Securepoint Wiki - Benutzerbeiträge [de]

UTM/Portbelegung

2022-01-19T15:00:33Z

Dennisp: /* {{#var:Einbau|Einbau Zusatzkarten}} */

{{Set_lang}}
RC 100 / RC 200 / RC 300 / RC 300S / RC 300 S / RC 340 / RC 350 / RC 350 R / RC 400 / RC 400R / RC 400 R / RC 1000 / RC 1000 R

{{#vardefine:headerIcon|spicon-utm}}
{{:UTM/Portbelegung.lang}}

</div>{{DISPLAYTITLE: {{#var:display|Portbelegung Securepoint UTM}} }}{{Select_lang}}{{TOC2}}
'''{{#var:head}}'''

{{#var:ver-d}} '''06.2021'''
 

{{cl|{{#var:neu}} |
* {{#var:neu--G5}}
* {{#var:neu--v12}}
}}
 

{{#var:prev|Vorherige Versionen:}} -



{{h3| {{#var:Neue Interface Namen}} }}'''{{#var:Neue Interface Namen}}'''


<li class="list--element__alert list--element__hint em2">{{#var:Neue Interface Namen--Hinweis}}</li>
<div class="Einrücken">
{{Einblenden|{{#var:Neue Interface Namen--anzeigen}}|{{#var:hide}}|dezent|true}}
{{#var:Neue Interface Namen--desc}}
</div>
</div>

 

== {{#var:Einbau|Einbau Zusatzkarten}} ==
<div class="Einrücken">
{{#var:Einbau--desc| Damit die Zusatzkarten richtig initialisiert werden und auch der jeweilige Port der richtigen Schnittstelle zugeordnet wird, muss das Gerät zuerst ohne die Zusatzkarten gestartet werden. Danach das Gerät ausschalten, die erste Zusatzkarte einsetzen und das Gerät wieder starten. Dieser Prozess muss für jede weitere Zusatzkarte wiederholt werden um Fehler mit den Schnittstellen vorzubeugen.}}
<li class="list--element__alert list--element__hint">{{#var:Hinweis|Das Gerät muss ordnungsgemäß über die CLI oder das Webinterface runtergefahren werden.}}
</li>{{a|5}}
<li class="list--element__alert list--element__positiv"> {{#var:Einbau-Zusatzkarten ab11.8.12}}</li>

</div>

<div class="Einblenden-rechts">

= G3 2017 =
==Black Dwarf==
[[Datei:portbelegung_bg.png|800px|thumb|center|Black Dwarf]]

==RC100 / RC200==
[[Datei:portbelegung_rc100.png|800px|thumb|center|RC100 / RC200]]

== RC340 ==
[[Datei:RC_340_-_Portbelegung.png |800px|thumb|center| {{#var:Sonderedition--cap|Sonderedition}} RC340 04.2020]]

==RC300 / RC400 / RC1000==
[[Datei:portbelegung_rc6_0_0.png|800px|thumb|center|{{#var:keine-Erweiterung|Keine Erweiterungskarten}}]]
[[Datei:portbelegung_rc6_4_0.png|800px|thumb|center|{{#var:erweiterung-4port|Erweiterungskarte 4 Port GBic}}]]
[[Datei:portbelegung_rc6_4_4.png|800px|thumb|center|{{#var:erweiterung-2x4port|Zwei Erweiterungskarten je 4 Port GBic}}]]
[[Datei:portbelegung_rc6_8_0.png|800px|thumb|center|{{#var:erweiterung-8port|Erweiterungskarte 8 Port GBit}}]]
[[Datei:portbelegung_rc6_8_4.png|800px|thumb|center|{{#var:erweiterung-8+4port|Erweiterungskarte 8 Port GBit + Erweiterungskarte 4 Port GBic}}]]
[[Datei:portbelegung_rc6_8_8.png|800px|thumb|center|{{#var:erweiterung-2x8port|Zwei Erweiterungskarten je 8 Port GBit}}]]
----
= {{#var:G4}} =
<div class="Einrücken">
{{#var:G4--desc}}
</div>

= G5 - 2021 =

=== RC300S ===
<div class="Einrücken">
[[Datei:RC 300 Slot A.png|1600px|thumb|center|{{#var:Ohne Erweiterungskarten}}
{{Einblenden|{{#var:Tabellarische Übersicht}}|{{#var:Tabelle ausblenden}}|dezent }}
{| class="sptable0 pd5"
|-
! {{#var:Portname Gehäuse}} !! {{#var:Port Typ}} !! {{#var:Portname Software v11}} !! {{#var:Portname Software v12}}
|-
| A0 || RJ45 || eth0 || A0
|-
| A1 || RJ45 || eth1 || A1
|-
| A2 || RJ45 || eth2 || A2
|-
| A3 || RJ45 || eth3 || A3
|-
| A4 || RJ45 || eth4 || A4
|-
| A5 || RJ45 || eth5 || A5
|-
| A6 || SFP || eth6 || A6
|-
| A7 || SFP || eth7 || A7
|}
</div></div>]]

[[Datei:RC 300 Slot A+B8.png|1600px|thumb|center|{{#var:Erweiterungskarte 8 Port GBit}}
{{Einblenden|{{#var:Tabellarische Übersicht}}|{{#var:Tabelle ausblenden}}|dezent }}
{| class="sptable0 pd5"
|-
! {{#var:Portname Gehäuse}} !! {{#var:Port Typ}} !! {{#var:Portname Software v11}} !! {{#var:Portname Software v12}}
|-
| A0 || RJ45 || eth0 || A0
|-
| A1 || RJ45 || eth1 || A1
|-
| A2 || RJ45 || eth2 || A2
|-
| A3 || RJ45 || eth3 || A3
|-
| A4 || RJ45 || eth4 || A4
|-
| A5 || RJ45 || eth5 || A5
|-
| A6 || SFP || eth6 || A6
|-
| A7 || SFP || eth7 || A7
|-
| B0 || RJ45 || eth8 || B0
|-
| B1 || RJ45 || eth9 || B1
|-
| B2 || RJ45 || eth10 || B2
|-
| B3 || RJ45 || eth11 || B3
|-
| B4 || RJ45 || eth12 || B4
|-
| B5 || RJ45 || eth13 || B5
|-
| B6 || RJ45 || eth14 || B6
|-
| B7 || RJ45 || eth15 || B7
|}
</div></div>]]
</div>
----

{{h3|RC350R}}{{h3|RC400}}{{h3|RC400R}}{{h3|RC1000R| RC350R / RC400 / RC400R / RC1000R}}
<div class="Einrücken">
[[Datei:RC 350-1000 Slot A.png|1600px|thumb|center|{{#var:Ohne Erweiterungskarten}}
{{Einblenden|{{#var:Tabellarische Übersicht}}|{{#var:Tabelle ausblenden}}|dezent }}
{| class="sptable0 pd5"
|-
! {{#var:Portname Gehäuse}} !! {{#var:Port Typ}} !! {{#var:Portname Software v11}} !! {{#var:Portname Software v12}}
|-
| A0 || RJ45 || eth0 || A0
|-
| A1 || RJ45 || eth1 || A1
|-
| A2 || RJ45 || eth2 || A2
|-
| A3 || RJ45 || eth3 || A3
|-
| A4 || RJ45 || eth4 || A4
|-
| A5 || RJ45 || eth5 || A5
|-
| A6 || RJ45 || eth5 || A6
|-
| A7 || RJ45 || eth5 || A7
|-
| A8 || SFP || eth6 || A8
|-
| A9 || SFP || eth7 || A9
|}
</div></div>]]

[[Datei:RC 350-1000 Slot A+B.png|1600px|thumb|center|{{#var:Erweiterungskarte 8 Port GBit}}
{{Einblenden|{{#var:Tabellarische Übersicht}}|{{#var:Tabelle ausblenden}}|dezent }}
{| class="sptable0 pd5"
|-
! {{#var:Portname Gehäuse}} !! {{#var:Port Typ}} !! {{#var:Portname Software v11}} !! {{#var:Portname Software v12}}
|-
|| A0 || RJ45 || eth0 || A0
|-
| A1 || RJ45 || eth1 || A1
|-
| A2 || RJ45 || eth2 || A2
|-
| A3 || RJ45 || eth3 || A3
|-
| A4 || RJ45 || eth4 || A4
|-
| A5 || RJ45 || eth5 || A5
|-
| A6 || RJ45 || eth6 || A6
|-
| A7 || RJ45 || eth7 || A7
|-
| A8 || SFP || eth8 || A8
|-
| A9 || SFP || eth9 || A9
|-
| B0 || RJ45 || eth10 || B0
|-
| B1 || RJ45 || eth11 || B1
|-
| B2 || RJ45 || eth12 || B2
|-
| B3 || RJ45 || eth13 || B3
|-
| B4 || RJ45 || eth14 || B4
|-
| B5 || RJ45 || eth15 || B5
|-
| B6 || RJ45 || eth16 || B6
|-
| B7 || RJ45 || eth17 || B7
|}
</div></div>]]

[[Datei:RC 350-1000 Slot A+B+C8.png|1600px|thumb|center| {{#var:Zwei Erweiterungskarten 8 Port GBit}}
{{Einblenden|{{#var:Tabellarische Übersicht}}|{{#var:Tabelle ausblenden}}|dezent }}
{| class="sptable0 pd5"
|-
! {{#var:Portname Gehäuse}} !! {{#var:Port Typ}} !! {{#var:Portname Software v11}} !! {{#var:Portname Software v12}}
|-
| A0 || RJ45 || eth0 || A0
|-
| A1 || RJ45 || eth1 || A1
|-
| A2 || RJ45 || eth2 || A2
|-
| A3 || RJ45 || eth3 || A3
|-
| A4 || RJ45 || eth4 || A4
|-
| A5 || RJ45 || eth5 || A5
|-
| A6 || RJ45 || eth6 || A6
|-
| A7 || RJ45 || eth7 || A7
|-
| A8 || SFP || eth8 || A8
|-
| A9 || SFP || eth9 || A9
|-
| B0 || RJ45 || eth10 || B0
|-
| B1 || RJ45 || eth11 || B1
|-
| B2 || RJ45 || eth12 || B2
|-
| B3 || RJ45 || eth13 || B3
|-
| B4 || RJ45 || eth14 || B4
|-
| B5 || RJ45 || eth15 || B5
|-
| B6 || RJ45 || eth16 || B6
|-
| B7 || RJ45 || eth17 || B7
|-
| C0 || RJ45 || eth18 || C0
|-
| C1 || RJ45 || eth19 || C1
|-
| C2 || RJ45 || eth20 || C2
|-
| C3 || RJ45 || eth21 || C3
|-
| C4 || RJ45 || eth22 || C4
|-
| C5 || RJ45 || eth23 || C5
|-
| C6 || RJ45 || eth24 || C6
|-
| C7 || RJ45 || eth25 || C7
|}
</div></div>]]

[[Datei:RC 350-1000 Slot A+B+C4.png|1600px|thumb|center| {{#var:Erweiterungskarte 8 Port GBit}} + {{#var:Erweiterungskarte 4 Port SFP}}
{{Einblenden|{{#var:Tabellarische Übersicht}}|{{#var:Tabelle ausblenden}}|dezent }}
{| class="sptable0 pd5"
|-
! {{#var:Portname Gehäuse}} !! {{#var:Port Typ}} !! {{#var:Portname Software v11}} !! {{#var:Portname Software v12}}
|-
| A0 || RJ45 || eth0 || A0
|-
| A1 || RJ45 || eth1 || A1
|-
| A2 || RJ45 || eth2 || A2
|-
| A3 || RJ45 || eth3 || A3
|-
| A4 || RJ45 || eth4 || A4
|-
| A5 || RJ45 || eth5 || A5
|-
| A6 || RJ45 || eth6 || A6
|-
| A7 || RJ45 || eth7 || A7
|-
| A8 || SFP || eth8 || A8
|-
| A9 || SFP || eth9 || A9
|-
| B0 || RJ45 || eth10 || B0
|-
| B1 || RJ45 || eth11 || B1
|-
| B2 || RJ45 || eth12 || B2
|-
| B3 || RJ45 || eth13 || B3
|-
| B4 || RJ45 || eth14 || B4
|-
| B5 || RJ45 || eth15 || B5
|-
| B6 || RJ45 || eth16 || B6
|-
| B7 || RJ45 || eth17 || B7
|-
| C0 || SFP+ || eth18 || C0
|-
| C1 || SFP+ || eth19 || C1
|-
| C2 || SFP+ || eth20 || C2
|-
| C3 || SFP+ || eth21 || C3
|}
</div></div>]]

[[Datei:RC 350-1000 Slot A+C4.png|1600px|thumb|center| {{#var:Erweiterungskarte 4 Port SFP}}
{{Einblenden|{{#var:Tabellarische Übersicht}}|{{#var:Tabelle ausblenden}}|dezent }}
{| class="sptable0 pd5"
|-
! {{#var:Portname Gehäuse}} !! {{#var:Port Typ}} !! {{#var:Portname Software v11}} !! {{#var:Portname Software v12}}
|-
| A0 || RJ45 || eth0 || A0
|-
| A1 || RJ45 || eth1 || A1
|-
| A2 || RJ45 || eth2 || A2
|-
| A3 || RJ45 || eth3 || A3
|-
| A4 || RJ45 || eth4 || A4
|-
| A5 || RJ45 || eth5 || A5
|-
| A6 || RJ45 || eth6 || A6
|-
| A7 || RJ45 || eth7 || A7
|-
| A8 || SFP || eth8 || A8
|-
| A9 || SFP || eth9 || A9
|-
| C0 || SFP+ || eth10 || C0
|-
| C1 || SFP+ || eth11 || C1
|-
| C2 || SFP+ || eth12 || C2
|-
| C3 || SFP+ || eth13 || C3
|}</div></div>]]
</div>


</div>

UTM/VPN/SSL VPN-S2S v11.7.3

2017-06-26T09:34:31Z

Dennisp: /* DNS/WINS übermitteln */

{{DISPLAYTITLE:SSL-VPN Site-to-Site}}
== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Hashingverfahren auswählbar.
 
Vorherige Versionen: [[UTM/VPN/SSL_VPN-S2S_v11.6 | 11.6.12]], [[UTM/VPN/SSL_VPN-S2S_v11.6 | 11.7]]
 

== Einleitung ==
Mithilfe von SSL VPN können auch Site-to-Site-Verbindungen aufgebaut werden. Da hierzu die entsprechende Instanz des Dienstes explizit im Client- oder Servermodus laufen muss, ist es möglich, mehrere Instanzen des SSL-VPN-Dienstes zu erzeugen.
===Site to Site Server===
Diese Methode wird verwendet, wenn die Gegenstelle der Initiator der Verbindung ist. Hierzu muss der Dienst explizit im Servermodus starten.
===Site to Site Client===
Diese Methode wird verwendet, wenn die UTM selbst der Initiator der Verbindung ist. Hierzu muss der Dienst explizit im Clientmodus starten.

==Site to Site konfiguration==
===Site to Site Server===
{|
|-
|[[Datei:AVPro 2-14-9 alert8.png]]
|'''<span">Für die Einrichtung des S2S Server wird ein Server- und Client-Zertifikat benötigt.'''
|}
====Schritt 1====
[[Datei:Utm_ssl-vpn_s2s01.png|thumb|300px|Installationsschritt 1]]
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.
*Roadwarrior Server
*'''Site to Site Server'''
*Site to Site Client
Für die Konfiguration des Site to Site Server wird dieser ausgewählt.
 
 
 

====Schritt 2====
[[Datei:Utm_ssl-vpn_roadwarrior02.png |200px|thumb|right| Installationsschritt 2]]
Die Einstellung "IPv6 über IPv4" zu verwenden kann im Installationsschritt 2 eingeschaltet werden.
 
 
====Schritt 3====
[[Datei:Utm_ssl-vpn_s2s03.png|thumb|300px|Installationsschritt 3]]
Lokale Einstellungen für den Site to Site Server können im Schritt 3 getätigt werden. Hier kann ein Name für die Verbindung eingetragen, Protokoll und Port ausgewählt, ein Serverzertifikat gewählt - durch einen Klick auf die Schaltfläche mit dem Fenster kann eine CA und ein Zertifikat erstellt werden - und die Servernetzwerke freigegeben werden.
 
 

====Schritt 4====
[[Datei:Utm_ssl-vpn_s2s04.png|thumb|300px|Installationsschritt 4]]
Im Installationsschritt 4 wird das Transfernetz für den Site to Site Server eingetragen. Die Server- und Client-Tunneladresse wird automatisch ausgewählt.
 
 

====Schritt 5====
[[Datei:Utm_ssl-vpn_s2s05.png|thumb|300px|Installationsschritt 5]]
Das Client-Zertifikat muss ausgewählt und die Clientnetzwerke freigegeben werden.
 
 
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Das ausgewählte Zertifikat sollte an keinen anderen Client verwendet werden.'''
|}

====Weitere Client-Gegenstellen====
[[Datei:Utm_ssl-vpn_s2s06.png|thumb|300px|Installationsschritt 5]]
Weitere Gegenstellen, welche über diesen Site to Site Server angebunden werden sollen, können über das "+" hinzugefügt werden.
 
 
 

===Site to Site Client===
{|
|-
|[[Datei:AVPro 2-14-9 alert8.png]]
|'''<span">Für die Einrichtung des S2S Clients wird die CA und das Client-Zertifikat vom S2S Server benötigt.'''
|}
====Schritt 1====
[[Datei:Utm_ssl-vpn_s2s01b.png|thumb|300px|Installationsschritt 1]]
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.
*Roadwarrior Server
*Site to Site Server
*'''Site to Site Client'''
Für die Konfiguration des Site to Site Client wird dieser ausgewählt.
 
 
 
====Schritt 2====
[[Datei:Utm_ssl-vpn_roadwarrior02.png |200px|thumb|right| Installationsschritt 2]]
Die Einstellung "IPv6 über IPv4" zu verwenden kann im Installationsschritt 2 eingeschaltet werden.
 
 
====Schritt 3====
[[Datei:Utm_ssl-vpn_s2s07.png |300px|thumb|right| Installationsschritt 3]]
Lokale Einstellungen für den Site to Site Client können im Schritt 3 getätigt werden. Hier kann ein Name für die Verbindung eingetragen, Protokoll ausgewählt, ein Serverzertifikat gewählt werden- durch einen Klick auf die Schaltfläche mit dem Fenster kann eine CA und ein Zertifikat importiert werden.
 
 

====Schritt 4====
Dieser Installationsschritt entfällt.
====Schritt 5====
[[Datei:Utm_ssl-vpn_s2s08.png |300px|thumb|right| Installationsschritt 5]]
Im Schritt 5 wird die Remotegateway IP-Adresse oder SPDyn-Adresse an.
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Wenn der Port nicht 1194 ist, muss dieser hinter die Adresse gesetzt werden.'''
|}
 
 

===Regelwerk===
[[Datei:Utm_ssl-vpn_roadwarrior10.png|thumb|300px|Implizierte Regeln]]
Unter Firewall -> Implizierte Regeln -> VPN kann das Protokoll, welches für die Verbindung genutzt wird aktiviert werden. Diese Implizierte Regel gibt die Ports, welche für SSL VPN Verbindungen genutzt werden, auf der WAN-Schnittstelle frei.
 
 
 

===Hinweise===
====Verschlüsselung====
Standartmäßig wird ein Blowfish-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich'''
|}
====Hashverfahren====
Standartmäßig wird ein SHA1 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden.
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich'''
|}
====Regeln und Routing====
Die Regeln im Portfilter und die Routen müssen noch gesetzt werden, diese werden nicht durch den Einrichtungsassistent geschrieben. Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-openvpn-<servername>". Der Site-to-Site-Client erhält eine IP aus diesem Netz. Diese dient als Gateway in das Subnetz des Site-to-Site-Clients. Das Subnetz des Clients muss als Netzwerkobjekt angelegt werden und befindet sich in der Zone auf dem zugehörigen TUN-Interface.

====QoS====
Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.
====Multipath====
Bei Multipath auf der Client Seite, muss der Client auf eine Schnittstelle gebunden werden.
Um eine Client-Verbindung an eine Schnittstelle zu binden, muss über den CLI-Befehl '''openvpn get''' die ID der Verbindung ausfindig gemacht werden. Über den Befehl '''openvpn set id $ID_DES_TUNNELS local_addr $IP_DES_INTERFACES''' kann dann die ausgehende IP gesetzt werden.
Des Weiteren wird in der ausgehenden Regel (internal-network -> VPN-Netzwerk -> $DIENST) eine Rule-Route über die entsprechende tunX-Schnittstelle benötigt.

====Search Domain====
Die Search Domain kann automatisch übermittelt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Allgemein" aktiviert werden.
====DNS/WINS übermitteln====
Der DNS und der WINS können automatisch übermittel werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden. Die IP-Adressen vom DNS und WINS werden unter "VPN" -> "Globale VPN-Einstellungen" gesetzt.
Eine Anleitung zum Einrichten des DNS-Relay finden Sie [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel | hier.]]

====IPv6 für eingehende Verbindungen====
In den Einstellungen des Site-to-Site Server kann unter Allgemein -> Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden.

UTM/AUTH/AD Anbindung 11.7

2017-06-13T10:41:37Z

Dennisp: /* Domain-Controller hinter Site-to-Site-VPN */

{{DISPLAYTITLE:AD-Anbindung}}
== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Artikelanpassung
 
Vorherige Versionen: [[UTM/AUTH/AD_Anbindung-v11.4 |v11.5]]
 

==Active Directory Benutzergruppen zur Authentifizierung in der UTM nutzen==
Ist ein zentraler Authentifizierungsserver in einem Netzwerk vorhanden, macht es wenig Sinn, die Benutzer alle noch einmal auf der UTM anzulegen, damit diese lokale Dienste der UTM nutzen können, für die die Benutzer bestimmte Rechte benötigen und sich daher Authentifizieren müssen. 
In der Regel handelt es sich dabei um den Active Directory Service, der in einem Netzwerk die Domäne verwaltet und über das LDAP- und Kerberos-Protokoll die Authentifizierung der Netzwerk Nutzer steuert.

===Active Directory Benutzergruppen anlegen===
Da die Berechtigung zu den in der UTM enthaltenen Diensten in Gruppen verwaltet werden, von denen die Benutzer, die diesen Gruppen zugeordnet werden, diese Berechtigungen erben, müssen zunächst entsprechende Benutzergruppen im AD eingerichtet und die einzelnen Benutzer diesen Gruppen zugewiesen werden.

In diesem Beispiel sollen die Benutzer für [[ClientlessVPN-v11 | Clientless VPN]] über den Active Directory Service Authentifiziert werden.

[[Datei:WIN2012_AD_Sgrpcvpn1.png|250px|right|thumb|Sicherheitsgruppe hinzufügen]]
[[Datei:WIN2012_AD_Sgrpcvpn2.png|250px|right|thumb|Sicherheitsgruppe hinzugefügt]]
Es muss also zunächst eine Gruppe vom Typ ''Sicherheitsgruppe'' auf dem AD hinzugefügt werden, die hier den Namen ''ClientlessVPN'' bekommt.

[[Datei:WIN2012_AD_EgrpM.png|250px|right|thumb|Benutzer zur Gruppe hinzufügen]]
[[Datei:WIN2012_AD_EuserMv.png|250px|right|thumb|Benutzer ist Mitglied der Gruppe]]
Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt.

===UTM in die Domäne einbinden===
Bevor die UTM in die Domäne eingebunden werden kann, muss der Active Directory Server als Name-Server angeben werden.

Da seit UTM Version 11.5 der lokale Nameserver in den Servereinstellungen im Hintergrund schon eingetragen ist (127.0.0.1) entfällt dieser Schritt aus den vorherigen Versionen. Es muss aber darauf geachtet werden, dass die [[Uhrzeit_UTM_V11 | Uhrzeit der UTM]] mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat.

[[Datei:UTM115_AI_ANrz.png|250px|right|thumb|Relay Zone hinzufügen]]
Über das Menü der UTM wird unter Anwendungen der Menüpunkt Nameserver aufgerufen und eine neue Relay Zone hinzugefügt. Hier wird die Netzwerkdomäne und die IP-Adresse des Active Directory Server eingetragen.

In diesem Beispiel hat der AD Server die IP-Adresse 172.31.10.100 und das Netzwerk befindet sich in der Domäne ''ttt-point.local''.

[[Datei:UTM115_AI_AEAADoe.png|250px|right|thumb|AD Einstellungen]]
Im Menü ''Authentifizierung'' befindet sich der Menüpunkt ''Externe Authentifizierung''. Hier befinden sich unter dem Tab ''AD/LDAP'' die Einstellungen für die Verzeichnis-Typen ''AD'' oder ''LDAP''.

Im Abschnitt ''Einstellungen'' werden die IP-Adresse oder der Hostname, der Verzeichnistyp ''AD'' und die lokale Netzwerk-Domäne eingetragen. 
Bei ''Arbeitsgruppe'' handelt es sich um den NETBIOS-Namen des AD. Sollte dieses von der Base Domain abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden. 
Im Feld unter ''Appliance Account'' wird der Name eingetragen, unter dem die UTM im AD in der Gruppe ''Computers'' eingetragen wird.

Nun muss noch im Abschnitt ''Beitreten'' der Name des Administrator bzw. eines Benutzers mit den Berechtigungen eines Domain-Administrators und dessen Passwort eingetragen werden.

Mit einen Klick auf den Button [[Datei:UTM115_AI_AEAbeitB.png|60px]], meldet sich die UTM an der Domäne an. Zur Bestätigung wechselt die Anzeige des ''Verbindungsstatus:'' im Abschnitt ''Status'' von grau auf grün. Weiterhin ist das Feld hinter ''Aktiviert:'' markiert.

<TABLE CELLPADDING=7 CELLSPACING=0>
<TR>
<TD WIDTH=60>
[[Datei:UMA20_AHB_hinweispic.png|50px]]
</TD>
<TD>
Achtung! Es sollte auf alle Fälle der Verzeichnistyp AD gewählt werden, wenn es sich um eine Active Directory Umgebung handelt. Zwar läuft auch hier ein LDAP, die Gruppenzugehörigkeit wird aber in der AD Umgebung anders behandelt als bei einem reinen LDAP-Server.
</TD>
</TR>
</TABLE>

====Erweiterte Einstellungen====
[[Datei:UTM115_AI_AEAADne.png|250px|right|thumb|Erweiterte Einstellungen]]
Zunächst gibt es unter ''Erweiterte Einstellungen'' die Möglichkeit die Verbindung zum Active Directory Server SSL-Verschlüsselt herzustellen. 
Die LDAP Anfrage kann zusätzlich mit den Verfahren ''seal'' oder ''sign'' Verschlüsselt und es kann ein Root-Zertifikat hinterlegt werden.

Weiterhin können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können.

Zum Beispiel findet die UTM standardmäßig den Benutzer-Anmeldenamen im User-Attribut ''sAMAccountName'' sowie dessen E-Mail Adresse im Mail-Attribut ''mail''.

Die Attribute von OTP bis SSL-VPN, die hier eingetragen sind, existieren in der Regel nicht im AD.

Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schema verwendet werden, der diesen Geheimcode der Benutzer enthält. 
Eine entsprechende Anleitung befindet sich hinter folgenden Link zum [[OTP_mit_AD_V11.5 | Einbinden der OTP Funktion in das Active Directory]].

Es können natürlich auch neue Attribute erstellt werden. Dieses bedeutet aber immer einen Eingriff in das AD Schema und hatte schon häufig zur Folge, dass das AD anschließend nicht mehr genutzt werden kann.

In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 300 bedeutet 300 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage.

===AD Benutzergruppen Berechtigungen erteilen===
[[Datei:UTM115_AI_ABGbercvpn.png|250px|right|thumb|Gruppen Berechtigungen]]
Um jetzt den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü ''Authentifizierung'' unter ''Benutzer'' eine Gruppe mit eben diesen Berechtigungen angelegt.

[[Datei:UTM115_AI_ABGADgrp.png|250px|right|thumb|AD Gruppe auswählen]]
Anschließend kann unter dem Tab ''Verzeichnis Dienst, die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.

Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu [[ClientlessVPN-v11#Zuweisen_der_Gruppe | Clientless VPN]].

Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ''ClientlessVPN'' ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM einloggen.

===Überprüfen der AD Anbindung, Benutzer und Benutzergruppen===
Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.

'''''Hinweis: ''firewall.foo.local>'' ist der Eingabe-Prompt der Firewall, dahinter befindet sich das CLI Kommando.''''' 
'''''Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.'''''

====Beitreten und Verlassen der Domäne====
Um zu überprüfen ob die UTM schon der Domäne beigetreten ist:
firewall.foo.local> '''system activedirectory testjoin'''
checking the trust secret for domain TTT-POINT via RPC calls succeeded
**
Sollte das nicht der Fall sein, erfolgt die Ausgabe
-- checking the trust secret for domain TTT-POINT via RPC calls failed

In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden
firewall.foo.local> '''system activedirectory join password Insecur3'''
password
--------
Insecur3

Das Kommando um die Domäne zu verlassen lautet
firewall.foo.local> '''system activedirectory leave password Insecur3'''
Deleted account for 'SP-UTM' in realm 'TTT-POINT.LOCAL'
**

Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.

====AD Gruppen anzeigen====
Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden
firewall.foo.local> '''system activedirectory lsgroups'''
member
------
abgelehnte rodc-kennwortreplikationsgruppe
clientlessvpn
compliance management
delegated setup
discovery management
dnsadmins
dnsupdateproxy
domänen-admins
domänen-benutzer
domänen-gäste
domänencomputer
domänencontroller
help desk
hygiene management
klonbare domänencontroller
...

====Überprüfen der Benutzer und Gruppenzugehörigkeit====
Das folgende Kommando überprüft, ob ein AD-Benutzer einer UTM Gruppe zugeordnet ist
firewall.foo.local> '''user check name "mmeier" groups cvpn_grp'''
matched
**
Sollte das nicht der Fall sein erfolgt die Ausgabe
-- not a member

Weiterhin kann zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen ausgegeben werden
firewall.foo.local> '''user get name mmeier'''
name |groups |permission
------+---------------------+---------------
mmeier|Proxy-GF_grp,cvpn_grp|HTTP_PROXY,WEB_USER,VPN_CLIENTLESS

====Domain-Controller hinter Site-to-Site-VPN====
In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel. Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden. 
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel DNS-Relay bei IPSec-S2S] 
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel DNS-Relay bei SSL-S2S] 
'''Achtung: Für einen Beitritt in ein Active-Directory, welches sich hinter einem VPN-Tunnel befindet, wird in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports natürlich noch die LDAP-Ports benötigt.'''

UTM/AUTH/AD Anbindung 11.7

2017-06-13T10:35:44Z

Dennisp: /* Domain-Controller hinter Site-to-Site-VPN */

UTM/AUTH/AD Anbindung 11.7

2017-06-13T10:35:30Z

Dennisp:

{{DISPLAYTITLE:AD-Anbindung}}
== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Artikelanpassung
 
Vorherige Versionen: [[UTM/AUTH/AD_Anbindung-v11.4 |v11.5]]
 

==Active Directory Benutzergruppen zur Authentifizierung in der UTM nutzen==
Ist ein zentraler Authentifizierungsserver in einem Netzwerk vorhanden, macht es wenig Sinn, die Benutzer alle noch einmal auf der UTM anzulegen, damit diese lokale Dienste der UTM nutzen können, für die die Benutzer bestimmte Rechte benötigen und sich daher Authentifizieren müssen. 
In der Regel handelt es sich dabei um den Active Directory Service, der in einem Netzwerk die Domäne verwaltet und über das LDAP- und Kerberos-Protokoll die Authentifizierung der Netzwerk Nutzer steuert.

===Active Directory Benutzergruppen anlegen===
Da die Berechtigung zu den in der UTM enthaltenen Diensten in Gruppen verwaltet werden, von denen die Benutzer, die diesen Gruppen zugeordnet werden, diese Berechtigungen erben, müssen zunächst entsprechende Benutzergruppen im AD eingerichtet und die einzelnen Benutzer diesen Gruppen zugewiesen werden.

In diesem Beispiel sollen die Benutzer für [[ClientlessVPN-v11 | Clientless VPN]] über den Active Directory Service Authentifiziert werden.

[[Datei:WIN2012_AD_Sgrpcvpn1.png|250px|right|thumb|Sicherheitsgruppe hinzufügen]]
[[Datei:WIN2012_AD_Sgrpcvpn2.png|250px|right|thumb|Sicherheitsgruppe hinzugefügt]]
Es muss also zunächst eine Gruppe vom Typ ''Sicherheitsgruppe'' auf dem AD hinzugefügt werden, die hier den Namen ''ClientlessVPN'' bekommt.

