Mailfilter

Aus Securepoint Wiki
(Weitergeleitet von Neu/UTM/APP/Mailfilter)
Wechseln zu:Navigation, Suche

Beschreibung des Mailfilters

Bemerkung:
Neu in Version 11.8 
  • Das E-Mail Zeitschloss: In den Filterregeln kann die Aktion E-Mail in Quarantäne aufnehmen und erneut filtern nach ausgewählt werden.
    Die Scan-Engine kann bei neuen Viren, die sich häufig über einen bestimmten Dateityp verbreiten, bei der erneuten Zustellung mit zwischenzeitlich aktualisierten Virensignaturen eine höhere Erkennungswahrscheinlichkeit aufweisen. Die grundsätzliche Zustellung bleibt dabei gewährleistet.

Vorherige Version: 11.7


Einführung

Um festzustellen, ob es sich bei einer eingehenden Mail um Spam handelt, können der POP3-Proxy, das Mail-Relay und der Mail-Connector eingehende E-Mails an den Mailfilter übergeben. Der Mailfilter setzt sich aus dem Cyren Scan Daemon, dem ClamAntivurs, dem Securepoint Content-Filter und einem URL Filter zusammen. Wird innerhalb der E-Mail ein Web-Link gefunden, der auf den URL-Filter passt oder der vom Content-Filter erkannt wird, erscheint statt dem Inhalt der E-Mail eine frei editierbare Ersatzmeldung.

Durch den Einsatz des Mail-Connectors ist es möglich, neben POP3 auch E-Mails die mit IMAP sowie den beiden verschlüsselten Varianten abgeholt werden, durch den Mailfilter zu überprüfen.

Im Mailarchiv der UTM werden Mails abgelegt, die anhand der Filterregel in Quarantäne genommen wurden.
E-Mails, die von der UTM weitergeleitet und zugestellt wurden (HAM), sind dann im Mailarchiv nicht mehr zu finden, wenn diese Option nicht aktiviert wird.

Voraussetzung

   Hinweis:   Damit der Mailfilter Mails erhält, muss der POP3-Proxy, das Mail-Relay oder der Mail-Connector konfiguriert sein.

Mailfilter

Filterregeln

Filterregeln

Übersicht

Über die Filterregeln wird entschieden, wie mit E-Mails, bei denen definierte Eigenschaften erkannt wurden, verfahren wird. Dabei wird zwischen den Protokollen SMTP und POP3 sowie dem Mail-Connector unterschieden.

Über den Mail-Connector ist die UTM in der Lage, E-Mails über die Protokolle POP3 und IMAP und deren verschlüsselten Varianten POP3S und IMAPS von einem Mailserver abzuholen und mit dem Mailfilter auf Spam und Schadsoftware zu überprüfen.

Weiterhin wird zwischen den Protokollen POP3 und SMTP unterschieden. Wenn das Mailrelay genutzt wird, lautet das Protokoll SMTP. Bei Verwendung des POP3-Proxy wird das Protokoll POP3 ausgewählt.

Konfiguration

Filterregel bearbeiten

Mit

+ Regel hinzufügen wird eine neue Filterregel erstellt.

Es muss ein eindeutiger Regelname vergeben werden.

Mit dem Regeln mit und -Operator verbinden wird festgelegt, ob alle Kriterien erfüllt sein müssen ( und ) oder ob es ausreichend ist, wenn nur ein Kriterium der Filterregel erfüllt wird ( oder ).

Eine Filterung nach folgenden Kategorien ist möglich:

  • Protokoll - Auswählbar sind: SMTP , Mail-Connector oder POP3
  • Quellhost
  • Zielhost
  • Sender
  • Empfänger
  • Header-Feld
  • Spam oder nicht Spam
  • verdächtig oder auch nicht verdächtig
  • Massen E-Mails (Bulk) oder kein Bulk
  • Enthält Virus oder enthält keinen Virus
  • wurde vom URL-Filter erfasst oder wurde nicht erfasst
  • mit Inhalt dessen - Auswahl MIME-Type oder Dateiename

    Als Bedingung steht zur Auswahl

    • ist bzw. ist nicht
    • enthält bzw. enthält nicht
    • passt auf Regex
    • endet auf bzw. endet nicht auf

In der Klick-Box können nun Elemente ausgewählt oder auch neu eingegeben werden.


