Wechseln zu:Navigation, Suche
Wiki




























De.png
En.png
Fr.png




Konfiguration des Mailrelays
Letzte Anpassung zur Version: 12.2.3
Neu:
Zuletzt aktualisiert:

Konfiguration des Mailrelay

Die Securepoint UTM Appliance kann mithilfe des Mailrelays E-Mails entgegennehmen und an einen Mailserver im internen Netzwerk weiterleiten. Das Mailrelay prüft die empfangenen E-Mails und teilt diese in eine entsprechende Kategorie ein. Anhand der Kategorie, wird entschieden ob eine E-Mail an den internen Mailserver weitergeleitet wird oder nicht.

Zum Schutz vor Spam bzw. zur Entlastung des Mailfilters lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierten Privat- und Arbeitsplatzrechnern. Dagegen haben sich die Überprüfung der Ziel E-Mail-Adressen, das Greylisting und die Greeting Pause als wirksame Funktionen erwiesen.

Voraussetzungen

Providerseitige Einstellungen

Um eine reibungslose Teilnahme am Mailverkehr zu gewährleisten, müssen einige Voraussetzungen erfüllt sein:

  • Eine feste IP-Adresse.
  • Einen A-Record auf dem DNS-Server des Providers, der auf diese IP auflöst (z.B. mail.ttt-point.de).
  • Einen MX-Record, der festlegt, unter welcher Adresse der Mailserver einer Domain erreichbar ist (z.B. mail.ttt-point.de).
  • Einen PTR-Record, der die feste IP auf den MX-Record zurückauflöst (reverse DNS).

Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!

Hinweis: Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, sollten die Hardware-Empfehlungen unbedingt berücksichtigt werden!

Regelwerk

Portfilterregel für eingehende Mails

Um anderen Mailservern die Zustellung von Mails auf das Mailrelay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:


Hinweis: Sollte neben der Internetverbindung mit der IP, über die der Mailversand stattfindet, keine weitere verfügbar sein, muss dafür gesorgt werden, dass NUR dem Mailserver der Versand von Mail per SMTP erlaubt wird. Sonst könnte ein einziger von einem Trojaner kompromittierter Rechner im Netzwerk das Versenden von Mails empfindlich stören oder gar gänzlich unmöglich machen, weil dieser mit der öffentlichen IP Spams und Malware verbreitet und diese innerhalb kürzester Zeit auf entsprechenden Blocklisten für Spammer gelistet wird.

Wichtig: Es darf keine Portweiterleitung für SMTP existieren. Diese würde dafür sorgen, dass die Mails am Mailrelay vorbeigeleitet werden!

E-Mail-Adresse

Unter → Netzwerk →Servereinstellungen Globale E-Mail Adresse: sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.


Grundkonfiguration des Mail Relay zum Empfang von Mails

Die Konfiguration des Mailrelay findet unter → Anwendungen →Mailrelay statt.


Allgemein

Allgemein
Funktion Wert Beschreibung UTM v12.2.3 Mailrealy allgemein.png
Allgemeine Einstellungen des Mail Realy
Mailfilter aktivieren: Ein Aktivieren
SASL-Authentifizierung: Aus Ermöglicht SASL-Authentifizierung, wenn aktiviert
Postmaster-Adresse: admin-mail@anyideas.de Hier muss eine korrekte Mail-Adresse hinterlegt sein.
Diese E-Mail-Adresse wird im Dialog → Netzwerk → Servereinstellungen im Feld Globale E-Mail Adresse festgelegt. Änderungen sind nur dort möglich.
Maximale Nachrichtengröße: 20Link=  Megabytes Maximale Größe der Mails in Megabytes, die vom Mailrelay angenommen werden.
  • Neu ab v.12.2.3 Es erscheint ein Hinweis in der Mailfilter Ansicht im Userinterface über die Ablehnung.
  • Präferiertes Protokoll ausgehender E-Mails: Neu ab v.12.2.3 Keine Präferenz Legt fest, ob das Mailrelay ausgehende Verbindungen bevorzugt mit einem bestimmten Protokoll aufbauen soll. Die Einstellung sollte nur in Spezialfällen (z.B. IPv4 hinter NAT) und wenn Zustellungsprobleme auftreten geändert werden, da sie die Optionen für erfolgreiche Konnektivität einschränkt.
    IPv4 IPv4 wird als Protokol bevorzugt (z.B. IPv4 hinter NAT)
    IPv6 IPv6 wird als Protokol bevorzugt
    Ausgehende IP-Adresse:    /---  Bei Multipath-Routing kann hier eine ausgehende Schnittstelle durch die IP-Adresse angegeben werden.
    Auch die Kommunikation aus dem internen Netz läuft dann über diese IP-Adresse. Auf dem Mailserver und seiner Firewall müssen weitere Einstellungen vorgenommen werden, damit Mails von dieser IP-Adresse angenommen werden.
    SPF/DKIM/DMARC Prüfungen:
    in 11.8.7
    Aus Ermöglicht bei Aktivierung Ein das Filtern nach entsprechenden SPF/DKIM/DMARC Resultaten in einer Mailfilterregel. Fügt der E-Mail einen RFC 8601 Authentication-Results Header hinzu. Wird nicht ausgeführt für via SASL authentifizierte Clients und "trusted Hosts", also Clients, für die in der relaying list mit der Option "Connect" oder ohne Option die Aktion "RELAY" angegeben ist.
    Weitere Hinweise im Artikel zum Mailfilter