[[Datei:WIN2012_AD_EgrpM.png|250px|right|thumb|Benutzer zur Gruppe hinzufügen]]
[[Datei:WIN2012_AD_EuserMv.png|250px|right|thumb|Benutzer ist Mitglied der Gruppe]]
Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt.

===UTM in die Domäne einbinden===
Bevor die UTM in die Domäne eingebunden werden kann, muss der Active Directory Server als Name-Server angeben werden.

Da seit UTM Version 11.5 der lokale Nameserver in den Servereinstellungen im Hintergrund schon eingetragen ist (127.0.0.1) entfällt dieser Schritt aus den vorherigen Versionen. Es muss aber darauf geachtet werden, dass die [[Uhrzeit_UTM_V11 | Uhrzeit der UTM]] mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat.

[[Datei:UTM115_AI_ANrz.png|250px|right|thumb|Relay Zone hinzufügen]]
Über das Menü der UTM wird unter Anwendungen der Menüpunkt Nameserver aufgerufen und eine neue Relay Zone hinzugefügt. Hier wird die Netzwerkdomäne und die IP-Adresse des Active Directory Server eingetragen.

In diesem Beispiel hat der AD Server die IP-Adresse 172.31.10.100 und das Netzwerk befindet sich in der Domäne ''ttt-point.local''.

[[Datei:UTM115_AI_AEAADoe.png|250px|right|thumb|AD Einstellungen]]
Im Menü ''Authentifizierung'' befindet sich der Menüpunkt ''Externe Authentifizierung''. Hier befinden sich unter dem Tab ''AD/LDAP'' die Einstellungen für die Verzeichnis-Typen ''AD'' oder ''LDAP''.

Im Abschnitt ''Einstellungen'' werden die IP-Adresse oder der Hostname, der Verzeichnistyp ''AD'' und die lokale Netzwerk-Domäne eingetragen. 
Bei ''Arbeitsgruppe'' handelt es sich um den NETBIOS-Namen des AD. Sollte dieses von der Base Domain abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden. 
Im Feld unter ''Appliance Account'' wird der Name eingetragen, unter dem die UTM im AD in der Gruppe ''Computers'' eingetragen wird.

Nun muss noch im Abschnitt ''Beitreten'' der Name des Administrator bzw. eines Benutzers mit den Berechtigungen eines Domain-Administrators und dessen Passwort eingetragen werden.

Mit einen Klick auf den Button [[Datei:UTM115_AI_AEAbeitB.png|60px]], meldet sich die UTM an der Domäne an. Zur Bestätigung wechselt die Anzeige des ''Verbindungsstatus:'' im Abschnitt ''Status'' von grau auf grün. Weiterhin ist das Feld hinter ''Aktiviert:'' markiert.

<TABLE CELLPADDING=7 CELLSPACING=0>
<TR>
<TD WIDTH=60>
[[Datei:UMA20_AHB_hinweispic.png|50px]]
</TD>
<TD>
Achtung! Es sollte auf alle Fälle der Verzeichnistyp AD gewählt werden, wenn es sich um eine Active Directory Umgebung handelt. Zwar läuft auch hier ein LDAP, die Gruppenzugehörigkeit wird aber in der AD Umgebung anders behandelt als bei einem reinen LDAP-Server.
</TD>
</TR>
</TABLE>

====Erweiterte Einstellungen====
[[Datei:UTM115_AI_AEAADne.png|250px|right|thumb|Erweiterte Einstellungen]]
Zunächst gibt es unter ''Erweiterte Einstellungen'' die Möglichkeit die Verbindung zum Active Directory Server SSL-Verschlüsselt herzustellen. 
Die LDAP Anfrage kann zusätzlich mit den Verfahren ''seal'' oder ''sign'' Verschlüsselt und es kann ein Root-Zertifikat hinterlegt werden.

Weiterhin können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können.

Zum Beispiel findet die UTM standardmäßig den Benutzer-Anmeldenamen im User-Attribut ''sAMAccountName'' sowie dessen E-Mail Adresse im Mail-Attribut ''mail''.

Die Attribute von OTP bis SSL-VPN, die hier eingetragen sind, existieren in der Regel nicht im AD.

Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schema verwendet werden, der diesen Geheimcode der Benutzer enthält. 
Eine entsprechende Anleitung befindet sich hinter folgenden Link zum [[OTP_mit_AD_V11.5 | Einbinden der OTP Funktion in das Active Directory]].

Es können natürlich auch neue Attribute erstellt werden. Dieses bedeutet aber immer einen Eingriff in das AD Schema und hatte schon häufig zur Folge, dass das AD anschließend nicht mehr genutzt werden kann.

In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 300 bedeutet 300 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage.

===AD Benutzergruppen Berechtigungen erteilen===
[[Datei:UTM115_AI_ABGbercvpn.png|250px|right|thumb|Gruppen Berechtigungen]]
Um jetzt den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü ''Authentifizierung'' unter ''Benutzer'' eine Gruppe mit eben diesen Berechtigungen angelegt.

[[Datei:UTM115_AI_ABGADgrp.png|250px|right|thumb|AD Gruppe auswählen]]
Anschließend kann unter dem Tab ''Verzeichnis Dienst, die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.

Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu [[ClientlessVPN-v11#Zuweisen_der_Gruppe | Clientless VPN]].

Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ''ClientlessVPN'' ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM einloggen.

===Überprüfen der AD Anbindung, Benutzer und Benutzergruppen===
Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.

'''''Hinweis: ''firewall.foo.local>'' ist der Eingabe-Prompt der Firewall, dahinter befindet sich das CLI Kommando.''''' 
'''''Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.'''''

====Beitreten und Verlassen der Domäne====
Um zu überprüfen ob die UTM schon der Domäne beigetreten ist:
firewall.foo.local> '''system activedirectory testjoin'''
checking the trust secret for domain TTT-POINT via RPC calls succeeded
**
Sollte das nicht der Fall sein, erfolgt die Ausgabe
-- checking the trust secret for domain TTT-POINT via RPC calls failed

In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden
firewall.foo.local> '''system activedirectory join password Insecur3'''
password
--------
Insecur3

Das Kommando um die Domäne zu verlassen lautet
firewall.foo.local> '''system activedirectory leave password Insecur3'''
Deleted account for 'SP-UTM' in realm 'TTT-POINT.LOCAL'
**

Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.

====AD Gruppen anzeigen====
Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden
firewall.foo.local> '''system activedirectory lsgroups'''
member
------
abgelehnte rodc-kennwortreplikationsgruppe
clientlessvpn
compliance management
delegated setup
discovery management
dnsadmins
dnsupdateproxy
domänen-admins
domänen-benutzer
domänen-gäste
domänencomputer
domänencontroller
help desk
hygiene management
klonbare domänencontroller
...

====Überprüfen der Benutzer und Gruppenzugehörigkeit====
Das folgende Kommando überprüft, ob ein AD-Benutzer einer UTM Gruppe zugeordnet ist
firewall.foo.local> '''user check name "mmeier" groups cvpn_grp'''
matched
**
Sollte das nicht der Fall sein erfolgt die Ausgabe
-- not a member

Weiterhin kann zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen ausgegeben werden
firewall.foo.local> '''user get name mmeier'''
name |groups |permission
------+---------------------+---------------
mmeier|Proxy-GF_grp,cvpn_grp|HTTP_PROXY,WEB_USER,VPN_CLIENTLESS

====Domain-Controller hinter Site-to-Site-VPN====
In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel. Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden.
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel DNS-Relay bei IPSec-S2S]
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel DNS-Relay bei SSL-S2S]

UMA/BP/Office 365 v2.5.7

2017-06-07T14:39:37Z

Dennisp: /* Journal-Regel */

{{DISPLAYTITLE:Office 365}}

== Informationen ==
Letze Anpassung zur Version: '''2.5.7'''
 
Bemerkung: initiale Erstellung
 
Vorherige Versionen: -
 

== Einleitung ==
Das UMA arbeitet im HUB-Modus und holt in diesem Fall die E-Mails aus einem Sammelkonto ab. Während viele E-Mail-Anbieter diese Funktion nur für eingehende E-Mails unterstützen, lassen sich bei Office 365 über eine so genannte Journal-Regel auch ausgehende Mails in das Sammelpostfach kopieren.
Dieser Artikel zeigt die Einrichtung über das Office-365-Administrationsportal in das UMA.

== Benutzer-Verwaltung ==

=== Anbindung an ein Active Directory (empfohlen) ===
Ist ein Active Directory vorhanden, ist es empfehlenswert die Office 365-Umgebung in die lokale Umgebung zu integrieren. Durch die Integration werden die Benutzer und E-Mail-Einstellungen zwischen Office 365 und dem Active Directory synchronisiert. Dieses erleichtert die Administration aller Systeme und erhöht den Komfort für den Benutzer. 
{|
|-
|[[Datei:AVPro 2-14-9 alert8.png]]
|'''<span">Dies ist die einzige Möglichkeit, Public Folder und Shared Mailboxen als öffentliche Ordner zu archivieren!'''
|}

Für die Anbindung von Office 365 an ein lokales Active Directory ist die [https://support.office.com/de-de/article/Office-365-Integration-in-lokale-Umgebungen-263faf8d-aa21-428b-aed3-2021837a4b65 Office 365 Dokumentation] zu verwenden.
 

=== Lokale Benutzer ===
Falls kein Active Directory vorhanden ist, können die Benutzer lokal auf dem UMA verwaltet werden.
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Es können nur private Archive angelegt werden und keine öffentlichen.'''
|}
Existiert also beispielsweise eine info@-Adresse, muss diese Adresse einem Benutzer zugewiesen werden. Die Freigabe dieses Archives für andere Benutzer ist nicht möglich.

== Einrichtung ==
=== Journal-Regel ===
1. Login im '''Office-Portal'''. 
2. Verbindung zum '''Admin-Portal''' herstellen. 
3. In der Menüleiste am linken Bildschirmrand wird unter "'''Admin Center'''" die Verknüpfung "'''Exchange'''" aufgerufen. 
4. Im '''Exchange Admin Center''' wird im Menü am linken Bildschirmrand "'''Verwaltung der Compliance'''" ausgewählt. 
5. Im Reiter "'''Journalregeln"''' kann dann über die Schaltfläche '''+''' eine Journalregel hinzugefügt werden. 
 
{|
|-
|[[Datei:AVPro 2-14-9 alert8.png]]
|'''<span">Achtung: Es ist nicht möglich eine E-Mail-Domain zu verwenden, die über Office 365 verwaltet wird.'''
|}

[[Datei:office365-add-journal-rule.png|400px|thumb|center|Hinzufügen der Journal-Regel]]

 

Nach einem Klick auf '''Speichern''' ist die Regel aktiv und von jeder ein- und ausgehenden E-Mail wird eine Kopie an die eingetragene E-Mail-Adresse gesendet. 

[[Datei:office365-show-journal-rule.png|900px|thumb|center|Gerade angelegte Journal-Regel]]
 
'''Update 07.06.17:'''
'''Seit Kurzem muss zusätzlich eine Adresse für nicht zustellbare Journalberichte angegeben werden. Die hier angegebene E-Mail-Adresse muss zwingend innerhalb der Office365-Domain liegen und es dürfen keinerlei Regeln auf dem Posteingang des Kontos wirken!'''
 Dieses Postfach wird dann in dem UMA eingetragen: 
[[Datei:office365-uma-fetchmail.png|700px|thumb|center|E-Mail-Konto in dem UMA]]

 
Die Office 365 spezifische Konfiguration ist damit abgeschlossen.

Im weiteren müssen die Benutzer angelegt oder das UMA mit einem Active Directory verbunden werden. Die Einrichtung wird in [[Administration-Center_Webinterface_UMA2.0#Konten | diesem Wiki]] beschrieben.

UMA/BP/Office 365 v2.5.7

2017-06-07T14:39:07Z

Dennisp: /* Journal-Regel */

{{DISPLAYTITLE:Office 365}}

== Informationen ==
Letze Anpassung zur Version: '''2.5.7'''
 
Bemerkung: initiale Erstellung
 
Vorherige Versionen: -
 

== Einleitung ==
Das UMA arbeitet im HUB-Modus und holt in diesem Fall die E-Mails aus einem Sammelkonto ab. Während viele E-Mail-Anbieter diese Funktion nur für eingehende E-Mails unterstützen, lassen sich bei Office 365 über eine so genannte Journal-Regel auch ausgehende Mails in das Sammelpostfach kopieren.
Dieser Artikel zeigt die Einrichtung über das Office-365-Administrationsportal in das UMA.

== Benutzer-Verwaltung ==

=== Anbindung an ein Active Directory (empfohlen) ===
Ist ein Active Directory vorhanden, ist es empfehlenswert die Office 365-Umgebung in die lokale Umgebung zu integrieren. Durch die Integration werden die Benutzer und E-Mail-Einstellungen zwischen Office 365 und dem Active Directory synchronisiert. Dieses erleichtert die Administration aller Systeme und erhöht den Komfort für den Benutzer. 
{|
|-
|[[Datei:AVPro 2-14-9 alert8.png]]
|'''<span">Dies ist die einzige Möglichkeit, Public Folder und Shared Mailboxen als öffentliche Ordner zu archivieren!'''
|}

Für die Anbindung von Office 365 an ein lokales Active Directory ist die [https://support.office.com/de-de/article/Office-365-Integration-in-lokale-Umgebungen-263faf8d-aa21-428b-aed3-2021837a4b65 Office 365 Dokumentation] zu verwenden.
 

=== Lokale Benutzer ===
Falls kein Active Directory vorhanden ist, können die Benutzer lokal auf dem UMA verwaltet werden.
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Es können nur private Archive angelegt werden und keine öffentlichen.'''
|}
Existiert also beispielsweise eine info@-Adresse, muss diese Adresse einem Benutzer zugewiesen werden. Die Freigabe dieses Archives für andere Benutzer ist nicht möglich.

== Einrichtung ==
=== Journal-Regel ===
1. Login im '''Office-Portal'''. 
2. Verbindung zum '''Admin-Portal''' herstellen. 
3. In der Menüleiste am linken Bildschirmrand wird unter "'''Admin Center'''" die Verknüpfung "'''Exchange'''" aufgerufen. 
4. Im '''Exchange Admin Center''' wird im Menü am linken Bildschirmrand "'''Verwaltung der Compliance'''" ausgewählt. 
5. Im Reiter "'''Journalregeln"''' kann dann über die Schaltfläche '''+''' eine Journalregel hinzugefügt werden. 
 
{|
|-
|[[Datei:AVPro 2-14-9 alert8.png]]
|'''<span">Achtung: Es ist nicht möglich eine E-Mail-Domain zu verwenden, die über Office 365 verwaltet wird.'''
|}

[[Datei:office365-add-journal-rule.png|400px|thumb|center|Hinzufügen der Journal-Regel]]

 

Nach einem Klick auf '''Speichern''' ist die Regel aktiv und von jeder ein- und ausgehenden E-Mail wird eine Kopie an die eingetragene E-Mail-Adresse gesendet. 

[[Datei:office365-show-journal-rule.png|900px|thumb|center|Gerade angelegte Journal-Regel]]
 Dieses Postfach wird dann in dem UMA eingetragen: 
[[Datei:office365-uma-fetchmail.png|700px|thumb|center|E-Mail-Konto in dem UMA]]

'''Update 07.06.17:'''
'''Seit Kurzem muss zusätzlich eine Adresse für nicht zustellbare Journalberichte angegeben werden. Die hier angegebene E-Mail-Adresse muss zwingend innerhalb der Office365-Domain liegen und es dürfen keinerlei Regeln auf dem Posteingang des Kontos wirken!'''

 
Die Office 365 spezifische Konfiguration ist damit abgeschlossen.

Im weiteren müssen die Benutzer angelegt oder das UMA mit einem Active Directory verbunden werden. Die Einrichtung wird in [[Administration-Center_Webinterface_UMA2.0#Konten | diesem Wiki]] beschrieben.

UTM/VPN/SSL VPN-Roadwarrior v11.7.1

2017-05-26T13:09:53Z

Dennisp: /* Schritt 6 */

{{DISPLAYTITLE:SSL-VPN Roadwarrior}}
== Informationen ==
Letze Anpassung zur Version: '''11.7.1'''
 
Bemerkung: Hashverfahren auswählbar.
 
Vorherige Versionen: [[UTM/VPN/SSL_VPN-Roadwarrior_v11.6 | 11.6.12]], [[UTM/VPN/SSL_VPN-Roadwarrior_v11.7 | 11.7]]
 

== Einleitung ==
Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk.
Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
SSL-VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard.
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Mit einem SSL-VPN Roadwarrior können mehrere Clients angebunden werden.'''
|}

==Roadwarrior konfiguration==
Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: [https://192.168.175.1:11115 https://192.168.175.1:11115]) kann unter "VPN" und "SSL-VPN" eine SSL-VPN Verbindung hinzugefügt werden.
{|
|-
|[[Datei:AVPro 2-14-9 alert8.png]]
|'''<span">Für die Einrichtung des Roadwarrior wird ein Zertifikat benötigt.'''
|}
===Einrichtungsassistent===
====Schritt 1====
[[Datei:Utm_ssl-vpn_roadwarrior01.png |300px|thumb|right| Einrichtungsschritt 1]]
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.
*'''Roadwarrior Server'''
*Site to Site Server
*Site to Site Client
Für die Konfiguration des Roadwarrior Servers wird dieser ausgewählt.
 
 
 

====Schritt 2====
[[Datei:Utm_ssl-vpn_roadwarrior02.png |200px|thumb|right| Einrichtungsschritt 2]]
Die Einstellung "IPv6 über IPv4" zu verwenden kann im Installationsschritt 2 eingeschaltet werden.
 
 
====Schritt 3====
[[Datei:Utm_ssl-vpn_roadwarrior03.png |300px|thumb|right| Einrichtungsschritt 3]]
Lokale Einstellungen für den Roadwarrior Server können im Schritt 3 getätigt werden. Hier kann ein Name für die Verbindung eingetragen, Protokoll und Port ausgewählt, ein Serverzertifikat gewählt - durch einen Klick auf die Schaltfläche mit dem Fenster kann eine CA und ein Zertifikat erstellt werden - und die Servernetzwerke freigegeben werden.
 
 

====Schritt 4====
[[Datei:Utm_ssl-vpn_roadwarrior04.png |200px|thumb|right| Einrichtungsschritt 4]]
Im Installationsschritt 4 wird das Transfernetz für den Roadwarrior eingetragen.
 
 

====Schritt 5====
[[Datei:Utm_ssl-vpn_roadwarrior05.png |200px|thumb|right| Einrichtungsschritt 5]]
Die Benutzerauthentisierung wird im letzten Schritt ausgewählt. Danach kann der Einrichtungsassistent abgeschlossen werden.
*None = Authentifizierung nur über die Zertifikate
*Local = Lokale Benutzer und AD Gruppen
*Radius = Radius Server
 
 

====Schritt 6====
[[Datei:Utm_ssl-vpn_roadwarrior06.png |400px|thumb|right| Einrichtungsschritt 6]]
In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt.
'''Achtung: Es wird lediglich ein Roadwarrior-Server benötigt, um mehrere VPN-Benutzer anzubinden!'''
 
 
 
 

===Regelwerk===

[[Datei:Utm_ssl-vpn_roadwarrior10.png|thumb|240px|Implizierte Regeln]]
Unter Firewall -> Implizierte Regeln -> VPN kann das Protokoll, welches für die Verbindung genutzt wird aktiviert werden. Diese Implizierte Regel gibt die Ports, welche für SSL VPN Verbindungen genutzt werden, auf die WAN-Schnittstellen frei. Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden. Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde.
 
 
 

===Benutzer und Gruppen anlegen===
====Gruppe====
[[Datei:Utm_ssl-vpn_roadwarrior12.png|thumb|240px|SSL-VPN Einstellungen für die Gruppe]]
Unter Authentifizierung -> Benutzer muss für die Benutzer, die auf den Roadwarrior zugreifen sollen zunächst eine '''Gruppe''' hinzugefügt werden. Die Gruppe muss die Berechtigung '''SSL-VPN''' erhalten.
 
 
 

====Benutzer====
[[Datei:Utm_ssl-vpn_roadwarrior13.png|thumb|240px|SSL-VPN Einstellungen für die Benutzer]]
Unter Authentifizierung -> Benutzer muss jedem Benutzer die vorher erstelle Gruppe gegeben werden. Unter dem Reiter SSL-VPN wird der Benutzer weiter konfiguriert. Hier wird für den Benutzer die erstelle SSL-VPN Verbindung und das Client-Zertifikat ausgewählt, sowie das Remote Gateway eingetragen. Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein.
Wenn der Benutzer selbst die Berechtigung haben soll, den SSL-Client herunterzuladen muss unter den SSL-VPN Einstellungen der '''SSL-VPN Client Download''' aktiviert werden.
 

===SSL-VPN Verbindung als Client herstellen===
Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung. Der Client wird als normal installierbare und portable Version angeboten. Die portable Version kann zum Beispiel auf einen USB-Stick kopiert werden und somit auch an anderen Rechnern ausgeführt werden. Voraussetzung hierfür sind Administrationsrechte, da ein virtuelles TAP Device installiert und Routen gesetzt werden müssen. Die komprimierten Ordner enthalten neben den SSL-VPN Client eine Konfigurationsdatei, die CA- und Client-Zertifikate sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle. Zum Installieren der virtuellen Tab Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte. Die Datei wird entweder vom Administrator der Securepoint Firewall an den Benutzer weitergereicht oder der Benutzer meldet sich an dem Userinterface der Securepoint Firewall an und lädt sich die Datei herunter.
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Die Installation muss mit Administratoren-Rechten durchgeführt werden.'''
|}
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Ab Windows 10 muss der SSL-VPN Client >V2 genutzt werden.'''
|}

==== Herunterladen des SSL-VPN Clients im Userinterface====

[[Datei:Utm_ssl-vpn_roadwarrior14.png|thumb|240px|User-Interface]]
Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance. Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regeln aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.
 
Nach dem Login auf das User-Interface der Firewall (im Auslieferungszustand: [https://192.168.175.1:443 https://192.168.175.1:443]) kann unter SSL-VPN Client Download der Client heruntergeladen werden.
*SSL-VPN Client Installer
*SSL-VPN Portable Client
*Konfiguration und Zertifikat
 
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Die Konfiguration und Zertifikate sind in den Client Versionen bereits vorhanden.'''
|}

===Hinweise===
====Verschlüsselung====
Standartmäßig wird ein Blowfish-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Serverprofil angepasst werden.
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich'''
|}
====Hashverfahren====
Standartmäßig wird ein SHA1 Hashverfahren angewendet. Das Hashverfahren kann im Serverprofil angepasst werden.
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich'''
|}

====Regeln====
Die Regel im Portfilter muss noch gesetzt werden, diese wird nicht durch den Einrichtungsassistent geschrieben. Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-openvpn-<servername>". Die Roadwarrior-Clients erhalten eine IP aus diesem Netz und befinden sich in dieser Zone. Dementsprechend muss das Netzwerkobjekt für die Portfilter-Regel angelegt werden.
====QoS====
Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.
====Search Domain====
Die Search Domain kann automatisch übermittelt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Allgemein" aktiviert werden.
====DNS/WINS übermitteln====
Der DNS und der WINS können automatisch übermittel werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden. Die IP-Adressen vom DNS und WINS werden unter "VPN" -> "Globale VPN-Einstellungen" gesetzt.
==== Hinweis zu vorgeschalteten Routern/Modems====
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität [[Drittgeräte-Firewalls|deaktivieren]].
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Es muss sichergestellt werden, dass die benötigten Ports weitergeleitet werden.'''
|}
====IPv6 für eingehende Verbindungen====
In den Einstellungen des Roadwarriorserver kann unter Allgemein -> Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden.

UTM/VPN/SSL VPN-S2S v11.7.3

2017-05-15T10:01:40Z

Dennisp: /* Multipath */

{{DISPLAYTITLE:SSL-VPN Site-to-Site}}
== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Hashingverfahren auswählbar.
 
Vorherige Versionen: [[UTM/VPN/SSL_VPN-S2S_v11.6 | 11.6.12]], [[UTM/VPN/SSL_VPN-S2S_v11.6 | 11.7]]
 

== Einleitung ==
Mithilfe von SSL VPN können auch Site-to-Site-Verbindungen aufgebaut werden. Da hierzu die entsprechende Instanz des Dienstes explizit im Client- oder Servermodus laufen muss, ist es möglich, mehrere Instanzen des SSL-VPN-Dienstes zu erzeugen.
===Site to Site Server===
Diese Methode wird verwendet, wenn die Gegenstelle der Initiator der Verbindung ist. Hierzu muss der Dienst explizit im Servermodus starten.
===Site to Site Client===
Diese Methode wird verwendet, wenn die UTM selbst der Initiator der Verbindung ist. Hierzu muss der Dienst explizit im Clientmodus starten.

==Site to Site konfiguration==
===Site to Site Server===
{|
|-
|[[Datei:AVPro 2-14-9 alert8.png]]
|'''<span">Für die Einrichtung des S2S Server wird ein Server- und Client-Zertifikat benötigt.'''
|}
====Schritt 1====
[[Datei:Utm_ssl-vpn_s2s01.png|thumb|300px|Installationsschritt 1]]
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.
*Roadwarrior Server
*'''Site to Site Server'''
*Site to Site Client
Für die Konfiguration des Site to Site Server wird dieser ausgewählt.
 
 
 

====Schritt 2====
[[Datei:Utm_ssl-vpn_roadwarrior02.png |200px|thumb|right| Installationsschritt 2]]
Die Einstellung "IPv6 über IPv4" zu verwenden kann im Installationsschritt 2 eingeschaltet werden.
 
 
====Schritt 3====
[[Datei:Utm_ssl-vpn_s2s03.png|thumb|300px|Installationsschritt 3]]
Lokale Einstellungen für den Site to Site Server können im Schritt 3 getätigt werden. Hier kann ein Name für die Verbindung eingetragen, Protokoll und Port ausgewählt, ein Serverzertifikat gewählt - durch einen Klick auf die Schaltfläche mit dem Fenster kann eine CA und ein Zertifikat erstellt werden - und die Servernetzwerke freigegeben werden.
 
 

====Schritt 4====
[[Datei:Utm_ssl-vpn_s2s04.png|thumb|300px|Installationsschritt 4]]
Im Installationsschritt 4 wird das Transfernetz für den Site to Site Server eingetragen. Die Server- und Client-Tunneladresse wird automatisch ausgewählt.
 
 

====Schritt 5====
[[Datei:Utm_ssl-vpn_s2s05.png|thumb|300px|Installationsschritt 5]]
Das Client-Zertifikat muss ausgewählt und die Clientnetzwerke freigegeben werden.
 
 
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Das ausgewählte Zertifikat sollte an keinen anderen Client verwendet werden.'''
|}

====Weitere Client-Gegenstellen====
[[Datei:Utm_ssl-vpn_s2s06.png|thumb|300px|Installationsschritt 5]]
Weitere Gegenstellen, welche über diesen Site to Site Server angebunden werden sollen, können über das "+" hinzugefügt werden.
 
 
 

===Site to Site Client===
{|
|-
|[[Datei:AVPro 2-14-9 alert8.png]]
|'''<span">Für die Einrichtung des S2S Clients wird die CA und das Client-Zertifikat vom S2S Server benötigt.'''
|}
====Schritt 1====
[[Datei:Utm_ssl-vpn_s2s01b.png|thumb|300px|Installationsschritt 1]]
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.
*Roadwarrior Server
*Site to Site Server
*'''Site to Site Client'''
Für die Konfiguration des Site to Site Client wird dieser ausgewählt.
 
 
 
====Schritt 2====
[[Datei:Utm_ssl-vpn_roadwarrior02.png |200px|thumb|right| Installationsschritt 2]]
Die Einstellung "IPv6 über IPv4" zu verwenden kann im Installationsschritt 2 eingeschaltet werden.
 
 
====Schritt 3====
[[Datei:Utm_ssl-vpn_s2s07.png |300px|thumb|right| Installationsschritt 3]]
Lokale Einstellungen für den Site to Site Client können im Schritt 3 getätigt werden. Hier kann ein Name für die Verbindung eingetragen, Protokoll ausgewählt, ein Serverzertifikat gewählt werden- durch einen Klick auf die Schaltfläche mit dem Fenster kann eine CA und ein Zertifikat importiert werden.
 
 

====Schritt 4====
Dieser Installationsschritt entfällt.
====Schritt 5====
[[Datei:Utm_ssl-vpn_s2s08.png |300px|thumb|right| Installationsschritt 5]]
Im Schritt 5 wird die Remotegateway IP-Adresse oder SPDyn-Adresse an.
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Wenn der Port nicht 1194 ist, muss dieser hinter die Adresse gesetzt werden.'''
|}
 
 

===Regelwerk===
[[Datei:Utm_ssl-vpn_roadwarrior10.png|thumb|300px|Implizierte Regeln]]
Unter Firewall -> Implizierte Regeln -> VPN kann das Protokoll, welches für die Verbindung genutzt wird aktiviert werden. Diese Implizierte Regel gibt die Ports, welche für SSL VPN Verbindungen genutzt werden, auf der WAN-Schnittstelle frei.
 
 
 

===Hinweise===
====Verschlüsselung====
Standartmäßig wird ein Blowfish-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich'''
|}
====Hashverfahren====
Standartmäßig wird ein SHA1 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden.
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich'''
|}
====Regeln und Routing====
Die Regeln im Portfilter und die Routen müssen noch gesetzt werden, diese werden nicht durch den Einrichtungsassistent geschrieben. Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-openvpn-<servername>". Der Site-to-Site-Client erhält eine IP aus diesem Netz. Diese dient als Gateway in das Subnetz des Site-to-Site-Clients. Das Subnetz des Clients muss als Netzwerkobjekt angelegt werden und befindet sich in der Zone auf dem zugehörigen TUN-Interface.

====QoS====
Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.
====Multipath====
Bei Multipath auf der Client Seite, muss der Client auf eine Schnittstelle gebunden werden.
Um eine Client-Verbindung an eine Schnittstelle zu binden, muss über den CLI-Befehl '''openvpn get''' die ID der Verbindung ausfindig gemacht werden. Über den Befehl '''openvpn set id $ID_DES_TUNNELS local_addr $IP_DES_INTERFACES''' kann dann die ausgehende IP gesetzt werden.
Des Weiteren wird in der ausgehenden Regel (internal-network -> VPN-Netzwerk -> $DIENST) eine Rule-Route über die entsprechende tunX-Schnittstelle benötigt.

====Search Domain====
Die Search Domain kann automatisch übermittelt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Allgemein" aktiviert werden.
====DNS/WINS übermitteln====
Der DNS und der WINS können automatisch übermittel werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden. Die IP-Adressen vom DNS und WINS werden unter "VPN" -> "Globale VPN-Einstellungen" gesetzt.
====IPv6 für eingehende Verbindungen====
In den Einstellungen des Site-to-Site Server kann unter Allgemein -> Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden.

UTM/APP/Mailrelay 11.7

2017-04-04T10:33:43Z

Dennisp: /* Greylisting */

{{DISPLAYTITLE:Mailrelay}}

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Artikelanpassung
 
Vorherige Versionen: -
 

==Konfiguration des Mailrelay==

Betreibt man im internen Netzwerk einen Mailserver, dann besteht die Möglichkeit, Mails ohne den Umweg über einen vom Provider betriebenen Server zu senden und auch zu empfangen. Die Securepoint Appliance kann in diesem Falle als Mailrelay dienen, das heißt, sie nimmt Mails entgegen, prüft sie auf Spam und Viren und leitet sie dann an den internen Mailserver weiter.

===Voraussetzungen===

Um eine reibungslose Teilnahme am Mailverkehr zu gewährleisten, müssen einige Voraussetzungen erfüllt sein:

*Eine feste IP-Adresse.
*Einen A-Record auf dem DNS-Server des Providers, der auf diese IP auflöst (z.B. mail.firma.de).
*Einen MX-Record, der festlegt, unter welcher Adresse der Mailserver einer Domain erreichbar ist (z.B. mail.firma.de).
*Einen PTR-Record, der die feste IP auf den MX-Record zurückauflöst (reverse DNS).

'''''Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!'''''

Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, empfiehlt sich je nach Mail-Aufkommen ein Minimum von 30 GB Festplattenspeicher.