Mit dem + Button können weitere Kriterien für diesen Filter hinzugefügt werden.
Alert-green.png  Tip: Weitere Konfigurationshinweise finden Sie in unserem Best-Practice-Artikel zum Thema Mail Security

Bei Aktionen ausführen: stehen folgende Optionen zur Verfügung:

  • E-Mail annehmen

  • E-Mail ablehnen
       Wichtig:   Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!
    Wichtig:  Bei der Verwendung des Mail-Connectors wird von dieser Funktion dringend abgeraten.
    Weder der Absender noch der Empfänger erhalten eine Benachrichtigung darüber, daß die E-Mail abgelehnt wurde!

  • E-Mail in Quarantäne aufnehmen und erneut filtern nach
         Neu in 11.8 
Zusätzlich Eingabe der Quarantänedauer 30 in Minuten
   Wichtig:   Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!

  • E-Mail in Quarantäne nehmen (und eine vordefinierte Zeit (siehe Einstellungen) zur Ansicht vorhalten)
       Wichtig:   Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!


  • E-Mail verwerfen    Wichtig:   Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!

  • zutreffenden Inhalt filtern Es wird für den zutreffenden Abschnitt eine Ersatzmeldung angezeigt.

  • E-Mail im Betreff markieren mit Text, mit dem der Betreff so ergänzt wird, dass die Mail kenntlich gemacht wird und z. B. vom Mailserver in einen entsprechenden Ordner verschoben werden kann.


Whitelist Ausnahme Regel

Filterregel verschieben

In einer Whitelist-Regel wird unter bestimmten Bedingungen das Annehmen einer Mail festgelegt. Damit eine Regel als Whitelist-Regel funktioniert, muss die Reihenfolge definiert werden, so dass diese Regel vor der allgemeinen Spam-Quarantäne-Regel greift.

Durch klicken und halten mit der linken Maustaste auf die Whitelist-Regel (Pos. 7) in der Spalte „Pos.“, wird diese Regel nach oben über die allgemeine Spam_SMTP Filterregel verschoben. Hat die Regel die gewünschte Position erreicht, wird die Maustaste losgelassen.

Die Whitelist-Regel erhält nun entsprechend ihrer Rangfolge eine neue Positionsnummer.

Alert-green.png  Tip: Weitere Konfigurationshinweise finden Sie in unserem Best-Practice-Artikel zum Thema Mail Security.


URL-Filter 11.6

URL-Filter

URL-Filter



Mit dem URL-Filter wird untersucht, ob E-Mails Web-Links beinhalten. Wird in der Mail ein Link erkannt, der in dieser Liste ingetragen ist, wird statt dem gesamten Mailtext eine Ersatzmeldung angezeigt. Unbedenkliche URLs können hier explizit erlaubt werden, damit sie nicht vom Kategorie-Filter abgelehnt werden. (Rehenfolge wie bei Whitelist-Filter beachten!).

Mit dem Button können die URLs zugelassen oder blockiert werden.

Bei URLs können Wildcards * verwendet werden. Kategorien werden anhand des Securepoint Content-Filters geprüft, der auch beim Webfilter verwendet wird.


Einstellungen

Hier besteht die Möglichkeit, einen Spamreport erstellen zu lassen, die Blocking-Meldungen zu ändern und zu definieren nach welchen Kriterien die E-Mails im Mailarchiv der UTM vorgehalten werden.

Spamreport

╭╴ Spamreport ╶╮

Der Spamreport kann in bestimmten Intervallen die E-Mail Benutzer über von der UTM gefilterte, geblockte oder in Quarantäne genommene E-Mails informieren. Dieser Report kann entweder an einem bestimmten Wochentag oder Täglich, zu einer bestimmten Uhrzeit versendet werden.

Einstellungen Spamreport

Berichte aktivieren:

            ●   Keine Es wird an niemanden ein Bericht versendet.
            ●   Benutzer Es werden Berichte an die Benutzer versendet.
            ●   Benutzer und Admin Es werden Berichte an die Benutzer und eine Übersicht an den Administrator versendet.