    Smarthost

    Smarthost

    Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist. Das ist z.B. der Fall, wenn kein eigener Mailserver betrieben wird oder keine feste öffentliche IP-Adresse vorliegt.



    Beschriftung Wert Beschreibung
    Smarthost aktivieren: Ein aktiviert die Smarthost-Funktion. UTM v11.8.8 Mailrelay Smarthost.png
    Smarthost Einstellungen des Mailrelay
    Smarthost: smtp.anyideas.de smtp.anyideas.de
    Mailserver, der ausgehende Mails entgegennehmen und versenden soll.(Beispieladresse)
    Port: 465Link= Mail-Port für externen Mail-Server
    25: Standardport für smtp (Default)
    465: Standardport für implizites TLS
    587: Standardport für STARTTLS
    TLS implizit verwenden
    Neu ab 11.8.4
    Aus Per Default (deaktiviert) wird eine Verbindung zunächst über smtp aufgebaut und anschließend versucht mit der Gegenstelle eine TLS-Verschlüsselung zu initiieren.
    Ein Bei Aktivierung wird die Verbindung erst mit TLS verschlüsselt, bevor die smtp-Kommunikation aufgebaut wird. Beherrscht die Gegenstelle kein TLS kommt keine Verbindung zu Stande. Die TLS-Version wird unter → Authentifizierung →Verschlüsselung konfiguriert.
    Smarthost Verifikation: Keine Es wird keine Verifikation des Smarthosts vorgenommen.
    pki Der Smarthost wird anhand von standardmäßig installierten Root-CAs oder einer selbstsignierten CA verifiziert.
    CA: SystemCAs (Default) Alternativ kann eine (zuvor unter → Authentifizierung →Zertifikate erstellte oder importierte ) CA zur Authentifizierung ausgewählt werden.
    dane Der Smarthost wird ausschließlich mittels DANE Protokoll (RFC 6698) verifiziert und muss dieses unterstützen.

    Das DANE-Protokoll erfordert zwingend die Aktivierung von DNSSEC.

    Authentifizierung aktivieren: Ein Ermöglicht die Authentifizierung am Smarthost-Mailserver.
    Benutzer: Zugangsdaten
    Passwort Zugangsdaten



    Relaying

    Relaying


    Relaying-Liste
     Relaying-Liste 
    Konfiguration Relaying


    Hier wird konfiguriert, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.
    Hinzufügen eines Eintrags mit dem Button Domain / Host hinzufügen



    Angabe folgender Werte:
    Beschriftung Wert Beschreibung
    Domain: anyideas.de E-Mail-Domainname oder IP-Adresse UTM 11-8 Mailrelay Relaying Domain hinzufügen.png
    Domain / Host hinzufügen Dialog
    Option: NONE Die Aktion wird auf alle Ereignisse angewendet.
    From Hier wird die Absender-Domain ausgewertet. Beispiel: Domain: ttt-point.de - Betrifft alle Mails mit der Domain ttt-point.de im Absender.
    Da sich die Absender-Domain leicht fälschen lässt, ist diese Option nur nach sorgfältiger Prüfung einzusetzen.
    To Hier wird die Empfänger-Domain ausgewertet. Beispiel: Domain: anyideas.de - Betrifft alle Mails mit der Domain anyideas.de im Empfänger.
    Connect Hier wird die IP, der Hostname oder die Domain des Mailservers ausgewertet, der die Mail zustellen möchte. Beispiel: Domain: ttt-point.de - Betrifft alle Mails, von Mailservern aus der Domain ttt-point.de - unabhängig vom Sender oder Empfänger der Mail.
    Aktion: RELAY Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet.
    ABGELEHNT Mails werden abgewiesen.
    OK Mails werden angenommen und an ein lokales Postfach zugestellt, aber nicht weitergeleitet.


