Home Office: Machen Sie das E-Mail-Archiv von zu Hause verfügbar

Sicherlich sind die meisten von Ihnen aufgrund der Covid-19-Situation ebenso wie wir von veränderten Arbeitsbedingungen betroffen. So ermöglichen viele Unternehmen aktuell zur Sicherheit der Mitarbeiter ein Arbeiten von einem Remote-Arbeitsplatz. Ich selbst befinde mich gerade in meinem zeitweilig eingerichteten, heimischen Büro. Damit ich daheim ebenso produktiv arbeiten kann wie im Unternehmen, muss ich alle Ressourcen annähernd gleichwertig erreichen können. Dazu zählen unter anderem Termine und Ablagen, diverse Tools und Kommunikationsdienste, die Telefonie und natürlich auch meine E-Mail-Postfächer und das MailStore E-Mail-Archiv. Wie Sie als Admin, MailStore Server so einrichten, dass Ihre Kollegen vom Heimarbeitsplatz auf die archivierten E-Mails zugreifen können, erkläre ich in diesem Blogbeitrag.

Aus dem Home Office auf das E-Mail-Archiv zugreifen

Mit MailStore Server können Sie das E-Mail-Archiv mit einer sehr überschaubaren Anzahl von Handgriffen für Mitarbeiter, die im Home Office arbeiten, verfügbar machen. Denn die Software ist von Grund auf als Netzwerkdienst konzipiert. Innerhalb Ihres Firmennetzwerks ist er bereits für Desktop-PCs an den Arbeitsplätzen erreichbar. Für einen Remotearbeitsplatz ist er jedoch voraussichtlich noch nicht ansprechbar, denn dazwischen steht das Internet als Übertragungsmedium. Jeder Router beziehungsweise jedes Internet-Gateway eines Unternehmens wird erwartungsgemäß vorab erst einmal so konfiguriert sein, dass Anfragen von außen (also über das Internet) nicht an interne PCs und Server weitergereicht werden.

Direkte Anfragen von außen, die keine Antworten auf bereits eröffnete Sitzungen von innen sind, würden vorerst rigoros abgelehnt. Der Zugriff auf MailStore Server aus dem Home Office wäre aber nun eine Kommunikation, die von außen begonnen wird. Dies müsste nun explizit gestattet werden.

Zwei Wege, einen internen Dienst extern erreichbar zu machen

Es gibt zwei verschiedene Wege, einen internen Dienst extern erreichbar zu machen:
Zum einen kann ein VPN-Tunnel zum Firmennetz aufgebaut werden, damit der entsprechende Client-PC wieder virtuell „im Unternehmen“ ist, oder der MailStore Server kann öffentlich verfügbar gemacht werden im Router und der Firewall.

Beide Methoden, ihre Voraussetzungen sowie Vor- und Nachteile möchte ich an dieser Stelle vorstellen:

Erreichbarkeit über Virtual Private Network (VPN)

Der Client-PC von außerhalb baut mit einem VPN-Client zu einem VPN-Server im Unternehmen eine Verbindung auf. Kommt diese Verbindung erfolgreich zustande, wurde ein verschlüsselter Tunnel aufgebaut. Für beide Seiten wirkt dieser Tunnel wie ein virtuelles Netzwerkkabel, der Client-PC ist im vordefinierten Rahmen wieder mit dem lokalen Netzwerk der Firma verbunden. Nun kann beispielsweise auch das Archiv erreicht werden, sei es mit dem MailStore Client, dem Outlook Add-in, dem integrierten IMAP-Server oder über den WebAccess.

Damit VPN verwendet werden kann, wird zunächst im Unternehmen ein VPN-Server benötigt. Dies kann ein separat installierter Dienst auf einem Server sein. Viele Router beziehungsweise Internet-Gateways bringen heute aber bereits ein eigenes Angebot von VPN-Diensten mit.
Um den VPN-Server nun anzusprechen, muss der Internetanschluss an sich entweder eine feste IPv4-Adresse vom Provider zugewiesen bekommen haben oder ein verlässlicher dynamischer DNS-Dienst muss einen gewählten Namen immer wieder auf die richtige, öffentliche IPv4-Adresse des Unternehmens verweisen. Die Anfragen von außen müssen entsprechend im Router und in der Firewall gestattet werden.
Bei integrierten Diensten im Router geschieht dies meist bei der Einrichtung des VPNs, bei einem getrennten VPN-Server würden Portweiterleitungen und Firewall-Regeln notwendig.

