Dieser Artikel beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite.
Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
Alle Angaben ohne Gewähr.
Einleitung
Es ist möglich eine UTM mit Mailrelay und Mailfilter vor Outlook / Microsoft 365 zu betreiben. Dadurch empfängt die UTM die E-Mails und durch den Mailfilter werden diese entsprechend gefiltert. Das Mailrelay prüft die empfangenen E-Mails und teilt diese in eine entsprechende Kategorie ein. Anhand der Kategorie, wird entschieden ob eine E-Mail an Outlook / Microsoft 365 weitergeleitet wird oder nicht.
Vorteile: Die UTM mit Mailrelay und Mailfilter vor Outlook / Microsoft 365 zu betreiben:
- Direkte Kontrolle darüber welche E-Mails an welche Outlook / Microsoft 365-Accounts weitergeleitet werden
- Konfiguration des Mailfilters und damit die Filterung der E-Mails
- Der Virenscanner der UTM prüft die E-Mails auf mögliche Viren und Schadsoftware
Voraussetzungen
Einstellungen des Providers
➊ E-Mail wird abgesendet
➋ DNS-A-Record zeigt auf UTM
➌ E-Mail wird an die UTM zugestellt und verarbeitet (Mailfilter, Greylisting etc.)
- ➍
➎ E-Mail-Abfrage aus dem internen Netz
➏ Abfrage wird an Outlook weitergeleitet
Um eine reibungslose Teilnahme am Mailverkehr zu gewährleisten, müssen einige Voraussetzungen erfüllt sein:
- Die folgenden Records müssen auf die UTM zeigen, die eine feste öffentliche IP-Adresse besitzen muss.
- Einen A-Record auf dem DNS-Server des Providers, der die feste IP-Adresse auflöst (z.B. mail.ttt-point.de).
- Einen MX-Record, der festlegt, unter welcher Adresse der Mailserver einer Domain erreichbar ist (z.B. mail.ttt-point.de).
- Einen PTR-Record, der die feste IP-Adresse auf den MX-Record zurückauflöst (reverse DNS).
Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!
Regelwerk
| Um Outlook den Erhalt von Mails über das Mailrelay zu ermöglichen, muss im Paketfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden: Eine Regel, die den Empfang der E-Mails aus dem Internet erlaubt. | |||||||||||||||||||||
| Beschriftung | Wert | Beschreibung |
UTMbenutzer@firewall.name.fqdnFirewall
| ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Aktiv: | Ein | Regel aktivieren, damit der Paketfilter greift | |||||||||||||||||||
| Quelle: | Internet | Als Quelle Internet auswählen | |||||||||||||||||||
| Ziel: |  external-interface |
Als Ziel external-interface auswählen | |||||||||||||||||||
| Dienst: |  smtp |
Als Dienst smtp auswählen | |||||||||||||||||||
| Aktion: | Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet | ||||||||||||||||||||
| Logging: | Logging wird nicht benötigt | ||||||||||||||||||||
| Damit Outlook Mails über die UTM erhalten kann, muss eine entsprechende Paketfilter-Regel erstellt werden. Dazu wird unter über die Schaltfläche ein neues Netzwerkobjekt angelegt. |
UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte  Erstellung Netzwerkobjekt für den Outlook-Server
| ||||||||||||||||||||
| Name: | Outlook | Einen passenden Namen für das Netzwerkobjekt wählen | |||||||||||||||||||
| Typ: | Hostname | Hostname als Typ auswählen, um den Outlook-Server eintragen zu können | |||||||||||||||||||
| Hostname: | smtp.office365.com | Hier muss der Outlook-Servername eingetragen werden | |||||||||||||||||||
| Zone: | external | external sollte per Default schon eingestellt sein | |||||||||||||||||||
| Gruppen: | Das Netzwerkobjekt kann einer Gruppe hinzugefügt werden | ||||||||||||||||||||
| Mit diesem Netzwerkobjekt wird eine Paketfilter-Regel für die eingehenden Mails an Outlook erstellt. | |||||||||||||||||||||
| Aktiv: | Ein | Regel aktivieren, damit der Paketfilter greift |
UTMbenutzer@firewall.name.fqdnFirewall
| ||||||||||||||||||
| Quelle: | external-interface |
Als Quelle external-interface auswählen | |||||||||||||||||||
| Ziel: |  Outlook |
Als Ziel wird das oben erstellte Netzwerkobjekt Outlook ausgewählt | |||||||||||||||||||
| Dienst: | smtp |
Als Dienst smtp auswählen | |||||||||||||||||||
| Aktion: | Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet | ||||||||||||||||||||
| Logging: | Logging wird nicht benötigt | ||||||||||||||||||||
| notempty Hinweis Sollte neben der Internetverbindung mit der IP, über die der Mailversand stattfindet, keine weitere verfügbar sein, muss dafür gesorgt werden, dass NUR dem Mailserver der Versand von Mail per SMTP erlaubt wird. Sonst könnte ein einziger von einem Trojaner kompromittierter Rechner im Netzwerk das Versenden von Mails empfindlich stören oder gar gänzlich unmöglich machen, weil dieser mit der öffentlichen IP Spams und Malware verbreitet und diese innerhalb kürzester Zeit auf entsprechenden Blocklisten für Spammer gelistet wird.