===Grundkonfiguration des Mail Relay zum Empfang von Mails===

====Regelwerk====

'''Das Wichtigste zuerst:''' Sollte neben der Internetverbindung mit der IP, über die der Mailversand stattfindet, keine weitere verfügbar sein, sollten sie dafür sorgen, dass NUR dem Mailserver der Versand von Mail per SMTP erlaubt wird. Sonst könnte ein einziger von einem Trojaner kompromittierter Rechner im Netzwerk das Versenden von Mails empfindlich stören oder gar gänzlich unmöglich machen, weil dieser mit der öffentlichen IP Spams und Malware verbreitet und diese innerhalb kürzester Zeit auf entsprechenden Blacklisten für Spammer gelistet wird.

Um anderen Mailservern die Zustellung von Mails auf das Mail-Relay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:

[[Datei:UTM_V114_PFMR1.png|800px|thumb|center|Portfilterregel für eingehende Mails]]

Achten sie darauf, dass keine Portweiterleitung für SMTP existiert. Diese würde dafür sorgen, dass die Mails am Mailrelay vorbeigeleitet werden.

====Mail-Relay====

Die Konfiguration des Mail-Relay findet unter Anwendungen -> Mail Relay statt.

=====Allgemeine Einstellungen und Smarthost=====
[[Datei:UTM_V114_MRAllg.png|400px|thumb|right|Allgemeine Einstellungen des Mail Relay]]

Unter Netzwerk/Servereinstellungen/Globale E-Mail Adresse sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.

[[Datei:UTM_V114_MRSH.png|400px|thumb|right|Smarthost Einstellungen des Mail Relay]]
Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist.

=====Relaying=====
[[Datei:UTM_V114_MRRDanl.png|400px|thumb|right|Konfiguration Relaying]]
Die wichtigste Einstellung ist sicherlich, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.

Zusätzlich sind bestimmte Optionen konfigurierbar:

*From: Hier wird die Absender-Domain ausgewertet. Beispiel: Domain: partnerfirma.de - Option: From: - Aktion: RELAY - Alle Mails mit der Domain partnerfirma.de im Absender werden angenommen.
*To: Hier wird die Empfänger-Domain ausgewertet. Beispiel: Domain: firma.de - Option: To: - Aktion: RELAY - Alle Mails mit der Domain firma.de im Empfänger werden angenommen.
*Connect: Hier wird die IP, der Hostname oder die Domain des Mailservers ausgewertet, der die Mail zustellen möchte. Beispiel: Domain: partnerfirma.de - Option: Connect - Aktion: RELAY - alle Mails, die von Mailservern aus der Domain partnerfirma.de zugestellt werden, werden angenommen - unabhängig vom Sender oder Empfänger der Mail.

Unter "Aktion" sind folgende Optionen konfigurierbar:

*RELAY: Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet.
*OK: Mails werden angenommen und an ein lokales Postfach zugestellt, aber nicht weitergeleitet.
*REJECT: Mails werden abgewiesen.

Da es einerseits keine lokalen Postfächer auf der Securepoint Appliance gibt und andererseits alle Mails, für die kein Relay-Eintrag existiert, ohnehin abgewiesen werden, ist "RELAY" an dieser Stelle die einzig sinnvolle Option.

Um also alle Mails zu relayen, die für Empfänger der eigenen Domain bestimmt sind, würden wir einen Eintrag mit der Domain "firma.de", der Option "To:" und der Aktion "RELAY" konfigurieren.

Ist die Option ''Exakten Domainnamen für das Relaying verwenden:'' aktiviert, reagiert das Relay nur auf den in der Liste eingetragenen Domainnamen und nicht auf nicht eingetragene Subdomains oder Erweiterungen.

Beispiel: 
In die Relayliste eingetragene Domain: securepoint.de
{| {{prettytable}}
!Von Mailrelay akzeptiert wenn Option aktiv !! Von Mailrelay akzeptiert wenn Option inaktiv
|-
|@securepoint.de || @securepoint.de @support.securepoint.de @securepoint.de.com
|}

=====Mail Routing=====
[[Datei:UTM_V114_MRMRRanl.png|400px|thumb|right|Konfiguration des Mail Routings]]
Hier muss eingestellt werden, an welchen Mailserver eine entgegengenommene Mail weitergeleitet werden soll. Falls dies nicht geschieht, wertet das Mail-Relay den MX-Record der Empfänger-Domain aus - der auf das Relay selbst zeigt! Es wird dann ein sogenannter "Loopback" erkannt, durch den die Annahme der Mail mit einer entsprechenden Fehlermeldung abgebrochen wird. Im Folgenden können dann auch weitere Domains auf den gleichen oder auf andere Mailserver weitergeleitet werden.

Die Grundkonfiguration ist damit beendet. Die Securepoint Appliance ist nun voll funktional als Mail-Relay mit Spam- und Virenschutz für eingehende E-Mails einsetzbar. Soll das Mail-Relay auch für ausgehende Mails verwendet werden, sind [http://wiki.securepoint.de/index.php/Mail_Relay_V11#Konfiguration_des_Mail_Relay_f.C3.BCr_ausgehende_Mails weitere Konfigurationsschritte] notwendig.

====Weitere Einstellungen====

Zum Schutz vor Spam bzw. zur Entlastung des [http://wiki.securepoint.de/index.php/Spamfilter_V11 Mailfilters] lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierte Privat- und Arbeitsplatzrechner. Dagegen haben sich die Überprüfung der Ziel E-Mail-Adressen, das Greylisting und die Greeting Pause als wirksame Funktionen erwiesen.

=====Überprüfung der E-Mail-Adressen=====

Auf der Registerkarte "Mail Routing" kann die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.

Die Validierung kann erfolgen:

*über eine lokale Liste, in der alle bekannten Adressen stehen.
*über SMTP, indem die Securepoint Appliance im Hintergrund den internen Mailserver abfragt.
*über LDAP, indem die Securepoint Appliance beispielsweise den Active Directory-Server abfragt.

[[Datei:UTM_V114_MRMVSMTP.png|600px|thumb|center|Konfiguration der E-Mail-Validierung]]

[[Datei:UMA_V114_EALDAP.png|400px|thumb|right|Konfiguration des LDAP-Servers]]
Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter Authentifizierung -> externe Authentifzierung konfiguriert werden:

Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Lese rechten.

=====Greylisting=====
[[Datei:UTM_V114_MRGL.png|400px|thumb|right|Konfiguration von Greylisting]]
Das weltweite Spam-Aufkommen stammt wie gesagt zum größten Teil (über 90%) nicht von regulären Mailservern, sondern von durch Viren und Trojaner kompromittierten Privat- und Arbeitsplatzrechnern. Greylisting macht sich zu Nutze, dass in diese Spambots das SMTP-Protokoll nicht gänzlich implementiert wurde.

Greylisting bewirkt, dass der Zustell versuch eines unbekannten Mailservers zunächst abgelehnt wird. Da Spambots in der Regel keine weiteren Zustell versuche unternehmen, wurde damit die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste. Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustell versuch unternehmen. Im Weiteren wird er für einen einstellbaren Zeitraum automatisch in eine Whitelist übernommen, das heißt, weitere Mails werden innerhalb dieses Zeitraums sofort entgegengenommen.

Daraus ergibt sich allerdings ein möglicher Nachteil: Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden. Alternativ kann auch auf den Einsatz der [http://wiki.securepoint.de/index.php/Mailrelay_V11#Greeting_Pause Greeting Pause] ausgewichen werden.

'''Achtung: Seit der Version 11.6.8 ist das SPF für das Greylisting aktivierbar. Das SPF ist besonders für große Absender-Domains sehr wichtig, um die Verzögerung der Mail-Zustellung möglichst gering zu halten.'''
 
 
======Whitelist======
[[Datei:UTM116_AI_MRGLwldom.png|400px|thumb|right|Whitelisteintrag einer MailserverDomain]]
Um Domains, Empfänger und Absender vom Greylisting auszunehmen wird eine Whitelist erstellt.

Wichtig ist hierbei zu beachten, dass bei Whitelisteinträgen unter ''Domains'' die Domain des Mailserver überprüft wird, welche nicht identisch mit der E-Mail Domain des Absender sein muss.

Beispiel: Absender ''user@example.net'' wobei der Mailserver unter dem Namen ''mta.mailserverdomain.net'' eingerichtet wurde.

[[Datei:UTM116_AI_MRGLwlabs.png|400px|thumb|right|Whitelisteintrag einer kompletten E-Mail Domain]]
Um eine komplette E-Mail Domain in die Whitelist mit aufzunehmen, wird dieser Eintrag als Regulärer Ausdruck unter ''Absender'' eingetragen.

Beispiel für die Absender Domain ''example.net'':
/.*@example\.net/

=====Erweiterte Einstellungen=====
[[Datei:UTM_V114_MRErw.png|400px|thumb|right|Erweiterte Einstellungen des Mail Relay]]
Auf der Registerkarte "Erweitert" befinden sich weitere Optionen zur Vermeidung von Spam:

======Greeting Pause======

Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in durch Viren und Trojaner verbreitete Spambots das SMTP-Protokoll nicht vollständig implementiert ist und diese sich dadurch von regulären Mailservern unterscheiden. 
Das Greeting ist eine Textzeile, die vom Mail-Relay an den sendenden Mailserver übermittelt wird. Sie könnte z.B. so aussehen:

220 firewall.foo.local ESMTP Sendmail 8.14.4/8.14.4; Tue, 8 Mar 2011 14:29:30 +0100

Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen, Kommandos zu senden, da dieser Aspekt des SMTP-Protokolls aus Platzgründen höchstwahrscheinlich ebenso wenig wie ein wiederholter Zustellungsversuch (siehe [http://wiki.securepoint.de/index.php/Mailrelay_V11#Greylisting Greylisting]) implementiert ist. In diesem Fall wird das Mailrelay keine Kommandos mehr entgegennehmen.

Da die Menge der Spambots, die auf diesen Trick "hereinfallen", nahezu deckungsgleich ist mit der, die durch das Greylisting aussortiert werden können, bietet sich die Greetingpause als Alternative in Fällen an, in denen durch das Greylisting unzumutbar lange Zustellzeiten entstehen.

======Recipient Flooding======

Viele Spammer versuchen, zu hunderten (oder gar tausenden) Spams an "erfundene" Mailempfänger einer Domain zuzustellen, in der Hoffnung, dass zumindestens eine irgendwie in einem Postfach landet, gelesen und vielleicht sogar beantwortet wird. Dadurch können aufgrund der verbrauchten Bandbreite andere Internetverbindungen empfindlich gestört werden. Um dieses "Recipient Flooding" wirksam zu unterbinden, können Anfragen eines Hosts, der innerhalb kurzer Zeit eine einstellbare Anzahl fehlgeschlagener Zustellungsversuche (z.B. aufgrund von fehlgeschlagener Adressvalidierung) aufzuweisen hat, nur noch verzögert beantwortet werden. (Default: 2)

======Limitierte Anzahl von Empfängern======

Diese Option blockiert Mails, die mehr als eine einstellbare Zahl Empfängeradressen aufweisen (Default: 25).

Damit können auch wirkungsvoll "Spaßmails" (Mails mit angehängten lustigen Bildern, Videos oder Powerpoint-Präsentationen, die gerne an das komplette Adressbuch weitergeleitet werden) unterbunden werden.

======Limitierte Verbindungen======

Hier kann eingestellt werden, wie viele Verbindungen das Mail-Relay pro Sekunde annimmt (Default: 5). "Befreundete" Mailserver können in einer Ausnahmeliste von dieser Limitierung ausgenommen werden.

======Rate Kontrolle======

Hier kann konfiguriert werden, wie viele Verbindungen ein einzelner Host innerhalb eines einstellbaren Zeitraums aufbauen kann (Default: 5 Verbindungen in 60 Sekunden). Auch hier ist es möglich, bekannte Mailserver von dieser Limitierung auszunehmen.

===Konfiguration des Mail-Relay für ausgehende Mails===

Um wirklich sicherzugehen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mail-Relay auch für ausgehende Mails verwendet werden.

====Regelwerk====

Um den Zugriff auf das Mail-Relay zu erlauben, muss den zum Mailversand berechtigten Hosts der Zugriff auf die entsprechende Schnittstelle der Securepoint Appliance (abhängig von der Zone, in der sich die Hosts befinden) über das Protokoll SMTP erlaubt werden. Dies kann je nach Anforderung ein einzelner Host (z.B. der Mailserver), eine Gruppe von Hosts oder das gesamte Netzwerk sein. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mail-Relay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben.

Um z.B. dem internen Netzwerk den Zugriff auf das Mail-Relay zu gestatten, kann das Regelwerk mit den vordefinierten Netzwerkgruppen erstellt werden:

[[Datei:UTM_V114_PFMR2.png|800px|thumb|center|Firewall-Regel für ausgehende Mails aus dem internen Netz]]

Soll nur der Mailserver Mails versenden können, muss dieser zunächst als Netzwerkobjekt angelegt werden:

[[Datei:UTM_V114_PFNOmsrvanl.png|300px|thumb|center|Netzwerkobjekt Mailserver]]

Dieses Objekt kann dann in der Firewall-Regel verwendet werden:

[[Datei:UTM_V114_PFMR3.png|800px|thumb|center|Firewall-Regel für ausgehende Mails des Mailservers]]

Soll einer bestimmten Gruppe von Rechnern im internen Netzwerk gestattet sein, das Mail-Relay zu benutzen, dann müssen diese Rechner jeweils als Netzwerkobjekt angelegt werden. Diese können dann in einer Gruppe zusammengefasst werden (z.B. "SMTP-Berechtigte").

====Relaying====
[[Datei:UTM_V114_MRRHanl.png|400px|thumb|right|Konfiguration des Relaying für den internen Mailserver]]
Damit das Mail-Relay die Mails aus dem internen Netz bzw vom Mailserver auch annimmt, müssen die Relaying-Einstellungen um einen entsprechenden Eintrag ergänzt werden. Als Kriterium dient uns die Netzwerkadresse des entsprechenden Subnetzes bzw. die IP-Adresse des betreffenden Rechners:

UTM/APP/Mailrelay 11.7

2017-04-04T10:33:25Z

Dennisp: /* SPF */

{{DISPLAYTITLE:Mailrelay}}

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Artikelanpassung
 
Vorherige Versionen: -
 

==Konfiguration des Mailrelay==

Betreibt man im internen Netzwerk einen Mailserver, dann besteht die Möglichkeit, Mails ohne den Umweg über einen vom Provider betriebenen Server zu senden und auch zu empfangen. Die Securepoint Appliance kann in diesem Falle als Mailrelay dienen, das heißt, sie nimmt Mails entgegen, prüft sie auf Spam und Viren und leitet sie dann an den internen Mailserver weiter.

===Voraussetzungen===

Um eine reibungslose Teilnahme am Mailverkehr zu gewährleisten, müssen einige Voraussetzungen erfüllt sein:

*Eine feste IP-Adresse.
*Einen A-Record auf dem DNS-Server des Providers, der auf diese IP auflöst (z.B. mail.firma.de).
*Einen MX-Record, der festlegt, unter welcher Adresse der Mailserver einer Domain erreichbar ist (z.B. mail.firma.de).
*Einen PTR-Record, der die feste IP auf den MX-Record zurückauflöst (reverse DNS).

'''''Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!'''''

Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, empfiehlt sich je nach Mail-Aufkommen ein Minimum von 30 GB Festplattenspeicher.

===Grundkonfiguration des Mail Relay zum Empfang von Mails===

====Regelwerk====

'''Das Wichtigste zuerst:''' Sollte neben der Internetverbindung mit der IP, über die der Mailversand stattfindet, keine weitere verfügbar sein, sollten sie dafür sorgen, dass NUR dem Mailserver der Versand von Mail per SMTP erlaubt wird. Sonst könnte ein einziger von einem Trojaner kompromittierter Rechner im Netzwerk das Versenden von Mails empfindlich stören oder gar gänzlich unmöglich machen, weil dieser mit der öffentlichen IP Spams und Malware verbreitet und diese innerhalb kürzester Zeit auf entsprechenden Blacklisten für Spammer gelistet wird.

Um anderen Mailservern die Zustellung von Mails auf das Mail-Relay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:

[[Datei:UTM_V114_PFMR1.png|800px|thumb|center|Portfilterregel für eingehende Mails]]

Achten sie darauf, dass keine Portweiterleitung für SMTP existiert. Diese würde dafür sorgen, dass die Mails am Mailrelay vorbeigeleitet werden.

====Mail-Relay====

Die Konfiguration des Mail-Relay findet unter Anwendungen -> Mail Relay statt.

=====Allgemeine Einstellungen und Smarthost=====
[[Datei:UTM_V114_MRAllg.png|400px|thumb|right|Allgemeine Einstellungen des Mail Relay]]

Unter Netzwerk/Servereinstellungen/Globale E-Mail Adresse sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.

[[Datei:UTM_V114_MRSH.png|400px|thumb|right|Smarthost Einstellungen des Mail Relay]]
Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist.

=====Relaying=====
[[Datei:UTM_V114_MRRDanl.png|400px|thumb|right|Konfiguration Relaying]]
Die wichtigste Einstellung ist sicherlich, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.

Zusätzlich sind bestimmte Optionen konfigurierbar:

*From: Hier wird die Absender-Domain ausgewertet. Beispiel: Domain: partnerfirma.de - Option: From: - Aktion: RELAY - Alle Mails mit der Domain partnerfirma.de im Absender werden angenommen.
*To: Hier wird die Empfänger-Domain ausgewertet. Beispiel: Domain: firma.de - Option: To: - Aktion: RELAY - Alle Mails mit der Domain firma.de im Empfänger werden angenommen.
*Connect: Hier wird die IP, der Hostname oder die Domain des Mailservers ausgewertet, der die Mail zustellen möchte. Beispiel: Domain: partnerfirma.de - Option: Connect - Aktion: RELAY - alle Mails, die von Mailservern aus der Domain partnerfirma.de zugestellt werden, werden angenommen - unabhängig vom Sender oder Empfänger der Mail.

Unter "Aktion" sind folgende Optionen konfigurierbar:

*RELAY: Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet.
*OK: Mails werden angenommen und an ein lokales Postfach zugestellt, aber nicht weitergeleitet.
*REJECT: Mails werden abgewiesen.

Da es einerseits keine lokalen Postfächer auf der Securepoint Appliance gibt und andererseits alle Mails, für die kein Relay-Eintrag existiert, ohnehin abgewiesen werden, ist "RELAY" an dieser Stelle die einzig sinnvolle Option.

Um also alle Mails zu relayen, die für Empfänger der eigenen Domain bestimmt sind, würden wir einen Eintrag mit der Domain "firma.de", der Option "To:" und der Aktion "RELAY" konfigurieren.

Ist die Option ''Exakten Domainnamen für das Relaying verwenden:'' aktiviert, reagiert das Relay nur auf den in der Liste eingetragenen Domainnamen und nicht auf nicht eingetragene Subdomains oder Erweiterungen.

Beispiel: 
In die Relayliste eingetragene Domain: securepoint.de
{| {{prettytable}}
!Von Mailrelay akzeptiert wenn Option aktiv !! Von Mailrelay akzeptiert wenn Option inaktiv
|-
|@securepoint.de || @securepoint.de @support.securepoint.de @securepoint.de.com
|}

=====Mail Routing=====
[[Datei:UTM_V114_MRMRRanl.png|400px|thumb|right|Konfiguration des Mail Routings]]
Hier muss eingestellt werden, an welchen Mailserver eine entgegengenommene Mail weitergeleitet werden soll. Falls dies nicht geschieht, wertet das Mail-Relay den MX-Record der Empfänger-Domain aus - der auf das Relay selbst zeigt! Es wird dann ein sogenannter "Loopback" erkannt, durch den die Annahme der Mail mit einer entsprechenden Fehlermeldung abgebrochen wird. Im Folgenden können dann auch weitere Domains auf den gleichen oder auf andere Mailserver weitergeleitet werden.

Die Grundkonfiguration ist damit beendet. Die Securepoint Appliance ist nun voll funktional als Mail-Relay mit Spam- und Virenschutz für eingehende E-Mails einsetzbar. Soll das Mail-Relay auch für ausgehende Mails verwendet werden, sind [http://wiki.securepoint.de/index.php/Mail_Relay_V11#Konfiguration_des_Mail_Relay_f.C3.BCr_ausgehende_Mails weitere Konfigurationsschritte] notwendig.

====Weitere Einstellungen====

Zum Schutz vor Spam bzw. zur Entlastung des [http://wiki.securepoint.de/index.php/Spamfilter_V11 Mailfilters] lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierte Privat- und Arbeitsplatzrechner. Dagegen haben sich die Überprüfung der Ziel E-Mail-Adressen, das Greylisting und die Greeting Pause als wirksame Funktionen erwiesen.

=====Überprüfung der E-Mail-Adressen=====

Auf der Registerkarte "Mail Routing" kann die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.

Die Validierung kann erfolgen:

*über eine lokale Liste, in der alle bekannten Adressen stehen.
*über SMTP, indem die Securepoint Appliance im Hintergrund den internen Mailserver abfragt.
*über LDAP, indem die Securepoint Appliance beispielsweise den Active Directory-Server abfragt.

[[Datei:UTM_V114_MRMVSMTP.png|600px|thumb|center|Konfiguration der E-Mail-Validierung]]

[[Datei:UMA_V114_EALDAP.png|400px|thumb|right|Konfiguration des LDAP-Servers]]
Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter Authentifizierung -> externe Authentifzierung konfiguriert werden:

Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Lese rechten.

=====Greylisting=====
[[Datei:UTM_V114_MRGL.png|400px|thumb|right|Konfiguration von Greylisting]]
Das weltweite Spam-Aufkommen stammt wie gesagt zum größten Teil (über 90%) nicht von regulären Mailservern, sondern von durch Viren und Trojaner kompromittierten Privat- und Arbeitsplatzrechnern. Greylisting macht sich zu Nutze, dass in diese Spambots das SMTP-Protokoll nicht gänzlich implementiert wurde.

Greylisting bewirkt, dass der Zustell versuch eines unbekannten Mailservers zunächst abgelehnt wird. Da Spambots in der Regel keine weiteren Zustell versuche unternehmen, wurde damit die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste. Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustell versuch unternehmen. Im Weiteren wird er für einen einstellbaren Zeitraum automatisch in eine Whitelist übernommen, das heißt, weitere Mails werden innerhalb dieses Zeitraums sofort entgegengenommen.

Daraus ergibt sich allerdings ein möglicher Nachteil: Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden. Alternativ kann auch auf den Einsatz der [http://wiki.securepoint.de/index.php/Mailrelay_V11#Greeting_Pause Greeting Pause] ausgewichen werden.

'''Achtung: Seit der Version 11.6.8 ist das SPF für das Greylisting aktivierbar. Das SPF ist besonders für große Absender-Domains sehr wichtig, um die Verzögerung der Mail-Zustellung möglichst gering zu halten.'''
 
======Whitelist======
[[Datei:UTM116_AI_MRGLwldom.png|400px|thumb|right|Whitelisteintrag einer MailserverDomain]]
Um Domains, Empfänger und Absender vom Greylisting auszunehmen wird eine Whitelist erstellt.

Wichtig ist hierbei zu beachten, dass bei Whitelisteinträgen unter ''Domains'' die Domain des Mailserver überprüft wird, welche nicht identisch mit der E-Mail Domain des Absender sein muss.

Beispiel: Absender ''user@example.net'' wobei der Mailserver unter dem Namen ''mta.mailserverdomain.net'' eingerichtet wurde.

[[Datei:UTM116_AI_MRGLwlabs.png|400px|thumb|right|Whitelisteintrag einer kompletten E-Mail Domain]]
Um eine komplette E-Mail Domain in die Whitelist mit aufzunehmen, wird dieser Eintrag als Regulärer Ausdruck unter ''Absender'' eingetragen.

Beispiel für die Absender Domain ''example.net'':
/.*@example\.net/

=====Erweiterte Einstellungen=====
[[Datei:UTM_V114_MRErw.png|400px|thumb|right|Erweiterte Einstellungen des Mail Relay]]
Auf der Registerkarte "Erweitert" befinden sich weitere Optionen zur Vermeidung von Spam:

======Greeting Pause======

Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in durch Viren und Trojaner verbreitete Spambots das SMTP-Protokoll nicht vollständig implementiert ist und diese sich dadurch von regulären Mailservern unterscheiden. 
Das Greeting ist eine Textzeile, die vom Mail-Relay an den sendenden Mailserver übermittelt wird. Sie könnte z.B. so aussehen:

220 firewall.foo.local ESMTP Sendmail 8.14.4/8.14.4; Tue, 8 Mar 2011 14:29:30 +0100

Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen, Kommandos zu senden, da dieser Aspekt des SMTP-Protokolls aus Platzgründen höchstwahrscheinlich ebenso wenig wie ein wiederholter Zustellungsversuch (siehe [http://wiki.securepoint.de/index.php/Mailrelay_V11#Greylisting Greylisting]) implementiert ist. In diesem Fall wird das Mailrelay keine Kommandos mehr entgegennehmen.

Da die Menge der Spambots, die auf diesen Trick "hereinfallen", nahezu deckungsgleich ist mit der, die durch das Greylisting aussortiert werden können, bietet sich die Greetingpause als Alternative in Fällen an, in denen durch das Greylisting unzumutbar lange Zustellzeiten entstehen.

======Recipient Flooding======

Viele Spammer versuchen, zu hunderten (oder gar tausenden) Spams an "erfundene" Mailempfänger einer Domain zuzustellen, in der Hoffnung, dass zumindestens eine irgendwie in einem Postfach landet, gelesen und vielleicht sogar beantwortet wird. Dadurch können aufgrund der verbrauchten Bandbreite andere Internetverbindungen empfindlich gestört werden. Um dieses "Recipient Flooding" wirksam zu unterbinden, können Anfragen eines Hosts, der innerhalb kurzer Zeit eine einstellbare Anzahl fehlgeschlagener Zustellungsversuche (z.B. aufgrund von fehlgeschlagener Adressvalidierung) aufzuweisen hat, nur noch verzögert beantwortet werden. (Default: 2)

======Limitierte Anzahl von Empfängern======

Diese Option blockiert Mails, die mehr als eine einstellbare Zahl Empfängeradressen aufweisen (Default: 25).

Damit können auch wirkungsvoll "Spaßmails" (Mails mit angehängten lustigen Bildern, Videos oder Powerpoint-Präsentationen, die gerne an das komplette Adressbuch weitergeleitet werden) unterbunden werden.

======Limitierte Verbindungen======

Hier kann eingestellt werden, wie viele Verbindungen das Mail-Relay pro Sekunde annimmt (Default: 5). "Befreundete" Mailserver können in einer Ausnahmeliste von dieser Limitierung ausgenommen werden.

======Rate Kontrolle======

Hier kann konfiguriert werden, wie viele Verbindungen ein einzelner Host innerhalb eines einstellbaren Zeitraums aufbauen kann (Default: 5 Verbindungen in 60 Sekunden). Auch hier ist es möglich, bekannte Mailserver von dieser Limitierung auszunehmen.

===Konfiguration des Mail-Relay für ausgehende Mails===

Um wirklich sicherzugehen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mail-Relay auch für ausgehende Mails verwendet werden.

====Regelwerk====

Um den Zugriff auf das Mail-Relay zu erlauben, muss den zum Mailversand berechtigten Hosts der Zugriff auf die entsprechende Schnittstelle der Securepoint Appliance (abhängig von der Zone, in der sich die Hosts befinden) über das Protokoll SMTP erlaubt werden. Dies kann je nach Anforderung ein einzelner Host (z.B. der Mailserver), eine Gruppe von Hosts oder das gesamte Netzwerk sein. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mail-Relay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben.

Um z.B. dem internen Netzwerk den Zugriff auf das Mail-Relay zu gestatten, kann das Regelwerk mit den vordefinierten Netzwerkgruppen erstellt werden:

[[Datei:UTM_V114_PFMR2.png|800px|thumb|center|Firewall-Regel für ausgehende Mails aus dem internen Netz]]

Soll nur der Mailserver Mails versenden können, muss dieser zunächst als Netzwerkobjekt angelegt werden:

[[Datei:UTM_V114_PFNOmsrvanl.png|300px|thumb|center|Netzwerkobjekt Mailserver]]

Dieses Objekt kann dann in der Firewall-Regel verwendet werden:

[[Datei:UTM_V114_PFMR3.png|800px|thumb|center|Firewall-Regel für ausgehende Mails des Mailservers]]

Soll einer bestimmten Gruppe von Rechnern im internen Netzwerk gestattet sein, das Mail-Relay zu benutzen, dann müssen diese Rechner jeweils als Netzwerkobjekt angelegt werden. Diese können dann in einer Gruppe zusammengefasst werden (z.B. "SMTP-Berechtigte").

====Relaying====
[[Datei:UTM_V114_MRRHanl.png|400px|thumb|right|Konfiguration des Relaying für den internen Mailserver]]
Damit das Mail-Relay die Mails aus dem internen Netz bzw vom Mailserver auch annimmt, müssen die Relaying-Einstellungen um einen entsprechenden Eintrag ergänzt werden. Als Kriterium dient uns die Netzwerkadresse des entsprechenden Subnetzes bzw. die IP-Adresse des betreffenden Rechners:

UTM/APP/Mailrelay 11.7

2017-04-04T10:33:16Z

Dennisp: /* Greylisting */

{{DISPLAYTITLE:Mailrelay}}

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Artikelanpassung
 
Vorherige Versionen: -
 

==Konfiguration des Mailrelay==

Betreibt man im internen Netzwerk einen Mailserver, dann besteht die Möglichkeit, Mails ohne den Umweg über einen vom Provider betriebenen Server zu senden und auch zu empfangen. Die Securepoint Appliance kann in diesem Falle als Mailrelay dienen, das heißt, sie nimmt Mails entgegen, prüft sie auf Spam und Viren und leitet sie dann an den internen Mailserver weiter.

===Voraussetzungen===

Um eine reibungslose Teilnahme am Mailverkehr zu gewährleisten, müssen einige Voraussetzungen erfüllt sein:

*Eine feste IP-Adresse.
*Einen A-Record auf dem DNS-Server des Providers, der auf diese IP auflöst (z.B. mail.firma.de).
*Einen MX-Record, der festlegt, unter welcher Adresse der Mailserver einer Domain erreichbar ist (z.B. mail.firma.de).
*Einen PTR-Record, der die feste IP auf den MX-Record zurückauflöst (reverse DNS).

'''''Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!'''''

Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, empfiehlt sich je nach Mail-Aufkommen ein Minimum von 30 GB Festplattenspeicher.

===Grundkonfiguration des Mail Relay zum Empfang von Mails===

====Regelwerk====

'''Das Wichtigste zuerst:''' Sollte neben der Internetverbindung mit der IP, über die der Mailversand stattfindet, keine weitere verfügbar sein, sollten sie dafür sorgen, dass NUR dem Mailserver der Versand von Mail per SMTP erlaubt wird. Sonst könnte ein einziger von einem Trojaner kompromittierter Rechner im Netzwerk das Versenden von Mails empfindlich stören oder gar gänzlich unmöglich machen, weil dieser mit der öffentlichen IP Spams und Malware verbreitet und diese innerhalb kürzester Zeit auf entsprechenden Blacklisten für Spammer gelistet wird.

Um anderen Mailservern die Zustellung von Mails auf das Mail-Relay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:

[[Datei:UTM_V114_PFMR1.png|800px|thumb|center|Portfilterregel für eingehende Mails]]

Achten sie darauf, dass keine Portweiterleitung für SMTP existiert. Diese würde dafür sorgen, dass die Mails am Mailrelay vorbeigeleitet werden.

====Mail-Relay====

Die Konfiguration des Mail-Relay findet unter Anwendungen -> Mail Relay statt.

=====Allgemeine Einstellungen und Smarthost=====
[[Datei:UTM_V114_MRAllg.png|400px|thumb|right|Allgemeine Einstellungen des Mail Relay]]

Unter Netzwerk/Servereinstellungen/Globale E-Mail Adresse sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.

[[Datei:UTM_V114_MRSH.png|400px|thumb|right|Smarthost Einstellungen des Mail Relay]]
Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist.

=====Relaying=====
[[Datei:UTM_V114_MRRDanl.png|400px|thumb|right|Konfiguration Relaying]]
Die wichtigste Einstellung ist sicherlich, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.

Zusätzlich sind bestimmte Optionen konfigurierbar:

*From: Hier wird die Absender-Domain ausgewertet. Beispiel: Domain: partnerfirma.de - Option: From: - Aktion: RELAY - Alle Mails mit der Domain partnerfirma.de im Absender werden angenommen.
*To: Hier wird die Empfänger-Domain ausgewertet. Beispiel: Domain: firma.de - Option: To: - Aktion: RELAY - Alle Mails mit der Domain firma.de im Empfänger werden angenommen.
*Connect: Hier wird die IP, der Hostname oder die Domain des Mailservers ausgewertet, der die Mail zustellen möchte. Beispiel: Domain: partnerfirma.de - Option: Connect - Aktion: RELAY - alle Mails, die von Mailservern aus der Domain partnerfirma.de zugestellt werden, werden angenommen - unabhängig vom Sender oder Empfänger der Mail.

