Wechseln zu:Navigation, Suche
Wiki





























De.png
En.png
Fr.png








Best Practice zum Thema Mail-Security
Letzte Anpassung: 04.2024
Neu:
  • Aktualisierung zum Redesign des Webinterfaces
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

07.2023 06.2022 v11.7

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
Anwendungen Mailrelay
notempty
Dieser Artikel ist ein Best Practice zum Thema Mail-Security.
Dies sind Einstellungen, die von uns empfohlen werden.
Ohne Gewähr auf Vollständigkeit !


Voraussetzungen

Diese Empfehlungen beziehen sich auf folgendes Szenario:

  • Empfang der E-Mails über das Mailrelay
  • Zustellung erfolgt direkt über MX
  • Filterung erfolgt direkt bei Eingang auf MX
  • Festlegung einer Globalen E-Mail Adresse
    Netzwerk Servereinstellungen  Bereich Servereinstellungen Abschnitt Firewall Beschriftung Globale E-Mail Adresse

Mailrelay

Mailrelay

Unter Anwendungen Mailrelay ist die Konfiguration so einzustellen, dass nur E-Mails an die Empfänger-Adresse angenommen werden.


Allgemein

Beschriftung Wert Beschreibung Mailrelay UTMbenutzer@firewall.name.fqdnAnwendungen Mailrelay Log UTM v12.7.0 Mailrelay BP Mailrelay Allgemein.png
Mailfilter: Ein Die Mailfilter Funktion muss aktiviert werden
SPF/DKIM/DMARC Prüfungen: Ein Fügt der E-Mail einen RFC 8601 Authentication-Results Header hinzu und ermöglicht das Filtern nach entsprechenden SPF/DKIM/DMARC Resultaten in einer Mailfilterregel (s.u.).


Relaying

Relaying-Liste
 Relaying-Liste 

Mit Domain / Host hinzufügen kann die Relaying Liste ergänzt werden. Hierbei sind folgende Konfigurationen sinnvoll:

UTM v12.7.0 Mailrelay BP Mailrelay Relaying.png
Bereich
Relaying
Beschriftung Wert Beschreibung
E-Mails, die an Domain anyideas.de gerichtet sind, sollen vom Mailrelay weitergeleitet werden:
Domain: anyideas.de Beispiel-Domain, für die E-Mails empfangen werden
Option: To E-Mails an diese Domain gerichtet
Aktion: RELAY Weiterleiten
Sollen auch ausgehend E-Mails über das Mailrelay der UTM versendet werden, wird ein weiterer Eintrag benötigt:
Domain: 192.168.175.100 IP-Adresse des internen Mailservers
Option: Connect Bei Verbindungsherstellung notempty
Das Mailrelay leitet mit dieser Option unabhängig vom Empfänger alle von diesem Host kommenden E-Mails weiter (offenes Relay). Diese Option sollte daher mit größter Sorgfalt, z.B. nur für interne Mailserver verwendet werden!
Aktion: RELAY Weiterleiten
Eintrag für einen Mailserver, der auf eine Blacklist soll:
Domain: 203.0.113.113 IP-Adresse des fremden Mailservers
Option: Connect Bei Verbindungsherstellung
Aktion: REJECT Ablehnen
Einstellungen
Einstellungen
Exakten Domainnamen für das Relaying verwenden: Ein Durch diese Option werden E-Mails an Empfänger innerhalb einer Subdomain nicht angenommen.
TLS Einstellungen
TLS Einstellungen
TLS Verschlüsselung als Server: Ein Die TLS-Verschlüsselung für das Mailrelay ist zu aktivieren, andernfalls werden E-Mails über unverschlüsselte Verbindungen entgegengenommen. Siehe hierzu auch die Hinweise des BSI zur Verwendung von TLS.
Zertifikat: default Der Import eines Zertifikats, dessen CN dem Hostnamen der UTM entspricht, ist optional. Wird ein solches Zertifikat nicht importiert, verwendet das Mailrelay ein selbst-signiertes Zertifikat zum Zweck der Transportverschlüsselung.
TLS Verschlüsselung als Client: encrypt Stellt sicher, dass E-Mails in jedem Falle über eine verschlüsselte Verbindung versendet werden.
  • Falls kein TLS angeboten wird schlägt die Verbindung fehl.

  • SMTP Routen

    notempty
    Der Mailserver sollte E-Mails an Adressen ohne Postfach während des SMTP-Dialogs ablehnen.
    Einstellungen
    Einstellungen

    Die Validierung der Empfänger auf gültige E-Mail Adressen ist bei Verwendung des SMTP-Protokolls zu aktivieren.
    Dadurch werden nur E-Mails angenommen, welche an einen Empfänger gehen, der auch auf dem Mail-Server vorhanden ist.

    UTM v12.7.0 Mailrelay BP Mailrelay SMTP Routen.png
    Bereich
    SMTP Routen
    E-Mail-Adresse überprüfen: Aus Die Validierung der Empfänger auf gültige E-Mail Adressen ist bei Verwendung des SMTP-Protokolls zu aktivieren.
    Dadurch werden nur E-Mails angenommen, welche an einen Empfänger gehen, der auch auf dem Mail-Server vorhanden ist. notempty
    Bei Verwendung des Mailconnectors dürfen keine E-Mails abgelehnt werden.
    In diesem Falle ist die Option ist zwingend zu deaktivieren.
    SMTP Die Securepoint Appliance fragt im Hintergrund den internen Mailserver ab.
  • Die Validierung muss ebenso am Mailserver aktiv sein! (Recipient Verification z.B. bei einem Exchange-Server)
  • LDAP Die Securepoint Appliance fragt beispielsweise den Active Directory-Server ab.
    Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter Authentifizierung AD/LDAP Authentifizierung konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten.
    Außerdem kann LDAP auch mit lokal auf der UTM angelegten Benutzern und deren E-Mail Adressen verwendet werden.
    Lokale E-Mail-Adressliste Die bekannten Adressen werden lokal auf der UTM verwaltet
    Lokale E-Mail-Adressliste bearbeiten Hier stehen alle bekannten Adressen.
    E-Mail-Adresse hinzufügen E-Mail-Adressen können hinzugefügt werden
    E-Mail-Adressen können entfernt werden


