mongostyles 10 Posted October 8, 2014 Report Posted October 8, 2014 Hallo, wir stehen vor folgendem Scenario: ein Exchange nimmt wie gewohnt E-Mails aus dem Internet an, nun soll er diese aber bevor er Sie an die Empfänger zustellt an ein PGP System senden, welches die Entschlüsselung vornimmt, und diese dann an den Exchange zurück gibt, erst dann soll er die Mails die von dem PGP System an die Exchange Postfächer zustellen. Mail -> Exchange -> PGP System -> Exchange -> Postfach Und zu guter Letzt soll das ganze natürlich auch für E-Mails funktionieren die versendet werden. Mail Client -> Exchange -> PGP System -> Exchange -> Internet So und nun ist die Frage ob wie sowas über PolicyBased Routing und Connectoren umsetzen können, und zwar mit Boardmitteln. Jemand eine Idee zu dem Szenario? Grüße
RobertWi 81 Posted October 8, 2014 Report Posted October 8, 2014 Moin, es gibt in Exchange kein PolicyBased Routing (zumindest nicht das, was man landläufig im Firewall-Bereich son nennt). Das, was Du willst, wird sich sehr schwer mit Bordmittel und nur mit viel Bastelei mit Transportregeln, Zusatz Headern und einem erheblichen Risiko aufbauen lassen. Warum soll Exchange denn vor der Entschlüsselung, bzw, nach der Verschlüsselung die Mails ein zweites Mal anfassen? Sinnvoller wäre es daher, die Kette zu ändern: Mail -> PGP -> Exchange -> Client Client -> Exchange -> PGP -> Mail So funktionieren normalerweise alle Signatur/Verschlüsselungs Gatewaylösungen.
NorbertFe 2,303 Posted October 8, 2014 Report Posted October 8, 2014 Genau und seit 2013 gibts auch keine linked connectors, die sowas ansatzweise hätten leisten können.
RobertWi 81 Posted October 8, 2014 Report Posted October 8, 2014 Der OP hat ja 2010, aber solche Schleifen müssten auch mit einem Linked Connector nicht gehen. Er will ja jede Mail zwei Mal durch den Exchange schieben und da müsste es dann einen Filter geben, der erkennt, dass die Mail jetzt entschlüsselt ist, bzw. je nach IP-Adresse unterschiedliche Connectoren nehmen. Ein herrliches Szenario für bösere Schleifen und Mails, bei denen keiner mehr nachvollziehen kann, warum sie nicht angekommen sind.
mongostyles 10 Posted October 8, 2014 Author Report Posted October 8, 2014 Okay das habe ich mir fast gedacht. Nun das PGP System soll/darf nicht vor dem Exchange stehen, da dieser im Vorfeld die Mails prüfen und gegebenenfalls abweisen soll. Dies kann das PGP System nicht. Somit kann hier kein "Standard" Ablauf mit PGP nach dem Exchange genutzt werden, den sonst wäre es ja "leicht" ;)
RobertWi 81 Posted October 8, 2014 Report Posted October 8, 2014 Die Mails sind doch verschlüsselt, was kann Exchange denn da prüfen? Und wenn Eure PGP-Lösung nicht mal eine einfache Empfängerprüfung hinbekommt, dann ist die wohl nicht wirklich enterprisetauglich.
mongostyles 10 Posted October 8, 2014 Author Report Posted October 8, 2014 Da ist das Problem, das die nicht von uns kommt :mad: Ich hätte auch gern das PGP Ding vor dem Exchange und dann wäre alles normal, nachvollziehbar und im Normalfall problemlos... Naja dann schauen wir mal ;) Dennoch danke für die Bedenken und Anmerkungen
NorbertFe 2,303 Posted October 8, 2014 Report Posted October 8, 2014 Dann stellt man vor das Verschlüsselungsgateway eben einen Edge
mongostyles 10 Posted October 8, 2014 Author Report Posted October 8, 2014 Ja das war auch unsere Überlegung, den edge in front, dann das gateway, und danach den hub usw. Was wäre den dein Favorit? ;)
NorbertFe 2,303 Posted October 8, 2014 Report Posted October 8, 2014 (edited) ORF Fusion hättest du hier im Board sicher gefunden. Edited October 8, 2014 by NorbertFe
mongostyles 10 Posted October 9, 2014 Author Report Posted October 9, 2014 Okay ORF behebt ja aber nicht mein Grund Problem mit dem PGP ;) Ich denke es läuft auf Mail -> Edge -> PGP -> Exchange -> Client hinaus bzw. in umgekehrter Abfolge. Das ist an sich die sauberste Lösung.
RobertWi 81 Posted October 9, 2014 Report Posted October 9, 2014 Bis heute hast Du uns ja nicht wirklich verraten, welche Art von Prüfung der Exchange vornimmt, die ein anderes Programm nicht kann. Ich wüsste da im Vergleich zu einem ET nichts, was ORF nicht auch oder besser kann. Und ob ein ET überhaupt an ein anderes Gerät außer Exchange senden kann (eingehend), weiß ich aus dem Kopf gar nicht. Kann durchaus sein, dass ein vollständiges Edge-Abonnement nur an einen HT sendet und dann hast Du nicht wirklich was gewonnen.
NorbertFe 2,303 Posted October 9, 2014 Report Posted October 9, 2014 (edited) Ja geht. Bei uns steht Edge zertificon KEMP Exchange dag. Edited October 9, 2014 by NorbertFe
mongostyles 10 Posted November 3, 2014 Author Report Posted November 3, 2014 So kurzes Update, der EDGE, mir Active-Directory Abo läuft, alles prima. Nun ist die Frage aller Fragen, wie ich die eingehenden Mails vom EDGE auf das PGP Gateway bekomme, und vom internen Exchange HUB die ausgehenden auf das PGP Gateway! Ist sicher recht simpel, habs aber noch NIE gemacht, also lieber nochmal fragen.... DANKE!
NorbertFe 2,303 Posted November 3, 2014 Report Posted November 3, 2014 Du hast doch die bestehenden Sendeconnectoren "Edgesync INternet to Standort" und "EdgeSync Standort to Internet". Bei "Edgesync Internet to Standort" mußt du die Emails weiterleiten an Smarthost (dein PGP Gateway). Zusätzlich legst du einen neuen Sendeconnector auf dem internen Exchange an, der Mails von deinem Exchange an das PGP Gateway sendet. Dem PGP Gateway sagst du eingehende Mails an internen Exchange leiten an dem du dann dem Receiveconnector anpassen mußt, damit die Mails vom PGP Gateway angenommen werden müssen und auf dem Edgeserver mußt du einen Empfangsconnector anlegen, der die Mails vom PGP Gateway nach extern annimmt. Bye Norbert
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now