    Um also alle Mails zu relayen, die für Empfänger der eigenen Domain bestimmt sind, muss folgender Eintrag konfiguriert werden:

    Domain / Host hizufügen
    Domain anyideas.de
    Option To
    Aktion RELAY


     Exakten Domainnamen für das Relaying verwenden: 

    Ein Das Relay reagiert nur auf den in der Liste eingetragenen Domainnamen und nicht auf nicht eingetragene Subdomains oder Erweiterungen.
    Beispiel: In die Relayliste eingetragene Domain: anyideas.de

    Ein
    vom Mailrelay akzeptiert:
    @anyideas.de
    Aus
     vom Mailrelay akzeptiert:
    @anyideas.de
    @support.anyideas.de
    @anyideas.de.com
    Ein
    vom Mailrelay akzeptiert:
    Aus
    vom Mailrelay akzeptiert:
    @anyideas.de @anyideas.de
    @support.anyideas.de
    @anyideas.de.com



    TLS Einstellungen
    ╭╴ TLS Einstellungen ╶╮

    Beschriftung Default Beschreibung
    TLS Verschlüsselung als Server: Ein Wird TLS deaktiviert, werden Mails über unverschlüsselte Verbindungen versendet!
    Zertifikat default Das Mailrelay verwendet ein selbst-signiertes Zertifikat für die Transportverschlüsselung. Optional kann ein Zertifikat, dessen CN dem Hostnamen der UTM entspricht, unter → Authentifizierung → Zertifikate importiert werden.
    TLS Verschlüsselung als Client: may Verwendet TLS, sofern es angeboten wird.
    encrypt Verwendet immer TLS. Verbindung mit Servern, die kein TLS anbieten, werden wieder abgebrochen.
    dane Authentifiziert und verwendet TLS zu DANE-Konformen Servern, sofern es angeboten wird.



    SMTP Routen

    SMTP Routen

    SMTP Routen-Liste
     SMTP Routen-Liste 
    Konfiguration der SMTP Routen
    Hier muss eingestellt werden, an welchen Mailserver eine entgegengenommene Mail weitergeleitet werden soll. Falls dies nicht geschieht, wertet das Mailrelay den MX-Record der Empfänger-Domain aus - der auf das Relay selbst zeigt! Es wird dann ein sogenannter "Loopback" erkannt, durch den die Annahme der Mail mit einer entsprechenden Fehlermeldung abgebrochen wird. Im Folgenden können dann auch weitere Domains auf den gleichen oder auf andere Mailserver weitergeleitet werden.

    Mit dem Button + SMTP-Routing hinzufügen werden weitere Routen angelegt.

    Erforderliche Angaben dabei:
    Domain: anyideas.de (bzw. die entsprechende Maildomain)
    Mailserver: entweder als FQDN oder die IP-Adresse

    Einstellungen
    ╭╴ Einstellungen ╶╮

    In dieser Rubrik kann die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.


    Funktion Option Beschreibung
    E-Mail-Adresse überprüfen: Aus Die Securepoint Appliance fragt im Hintergrund den internen Mailserver ab.
    SMTP Die Securepoint Appliance fragt im Hintergrund den internen Mailserver ab.
    Hinweis: Die Validierung muss ebenso am Mailserver aktiv sein! (Recipient Verification z.B. bei einem Exchange)
    LDAP Die Securepoint Appliance fragt beispielsweise den Active Directory-Server ab.
    Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter → Authentifizierung →AD/LDAP Authentifzierung konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten.
    Lokale E-Mail-Adressliste Mail-Adressliste
    Eine Liste akzeptierter Mail-Empfänger kann auch lokal anglegt werden.
    Lokale E-Mail-Adressliste bearbeiten Hiermit können Mail-Adressen hinzugefügt und entfernt werden.




    Signierung

    Signierung

    Neu in 11.8.8 Ausgehende E-Mails können mittels DomainKeys Identified Mail signiert werden. Dabei werden einzelne Segmente im Header sowie der Body jeweils separat signiert, damit ein weiterleiten einer Mail über einen Mailserver und damit eine Veränderung des Mailheaders nicht die Signatur zerstört.