    Greylisting

    Greylisting

    Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird.
    Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.
    Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.
    Neben der Abwehr von einfachen Spambots durch das Greylisting, wird auch wertvolle Zeit gewonnen um neue Definitionen zu laden und so etwaige neue SPAM-Wellen zu erkennen.

    notempty
    Bei Verwendung des Mailconnectors darf kein Greylisting konfiguriert werden
    Einstellungen
    Einstellungen
    Beschriftung Empfehlung Beschreibung UTM v12.7.0 Mailrelay BP Mailrelay Greylisting.png
    Bereich
    Greylisting
    Greylisting: Ein Aktiviert das Greylisting
    SPF: Ein Wenn das Sender Policy Framework der Absenderdomain korrekt im DNS eingetragen ist, wird die Mail ohne Verzögerung zugestellt.
    Im SPF-Record werden alle Mailserver IP-Adressen des Absenders eingetragen, die zum Versand von E-Mails berechtigt sind. Der Empfänger prüft dann anhand des Mail Header Feldes „Mail From“ oder des „HELO“ Kommandos, welche Domain dort eingetragen ist oder genannt wird und ob diese mit einer der IP-Adressen im SPF-Record übereinstimmt. Stimmt die IP-Adresse des Absenders nicht mit denen des SPF-Record überein, geht die Mail in das Greylisting.
    Header hinzufügen: Ein Im Standard wird für jeden Empfänger, der im Mailheader gelistet wird ein weiterer Greylisting Eintrag hinzugefügt.
    Das kann zu Problemen führen, wenn viele Empfänger im Header stehen.
    Bei Deaktivierung Nein werden keine Greylisting Header eingefügt.
    Automatisches Allowlisten für: 7Link= Tage Der Wert kann auf 60 Tage erhöht werden.
    Verzögerung: 2Link= Minuten Zeitraum, der dem sendenden Mailserver vorgegeben wird, um einen weiteren Zustellversuch vorzunehmen.
    notempty
    Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden.

    notempty
    Wird ein größerer Wert für Verzögerung von z.B.: 30Link= Minuten gewählt, kann die Scan-Engine bei der erneuten Zustellung mit zwischenzeitlich aktualisierten Virensignaturen eine höhere Erkennungswahrscheinlichkeit bei neuen Outbreaks aufweisen.

    Erweitert

    Erweitert
    Greeting Pause
    Greeting Pause
    Beschriftung Empfehlung Beschreibung UTM v12.7.0 Mailrelay BP Mailrelay Erweitert.png
    Status: Ein Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in Spam-Bots das SMTP-Protokoll nicht zur Gänze implementiert ist. Damit lassen sich diese von regulären Mailservern unterscheiden.
    Das Greeting ist eine Begrüßung, die vom Mailrelay an den sendenden Mailserver übermittelt wird.
    Diese könnte z. B. so aussehen:

    220 firewall.foo.local ESMTP Ready
    Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er weitere SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spam-Bot wird sofort nach erfolgtem TCP-Handshake beginnen Kommandos zu senden. In diesem Fall wird das Mailrelay keine weiteren Kommandos entgegennehmen und die Verbindung abbrechen.

    Empfänger-Beschränkung
    Empfänger-Beschränkung
    Status: Aus Die Option blockiert E-Mails, die mehr als eine definierte Anzahl Empfängeradressen aufweisen. Inzwischen werden die meisten Spammails als individuelle E-Mail verschickt. Diese Option sollte nur in Sonderfällen aktiviert werden.
    Limit: 25Link= Anzahl der Empfänger, die nicht überschritte nwerden darf (Achtung: Trifft ggf. auf firmeninterne Mail-Gruppen zu!)
    Beschränkungen pro Client
    Beschränkungen pro Client
    Verbindungen limitieren: Ein Aktiviert die Funktion, die Anzahl für maximal erlaubte Verbindungen zu konfigurieren. Das Verbindungslimit wirkt möglichen DDOS-Attacken entgegen.
    Ausnahmen Host Sollen ausgehende E-Mails ebenfalls über das Mailrelay der UTM gesendet werden, sollten die entsprechenden Mailserver hinzugefügt werden.
    Erlaubte Verbindungen: 2Link= Hier kann eingestellt werden, wie viele Verbindungen das Mailrelay gleichzeitig annimmt.
    Zugriffskontrolle aktivieren Ein Möglichen DOS-Attacken wird durch die Zugriffskontrolle entgegengewirkt.
    Zeitfenster: 60Link= Sekunden
    Verbindungen pro Zeitfenster: 5Link=
    Sonstige
    Sonstige
    HELO benötigt: Ein Ist HELO aktiviert, wird vom SMTP Client gefordert seinen Namen zu nennen.
    Sollte unbedingt aktiviert bleiben (Standard) Dieser Schalter existiert, um Abwärtskompatibilität zu gewährleisten.
    Reverse DNS lookup benötigt: Ein Prüft, ob der HELO-Name existiert und im PTR zutrifft.