Unter "Aktion" sind folgende Optionen konfigurierbar:

*RELAY: Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet.
*OK: Mails werden angenommen und an ein lokales Postfach zugestellt, aber nicht weitergeleitet.
*REJECT: Mails werden abgewiesen.

Da es einerseits keine lokalen Postfächer auf der Securepoint Appliance gibt und andererseits alle Mails, für die kein Relay-Eintrag existiert, ohnehin abgewiesen werden, ist "RELAY" an dieser Stelle die einzig sinnvolle Option.

Um also alle Mails zu relayen, die für Empfänger der eigenen Domain bestimmt sind, würden wir einen Eintrag mit der Domain "firma.de", der Option "To:" und der Aktion "RELAY" konfigurieren.

Ist die Option ''Exakten Domainnamen für das Relaying verwenden:'' aktiviert, reagiert das Relay nur auf den in der Liste eingetragenen Domainnamen und nicht auf nicht eingetragene Subdomains oder Erweiterungen.

Beispiel: 
In die Relayliste eingetragene Domain: securepoint.de
{| {{prettytable}}
!Von Mailrelay akzeptiert wenn Option aktiv !! Von Mailrelay akzeptiert wenn Option inaktiv
|-
|@securepoint.de || @securepoint.de @support.securepoint.de @securepoint.de.com
|}

=====Mail Routing=====
[[Datei:UTM_V114_MRMRRanl.png|400px|thumb|right|Konfiguration des Mail Routings]]
Hier muss eingestellt werden, an welchen Mailserver eine entgegengenommene Mail weitergeleitet werden soll. Falls dies nicht geschieht, wertet das Mail-Relay den MX-Record der Empfänger-Domain aus - der auf das Relay selbst zeigt! Es wird dann ein sogenannter "Loopback" erkannt, durch den die Annahme der Mail mit einer entsprechenden Fehlermeldung abgebrochen wird. Im Folgenden können dann auch weitere Domains auf den gleichen oder auf andere Mailserver weitergeleitet werden.

Die Grundkonfiguration ist damit beendet. Die Securepoint Appliance ist nun voll funktional als Mail-Relay mit Spam- und Virenschutz für eingehende E-Mails einsetzbar. Soll das Mail-Relay auch für ausgehende Mails verwendet werden, sind [http://wiki.securepoint.de/index.php/Mail_Relay_V11#Konfiguration_des_Mail_Relay_f.C3.BCr_ausgehende_Mails weitere Konfigurationsschritte] notwendig.

====Weitere Einstellungen====

Zum Schutz vor Spam bzw. zur Entlastung des [http://wiki.securepoint.de/index.php/Spamfilter_V11 Mailfilters] lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierte Privat- und Arbeitsplatzrechner. Dagegen haben sich die Überprüfung der Ziel E-Mail-Adressen, das Greylisting und die Greeting Pause als wirksame Funktionen erwiesen.

=====Überprüfung der E-Mail-Adressen=====

Auf der Registerkarte "Mail Routing" kann die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.

Die Validierung kann erfolgen:

*über eine lokale Liste, in der alle bekannten Adressen stehen.
*über SMTP, indem die Securepoint Appliance im Hintergrund den internen Mailserver abfragt.
*über LDAP, indem die Securepoint Appliance beispielsweise den Active Directory-Server abfragt.

[[Datei:UTM_V114_MRMVSMTP.png|600px|thumb|center|Konfiguration der E-Mail-Validierung]]

[[Datei:UMA_V114_EALDAP.png|400px|thumb|right|Konfiguration des LDAP-Servers]]
Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter Authentifizierung -> externe Authentifzierung konfiguriert werden:

Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Lese rechten.

=====Greylisting=====
[[Datei:UTM_V114_MRGL.png|400px|thumb|right|Konfiguration von Greylisting]]
Das weltweite Spam-Aufkommen stammt wie gesagt zum größten Teil (über 90%) nicht von regulären Mailservern, sondern von durch Viren und Trojaner kompromittierten Privat- und Arbeitsplatzrechnern. Greylisting macht sich zu Nutze, dass in diese Spambots das SMTP-Protokoll nicht gänzlich implementiert wurde.

Greylisting bewirkt, dass der Zustell versuch eines unbekannten Mailservers zunächst abgelehnt wird. Da Spambots in der Regel keine weiteren Zustell versuche unternehmen, wurde damit die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste. Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustell versuch unternehmen. Im Weiteren wird er für einen einstellbaren Zeitraum automatisch in eine Whitelist übernommen, das heißt, weitere Mails werden innerhalb dieses Zeitraums sofort entgegengenommen.

Daraus ergibt sich allerdings ein möglicher Nachteil: Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden. Alternativ kann auch auf den Einsatz der [http://wiki.securepoint.de/index.php/Mailrelay_V11#Greeting_Pause Greeting Pause] ausgewichen werden.

=====SPF=====
'''Achtung: Seit der Version 11.6.8 ist das SPF für das Greylisting aktivierbar. Das SPF ist besonders für große Absender-Domains sehr wichtig, um die Verzögerung der Mail-Zustellung möglichst gering zu halten.'''
 
======Whitelist======
[[Datei:UTM116_AI_MRGLwldom.png|400px|thumb|right|Whitelisteintrag einer MailserverDomain]]
Um Domains, Empfänger und Absender vom Greylisting auszunehmen wird eine Whitelist erstellt.

Wichtig ist hierbei zu beachten, dass bei Whitelisteinträgen unter ''Domains'' die Domain des Mailserver überprüft wird, welche nicht identisch mit der E-Mail Domain des Absender sein muss.

Beispiel: Absender ''user@example.net'' wobei der Mailserver unter dem Namen ''mta.mailserverdomain.net'' eingerichtet wurde.

[[Datei:UTM116_AI_MRGLwlabs.png|400px|thumb|right|Whitelisteintrag einer kompletten E-Mail Domain]]
Um eine komplette E-Mail Domain in die Whitelist mit aufzunehmen, wird dieser Eintrag als Regulärer Ausdruck unter ''Absender'' eingetragen.

Beispiel für die Absender Domain ''example.net'':
/.*@example\.net/

=====Erweiterte Einstellungen=====
[[Datei:UTM_V114_MRErw.png|400px|thumb|right|Erweiterte Einstellungen des Mail Relay]]
Auf der Registerkarte "Erweitert" befinden sich weitere Optionen zur Vermeidung von Spam:

======Greeting Pause======

Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in durch Viren und Trojaner verbreitete Spambots das SMTP-Protokoll nicht vollständig implementiert ist und diese sich dadurch von regulären Mailservern unterscheiden. 
Das Greeting ist eine Textzeile, die vom Mail-Relay an den sendenden Mailserver übermittelt wird. Sie könnte z.B. so aussehen:

220 firewall.foo.local ESMTP Sendmail 8.14.4/8.14.4; Tue, 8 Mar 2011 14:29:30 +0100

Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen, Kommandos zu senden, da dieser Aspekt des SMTP-Protokolls aus Platzgründen höchstwahrscheinlich ebenso wenig wie ein wiederholter Zustellungsversuch (siehe [http://wiki.securepoint.de/index.php/Mailrelay_V11#Greylisting Greylisting]) implementiert ist. In diesem Fall wird das Mailrelay keine Kommandos mehr entgegennehmen.

Da die Menge der Spambots, die auf diesen Trick "hereinfallen", nahezu deckungsgleich ist mit der, die durch das Greylisting aussortiert werden können, bietet sich die Greetingpause als Alternative in Fällen an, in denen durch das Greylisting unzumutbar lange Zustellzeiten entstehen.

======Recipient Flooding======

Viele Spammer versuchen, zu hunderten (oder gar tausenden) Spams an "erfundene" Mailempfänger einer Domain zuzustellen, in der Hoffnung, dass zumindestens eine irgendwie in einem Postfach landet, gelesen und vielleicht sogar beantwortet wird. Dadurch können aufgrund der verbrauchten Bandbreite andere Internetverbindungen empfindlich gestört werden. Um dieses "Recipient Flooding" wirksam zu unterbinden, können Anfragen eines Hosts, der innerhalb kurzer Zeit eine einstellbare Anzahl fehlgeschlagener Zustellungsversuche (z.B. aufgrund von fehlgeschlagener Adressvalidierung) aufzuweisen hat, nur noch verzögert beantwortet werden. (Default: 2)

======Limitierte Anzahl von Empfängern======

Diese Option blockiert Mails, die mehr als eine einstellbare Zahl Empfängeradressen aufweisen (Default: 25).

Damit können auch wirkungsvoll "Spaßmails" (Mails mit angehängten lustigen Bildern, Videos oder Powerpoint-Präsentationen, die gerne an das komplette Adressbuch weitergeleitet werden) unterbunden werden.

======Limitierte Verbindungen======

Hier kann eingestellt werden, wie viele Verbindungen das Mail-Relay pro Sekunde annimmt (Default: 5). "Befreundete" Mailserver können in einer Ausnahmeliste von dieser Limitierung ausgenommen werden.

======Rate Kontrolle======

Hier kann konfiguriert werden, wie viele Verbindungen ein einzelner Host innerhalb eines einstellbaren Zeitraums aufbauen kann (Default: 5 Verbindungen in 60 Sekunden). Auch hier ist es möglich, bekannte Mailserver von dieser Limitierung auszunehmen.

===Konfiguration des Mail-Relay für ausgehende Mails===

Um wirklich sicherzugehen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mail-Relay auch für ausgehende Mails verwendet werden.

====Regelwerk====

Um den Zugriff auf das Mail-Relay zu erlauben, muss den zum Mailversand berechtigten Hosts der Zugriff auf die entsprechende Schnittstelle der Securepoint Appliance (abhängig von der Zone, in der sich die Hosts befinden) über das Protokoll SMTP erlaubt werden. Dies kann je nach Anforderung ein einzelner Host (z.B. der Mailserver), eine Gruppe von Hosts oder das gesamte Netzwerk sein. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mail-Relay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben.

Um z.B. dem internen Netzwerk den Zugriff auf das Mail-Relay zu gestatten, kann das Regelwerk mit den vordefinierten Netzwerkgruppen erstellt werden:

[[Datei:UTM_V114_PFMR2.png|800px|thumb|center|Firewall-Regel für ausgehende Mails aus dem internen Netz]]

Soll nur der Mailserver Mails versenden können, muss dieser zunächst als Netzwerkobjekt angelegt werden:

[[Datei:UTM_V114_PFNOmsrvanl.png|300px|thumb|center|Netzwerkobjekt Mailserver]]

Dieses Objekt kann dann in der Firewall-Regel verwendet werden:

[[Datei:UTM_V114_PFMR3.png|800px|thumb|center|Firewall-Regel für ausgehende Mails des Mailservers]]

Soll einer bestimmten Gruppe von Rechnern im internen Netzwerk gestattet sein, das Mail-Relay zu benutzen, dann müssen diese Rechner jeweils als Netzwerkobjekt angelegt werden. Diese können dann in einer Gruppe zusammengefasst werden (z.B. "SMTP-Berechtigte").

====Relaying====
[[Datei:UTM_V114_MRRHanl.png|400px|thumb|right|Konfiguration des Relaying für den internen Mailserver]]
Damit das Mail-Relay die Mails aus dem internen Netz bzw vom Mailserver auch annimmt, müssen die Relaying-Einstellungen um einen entsprechenden Eintrag ergänzt werden. Als Kriterium dient uns die Netzwerkadresse des entsprechenden Subnetzes bzw. die IP-Adresse des betreffenden Rechners:

UTM/APP/Mailrelay 11.7

2017-04-04T10:32:14Z

Dennisp: /* Greylisting */

{{DISPLAYTITLE:Mailrelay}}

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Artikelanpassung
 
Vorherige Versionen: -
 

==Konfiguration des Mailrelay==

Betreibt man im internen Netzwerk einen Mailserver, dann besteht die Möglichkeit, Mails ohne den Umweg über einen vom Provider betriebenen Server zu senden und auch zu empfangen. Die Securepoint Appliance kann in diesem Falle als Mailrelay dienen, das heißt, sie nimmt Mails entgegen, prüft sie auf Spam und Viren und leitet sie dann an den internen Mailserver weiter.

===Voraussetzungen===

Um eine reibungslose Teilnahme am Mailverkehr zu gewährleisten, müssen einige Voraussetzungen erfüllt sein:

*Eine feste IP-Adresse.
*Einen A-Record auf dem DNS-Server des Providers, der auf diese IP auflöst (z.B. mail.firma.de).
*Einen MX-Record, der festlegt, unter welcher Adresse der Mailserver einer Domain erreichbar ist (z.B. mail.firma.de).
*Einen PTR-Record, der die feste IP auf den MX-Record zurückauflöst (reverse DNS).

'''''Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!'''''

Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, empfiehlt sich je nach Mail-Aufkommen ein Minimum von 30 GB Festplattenspeicher.

===Grundkonfiguration des Mail Relay zum Empfang von Mails===

====Regelwerk====

'''Das Wichtigste zuerst:''' Sollte neben der Internetverbindung mit der IP, über die der Mailversand stattfindet, keine weitere verfügbar sein, sollten sie dafür sorgen, dass NUR dem Mailserver der Versand von Mail per SMTP erlaubt wird. Sonst könnte ein einziger von einem Trojaner kompromittierter Rechner im Netzwerk das Versenden von Mails empfindlich stören oder gar gänzlich unmöglich machen, weil dieser mit der öffentlichen IP Spams und Malware verbreitet und diese innerhalb kürzester Zeit auf entsprechenden Blacklisten für Spammer gelistet wird.

Um anderen Mailservern die Zustellung von Mails auf das Mail-Relay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:

[[Datei:UTM_V114_PFMR1.png|800px|thumb|center|Portfilterregel für eingehende Mails]]

Achten sie darauf, dass keine Portweiterleitung für SMTP existiert. Diese würde dafür sorgen, dass die Mails am Mailrelay vorbeigeleitet werden.

====Mail-Relay====

Die Konfiguration des Mail-Relay findet unter Anwendungen -> Mail Relay statt.

=====Allgemeine Einstellungen und Smarthost=====
[[Datei:UTM_V114_MRAllg.png|400px|thumb|right|Allgemeine Einstellungen des Mail Relay]]

Unter Netzwerk/Servereinstellungen/Globale E-Mail Adresse sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.

[[Datei:UTM_V114_MRSH.png|400px|thumb|right|Smarthost Einstellungen des Mail Relay]]
Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist.

=====Relaying=====
[[Datei:UTM_V114_MRRDanl.png|400px|thumb|right|Konfiguration Relaying]]
Die wichtigste Einstellung ist sicherlich, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.

Zusätzlich sind bestimmte Optionen konfigurierbar:

*From: Hier wird die Absender-Domain ausgewertet. Beispiel: Domain: partnerfirma.de - Option: From: - Aktion: RELAY - Alle Mails mit der Domain partnerfirma.de im Absender werden angenommen.
*To: Hier wird die Empfänger-Domain ausgewertet. Beispiel: Domain: firma.de - Option: To: - Aktion: RELAY - Alle Mails mit der Domain firma.de im Empfänger werden angenommen.
*Connect: Hier wird die IP, der Hostname oder die Domain des Mailservers ausgewertet, der die Mail zustellen möchte. Beispiel: Domain: partnerfirma.de - Option: Connect - Aktion: RELAY - alle Mails, die von Mailservern aus der Domain partnerfirma.de zugestellt werden, werden angenommen - unabhängig vom Sender oder Empfänger der Mail.

Unter "Aktion" sind folgende Optionen konfigurierbar:

*RELAY: Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet.
*OK: Mails werden angenommen und an ein lokales Postfach zugestellt, aber nicht weitergeleitet.
*REJECT: Mails werden abgewiesen.

Da es einerseits keine lokalen Postfächer auf der Securepoint Appliance gibt und andererseits alle Mails, für die kein Relay-Eintrag existiert, ohnehin abgewiesen werden, ist "RELAY" an dieser Stelle die einzig sinnvolle Option.

Um also alle Mails zu relayen, die für Empfänger der eigenen Domain bestimmt sind, würden wir einen Eintrag mit der Domain "firma.de", der Option "To:" und der Aktion "RELAY" konfigurieren.

Ist die Option ''Exakten Domainnamen für das Relaying verwenden:'' aktiviert, reagiert das Relay nur auf den in der Liste eingetragenen Domainnamen und nicht auf nicht eingetragene Subdomains oder Erweiterungen.

Beispiel: 
In die Relayliste eingetragene Domain: securepoint.de
{| {{prettytable}}
!Von Mailrelay akzeptiert wenn Option aktiv !! Von Mailrelay akzeptiert wenn Option inaktiv
|-
|@securepoint.de || @securepoint.de @support.securepoint.de @securepoint.de.com
|}

=====Mail Routing=====
[[Datei:UTM_V114_MRMRRanl.png|400px|thumb|right|Konfiguration des Mail Routings]]
Hier muss eingestellt werden, an welchen Mailserver eine entgegengenommene Mail weitergeleitet werden soll. Falls dies nicht geschieht, wertet das Mail-Relay den MX-Record der Empfänger-Domain aus - der auf das Relay selbst zeigt! Es wird dann ein sogenannter "Loopback" erkannt, durch den die Annahme der Mail mit einer entsprechenden Fehlermeldung abgebrochen wird. Im Folgenden können dann auch weitere Domains auf den gleichen oder auf andere Mailserver weitergeleitet werden.

Die Grundkonfiguration ist damit beendet. Die Securepoint Appliance ist nun voll funktional als Mail-Relay mit Spam- und Virenschutz für eingehende E-Mails einsetzbar. Soll das Mail-Relay auch für ausgehende Mails verwendet werden, sind [http://wiki.securepoint.de/index.php/Mail_Relay_V11#Konfiguration_des_Mail_Relay_f.C3.BCr_ausgehende_Mails weitere Konfigurationsschritte] notwendig.

====Weitere Einstellungen====

Zum Schutz vor Spam bzw. zur Entlastung des [http://wiki.securepoint.de/index.php/Spamfilter_V11 Mailfilters] lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierte Privat- und Arbeitsplatzrechner. Dagegen haben sich die Überprüfung der Ziel E-Mail-Adressen, das Greylisting und die Greeting Pause als wirksame Funktionen erwiesen.

=====Überprüfung der E-Mail-Adressen=====

Auf der Registerkarte "Mail Routing" kann die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.

Die Validierung kann erfolgen:

*über eine lokale Liste, in der alle bekannten Adressen stehen.
*über SMTP, indem die Securepoint Appliance im Hintergrund den internen Mailserver abfragt.
*über LDAP, indem die Securepoint Appliance beispielsweise den Active Directory-Server abfragt.

[[Datei:UTM_V114_MRMVSMTP.png|600px|thumb|center|Konfiguration der E-Mail-Validierung]]

[[Datei:UMA_V114_EALDAP.png|400px|thumb|right|Konfiguration des LDAP-Servers]]
Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter Authentifizierung -> externe Authentifzierung konfiguriert werden:

Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Lese rechten.

=====Greylisting=====
[[Datei:UTM_V114_MRGL.png|400px|thumb|right|Konfiguration von Greylisting]]
Das weltweite Spam-Aufkommen stammt wie gesagt zum größten Teil (über 90%) nicht von regulären Mailservern, sondern von durch Viren und Trojaner kompromittierten Privat- und Arbeitsplatzrechnern. Greylisting macht sich zu Nutze, dass in diese Spambots das SMTP-Protokoll nicht gänzlich implementiert wurde.

Greylisting bewirkt, dass der Zustell versuch eines unbekannten Mailservers zunächst abgelehnt wird. Da Spambots in der Regel keine weiteren Zustell versuche unternehmen, wurde damit die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste. Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustell versuch unternehmen. Im Weiteren wird er für einen einstellbaren Zeitraum automatisch in eine Whitelist übernommen, das heißt, weitere Mails werden innerhalb dieses Zeitraums sofort entgegengenommen.

Daraus ergibt sich allerdings ein möglicher Nachteil: Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden. Alternativ kann auch auf den Einsatz der [http://wiki.securepoint.de/index.php/Mailrelay_V11#Greeting_Pause Greeting Pause] ausgewichen werden.
 
 
=====SPF=====
'''Achtung: Seit der Version 11.6.8 ist das SPF für das Greylisting aktivierbar. Das SPF ist besonders für große Absender-Domains sehr wichtig, um die Verzögerung der Mail-Zustellung möglichst gering zu halten.'''
 
======Whitelist======
[[Datei:UTM116_AI_MRGLwldom.png|400px|thumb|right|Whitelisteintrag einer MailserverDomain]]
Um Domains, Empfänger und Absender vom Greylisting auszunehmen wird eine Whitelist erstellt.

Wichtig ist hierbei zu beachten, dass bei Whitelisteinträgen unter ''Domains'' die Domain des Mailserver überprüft wird, welche nicht identisch mit der E-Mail Domain des Absender sein muss.

Beispiel: Absender ''user@example.net'' wobei der Mailserver unter dem Namen ''mta.mailserverdomain.net'' eingerichtet wurde.

[[Datei:UTM116_AI_MRGLwlabs.png|400px|thumb|right|Whitelisteintrag einer kompletten E-Mail Domain]]
Um eine komplette E-Mail Domain in die Whitelist mit aufzunehmen, wird dieser Eintrag als Regulärer Ausdruck unter ''Absender'' eingetragen.

Beispiel für die Absender Domain ''example.net'':
/.*@example\.net/

=====Erweiterte Einstellungen=====
[[Datei:UTM_V114_MRErw.png|400px|thumb|right|Erweiterte Einstellungen des Mail Relay]]
Auf der Registerkarte "Erweitert" befinden sich weitere Optionen zur Vermeidung von Spam:

======Greeting Pause======

Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in durch Viren und Trojaner verbreitete Spambots das SMTP-Protokoll nicht vollständig implementiert ist und diese sich dadurch von regulären Mailservern unterscheiden. 
Das Greeting ist eine Textzeile, die vom Mail-Relay an den sendenden Mailserver übermittelt wird. Sie könnte z.B. so aussehen:

220 firewall.foo.local ESMTP Sendmail 8.14.4/8.14.4; Tue, 8 Mar 2011 14:29:30 +0100

Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen, Kommandos zu senden, da dieser Aspekt des SMTP-Protokolls aus Platzgründen höchstwahrscheinlich ebenso wenig wie ein wiederholter Zustellungsversuch (siehe [http://wiki.securepoint.de/index.php/Mailrelay_V11#Greylisting Greylisting]) implementiert ist. In diesem Fall wird das Mailrelay keine Kommandos mehr entgegennehmen.

Da die Menge der Spambots, die auf diesen Trick "hereinfallen", nahezu deckungsgleich ist mit der, die durch das Greylisting aussortiert werden können, bietet sich die Greetingpause als Alternative in Fällen an, in denen durch das Greylisting unzumutbar lange Zustellzeiten entstehen.

======Recipient Flooding======

Viele Spammer versuchen, zu hunderten (oder gar tausenden) Spams an "erfundene" Mailempfänger einer Domain zuzustellen, in der Hoffnung, dass zumindestens eine irgendwie in einem Postfach landet, gelesen und vielleicht sogar beantwortet wird. Dadurch können aufgrund der verbrauchten Bandbreite andere Internetverbindungen empfindlich gestört werden. Um dieses "Recipient Flooding" wirksam zu unterbinden, können Anfragen eines Hosts, der innerhalb kurzer Zeit eine einstellbare Anzahl fehlgeschlagener Zustellungsversuche (z.B. aufgrund von fehlgeschlagener Adressvalidierung) aufzuweisen hat, nur noch verzögert beantwortet werden. (Default: 2)

======Limitierte Anzahl von Empfängern======

Diese Option blockiert Mails, die mehr als eine einstellbare Zahl Empfängeradressen aufweisen (Default: 25).

Damit können auch wirkungsvoll "Spaßmails" (Mails mit angehängten lustigen Bildern, Videos oder Powerpoint-Präsentationen, die gerne an das komplette Adressbuch weitergeleitet werden) unterbunden werden.

======Limitierte Verbindungen======

Hier kann eingestellt werden, wie viele Verbindungen das Mail-Relay pro Sekunde annimmt (Default: 5). "Befreundete" Mailserver können in einer Ausnahmeliste von dieser Limitierung ausgenommen werden.

======Rate Kontrolle======

Hier kann konfiguriert werden, wie viele Verbindungen ein einzelner Host innerhalb eines einstellbaren Zeitraums aufbauen kann (Default: 5 Verbindungen in 60 Sekunden). Auch hier ist es möglich, bekannte Mailserver von dieser Limitierung auszunehmen.

===Konfiguration des Mail-Relay für ausgehende Mails===

Um wirklich sicherzugehen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mail-Relay auch für ausgehende Mails verwendet werden.

====Regelwerk====

Um den Zugriff auf das Mail-Relay zu erlauben, muss den zum Mailversand berechtigten Hosts der Zugriff auf die entsprechende Schnittstelle der Securepoint Appliance (abhängig von der Zone, in der sich die Hosts befinden) über das Protokoll SMTP erlaubt werden. Dies kann je nach Anforderung ein einzelner Host (z.B. der Mailserver), eine Gruppe von Hosts oder das gesamte Netzwerk sein. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mail-Relay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben.

Um z.B. dem internen Netzwerk den Zugriff auf das Mail-Relay zu gestatten, kann das Regelwerk mit den vordefinierten Netzwerkgruppen erstellt werden:

[[Datei:UTM_V114_PFMR2.png|800px|thumb|center|Firewall-Regel für ausgehende Mails aus dem internen Netz]]

Soll nur der Mailserver Mails versenden können, muss dieser zunächst als Netzwerkobjekt angelegt werden:

[[Datei:UTM_V114_PFNOmsrvanl.png|300px|thumb|center|Netzwerkobjekt Mailserver]]

Dieses Objekt kann dann in der Firewall-Regel verwendet werden:

[[Datei:UTM_V114_PFMR3.png|800px|thumb|center|Firewall-Regel für ausgehende Mails des Mailservers]]

Soll einer bestimmten Gruppe von Rechnern im internen Netzwerk gestattet sein, das Mail-Relay zu benutzen, dann müssen diese Rechner jeweils als Netzwerkobjekt angelegt werden. Diese können dann in einer Gruppe zusammengefasst werden (z.B. "SMTP-Berechtigte").

====Relaying====
[[Datei:UTM_V114_MRRHanl.png|400px|thumb|right|Konfiguration des Relaying für den internen Mailserver]]
Damit das Mail-Relay die Mails aus dem internen Netz bzw vom Mailserver auch annimmt, müssen die Relaying-Einstellungen um einen entsprechenden Eintrag ergänzt werden. Als Kriterium dient uns die Netzwerkadresse des entsprechenden Subnetzes bzw. die IP-Adresse des betreffenden Rechners:

UTM/APP/Reverse Proxy-Exchange v11.7

2017-01-11T12:29:38Z

Dennisp:

{{DISPLAYTITLE:Securepoint UTM Reverse-Proxy Exchange}}

Mit dieser Dokumentation zeigen wir, wie der Reverse Proxy eingerichtet werden muss, um aus dem Internet Zugriff auf die „Outlook Web App“ kurz OWA eines Microsoft Exchange Server zu erlauben.

[[Datei:Reverse-Proxy OWA.png|500px|center]]

Voraussetzung dafür ist ein voll funktionsfähiger Exchange Server mit bereits importierten Zertifikaten, bei dem auch schon mit einer [[Howtos-V11/Portweiterleitungen#Portweiterleitung | Portweiterleitung]] das OWA aufgerufen werden konnte.

===Vorbereitungen===
====Zertifikat====
Da das OWA des Exchange nur über eine SSL-Verschlüsselte Verbindung erreichbar ist, wird ein Zertifikat benötigt. Dieses kann über eine öffentliche Zertifizierungsstelle erworben, kann aber auch über die UTM selbst erstellt werden.

Ein wichtiger Punkt bei diesem Zertifikat ist, dass der Common Name mit der externen Domain identisch ist. Wird also vom Client wie in unserem Beispiel die Domain ‘‘‘owa.ttt-point.de‘‘‘ aufgerufen, muss der Name des Zertifikats ebenfalls ‘‘‘owa.ttt-point.de‘‘‘ lauten.
Sind Subdomains vorhanden wie zum Beispiel zusätzlich ‘‘‘web.ttt-point.de‘‘‘, kann auch ein sogenanntes Wildcard Zertifikat erstellt werden. In unserem Beispiel also ‘‘‘*.ttt-point.de‘‘‘.

Die Zertifikatsverwaltung befindet sich im Menü ‘‘‘Authentifizierung‘‘‘, Untermenü ‘‘‘Zertifikate‘‘‘.
Es muss, wenn noch nicht vorhanden, ein ‘‘‘CA‘‘‘ (Certification Authority) erstellt werden und anschließend, basierend auf diesem CA, das Zertifikat für die Domain.
Weitere Informationen zum erstellen von Zertifikaten befinden sich im Wiki [[Zertifikate | Zertifikate]]

====Portfilterregel====
Ein weiterer wichtiger Punkt ist, dass der Zugriff über den Reverse-Proxy auf den Exchange über die Portfilter-Regeln zugelassen werden muss.

Hierbei ist eine Portfilterregel notwendig, die den Zugriff aus dem Internet auf die UTM, also auf das externe Interface für den Dienst ‘‘‘HTTPS‘‘‘ steuert.

[[Datei:UTM116_AI_PFrprulehttps.png|600px|center]]

Zu beachten ist, dass wenn noch Portweiterleitungen zu diesem Exchange Server bestehen, diese deaktiviert bzw. gelöscht werden.

====User Webinterface Port====
[[Datei: UTM116_AI_NSEusrwebport.png|200px|thumb|right|User Webinterface Port]]
In der Werkseinstellung ist der Port 443 schon vom User-Webinterface der UTM belegt. Dieser muss dann auf einen anderen Port umgelegt werden.
Die Einstellungen dazu befinden sich im Menü ‘‘‘Netzwerk‘‘‘, Untermenü ‘‘‘Servereinstellungen‘‘‘ im Abschnitt ‘‘‘Webserver‘‘‘.

===Einrichtung===
Die Einstellungen für den Reverse Proxy befinden sich im Menü Anwendungen unter dem Untermenü Reverse-Proxy.

Mit einem Klick auf die Schaltfläche [[Datei:UTM116_AI_ARPrpassiB.png|120px]] öffnet sich der Assistent.

====Assistent====
[[Datei: UTM116_AI_ARPassiS1.png|200px|thumb|right|Reverse-Proxy Assistent Step 1]]
Im Step 1 wird eingerichtet, welcher Host im internen Netzwerk über welchen Port vom Reverse-Proxy angesprochen werden soll.

Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Auswahlfeld ‘‘‘Zielserver‘‘‘ ausgewählt werden.

[[Datei: UTM116_AI_ARPassiS1nno.png|200px|thumb|right|Reverse-Proxy Assistent Step 1]]
Sollte das nicht der Fall sein, kann über den Auswahlpunkt ‘‘‘Server anlegen‘‘‘ für den Zielserver ein Netzwerkobjekt über den Assistenten angelegt werden.

Da der OWA des Exchange nur über eine Verschlüsselte Verbindung angesprochen werden kann, wird der Port 443 gewählt und der Punkt ‘‘‘SSL benutzen:‘‘‘ aktiviert.

[[Datei: UTM116_AI_ARPassiS2.png|200px|thumb|right|Reverse-Proxy Assistent Step 2]]
Im Step 2 geht es darum, wie die UTM aus dem Internet angesprochen wird, damit der Reverse-Proxy auf diese Anfrage reagiert.

Unter ‘‘‘Externer Domainname:‘‘‘ wird die Domain (ttt-point.de) mit einer zusätzlichen Subdomain (owa) eingetragen, über die der Client auf das OWA zugreifen darf.
Es kann hier auch die öffentliche IP-Adresse eingetragen werden, die der Client aus dem Internet aufruft. Allerdings ist es dann nicht möglich über zusätzliche Subdomains einzelne Server zu unterscheiden.

Im Feld ‘‘‘Modus:‘‘‘ wird hier ‘‘‘HTTPS‘‘‘ und als ‘‘‘SSL-Proxy Port:‘‘‘ 443 ausgewählt.
Im Auswahlfeld ‘‘‘SSL-Zertifikat‘‘‘ wird nun das vorher angelegte Zertifikat ausgewählt.

