Wechseln zu:Navigation, Suche
Wiki

Anpassung der Firewall

Aus Securepoint Wiki





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht































































{{var | Anpassen des Mailfilters--desc

| In → Anwendungen →Mailfilter wird im Reiter Filterregeln überprüft, ob die Regeln Spam_SMTP und Spam_POP3-Proxy aktiviert Ein sind
Das bewirkt, dass eine E-Mail die von der Firewall als Spam deklariert wird, eine vordefinierte Nachricht im Betreff erhält (in diesem Fall "[SPAM]" bzw. "[PROBABLY_SPAM]") und an den internen Mailserver weitergeleitet wird. Der Mailserver filtert seinerseits nun die ankommenden E-Mails im Betreff nach dieser Nachricht und schiebt diese dann in einen Junk-Ordner. So können die Benutzer intern selber entscheiden, ob die E-Mails für sie von Belang sind oder nicht.
   | In → Applications →Mailfilter, the
Filter rules{{{2}}}
tab checks if the rules Spam_SMTP and Spam_POP3-Proxy are enabled Vorlage:ButtonOn
This causes an email declared as spam by the firewall to receive a predefined message in the subject (in this case "[SPAM]" or "[PROBABLY_SPAM]".) and forwarded to the internal mail server. The mail server, for its part, now filters the incoming emails for this message in the subject and then pushes them into a junk folder. This allows users to decide for themselves within the company whether the emails are relevant to them or not.
  










De.png
En.png
Fr.png






Anpassung der Firewall an das UMA
Letzte Anpassung zur Version: 3.3
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

2.5.6

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 → Firewall →Portfilter


Einleitung

Einleitung

Zur Implementierung des UMA muss die Firewall angepasst werden. Die Firewall muss für den Empfang von E-Mails konfiguriert werden, damit E-Mails angenommen, Spam überprüft, auf Viren gefiltert und an den internen Mail-Server weitergeleitet werden kann.
Im Beispiel wird von einem Exchange-Server ausgegangen.
Einzelheiten zur Administration der Firewall sind in entsprechenden Wiki-Artikeln zu finden. Hier wird die Einrichtung an einer UTM beschrieben.

Anlegen der Netzwerkobjekte und Firewall-Regeln für SMTP

Anlegen der Netzwerkobjekte und Firewall-Regeln für SMTP

In der UTM unter → Firewall →Portfilter Reiter Netzwerkobjekte wird ein Netzwerkobjekt für den Exchange-Server angelegt. Dazu auf die Schaltfläche Objekt hinzufügen geklickt.
Beschriftung Wert Beschreibung UMA3.3 Firewall Portfilter Netzwerkobjekt hinzufügen.png
Name: Exchange-Server Der Name des Netzwerkobjekts
Typ: Host Als Typ Host auswählen
Adresse: 192.168.175.111 Die Adresse des Exchange-Servers eintragen
Zone: internal Als Zone, in der der Server sich befindet, auswählen
Gruppen:     Eine Gruppe kann hinzugefügt werden
Die Netzwerkobjekte für die externe und interne Schnittstelle, das Internet sowie für den Dienst SMTP mit dem Port 25, NTP mit Port 123 und HTTPS mit Port 443 sind normalerweise bereits vorkonfiguriert. Sollte dieses nicht der Fall sein, müssen die fehlenden Objekte und Dienste noch angelegt werden.
In → Firewall →Portfilter Reiter Portfilter wird mit der Schaltfläche Regel hinzufügen eine Portfilter-Regel hinzugefügt. Es werden zwei Portfilter-Regeln hinzugefügt.
Folgende Regel erlaubt der Firewall die Annahme von E-Mails auf dem externen Interface über den eingestellten Port aus dem Internet.
Beschriftung Wert Beschreibung UMA3.3 Firewall Portfilter-Regel-hinzufügen.png
Aktiv: Ein Regel aktivieren
Quelle: World.svg internet
Ziel: Interface.svg external-interface
Dienst: Tcp.svg ntp-tcp Den benötigten Dienst auswählen
Aktion: Accept
Logging: None - nicht protokollieren
Gruppe: default Die Regel kann einer existierenden Gruppe zugewiesen werden
Diese Regel erlaubt die Annahme von E-Mails auf dem internen Interface vom Mailserver über den jeweiligen Port, was für das Prüfen von ausgehenden E-Mails auf Viren erforderlich ist.
Beschriftung Wert Beschreibung UMA3.3 Firewall Portfilter-Regel-hinzufügen2.png
Aktiv: Ein Regel aktivieren
Quelle: Host.svg Exchange-Server Das zuvor erstellte Netzwerkobjekt
Ziel: Interface.svg internal-interface Das Interface der Zone, in der das Netzwerkobjekt liegt
Dienst: Tcp.svg smtp Den benötigten Dienst auswählen
Aktion: Accept
Logging: None - nicht protokollieren
Gruppe: default Die Regel kann einer existierenden Gruppe zugewiesen werden
Die folgenden Regeln werden ebenfalls erstellt.
Aktiv: Ein Regel aktivieren
Quelle: Host.svg Exchange-Server Das zuvor erstellte Netzwerkobjekt
Ziel: Interface.svg internal-interface Das Interface der Zone, in der das Netzwerkobjekt liegt
Dienst: Tcp.svg ntp-tcp Den benötigten Dienst auswählen
Aktion: Accept
Logging: None - nicht protokollieren
Gruppe: default Die Regel kann einer existierenden Gruppe zugewiesen werden
Aktiv: Ein Regel aktivieren
Quelle: Host.svg Exchange-Server Das zuvor erstellte Netzwerkobjekt
Ziel: Interface.svg internal-interface Das Interface der Zone, in der das Netzwerkobjekt liegt
Dienst: Udp.svg ntp-udp Den benötigten Dienst auswählen
Aktion: Accept
Logging: None - nicht protokollieren
Gruppe: default Die Regel kann einer existierenden Gruppe zugewiesen werden

