit (je nachdem wie die CPU Auslastung ist).

Die Werte sind beides ganzzahlige Werte.

Mit dem Wert hardUpperConnectionLimit legen Sie das maximales Limit an Verbindungen fest.
Der Wert minimumNumberOfConcurrentSessions bestimmt die minimale Anzahl von gleichzeitigen Verbindungen.

Beispiel:
<connectionLimits hardUpperConnectionLimit="100" minimumNumberOfConcurrentSessions="50" />

Speichern Sie anschließend die Konfigurationsdatei und starten Sie anschließend die Gateway Rolle erneut.

/by
Icon Makefg

SwissSign als Zertifikatsanbieter einbinden

, , , ,

Wichtige Informationen zum Einbinden von SwissSign als Zertifikatsanbieter

Das folgende Dokument ist gemeinsam mit unseren Kollegen von SwissSign entstanden. Es führt alle Punkte auf, die es beim Einbinden einer Managed PKI von SwissSign in NoSpamProxy zu beachten gilt.

FAQNetAtWork.pdf

Dieses Dokument wird bei Bedarf aktualisiert.

Letzte Aktualisierung: 03.09.2015

Von NoSpamProxy unterstützte SwissSign Silver-ID-Produkte

NoSpamProxy unterstützt aktuell zwei von drei angebotenen Silver-ID-Produkten:

  • Silver-Zertifikate ohne State-, Organisations- und Landes-Feld
    • Name im Bestellprozess: E-Mail ID Silver, E-Mail-Adresse validiert (Weboberfläche oder Partnerapplikation)
  • Silver-Zertifikate ohne State-Feld
    • Name im Bestellprozess: E-Mail ID Silver, E-Mail-Adresse validiert, Organisation, Land (nur Partnerapplikation)

Nicht unterstützte Produkte

Das folgende Silver-ID-Produkt wird nicht unterstützt:

  • Silver-Zertifikate mit State-Feld
    • Name im Bestellprozess: E-Mail ID Silver, E-Mail-Adresse validiert, Organisation, Kanton/Bundesland, Land (nur Partnerapplikation)

Bitte beachten Sie dies im Beschaffungsprozess bei SwissSign und bestellen Sie nur die unterstützten Produkte!

Sollten Sie das falsche Produkt bestellt haben, finden Sie unter folgendem Link das Formular, mit dem Sie die Änderung bei SwissSign beantragen können:
https://www.swisssign.com/dam/jcr:85abf68a-1990-47f7-9530-9b1cce0397a7/MPKI_ChangeOrder_DE.pdf

 

/by