Mit dem Klick auf die Schaltfläche [[Datei:UTM116_AI_FertigB.png|40px]] wird die Eirichtung mit dem Assistenten abgeschlossen. Der Reverse Proxy ist nun für den Zugriff auf den Exchange Server für OWA eingerichtet.

===ACL Set anpassen===
Um sicher zu gehen das nur auf den OWA zugriffen werden kann und nicht auf die Administrations-Weboberfläche des Exchange ECP muss allerdings noch das ACL Set angepasst werden.

Um dieses zu erreichen müssen wir ein weiteres ACL Set hinzufügen, dass dafür sorgt, dass nur /owa aufgerufen werden kann.

Dazu wird unter Reverse-Proxy der Reiter ‘‘‘ACLSETS‘‘‘ aufgerufen und das angelegte ACL Set ‘‘‘acl-Exchange‘‘‘ bearbeitet.
Es öffnet sich ein Fenster mit einem Eintrag ‘‘‘Typ dstdomain; Argument owa.ttt-point.de‘‘‘

[[Datei: UTM116_AI_ARPaclowaneu.png|200px|thumb|right|Neues ACL für den OWA Filter]]
Mit einem Klick auf die Schaltfläche [[Datei:UTM116_AI_ARPaclhinzB.png|70px]] wird ein neues ACL hinzugefügt.

Als ‘‘‘Typ‘‘‘ wird hier ‘‘‘urlpath_regex‘‘‘ ausgewählt.
Wie der ‘‘‘Typ‘‘‘ des ACL schon sagt, werden hier Reguläre Ausdrücke erwartet. Für den OWA Filter lautet das Argument daher:
^/owa

Mit einem Klick auf die Schaltfläche [[Datei:UTM116_AI_HinzB_(2).png|70px]] wird dieses hinzugefügt.

Abschließend müssen die Einstellungen noch gesichert werden.

===Übersicht===
Die Einstellungen für dieses Szenario müssen dann folgendermaßen aussehen:

[[Datei: UTM116_AI_ARPowa1.png|600px|thumb|center|Servergruppe]]
 
'''Achtung: Für Microsoft Activesync muss bei "Typ" der Wert "Zugangsdaten weiterleiten (client & proxy) ausgewählt werden. Außerdem muss in diesem Fall die Auth auf "auto" stehen.'''
[[Datei: UTM116_AI_ARPowa2.png|600px|thumb|center|ACL Sets]]
[[Datei: UTM116_AI_ARPowa3.png|600px|thumb|center|Sites]]
[[Datei: UTM116_AI_ARPowa4.png|600px|thumb|center|Einstellungen]]

UTM/APP/Reverse Proxy-Exchange v11.7

2017-01-11T12:28:52Z

Dennisp: /* Übersicht */

{{DISPLAYTITLE:Securepoint UTM Reverse-Proxy Exchange}}

Mit dieser Dokumentation zeigen wir, wie der Reverse Proxy eingerichtet werden muss, um aus dem Internet Zugriff auf die „Outlook Web App“ kurz OWA eines Microsoft Exchange Server zu erlauben.

[[Datei:Reverse-Proxy OWA.png|500px|center]]

Voraussetzung dafür ist ein voll funktionsfähiger Exchange Server mit bereits importierten Zertifikaten, bei dem auch schon mit einer [[Howtos-V11/Portweiterleitungen#Portweiterleitung | Portweiterleitung]] das OWA aufgerufen werden konnte.

===Vorbereitungen===
====Zertifikat====
Da das OWA des Exchange nur über eine SSL-Verschlüsselte Verbindung erreichbar ist, wird ein Zertifikat benötigt. Dieses kann über eine öffentliche Zertifizierungsstelle erworben, kann aber auch über die UTM selbst erstellt werden.

Ein wichtiger Punkt bei diesem Zertifikat ist, dass der Common Name mit der externen Domain identisch ist. Wird also vom Client wie in unserem Beispiel die Domain ‘‘‘owa.ttt-point.de‘‘‘ aufgerufen, muss der Name des Zertifikats ebenfalls ‘‘‘owa.ttt-point.de‘‘‘ lauten.
Sind Subdomains vorhanden wie zum Beispiel zusätzlich ‘‘‘web.ttt-point.de‘‘‘, kann auch ein sogenanntes Wildcard Zertifikat erstellt werden. In unserem Beispiel also ‘‘‘*.ttt-point.de‘‘‘.

Die Zertifikatsverwaltung befindet sich im Menü ‘‘‘Authentifizierung‘‘‘, Untermenü ‘‘‘Zertifikate‘‘‘.
Es muss, wenn noch nicht vorhanden, ein ‘‘‘CA‘‘‘ (Certification Authority) erstellt werden und anschließend, basierend auf diesem CA, das Zertifikat für die Domain.
Weitere Informationen zum erstellen von Zertifikaten befinden sich im Wiki [[Zertifikate | Zertifikate]]

====Portfilterregel====
Ein weiterer wichtiger Punkt ist, dass der Zugriff über den Reverse-Proxy auf den Exchange über die Portfilter-Regeln zugelassen werden muss.

Hierbei ist eine Portfilterregel notwendig, die den Zugriff aus dem Internet auf die UTM, also auf das externe Interface für den Dienst ‘‘‘HTTPS‘‘‘ steuert.

[[Datei:UTM116_AI_PFrprulehttps.png|600px|center]]

Zu beachten ist, dass wenn noch Portweiterleitungen zu diesem Exchange Server bestehen, diese deaktiviert bzw. gelöscht werden.

====User Webinterface Port====
[[Datei: UTM116_AI_NSEusrwebport.png|200px|thumb|right|User Webinterface Port]]
In der Werkseinstellung ist der Port 443 schon vom User-Webinterface der UTM belegt. Dieser muss dann auf einen anderen Port umgelegt werden.
Die Einstellungen dazu befinden sich im Menü ‘‘‘Netzwerk‘‘‘, Untermenü ‘‘‘Servereinstellungen‘‘‘ im Abschnitt ‘‘‘Webserver‘‘‘.

===Einrichtung===
Die Einstellungen für den Reverse Proxy befinden sich im Menü Anwendungen unter dem Untermenü Reverse-Proxy.

Mit einem Klick auf die Schaltfläche [[Datei:UTM116_AI_ARPrpassiB.png|120px]] öffnet sich der Assistent.

====Assistent====
[[Datei: UTM116_AI_ARPassiS1.png|200px|thumb|right|Reverse-Proxy Assistent Step 1]]
Im Step 1 wird eingerichtet, welcher Host im internen Netzwerk über welchen Port vom Reverse-Proxy angesprochen werden soll.

Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Auswahlfeld ‘‘‘Zielserver‘‘‘ ausgewählt werden.

[[Datei: UTM116_AI_ARPassiS1nno.png|200px|thumb|right|Reverse-Proxy Assistent Step 1]]
Sollte das nicht der Fall sein, kann über den Auswahlpunkt ‘‘‘Server anlegen‘‘‘ für den Zielserver ein Netzwerkobjekt über den Assistenten angelegt werden.

Da der OWA des Exchange nur über eine Verschlüsselte Verbindung angesprochen werden kann, wird der Port 443 gewählt und der Punkt ‘‘‘SSL benutzen:‘‘‘ aktiviert.

[[Datei: UTM116_AI_ARPassiS2.png|200px|thumb|right|Reverse-Proxy Assistent Step 2]]
Im Step 2 geht es darum, wie die UTM aus dem Internet angesprochen wird, damit der Reverse-Proxy auf diese Anfrage reagiert.

Unter ‘‘‘Externer Domainname:‘‘‘ wird die Domain (ttt-point.de) mit einer zusätzlichen Subdomain (owa) eingetragen, über die der Client auf das OWA zugreifen darf.
Es kann hier auch die öffentliche IP-Adresse eingetragen werden, die der Client aus dem Internet aufruft. Allerdings ist es dann nicht möglich über zusätzliche Subdomains einzelne Server zu unterscheiden.

Im Feld ‘‘‘Modus:‘‘‘ wird hier ‘‘‘HTTPS‘‘‘ und als ‘‘‘SSL-Proxy Port:‘‘‘ 443 ausgewählt.
Im Auswahlfeld ‘‘‘SSL-Zertifikat‘‘‘ wird nun das vorher angelegte Zertifikat ausgewählt.

Mit dem Klick auf die Schaltfläche [[Datei:UTM116_AI_FertigB.png|40px]] wird die Eirichtung mit dem Assistenten abgeschlossen. Der Reverse Proxy ist nun für den Zugriff auf den Exchange Server für OWA eingerichtet.

===ACL Set anpassen===
Um sicher zu gehen das nur auf den OWA zugriffen werden kann und nicht auf die Administrations-Weboberfläche des Exchange ECP muss allerdings noch das ACL Set angepasst werden.

Um dieses zu erreichen müssen wir ein weiteres ACL Set hinzufügen, dass dafür sorgt, dass nur /owa aufgerufen werden kann.

Dazu wird unter Reverse-Proxy der Reiter ‘‘‘ACLSETS‘‘‘ aufgerufen und das angelegte ACL Set ‘‘‘acl-Exchange‘‘‘ bearbeitet.
Es öffnet sich ein Fenster mit einem Eintrag ‘‘‘Typ dstdomain; Argument owa.ttt-point.de‘‘‘

[[Datei: UTM116_AI_ARPaclowaneu.png|200px|thumb|right|Neues ACL für den OWA Filter]]
Mit einem Klick auf die Schaltfläche [[Datei:UTM116_AI_ARPaclhinzB.png|70px]] wird ein neues ACL hinzugefügt.

Als ‘‘‘Typ‘‘‘ wird hier ‘‘‘urlpath_regex‘‘‘ ausgewählt.
Wie der ‘‘‘Typ‘‘‘ des ACL schon sagt, werden hier Reguläre Ausdrücke erwartet. Für den OWA Filter lautet das Argument daher:
^/owa

Mit einem Klick auf die Schaltfläche [[Datei:UTM116_AI_HinzB_(2).png|70px]] wird dieses hinzugefügt.

Abschließend müssen die Einstellungen noch gesichert werden.

===Übersicht===
Die Einstellungen für dieses Szenario müssen dann folgendermaßen aussehen:

[[Datei: UTM116_AI_ARPowa1.png|600px|thumb|center|Servergruppe]]
 
'''Achtung: Für Microsoft Activesync muss bei "Typ" der Wert "Zugangsdaten weiterleiten (client & proxy) ausgewählt werden.'''
[[Datei: UTM116_AI_ARPowa2.png|600px|thumb|center|ACL Sets]]
[[Datei: UTM116_AI_ARPowa3.png|600px|thumb|center|Sites]]
[[Datei: UTM116_AI_ARPowa4.png|600px|thumb|center|Einstellungen]]

UMA/UMA-Mailexport v2.5

2017-01-05T14:48:12Z

Dennisp: /* Einleitung */

== Einleitung ==
In bestimmten Situationen ist es nötig, E-Mails aus dem UMA zu exportieren. Im folgenden werden drei Möglichkeiten aufgezeigt, mit denen Mails aus der UMA exportiert werden können. Wir empfehlen die Export-Variante über IMAP, da diese den größten Funktionsumfang bietet.

=== Export per Userinterface ===
Das Userinterface verfügt über eine Export-Funktion. Hier kann eine spezifische E-Mail aus dem UMA exportiert werden. Die E-Mail befindet sich nach dem Export im EML-Format. Und kann in vielen gängigen E-Mail-Clients geöffnet werden.

=== Export in ein Outlook-Postfach ===
Über das UMA-Outlook-Plugin können ähnlich wie beim Export über das Userinterface Mails exportiert/wiederhergestellt werden. Der Mehrwert bei dieser Variante ist, dass mehrere Mails auf einmal markiert und abgearbeitet werden können.

=== Export über IMAP ===
Der Export über IMAP ist der von uns empfohlene Weg für einen Export der E-Mails. Bei dieser Variante können große E-Mail-Massen oder sogar mehrere Postfächer gleichzeitig exportiert werden. Im folgenden wird über Screenshots beschrieben, welche Einstellungen in einem Outlook 2013 notwendig sind, um das UMA per IMAP einzubinden.

[[Datei:UMA_imap_import_add.jpg|800px|thumb|center|Hinzufügen des Kontos]]
[[Datei:UMA_imap_import_manuell.jpg|800px|thumb|center|Manuelle Konfiguration]]
[[Datei:UMA_imap_import_pop_imap.jpg|800px|thumb|center|Art des Kontos]]
[[Datei:UMA_imap_import_settings.jpg|800px|thumb|center|Einstellungen des Kontos]]
[[Datei:UMA_imap_import_abo.jpg|800px|thumb|center|Ordner-Abos listen]]
[[Datei:UMA_imap_import_abo_final.jpg|800px|thumb|center|Ordner-Abo erstellen]]

UMA/UMA-Mailexport v2.5

2017-01-05T14:41:26Z

Dennisp: /* Export über IMAP */

== Einleitung ==
In bestimmten Situationen ist es nötig, E-Mails aus dem UMA zu exportieren. Im folgenden werden drei Möglichkeiten aufgezeigt, mit denen Mails aus der UMA exportiert werden können.

=== Export per Userinterface ===
Das Userinterface verfügt über eine Export-Funktion. Hier kann eine spezifische E-Mail aus dem UMA exportiert werden. Die E-Mail befindet sich nach dem Export im EML-Format. Und kann in vielen gängigen E-Mail-Clients geöffnet werden.

=== Export in ein Outlook-Postfach ===
Über das UMA-Outlook-Plugin können ähnlich wie beim Export über das Userinterface Mails exportiert/wiederhergestellt werden. Der Mehrwert bei dieser Variante ist, dass mehrere Mails auf einmal markiert und abgearbeitet werden können.

=== Export über IMAP ===
Der Export über IMAP ist der von uns empfohlene Weg für einen Export der E-Mails. Bei dieser Variante können große E-Mail-Massen oder sogar mehrere Postfächer gleichzeitig exportiert werden. Im folgenden wird über Screenshots beschrieben, welche Einstellungen in einem Outlook 2013 notwendig sind, um das UMA per IMAP einzubinden.

[[Datei:UMA_imap_import_add.jpg|800px|thumb|center|Hinzufügen des Kontos]]
[[Datei:UMA_imap_import_manuell.jpg|800px|thumb|center|Manuelle Konfiguration]]
[[Datei:UMA_imap_import_pop_imap.jpg|800px|thumb|center|Art des Kontos]]
[[Datei:UMA_imap_import_settings.jpg|800px|thumb|center|Einstellungen des Kontos]]
[[Datei:UMA_imap_import_abo.jpg|800px|thumb|center|Ordner-Abos listen]]
[[Datei:UMA_imap_import_abo_final.jpg|800px|thumb|center|Ordner-Abo erstellen]]

UMA/UMA-Mailexport v2.5

2017-01-05T14:41:16Z

Dennisp: /* Export über IMAP */

== Einleitung ==
In bestimmten Situationen ist es nötig, E-Mails aus dem UMA zu exportieren. Im folgenden werden drei Möglichkeiten aufgezeigt, mit denen Mails aus der UMA exportiert werden können.

=== Export per Userinterface ===
Das Userinterface verfügt über eine Export-Funktion. Hier kann eine spezifische E-Mail aus dem UMA exportiert werden. Die E-Mail befindet sich nach dem Export im EML-Format. Und kann in vielen gängigen E-Mail-Clients geöffnet werden.

=== Export in ein Outlook-Postfach ===
Über das UMA-Outlook-Plugin können ähnlich wie beim Export über das Userinterface Mails exportiert/wiederhergestellt werden. Der Mehrwert bei dieser Variante ist, dass mehrere Mails auf einmal markiert und abgearbeitet werden können.

=== Export über IMAP ===
Der Export über IMAP ist der von uns empfohlene Weg für einen Export der E-Mails. Bei dieser Variante können große E-Mail-Massen oder sogar mehrere Postfächer gleichzeitig exportiert werden. Im folgenden wird über Screenshots beschrieben, welche Einstellungen in einem Outlook 2013 notwendig sind, um das UMA per IMAP einzubinden.

[[Datei:UMA_imap_import_add.jpg|800px|thumb|center|Hinzufügen des Kontos]]
[[Datei:UMA_imap_import_manuell.jpg|250px|thumb|center|Manuelle Konfiguration]]
[[Datei:UMA_imap_import_pop_imap.jpg|250px|thumb|center|Art des Kontos]]
[[Datei:UMA_imap_import_settings.jpg|250px|thumb|center|Einstellungen des Kontos]]
[[Datei:UMA_imap_import_abo.jpg|250px|thumb|center|Ordner-Abos listen]]
[[Datei:UMA_imap_import_abo_final.jpg|250px|thumb|center|Ordner-Abo erstellen]]

Datei:UMA imap import abo final.jpg

2017-01-05T14:41:05Z

Dennisp:

Datei:UMA imap import abo.jpg

2017-01-05T14:40:58Z

Dennisp:

Datei:UMA imap import settings.jpg

2017-01-05T14:40:52Z

Dennisp:

Datei:UMA imap import pop imap.jpg

2017-01-05T14:40:46Z

Dennisp:

Datei:UMA imap import manuell.jpg

2017-01-05T14:40:39Z

Dennisp:

Datei:UMA imap import add.jpg

2017-01-05T14:40:21Z

Dennisp:

UMA/UMA-Mailexport v2.5

2017-01-05T14:40:13Z

Dennisp: /* Export über IMAP */

== Einleitung ==
In bestimmten Situationen ist es nötig, E-Mails aus dem UMA zu exportieren. Im folgenden werden drei Möglichkeiten aufgezeigt, mit denen Mails aus der UMA exportiert werden können.

=== Export per Userinterface ===
Das Userinterface verfügt über eine Export-Funktion. Hier kann eine spezifische E-Mail aus dem UMA exportiert werden. Die E-Mail befindet sich nach dem Export im EML-Format. Und kann in vielen gängigen E-Mail-Clients geöffnet werden.

=== Export in ein Outlook-Postfach ===
Über das UMA-Outlook-Plugin können ähnlich wie beim Export über das Userinterface Mails exportiert/wiederhergestellt werden. Der Mehrwert bei dieser Variante ist, dass mehrere Mails auf einmal markiert und abgearbeitet werden können.

=== Export über IMAP ===
Der Export über IMAP ist der von uns empfohlene Weg für einen Export der E-Mails. Bei dieser Variante können große E-Mail-Massen oder sogar mehrere Postfächer gleichzeitig exportiert werden. Im folgenden wird über Screenshots beschrieben, welche Einstellungen in einem Outlook 2013 notwendig sind, um das UMA per IMAP einzubinden.

[[Datei:UMA_imap_import_add.jpg|250px|thumb|center|Hinzufügen des Kontos]]
[[Datei:UMA_imap_import_manuell.jpg|250px|thumb|center|Manuelle Konfiguration]]
[[Datei:UMA_imap_import_pop_imap.jpg|250px|thumb|center|Art des Kontos]]
[[Datei:UMA_imap_import_settings.jpg|250px|thumb|center|Einstellungen des Kontos]]
[[Datei:UMA_imap_import_abo.jpg|250px|thumb|center|Ordner-Abos listen]]
[[Datei:UMA_imap_import_abo_final.jpg|250px|thumb|center|Ordner-Abo erstellen]]

UMA/UMA-Mailexport v2.5

2017-01-05T14:38:36Z

Dennisp: Die Seite wurde neu angelegt: „== Einleitung == In bestimmten Situationen ist es nötig, E-Mails aus dem UMA zu exportieren. Im folgenden werden drei Möglichkeiten aufgezeigt, mit denen Ma…“

== Einleitung ==
In bestimmten Situationen ist es nötig, E-Mails aus dem UMA zu exportieren. Im folgenden werden drei Möglichkeiten aufgezeigt, mit denen Mails aus der UMA exportiert werden können.

=== Export per Userinterface ===
Das Userinterface verfügt über eine Export-Funktion. Hier kann eine spezifische E-Mail aus dem UMA exportiert werden. Die E-Mail befindet sich nach dem Export im EML-Format. Und kann in vielen gängigen E-Mail-Clients geöffnet werden.

=== Export in ein Outlook-Postfach ===
Über das UMA-Outlook-Plugin können ähnlich wie beim Export über das Userinterface Mails exportiert/wiederhergestellt werden. Der Mehrwert bei dieser Variante ist, dass mehrere Mails auf einmal markiert und abgearbeitet werden können.

=== Export über IMAP ===
Der Export über IMAP ist der von uns empfohlene Weg für einen Export der E-Mails. Bei dieser Variante können große E-Mail-Massen oder sogar mehrere Postfächer gleichzeitig exportiert werden. Im folgenden wird über Screenshots beschrieben, welche Einstellungen in einem Outlook 2013 notwendig sind, um das UMA per IMAP einzubinden.

[[Datei:UMA_imap_import_add.png|250px|thumb|center|Hinzufügen des Kontos]]
[[Datei:UMA_imap_import_manuell.png|250px|thumb|center|Manuelle Konfiguration]]
[[Datei:UMA_imap_import_pop_imap.png|250px|thumb|center|Art des Kontos]]
[[Datei:UMA_imap_import_settings.png|250px|thumb|center|Einstellungen des Kontos]]
[[Datei:UMA_imap_import_abo.png|250px|thumb|center|Ordner-Abos listen]]
[[Datei:UMA_imap_import_abo_final.png|250px|thumb|center|Ordner-Abo erstellen]]

UTM/APP/Regex

2016-12-19T15:07:32Z

Dennisp: /* HTTP-Proxy: Virenscanner */

= Einleitung =
Bei der Konfiguration der UTM werden gleich an mehreren Stellen '''reguläre Ausdrücke (kurz Regex)''' benötigt. Ein Regex wird dazu verwendet, eine Zeichenkette auf eine bestimmte Zusammensetzung zu prüfen. Im Folgenden wird die Zusammensetzung und die Anwendung von Regexen innerhalb der Securepoint UTMv11 erklärt.

== Zusammensetzung ==
Grundlage dieses Wikis ist der Regex '''//'''. Der erste Slash steht für den Beginn des Regex und der zweite für das Ende des Regex. Innerhalb des Regex werden folgende Zeichen verwendet. 
'''.''' steht für ein beliebiges Zeichen 
'''[abc]''' matcht auf alle Buchstaben in den Klammern: a, b oder c 
'''[^abc]''' matcht auf alle Buchstaben bis: a, b oder c 
'''[a-z]''' matcht auf alle Buchstaben von: a bis z 
'''[a-zA-Z]''' matcht auf alle Buchstaben von: a bis z oder A bis Z 
'''^''' steht für den Beginn einer Zeile 
'''$''' steht für das Ende einer Zeile 
'''\s''' steht für ein Leerzeichen 
'''\''' hebt die Regex-Funktion des nächsten Zeichens auf und "sucht" somit nach dem folgenden Zeichen 
'''\r\n''' ist eine Return oder eine Linefeed (Windows neue Zeile) 
'''*''' wiederholt das vorherige Zeichen beliebig oft - auch 0 Mal 
'''+''' wiederholt das vorherige Zeichen beliebig oft - mindestens 1 Mal 
'''{1}''' steht für das vorherige Zeichen, 1 Mal 
'''{2,4}''' steht für das vorherige Zeichen, 2 bis 4 Mal nacheinander 
'''{3,}''' steht für das vorherige Zeichen, mindestens 3 Mal 
'''[^:]''' steht für alles außer einem Doppelpunkt 
 

== Beispiele ==
=== allgemeiner Regex - einfach ===
Im einfachen Beispiel soll der eingegebene Wert eines Textfeldes geprüft werden. In dem Textfeld soll die Hausnummer eingetragen werden. Durch die vorher definierte Stadt bleiben nur Hausnummern von 1 bis 9 und Adresszusätze von a bis f. 
Der Regex für diesen Fall würde so aussehen: 
'''[1-9][a-f]''' 
Wird der Adresszusatz, also a-f groß geschrieben, würde dieser Regex nicht matchen. Damit groß geschriebene Buchstaben erfasst werden, müsste der Regex so aussehen: 
'''[1-9][A-F]''' 
Um die Groß- UND Kleinschreibung zuzulassen, müsste der Regex so aussehen: 
'''[1-9][a-fA-F]''' 

=== Allgemeiner Regex - fortgeschritten ===
Im fortgeschrittenen Beispiel soll der Regex auf alle zusammenhängenden Wörter matchen, welche auf '''point''' enden. 
checkpoint 
mountpoint 
securepoint 
Ein Regex der auf alle genannten Wörter matcht würde dann theoretisch so aussehen: 
'''.*point''' 
Praktisch würde auch folgendes vom Regex erfasst werden: 
'''das ist kein point''' 
Um das Verhalten zu unterbinden, müsste folgender Regex verwendet werden: 
'''[a-zA-Z]*point'''

=== URL-Regex ===
Im einfachen URL-Beispiel soll auf www.securepoint.de gematcht werden. 
Folgender Regex wäre korrekt: 
'''www\.securepoint\.de''' 
Die beiden Punkte innerhalb der URL stehen bei einem Regex normalerweise für ein beliebiges Zeichen. Am Beispiel der URL soll jedoch auf genau diesen Punkt gematcht werden und nicht auf ein beliebiges Zeichen. Wie oben bereits erwähnt, hebt der Backslash '''\''' die Regex-Funktion des folgenden Zeichen auf. So kann auch auf den Punkt gematcht werden. In einem solchen Fall wird vom "escapen" eines Zeichens gesprochen. 

== Anwendungsbereiche von Regexen ==
=== HTTP-Proxy: Virenscanner ===
Soll beispielsweise die URL '''http://www.securepoint.de/produkte/utm-firewalls.html''' in die Whitelist des Virenscanners aufgenommen werden, ist es sehr wichtig, dass letztendlich '''genau diese''' URL in die Whitelist aufgenommen wird. 
'''Der passende Regex lautet also:''' 
'''http://www\.securepoint\.de/produkte/utm-firewalls\.html'''
 
Alternativ kann auf alle Protokolle gematcht werden. So zu finden in den vordefinierten Ausnahmen des Virenscanners: 
'''Beispiel: ^[^:]*://download\.windowsupdate\.com/'''

 
Eine Sammlung von verschiedenen Virenscanner-Regex-Ausdrücken sind in [[Liste_Virenscanner|diesem Beitrag]] zu finden.

=== HTTP-Proxy: Authentifizierungsausnahmen ===
In den Authentifizierungsausnahmen des Proxy muss das Protokoll nicht angegeben werden. Hier wird einfach die URL ohne Protokoll als Regex angegeben: 
'''Beispiel: www\.securepoint\.de'''

=== HTTP-Proxy: SSL-Interception ===
Bei der SSL-Interception wird das selbe Prinzip wie bei den Authentifizierungsausnahmen angewendet. Die URL wird ohne Protokoll als Regex angegeben. 
'''Beispiel: www\.securepoint\.de''' oder '''.*\.securepoint\.de'''

UTM/APP/Regex

2016-12-19T15:05:46Z

Dennisp:

= Einleitung =
Bei der Konfiguration der UTM werden gleich an mehreren Stellen '''reguläre Ausdrücke (kurz Regex)''' benötigt. Ein Regex wird dazu verwendet, eine Zeichenkette auf eine bestimmte Zusammensetzung zu prüfen. Im Folgenden wird die Zusammensetzung und die Anwendung von Regexen innerhalb der Securepoint UTMv11 erklärt.

== Zusammensetzung ==
Grundlage dieses Wikis ist der Regex '''//'''. Der erste Slash steht für den Beginn des Regex und der zweite für das Ende des Regex. Innerhalb des Regex werden folgende Zeichen verwendet. 
'''.''' steht für ein beliebiges Zeichen 
'''[abc]''' matcht auf alle Buchstaben in den Klammern: a, b oder c 
'''[^abc]''' matcht auf alle Buchstaben bis: a, b oder c 
'''[a-z]''' matcht auf alle Buchstaben von: a bis z 
'''[a-zA-Z]''' matcht auf alle Buchstaben von: a bis z oder A bis Z 
'''^''' steht für den Beginn einer Zeile 
'''$''' steht für das Ende einer Zeile 
'''\s''' steht für ein Leerzeichen 
'''\''' hebt die Regex-Funktion des nächsten Zeichens auf und "sucht" somit nach dem folgenden Zeichen 
'''\r\n''' ist eine Return oder eine Linefeed (Windows neue Zeile) 
'''*''' wiederholt das vorherige Zeichen beliebig oft - auch 0 Mal 
'''+''' wiederholt das vorherige Zeichen beliebig oft - mindestens 1 Mal 
'''{1}''' steht für das vorherige Zeichen, 1 Mal 
'''{2,4}''' steht für das vorherige Zeichen, 2 bis 4 Mal nacheinander 
'''{3,}''' steht für das vorherige Zeichen, mindestens 3 Mal 
'''[^:]''' steht für alles außer einem Doppelpunkt 
 

== Beispiele ==
=== allgemeiner Regex - einfach ===
Im einfachen Beispiel soll der eingegebene Wert eines Textfeldes geprüft werden. In dem Textfeld soll die Hausnummer eingetragen werden. Durch die vorher definierte Stadt bleiben nur Hausnummern von 1 bis 9 und Adresszusätze von a bis f. 
Der Regex für diesen Fall würde so aussehen: 
'''[1-9][a-f]''' 
Wird der Adresszusatz, also a-f groß geschrieben, würde dieser Regex nicht matchen. Damit groß geschriebene Buchstaben erfasst werden, müsste der Regex so aussehen: 
'''[1-9][A-F]''' 
Um die Groß- UND Kleinschreibung zuzulassen, müsste der Regex so aussehen: 
'''[1-9][a-fA-F]''' 

=== Allgemeiner Regex - fortgeschritten ===
Im fortgeschrittenen Beispiel soll der Regex auf alle zusammenhängenden Wörter matchen, welche auf '''point''' enden. 
checkpoint 
mountpoint 
securepoint 
Ein Regex der auf alle genannten Wörter matcht würde dann theoretisch so aussehen: 
'''.*point''' 
Praktisch würde auch folgendes vom Regex erfasst werden: 
'''das ist kein point''' 
Um das Verhalten zu unterbinden, müsste folgender Regex verwendet werden: 
'''[a-zA-Z]*point'''

=== URL-Regex ===
Im einfachen URL-Beispiel soll auf www.securepoint.de gematcht werden. 
Folgender Regex wäre korrekt: 
'''www\.securepoint\.de''' 
Die beiden Punkte innerhalb der URL stehen bei einem Regex normalerweise für ein beliebiges Zeichen. Am Beispiel der URL soll jedoch auf genau diesen Punkt gematcht werden und nicht auf ein beliebiges Zeichen. Wie oben bereits erwähnt, hebt der Backslash '''\''' die Regex-Funktion des folgenden Zeichen auf. So kann auch auf den Punkt gematcht werden. In einem solchen Fall wird vom "escapen" eines Zeichens gesprochen. 

== Anwendungsbereiche von Regexen ==
=== HTTP-Proxy: Virenscanner ===
In der aktuellen UTMv11 gibt es in gleich mehreren Anwendungen die Möglichkeit mit Regexen zu arbeiten. Soll beispielsweise die URL '''http://www.securepoint.de/produkte/utm-firewalls.html''' in die Whitelist des Virenscanners aufgenommen werden, ist es sehr wichtig, dass letztendlich '''genau diese''' URL in die Whitelist aufgenommen wird. 
'''Der passende Regex lautet also:''' 
'''http://www\.securepoint\.de/produkte/utm-firewalls\.html'''
 
Alternativ kann auf alle Protokolle gematcht werden. So zu finden in den vordefinierten Ausnahmen des Virenscanners: 
'''Beispiel: ^[^:]*://download\.windowsupdate\.com/'''

 
Eine Sammlung von verschiedenen Virenscanner-Regex-Ausdrücken sind in [[Liste_Virenscanner|diesem Beitrag]] zu finden.

=== HTTP-Proxy: Authentifizierungsausnahmen ===
In den Authentifizierungsausnahmen des Proxy muss das Protokoll nicht angegeben werden. Hier wird einfach die URL ohne Protokoll als Regex angegeben: 
'''Beispiel: www\.securepoint\.de'''

=== HTTP-Proxy: SSL-Interception ===
Bei der SSL-Interception wird das selbe Prinzip wie bei den Authentifizierungsausnahmen angewendet. Die URL wird ohne Protokoll als Regex angegeben. 
'''Beispiel: www\.securepoint\.de''' oder '''.*\.securepoint\.de'''

UTM/APP/Regex

2016-12-19T15:04:23Z

Dennisp: /* Einleitung */

{{v11}}

[[Kategorie:UTMv11]]

= Einleitung =
Bei der Konfiguration der UTM werden gleich an mehreren Stellen '''reguläre Ausdrücke (kurz Regex)''' benötigt. Ein Regex wird dazu verwendet, eine Zeichenkette auf eine bestimmte Zusammensetzung zu prüfen. Im Folgenden wird die Zusammensetzung und die Anwendung von Regexen innerhalb der Securepoint UTMv11 erklärt.