Vor- und Nachteile:
+ Eine VPN-Verbindung kann sehr spezifisch Personen zur Verfügung gestellt werden.
+ Eine bestehender VPN-Tunnel kann für sehr viele weitere Unternehmensdienste in einem Zug verwendet werden
+ VPN verschleiert noch einmal zusätzlich, welche Dienste dahinter denn eigentlich angeboten werden.
+ VPN bietet je nach Produkt eine freie Auswahl modernste Verschlüsselungsmethoden
+ verschlüsselte Verbindung zum MailStore Server wird durch VPN ein zweites Mal verschlüsselt
– VPN muss auf Clients und für Mitarbeiter gepflegt und eingerichtet werden, daher kann dies ein größerer Arbeitsaufwand für Administratoren sein, wenn spontane Zugriffe nötig werden oder die Belegschaft variiert

Öffentliche Verfügbarkeit ohne VPN mittels Port-Forwarding

Alternativ kann MailStore Server auch ohne VPN öffentlich verfügbar gemacht werden.
Dafür würden die erforderlichen Ports für den MailStore Server dann im Router/Gateway weitergereicht (sogenanntes „Port-Forwarding“), damit Anfragen an die öffentliche Adresse zum internen Server weitergegeben werden. Sofern der Router dies nicht automatisch mit konfiguriert, müssten unter Umständen auch in der Firewall Erlaubnisse für diese Ports erstellt werden.
In diesem Fall würde der Client-PC ohne weitere Software direkt die öffentliche Adresse ansprechen und durch die Weiterleitungen  MailStore Server erreichen.
Um bestmögliche Sicherheit zu gewährleisten, kommuniziert MailStore Server nur über SSL-verschlüsselte Verbindungen, sodass nun dann nicht nur intern, sondern auch über das Internet die Kommunikation abhörsicher gestaltet ist.
Ähnlich wie beim VPN wird hier optimalerweise eine feste IPv4-Adresse benötigt, oder zumindest ein fester DNS-Name, der per dynamischem DNS immer auf die passende IP-Adresse verweist.

Es ist ratsam, ein offiziell vertrauenswürdiges Zertifikat für MailStore Server zu verwenden, damit der Client nachvollziehen kann, dass er auch wirklich mit dem gewünschten MailStore Server spricht, und nicht durch einen Betrugsversuch umgeleitet wurde.
Sofern Sie nun bereits einen öffentlichen DNS-Namen haben, kann mit wenigen Handgriffen auch die Verwendung von Let’s Encrypt™-Zertifikaten zum Einsatz kommen, welches im Gegensatz zu vielen erworbenen Zertifikaten kostenlos und dennoch offiziell vertrauenswürdig ist.

Vor- und Nachteile:

+ Einmal eingerichtet kann nun jeder sein persönliches Archiv erreichen
+ Keine spezielle Einrichtung auf dem Client-PC notwendig, Login-Daten des MailStore Server-Benutzers und die Server-URL genügen
+ von diversen Endgeräten aus ohne spezifische VPN-Clients erreichbar, die auch im Firmennetz möglich gewesen wären, beispielsweise auch Smartphones, Tablets, Linux- und MacOS X – PCs
– Ansprechen des MailStore WebAccess durch Fremde offenbart durch die Oberfläche, welcher Dienst hier antwortet (auch wenn ohne Benutzerdaten kein Login erfolgreich sein kann)
– Die „Maschine“, auf welcher MailStore Server läuft, ist über die ausgewählten Ports öffentlich erreichbar

Fazit

Alle Wege führen nach Rom. In diesem Fall führen beide genannten Wege zum Ziel, den Mitarbeitern ihre Archive auch extern zur Verfügung zu stellen. Während VPN strenger ist und Administratoren viel Einfluss ermöglicht, ist das direkte öffentliche Verfügbarmachen flexibler und erfordert, einmal eingerichtet, weniger Pflegeaufwand für den Administrator.
In beiden Fällen wird Verschlüsselung eingesetzt, damit Clients und MailStore Server möglichst „abhörsicher“ miteinander kommunizieren.

Bei Umsetzung einer der oben genannten Lösungsvorschläge können Sie auch Ihren Mitarbeitern und Kollegen, die aktuell und vielleicht auch noch länger aus dem Home Office arbeiten, einen sicheren Zugang zu Ihren Archiven zur Verfügung stellen. Sollten Sie während der Einrichtung des Remote-Zugriffes technische Fragen haben, stehen wir Ihnen gerne auch hier als Support-Team sowohl während der Trial-Phase, als auch begleitend nach dem Erwerb von MailStore Server, mit Rat und Tat zur Seite.

Über die Autorin:
Dieser Beitrag stammt von Rebecca Rommelrath. Sie ist ausgebildete Fachinformatikerin – Systemintegration und arbeitet seit 2018 bei MailStore als Technical Support Engineer im technischen Support. Zuvor war sie einige Jahre in der IT-Systemadministration in anderen Unternehmen tätig.