Integration von Exchange Server oder IBM Notes Traveler-Server

Damit Secure Mail mit Microsoft Exchange oder IBM Notes synchronisiert bleibt, können Sie Secure Mail in einen Exchange- oder IBM Notes Traveler-Server im internen Netzwerk oder hinter NetScaler Gateway integrieren.

Wichtig:

Sie können mit IBM Notes Traveler (zuvor IBM Lotus Notes Traveler) keine E-Mails von Secure Mail synchronisieren. Diese Drittanbieterfunktion von Lotus Notes wird derzeit nicht unterstützt. Wenn Sie beispielsweise eine Besprechungsmail aus Secure Mail löschen, wird die Mail auf dem IBM Notes Traveler-Server nicht gelöscht. [CXM-47936]

Die Synchronisierung ist auch für Secure Notes und Secure Tasks verfügbar (siehe unten).

  • Sie können Secure Notes für iOS in einen Exchange-Server integrieren.
  • Bei Secure Notes und Secure Tasks für Android wird das Secure Mail-Konto zum Synchronisieren von Notizen und Aufgaben verwendet.

Wichtig:

Sie können mit IBM Notes Traveler (zuvor IBM Lotus Notes Traveler) keine E-Mails von Secure Mail synchronisieren. Diese Drittanbieterfunktion von Lotus Notes wird derzeit nicht unterstützt. Wenn Sie eine beantwortete Besprechungsmail aus Secure Mail löschen, wird die Mail auf dem IBM Notes Traveler-Server nicht gelöscht. [CXM-47936] Informationen zu bekannten Einschränkungen bei IBM/Lotus Notes finden Sie in diesem Citrix Blogbeitrag.

Wenn Sie Secure Mail, Secure Notes und Secure Tasks zu Endpoint Management (früher XenMobile) hinzufügen, konfigurieren Sie die folgenden MDX-Richtlinien zur Integration in Exchange oder IBM Notes:

  • Secure Mail: Legen Sie die Richtlinie “Secure Mail Exchange Server” auf den vollqualifizierten Domänennamen (FQDN) für den Exchange oder IBM Notes Traveler-Server fest.

    Die Anforderungen zum Definieren einer Verbindung mit einem Notes Traveler-Server unterscheiden sich bei Secure Mail nach Plattform:

    Secure Mail für Android und Secure Mail für iOS unterstützen den vollständigen Pfad eines Notes Traveler-Servers. Beispiel: https://mail.example.com/traveler/Microsoft-Server-ActiveSync. (Es ist nicht mehr erforderlich, das Domino-Verzeichnis mit Website-Ersetzungsregeln für den Traveler-Server zu konfigurieren.)

  • Secure Notes und Secure Tasks: Geben Sie Werte für die Richtlinien für Secure Notes-Exchange-Server, Secure Notes-Benutzerdomäne, Secure Tasks-Exchange-Server und Secure Tasks-Benutzerdomäne an.

Die folgenden MDX-Richtlinien wirken sich auf den Secure Mail-Kommunikationsfluss aus:

Netzwerkzugriff: Mit der Richtlinie “Netzwerkzugriff” kann der Netzwerkzugriff eingeschränkt werden. Standardmäßig erfolgt der Zugriff auf Secure Mail durch einen Tunnel im internen Netzwerk, d. h. es gelten keine Einschränkungen für den Netzwerkzugriff. Apps haben unbeschränkten Zugriff auf Netzwerke, mit denen das Gerät verbunden ist. Die Richtlinie “Netzwerkzugriff” interagiert mit der Richtlinie “Hintergrundnetzwerkdienste”, die als Nächste beschrieben wird.

Hintergrundnetzwerkdienste: Mit der Richtlinie “Hintergrundnetzwerkdienste” können Sie die für den Netzwerkzugriff im Hintergrund zulässigen Dienstadressen festlegen. Die Dienstadressen können für Exchange Server oder ActiveSync-Server im internen Netzwerk oder in einem anderen Netzwerk sein, mit dem Secure Mail eine Verbindung herstellt, wie z. B. mail.mycompany.com:443.

Wenn Sie die Richtlinie “Hintergrundnetzwerkdienste” konfigurieren, stellen Sie auch die Netzwerkzugriffsrichtlinie auf Tunnel zum internen Netzwerk ein. Die Richtlinie “Hintergrundnetzwerkdienste” tritt in Kraft, wenn Sie die Netzwerkzugriffsrichtlinie konfigurieren.