== Zusammensetzung ==
Grundlage dieses Wikis ist der Regex '''//'''. Der erste Slash steht für den Beginn des Regex und der zweite für das Ende des Regex. Innerhalb des Regex werden folgende Zeichen verwendet. 
'''.''' steht für ein beliebiges Zeichen 
'''[abc]''' matcht auf alle Buchstaben in den Klammern: a, b oder c 
'''[^abc]''' matcht auf alle Buchstaben bis: a, b oder c 
'''[a-z]''' matcht auf alle Buchstaben von: a bis z 
'''[a-zA-Z]''' matcht auf alle Buchstaben von: a bis z oder A bis Z 
'''^''' steht für den Beginn einer Zeile 
'''$''' steht für das Ende einer Zeile 
'''\s''' steht für ein Leerzeichen 
'''\''' hebt die Regex-Funktion des nächsten Zeichens auf und "sucht" somit nach dem folgenden Zeichen 
'''\r\n''' ist eine Return oder eine Linefeed (Windows neue Zeile) 
'''*''' wiederholt das vorherige Zeichen beliebig oft - auch 0 Mal 
'''+''' wiederholt das vorherige Zeichen beliebig oft - mindestens 1 Mal 
'''{1}''' steht für das vorherige Zeichen, 1 Mal 
'''{2,4}''' steht für das vorherige Zeichen, 2 bis 4 Mal nacheinander 
'''{3,}''' steht für das vorherige Zeichen, mindestens 3 Mal 
'''[^:]''' steht für alles außer einem Doppelpunkt 
 

== Beispiele ==
=== allgemeiner Regex - einfach ===
Im einfachen Beispiel soll der eingegebene Wert eines Textfeldes geprüft werden. In dem Textfeld soll die Hausnummer eingetragen werden. Durch die vorher definierte Stadt bleiben nur Hausnummern von 1 bis 9 und Adresszusätze von a bis f. 
Der Regex für diesen Fall würde so aussehen: 
'''[1-9][a-f]''' 
Wird der Adresszusatz, also a-f groß geschrieben, würde dieser Regex nicht matchen. Damit groß geschriebene Buchstaben erfasst werden, müsste der Regex so aussehen: 
'''[1-9][A-F]''' 
Um die Groß- UND Kleinschreibung zuzulassen, müsste der Regex so aussehen: 
'''[1-9][a-fA-F]''' 

=== Allgemeiner Regex - fortgeschritten ===
Im fortgeschrittenen Beispiel soll der Regex auf alle zusammenhängenden Wörter matchen, welche auf '''point''' enden. 
checkpoint 
mountpoint 
securepoint 
Ein Regex der auf alle genannten Wörter matcht würde dann theoretisch so aussehen: 
'''.*point''' 
Praktisch würde auch folgendes vom Regex erfasst werden: 
'''das ist kein point''' 
Um das Verhalten zu unterbinden, müsste folgender Regex verwendet werden: 
'''[a-zA-Z]*point'''

=== URL-Regex ===
Im einfachen URL-Beispiel soll auf www.securepoint.de gematcht werden. 
Folgender Regex wäre korrekt: 
'''www\.securepoint\.de''' 
Die beiden Punkte innerhalb der URL stehen bei einem Regex normalerweise für ein beliebiges Zeichen. Am Beispiel der URL soll jedoch auf genau diesen Punkt gematcht werden und nicht auf ein beliebiges Zeichen. Wie oben bereits erwähnt, hebt der Backslash '''\''' die Regex-Funktion des folgenden Zeichen auf. So kann auch auf den Punkt gematcht werden. In einem solchen Fall wird vom "escapen" eines Zeichens gesprochen. 

== Anwendungsbereiche von Regexen ==
=== HTTP-Proxy: Virenscanner ===
In der aktuellen UTMv11 gibt es in gleich mehreren Anwendungen die Möglichkeit mit Regexen zu arbeiten. Soll beispielsweise die URL '''http://www.securepoint.de/produkte/utm-firewalls.html''' in die Whitelist des Virenscanners aufgenommen werden, ist es sehr wichtig, dass letztendlich '''genau diese''' URL in die Whitelist aufgenommen wird. 
'''Der passende Regex lautet also:''' 
'''http://www\.securepoint\.de/produkte/utm-firewalls\.html'''
 
Alternativ kann auf alle Protokolle gematcht werden. So zu finden in den vordefinierten Ausnahmen des Virenscanners: 
'''Beispiel: ^[^:]*://download\.windowsupdate\.com/'''

 
Eine Sammlung von verschiedenen Virenscanner-Regex-Ausdrücken sind in [[Liste_Virenscanner|diesem Beitrag]] zu finden.

=== HTTP-Proxy: Authentifizierungsausnahmen ===
In den Authentifizierungsausnahmen des Proxy muss das Protokoll nicht angegeben werden. Hier wird einfach die URL ohne Protokoll als Regex angegeben: 
'''Beispiel: www\.securepoint\.de'''

=== HTTP-Proxy: SSL-Interception ===
Bei der SSL-Interception wird das selbe Prinzip wie bei den Authentifizierungsausnahmen angewendet. Die URL wird ohne Protokoll als Regex angegeben. 
'''Beispiel: www\.securepoint\.de''' oder '''.*\.securepoint\.de'''

UTM/APP/Regex

2016-12-19T14:57:42Z

Dennisp: /* HTTP-Proxy: Virenscanner */

{{v11}}

[[Kategorie:UTMv11]]

= Einleitung =
Bei der Konfiguration der UTM stößt man an gleich mehreren Stellen auf die Verwendung von regulären Ausdrücken (Regex). Ein Regex wird dazu verwendet, eine Zeichenkette auf eine bestimmte Zusammensetzung zu prüfen. Im Folgenden wird die Zusammensetzung und die Anwendung von Regexen innerhalb der Securepoint UTMv11 erklärt.

== Zusammensetzung ==
Grundlage dieses Wikis ist der Regex '''//'''. Der erste Slash steht für den Beginn des Regex und der zweite für das Ende des Regex. Innerhalb des Regex werden folgende Zeichen verwendet. 
'''.''' steht für ein beliebiges Zeichen 
'''[abc]''' matcht auf alle Buchstaben in den Klammern: a, b oder c 
'''[^abc]''' matcht auf alle Buchstaben bis: a, b oder c 
'''[a-z]''' matcht auf alle Buchstaben von: a bis z 
'''[a-zA-Z]''' matcht auf alle Buchstaben von: a bis z oder A bis Z 
'''^''' steht für den Beginn einer Zeile 
'''$''' steht für das Ende einer Zeile 
'''\s''' steht für ein Leerzeichen 
'''\''' hebt die Regex-Funktion des nächsten Zeichens auf und "sucht" somit nach dem folgenden Zeichen 
'''\r\n''' ist eine Return oder eine Linefeed (Windows neue Zeile) 
'''*''' wiederholt das vorherige Zeichen beliebig oft - auch 0 Mal 
'''+''' wiederholt das vorherige Zeichen beliebig oft - mindestens 1 Mal 
'''{1}''' steht für das vorherige Zeichen, 1 Mal 
'''{2,4}''' steht für das vorherige Zeichen, 2 bis 4 Mal nacheinander 
'''{3,}''' steht für das vorherige Zeichen, mindestens 3 Mal 
'''[^:]''' steht für alles außer einem Doppelpunkt 
 

== Beispiele ==
=== allgemeiner Regex - einfach ===
Im einfachen Beispiel soll der eingegebene Wert eines Textfeldes geprüft werden. In dem Textfeld soll die Hausnummer eingetragen werden. Durch die vorher definierte Stadt bleiben nur Hausnummern von 1 bis 9 und Adresszusätze von a bis f. 
Der Regex für diesen Fall würde so aussehen: 
'''[1-9][a-f]''' 
Wird der Adresszusatz, also a-f groß geschrieben, würde dieser Regex nicht matchen. Damit groß geschriebene Buchstaben erfasst werden, müsste der Regex so aussehen: 
'''[1-9][A-F]''' 
Um die Groß- UND Kleinschreibung zuzulassen, müsste der Regex so aussehen: 
'''[1-9][a-fA-F]''' 

=== Allgemeiner Regex - fortgeschritten ===
Im fortgeschrittenen Beispiel soll der Regex auf alle zusammenhängenden Wörter matchen, welche auf '''point''' enden. 
checkpoint 
mountpoint 
securepoint 
Ein Regex der auf alle genannten Wörter matcht würde dann theoretisch so aussehen: 
'''.*point''' 
Praktisch würde auch folgendes vom Regex erfasst werden: 
'''das ist kein point''' 
Um das Verhalten zu unterbinden, müsste folgender Regex verwendet werden: 
'''[a-zA-Z]*point'''

=== URL-Regex ===
Im einfachen URL-Beispiel soll auf www.securepoint.de gematcht werden. 
Folgender Regex wäre korrekt: 
'''www\.securepoint\.de''' 
Die beiden Punkte innerhalb der URL stehen bei einem Regex normalerweise für ein beliebiges Zeichen. Am Beispiel der URL soll jedoch auf genau diesen Punkt gematcht werden und nicht auf ein beliebiges Zeichen. Wie oben bereits erwähnt, hebt der Backslash '''\''' die Regex-Funktion des folgenden Zeichen auf. So kann auch auf den Punkt gematcht werden. Man spricht in so einem Fall vom "escapen" eines Zeichens. 

== Anwendungsbereiche von Regexen ==
=== HTTP-Proxy: Virenscanner ===
In der aktuellen UTMv11 gibt es in gleich mehreren Anwendungen die Möglichkeit mit Regexen zu arbeiten. Möchten Sie beispielsweise die URL '''http://www.securepoint.de/produkte/utm-firewalls.html''' in die Whitelist des Virenscanners aufnehmen, ist es sehr wichtig, dass letztendlich genau diese URL in die Whitelist aufgenommen wird. 
'''Der passende Regex lautet also:''' 
'''http://www\.securepoint\.de/produkte/utm-firewalls\.html'''
 
Alternativ kann man auf alle Protokolle gematcht werden. So zu finden in den vordefinierten Ausnahmen des Virenscanners: 
'''Beispiel: ^[^:]*://download\.windowsupdate\.com/'''

 
Eine Sammlung von verschiedenen Virenscanner-Regex-Ausdrücken sind in [[Liste_Virenscanner|diesem Beitrag]] zu finden.

=== HTTP-Proxy: Authentifizierungsausnahmen ===
In den Authentifizierungsausnahmen des Proxy muss das Protokoll nicht angegeben werden. Hier wird einfach die URL ohne Protokoll als Regex angegeben: 
'''Beispiel: www\.securepoint\.de'''

=== HTTP-Proxy: SSL-Interception ===
Bei der SSL-Interception wird das selbe Prinzip wie bei den Authentifizierungsausnahmen angewendet. Die URL wird ohne Protokoll als Regex angegeben. 
'''Beispiel: www\.securepoint\.de''' oder '''.*\.securepoint\.de'''

UTM/APP/Regex

2016-12-19T14:56:12Z

Dennisp: /* HTTP-Proxy: Virenscanner */

{{v11}}

[[Kategorie:UTMv11]]

= Einleitung =
Bei der Konfiguration der UTM stößt man an gleich mehreren Stellen auf die Verwendung von regulären Ausdrücken (Regex). Ein Regex wird dazu verwendet, eine Zeichenkette auf eine bestimmte Zusammensetzung zu prüfen. Im Folgenden wird die Zusammensetzung und die Anwendung von Regexen innerhalb der Securepoint UTMv11 erklärt.

== Zusammensetzung ==
Grundlage dieses Wikis ist der Regex '''//'''. Der erste Slash steht für den Beginn des Regex und der zweite für das Ende des Regex. Innerhalb des Regex werden folgende Zeichen verwendet. 
'''.''' steht für ein beliebiges Zeichen 
'''[abc]''' matcht auf alle Buchstaben in den Klammern: a, b oder c 
'''[^abc]''' matcht auf alle Buchstaben bis: a, b oder c 
'''[a-z]''' matcht auf alle Buchstaben von: a bis z 
'''[a-zA-Z]''' matcht auf alle Buchstaben von: a bis z oder A bis Z 
'''^''' steht für den Beginn einer Zeile 
'''$''' steht für das Ende einer Zeile 
'''\s''' steht für ein Leerzeichen 
'''\''' hebt die Regex-Funktion des nächsten Zeichens auf und "sucht" somit nach dem folgenden Zeichen 
'''\r\n''' ist eine Return oder eine Linefeed (Windows neue Zeile) 
'''*''' wiederholt das vorherige Zeichen beliebig oft - auch 0 Mal 
'''+''' wiederholt das vorherige Zeichen beliebig oft - mindestens 1 Mal 
'''{1}''' steht für das vorherige Zeichen, 1 Mal 
'''{2,4}''' steht für das vorherige Zeichen, 2 bis 4 Mal nacheinander 
'''{3,}''' steht für das vorherige Zeichen, mindestens 3 Mal 
'''[^:]''' steht für alles außer einem Doppelpunkt 
 

== Beispiele ==
=== allgemeiner Regex - einfach ===
Im einfachen Beispiel soll der eingegebene Wert eines Textfeldes geprüft werden. In dem Textfeld soll die Hausnummer eingetragen werden. Durch die vorher definierte Stadt bleiben nur Hausnummern von 1 bis 9 und Adresszusätze von a bis f. 
Der Regex für diesen Fall würde so aussehen: 
'''[1-9][a-f]''' 
Wird der Adresszusatz, also a-f groß geschrieben, würde dieser Regex nicht matchen. Damit groß geschriebene Buchstaben erfasst werden, müsste der Regex so aussehen: 
'''[1-9][A-F]''' 
Um die Groß- UND Kleinschreibung zuzulassen, müsste der Regex so aussehen: 
'''[1-9][a-fA-F]''' 

=== Allgemeiner Regex - fortgeschritten ===
Im fortgeschrittenen Beispiel soll der Regex auf alle zusammenhängenden Wörter matchen, welche auf '''point''' enden. 
checkpoint 
mountpoint 
securepoint 
Ein Regex der auf alle genannten Wörter matcht würde dann theoretisch so aussehen: 
'''.*point''' 
Praktisch würde auch folgendes vom Regex erfasst werden: 
'''das ist kein point''' 
Um das Verhalten zu unterbinden, müsste folgender Regex verwendet werden: 
'''[a-zA-Z]*point'''

=== URL-Regex ===
Im einfachen URL-Beispiel soll auf www.securepoint.de gematcht werden. 
Folgender Regex wäre korrekt: 
'''www\.securepoint\.de''' 
Die beiden Punkte innerhalb der URL stehen bei einem Regex normalerweise für ein beliebiges Zeichen. Am Beispiel der URL soll jedoch auf genau diesen Punkt gematcht werden und nicht auf ein beliebiges Zeichen. Wie oben bereits erwähnt, hebt der Backslash '''\''' die Regex-Funktion des folgenden Zeichen auf. So kann auch auf den Punkt gematcht werden. Man spricht in so einem Fall vom "escapen" eines Zeichens. 

== Anwendungsbereiche von Regexen ==
=== HTTP-Proxy: Virenscanner ===
In der aktuellen UTMv11 gibt es in gleich mehreren Anwendungen die Möglichkeit mit Regexen zu arbeiten. Möchten Sie beispielsweise die URL '''http://www.securepoint.de/produkte/utm-firewalls.html''' in die Whitelist des Virenscanners aufnehmen, ist es sehr wichtig, dass letztendlich genau diese URL in die Whitelist aufgenommen wird. 
'''Der passende Regex lautet also:''' 
'''http://www\.securepoint\.de/produkte/utm-firewalls\.html'''
 
Alternativ kann man auf alle Protokolle gematcht werden. So zu finden in den vordefinierten Ausnahmen des Virenscanners: 
'''Beispiel: ^[^:]*://download\.windowsupdate\.com/'''

 
Eine Sammlung von verschiedenen Regex-Ausdrücken sind in diesem Beitrag zu finden.

=== HTTP-Proxy: Authentifizierungsausnahmen ===
In den Authentifizierungsausnahmen des Proxy muss das Protokoll nicht angegeben werden. Hier wird einfach die URL ohne Protokoll als Regex angegeben: 
'''Beispiel: www\.securepoint\.de'''

=== HTTP-Proxy: SSL-Interception ===
Bei der SSL-Interception wird das selbe Prinzip wie bei den Authentifizierungsausnahmen angewendet. Die URL wird ohne Protokoll als Regex angegeben. 
'''Beispiel: www\.securepoint\.de''' oder '''.*\.securepoint\.de'''

UTM/APP/Regex

2016-12-19T14:54:32Z

Dennisp: /* allgemeiner Regex - fortgeschritten */

{{v11}}

[[Kategorie:UTMv11]]

= Einleitung =
Bei der Konfiguration der UTM stößt man an gleich mehreren Stellen auf die Verwendung von regulären Ausdrücken (Regex). Ein Regex wird dazu verwendet, eine Zeichenkette auf eine bestimmte Zusammensetzung zu prüfen. Im Folgenden wird die Zusammensetzung und die Anwendung von Regexen innerhalb der Securepoint UTMv11 erklärt.

== Zusammensetzung ==
Grundlage dieses Wikis ist der Regex '''//'''. Der erste Slash steht für den Beginn des Regex und der zweite für das Ende des Regex. Innerhalb des Regex werden folgende Zeichen verwendet. 
'''.''' steht für ein beliebiges Zeichen 
'''[abc]''' matcht auf alle Buchstaben in den Klammern: a, b oder c 
'''[^abc]''' matcht auf alle Buchstaben bis: a, b oder c 
'''[a-z]''' matcht auf alle Buchstaben von: a bis z 
'''[a-zA-Z]''' matcht auf alle Buchstaben von: a bis z oder A bis Z 
'''^''' steht für den Beginn einer Zeile 
'''$''' steht für das Ende einer Zeile 
'''\s''' steht für ein Leerzeichen 
'''\''' hebt die Regex-Funktion des nächsten Zeichens auf und "sucht" somit nach dem folgenden Zeichen 
'''\r\n''' ist eine Return oder eine Linefeed (Windows neue Zeile) 
'''*''' wiederholt das vorherige Zeichen beliebig oft - auch 0 Mal 
'''+''' wiederholt das vorherige Zeichen beliebig oft - mindestens 1 Mal 
'''{1}''' steht für das vorherige Zeichen, 1 Mal 
'''{2,4}''' steht für das vorherige Zeichen, 2 bis 4 Mal nacheinander 
'''{3,}''' steht für das vorherige Zeichen, mindestens 3 Mal 
'''[^:]''' steht für alles außer einem Doppelpunkt 
 

== Beispiele ==
=== allgemeiner Regex - einfach ===
Im einfachen Beispiel soll der eingegebene Wert eines Textfeldes geprüft werden. In dem Textfeld soll die Hausnummer eingetragen werden. Durch die vorher definierte Stadt bleiben nur Hausnummern von 1 bis 9 und Adresszusätze von a bis f. 
Der Regex für diesen Fall würde so aussehen: 
'''[1-9][a-f]''' 
Wird der Adresszusatz, also a-f groß geschrieben, würde dieser Regex nicht matchen. Damit groß geschriebene Buchstaben erfasst werden, müsste der Regex so aussehen: 
'''[1-9][A-F]''' 
Um die Groß- UND Kleinschreibung zuzulassen, müsste der Regex so aussehen: 
'''[1-9][a-fA-F]''' 

=== Allgemeiner Regex - fortgeschritten ===
Im fortgeschrittenen Beispiel soll der Regex auf alle zusammenhängenden Wörter matchen, welche auf '''point''' enden. 
checkpoint 
mountpoint 
securepoint 
Ein Regex der auf alle genannten Wörter matcht würde dann theoretisch so aussehen: 
'''.*point''' 
Praktisch würde auch folgendes vom Regex erfasst werden: 
'''das ist kein point''' 
Um das Verhalten zu unterbinden, müsste folgender Regex verwendet werden: 
'''[a-zA-Z]*point'''

=== URL-Regex ===
Im einfachen URL-Beispiel soll auf www.securepoint.de gematcht werden. 
Folgender Regex wäre korrekt: 
'''www\.securepoint\.de''' 
Die beiden Punkte innerhalb der URL stehen bei einem Regex normalerweise für ein beliebiges Zeichen. Am Beispiel der URL soll jedoch auf genau diesen Punkt gematcht werden und nicht auf ein beliebiges Zeichen. Wie oben bereits erwähnt, hebt der Backslash '''\''' die Regex-Funktion des folgenden Zeichen auf. So kann auch auf den Punkt gematcht werden. Man spricht in so einem Fall vom "escapen" eines Zeichens. 

== Anwendungsbereiche von Regexen ==
=== HTTP-Proxy: Virenscanner ===
In der aktuellen UTMv11 gibt es in gleich mehreren Anwendungen die Möglichkeit mit Regexen zu arbeiten. Möchten Sie beispielsweise die URL '''http://www.securepoint.de/produkte/utm-firewalls.html''' in die Whitelist des Virenscanners aufnehmen, ist es sehr wichtig, dass letztendlich genau diese URL in die Whitelist aufgenommen wird. 
'''Der passende Regex lautet also:''' 
'''http://www\.securepoint\.de/produkte/utm-firewalls\.html'''
 
Alternativ kann man auf alle Protokolle gematcht werden. So zu finden in den vordefinierten Ausnahmen des Virenscanners: 
'''Beispiel: ^[^:]*://download\.windowsupdate\.com/'''

=== HTTP-Proxy: Authentifizierungsausnahmen ===
In den Authentifizierungsausnahmen des Proxy muss das Protokoll nicht angegeben werden. Hier wird einfach die URL ohne Protokoll als Regex angegeben: 
'''Beispiel: www\.securepoint\.de'''

=== HTTP-Proxy: SSL-Interception ===
Bei der SSL-Interception wird das selbe Prinzip wie bei den Authentifizierungsausnahmen angewendet. Die URL wird ohne Protokoll als Regex angegeben. 
'''Beispiel: www\.securepoint\.de''' oder '''.*\.securepoint\.de'''

UTM/APP/Regex

2016-12-19T14:53:53Z

Dennisp: /* URL-Regex */

{{v11}}

[[Kategorie:UTMv11]]

= Einleitung =
Bei der Konfiguration der UTM stößt man an gleich mehreren Stellen auf die Verwendung von regulären Ausdrücken (Regex). Ein Regex wird dazu verwendet, eine Zeichenkette auf eine bestimmte Zusammensetzung zu prüfen. Im Folgenden wird die Zusammensetzung und die Anwendung von Regexen innerhalb der Securepoint UTMv11 erklärt.

== Zusammensetzung ==
Grundlage dieses Wikis ist der Regex '''//'''. Der erste Slash steht für den Beginn des Regex und der zweite für das Ende des Regex. Innerhalb des Regex werden folgende Zeichen verwendet. 
'''.''' steht für ein beliebiges Zeichen 
'''[abc]''' matcht auf alle Buchstaben in den Klammern: a, b oder c 
'''[^abc]''' matcht auf alle Buchstaben bis: a, b oder c 
'''[a-z]''' matcht auf alle Buchstaben von: a bis z 
'''[a-zA-Z]''' matcht auf alle Buchstaben von: a bis z oder A bis Z 
'''^''' steht für den Beginn einer Zeile 
'''$''' steht für das Ende einer Zeile 
'''\s''' steht für ein Leerzeichen 
'''\''' hebt die Regex-Funktion des nächsten Zeichens auf und "sucht" somit nach dem folgenden Zeichen 
'''\r\n''' ist eine Return oder eine Linefeed (Windows neue Zeile) 
'''*''' wiederholt das vorherige Zeichen beliebig oft - auch 0 Mal 
'''+''' wiederholt das vorherige Zeichen beliebig oft - mindestens 1 Mal 
'''{1}''' steht für das vorherige Zeichen, 1 Mal 
'''{2,4}''' steht für das vorherige Zeichen, 2 bis 4 Mal nacheinander 
'''{3,}''' steht für das vorherige Zeichen, mindestens 3 Mal 
'''[^:]''' steht für alles außer einem Doppelpunkt 
 

== Beispiele ==
=== allgemeiner Regex - einfach ===
Im einfachen Beispiel soll der eingegebene Wert eines Textfeldes geprüft werden. In dem Textfeld soll die Hausnummer eingetragen werden. Durch die vorher definierte Stadt bleiben nur Hausnummern von 1 bis 9 und Adresszusätze von a bis f. 
Der Regex für diesen Fall würde so aussehen: 
'''[1-9][a-f]''' 
Wird der Adresszusatz, also a-f groß geschrieben, würde dieser Regex nicht matchen. Damit groß geschriebene Buchstaben erfasst werden, müsste der Regex so aussehen: 
'''[1-9][A-F]''' 
Um die Groß- UND Kleinschreibung zuzulassen, müsste der Regex so aussehen: 
'''[1-9][a-fA-F]''' 

=== allgemeiner Regex - fortgeschritten ===
Im fortgeschrittenen Beispiel soll der Regex auf alle zusammenhängenden Wörter matchen, welche auf '''point''' enden. 
checkpoint 
mountpoint 
securepoint 
Ein Regex der auf alle genannten Wörter matcht würde dann theoretisch so aussehen: 
'''.*point''' 
Praktisch würde auch folgendes vom Regex erfasst werden: 
'''das ist kein point''' 
Um das Verhalten zu unterbinden, müsste folgender Regex verwendet werden: 
'''[a-zA-Z]*point'''

=== URL-Regex ===
Im einfachen URL-Beispiel soll auf www.securepoint.de gematcht werden. 
Folgender Regex wäre korrekt: 
'''www\.securepoint\.de''' 
Die beiden Punkte innerhalb der URL stehen bei einem Regex normalerweise für ein beliebiges Zeichen. Am Beispiel der URL soll jedoch auf genau diesen Punkt gematcht werden und nicht auf ein beliebiges Zeichen. Wie oben bereits erwähnt, hebt der Backslash '''\''' die Regex-Funktion des folgenden Zeichen auf. So kann auch auf den Punkt gematcht werden. Man spricht in so einem Fall vom "escapen" eines Zeichens. 

== Anwendungsbereiche von Regexen ==
=== HTTP-Proxy: Virenscanner ===
In der aktuellen UTMv11 gibt es in gleich mehreren Anwendungen die Möglichkeit mit Regexen zu arbeiten. Möchten Sie beispielsweise die URL '''http://www.securepoint.de/produkte/utm-firewalls.html''' in die Whitelist des Virenscanners aufnehmen, ist es sehr wichtig, dass letztendlich genau diese URL in die Whitelist aufgenommen wird. 
'''Der passende Regex lautet also:''' 
'''http://www\.securepoint\.de/produkte/utm-firewalls\.html'''
 
Alternativ kann man auf alle Protokolle gematcht werden. So zu finden in den vordefinierten Ausnahmen des Virenscanners: 
'''Beispiel: ^[^:]*://download\.windowsupdate\.com/'''

=== HTTP-Proxy: Authentifizierungsausnahmen ===
In den Authentifizierungsausnahmen des Proxy muss das Protokoll nicht angegeben werden. Hier wird einfach die URL ohne Protokoll als Regex angegeben: 
'''Beispiel: www\.securepoint\.de'''

=== HTTP-Proxy: SSL-Interception ===
Bei der SSL-Interception wird das selbe Prinzip wie bei den Authentifizierungsausnahmen angewendet. Die URL wird ohne Protokoll als Regex angegeben. 
'''Beispiel: www\.securepoint\.de''' oder '''.*\.securepoint\.de'''

UTM/APP/Regex

2016-12-19T14:53:00Z

Dennisp: /* HTTP-Proxy: Virenscanner */

{{v11}}

[[Kategorie:UTMv11]]

= Einleitung =
Bei der Konfiguration der UTM stößt man an gleich mehreren Stellen auf die Verwendung von regulären Ausdrücken (Regex). Ein Regex wird dazu verwendet, eine Zeichenkette auf eine bestimmte Zusammensetzung zu prüfen. Im Folgenden wird die Zusammensetzung und die Anwendung von Regexen innerhalb der Securepoint UTMv11 erklärt.

== Zusammensetzung ==
Grundlage dieses Wikis ist der Regex '''//'''. Der erste Slash steht für den Beginn des Regex und der zweite für das Ende des Regex. Innerhalb des Regex werden folgende Zeichen verwendet. 
'''.''' steht für ein beliebiges Zeichen 
'''[abc]''' matcht auf alle Buchstaben in den Klammern: a, b oder c 
'''[^abc]''' matcht auf alle Buchstaben bis: a, b oder c 
'''[a-z]''' matcht auf alle Buchstaben von: a bis z 
'''[a-zA-Z]''' matcht auf alle Buchstaben von: a bis z oder A bis Z 
'''^''' steht für den Beginn einer Zeile 
'''$''' steht für das Ende einer Zeile 
'''\s''' steht für ein Leerzeichen 
'''\''' hebt die Regex-Funktion des nächsten Zeichens auf und "sucht" somit nach dem folgenden Zeichen 
'''\r\n''' ist eine Return oder eine Linefeed (Windows neue Zeile) 
'''*''' wiederholt das vorherige Zeichen beliebig oft - auch 0 Mal 
'''+''' wiederholt das vorherige Zeichen beliebig oft - mindestens 1 Mal 
'''{1}''' steht für das vorherige Zeichen, 1 Mal 
'''{2,4}''' steht für das vorherige Zeichen, 2 bis 4 Mal nacheinander 
'''{3,}''' steht für das vorherige Zeichen, mindestens 3 Mal 
'''[^:]''' steht für alles außer einem Doppelpunkt 
 

== Beispiele ==
=== allgemeiner Regex - einfach ===
Im einfachen Beispiel soll der eingegebene Wert eines Textfeldes geprüft werden. In dem Textfeld soll die Hausnummer eingetragen werden. Durch die vorher definierte Stadt bleiben nur Hausnummern von 1 bis 9 und Adresszusätze von a bis f. 
Der Regex für diesen Fall würde so aussehen: 
'''[1-9][a-f]''' 
Wird der Adresszusatz, also a-f groß geschrieben, würde dieser Regex nicht matchen. Damit groß geschriebene Buchstaben erfasst werden, müsste der Regex so aussehen: 
'''[1-9][A-F]''' 
Um die Groß- UND Kleinschreibung zuzulassen, müsste der Regex so aussehen: 
'''[1-9][a-fA-F]''' 

=== allgemeiner Regex - fortgeschritten ===
Im fortgeschrittenen Beispiel soll der Regex auf alle zusammenhängenden Wörter matchen, welche auf '''point''' enden. 
checkpoint 
mountpoint 
securepoint 
Ein Regex der auf alle genannten Wörter matcht würde dann theoretisch so aussehen: 
'''.*point''' 
Praktisch würde auch folgendes vom Regex erfasst werden: 
'''das ist kein point''' 
Um das Verhalten zu unterbinden, müsste folgender Regex verwendet werden: 
'''[a-zA-Z]*point'''

=== URL-Regex ===
Im einfachen URL-Beispiel soll auf www.securepoint.de gematcht werden. 
Folgender Regex wäre korrekt: 
'''www\.securepoint\.de''' 
Warum muss der Regex so aussehen? 
Die beiden Punkte innerhalb der URL stehen bei einem Regex normalerweise für ein beliebiges Zeichen. Am Beispiel der URL soll jedoch auf genau diesen Punkt gematcht werden und nicht auf ein beliebiges Zeichen. Wie oben bereits erwähnt, hebt der Backslash '''\''' die Regex-Funktion des folgenden Zeichen auf. So kann auch auf den Punkt gematcht werden. Man spricht in so einem Fall vom "escapen" eines Zeichens. 

