News

TLS Support für den Cisco Spam und Virusblocker

In einer Ironport Präsentation hatte ich von der Möglichkeit erfahren, die Verbindung zwischen dem Mailserver und dem Spamblocker zu verschlüsseln. Aber wie konfiguriere ich das? Das CCO und auch die Support Community waren nicht sehr hilfreich. Immerhin gab es den Hinweis auf den Advanced User Guide auf der beiligenden CD. Also Doku CD rausgekramt und los gehts.

Zertifikat installieren

Die Appliance kommt mit einem selbst generierten Zertifikat. Dieses kann zu Testzwecken verwendet werden. Ich bevorzuge aber ein eigenes Zertifikat. Am einfachsten lässt sich das mit einem Linuxsystem und OpenSSL realisieren. Anleitungen zum Aufsetzen einer CA mit OpenSSL findet man reichlich.

Unser selbst erstelltes Zertifikat muss nun auf der Appliance installiert werden. Dazu verbindet man sich per ssh auf die Box.

ssh nospam.localdomain.local

Das Zertifikat wird dann mit folgendem Befehl installiert.

nospam.localdomain.local> certconfig

Currently using one certificate/key for receiving, delivery, HTTPS management
access, and LDAPS.
Choose the operation you want to perform:
- SETUP – Configure security certificates and keys.
- PRINT – Display configured certificates/keys.
- CLEAR – Clear configured certificates/keys.
[]> setup

Do you want to use one certificate/key for receiving, delivery, HTTPS
management access, and LDAPS? [Y]>

paste cert in PEM format (end with ‘.’):

<Zertifkat rein kopieren>

paste key in PEM format (end with ‘.’):

<Private Key rein kopieren>

Currently using one certificate/key for receiving, delivery, and HTTPS management access.
Choose the operation you want to perform:
- SETUP – Configure security certificates and keys.
[]> 

nospam.localdomain.local> commit

Nun steht das Zertifkat für das Management und TLS Verbindungen zur Verfügung. Damit es auch für das Management aktiv wird, baut man einfach eine neue Verbindung zur Appliance auf.

TLS für den Mailempfang aktivieren

In den Mail Flow Policies muss nun TLS für den Mailempfang aktiviert werden. Soll es für alle Empfänger gelten dann die Default Policy Parameters bearbeiten.

Mail Flow Policies auswählen.

 

Default Policy Parameters ändern.

TLS aktivieren.

 

 

Ab sofort steht beim Verbindungsaufbau auch TLS zur Verfügung. Zum Test einfach per Telnet Port 25 mit der Appliance verbinden.

telnet nospam.localdomain.local

 

220 nospam.j-schneider.net ESMTP
EHLO mail.localdomain.local
250-nospam.localdomain.local
250-8BITMIME
250-SIZE 10485760
250 STARTTLS

Nun kann es von einem TLS fähigen Mailserver getestet werden. Ebay verwendet z.B. TLS. ;-)

Der Blocker zeigt aber auch eine Statistik der TLS Verbindungen.