| |||||||||||||||||||||
E-Mail-Adresse
Unter Globale E-Mail Adresse: sollte unbedingt eine Postmaster-Adresse konfiguriert werden, sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.
Konfiguration des Mailrelay
Die grundlegende Konfiguration des Mailrelay sind in dem entsprechendem Wiki-Artikel zur Konfiguration des Mailrelay zu finden.
Hier wird die Konfiguration des Mailrelay vor Outlook beschrieben.
Relaying | |||
| Relaying-Liste | |||
| Über die Schaltfläche wird die Domain in Outlook hinzugefügt. Folgende Konfiguration wird vorgenommen. | |||
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnAnwendungen  Relaying Einstellungen des Mailrelay vor Outlook
|
|---|---|---|---|
| Option: | Die Empfänger-Domain wird ausgewertet | ||
| Domain: | anyideas.de | Die Domain im Outlook | |
| Aktion | Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet | ||
| Exakten Domainnamen für das Relaying verwenden: kann aktiviert Ein werden. Dann erhalten Subdomains oder Erweiterungen keine E-Mails. | |||
| TLS Verschlüsselung als Server: wird aktiviert Ein. | |||
SMTP Routen | |||
| Mit der Schaltfläche hinzufügen wird eine Route zum Outlook angelegt. | |||
| Beschriftung | Wert | Beschreibung |  |
| Domain: | anyideas.de | Die Domain im Outlook | |
| Mailserver: | outlook.office365.com | Der Mailserver von Outlook | |
Konfiguration des Mailrelays für ausgehende Mails
➊ Eine intern geschriebene E-Mail ist zum Versenden bereit
➋ Abfrage wird an Outlook weitergeleitet
- ➌
➍ E-Mail wird von der UTM verarbeitet (Mailfilter, Greylisting etc.) und versendet
➎ DNS-A-Record zeigt auf dem Empfänger
➏ E-Mail wird abgesendet
Damit keine Spams oder Malware aus dem eigenen Netz, bzw. von Outlook versendet werden können, wird das Mailrelay auch für ausgehende Mails konfiguriert.
Regelwerk
Um den Zugriff auf das Mailrelay zu erlauben, muss Outlook der Zugriff auf die entsprechende Schnittstelle der UTM (abhängig von der Zone, in der sich Outlook befindet) über das Protokoll SMTP erlaubt werden. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mailrelay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben.
Damit Outlook Mails über die UTM versenden kann, muss eine entsprechende Paketfilter-Regel erstellt werden.
Dazu wird das unter zuvor erstellte Netzwerkobjekt verwendet.
Mit diesem Netzwerkobjekt wird eine Paketfilter-Regel für die ausgehenden Mails aus Outlook erstellt.
| Beschriftung | Wert | Beschreibung |
UTMbenutzer@firewall.name.fqdnFirewall
| ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Aktiv: | Ein | Regel aktivieren, damit der Paketfilter greift | |||||||||||||||||||
| Quelle: | Outlook |
Als Quelle wird das oben erstellte Netzwerkobjekt Outlook ausgewählt | |||||||||||||||||||
| Ziel: | external-interface |
Als Ziel external-interface auswählen | |||||||||||||||||||
| Dienst: | smtp |
Als Dienst smtp auswählen | |||||||||||||||||||
| Aktion: | Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet | ||||||||||||||||||||
| Logging: | Logging wird nicht benötigt | ||||||||||||||||||||
Konfiguration des Relaying
Damit das Mailrelay die Mails von Outlook auch annimmt, müssen die Einstellungen im Reiter Relaying um einen entsprechenden Eintrag über ergänzt werden.
| Domain: | smtp.office365.com Als Alternative zur Domain kann einer der IP-Adressen von Outlook eingegeben werden. |
| Option: | |
| Aktion | |
Mit den so getätigten Einstellungen werden auch die ausgehenden Mails vom Mailfilter auf Spams, Malware und Viren überprüft.