Zeitstempel

Zeitstempel
Die folgende Regel ist für die Signatur des Zeitstempels. Dazu muss ein entsprechendes Netzwerkobjekt für diesen Zeitstempel vorhanden sein.
In → Firewall →PortfilterReiter Netzwerkobjekte wird über Objekt hinzufügen das Netzwerkobjekt erstellt.
Beschriftung Wert Beschreibung UMA3.3 Firewall Portfilter Netzwerkobjekte Zeitstempel.png
Name: Zeitstempel Der Name des Netzwerkobjekts
Typ: Hostname Als Typ Hostname auswählen
Hostname: tsa.exceet.cloud Den Hostnamen tsa.exceet.cloud eintragen
Zone: external Als Zone, in der der Server sich befindet, auswählen
Gruppen:     Eine Gruppe kann hinzugefügt werden
In → Firewall →PortfilterReiter Portfilter wird mit der Schaltfläche Regel hinzufügen eine entsprechende Regel hinzugefügt.
Aktiv: Ein Regel aktivieren UMA3.3 Firewall Portfilter-Regel-hinzufügen Zeitstempel.png
Quelle: Host.svg Zeitstempel Das zuvor erstellte Zeitstempel-Netzwerkobjekt
Ziel: Interface.svg internal-interface Das Interface der Zone, in der der Exchange-Server liegt
Dienst: Tcp.svg https Den benötigten Dienst auswählen
Aktion: Accept
Logging: None - nicht protokollieren
Gruppe: default Die Regel kann einer existierenden Gruppe zugewiesen werden



Konfigurieren des Mailrelays

Konfigurieren des Mailrelays

→ Anwendungen →Mailrelay öffnen.
Damit die ankommenden Mails ordnungsgemäß auf Viren überprüft, nach Spam gefiltert und dann an den internen Mailserver weitergeleitet werden können, muss im nächsten Schritt das Mailrelay konfiguriert werden.
Im Reiter Allgemein wird eine Postmaster E-Mail-Adresse eingetragen und die maximale E-Mailgröße für ankommende sowie zu versendende E-Mails festgelegt UMA3.3 Anwendungen Mailrelay Allgemein.png

Relaying

Relaying
Im Reiter Relaying wird mit der Schaltfläche Domain/Host hinzufügen zwei Domänen hinzugefügt.
Beschriftung Wert Beschreibung UMA3.3 Anwendungen Mailrelay Relaying1.png
Domain: 192.168.175.111 Die IP-Adresse des Mailservers
Option: None Es wird keine Option ausgewählt
Aktion: Relay Diese Aktion auswählen
Zur Annahme von E-Mails mit der IP des Mailservers.
  
Domain: mydomain.de Die Domain des Mailservers UMA3.3 Anwendungen Mailrelay Relaying2.png
Option: To Diese Option auswählen
Der Eintrag der Domain mit der Option To erlaubt die Annahme aller E-Mails der eingetragenen Domain im Empfänger.
  
Aktion: Relay Diese Aktion auswählen

SMTP Routen

SMTP Routen
Im Reiter SMTP Routen wird mit der Schaltfläche SMTP-Routing hinzufügen eine neue SMTP Route erstellt.
Beschriftung Wert Beschreibung UMA3.3 Anwendungen Mailrelay SMTP-Routen.png
Domain: mydomain.de Die gewählte Domain eintragen
Mailserver: 192.168.175.111 Die IP-Adresse des Mailservers eintragen
Diese Route gibt an, dass alle ankommenden E-Mails an den internen Server weitergeleitet werden.
  
Unter
Einstellungen
 kann E-Mail-Adresse überprüfen: SMTP ausgewählt werden.
Das hat zur Folge, dass E-Mails an unbekannte Empfänger, die nicht auf dem Mailserver hinterlegt sind, abgelehnt werden.
So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre E-Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben. 		UMA3.3 Anwendungen Mailrelay SMTP-Routen E-Mail.png
Im Reiter Erweitert wird unter
Greeting Pause
 der Status: aktiviert Ein. 		UMA3.3 Anwendungen Mailrelay Erweitert Greeting.png
Ähnlich wie das Graylisting macht sich die Greeting Pause zu Nutze, dass in durch Viren und Trojaner verbreitete Spambots das SMTP-Protokoll nicht zur Gänze implementiert ist, um diese von regulären Mailservern zu unterscheiden.
Das Greeting ist eine Textzeile, die vom Mail-Relay an den sendenden Mailserver übermittelt wird. z.B:
220 firewall.foo.local ESMTP Sendmail 8.14.4/8.14.4; Tue, 8 Mar 2011 14:29:30 +2000
Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er SMTP-Kommandos sendet, um die Mailzustellung einzuleiten.
Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen, Kommandos zu senden, da dieser Aspekt des SMTP-Protokolls aus Platzgründen höchstwahrscheinlich ebenso wenig wie ein wiederholter Zustellungsversuch implementiert ist. In diesem Fall wird das Mail-Relay keine Kommandos mehr entgegennehmen.


Anpassen des Mailfilters

Anpassen des Mailfilters
UMA3.3 Anwendungen Mailfilter Filterregeln.png

Abgerufen von „https://wiki.securepoint.de/index.php?title=UMA/Konfig/Anpassung_der_Firewall_v3.3&oldid=89647