Gateway für Hintergrundnetzwerkdienst: Mit der Richtlinie “Gateway für Hintergrundnetzwerkdienst” können Sie das NetScaler Gateway zur Verwendung durch Secure Mail für die Verbindung mit dem internen Exchange-Server angeben. Wenn Sie eine alternative Gatewayadresse angeben, stellen Sie die Netzwerkzugriffsrichtlinie auf Tunnel zum internen Netzwerk ein. Die Richtlinie “Gateway für Hintergrundnetzwerkdienst” tritt in Kraft, wenn Sie die Netzwerkzugriffsrichtlinie konfigurieren.

Ticketablauf für Hintergrunddienste: Mit der Richtlinie “Ticketablauf für Hintergrunddienste” können Sie die Zeitspanne angeben, die ein Netzwerkdienstticket im Hintergrund gültig bleibt. Wenn Secure Mail über NetScaler Gateway die Verbindung mit einem Exchange-Server herstellt, auf dem ActiveSync ausgeführt wird, gibt Endpoint Management ein Token aus, das Secure Mail für die Verbindung mit dem internen Exchange-Server verwendet. Diese Einstellung bestimmt, wie lange Secure Mail das Token verwenden kann, ohne ein neues Token für die Authentifizierung und die Verbindung mit dem Exchange-Server zu benötigen. Wenn das Zeitlimit abläuft, müssen Benutzer sich neu anmelden, damit ein neues Token generiert wird. Die Standardeinstellung ist 168 Stunden (7 Tage).

Die folgenden Abbildungen zeigen die Arten der Secure Mail-Verbindungen mit einem Mailserver. Nach jeder Abbildung finden Sie eine Liste mit zugehörigen Richtlinieneinstellungen.

Abbildung der Secure Mail-Verbindung zum Mailserver

Richtlinien für eine direkte Verbindung mit einem Mailserver:

  • Netzwerkzugriff: Uneingeschränkt
  • Hintergrundnetzwerkdienste: leer
  • Ticketablauf für Hintergrunddienste: 168
  • Gateway für Hintergrundnetzwerkdienst: leer

Abbildung zur Verwendung von Micro-VPN durch Secure Mail

Richtlinien für eine direkte Verbindung mit einem Mailserver:

  • Netzwerkzugriff: Tunnel zum internen Netzwerk
  • Hintergrundnetzwerkdienste: leer
  • Ticketablauf für Hintergrunddienste: 168
  • Gateway für Hintergrundnetzwerkdienst: leer

Abbildung zur Verwendung von STA durch Secure Mail

Richtlinien für den STA-Zugriff auf einen Mailserver:

  • Netzwerkzugriff: Tunnel zum internen Netzwerk
  • Hintergrundnetzwerkdienste: mail.example.com: 443
  • Ticketablauf für Hintergrunddienste: 168
  • Gateway für Hintergrundnetzwerkdienst: gateway3.example.com:443

Die folgende Abbildung zeigt, wo die Richtlinien gelten:

Abbildung der Richtlinien und ihres Geltungsbereichs

Konfigurieren eines IBM Notes Traveler-Servers für Secure Mail

In IBM Notes-Umgebungen müssen Sie den IBM Notes Traveler-Server konfigurieren, bevor Sie Secure Mail bereitstellen. Dieser Abschnitt enthält eine Darstellung der Bereitstellung dieser Konfiguration und die Systemanforderungen.

Wichtig:

Notes Traveler-Server, die SSL 3.0 verwenden, können durch einen POODLE-Angriff (Padding Oracle On Downgraded Legacy Encryption) gefährdet sein. Dies ist ein Man-in-the-middle-Angriff, der sich auf alle Apps auswirkt, die eine Verbindung zum Server mit SSL 3.0 herstellen. Um einem POODLE-Angriff vorzubeugen, deaktiviert Secure Mail standardmäßig die SSL 3.0-Verbindungen und verwendet für Verbindungen mit dem Server TLS 1.0. Daher kann Secure Mail keine Verbindung mit einem Notes Traveler-Server herstellen, der SSL 3.0 verwendet. Informationen zu einem empfohlenen Workaround finden Sie im Abschnitt “Konfigurieren der SSL/TLS-Sicherheitsebene unter Integration von Exchange Server oder IBM Notes Traveler-Server.

In IBM Notes-Umgebungen müssen Sie den IBM Notes Traveler-Server konfigurieren, bevor Sie Secure Mail bereitstellen.

Im folgenden Diagramm ist die Netzwerkplatzierung von IBM Notes Traveler-Servern und einem IBM Domino-Mailserver in einer Beispielbereitstellung dargestellt.