    Beschriftung Wert Beschreibung
    ╭╴ Allgemein ╶╮
    DKIM-Signierung: Aus (Default) Bei Ein Aktivierung kann die DKIM-Signierung genutzt werden. UTM v11.8.8 Anwendungen Mailrelay Signierung.png
    Signierung mit DKIM
    Maximale Anzahl an Prozessen: 2Link= bestimmt die Anzahl der Filterprozesse und smtp-Instanzen, die für die DKIM-Signierung verwendet werden

    Domains
    Default-Konfiguration hinzufügen Fügt eine Standardkonfiguration hinzu. Dazu wird ein RSA-Schlüssel erzeugt (Selector) und jeder Mail-Domain, die als SMTP-Route eingetragen ist zugeordnet
    Hinzufügen Fügt einen Domainname-Eintrag hinzu
    / Öffnet / schließt die Übersicht, in der die Selektoren für eine Domain angezeigt werden, die zum signieren verwendet werden.
    Entfernt einen Selektor aus einem Domain-Eintrag
    Zeigt die DNS-Einstellungen an
    Plain text Nein Bei Ja Aktivierung werden die DNS-Einstellungen zusammenhängend in einem Fenster angezeigt.
    Wird ein eigener authoritativer DNS-Server betrieben, kann dieser Wert direkt in eine BIND Zonendatei kopiert werden.
    Subdomain Kopiert den Eintrag in die Zwischenablage
    Zur Zuordnung der Subdomain beim DNS-Hoster.
    TXT Eintrag Kopiert den Eintrag in die Zwischenablage
    Dies ist der öffentliche Teil des RSA-Schlüssels, der im TXT-Record der Mail-Domain hinterlegt werden muss. Zu finden auch unter → Authentifizierung →RSA-Schlüssel Öffentlicher Teil (des zugehörigen Schlüssels) PEM
    Bearbeitet den jeweiligen Domain-Namen
    Löscht den Eintrag

    DKIM-Selectoren
    Hinzufügen Fügt einen DKIM-Selektor hinzu
    Fügt den Selektor dem aktiven (blau hinterlegten) Domain-Eintrag zu.
    Bearbeitet den Eintrag
    Name: selector-2020-02-13-1 Name des Selektors
    RSA-Schlüssel: Schlüsselname Vorhandenen Schlüssel auswählen oder mit der Schaltfläche einen Neues Schlüsselpaar erzeugen
    Hash-Algorithmus: sha256 Verwendeter Algorithmus

    ╭╴ Erweiterte Einstellungen ╶╮
    E-Mail Header Normalisierung: relaxed Normalisiert die E-Mail Header. Da verschiedene Quellen (wie weiterleitende Mailserver) die E-Mail Header verändern können, ist es möglich, eine normalisierte Version dieser Header, zur Erstellung der Signatur bzw. zur Überprüfung dieser, zu verwenden - die Header selbst werden dabei nicht verändert. Dadurch wird die Zuverlässigkeit der Signierung erhöht.
    simple Normalisiert die E-Mail Header nicht.
    E-Mail Body Normalisierung: relaxed Entfernt leere Zeilen am Ende der E-Mail und räumt Leerzeichen auf. Da verschiedene Quellen (wie weiterleitende Mailserver) den E-Mail Body verändern können, ist es möglich, eine normalisierte Version, zur Erstellung der Signatur bzw. zur Überprüfung dieser, zu verwenden - der Body selbst wird dabei nicht verändert. Dadurch wird die Zuverlässigkeit der Signierung erhöht.
    simple Entfernt lediglich leere Zeilen am Ende der E-Mail.
    Standard E-Mail Header signieren: Ja Standardwert: h=From:Reply-To:Subject:Date:To:Cc:Resent-Date:Resent-From:Resent-To:Resent-Cc:In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:List-Subscribe:List-Post:List-Owner:List-Archive; → RFC 6376 5.4.1
    Zu signierende E-Mail Header: »From »Date
    »Subject »To
    »List-Unsubscribe »List-ID
    E-Mail Header, die signiert werden sollen.

    Optionale Einstellungen

    Weitere Einstellungen sind empfehlenswert, aber für einen operativen Einsatz nicht zwingend notwendig:


    Greylisting

    Greylisting
    Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird.
    Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.

    Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.
    Folgende Konfigurationen sind möglich:

    Allowlist

    ╭╴ Allowlist ╶╮
    Beschriftung Default Beschreibung
    IP / Netzwerke »10.0.0.0/8 »172.16.0.0/12 »192.168.0.0/16 »127.0.0.0/8 Vorgabe sind die privaten IP-Adressbereiche sowie die Loopback-Adresse. Mit Klick in die Klickbox lassen sich weitere Netzwerke und einzelne Hosts (z.B.: »203.0.113.113/32) hinzufügen. UTM v12.2.2 Mailrelay Greylisting.png
    Konfiguration von Greylisting
    Domains     Hier können einzelne Mailserver-Domains hinzugefügt werden z.B.: smtp.anyideas.de
    Die Domain des Mailservers muss nicht identisch mit der E-Mail Domain des Absender sein.
    Beispiel: Absender user@ttt-point.de sendet über den Mailserver »smtp.anyideas.de
    Empfänger     Hier können einzelne Empfänger hinzugefügt werden z.B.: »MailUser@ttt-point.de
    Absender     Hier können einzelne Absender hinzugefügt werden z.B.:»MailSender@ttt-point.de
    Um alle Absender einer E-Mail Domain in die Whitelist mit aufzunehmen, wird dieser Eintrag als Regulärer Ausdruck eingetragen: »/.*@ttt-point\.de/
    Einstellungen

    ╭╴ Einstellungen ╶╮
    Greylisting: Aus An aktiviert die Funktion Zustellversuche unbekannter Mailservers werden zunächst abgelehnt. s.o.
    SPF: Aus Wenn das Sender Policy Framework der Absenderdomain korrekt im DNS eingetragen ist, wird bei Aktivierung Ein die Mail ohne Verzögerung zugestellt.
    Header hinzufügen: Neu ab v.12.2.2 Ja Im Standard wird für jeden Empfänger, der im Mailheader gelistet wird ein weiterer Greylisting Eintrag hinzugehügt.
    Das kann zu Problemen führen, wenn viele Empfänger im Header stehen.
    Bei Deaktivierung Nein werden keine Greylisting Header eingefügt.
    Automatisches Allowlisten für: 7Link= Tage(Default) Für diesen Zeitraum werden nach einer erfolgreichen Zustellung Mails sofort entgegengenommen.
    Verzögerung: 2Link= Minuten (Default) Zeitraum, der dem sendenden Mailserver vorgegeben wird, um einen weiteren Zustellversuch vorzunehmen.
    Subnetz-Übereinstimmung

    ╭╴Subnetz-Übereinstimmung ╶╮
    Neu ab 11.8.4
    Subnetzmaske IPv4: »32 Anstatt, dass der sendende Server die genaue IP-Adresse wie zuvor haben muss, kann diese so geändert werden, dass nur die ersten 2 oder 3 Oktette übereinstimmen müssen.
    Damit wird ein Whitelisting auch dann ermöglicht, wenn der Absender über mehrere Mailserver verfügt.
    Möglich Werte: (Es lässt sich nur ein Wert eintragen.)
    »32 (Einzelner Host)
    »24 Subnetz, mit übereinstimmung der ersten drei Oktette
    »29 Beliebiger Wert über Tastatureingabe.
    Subnetzmaske IPv6: »128

  • Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden

  • Wird ein größerer Wert für Verzögerung von z.B.: 30Link=  Minuten gewählt, kann die Scan-Engine bei der erneuten Zustellung mit zwischenzeitlich aktualisierten Virensignaturen eine höhere Erkennungswahrscheinlichkeit bei neuen Outbreaks aufweisen.


  • Domain Mapping

    Domain Mapping

    Domain Mapping


    Domains können gemappt werden, um eingehende Mails an z.B. user@anyideas.net auch unter user@anyideas.de zu empfangen.

    Mit Domain Mapping hinzufügen kann das Mapping zwischen zwei Domains aktiviert werden.

    Dazu muss jeweils eine Quell-Domain: und eine Ziel-Domain: angegeben werden.




    Erweiterte Einstellungen

    Erweitert


    Hier befinden sich weitere Optionen zur Vermeidung von Spam, die jeweils einzeln aktiviert werden können:

    Funktion Beschreibung

    ╭╴ Greeting Pause ╶╮
    Greeting Pause
    Status:
    Ein aktiviert die Funktion. UTM v11.8.8 Mailrelay Erweitert.png
    Erweiterte Einstellungen des Mail Relay
    Dauer: 2000Link= Milisekunden (Standardwert). Zeit, die das Mailrelay die Grußbotschaft verzögert. Sendet der verbundene Client vor Ablauf dieser Zeit SMTP Kommandos, wird sein Request beim RCPT TO-Kommando mit einem "Protocol Error" abgewiesen.
    Ausnahmen können für bekannte Mailserver als Netzwerk- oder Host-IP-Adresse definiert werden.
    Erfolgreich wartende Mailserver werden außerdem automatisch für einen Tag in die Whitelist aufgenommen.