  • Bei der Verwendung des Mailconnectors darf diese Aktion nicht verwendet werden!
  •  Aktion deaktivieren Aus

  • Werden verschiedene Protokolle benutzt, muss das zuvor in den Filterbedingungen ausgewählt werden!

    und Protokoll

    ist Mailconnector

     Kriterium hinzufügen
  • Unauflösbare Domains akzeptieren: Nein Prüft, ob ob Host-Adresse und Sender-Adresse auflösbar sind.
    Sollte bei SMTP deaktiviert bleiben. notempty
    Muss bei Verwendung des Mailconnectors aktiviert werden
    Maximale Anzahl an Prozessen: 10Link= Der Wert sollte nur bei permanent hohem Mailaufkommen angepasst werden und muss die Leistungsfähigkeit der Hardware berücksichtigen!


    Mailfilter

    Unter Anwendungen Mailfilter sollten verschiedene Filterregeln angepasst bzw. neu erstellt werden:


    Filterregeln

    Filterregel Beschreibung
    Filterregel »ist als SPAM klassifiziert / SMTP« 
     Spam_SMTP 
    Wenn eine E-Mail eingeht

    und Protokoll

    ist
    SMTP

    und ist als Spam klassifiziert


    Aktion ausführen:

    Filterregel bearbeiten: E-Mail ablehnen
    Default: E-Mail in Quarantäne nehmen
    Mail-Server oder Absender deren E-Mails als SPAM klassifiziert werden, sind in der Vergangenheit als SPAM-Quelle aufgefallen. E-Mails von diesen Systemen sollte auf gar keinen Fall angenommen werden.
    Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.
    notempty
    Securepoint empfiehlt, dass diese E-Mails abgelehnt werden.
    Filterregel »ist als verdächtig eingestuft« 
     Possibly_Spam 
    Wenn eine E-Mail eingeht

    und ist als verdächtig eingestuft.


    Aktion ausführen:

    Filterregel bearbeiten: E-Mail in Quarantäne nehmen
    Default: E-Mail im Betreff markieren mit [Marked as possibly spam]
    E-Mails die als verdächtig eingestuft werden enthalten verdächtige Muster und Inhalte und sollten nicht in die Mailbox des Users zugestellt werden.
    notempty
    Securepoint empfiehlt, dass diese E-Mails in Quarantäne genommen werden.



  • Bei der Verwendung des POP3-Proxys darf diese Aktion nicht verwendet werden!
  • Hier empfiehlt sich
    Aktion ausführen:


    zutreffenden Inhalt filtern
  • Werden verschiedene Protokolle benutzt, muss das zuvor in den Filterbedingungen ausgewählt werden!

    und Protokoll

    ist POP3

     Kriterium hinzufügen
  • Filterregel »enthält einen Virus« 
     Virus 
    Wenn eine E-Mail eingeht

    und enthält einen Virus.


    Aktion ausführen:

    Filterregel bearbeiten: E-Mail ablehnen
    Default: zutreffenden Inhalt filtern
    Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.
    notempty
    Securepoint empfiehlt, dass diese E-Mails abgelehnt werden.



  • Bei der Verwendung des POP3-Proxys darf diese Aktion nicht verwendet werden!
  • Hier empfiehlt sich
    Aktion ausführen:


    zutreffenden Inhalt filtern
  • Werden verschiedene Protokolle benutzt, muss das zuvor in den Filterbedingungen ausgewählt werden!

    und Protokoll

    ist POP3

     Kriterium hinzufügen


  • Bei der Verwendung des Mailconnectors darf diese Aktion nicht verwendet werden!
  • Hier empfiehlt sich
    Aktion ausführen:


    E-Mail in Quarantänen nehmen
  • Werden verschiedene Protokolle benutzt, muss das zuvor in den Filterbedingungen ausgewählt werden!

    und Protokoll

    ist Mailconnector

     Kriterium hinzufügen
  • Filterregel »mit Inhalt dessen« 
     Filter_Extensions 
    Wenn eine E-Mail eingeht
    mit Inhalt dessen

    Dateiname
    endet auf
    Default: ade, adp, bat, chm, cmd, com, cpl, exe, hta, ins, isp, jar, js, jse, lib, lnk, mde, msc, msi, msp, mst, nsh, pif, scr, sct, shb, sys, vb, vbe, vbs, vxd, wsc, wsf, wsh


    Aktion ausführen:
    Filterregel bearbeiten: E-Mail ablehnen
    Default: zutreffenden Inhalt filtern
    Ausführbare Dateien sollten nicht zugestellt werden. Sie werden anhand der Dateiendung gefiltert. Kann bei Bedarf ergänzt werden.
    notempty
    Securepoint empfiehlt, dass diese E-Mails abgelehnt werden.



  • Bei der Verwendung des POP3-Proxys darf diese Aktion nicht verwendet werden!
  • Hier empfiehlt sich
    Aktion ausführen:


    zutreffenden Inhalt filtern
  • Werden verschiedene Protokolle benutzt, muss das zuvor in den Filterbedingungen ausgewählt werden!

    und Protokoll

    ist POP3

     Kriterium hinzufügen
  • Filterregel »ist eine Bulk E-Mail« 
    Regel hinzufügen
     bulk_rescan 
     Bulk_Mail 
    Regelname bulk_rescan
    Wenn eine E-Mail eingeht
    und ist eine Bulk E-Mail

    Aktion ausführen:
    Filterregel bearbeiten: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten
    Default: E-Mail annehmen
    E-Mails die als BULK eingestuft sind, werden aktuell massenhaft versendet und sollten nicht in die Mailbox des Users zugestellt werden.
    Dies könnten z. B. die ersten E-Mails einer neuen SPAM-Welle sein.
    notempty
    Securepoint empfiehlt, dass diese E-Mails in Quarantäne genommen werden.



