Situation

Die Verbindung zum E-Mail-Server soll mit einem Zertifikat geschützt werden. Dann baut der Router nur dann eine Verbindung zum Mail-Server auf, wenn das Server-Zertifikat von einer CA erzeugt wurde, deren Zertifikat im Router gespeichert ist.

Lösung

Für gängige E-Mail-Provider muss üblicherweise kein Zertifikat auf dem Router hinterlegt werden, da das CA-Bundle von cURL mit einer Reihe von Standard-CA-Zertifikaten bereits auf dem Router vorinstalliert ist. Verfügen Sie über eine eigene PKI-Infrastruktur für Ihren E-Mail-Server, müssen Sie dessen CA-Zertifikat bzw. CA-Zertifikate [1] auf den Router laden. Der folgende Schritt Herunterladen der CA-Zertifikatsdatei ist nur erforderlich, wenn Sie das CA-Zertifikat über den Browser herunterladen müssen da es weder im CA-Bundle enthalten ist noch Ihnen als Datei zur Verfügung steht.

Herunterladen der CA-Zertifikatsdatei

Die CA Zertifikatsdatei für den Mail-Server muss zuerst heruntergeladen werden. Im Folgenden ist das Herunterladen mit dem geläufigen Browser Firefox beschrieben. Andere Browser verhalten sich ähnlich. Es wird vorausgesetzt, dass Ihr PC über Internet-Zugang verfügt.

  1. Geben Sie die Server-Adresse in einen Browser ein und melden Sie sich gegebenenfalls an.

  2. Klicken Sie auf das Schloss-Symbol (lock outline) in der Adressleiste des Browsers, um die Sicherheitsinformationen anzuzeigen.

  3. Klicken Sie auf den Pfeil hinter der Server-Adresse (chevron right) und auf Weitere Informationen in der Fußzeile des Felds.

  4. Klicken Sie im Fenster Seiteninformationen auf Zertifikat anzeigen.

  5. Scrollen Sie zum Abschnitt Verschiedenes und laden Sie die Zertifikatskette der Seite auf Ihren Computer herunter.

Router-Konfiguration

Es wird vorausgesetzt, dass Sie Zugriff auf die Bedienoberfläche des Routers haben und der Router mit dem Schnellstart-Assistenten für einen Internet-Zugang in Betrieb genommen wurde. Das erforderliche CA-Zertifikat ist auf Ihrem Computer gespeichert.

  1. Öffnen Sie die Bedienoberfläche des Routers in einem Browser: insys.icom [2]

  2. Klicken Sie auf der Seite cog AdministrationZertifikate auf file upload und wählen sie das CA-Zertifikat bzw. die Zertifikatskette aus.
    cg de m3 protecting mail connection v2 01

  3. Klicken sie auf   SPEICHERN  .

  4. Klicken Sie auf der Seite update EreignisseE-Mail-Konto auf pencil und konfigurieren Sie das E-Mail-Konto für den Versand der E-Mails: [3]

    • E-Mail-Adresse des Absenders: E-Mail-Adresse wie beim Provider hinterlegt

    • Realer Name: INSYS Router [4]

    • SMTP-Server: Der Domainname oder die IP-Adresse des SMTP-Servers

    • SMTP-Port: Der SMTP-Port, an dem E-Mails entgegen genommen werden [5]

    • Benutzername: Benutzername zur Anmeldung des Routers am SMTP-Server für den Versand der E-Mail

    • Passwort: Passwort für die Authentifizierung

    • Verschlüsselung: STARTTLS [6]

    • Vertrauenswürdige CA-Zertifikate: Wählen Sie eine der folgenden Optionen: [7]

      • das oben hochgeladene CA-Zertifikat (dann wird nur dieses zur Verifizierung des Server-Zertifikats verwendet)

      • CA-Bundle und importierte CA-Zertifikate (dann werden das CA-Bundle und alle auf dem Router vorhandenen CA-Zertifikate zur Verifizierung des Server-Zertifikats verwendet)

      • Nur importierte Zertifikate (dann werden alle auf dem Router vorhandenen CA-Zertifikate zur Verifizierung des Server-Zertifikats verwendet)

    • Serverzertifikat verifizieren: checkbox marked [8]

    • Hostname des Servers verifizieren: checkbox marked [9]
      cg de m3 protecting mail connection v2 02

  5. Klicken sie auf   SPEICHERN  .

  6. Aktivieren Sie das Profil mit einem Klick auf   PROFIL AKTIVIEREN  cog white  .

Erfolgskontrolle

  1. Klicken Sie auf der Seite update EreignisseEreignisse auf plus, legen Sie ein Ereignis an, das nach Auslösung eine Test-E-Mail versendet, und lösen Sie das Ereignis aus. Legen Sie dazu beispielsweise ein Ereignis an, das nach Ablauf eines kurzen Countdown-Timers eine E-Mail-Meldung an eine E-Mail-Adresse versendet und verifizieren Sie den Empfang dieser E-Mail.
    cg de m3 protecting mail connection v2 03

Fehlersuche

  • Wird zum erwarteten Zeitpunkt keine E-Mail erhalten, prüfen Sie, ob folgenden Einstellungen korrekt sind.

    • E-Mail-Adresse des Empfängers

    • Einstellungen des E-Mail-Kontos

  • Für eine Fehlersuche ist es hilfreich, im Menü view dashboard outline StatusLog-Ansicht die Logs Netzfilter und Ereignisse zu betrachten.

  • Wenn der Versand der E-Mail nach Deaktivieren der Netzfilter im Menü lan NetzwerkFirewall / NAT funktioniert, ist eine fehlerhafte Netzfiltereinstellung das Problem.

Zurück zu den Configuration Guides für die icom OS Router

Zurück zur Übersicht

1. Bis icom OS 7.3 sind nur einstufige CA-Zertifikate möglich; mehrstufige CA-Zertifikate können erst ab icom OS 7.4 auf den Router geladen werden.
2. Standard-IP-Adresse: 192.168.1.1; Anmeldung je nach Konfiguration; Voreinstellung bei älteren Firmware-Versionen: Benutzername: insys, Kennwort: icom
3. Zugangsdaten können vom E-Mail-Provider oder Netzwerk-Administrator des Unternehmens erfragt werden.
4. Der reale Name wird im E-Mail-Programm des Empfängers als Absender angezeigt
5. Normalerweise Port 587. Bei Benutzung von TLS/SSL wird oft Port 465 verwendet.
6. Der Verbindungsaufbau erfolgt unverschlüsselt, die Verschlüsselung wird nach Aufbau der Verbindung ausgehandelt.
7. Mit der Option Nur CA-Bundle wird nur das CA-Bundle zur Verifizierung des Server-Zertifikats verwendet und eine eigene PKI-Infrastruktur oder ein weniger gängiger E-Mail-Provider können nicht verifiziert werden.
8. Dies stellt sicher, dass verifiziert wird, ob das Zertifikat des Servers mit einem der auf dem Router gespeicherten CA-Zertifikate übereinstimmt. Ist die Checkbox nicht markiert, werden alle Zertifikate des Servers ohne Überprüfung akzeptiert.
9. Dies stellt sicher, dass verifiziert wird, ob der Hostname des Servers mit dem Common Name im Zertifikat übereinstimmt; ansonsten kann keine Verbindung zum Server aufgebaut werden. Ist die Checkbox nicht markiert, wird keine Überprüfung vorgenommen.