Exchange 2010 Mail Routing PGP Gateway

[mongostyles 10]

Hallo,

 

wir stehen vor folgendem Scenario:

ein Exchange nimmt wie gewohnt E-Mails aus dem Internet an, nun soll er diese aber bevor er Sie an die Empfänger zustellt an ein PGP System senden, welches die Entschlüsselung vornimmt, und diese dann an den Exchange zurück gibt, erst dann soll er die Mails die von dem PGP System an die Exchange Postfächer zustellen.

 

Mail -> Exchange -> PGP System -> Exchange -> Postfach

 

Und zu guter Letzt soll das ganze natürlich auch für E-Mails funktionieren die versendet werden.

Mail Client -> Exchange -> PGP System -> Exchange -> Internet

 

So und nun ist die Frage ob wie sowas über PolicyBased Routing und Connectoren umsetzen können, und zwar mit Boardmitteln.

 

Jemand eine Idee zu dem Szenario?

 

Grüße

 

[RobertWi 81]

Moin,

 

es gibt in Exchange kein PolicyBased Routing (zumindest nicht das, was man landläufig im Firewall-Bereich son nennt).

 

Das, was Du willst, wird sich sehr schwer mit Bordmittel und nur mit viel Bastelei mit Transportregeln, Zusatz Headern und einem erheblichen Risiko aufbauen lassen.

 

Warum soll Exchange denn vor der Entschlüsselung, bzw, nach der Verschlüsselung die Mails ein zweites Mal anfassen? Sinnvoller wäre es daher, die Kette zu ändern:

 

Mail -> PGP -> Exchange -> Client

Client -> Exchange -> PGP -> Mail

 

So funktionieren normalerweise alle Signatur/Verschlüsselungs Gatewaylösungen.

[NorbertFe 2.041]

Genau und seit 2013 gibts auch keine linked connectors, die sowas ansatzweise hätten leisten können.

[RobertWi 81]

Der OP hat ja 2010, aber solche Schleifen müssten auch mit einem Linked Connector nicht gehen. Er will ja jede Mail zwei Mal durch den Exchange schieben und da müsste es dann einen Filter geben, der erkennt, dass die Mail jetzt entschlüsselt ist, bzw. je nach IP-Adresse unterschiedliche Connectoren nehmen.

 

Ein herrliches Szenario für bösere Schleifen und Mails, bei denen keiner mehr nachvollziehen kann, warum sie nicht angekommen sind.

[mongostyles 10]

Okay das habe ich mir fast gedacht.

 

Nun das PGP System soll/darf nicht vor dem Exchange stehen, da dieser im Vorfeld die Mails prüfen und gegebenenfalls abweisen soll. Dies kann das PGP System nicht. Somit kann hier kein "Standard" Ablauf mit PGP nach dem Exchange genutzt werden, den sonst wäre es ja "leicht" ;)

[RobertWi 81]

Die Mails sind doch verschlüsselt, was kann Exchange denn da prüfen?

 

Und wenn Eure PGP-Lösung nicht mal eine einfache Empfängerprüfung hinbekommt, dann ist die wohl nicht wirklich enterprisetauglich.

[mongostyles 10]

Da ist das Problem, das die nicht von uns kommt  :mad:

Ich hätte auch gern das PGP Ding vor dem Exchange und dann wäre alles normal, nachvollziehbar und im Normalfall problemlos...

Naja dann schauen wir mal ;)

 

Dennoch danke für die Bedenken und Anmerkungen

[NorbertFe 2.041]

Dann stellt man vor das Verschlüsselungsgateway eben einen Edge

[mongostyles 10]

Ja das war auch unsere Überlegung, den edge in front, dann das gateway, und danach den hub usw.

 

Was wäre den dein Favorit? ;)

[NorbertFe 2.041]

ORF Fusion hättest du hier im Board sicher gefunden.

bearbeitet 8. Oktober 2014 von NorbertFe

[mongostyles 10]

Okay ORF behebt ja aber nicht mein Grund Problem mit dem PGP ;)

 

Ich denke es läuft auf Mail -> Edge -> PGP -> Exchange -> Client hinaus bzw. in umgekehrter Abfolge.

Das ist an sich die sauberste Lösung.

[RobertWi 81]

Bis heute hast Du uns ja nicht wirklich verraten, welche Art von Prüfung der Exchange vornimmt, die ein anderes Programm nicht kann.

 

Ich wüsste da im Vergleich zu einem ET nichts, was ORF nicht auch oder besser kann.

 

Und ob ein ET überhaupt an ein anderes Gerät außer Exchange senden kann (eingehend), weiß ich aus dem Kopf gar nicht. Kann durchaus sein, dass ein vollständiges Edge-Abonnement nur an einen HT sendet und dann hast Du nicht wirklich was gewonnen.

[NorbertFe 2.041]

Ja geht. Bei uns steht Edge zertificon KEMP Exchange dag.

bearbeitet 9. Oktober 2014 von NorbertFe

[mongostyles 10]

So kurzes Update, der EDGE, mir Active-Directory Abo läuft, alles prima.

Nun ist die Frage aller Fragen, wie ich die eingehenden Mails vom EDGE auf das PGP Gateway bekomme, und vom internen Exchange HUB die ausgehenden auf das PGP Gateway!

Ist sicher recht simpel, habs aber noch NIE gemacht, also lieber nochmal fragen....

 

DANKE!

[NorbertFe 2.041]

Du hast doch die bestehenden Sendeconnectoren "Edgesync INternet to Standort" und "EdgeSync Standort to Internet". Bei "Edgesync Internet to Standort" mußt du die Emails weiterleiten an Smarthost (dein PGP Gateway). Zusätzlich legst du einen neuen Sendeconnector auf dem internen Exchange an, der Mails von deinem Exchange an das PGP Gateway sendet. Dem PGP Gateway sagst du eingehende Mails an internen Exchange leiten an dem du dann dem Receiveconnector anpassen mußt, damit die Mails vom PGP Gateway angenommen werden müssen und auf dem Edgeserver mußt du einen Empfangsconnector anlegen, der die Mails vom PGP Gateway nach extern annimmt.

 

Bye

Norbert