  • Bei der Verwendung des POP3-Proxys darf diese Aktion nicht verwendet werden!
  • Hier empfiehlt sich
    Aktion ausführen:


    E-Mail im Betreff markieren mit Massenmail (BULK)
  • Werden verschiedene Protokolle benutzt, muss das zuvor in den Filterbedingungen ausgewählt werden!

    und Protokoll

    ist POP3

     Kriterium hinzufügen
  • Regeln mit der Aktion …und erneut filtern nach werden nur einmal angewendet.
    Eine weitere Regel wird benötigt, die festlegt, wie bei einem erneuten Scan mit gleichem Ergebnis verfahren werden soll!
  • Anlegen einer neuen Regel: Regel hinzufügen
    Regelname Bulk_Mail
    Wenn eine E-Mail eingeht

    und ist eine Bulk E-Mail

    Kriterium hinzufügen

    und Header-Feld
    From
    enthält nicht
    »anyideas.de
    Aktion ausführen:
    Filterregel bearbeiten: E-Mail in Quarantäne nehmen
    Default: E-Mail annehmen
    Filterregel »Investigate / weitere Untersuchungen werden empfohlen« 
    Regel hinzufügen
     Investigate 
    Regelname Investigate
    Wenn eine E-Mail eingeht
    und weitere Untersuchungen werden empfohlen / sind nicht zwingend notwendig

    Aktion ausführen:
    Filterregel bearbeiten: E-Mail in Quarantäne aufnehmen und erneut filtern nach 15 Minuten
    Default: E-Mail annehmen
    Die Spamfilter-Engine erwartet, daß sich die Kategorie dieser E-Mail in den nächsten 15 Minuten noch ändern könnte.
    notempty
    Securepoint empfiehlt, dass diese E-Mails in Quarantäne genommen werden.



  • Bei der Verwendung des POP3-Proxys darf diese Aktion nicht verwendet werden!
  • Hier empfiehlt sich
    Aktion ausführen:


    E-Mail im Betreff markieren mit Inhalt prüfen (keine Klassifizierung)
  • Werden verschiedene Protokolle benutzt, muss das zuvor in den Filterbedingungen ausgewählt werden!

    und Protokoll

    ist POP3

     Kriterium hinzufügen
  • Filterregel »wurde vom URL-Filter erfasst« 
    Regel hinzufügen
     URL_Filter 
    Anlegen einer neuen Regel: Regelname URL_Filter
    Wenn eine E-Mail eingeht
    und wurde vom URL-Filter erfasst

    Aktion ausführen:
    Filterregel bearbeiten: E-Mail in Quarantäne nehmen
    Default: E-Mail annehmen
    E-Mails die eine gefährliche URL enthalten sollten nicht angenommen werden und nicht in die Mailbox des Users zugestellt werden.
    Bitte dazu die Einstellungen des URL-Filters beachten.
    notempty
    Securepoint empfiehlt, dass diese E-Mails in Quarantäne genommen werden.



  • Bei der Verwendung des POP3-Proxys darf diese Aktion nicht verwendet werden!
  • Hier empfiehlt sich
    Aktion ausführen:


    zutreffenden Inhalt filtern
  • Werden verschiedene Protokolle benutzt, muss das zuvor in den Filterbedingungen ausgewählt werden!

    und Protokoll

    ist POP3

     Kriterium hinzufügen
  • Die aktuelle Gefährdungslage macht deutlich, dass Standard-Verfahren im Kampf gegen Malware nicht mehr mithalten können.
  • Potentiell gefährliche Dokumente sollten nicht in die Mailbox des Benutzers zugestellt werden.
    Die Identifizierung der Dokumente erfolgt dabei über MIME-Types und Dateiendungen.
  • Filterregel »Word-Dokumente auf Basis des MIME-Types« 
    +Regel hinzufügen
     Word_MIME 
    Anlegen einer neuen Regel: Regelname Word_Mime
    Wenn eine E-Mail eingeht
    und mit Inhalt dessen
    MIME-Typ
    ist
    In der Klick-Box können nun MIME-Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
    application/msword, application/vnd.openxmlformats-officedocument.wordprocessingml.document, application/vnd.openxmlformats-officedocument.wordprocessingml.template, application/vnd.ms-word.document.macroEnabled.12, application/vnd.ms-word.template.macroEnabled.12

    Aktion ausführen:
    Filterregel bearbeiten: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten
    Default: E-Mail annehmen
    Damit Word-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
    notempty
    Securepoint empfiehlt, dass E-Mails mit Office-Dokumenten im Anhang vorläufig in Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!



  • Bei der Verwendung des POP3-Proxys darf diese Aktion nicht verwendet werden!
  • Hier empfiehlt sich
    Aktion ausführen:


    zutreffenden Inhalt filtern
  • Werden verschiedene Protokolle benutzt, muss das zuvor in den Filterbedingungen ausgewählt werden!

    und Protokoll

    ist POP3

     Kriterium hinzufügen
  • Speichern

    Filterregel »Excel-Dokumente auf Basis des MIME-Types« 
    + Filterregel hinzufügen
     Excel_MIME 
    Anlegen einer neuen Regel: Regelname Excel_Mime
    Wenn eine E-Mail eingeht
    und mit Inhalt dessen
    MIME-Typ
    ist

    application/vnd.ms-excel, application/vnd.openxmlformats-officedocument.spreadsheetml.sheet, application/vnd.openxmlformats-officedocument.spreadsheetml.template, application/vnd.ms-excel.sheet.macroEnabled.12, application/vnd.ms-excel.template.macroEnabled.12, application/vnd.ms-excel.addin.macroEnabled.12, application/vnd.ms-excel.sheet.binary.macroEnabled.12

    Aktion ausführen:
    Filterregel bearbeiten: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten
    Default: E-Mail annehmen
    Damit Excel-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
    notempty
    Securepoint empfiehlt, dass E-Mails mit Office-Dokumenten im Anhang vorläufig in Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!