Zustellbedingung:

            ●   Immer zustellen Es wird auf jeden Fall ein Spam-Report gesendet.
            ●   Nicht angenommen Nur zustellen, wenn mindestens eine E-Mail gefiltert, quarantänisiert oder abgelehnt wurde.
            ●   Quarantänisiert oder gefiltert Nur zustellen, wenn mindestens eine E-Mail Quarantänisiert oder gefiltert wurde.

Alternativer Hostname / IP: Falls über eine externe IP oder einen anderen Hostnamen auf das Webinterface mit dem Mailserver zugegriffen werden soll.

Tag: Dieser Report kann entweder an einem bestimmten Wochentag oder Täglich versendet werden.
In 1. Bericht kann die Uhrzeit festgelegt werden.
Bei täglichen Berichten, können insgesamt vier Berichte zu festgelegten Zeiten versendet werden.


Gruppe unter → Authentifizierung →Benutzer hinzufügen
Damit der Report den E-Mail Benutzer auch erreicht, ist es notwendig, dass sich dieser in einer Gruppe befindet, die die Berechtigung Spamreport beinhaltet.

Die Einstellung dazu erfolgt im Menü
→ Authentifizierung →Benutzer Gruppen + Gruppe hinzufügen bzw. bearbeiten unter Berechtigungen :

Hier müssen folgende Abschnitte aktiviert werden:

Spamreport
Ein aktiviert die Erstellung des Spamreports
Userinterface
Ein Berechtigung, damit sich der Benutzer gefilterte Mails im Mailarchiv der UTM ansehen kann.

Die E-Mail Adresse kann aus einem Verzeichnis-Server wie ActiveDirectory oder LDAP entnommen werden, wenn die UTM daran angebunden ist. Ansonsten muss der Benutzer mit seiner E-Mail-Adresse auf der UTM angelegt werden.

Im Reiter Mailfilter wird die E-Mail Adresse hinterlegt.
Hier können auch noch aktiviert Ein werden:
  • Herunterladen von gefilterten Anhängen erlauben
  • Weiterleiten von quarantänisierten E-Mails erlauben

Diese Einstellungen können auch individuell für jeden Benutzer im Reiter Mailfilter vorgenommen werden


UTM v11-8 Mailfilter Spamreport.png

Spamreport an den User.



Ersatzmeldungen

 Ersatzmeldungen 

Ersatzmeldungen

Hier werden Texte definiert, die anstatt des E-Mail Textes oder des blockierten Anhangs angezeigt werden sollen. Mit

können die Texte geändert werden.

  • Content-Blocking
    Text für E-Mails, die wegen Ihres Inhalts oder Anhangs geblockt wurden.
    Default: The content is rejected due content restrictions. If you think this is incorrect, please contact the IT Service Desk.
  • URL-Filter
    Text für E-Mails, die wegen der beinhalteten URLs gefiltert wurden.
    Default: The content is rejected due content restrictions. If you think this is incorrect, please contact the IT Service Desk.
  • Virus-Blocking
    Text für E-Mails, die wegen einer Viruserkennung geblockt wurden.
    Default: The content is rejected due content restrictions. If you think this is incorrect, please contact the IT Service Desk.


Mailarchiv

╭╴ Mailarchiv ╶╮

Einstellungen Mailarchiv

Vorgaben, wie E-Mails im Quarantäne-Archiv der UTM vorgehalten werden.


Maximale E-Mail-Anzahl: 1024 gibt an, wie viele Mails lokal auf der UTM vorgehalten werden.
Maximales E-Mail Alter: 7 Tage. Definiert die Zeit der Vorhaltung.
Maximale Archivgröße: 128 Megabytes. Benennt den Speicherplatz der Mails zur Verfügung steht. Bei erreichen der Grenze, werden die ältesten Mails gelöscht.
Alle E-Mail Transaktionen speichern:Aus Bei Aktivierung werden zusätzlich zu den voll­ständigen gefilterten und abgelehnten Mails auch die Meta-Informationen zu unbeanstandeten Mails gespeichert.


Abschluss

Abschluss der Konfiguration mit Speichern und Schließen