Abbildung von IBM Notes Traveler-Server und IBM Domino-Mailserver in einer Bereitstellung mit XenMobile

Systemanforderungen

Anforderungen an den Infrastrukturserver

  • IBM Domino Mail Server
  • IBM Notes Traveler 9.0.1

Authentifizierungsprotokolle

  • Domino-Datenbank
  • Lotus Notes-Authentifizierungsprotokoll
  • Lightweight Directory Authentication Protocol

Portanforderungen

  • Exchange: Der SSL-Standardport ist 443.
  • IBM Notes: SSL wird auf Port 443 unterstützt. Andere Protokolle als SSL werden standardmäßig auf Port 80 unterstützt.

Konfigurieren der SSL/TLS- Sicherheitsebene

Citrix hat Änderungen an Secure Mail zur Beseitigung eines durch den POODLE-Angriff entstandenen Sicherheitsrisikos (siehe “Wichtiger Hinweis” oben) vorgenommen. Daher wird als Workaround für Notes Traveler-Server 9.0, die SSL 3.0 verwenden, zum Aktivieren von Verbindungen die Verwendung von TLS 1.2 auf dem Traveler-Server empfohlen.

IBM haben einen Patch, der die Verwendung von SSL 3.0 für die sichere Kommunikation zwischen Servern mit Notes Traveler verhindert. Dieser im November 2014 veröffentlichte Patch ist als vorläufiger Fix in Updates für die folgenden Versionen von Notes Traveler-Server enthalten: 9.0.1 IF7, 9.0.0.1 IF8 und 8.5.3 Upgrade Pack 2 IF8 (einschließlich allen zukünftigen Releases). Weitere Informationen zu diesem Patch finden unter LO82423: DISABLE SSLV3 FOR TRAVELER SERVER TO SERVER COMMUNICATION.

Sie können dieses Problem auch umgehen, indem Sie beim Hinzufügen von Secure Mail zu Endpoint Management die Einstellung der Richtlinie “Connection security level” in SSLv3 und TLS ändern. Aktuelle Informationen zu diesem Problem finden Sie unter SSLv3 Connections Disabled by Default on Secure Mail 10.0.3.

Die folgenden Tabellen enthalten die von Secure Mail unterstützten Protokolle nach Betriebssystem, basierend auf dem Wert der Richtlinie “Verbindungssicherheitsstufe”. Der E-Mail-Server muss das Protokoll ebenfalls verwenden können.

Die folgende Tabelle enthält die unterstützten Protokolle für Secure Mail bei der Verbindungssicherheitsstufe SSLv3 und TLS.

Betriebssystemtyp SSLv3 TLS
Älter als iOS 9 Ja Ja
iOS 9 und höher Nein Ja
Älter als Android M Ja Ja
Android M und Android N Ja Ja
Android O Nein Ja

Die folgende Tabelle enthält die unterstützten Protokolle für Secure Mail bei der Verbindungssicherheitsstufe TLS.

Betriebssystemtyp SSLv3 TLS
Älter als iOS 9 Nein Ja
iOS 9 und höher Nein Ja
Älter als Android M Nein Ja
Android M und Android N Nein Ja
Android O Nein Ja

Konfigurieren von Notes Traveler-Server

Die folgenden Informationen entsprechen den Konfigurationsseiten im IBM Domino Administrator Client.

  • Security: Die Internetauthentifizierung ist auf “Fewer name variations with higher security” festgelegt. Mit dieser Einstellung erfolgt die Zuordnung von UID zu AD User ID in LDAP-Authentifizierungsprotokollen.
  • NOTES.INI Settings: Fügen Sie NTS_AS_ENFORCE_POLICY=false hinzu. Dadurch können Secure Mail-Richtlinien über Endpoint Management statt Traveler verwaltet werden. Diese Einstellung kann einen Konflikt mit aktuellen Kundenbereitstellungen auslösen, doch sie vereinfacht die Geräteverwaltung in Endpoint Management-Bereitstellungen.
  • Synchronization protocols: SyncML unter IBM Notes und die Synchronisierung von Mobilgeräten werden derzeit von Secure Mail nicht unterstützt. Secure Mail synchronisiert E-Mail-, Kalender- und Kontaktobjekte über das in den Traveler-Server integrierte Microsoft ActiveSync-Protokoll. Wird SyncML als primäres Protokoll erzwungen, kann Secure Mail keine Rückverbindung über die Traveler-Infrastruktur herstellen.
  • Domino Directory Configuration - Web Internet Sites: Override Session Authentication für /traveler zur Deaktivierung der formularbasierten Authentifizierung