  • Bei der Verwendung des POP3-Proxys darf diese Aktion nicht verwendet werden!
  • Hier empfiehlt sich
    Aktion ausführen:


    zutreffenden Inhalt filtern
  • Werden verschiedene Protokolle benutzt, muss das zuvor in den Filterbedingungen ausgewählt werden!

    und Protokoll

    ist POP3

     Kriterium hinzufügen
  • Speichern

    Filterregel »Open-Office / Libre-Office-Dokumente auf Basis des MIME-Types« 
    +Filterregel hinzufügen
     OOffice_MIME 
    Anlegen einer neuen Regel: Regelname OOffice_MIME (Open-Office)
    Wenn eine E-Mail eingeht
    und mit Inhalt dessen
    MIME-Typ
    ist
    application/vnd.oasis.opendocument.chart-template,application/vnd.oasis.opendocument.database,application/vnd.oasis.opendocument.formula, application/vnd.oasis.opendocument.formula-template,application/vnd.oasis.opendocument.graphics,application/vnd.oasis.opendocument.graphics-template, application/vnd.oasis.opendocument.image,application/vnd.oasis.opendocument.image-template,application/vnd.oasis.opendocument.presentation, application/vnd.oasis.opendocument.presentation-template,application/vnd.oasis.opendocument.spreadsheet, application/vnd.oasis.opendocument.spreadsheet-template,application/vnd.oasis.opendocument.text,application/vnd.oasis.opendocument.text-master, application/vnd.oasis.opendocument.text-template,application/vnd.oasis.opendocument.text-web, text/rtf, application/rtf


    Aktion ausführen:
    Filterregel bearbeiten: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten
    Default: E-Mail annehmen

    notempty
    Securepoint empfiehlt, dass E-Mails mit Office-Dokumenten im Anhang vorläufig in Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!



  • Bei der Verwendung des POP3-Proxys darf diese Aktion nicht verwendet werden!
  • Hier empfiehlt sich
    Aktion ausführen:


    zutreffenden Inhalt filtern
  • Werden verschiedene Protokolle benutzt, muss das zuvor in den Filterbedingungen ausgewählt werden!

    und Protokoll

    ist POP3

     Kriterium hinzufügen
  • Filterregel »Office-Dokumente auf Basis der Dateiendung« 
    +Filterregel hinzufügen
     Office_Extension 
    Anlegen einer neuen Regel: Regelname Office_Extension
    Wenn eine E-Mail eingeht
    und mit Inhalt dessen
    Dateiname
    endet auf
    In der Klick-Box können nun Datei-Endungen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
    doc, dot, docx, docm, dotx, dotm, docb, xls, xlsx, xlt, xlm, xlsm, xltm, xlsb, xla, xlam, xll, xlw, ppt, pot, pps, ppa, pptx, pptm, potx, potm, ppam, ppsx, ppsm, sldx, sldm, pub, odt, ott, oth, odm, otg, odp, otp, ods, ots, odc, odf, odb, odi, oxt, rtf

    Aktion ausführen:
    Filterregel bearbeiten: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten
    Default: E-Mail annehmen
    Damit Office-Dokumente anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
    notempty
    Securepoint empfiehlt, dass E-Mails mit Office-Dokumenten im Anhang vorläufig in Quarantäne genommen
    und nach 30 Minuten erneut gefiltert werden!



  • Bei der Verwendung des POP3-Proxys darf diese Aktion nicht verwendet werden!
  • Hier empfiehlt sich
    Aktion ausführen:


    zutreffenden Inhalt filtern
  • Werden verschiedene Protokolle benutzt, muss das zuvor in den Filterbedingungen ausgewählt werden!

    und Protokoll

    ist POP3

     Kriterium hinzufügen
  • Speichern

    Filterregel »Komprimierte Dateien auf Basis des MIME-Types« 
    +Filterregel hinzufügen
     Compressed_MIME 
    Anlegen einer neuen Regel: Regelname Compressed_MIME
    Wenn eine E-Mail eingeht
    und mit Inhalt dessen
    MIME-Typ
    ist
    In der Klick-Box können nun MIME-Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
    application/x-zip-compressed,application/zip

    Aktion ausführen:
    Filterregel bearbeiten: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten
    Default: E-Mail annehmen
    Damit komprimierte Dateien anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
    notempty
    Securepoint empfiehlt, dass E-Mails mit komprimierten Dateien im Anhang vorläufig in Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!



  • Bei der Verwendung des POP3-Proxys darf diese Aktion nicht verwendet werden!
  • Hier empfiehlt sich
    Aktion ausführen:


    zutreffenden Inhalt filtern
  • Werden verschiedene Protokolle benutzt, muss das zuvor in den Filterbedingungen ausgewählt werden!

    und Protokoll

    ist POP3

     Kriterium hinzufügen
  • Speichern

    Filterregel »Komprimierte Dateien auf Basis der Endung« 
    +Filterregel hinzufügen
     Compressed_Extension 
    Anlegen einer neuen Regel: Regelname Compressed_Extension
    Wenn eine E-Mail eingeht
    und mit Inhalt dessen
    Dateiname
    endet auf
    In der Klick-Box können nun Datei-Endungen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
    zip,7z,ace,arj,cab,zz,zipx

    Aktion ausführen:
    Filterregel bearbeiten: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten
    Default: E-Mail annehmen
    Damit Komprimierte Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
    notempty
    Securepoint empfiehlt, dass E-Mails mit komprimierten Dateien im Anhang vorläufig in Quarantäne genommen
    und nach 30 Minuten erneut gefiltert werden!



