Absichern der Verbindung zu einem E-Mail-Server mit Hilfe eines Zertifikats

Situation

Die Verbindung zum E-Mail Server soll mit einem Zertifikat geschützt werden. Dann baut der Router nur dann eine Verbindung zum Mail-Server auf, wenn das Server-Zertifikat von einer CA erzeugt wurde, deren Zertifikat im Router gespeichert ist.

Lösung

Herunterladen der CA-Zertifikatsdatei

Die CA Zertifikatsdatei für den Mail-Server muss zuerst heruntergeladen werden. Im Folgenden ist das Herunterladen mit dem geläufigen Browser Firefox beschrieben. Andere Browser verhalten sich ähnlich. Es wird vorausgesetzt, dass Ihr PC über Internet-Zugang verfügt.

Die Server-Adresse in einen Browser eingeben und gegebenenfalls anmelden.
Auf das Schloss-Symbol () klicken, um die Sicherheitsinformationen anzuzeigen.
Auf den Pfeil hinter der Server-Adresse () und auf Weitere Informationen in der Fußzeile klicken.
Im Fenster Seiteninformationen auf Zertifikat anzeigen klicken und den Reiter Details auswählen.
Das Root-CA-Zertifikat in der Zertifikatshierarchie auswählen und auf Exportieren klicken, um das Zertifikat auf Ihrem Computer zu speichern. ^[1]

Router-Konfiguration

Es wird vorausgesetzt, dass Sie Zugriff auf das Web-Interface der icom Data Suite haben. Das Smart Device muss über Internet-Zugriff verfügen. Das CA-Zertifikat ist wie oben beschrieben auf Ihrem Computer gespeichert.

Web-Interface des Routers mit einem Browser aufrufen: 192.168.1.1 ^[2]
Im Menü Administration → Zertifikate auf Durchsuchen… klicken.
Oben heruntergeladenes CA-Zertifikat auswählen und auf Zertifikate importieren klicken.
Im Menü Ereignisse → E-Mail-Konto das E-Mail-Konto für den Versand der E-Mail konfigurieren: ^[3]
- E-Mail-Adresse des Absenders: E-Mail-Adresse wie beim Provider hinterlegt
- Realer Name: INSYS Router ^[4]
- SMTP-Server: Der Domainname oder die IP-Adresse des SMTP-Servers
- SMTP-Port: Der SMTP-Port, an dem E-Mails entgegen genommen werden ^[5]
- Benutzername: Benutzername zur Anmeldung des Routers am SMTP-Server für den Versand der E-Mail
- Passwort: Passwort für die Authentifizierung
- Verschlüsselung: STARTTLS ^[6]
- Serverzertifikat verifizieren: ^[7]
- Hostname des Servers verifizieren: ^[8]
Auf Einstellungen speichern klicken.
Das Profil aktivieren ().

Fehlersuche

Wird zum erwarteten Zeitpunkt keine E-Mail erhalten, prüfen, ob folgenden Einstellungen korrekt sind.
- E-Mail-Adresse des Empfängers
- Einstellungen des E-Mail-Kontos
Für eine Fehlersuche ist es hilfreich, im Menü Status → Log-Ansicht die Logs Netzfilter und Ereignisse zu betrachten.
Zu Testzwecken kann der Nachrichtenversand im Menü Hilfe → Debugging auch manuell ausgelöst werden. Dazu müssen zuerst ein Kontakt und eine Nachricht hinzugefügt werden.
Wenn der Versand der E-Mail nach Deaktivieren der Netzfilter im Menü Netzfilter → IP-Filter funktioniert, ist eine fehlerhafte Netzfiltereinstellung das Problem.

Zurück zu den Configuration Guides für die icom OS Smart Devices

Zurück zur Übersicht

1. Das Root-Zertifikat ist das oberste Zertifikat in der Hierarchie.

2. Anmeldung je nach Konfiguration; Voreinstellung bei älteren Firmware-Versionen: Benutzername: insys, Kennwort: icom

3. Zugangsdaten können vom E-Mail-Provider oder Netzwerk-Administrator des Unternehmens erfragt werden.

4. Der reale Name wird im E-Mail-Programm des Empfängers als Absender angezeigt

5. Normalerweise Port 587. Bei Benutzung von TLS/SSL wird oft Port 465 verwendet.

6. Der Verbindungsaufbau erfolgt unverschlüsselt, die Verschlüsselung wird nach Aufbau der Verbindung ausgehandelt.

7. Dies stellt sicher, dass verifiziert wird, ob das Zertifikat des Servers mit einem der in der icom Data Suite gespeicherten CA-Zertifikate übereinstimmt. Ist die Checkbox nicht markiert, werden alle Zertifikate des Servers ohne Überprüfung akzeptiert.

8. Dies stellt sicher, dass verifiziert wird, ob der Hostname des Servers mit dem Common Name im Zertifikat übereinstimmt; ansonsten kann keine Verbindung zum Server aufgebaut werden. Ist die Checkbox nicht markiert, wird keine Überprüfung vorgenommen.