Absichern der Verbindung zu einem E-Mail-Server mit Hilfe eines Zertifikats - icom OS Router

  • Aktualisiert am Jan 8, 2025
  • Veröffentlicht am Jul 10, 2024
Prev Next

Situation

Die Verbindung zum E-Mail-Server soll mit einem Zertifikat geschützt werden. Dann baut der Router nur dann eine Verbindung zum Mail-Server auf, wenn das Server-Zertifikat von einer CA erzeugt wurde, deren Zertifikat im Router gespeichert ist.

Lösung

Für gängige E-Mail-Provider muss üblicherweise kein Zertifikat auf dem Router hinterlegt werden, da das CA-Bundle von cURL mit einer Reihe von Standard-CA-Zertifikaten bereits auf dem Router vorinstalliert ist. Verfügen Sie über eine eigene PKI-Infrastruktur für Ihren E-Mail-Server, müssen Sie dessen CA-Zertifikat bzw. CA-Zertifikate auf den Router laden. Der folgende Schritt Herunterladen der CA-Zertifikatsdatei ist nur erforderlich, wenn Sie das CA-Zertifikat über den Browser herunterladen müssen da es weder im CA-Bundle enthalten ist noch Ihnen als Datei zur Verfügung steht.

Herunterladen der CA-Zertifikatsdatei

Die CA Zertifikatsdatei für den Mail-Server muss zuerst heruntergeladen werden. Im Folgenden ist das Herunterladen mit dem geläufigen Browser Firefox beschrieben. Andere Browser verhalten sich ähnlich. Es wird vorausgesetzt, dass Ihr PC über Internet-Zugang verfügt.

  1. Geben Sie die Server-Adresse in einen Browser ein und melden Sie sich gegebenenfalls an.

  2. Klicken Sie auf das Schloss-Symbol () in der Adressleiste des Browsers, um die Sicherheitsinformationen anzuzeigen.

  3. Klicken Sie auf den Pfeil hinter der Server-Adresse () und auf Weitere Informationen in der Fußzeile des Felds.

  4. Klicken Sie im Fenster Seiteninformationen auf Zertifikat anzeigen.

  5. Scrollen Sie zum Abschnitt Verschiedenes und laden Sie die Zertifikatskette der Seite auf Ihren Computer herunter.

Router-Konfiguration

Es wird vorausgesetzt, dass Sie Zugriff auf die Bedienoberfläche des Routers haben und der Router mit dem Schnellstart-Assistenten für einen Internet-Zugang in Betrieb genommen wurde. Das erforderliche CA-Zertifikat ist auf Ihrem Computer gespeichert.

  1. Öffnen Sie die Bedienoberfläche des Routers: https://insys.icom

  2. Klicken Sie auf der Seite Administration → Zertifikate auf und wählen sie das CA-Zertifikat bzw. die Zertifikatskette aus.
    cg de m3 protecting mail connection v2 01

  3. Klicken sie auf SPEICHERN.

  4. Klicken Sie auf der Seite Ereignisse → E-Mail-Konto auf und konfigurieren Sie das E-Mail-Konto für den Versand der E-Mails:

    • E-Mail-Adresse des Absenders: E-Mail-Adresse wie beim Provider hinterlegt

    • Realer Name: INSYS Router

    • SMTP-Server: Der Domainname oder die IP-Adresse des SMTP-Servers

    • SMTP-Port: Der SMTP-Port, an dem E-Mails entgegen genommen werden

    • Benutzername: Benutzername zur Anmeldung des Routers am SMTP-Server für den Versand der E-Mail

    • Passwort: Passwort für die Authentifizierung

    • Verschlüsselung: STARTTLS

    • Vertrauenswürdige CA-Zertifikate: Wählen Sie eine der folgenden Optionen:

      • das oben hochgeladene CA-Zertifikat (dann wird nur dieses zur Verifizierung des Server-Zertifikats verwendet)

      • CA-Bundle und importierte CA-Zertifikate (dann werden das CA-Bundle und alle auf dem Router vorhandenen CA-Zertifikate zur Verifizierung des Server-Zertifikats verwendet)

      • Nur importierte Zertifikate (dann werden alle auf dem Router vorhandenen CA-Zertifikate zur Verifizierung des Server-Zertifikats verwendet)

      • Verwenden Sie nicht Nur CA-Bundle da dadurch nur das CA-Bundle zur Verifizierung des Server-Zertifikats verwendet wird und eine eigene PKI-Infrastruktur oder ein weniger gängiger E-Mail-Provider nicht verifiziert werden können.

    • Serverzertifikat verifizieren:

    • Hostname des Servers verifizieren:
      cg de m3 protecting mail connection v2 02

      Beachten Sie die Funktionalität dieser Optionen!

      Das Markieren von Serverzertifikat verifizieren stellt sicher, dass verifiziert wird, ob das Zertifikat des Servers mit einem der auf dem Router gespeicherten CA-Zertifikate übereinstimmt. Ist die Checkbox nicht markiert, werden alle Zertifikate des Servers ohne Überprüfung akzeptiert.
      Das Markieren von Hostname des Servers verifizieren stellt sicher, dass verifiziert wird, ob der Hostname des Servers mit dem Common Name im Zertifikat übereinstimmt; ansonsten kann keine Verbindung zum Server aufgebaut werden. Ist die Checkbox nicht markiert, wird keine Überprüfung vorgenommen.

  5. Klicken sie auf SPEICHERN.

  6. Aktivieren Sie das Profil mit einem Klick auf PROFIL AKTIVIEREN .

Erfolgskontrolle

  1. Klicken Sie auf der Seite Ereignisse → Ereignisse auf , legen Sie ein Ereignis an, das nach Auslösung eine Test-E-Mail versendet, und lösen Sie das Ereignis aus. Legen Sie dazu beispielsweise ein Ereignis an, das nach Ablauf eines kurzen Countdown-Timers eine E-Mail-Meldung an eine E-Mail-Adresse versendet und verifizieren Sie den Empfang dieser E-Mail.
    cg de m3 protecting mail connection v2 03

Fehlersuche

  • Wird zum erwarteten Zeitpunkt keine E-Mail erhalten, prüfen Sie, ob folgenden Einstellungen korrekt sind.

    • E-Mail-Adresse des Empfängers

    • Einstellungen des E-Mail-Kontos

  • Für eine Fehlersuche ist es hilfreich, im Menü view dashboard outline Status → Log-Ansicht die Logs Netzfilter und Ereignisse zu betrachten.

  • Wenn der Versand der E-Mail nach Deaktivieren der Netzfilter im Menü Netzwerk → Firewall / NAT funktioniert, ist eine fehlerhafte Netzfiltereinstellung das Problem.