  • Bei der Verwendung des POP3-Proxys darf diese Aktion nicht verwendet werden!
  • Hier empfiehlt sich
    Aktion ausführen:


    zutreffenden Inhalt filtern
  • Werden verschiedene Protokolle benutzt, muss das zuvor in den Filterbedingungen ausgewählt werden!

    und Protokoll

    ist POP3

     Kriterium hinzufügen
  • Speichern

    Filterregel »ISO-Dateien auf Basis des MIME-Typs oder der Endung« 
    +Filterregel hinzufügen
     images 
    Anlegen einer neuen Regel: Regelname Images
    Regeln mit oder -Operator verbinden
    Wenn eine E-Mail eingeht
    und mit Inhalt dessen
    Dateiname
    endet auf
    In der Klick-Box können nun Datei-Endungen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
    iso,img
    oder mit Inhalt dessen
    MIME-Typ
    ist
    In der Klick-Box können nun MIME-Typen eingegeben werden. Als Inhalt kann diese Liste eingetragen werden.
    application/x-cd-image, application/x-iso-image, application/x-iso9660-image

    Aktion ausführen:
    Filterregel bearbeiten: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten
    Default: E-Mail annehmen
    Damit .iso und .img -Dateien gefiltert werden, wird eine neue Regel benötigt.
    notempty
    Securepoint empfiehlt, dass E-Mails mit Images im Anhang vorläufig in Quarantäne genommen
    und nach 30 Minuten erneut gefiltert werden!



  • Bei der Verwendung des POP3-Proxys darf diese Aktion nicht verwendet werden!
  • Hier empfiehlt sich
    Aktion ausführen:


    zutreffenden Inhalt filtern
  • Werden verschiedene Protokolle benutzt, muss das zuvor in den Filterbedingungen ausgewählt werden!

    und Protokoll

    ist POP3

     Kriterium hinzufügen
  • Speichern

    WL_Anhänge markieren oder filtern
    Filterregel hinzufügen
     ' 
     '
     
     Anhänge filtern 
    Szenario: Anhänge bestimmter Absender sollen markiert und zugestellt werden. Alle anderen Anhänge sollen gefiltert werden.
    • 1. Regel: E-Mails mit Anhängen bestimmter Absender markieren
    • 2. Regel: E-Mails mit Anhängen bestimmter Absender zustellen
    • 3. Regel: E-Mails mit Anhängen die nicht von bestimmten Absendern stammen filtern
    Anlegen einer neuen Regel:Regelname    
    Wenn eine E-Mail eingeht
    und mit Inhalt dessen
    Dateiname enthält
    »*

    Kriterium hinzufügen


    und Sender
    enthält
    »anyideas.de
    Aktion ausführen:
    Filterregel bearbeiten: E-Mail im Betreff markieren mit Absender geprüft

    Filterregel hinzufügen

    Anlegen einer neuen Regel:Regelname    
    Wenn eine E-Mail eingeht
    und mit Inhalt dessen
    Dateiname enthält
    »*
    Kriterium hinzufügen

    und Sender
    enthält
    »anyideas.de
    Aktion ausführen:
    Filterregel bearbeiten: E-Mail annehmen
    notempty
    Da diese E-Mail markiert wurde - also ein Filter zutraf - wird sie in der Quarantäne als gefiltert angezeigt. Trotzdem wird sie, dank der 2. Regel, zugestellt.


    Filterregel hinzufügen

    Anlegen einer neuen Regel:Regelname Anhänge filtern
    Wenn eine E-Mail eingeht
    und mit Inhalt dessen
    Dateiname enthält
    »*

    und Sender
    enthält nicht
    »anyideas.de
    Aktion ausführen:
    Filterregel bearbeiten: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten
  • Die Prüfung auf das Regelwerk wird bei den Aktionen zutreffenden Inhalt filtern und E-Mail im Betreff markieren mit nicht abgebrochen, sondern fortgeführt. Weitere Filterregeln können auf solche E-Mails angewendet werden.
  • In allen anderen Aktions-Fällen wird die Prüfung auf das Regelwerk beendet, sofern die Kriterien zutreffen.
  • Whitelist Ausnahme Regeln erstellen
    +Filterregel hinzufügen
     Whitelist 
    Wenn E-Mails eines bestimmten Absenders (hier von securepoint.de) in jedem Fall zugestellt werden sollen,

    muss hierfür eine Whiltelist-Ausnahme in dem Mailfilter Regelwerk angelegt werden.

    Anlegen einer neuen Regel:Regelname Whitelist
    Wenn eine E-Mail eingeht
    und Protokoll
    ist SMTP
    Kriterium hinzufügen

    und Sender
    from
    endet auf
    »@ttt-point.de
    Aktion ausführen:
    Filterregel bearbeiten: E-Mail annehmen

    Speichern
    Mailfilter UTMbenutzer@firewall.name.fqdnAnwendungen Mailfilter Log UTM v12.7.0 Mailrelay BP Mailfilter verschieben.png Damit eine Regel als Whitelist-Regel funktioniert, muss die Reihenfolge definiert werden, so dass diese Regel vor der allgemeinen Spam-Quarantäne-Regel greift.
    Durch klicken und halten mit der linken Maustaste auf die Whitelist-Regel (Pos. 7) in der Spalte „Pos.“, wird diese Regel nach oben über die allgemeine Spam_SMTP Filterregel verschoben. Hat die Regel die gewünschte Position erreicht, wird die Maustaste losgelassen.
    Die Whitelist-Regel erhält nun entsprechend ihrer Rangfolge eine neue Positionsnummer.