    Empfänger-Beschränkung
    ╭╴ Empfänger-Beschränkung ╶╮
    Status: Aus
    Limit: 25Link= Empfänger
    Diese Option blockiert Mails, die mehr als eine einstellbare Zahl Empfängeradressen aufweisen

    Beschränkung pro Client
    ╭╴ Beschränkung pro Client ╶╮
    Verbindungen limitieren:

    Aus

    Ausnahmen können für bekannte Mailserver als Netzwerk- oder Host-IP-Adresse definiert werden.
    Konfiguration, wenn ein einzelner Mailserver (identifiziert anhand seiner IP-Adresse) maximal eine Verbindung zur UTM Appliance und maximal 5 Verbindungen nacheinander pro Minute aufbauen dürfen soll:

    Erlaubte Verbindungen: 1Link= Anzahl der (Client-) Verbindungen, je verbundenem Mailserver.
    Zugriffskontrolle aktivieren: Beschränkt die Anzahl der (Client-) Verbindungen je verbundenem Mailserver innerhalb eines Zeitfensters.
    Zeitfenster: 60Link= Sekunden
    Verbindungen pro Zeitfenster: 5Link=

    Sonstige
    ╭╴ Sonstige ╶╮
    HELO benötigt: Ein Sollte unbedingt aktiviert bleiben (Standard) Dieser Schalter existiert, um Abwärtskompatibilität zu gewähleisten.
    Reverse DNS lookup benötigt: Aus Verlangt, dass für verbundene Mailserver ein Reverse-Lookup(Address) existiert. Der Forward Lookup muss wieder die IP-Adresse ergibt.
    Unauflösbare Domains akzeptieren: Aus Erlaubt Absenderadressen, deren Domäne nicht per DNS auflösbar ist.
    Maximale Anzahl an Prozessen: 10Link= Steuert die globale Anzahl gleichzeitiger Verbindungen zum Mailrelay (und anhängender Filter und Spamabwehr-Prozesse)


    Konfiguration des Mailrelays für ausgehende Mails

    Um sicher zu stellen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mailrelay auch für ausgehende Mails verwendet werden.

    Regelwerk

    Um den Zugriff auf das Mailrelay zu erlauben, muss den zum Mailversand berechtigten Hosts der Zugriff auf die entsprechende Schnittstelle der Securepoint Appliance (abhängig von der Zone, in der sich die Hosts befinden) über das Protokoll SMTP erlaubt werden. Dies kann je nach Anforderung ein einzelner Host (z.B. der Mailserver), eine Gruppe von Hosts oder das gesamte Netzwerk sein. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mailrelay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben.

    Firewall-Regel für ausgehende Mails aus dem internen Netz

    Um z.B. dem internen Netzwerk den Zugriff auf das Mailrelay zu gestatten, kann das Regelwerk mit den vordefinierten Netzwerkgruppen erstellt werden:

    Netzwerkobjekt Mailserver

    Soll nur der Mailserver Mails versenden können, muss dieser zunächst als Netzwerkobjekt angelegt werden:

    Firewall-Regel für ausgehende Mails des Mailservers

    Dieses Objekt kann dann in der Firewall-Regel verwendet werden:

    Soll einer bestimmten Gruppe von Rechnern im internen Netzwerk gestattet sein, das Mailrelay zu benutzen, dann müssen diese Rechner jeweils als Netzwerkobjekt angelegt werden. Diese können dann in einer Gruppe zusammengefasst werden (z.B. "SMTP-Berechtigte").


    Konfiguration Relaying

    Damit das Mailrelay die Mails aus dem internen Netz bzw. vom Mailserver auch annimmt, müssen die Einstellungen im Reiter Relaying um einen entsprechenden Eintrag ergänzt werden. Als Kriterium dient die Netzwerkadresse des entsprechenden Subnetzes bzw. die IP-Adresse des betreffenden Rechners:

    + Domain / Host hinzufügen

    Domain

    192.0.2.0/30 oder 192.0.2.192

    Dieses sind Beispiel-IPs für die internen Mailserver. Diese müssen durch individuelle Adressen ersetzt werden!

    Option None
    Aktion Relay

    Ergebnis

    Die UTM kann jetzt eingehende und ggf. auch ausgehende Mails auf Spam und Viren überprüfen.