== Anwendungsbereiche von Regexen ==
=== HTTP-Proxy: Virenscanner ===
In der aktuellen UTMv11 gibt es in gleich mehreren Anwendungen die Möglichkeit mit Regexen zu arbeiten. Möchten Sie beispielsweise die URL '''http://www.securepoint.de/produkte/utm-firewalls.html''' in die Whitelist des Virenscanners aufnehmen, ist es sehr wichtig, dass letztendlich genau diese URL in die Whitelist aufgenommen wird. 
'''Der passende Regex lautet also:''' 
'''http://www\.securepoint\.de/produkte/utm-firewalls\.html'''
 
Alternativ kann man auf alle Protokolle gematcht werden. So zu finden in den vordefinierten Ausnahmen des Virenscanners: 
'''Beispiel: ^[^:]*://download\.windowsupdate\.com/'''

=== HTTP-Proxy: Authentifizierungsausnahmen ===
In den Authentifizierungsausnahmen des Proxy muss das Protokoll nicht angegeben werden. Hier wird einfach die URL ohne Protokoll als Regex angegeben: 
'''Beispiel: www\.securepoint\.de'''

=== HTTP-Proxy: SSL-Interception ===
Bei der SSL-Interception wird das selbe Prinzip wie bei den Authentifizierungsausnahmen angewendet. Die URL wird ohne Protokoll als Regex angegeben. 
'''Beispiel: www\.securepoint\.de''' oder '''.*\.securepoint\.de'''

UTM/APP/Regex

2016-12-19T14:52:45Z

Dennisp: /* Anwendungsbereiche von Regexen */

{{v11}}

[[Kategorie:UTMv11]]

= Einleitung =
Bei der Konfiguration der UTM stößt man an gleich mehreren Stellen auf die Verwendung von regulären Ausdrücken (Regex). Ein Regex wird dazu verwendet, eine Zeichenkette auf eine bestimmte Zusammensetzung zu prüfen. Im Folgenden wird die Zusammensetzung und die Anwendung von Regexen innerhalb der Securepoint UTMv11 erklärt.

== Zusammensetzung ==
Grundlage dieses Wikis ist der Regex '''//'''. Der erste Slash steht für den Beginn des Regex und der zweite für das Ende des Regex. Innerhalb des Regex werden folgende Zeichen verwendet. 
'''.''' steht für ein beliebiges Zeichen 
'''[abc]''' matcht auf alle Buchstaben in den Klammern: a, b oder c 
'''[^abc]''' matcht auf alle Buchstaben bis: a, b oder c 
'''[a-z]''' matcht auf alle Buchstaben von: a bis z 
'''[a-zA-Z]''' matcht auf alle Buchstaben von: a bis z oder A bis Z 
'''^''' steht für den Beginn einer Zeile 
'''$''' steht für das Ende einer Zeile 
'''\s''' steht für ein Leerzeichen 
'''\''' hebt die Regex-Funktion des nächsten Zeichens auf und "sucht" somit nach dem folgenden Zeichen 
'''\r\n''' ist eine Return oder eine Linefeed (Windows neue Zeile) 
'''*''' wiederholt das vorherige Zeichen beliebig oft - auch 0 Mal 
'''+''' wiederholt das vorherige Zeichen beliebig oft - mindestens 1 Mal 
'''{1}''' steht für das vorherige Zeichen, 1 Mal 
'''{2,4}''' steht für das vorherige Zeichen, 2 bis 4 Mal nacheinander 
'''{3,}''' steht für das vorherige Zeichen, mindestens 3 Mal 
'''[^:]''' steht für alles außer einem Doppelpunkt 
 

== Beispiele ==
=== allgemeiner Regex - einfach ===
Im einfachen Beispiel soll der eingegebene Wert eines Textfeldes geprüft werden. In dem Textfeld soll die Hausnummer eingetragen werden. Durch die vorher definierte Stadt bleiben nur Hausnummern von 1 bis 9 und Adresszusätze von a bis f. 
Der Regex für diesen Fall würde so aussehen: 
'''[1-9][a-f]''' 
Wird der Adresszusatz, also a-f groß geschrieben, würde dieser Regex nicht matchen. Damit groß geschriebene Buchstaben erfasst werden, müsste der Regex so aussehen: 
'''[1-9][A-F]''' 
Um die Groß- UND Kleinschreibung zuzulassen, müsste der Regex so aussehen: 
'''[1-9][a-fA-F]''' 

=== allgemeiner Regex - fortgeschritten ===
Im fortgeschrittenen Beispiel soll der Regex auf alle zusammenhängenden Wörter matchen, welche auf '''point''' enden. 
checkpoint 
mountpoint 
securepoint 
Ein Regex der auf alle genannten Wörter matcht würde dann theoretisch so aussehen: 
'''.*point''' 
Praktisch würde auch folgendes vom Regex erfasst werden: 
'''das ist kein point''' 
Um das Verhalten zu unterbinden, müsste folgender Regex verwendet werden: 
'''[a-zA-Z]*point'''

=== URL-Regex ===
Im einfachen URL-Beispiel soll auf www.securepoint.de gematcht werden. 
Folgender Regex wäre korrekt: 
'''www\.securepoint\.de''' 
Warum muss der Regex so aussehen? 
Die beiden Punkte innerhalb der URL stehen bei einem Regex normalerweise für ein beliebiges Zeichen. Am Beispiel der URL soll jedoch auf genau diesen Punkt gematcht werden und nicht auf ein beliebiges Zeichen. Wie oben bereits erwähnt, hebt der Backslash '''\''' die Regex-Funktion des folgenden Zeichen auf. So kann auch auf den Punkt gematcht werden. Man spricht in so einem Fall vom "escapen" eines Zeichens. 

== Anwendungsbereiche von Regexen ==
=== HTTP-Proxy: Virenscanner ===
In der aktuellen UTMv11 gibt es in gleich mehreren Anwendungen die Möglichkeit mit Regexen zu arbeiten. Möchten Sie beispielsweise die URL '''http://www.securepoint.de/produkte/utm-firewalls.html''' in die Whitelist des Virenscanners aufnehmen, ist es sehr wichtig, dass letztendlich genau diese URL in die Whitelist aufgenommen wird. 
'''Der passende Regex lautet also:''' 
'''http://www\.securepoint\.de/produkte/utm-firewalls\.html'''
 
Alternativ kann man auf alle Protokolle gematcht werden. So zu finden in den vordefinierten Ausnahmen des Virenscanners: 
'''Beispiel: ^[^:]*://download\.windowsupdate\.com/'''

=== HTTP-Proxy: Authentifizierungsausnahmen ===
In den Authentifizierungsausnahmen des Proxy muss das Protokoll nicht angegeben werden. Hier wird einfach die URL ohne Protokoll als Regex angegeben: 
'''Beispiel: www\.securepoint\.de'''

=== HTTP-Proxy: SSL-Interception ===
Bei der SSL-Interception wird das selbe Prinzip wie bei den Authentifizierungsausnahmen angewendet. Die URL wird ohne Protokoll als Regex angegeben. 
'''Beispiel: www\.securepoint\.de''' oder '''.*\.securepoint\.de'''

UTM/APP/Regex

2016-12-19T14:52:27Z

Dennisp: /* Virenscanner */

{{v11}}

[[Kategorie:UTMv11]]

= Einleitung =
Bei der Konfiguration der UTM stößt man an gleich mehreren Stellen auf die Verwendung von regulären Ausdrücken (Regex). Ein Regex wird dazu verwendet, eine Zeichenkette auf eine bestimmte Zusammensetzung zu prüfen. Im Folgenden wird die Zusammensetzung und die Anwendung von Regexen innerhalb der Securepoint UTMv11 erklärt.

== Zusammensetzung ==
Grundlage dieses Wikis ist der Regex '''//'''. Der erste Slash steht für den Beginn des Regex und der zweite für das Ende des Regex. Innerhalb des Regex werden folgende Zeichen verwendet. 
'''.''' steht für ein beliebiges Zeichen 
'''[abc]''' matcht auf alle Buchstaben in den Klammern: a, b oder c 
'''[^abc]''' matcht auf alle Buchstaben bis: a, b oder c 
'''[a-z]''' matcht auf alle Buchstaben von: a bis z 
'''[a-zA-Z]''' matcht auf alle Buchstaben von: a bis z oder A bis Z 
'''^''' steht für den Beginn einer Zeile 
'''$''' steht für das Ende einer Zeile 
'''\s''' steht für ein Leerzeichen 
'''\''' hebt die Regex-Funktion des nächsten Zeichens auf und "sucht" somit nach dem folgenden Zeichen 
'''\r\n''' ist eine Return oder eine Linefeed (Windows neue Zeile) 
'''*''' wiederholt das vorherige Zeichen beliebig oft - auch 0 Mal 
'''+''' wiederholt das vorherige Zeichen beliebig oft - mindestens 1 Mal 
'''{1}''' steht für das vorherige Zeichen, 1 Mal 
'''{2,4}''' steht für das vorherige Zeichen, 2 bis 4 Mal nacheinander 
'''{3,}''' steht für das vorherige Zeichen, mindestens 3 Mal 
'''[^:]''' steht für alles außer einem Doppelpunkt 
 

== Beispiele ==
=== allgemeiner Regex - einfach ===
Im einfachen Beispiel soll der eingegebene Wert eines Textfeldes geprüft werden. In dem Textfeld soll die Hausnummer eingetragen werden. Durch die vorher definierte Stadt bleiben nur Hausnummern von 1 bis 9 und Adresszusätze von a bis f. 
Der Regex für diesen Fall würde so aussehen: 
'''[1-9][a-f]''' 
Wird der Adresszusatz, also a-f groß geschrieben, würde dieser Regex nicht matchen. Damit groß geschriebene Buchstaben erfasst werden, müsste der Regex so aussehen: 
'''[1-9][A-F]''' 
Um die Groß- UND Kleinschreibung zuzulassen, müsste der Regex so aussehen: 
'''[1-9][a-fA-F]''' 

=== allgemeiner Regex - fortgeschritten ===
Im fortgeschrittenen Beispiel soll der Regex auf alle zusammenhängenden Wörter matchen, welche auf '''point''' enden. 
checkpoint 
mountpoint 
securepoint 
Ein Regex der auf alle genannten Wörter matcht würde dann theoretisch so aussehen: 
'''.*point''' 
Praktisch würde auch folgendes vom Regex erfasst werden: 
'''das ist kein point''' 
Um das Verhalten zu unterbinden, müsste folgender Regex verwendet werden: 
'''[a-zA-Z]*point'''

=== URL-Regex ===
Im einfachen URL-Beispiel soll auf www.securepoint.de gematcht werden. 
Folgender Regex wäre korrekt: 
'''www\.securepoint\.de''' 
Warum muss der Regex so aussehen? 
Die beiden Punkte innerhalb der URL stehen bei einem Regex normalerweise für ein beliebiges Zeichen. Am Beispiel der URL soll jedoch auf genau diesen Punkt gematcht werden und nicht auf ein beliebiges Zeichen. Wie oben bereits erwähnt, hebt der Backslash '''\''' die Regex-Funktion des folgenden Zeichen auf. So kann auch auf den Punkt gematcht werden. Man spricht in so einem Fall vom "escapen" eines Zeichens. 

== Anwendungsbereiche von Regexen ==
=== HTTP-Proxy: Virenscanner ===
In der aktuellen UTMv11 gibt es in gleich mehreren Anwendungen die Möglichkeit mit Regexen zu arbeiten. Möchten Sie beispielsweise die URL '''http://www.securepoint.de/produkte/utm-firewalls.html''' in die Whitelist des Virenscanners aufnehmen, ist es sehr wichtig, dass letztendlich genau diese URL in die Whitelist aufgenommen wird. 
'''Der passende Regex lautet also:''' 
'''http://www\.securepoint\.de/produkte/utm-firewalls\.html'''
 
Alternativ kann man auf alle Protokolle gematcht werden. So zu finden in den vordefinierten Ausnahmen des Virenscanners: 
'''Beispiel: ^[^:]*://download\.windowsupdate\.com/'''

=== Authentifizierungsausnahmen im Proxy ===
In den Authentifizierungsausnahmen des Proxy muss das Protokoll nicht angegeben werden. Hier wird einfach die URL ohne Protokoll als Regex angegeben: 
'''Beispiel: www\.securepoint\.de'''

=== SSL-Interception ===
Bei der SSL-Interception wird das selbe Prinzip wie bei den Authentifizierungsausnahmen angewendet. Die URL wird ohne Protokoll als Regex angegeben. 
'''Beispiel: www\.securepoint\.de''' oder '''.*\.securepoint\.de'''

UTM/APP/Regex

2016-12-19T14:50:45Z

Dennisp: /* URL-Regex */

{{v11}}

[[Kategorie:UTMv11]]

= Einleitung =
Bei der Konfiguration der UTM stößt man an gleich mehreren Stellen auf die Verwendung von regulären Ausdrücken (Regex). Ein Regex wird dazu verwendet, eine Zeichenkette auf eine bestimmte Zusammensetzung zu prüfen. Im Folgenden wird die Zusammensetzung und die Anwendung von Regexen innerhalb der Securepoint UTMv11 erklärt.

== Zusammensetzung ==
Grundlage dieses Wikis ist der Regex '''//'''. Der erste Slash steht für den Beginn des Regex und der zweite für das Ende des Regex. Innerhalb des Regex werden folgende Zeichen verwendet. 
'''.''' steht für ein beliebiges Zeichen 
'''[abc]''' matcht auf alle Buchstaben in den Klammern: a, b oder c 
'''[^abc]''' matcht auf alle Buchstaben bis: a, b oder c 
'''[a-z]''' matcht auf alle Buchstaben von: a bis z 
'''[a-zA-Z]''' matcht auf alle Buchstaben von: a bis z oder A bis Z 
'''^''' steht für den Beginn einer Zeile 
'''$''' steht für das Ende einer Zeile 
'''\s''' steht für ein Leerzeichen 
'''\''' hebt die Regex-Funktion des nächsten Zeichens auf und "sucht" somit nach dem folgenden Zeichen 
'''\r\n''' ist eine Return oder eine Linefeed (Windows neue Zeile) 
'''*''' wiederholt das vorherige Zeichen beliebig oft - auch 0 Mal 
'''+''' wiederholt das vorherige Zeichen beliebig oft - mindestens 1 Mal 
'''{1}''' steht für das vorherige Zeichen, 1 Mal 
'''{2,4}''' steht für das vorherige Zeichen, 2 bis 4 Mal nacheinander 
'''{3,}''' steht für das vorherige Zeichen, mindestens 3 Mal 
'''[^:]''' steht für alles außer einem Doppelpunkt 
 

== Beispiele ==
=== allgemeiner Regex - einfach ===
Im einfachen Beispiel soll der eingegebene Wert eines Textfeldes geprüft werden. In dem Textfeld soll die Hausnummer eingetragen werden. Durch die vorher definierte Stadt bleiben nur Hausnummern von 1 bis 9 und Adresszusätze von a bis f. 
Der Regex für diesen Fall würde so aussehen: 
'''[1-9][a-f]''' 
Wird der Adresszusatz, also a-f groß geschrieben, würde dieser Regex nicht matchen. Damit groß geschriebene Buchstaben erfasst werden, müsste der Regex so aussehen: 
'''[1-9][A-F]''' 
Um die Groß- UND Kleinschreibung zuzulassen, müsste der Regex so aussehen: 
'''[1-9][a-fA-F]''' 

=== allgemeiner Regex - fortgeschritten ===
Im fortgeschrittenen Beispiel soll der Regex auf alle zusammenhängenden Wörter matchen, welche auf '''point''' enden. 
checkpoint 
mountpoint 
securepoint 
Ein Regex der auf alle genannten Wörter matcht würde dann theoretisch so aussehen: 
'''.*point''' 
Praktisch würde auch folgendes vom Regex erfasst werden: 
'''das ist kein point''' 
Um das Verhalten zu unterbinden, müsste folgender Regex verwendet werden: 
'''[a-zA-Z]*point'''

=== URL-Regex ===
Im einfachen URL-Beispiel soll auf www.securepoint.de gematcht werden. 
Folgender Regex wäre korrekt: 
'''www\.securepoint\.de''' 
Warum muss der Regex so aussehen? 
Die beiden Punkte innerhalb der URL stehen bei einem Regex normalerweise für ein beliebiges Zeichen. Am Beispiel der URL soll jedoch auf genau diesen Punkt gematcht werden und nicht auf ein beliebiges Zeichen. Wie oben bereits erwähnt, hebt der Backslash '''\''' die Regex-Funktion des folgenden Zeichen auf. So kann auch auf den Punkt gematcht werden. Man spricht in so einem Fall vom "escapen" eines Zeichens. 

== Anwendungsbereiche von Regexen ==
=== Virenscanner ===
In der aktuellen UTMv11 gibt es in gleich mehreren Anwendungen die Möglichkeit mit Regexen zu arbeiten. Möchten Sie beispielsweise die URL '''http://www.securepoint.de/produkte/utm-firewalls.html''' in die Whitelist des Virenscanners aufnehmen, ist es sehr wichtig, dass letztendlich genau diese URL in die Whitelist aufgenommen wird. 
'''Der passende Regex lautet also:''' 
'''http://www\.securepoint\.de/produkte/utm-firewalls\.html'''
 
Alternativ kann man auf alle Protokolle gematcht werden. So zu finden in den vordefinierten Ausnahmen des Virenscanners: 
'''Beispiel: ^[^:]*://download\.windowsupdate\.com/'''

=== Authentifizierungsausnahmen im Proxy ===
In den Authentifizierungsausnahmen des Proxy muss das Protokoll nicht angegeben werden. Hier wird einfach die URL ohne Protokoll als Regex angegeben: 
'''Beispiel: www\.securepoint\.de'''

=== SSL-Interception ===
Bei der SSL-Interception wird das selbe Prinzip wie bei den Authentifizierungsausnahmen angewendet. Die URL wird ohne Protokoll als Regex angegeben. 
'''Beispiel: www\.securepoint\.de''' oder '''.*\.securepoint\.de'''

UTM/APP/Regex

2016-12-19T14:50:31Z

Dennisp: /* allgemeiner Regex - einfach */

{{v11}}

[[Kategorie:UTMv11]]

= Einleitung =
Bei der Konfiguration der UTM stößt man an gleich mehreren Stellen auf die Verwendung von regulären Ausdrücken (Regex). Ein Regex wird dazu verwendet, eine Zeichenkette auf eine bestimmte Zusammensetzung zu prüfen. Im Folgenden wird die Zusammensetzung und die Anwendung von Regexen innerhalb der Securepoint UTMv11 erklärt.

== Zusammensetzung ==
Grundlage dieses Wikis ist der Regex '''//'''. Der erste Slash steht für den Beginn des Regex und der zweite für das Ende des Regex. Innerhalb des Regex werden folgende Zeichen verwendet. 
'''.''' steht für ein beliebiges Zeichen 
'''[abc]''' matcht auf alle Buchstaben in den Klammern: a, b oder c 
'''[^abc]''' matcht auf alle Buchstaben bis: a, b oder c 
'''[a-z]''' matcht auf alle Buchstaben von: a bis z 
'''[a-zA-Z]''' matcht auf alle Buchstaben von: a bis z oder A bis Z 
'''^''' steht für den Beginn einer Zeile 
'''$''' steht für das Ende einer Zeile 
'''\s''' steht für ein Leerzeichen 
'''\''' hebt die Regex-Funktion des nächsten Zeichens auf und "sucht" somit nach dem folgenden Zeichen 
'''\r\n''' ist eine Return oder eine Linefeed (Windows neue Zeile) 
'''*''' wiederholt das vorherige Zeichen beliebig oft - auch 0 Mal 
'''+''' wiederholt das vorherige Zeichen beliebig oft - mindestens 1 Mal 
'''{1}''' steht für das vorherige Zeichen, 1 Mal 
'''{2,4}''' steht für das vorherige Zeichen, 2 bis 4 Mal nacheinander 
'''{3,}''' steht für das vorherige Zeichen, mindestens 3 Mal 
'''[^:]''' steht für alles außer einem Doppelpunkt 
 

== Beispiele ==
=== allgemeiner Regex - einfach ===
Im einfachen Beispiel soll der eingegebene Wert eines Textfeldes geprüft werden. In dem Textfeld soll die Hausnummer eingetragen werden. Durch die vorher definierte Stadt bleiben nur Hausnummern von 1 bis 9 und Adresszusätze von a bis f. 
Der Regex für diesen Fall würde so aussehen: 
'''[1-9][a-f]''' 
Wird der Adresszusatz, also a-f groß geschrieben, würde dieser Regex nicht matchen. Damit groß geschriebene Buchstaben erfasst werden, müsste der Regex so aussehen: 
'''[1-9][A-F]''' 
Um die Groß- UND Kleinschreibung zuzulassen, müsste der Regex so aussehen: 
'''[1-9][a-fA-F]''' 

=== allgemeiner Regex - fortgeschritten ===
Im fortgeschrittenen Beispiel soll der Regex auf alle zusammenhängenden Wörter matchen, welche auf '''point''' enden. 
checkpoint 
mountpoint 
securepoint 
Ein Regex der auf alle genannten Wörter matcht würde dann theoretisch so aussehen: 
'''.*point''' 
Praktisch würde auch folgendes vom Regex erfasst werden: 
'''das ist kein point''' 
Um das Verhalten zu unterbinden, müsste folgender Regex verwendet werden: 
'''[a-zA-Z]*point'''

=== URL-Regex ===
Im einfachen URL-Beispiel soll auf www.securepoint.de gematcht werden. 
Folgender Regex wäre korrekt: 
'''www\.securepoint\.de''' 
Warum muss der Regex so aussehen? 
Die beiden Punkte innerhalb der URL stehen bei einem Regex normalerweise für ein beliebiges Zeichen. Am Beispiel der URL soll jedoch auf genau diesen Punkt gematcht werden und nicht auf ein beliebiges Zeichen. Wie oben bereits erwähnt, hebt der Backslash '''\''' die Regex-Funktion des folgenden Zeichen auf. So kann auch auf den Punkt gematcht werden. Man spricht in so einem Fall vom "escapen" eines Zeichens. 

== Anwendungsbereiche von Regexen ==
=== Virenscanner ===
In der aktuellen UTMv11 gibt es in gleich mehreren Anwendungen die Möglichkeit mit Regexen zu arbeiten. Möchten Sie beispielsweise die URL '''http://www.securepoint.de/produkte/utm-firewalls.html''' in die Whitelist des Virenscanners aufnehmen, ist es sehr wichtig, dass letztendlich genau diese URL in die Whitelist aufgenommen wird. 
'''Der passende Regex lautet also:''' 
'''http://www\.securepoint\.de/produkte/utm-firewalls\.html'''
 
Alternativ kann man auf alle Protokolle gematcht werden. So zu finden in den vordefinierten Ausnahmen des Virenscanners: 
'''Beispiel: ^[^:]*://download\.windowsupdate\.com/'''

=== Authentifizierungsausnahmen im Proxy ===
In den Authentifizierungsausnahmen des Proxy muss das Protokoll nicht angegeben werden. Hier wird einfach die URL ohne Protokoll als Regex angegeben: 
'''Beispiel: www\.securepoint\.de'''

=== SSL-Interception ===
Bei der SSL-Interception wird das selbe Prinzip wie bei den Authentifizierungsausnahmen angewendet. Die URL wird ohne Protokoll als Regex angegeben. 
'''Beispiel: www\.securepoint\.de''' oder '''.*\.securepoint\.de'''

UTM/APP/Regex

2016-12-19T14:50:14Z

Dennisp: /* allgemeiner Regex - fortgeschritten */

{{v11}}

[[Kategorie:UTMv11]]

= Einleitung =
Bei der Konfiguration der UTM stößt man an gleich mehreren Stellen auf die Verwendung von regulären Ausdrücken (Regex). Ein Regex wird dazu verwendet, eine Zeichenkette auf eine bestimmte Zusammensetzung zu prüfen. Im Folgenden wird die Zusammensetzung und die Anwendung von Regexen innerhalb der Securepoint UTMv11 erklärt.

== Zusammensetzung ==
Grundlage dieses Wikis ist der Regex '''//'''. Der erste Slash steht für den Beginn des Regex und der zweite für das Ende des Regex. Innerhalb des Regex werden folgende Zeichen verwendet. 
'''.''' steht für ein beliebiges Zeichen 
'''[abc]''' matcht auf alle Buchstaben in den Klammern: a, b oder c 
'''[^abc]''' matcht auf alle Buchstaben bis: a, b oder c 
'''[a-z]''' matcht auf alle Buchstaben von: a bis z 
'''[a-zA-Z]''' matcht auf alle Buchstaben von: a bis z oder A bis Z 
'''^''' steht für den Beginn einer Zeile 
'''$''' steht für das Ende einer Zeile 
'''\s''' steht für ein Leerzeichen 
'''\''' hebt die Regex-Funktion des nächsten Zeichens auf und "sucht" somit nach dem folgenden Zeichen 
'''\r\n''' ist eine Return oder eine Linefeed (Windows neue Zeile) 
'''*''' wiederholt das vorherige Zeichen beliebig oft - auch 0 Mal 
'''+''' wiederholt das vorherige Zeichen beliebig oft - mindestens 1 Mal 
'''{1}''' steht für das vorherige Zeichen, 1 Mal 
'''{2,4}''' steht für das vorherige Zeichen, 2 bis 4 Mal nacheinander 
'''{3,}''' steht für das vorherige Zeichen, mindestens 3 Mal 
'''[^:]''' steht für alles außer einem Doppelpunkt 
 

== Beispiele ==
=== allgemeiner Regex - einfach ===
Im einfachen Beispiel soll der eingegebene Wert eines Textfeldes geprüft werden. In dem Textfeld soll die Hausnummer eingetragen werden. Durch die vorher definierte Stadt bleiben nur Hausnummern von 1 bis 9 und Adresszusätze von a bis f. 
Der Regex für diesen Fall würde so aussehen: 
'''[1-9][a-f]''' 
Wird der Adresszusatz, also a-f groß geschrieben, würde dieser Regex nicht matchen. Damit groß geschriebene Buchstaben erfasst werden, müsste der Regex so aussehen: 
'''[1-9][A-F]''' 
Um die Groß- UND Kleinschreibung zuzulassen, müsste der Regex so aussehen: 
'''[1-9][a-fA-F]''' 

=== allgemeiner Regex - fortgeschritten ===
Im fortgeschrittenen Beispiel soll der Regex auf alle zusammenhängenden Wörter matchen, welche auf '''point''' enden. 
checkpoint 
mountpoint 
securepoint 
Ein Regex der auf alle genannten Wörter matcht würde dann theoretisch so aussehen: 
'''.*point''' 
Praktisch würde auch folgendes vom Regex erfasst werden: 
'''das ist kein point''' 
Um das Verhalten zu unterbinden, müsste folgender Regex verwendet werden: 
'''[a-zA-Z]*point'''

=== URL-Regex ===
Im einfachen URL-Beispiel soll auf www.securepoint.de gematcht werden. 
Folgender Regex wäre korrekt: 
'''www\.securepoint\.de''' 
Warum muss der Regex so aussehen? 
Die beiden Punkte innerhalb der URL stehen bei einem Regex normalerweise für ein beliebiges Zeichen. Am Beispiel der URL soll jedoch auf genau diesen Punkt gematcht werden und nicht auf ein beliebiges Zeichen. Wie oben bereits erwähnt, hebt der Backslash '''\''' die Regex-Funktion des folgenden Zeichen auf. So kann auch auf den Punkt gematcht werden. Man spricht in so einem Fall vom "escapen" eines Zeichens. 

== Anwendungsbereiche von Regexen ==
=== Virenscanner ===
In der aktuellen UTMv11 gibt es in gleich mehreren Anwendungen die Möglichkeit mit Regexen zu arbeiten. Möchten Sie beispielsweise die URL '''http://www.securepoint.de/produkte/utm-firewalls.html''' in die Whitelist des Virenscanners aufnehmen, ist es sehr wichtig, dass letztendlich genau diese URL in die Whitelist aufgenommen wird. 
'''Der passende Regex lautet also:''' 
'''http://www\.securepoint\.de/produkte/utm-firewalls\.html'''
 
Alternativ kann man auf alle Protokolle gematcht werden. So zu finden in den vordefinierten Ausnahmen des Virenscanners: 
'''Beispiel: ^[^:]*://download\.windowsupdate\.com/'''

=== Authentifizierungsausnahmen im Proxy ===
In den Authentifizierungsausnahmen des Proxy muss das Protokoll nicht angegeben werden. Hier wird einfach die URL ohne Protokoll als Regex angegeben: 
'''Beispiel: www\.securepoint\.de'''

=== SSL-Interception ===
Bei der SSL-Interception wird das selbe Prinzip wie bei den Authentifizierungsausnahmen angewendet. Die URL wird ohne Protokoll als Regex angegeben. 
'''Beispiel: www\.securepoint\.de''' oder '''.*\.securepoint\.de'''

UTM/APP/Regex

2016-12-19T14:50:02Z

Dennisp: /* allgemeiner Regex - fortgeschritten */

{{v11}}

[[Kategorie:UTMv11]]

= Einleitung =
Bei der Konfiguration der UTM stößt man an gleich mehreren Stellen auf die Verwendung von regulären Ausdrücken (Regex). Ein Regex wird dazu verwendet, eine Zeichenkette auf eine bestimmte Zusammensetzung zu prüfen. Im Folgenden wird die Zusammensetzung und die Anwendung von Regexen innerhalb der Securepoint UTMv11 erklärt.

== Zusammensetzung ==
Grundlage dieses Wikis ist der Regex '''//'''. Der erste Slash steht für den Beginn des Regex und der zweite für das Ende des Regex. Innerhalb des Regex werden folgende Zeichen verwendet. 
'''.''' steht für ein beliebiges Zeichen 
'''[abc]''' matcht auf alle Buchstaben in den Klammern: a, b oder c 
'''[^abc]''' matcht auf alle Buchstaben bis: a, b oder c 
'''[a-z]''' matcht auf alle Buchstaben von: a bis z 
'''[a-zA-Z]''' matcht auf alle Buchstaben von: a bis z oder A bis Z 
'''^''' steht für den Beginn einer Zeile 
'''$''' steht für das Ende einer Zeile 
'''\s''' steht für ein Leerzeichen 
'''\''' hebt die Regex-Funktion des nächsten Zeichens auf und "sucht" somit nach dem folgenden Zeichen 
'''\r\n''' ist eine Return oder eine Linefeed (Windows neue Zeile) 
'''*''' wiederholt das vorherige Zeichen beliebig oft - auch 0 Mal 
'''+''' wiederholt das vorherige Zeichen beliebig oft - mindestens 1 Mal 
'''{1}''' steht für das vorherige Zeichen, 1 Mal 
'''{2,4}''' steht für das vorherige Zeichen, 2 bis 4 Mal nacheinander 
'''{3,}''' steht für das vorherige Zeichen, mindestens 3 Mal 
'''[^:]''' steht für alles außer einem Doppelpunkt 
 

== Beispiele ==
=== allgemeiner Regex - einfach ===
Im einfachen Beispiel soll der eingegebene Wert eines Textfeldes geprüft werden. In dem Textfeld soll die Hausnummer eingetragen werden. Durch die vorher definierte Stadt bleiben nur Hausnummern von 1 bis 9 und Adresszusätze von a bis f. 
Der Regex für diesen Fall würde so aussehen: 
'''[1-9][a-f]''' 
Wird der Adresszusatz, also a-f groß geschrieben, würde dieser Regex nicht matchen. Damit groß geschriebene Buchstaben erfasst werden, müsste der Regex so aussehen: 
'''[1-9][A-F]''' 
Um die Groß- UND Kleinschreibung zuzulassen, müsste der Regex so aussehen: 
'''[1-9][a-fA-F]''' 

=== allgemeiner Regex - fortgeschritten ===
Im fortgeschrittenen Beispiel soll der Regex auf alle zusammenhängenden Wörter matchen, welche auf '''point''' enden. 
checkpoint 
mountpoint 
securepoint 
Ein Regex der auf alle genannten Wörter matcht würde dann theoretisch so aussehen: 
'''.*point''' 
Praktisch würde auch folgendes vom Regex erfasst werden: 
'''das ist kein point''' 
Um das Verhalten zu unterbinden, müsste folgender Regex verwendet werden: 
'''[a-zA-Z]*point'''

=== URL-Regex ===
Im einfachen URL-Beispiel soll auf www.securepoint.de gematcht werden. 
Folgender Regex wäre korrekt: 
'''www\.securepoint\.de''' 
Warum muss der Regex so aussehen? 
Die beiden Punkte innerhalb der URL stehen bei einem Regex normalerweise für ein beliebiges Zeichen. Am Beispiel der URL soll jedoch auf genau diesen Punkt gematcht werden und nicht auf ein beliebiges Zeichen. Wie oben bereits erwähnt, hebt der Backslash '''\''' die Regex-Funktion des folgenden Zeichen auf. So kann auch auf den Punkt gematcht werden. Man spricht in so einem Fall vom "escapen" eines Zeichens. 