  • Whitelist-Regeln sollten nach den Regeln für Spam und Viren, aber vor anderen Regeln stehen, die eine Zustellung ungewollt verhindern können.
  • Gefälschter Absender
    +Filterregel hinzufügen
     fake_sender_intern 
    UTM v12.7.0 Mailrelay BP Mailfilter fake sender.png
    Fake Sender

    Damit E-Mails mit gefälschtem internen Absender (die gewöhnlich ein hohes Vertrauen genießen) nicht angenommen werden, empfehlen wir drei Filterregeln nach folgendem Beispiel zu erstellen:

    notempty
    In diesem Beispiel sollen E-Mails der Maildomain @securepoint.de angenommen werden.
    Die IP-Adresse des Mailservers wird mit 192.168.175.100 angenommen.

    notempty
    Dies sind lediglich Beispieladressen, die lokal angepasst werden müssen.
    Anlegen einer neuen Regel:Regelname fake_sender_intern1
    Wenn eine E-Mail eingeht
    und Sender
    enthält
    »@ttt-point.de
    Kriterium hinzufügen

    und Quellhost
    ist nicht
    »192.168.175.100
    Aktion ausführen:
    Filterregel bearbeiten: E-Mail ablehnen

    Speichern

    Regel hinzufügen

    Anlegen einer neuen Regel:Regelname fake_sender_intern2
    Wenn eine E-Mail eingeht
    und Header-Feld
    From enthält
    »@ttt-point.de
    Kriterium hinzufügen

    und Quellhost
    ist nicht
    »192.168.175.100
    Aktion ausführen:
    Filterregel bearbeiten: E-Mail ablehnen

    Speichern

    Filterregel hinzufügen

    Anlegen einer neuen Regel:Regelname fake_sender_intern3
    Wenn eine E-Mail eingeht
    und Header-Feld
    From ist
    »securepoint.de
    Kriterium hinzufügen

    und Quellhost
    ist nicht
    »192.168.175.100
    Aktion ausführen:
    Filterregel bearbeiten: E-Mail ablehnen

    Speichern

    Filterregel SPF fail
    +Filterregel hinzufügen
     SPF fail 
    Anlegen einer neuen Regel:Regelname SPF fail
    Wenn eine E-Mail eingeht
    und SPF-Ergebnis für Domäne
    »anyideas.de
    existiert und ist
    »fail
    Aktion ausführen:
    Filterregel bearbeiten: E-Mail in Quarantäne nehmen

    Speichern

    Filterregel SPF permerror
    +Filterregel hinzufügen
     SPF permerror 
    Anlegen einer neuen Regel:Regelname SPF permerror
    Wenn eine E-Mail eingeht
    und SPF-Ergebnis für Domäne
    »anyideas.de
    existiert und ist
    »softfail oder »permerror
    Aktion ausführen:
    Filterregel bearbeiten: E-Mail im Betreff markieren mit SPF Fehler / Absender prüfen!

    Speichern

    Filterregel DKIM
    +Filterregel hinzufügen
     DKIM 
    Anlegen einer neuen Regel:Regelname DKIM
    Wenn eine E-Mail eingeht
    und DKIM-Ergebnis für Domäne
    »anyideas.de
    existiert und ist
    »fail
    Aktion ausführen:
    Filterregel bearbeiten: E-Mail in Quarantäne nehmen

    Speichern

    Filterregel DMARC quarantine
    +Filterregel hinzufügen
     DMARC quarantine 
    Anlegen einer neuen Regel:Regelname DMARC quarantine
    Wenn eine E-Mail eingeht
    und DMARC-Ergebnis/Policy-Empfehlung ist
    quarantine
    Aktion ausführen:
    Filterregel bearbeiten: E-Mail in Quarantäne nehmen

    Speichern

    Filterregel DMARC reject
    +Filterregel hinzufügen
     DMARC reject 
    Anlegen einer neuen Regel:Regelname DMARC reject
    Wenn eine E-Mail eingeht
    und DMARC-Ergebnis/Policy-Empfehlung ist
    reject
    Aktion ausführen:
    Filterregel bearbeiten: E-Mail ablehnen

    Speichern




    URL-Filter

    Anwendungen  Bereich URL-Filter


    Der URL-Filter überprüft

    • die URL selbst. Regel hinzufügen Weitere Hinweise im Wiki zum Mailfilter.
      Damit lassen sich in Verbindung mit der Aktion zulassen vor allem Whitelists erstellen

    • in welche inhaltliche Kategorie die aufgerufene Seite fällt. Kategorie hinzufügen
      Diese Kategorisierung wird von unserem Contentfilter-Team ständig aktualisiert.
      Es lassen sich auch hier Allowlist-Einträge (z.B. Ausbildung (Schulen und Ausbildungsinstitute, Universitäten) mit der Aktion zulassen oder Blocklist-Einträge mit der Aktion blockieren erstellen.

      Die folgenden Kategorien sind in Installationen seit 11.8 vorkonfiguriert und sollten auch bei älteren Installationen nicht fehlen:

    Kategorie hinzufügen

    Typ Name Beschreibung Aktion
    Kategorie Threat Intelligence Feed Diese Kategorie enthält aktuell als schädlich eingestufte URLs welche Schadsoftware verbreiten und Phishing Seiten enthalten (Phishing, Malware, Botnetze, Crimeware usw.) blockieren
    Kategorie Porno und Erotik Diese Kategorie enthält URLs die Pornographische oder überwiegend sexuelle Inhalte bereitstellen. blockieren
    Kategorie Hacking Diese Kategorie enthält URLs die Ratgeber bereitstellen zum Thema Hacking, Warez, Malware bauen, Systeme überlisten oder Abofallen. blockieren
    Kategorie Update Server Server und Dienste für wichtige Softwareupdates
    Diese Kategorie ist für Whitelist-Umgebungen vorgesehen.
    zulassen
    notempty
    Weitere Kategorien sind den Anforderungen des Unternehmens anzupassen


    Durch das Kicken auf Speichern wird die Filterregel hinzugefügt.



    Spamreport

    Anwendungen Mailfilter  Bereich Einstellungen Abschnitt
    Spamreport





























    Einstellungen Spamreport

    Der Spamreport kann in bestimmten Intervallen die E-Mail Benutzer über von der UTM gefilterte, geblockte oder in Quarantäne genommene E-Mails informieren. Dieser Report kann entweder an einem bestimmten Wochentag oder Täglich, zu einer bestimmten Uhrzeit versendet werden.

    Aktion Wert Beschreibung
    Berichte aktivieren: Keine (Default) Es werden keine Spamreports versendet.
    Benutzer Es werden Berichte an die Benutzer versendet.
    Benutzer und Admin Es werden Berichte an die Benutzer und eine Übersicht an den Administrator versendet.
    Zustellbedingung: Immer zustellen (Default) Es wird auf jeden Fall ein Spam-Report gesendet.
    Nicht angenommen Quarantänisiert oder gefiltert
    Quarantänisiert oder gefiltert Es wird nur dann ein Spam-Bericht zugestellt, wenn mindestens eine E-Mail Quarantänisiert oder gefiltert wurde.
    Alternativer Hostname / IP:     Falls über eine externe IP oder einen anderen Hostnamen auf das Webinterface mit dem Mailserver zugegriffen werden soll.
    Tag: Montag (Default) Dieser Report kann entweder an einem bestimmten Wochentag oder jeden Tag versendet werden.
    1. Bericht 20:00 Uhr Legt die Uhrzeit für das Versenden des Berichts fest
    2.Bericht
    3.Bericht
    4.Bericht
    Deaktiviert Bei täglichen Berichten, können insgesamt vier Berichte zu festgelegten Zeiten versendet werden.


    Damit der Report den E-Mail Benutzer auch erreicht, ist es notwendig, dass sich dieser in einer Gruppe befindet, die die Berechtigung Spamreport beinhaltet.

    Sind mehrere Mailadressen für einen Benutzer in einem AD hinterlegt, wird der dort als Primäre SMTP-Adresse konfigurierte Eintrag als Default-Adresse verwendet.

    Gruppe unter → Authentifizierung →Benutzer hinzufügen

    Die Einstellung dazu erfolgt im Menü
    → Authentifizierung →Benutzer Gruppen + Gruppe hinzufügen bzw. bearbeiten unter Berechtigungen:

    Hier müssen folgende Abschnitte aktiviert werden:

    Spamreport
    Ein aktiviert die Erstellung des Spamreports
    Userinterface
    Ein Die E-Mail Adresse kann aus einem Verzeichnis-Server wie ActiveDirectory oder LDAP entnommen werden, wenn die UTM daran angebunden ist. Ansonsten muss der Benutzer mit seiner E-Mail-Adresse auf der UTM angelegt werden.

    Die E-Mail Adresse kann aus einem Verzeichnis-Server wie ActiveDirectory oder LDAP entnommen werden, wenn die UTM daran angebunden ist. Ansonsten muss der Benutzer mit seiner E-Mail-Adresse auf der UTM angelegt werden.

    Im Reiter Mailfilter müssen weitere Einstellungen vorgenommen werden, u.a. wird dort die E-Mail Adresse hinterlegt, an die Berichte gesendet werden:





  • <This function may allow the downloading of viruses and should therefore only be allowed for experienced users!/li> }}
  • E-Mail-Adresse
    Beschriftung Default Beschreibung
    support@ttt-point.de E-Mailkonten, die von Mitgliedern dieser Gruppe eingesehen werden können, um den Mailfilter zu kontrollieren.
    Löschen mit
    E-Mail-Adresse Eintragen einer Mail-Adresse in die Liste
    Herunterladen von folgenden Anhängen erlauben: Keine (Default) Mitglieder dieser Gruppe können im User-Interface Anhänge von Mails herunterladen, die bestimmte Kriterien erfüllen.
    Gefiltert, aber nicht quarantänisiert
    Quarantänisiert, aber nicht gefiltert
  • Diese Funktion ermöglicht u.U. das herunterladen von Viren und sollte daher nur versierten Benutzern erlaubt werden!
  • Quarantänisiert und/oder gefiltert
  • Diese Funktion ermöglicht u.U. das herunterladen von Viren und sollte daher nur versierten Benutzern erlaubt werden!
  • Weiterleiten von folgenden E-Mails erlauben: Keine (Default) Mitglieder dieser Gruppe können im User-Interface E-Mails weiterleiten, die bestimmte Kriterien erfüllen.
    Gefiltert, aber nicht quarantänisiert
    Quarantänisiert, aber nicht gefiltert
  • Diese Funktion ermöglicht u.U. das weiterleiten von Viren und sollte daher nur versierten Benutzern erlaubt werden!
  • Quarantänisiert und/oder gefiltert
  • Diese Funktion ermöglicht u.U. das weiterleiten von Viren und sollte daher nur versierten Benutzern erlaubt werden!
  • Bericht E-Mail-Adresse:     E-Mail-Adresse, an die ein Spam-Report versendet wird.
    Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet.
    Sind mehrere Mailadressen für einen Benutzer in einem AD hinterlegt, wird der dort als Primäre SMTP-Adresse konfigurierte Eintrag als Default-Adresse verwendet.
    AD proxyAdresses spamreport.png

    Sprache der Berichte: Default Vorgabe unter → Netzwerk →Servereinstellungen
    Firewall
    Sprache der Berichte
    Es kann gezielt ausgewählt werden: Deutsch bzw. Englisch


    UTM v11.8.6 Mailfilter Spamreport.png

    Spamreport an den User.


    Disclaimer und Hinweise

    Haftung
    Diese Website wurde mit größtmöglicher Sorgfalt zusammengestellt. Trotzdem kann keine Gewähr für die Fehlerfreiheit und Genauigkeit der enthaltenen Informationen übernommen werden. Jegliche Haftung für Schäden, die direkt oder indirekt aus der Benutzung dieser Website entstehen, wird ausgeschlossen. Sofern von dieser Website auf Internetseiten verwiesen wird, die von Dritten betrieben werden, übernimmt die Securepoint GmbH keine Verantwortung für deren Inhalte. Folgende Wiki-Artikel können bei der Einrichtung hilfreich sein.