== Anwendungsbereiche von Regexen ==
=== Virenscanner ===
In der aktuellen UTMv11 gibt es in gleich mehreren Anwendungen die Möglichkeit mit Regexen zu arbeiten. Möchten Sie beispielsweise die URL '''http://www.securepoint.de/produkte/utm-firewalls.html''' in die Whitelist des Virenscanners aufnehmen, ist es sehr wichtig, dass letztendlich genau diese URL in die Whitelist aufgenommen wird. 
'''Der passende Regex lautet also:''' 
'''http://www\.securepoint\.de/produkte/utm-firewalls\.html'''
 
Alternativ kann man auf alle Protokolle gematcht werden. So zu finden in den vordefinierten Ausnahmen des Virenscanners: 
'''Beispiel: ^[^:]*://download\.windowsupdate\.com/'''

=== Authentifizierungsausnahmen im Proxy ===
In den Authentifizierungsausnahmen des Proxy muss das Protokoll nicht angegeben werden. Hier wird einfach die URL ohne Protokoll als Regex angegeben: 
'''Beispiel: www\.securepoint\.de'''

=== SSL-Interception ===
Bei der SSL-Interception wird das selbe Prinzip wie bei den Authentifizierungsausnahmen angewendet. Die URL wird ohne Protokoll als Regex angegeben. 
'''Beispiel: www\.securepoint\.de''' oder '''.*\.securepoint\.de'''

UTM/APP/Regex

2016-12-19T14:49:37Z

Dennisp: /* Zusammensetzung */

{{v11}}

[[Kategorie:UTMv11]]

= Einleitung =
Bei der Konfiguration der UTM stößt man an gleich mehreren Stellen auf die Verwendung von regulären Ausdrücken (Regex). Ein Regex wird dazu verwendet, eine Zeichenkette auf eine bestimmte Zusammensetzung zu prüfen. Im Folgenden wird die Zusammensetzung und die Anwendung von Regexen innerhalb der Securepoint UTMv11 erklärt.

== Zusammensetzung ==
Grundlage dieses Wikis ist der Regex '''//'''. Der erste Slash steht für den Beginn des Regex und der zweite für das Ende des Regex. Innerhalb des Regex werden folgende Zeichen verwendet. 
'''.''' steht für ein beliebiges Zeichen 
'''[abc]''' matcht auf alle Buchstaben in den Klammern: a, b oder c 
'''[^abc]''' matcht auf alle Buchstaben bis: a, b oder c 
'''[a-z]''' matcht auf alle Buchstaben von: a bis z 
'''[a-zA-Z]''' matcht auf alle Buchstaben von: a bis z oder A bis Z 
'''^''' steht für den Beginn einer Zeile 
'''$''' steht für das Ende einer Zeile 
'''\s''' steht für ein Leerzeichen 
'''\''' hebt die Regex-Funktion des nächsten Zeichens auf und "sucht" somit nach dem folgenden Zeichen 
'''\r\n''' ist eine Return oder eine Linefeed (Windows neue Zeile) 
'''*''' wiederholt das vorherige Zeichen beliebig oft - auch 0 Mal 
'''+''' wiederholt das vorherige Zeichen beliebig oft - mindestens 1 Mal 
'''{1}''' steht für das vorherige Zeichen, 1 Mal 
'''{2,4}''' steht für das vorherige Zeichen, 2 bis 4 Mal nacheinander 
'''{3,}''' steht für das vorherige Zeichen, mindestens 3 Mal 
'''[^:]''' steht für alles außer einem Doppelpunkt 
 

== Beispiele ==
=== allgemeiner Regex - einfach ===
Im einfachen Beispiel soll der eingegebene Wert eines Textfeldes geprüft werden. In dem Textfeld soll die Hausnummer eingetragen werden. Durch die vorher definierte Stadt bleiben nur Hausnummern von 1 bis 9 und Adresszusätze von a bis f. 
Der Regex für diesen Fall würde so aussehen: 
'''[1-9][a-f]''' 
Wird der Adresszusatz, also a-f groß geschrieben, würde dieser Regex nicht matchen. Damit groß geschriebene Buchstaben erfasst werden, müsste der Regex so aussehen: 
'''[1-9][A-F]''' 
Um die Groß- UND Kleinschreibung zuzulassen, müsste der Regex so aussehen: 
'''[1-9][a-fA-F]''' 

=== allgemeiner Regex - fortgeschritten ===
Im fortgeschrittenen Beispiel soll der Regex auf alle zusammenhängenden Wörter matchen, welche auf '''point''' enden. 
checkpoint 
mountpoint 
securepoint 
Ein Regex der auf alle genannten Wörter matcht würde dann theoretisch so aussehen: 
'''.*point''' 
Praktisch würde auch folgendes vom Regex erfasst werden: 
'''das ist kein point''' 
Um das Verhalten zu unterbinden, müsste folgender Regex verwendet werden: 
'''[a-zA-Z]*point'''

=== URL-Regex ===
Im einfachen URL-Beispiel soll auf www.securepoint.de gematcht werden. 
Folgender Regex wäre korrekt: 
'''www\.securepoint\.de''' 
Warum muss der Regex so aussehen? 
Die beiden Punkte innerhalb der URL stehen bei einem Regex normalerweise für ein beliebiges Zeichen. Am Beispiel der URL soll jedoch auf genau diesen Punkt gematcht werden und nicht auf ein beliebiges Zeichen. Wie oben bereits erwähnt, hebt der Backslash '''\''' die Regex-Funktion des folgenden Zeichen auf. So kann auch auf den Punkt gematcht werden. Man spricht in so einem Fall vom "escapen" eines Zeichens. 

== Anwendungsbereiche von Regexen ==
=== Virenscanner ===
In der aktuellen UTMv11 gibt es in gleich mehreren Anwendungen die Möglichkeit mit Regexen zu arbeiten. Möchten Sie beispielsweise die URL '''http://www.securepoint.de/produkte/utm-firewalls.html''' in die Whitelist des Virenscanners aufnehmen, ist es sehr wichtig, dass letztendlich genau diese URL in die Whitelist aufgenommen wird. 
'''Der passende Regex lautet also:''' 
'''http://www\.securepoint\.de/produkte/utm-firewalls\.html'''
 
Alternativ kann man auf alle Protokolle gematcht werden. So zu finden in den vordefinierten Ausnahmen des Virenscanners: 
'''Beispiel: ^[^:]*://download\.windowsupdate\.com/'''

=== Authentifizierungsausnahmen im Proxy ===
In den Authentifizierungsausnahmen des Proxy muss das Protokoll nicht angegeben werden. Hier wird einfach die URL ohne Protokoll als Regex angegeben: 
'''Beispiel: www\.securepoint\.de'''

=== SSL-Interception ===
Bei der SSL-Interception wird das selbe Prinzip wie bei den Authentifizierungsausnahmen angewendet. Die URL wird ohne Protokoll als Regex angegeben. 
'''Beispiel: www\.securepoint\.de''' oder '''.*\.securepoint\.de'''

UTM/APP/Regex

2016-12-19T14:48:25Z

Dennisp:

{{v11}}

[[Kategorie:UTMv11]]

= Einleitung =
Bei der Konfiguration der UTM stößt man an gleich mehreren Stellen auf die Verwendung von regulären Ausdrücken (Regex). Ein Regex wird dazu verwendet, eine Zeichenkette auf eine bestimmte Zusammensetzung zu prüfen. Im Folgenden wird die Zusammensetzung und die Anwendung von Regexen innerhalb der Securepoint UTMv11 erklärt.

== Zusammensetzung ==
Grundlage dieses Wikis ist der Regex '''//'''. Der erste Slash steht für den Beginn des Regex und der zweite für das Ende des Regex. Innerhalb des Regex werden folgende Zeichen verwendet. 
'''.''' steht für ein beliebiges Zeichen 
'''[abc]''' matcht auf alle Buchstaben in den Klammern: a, b oder c 
'''[^abc]''' matcht auf alle Buchstaben bis: a, b oder c 
'''[a-z]''' matcht auf alle Buchstaben von: a bis z 
'''[a-zA-Z]''' matcht auf alle Buchstaben von: a bis z oder A bis Z 
'''^''' steht für den Beginn einer Zeile 
'''$''' steht für das Ende einer Zeile 
'''\s''' steht für ein Leerzeichen 
'''\''' hebt die Regex-Funktion des nächsten Zeichens auf und "sucht" somit nach dem folgenden Zeichen 
'''\r\n''' ist eine Return oder eine Linefeed (Windows neue Zeile) 
'''*''' wiederholt das vorherige Zeichen beliebig oft - auch 0 Mal 
'''+''' wiederholt das vorherige Zeichen beliebig oft - mindestens 1 Mal 
'''{1}''' steht für das vorherige Zeichen, 1 Mal 
'''{2,4}''' steht für das vorherige Zeichen, 2 bis 4 Mal nacheinander 
'''{3,}''' steht für das vorherige Zeichen, mindestens 3 Mal 
'''[^:]''' steht für alles außer einem Doppelpunkt 
 
== Beispiele ==
=== allgemeiner Regex - einfach ===
Im einfachen Beispiel soll der eingegebene Wert eines Textfeldes geprüft werden. In dem Textfeld soll die Hausnummer eingetragen werden. Durch die vorher definierte Stadt bleiben nur Hausnummern von 1 bis 9 und Adresszusätze von a bis f. 
Der Regex für diesen Fall würde so aussehen: 
'''[1-9][a-f]''' 
Wird der Adresszusatz, also a-f groß geschrieben, würde dieser Regex nicht matchen. Damit groß geschriebene Buchstaben erfasst werden, müsste der Regex so aussehen: 
'''[1-9][A-F]''' 
Um die Groß- UND Kleinschreibung zuzulassen, müsste der Regex so aussehen: 
'''[1-9][a-fA-F]''' 

=== allgemeiner Regex - fortgeschritten ===
Im fortgeschrittenen Beispiel soll der Regex auf alle zusammenhängenden Wörter matchen, welche auf '''point''' enden. 
checkpoint 
mountpoint 
securepoint 
Ein Regex der auf alle genannten Wörter matcht würde dann theoretisch so aussehen: 
'''.*point''' 
Praktisch würde auch folgendes vom Regex erfasst werden: 
'''das ist kein point''' 
Um das Verhalten zu unterbinden, müsste folgender Regex verwendet werden: 
'''[a-zA-Z]*point'''

=== URL-Regex ===
Im einfachen URL-Beispiel soll auf www.securepoint.de gematcht werden. 
Folgender Regex wäre korrekt: 
'''www\.securepoint\.de''' 
Warum muss der Regex so aussehen? 
Die beiden Punkte innerhalb der URL stehen bei einem Regex normalerweise für ein beliebiges Zeichen. Am Beispiel der URL soll jedoch auf genau diesen Punkt gematcht werden und nicht auf ein beliebiges Zeichen. Wie oben bereits erwähnt, hebt der Backslash '''\''' die Regex-Funktion des folgenden Zeichen auf. So kann auch auf den Punkt gematcht werden. Man spricht in so einem Fall vom "escapen" eines Zeichens. 

== Anwendungsbereiche von Regexen ==
=== Virenscanner ===
In der aktuellen UTMv11 gibt es in gleich mehreren Anwendungen die Möglichkeit mit Regexen zu arbeiten. Möchten Sie beispielsweise die URL '''http://www.securepoint.de/produkte/utm-firewalls.html''' in die Whitelist des Virenscanners aufnehmen, ist es sehr wichtig, dass letztendlich genau diese URL in die Whitelist aufgenommen wird. 
'''Der passende Regex lautet also:''' 
'''http://www\.securepoint\.de/produkte/utm-firewalls\.html'''
 
Alternativ kann man auf alle Protokolle gematcht werden. So zu finden in den vordefinierten Ausnahmen des Virenscanners: 
'''Beispiel: ^[^:]*://download\.windowsupdate\.com/'''

=== Authentifizierungsausnahmen im Proxy ===
In den Authentifizierungsausnahmen des Proxy muss das Protokoll nicht angegeben werden. Hier wird einfach die URL ohne Protokoll als Regex angegeben: 
'''Beispiel: www\.securepoint\.de'''

=== SSL-Interception ===
Bei der SSL-Interception wird das selbe Prinzip wie bei den Authentifizierungsausnahmen angewendet. Die URL wird ohne Protokoll als Regex angegeben. 
'''Beispiel: www\.securepoint\.de''' oder '''.*\.securepoint\.de'''

UMA/BP/Office 365 v2.5.7

2016-12-16T10:04:45Z

Dennisp:

[[Kategorie:UMAv2]]

== Einleitung ==
Das UMA arbeitet in den meisten Fällen im HUB-Modus und holt in diesem Falls die E-Mails aus einem Sammelkonto ab. Während viele Hoster diese Funktion nur für eingehende E-Mails unterstützen, lassen sich bei Office 365 über eine so genannte Journal-Regel auch ausgehende Mails in das Sammelpostfach kopieren. Im Folgenden wird die Einrichtung über das Office-365-Administrationsportal erläutert und auf den Betrieb eines UMA abgestimmt.

== Besonderheiten/zu beachten ==
=== Anbindung an ein Active Directory (empfohlen) ===
Falls ein Active Directory vorhanden ist, sollte dieses unbedingt an die Office-365-Umgebung angebunden werden. Nachdem die Verbindung erfolgreich ist, kann das UMA dem AD beitreten und dadurch Benutzer und Postfächer auslesen. '''Achtung: Dies ist die einzige Möglichkeit, Public Folder und Shared Mailboxen als öffentliche Ordner zu archivieren!''' 
Microsoft hat für dieses Szenario eine [https://support.office.com/de-de/article/Office-365-Integration-in-lokale-Umgebungen-263faf8d-aa21-428b-aed3-2021837a4b65 Anleitung] verfasst.
 

=== lokale Benutzer ===
Falls kein Active Directory vorhanden ist, müssen die Konten auf dem UMA manuell angelegt werden. Besonderheit hierbei: Es können nur private Postfächer angelegt werden - keine öffentlichen. Existiert also beispielsweise eine info@-Adresse, muss diese Adresse fest einem User zugewiesen werden. Nur dieser '''eine''' User kann die Mails im Info Postfach einsehen.

== Einrichtung ==
=== Journal-Regel ===
1. Login im '''Office-Portal'''. 
2. Verbindung zum '''Admin-Portal''' herstellen. 
3. In der Menüleiste am linken Bildschirmrand wird unter "'''Admin Center'''" die Verknüpfung "'''Exchange'''" aufgerufen. 
4. Im '''Exchange Admin Center''' wird im Menü am linken Bildschirmrand "'''Verwaltung der Compliance'''" ausgewählt. 
5. Im Reiter "'''Journalregeln"''' kann dann über das '''+ Symbol''' eine Journalregel hinzugefügt werden. 
 
'''Achtung: Office-365 lässt es nicht zu, dass die Journal-E-Mail-Adresse innerhalb einer Microsoft-Domain liegt. Im folgenden Beispiel wird eine Yahoo-Adresse verwendet. Theoretisch ist jede nicht-Microsoft-Domain möglich.''' 

[[Datei:office365-add-journal-rule.png|400px|thumb|center|Hinzufügen der Journal-Regel]]

 

Nach einem Klick auf '''"Speichern"''' ist die Regel aktiv und von jeder ein und ausgehenden Mail wird eine Kopie an (in unserem Fall) tttpointcloud@yahoo.com gesendet. 

[[Datei:office365-show-journal-rule.png|900px|thumb|center|Gerade angelegte Journal-Regel]]
 Dieses Postfach wird dann in dem UMA eingetragen: 
[[Datei:office365-uma-fetchmail.png|700px|thumb|center|E-Mail-Konto in dem UMA]]

 
Das Office 365 ist somit fertig konfiguriert. Als letzter Schritt müssen auf dem UMA noch die Benutzer angelegt oder das UMA mit einem Active Directory verbunden werden. Die Einrichtung wird in [[Administration-Center_Webinterface_UMA2.0#Konten | diesem Wiki]] beschrieben.

UMA/BP/Office 365 v2.5.7

2016-12-16T10:00:12Z

Dennisp:

[[Kategorie:UMAv2]]

== Einleitung ==
Das UMA arbeitet in den meisten Fällen im HUB-Modus und holt in diesem Falls die E-Mails aus einem Sammelkonto ab. Während viele Hoster diese Funktion nur für eingehende E-Mails unterstützen, lassen sich bei Office 365 über eine so genannte Journal-Regel auch ausgehende Mails in das Sammelpostfach kopieren. Im Folgenden wird die Einrichtung über das Office-365-Administrationsportal erläutert und auf den Betrieb eines UMA abgestimmt.

== Besonderheiten/zu beachten ==
=== Anbindung an ein Active Directory (empfohlen) ===
Falls ein Active Directory vorhanden ist, sollte dieses unbedingt an die Office-365-Umgebung angebunden werden. Nachdem die Verbindung erfolgreich ist, kann das UMA dem AD beitreten und dadurch Benutzer und Postfächer auslesen. '''Achtung: Dies ist die einzige Möglichkeit, Public Folder und Shared Mailboxen als öffentliche Ordner zu archivieren!'''
 

=== lokale Benutzer ===
Falls kein Active Directory vorhanden ist, müssen die Konten auf dem UMA manuell angelegt werden. Besonderheit hierbei: Es können nur private Postfächer angelegt werden - keine öffentlichen. Existiert also beispielsweise eine info@-Adresse, muss diese Adresse fest einem User zugewiesen werden. Nur dieser '''eine''' User kann die Mails im Info Postfach einsehen.

== Einrichtung ==
=== Journal-Regel ===
1. Login im '''Office-Portal'''. 
2. Verbindung zum '''Admin-Portal''' herstellen. 
3. In der Menüleiste am linken Bildschirmrand wird unter "'''Admin Center'''" die Verknüpfung "'''Exchange'''" aufgerufen. 
4. Im '''Exchange Admin Center''' wird im Menü am linken Bildschirmrand "'''Verwaltung der Compliance'''" ausgewählt. 
5. Im Reiter "'''Journalregeln"''' kann dann über das '''+ Symbol''' eine Journalregel hinzugefügt werden. 
 
'''Achtung: Office-365 lässt es nicht zu, dass die Journal-E-Mail-Adresse innerhalb einer Microsoft-Domain liegt. Im folgenden Beispiel wird eine Yahoo-Adresse verwendet. Theoretisch ist jede nicht-Microsoft-Domain möglich.''' 

[[Datei:office365-add-journal-rule.png|400px|thumb|center|Hinzufügen der Journal-Regel]]

 

Nach einem Klick auf '''"Speichern"''' ist die Regel aktiv und von jeder ein und ausgehenden Mail wird eine Kopie an (in unserem Fall) tttpointcloud@yahoo.com gesendet. 

[[Datei:office365-show-journal-rule.png|900px|thumb|center|Gerade angelegte Journal-Regel]]
 Dieses Postfach wird dann in dem UMA eingetragen: 
[[Datei:office365-uma-fetchmail.png|700px|thumb|center|E-Mail-Konto in dem UMA]]

 
Das Office 365 ist somit fertig konfiguriert. Als letzter Schritt müssen auf dem UMA noch die Benutzer angelegt oder das UMA mit einem Active Directory verbunden werden. Die Einrichtung wird in [[Administration-Center_Webinterface_UMA2.0#Konten | diesem Wiki]] beschrieben.

UMA/BP/Office 365 v2.5.7

2016-12-16T09:54:19Z

Dennisp: /* Journal-Regel */

[[Kategorie:UMAv2]]

== Einleitung ==
Die UMA arbeitet in den meisten Fällen im HUB-Modus und holt in diesem Falls die E-Mails aus einem Sammelkonto ab. Während viele Hoster diese Funktion nur für eingehende E-Mails unterstützen, lassen sich bei Office 365 über eine so genannte Journal-Regel auch ausgehende Mails in das Sammelpostfach kopieren. Im Folgenden wird die Einrichtung über das Office-365-Administrationsportal erläutert und auf den Betrieb einer UMA abgestimmt.

== Besonderheiten/zu beachten ==
=== Anbindung an ein Active Directory (empfohlen) ===
Falls ein Active Directory vorhanden ist, sollte dieses unbedingt an die Office-365-Umgebung angebunden werden. Nachdem die Verbindung erfolgreich ist, kann die UMA dem AD beitreten und dadurch Benutzer und Postfächer auslesen. '''Achtung: Dies ist die einzige Möglichkeit, Public Folder und Shared Mailboxen als öffentliche Ordner zu archivieren!'''
 

=== lokale Benutzer ===
Falls kein Active Directory vorhanden ist, müssen die Konten auf der UMA manuell angelegt werden. Besonderheit hierbei: Es können nur private Postfächer angelegt werden - keine öffentlichen. Existiert also beispielsweise eine info@-Adresse, muss diese Adresse fest einem User zugewiesen werden. Nur dieser '''eine''' User kann die Mails im Info Postfach einsehen.

== Einrichtung ==
=== Journal-Regel ===
1. Login im '''Office-Portal'''. 
2. Verbindung zum '''Admin-Portal''' herstellen. 
3. In der Menüleiste am linken Bildschirmrand wird unter "'''Admin Center'''" die Verknüpfung "'''Exchange'''" aufgerufen. 
4. Im '''Exchange Admin Center''' wird im Menü am linken Bildschirmrand "'''Verwaltung der Compliance'''" ausgewählt. 
5. Im Reiter "'''Journalregeln"''' kann dann über das '''+ Symbol''' eine Journalregel hinzugefügt werden. 
 
'''Achtung: Office-365 lässt es nicht zu, dass die Journal-E-Mail-Adresse innerhalb einer Microsoft-Domain liegt. Im folgenden Beispiel wird eine Yahoo-Adresse verwendet. Theoretisch ist jede nicht-Microsoft-Domain möglich.''' 

[[Datei:office365-add-journal-rule.png|400px|thumb|center|Hinzufügen der Journal-Regel]]

 

Nach einem Klick auf '''"Speichern"''' ist die Regel aktiv und von jeder ein und ausgehenden Mail wird eine Kopie an (in unserem Fall) tttpointcloud@yahoo.com gesendet. 

[[Datei:office365-show-journal-rule.png|900px|thumb|center|Gerade angelegte Journal-Regel]]
 Dieses Postfach wird dann in der UMA eingetragen: 
[[Datei:office365-uma-fetchmail.png|700px|thumb|center|E-Mail-Konto in der UMA]]

 
Das Office 365 ist somit fertig konfiguriert. Als letzter Schritt müssen auf der UMA noch die Benutzer angelegt oder die UMA mit einem Active Directory verbunden werden. Die Einrichtung wird in [[Administration-Center_Webinterface_UMA2.0#Konten | diesem Wiki]] beschrieben.

UMA/BP/Office 365 v2.5.7

2016-12-16T09:53:58Z

Dennisp: /* Journal-Regel */

[[Kategorie:UMAv2]]

== Einleitung ==
Die UMA arbeitet in den meisten Fällen im HUB-Modus und holt in diesem Falls die E-Mails aus einem Sammelkonto ab. Während viele Hoster diese Funktion nur für eingehende E-Mails unterstützen, lassen sich bei Office 365 über eine so genannte Journal-Regel auch ausgehende Mails in das Sammelpostfach kopieren. Im Folgenden wird die Einrichtung über das Office-365-Administrationsportal erläutert und auf den Betrieb einer UMA abgestimmt.

== Besonderheiten/zu beachten ==
=== Anbindung an ein Active Directory (empfohlen) ===
Falls ein Active Directory vorhanden ist, sollte dieses unbedingt an die Office-365-Umgebung angebunden werden. Nachdem die Verbindung erfolgreich ist, kann die UMA dem AD beitreten und dadurch Benutzer und Postfächer auslesen. '''Achtung: Dies ist die einzige Möglichkeit, Public Folder und Shared Mailboxen als öffentliche Ordner zu archivieren!'''
 

=== lokale Benutzer ===
Falls kein Active Directory vorhanden ist, müssen die Konten auf der UMA manuell angelegt werden. Besonderheit hierbei: Es können nur private Postfächer angelegt werden - keine öffentlichen. Existiert also beispielsweise eine info@-Adresse, muss diese Adresse fest einem User zugewiesen werden. Nur dieser '''eine''' User kann die Mails im Info Postfach einsehen.

== Einrichtung ==
=== Journal-Regel ===
1. Login im '''Office-Portal'''. 
2. Verbindung zum '''Admin-Portal''' herstellen. 
3. In der Menüleiste am linken Bildschirmrand wird unter "'''Admin Center'''" die Verknüpfung "'''Exchange'''" aufgerufen. 
4. Im '''Exchange Admin Center''' wird im Menü am linken Bildschirmrand "'''Verwaltung der Compliance'''" ausgewählt. 
5. Im Reiter "'''Journalregeln"''' kann dann über das '''+ Symbol''' eine Journalregel hinzugefügt werden. 

[[Datei:office365-add-journal-rule.png|400px|thumb|center|Hinzufügen der Journal-Regel]]

 
'''Achtung: Office-365 lässt es nicht zu, dass die Journal-E-Mail-Adresse innerhalb einer Microsoft-Domain liegt. Im folgenden Beispiel wird eine Yahoo-Adresse verwendet. Theoretisch ist jede nicht-Microsoft-Domain möglich.''' 

Nach einem Klick auf '''"Speichern"''' ist die Regel aktiv und von jeder ein und ausgehenden Mail wird eine Kopie an (in unserem Fall) tttpointcloud@yahoo.com gesendet. 

[[Datei:office365-show-journal-rule.png|900px|thumb|center|Gerade angelegte Journal-Regel]]
 Dieses Postfach wird dann in der UMA eingetragen: 
[[Datei:office365-uma-fetchmail.png|700px|thumb|center|E-Mail-Konto in der UMA]]

 
Das Office 365 ist somit fertig konfiguriert. Als letzter Schritt müssen auf der UMA noch die Benutzer angelegt oder die UMA mit einem Active Directory verbunden werden. Die Einrichtung wird in [[Administration-Center_Webinterface_UMA2.0#Konten | diesem Wiki]] beschrieben.

UMA/BP/Office 365 v2.5.7

2016-12-16T09:49:54Z

Dennisp: /* Journal-Regel */

[[Kategorie:UMAv2]]

== Einleitung ==
Die UMA arbeitet in den meisten Fällen im HUB-Modus und holt in diesem Falls die E-Mails aus einem Sammelkonto ab. Während viele Hoster diese Funktion nur für eingehende E-Mails unterstützen, lassen sich bei Office 365 über eine so genannte Journal-Regel auch ausgehende Mails in das Sammelpostfach kopieren. Im Folgenden wird die Einrichtung über das Office-365-Administrationsportal erläutert und auf den Betrieb einer UMA abgestimmt.

== Besonderheiten/zu beachten ==
=== Anbindung an ein Active Directory (empfohlen) ===
Falls ein Active Directory vorhanden ist, sollte dieses unbedingt an die Office-365-Umgebung angebunden werden. Nachdem die Verbindung erfolgreich ist, kann die UMA dem AD beitreten und dadurch Benutzer und Postfächer auslesen. '''Achtung: Dies ist die einzige Möglichkeit, Public Folder und Shared Mailboxen als öffentliche Ordner zu archivieren!'''
 

=== lokale Benutzer ===
Falls kein Active Directory vorhanden ist, müssen die Konten auf der UMA manuell angelegt werden. Besonderheit hierbei: Es können nur private Postfächer angelegt werden - keine öffentlichen. Existiert also beispielsweise eine info@-Adresse, muss diese Adresse fest einem User zugewiesen werden. Nur dieser '''eine''' User kann die Mails im Info Postfach einsehen.

== Einrichtung ==
=== Journal-Regel ===
1. Login im '''Office-Portal'''. 
2. Verbindung zum '''Admin-Portal''' herstellen. 
3. In der Menüleiste am linken Bildschirmrand wird unter "'''Admin Center'''" die Verknüpfung "'''Exchange'''" aufgerufen. 
4. Im '''Exchange Admin Center''' wird im Menü am linken Bildschirmrand "'''Verwaltung der Compliance'''" ausgewählt. 
5. Im Reiter "'''Journalregeln"''' kann dann über das '''+ Symbol''' eine Journalregel hinzugefügt werden. 

[[Datei:office365-add-journal-rule.png|400px|thumb|center|Hinzufügen der Journal-Regel]]

Nach einem Klick auf '''"Speichern"''' ist die Regel aktiv und von jeder ein und ausgehenden Mail wird eine Kopie an (in unserem Fall) tttpointcloud@yahoo.com gesendet. 

[[Datei:office365-show-journal-rule.png|900px|thumb|center|Gerade angelegte Journal-Regel]]
 Dieses Postfach wird dann in der UMA eingetragen: 
[[Datei:office365-uma-fetchmail.png|700px|thumb|center|E-Mail-Konto in der UMA]]

 
Das Office 365 ist somit fertig konfiguriert. Als letzter Schritt müssen auf der UMA noch die Benutzer angelegt oder die UMA mit einem Active Directory verbunden werden. Die Einrichtung wird in [[Administration-Center_Webinterface_UMA2.0#Konten | diesem Wiki]] beschrieben.

UMA/BP/Office 365 v2.5.7

2016-12-16T09:49:34Z

Dennisp: /* lokale Benutzer */

[[Kategorie:UMAv2]]

== Einleitung ==
Die UMA arbeitet in den meisten Fällen im HUB-Modus und holt in diesem Falls die E-Mails aus einem Sammelkonto ab. Während viele Hoster diese Funktion nur für eingehende E-Mails unterstützen, lassen sich bei Office 365 über eine so genannte Journal-Regel auch ausgehende Mails in das Sammelpostfach kopieren. Im Folgenden wird die Einrichtung über das Office-365-Administrationsportal erläutert und auf den Betrieb einer UMA abgestimmt.

== Besonderheiten/zu beachten ==
=== Anbindung an ein Active Directory (empfohlen) ===
Falls ein Active Directory vorhanden ist, sollte dieses unbedingt an die Office-365-Umgebung angebunden werden. Nachdem die Verbindung erfolgreich ist, kann die UMA dem AD beitreten und dadurch Benutzer und Postfächer auslesen. '''Achtung: Dies ist die einzige Möglichkeit, Public Folder und Shared Mailboxen als öffentliche Ordner zu archivieren!'''
 

=== lokale Benutzer ===
Falls kein Active Directory vorhanden ist, müssen die Konten auf der UMA manuell angelegt werden. Besonderheit hierbei: Es können nur private Postfächer angelegt werden - keine öffentlichen. Existiert also beispielsweise eine info@-Adresse, muss diese Adresse fest einem User zugewiesen werden. Nur dieser '''eine''' User kann die Mails im Info Postfach einsehen.

== Einrichtung ==
=== Journal-Regel ===
1. Login im '''Office-Portal'''.
2. Verbindung zum '''Admin-Portal''' herstellen.
3. In der Menüleiste am linken Bildschirmrand wird unter "'''Admin Center'''" die Verknüpfung "'''Exchange'''" aufgerufen.
4. Im '''Exchange Admin Center''' wird im Menü am linken Bildschirmrand "'''Verwaltung der Compliance'''" ausgewählt.
5. Im Reiter "'''Journalregeln"''' kann dann über das '''+ Symbol''' eine Journalregel hinzugefügt werden.

[[Datei:office365-add-journal-rule.png|400px|thumb|center|Hinzufügen der Journal-Regel]]

Nach einem Klick auf '''"Speichern"''' ist die Regel aktiv und von jeder ein und ausgehenden Mail wird eine Kopie an (in unserem Fall) tttpointcloud@yahoo.com gesendet. 

[[Datei:office365-show-journal-rule.png|900px|thumb|center|Gerade angelegte Journal-Regel]]
 Dieses Postfach wird dann in der UMA eingetragen: 
[[Datei:office365-uma-fetchmail.png|700px|thumb|center|E-Mail-Konto in der UMA]]

 
Das Office 365 ist somit fertig konfiguriert. Als letzter Schritt müssen auf der UMA noch die Benutzer angelegt oder die UMA mit einem Active Directory verbunden werden. Die Einrichtung wird in [[Administration-Center_Webinterface_UMA2.0#Konten | diesem Wiki]] beschrieben.

UMA/BP/Office 365 v2.5.7

2016-12-16T09:49:07Z

Dennisp: /* Anbindung an ein Active Directory (empfohlen) */

[[Kategorie:UMAv2]]

== Einleitung ==
Die UMA arbeitet in den meisten Fällen im HUB-Modus und holt in diesem Falls die E-Mails aus einem Sammelkonto ab. Während viele Hoster diese Funktion nur für eingehende E-Mails unterstützen, lassen sich bei Office 365 über eine so genannte Journal-Regel auch ausgehende Mails in das Sammelpostfach kopieren. Im Folgenden wird die Einrichtung über das Office-365-Administrationsportal erläutert und auf den Betrieb einer UMA abgestimmt.

== Besonderheiten/zu beachten ==
=== Anbindung an ein Active Directory (empfohlen) ===
Falls ein Active Directory vorhanden ist, sollte dieses unbedingt an die Office-365-Umgebung angebunden werden. Nachdem die Verbindung erfolgreich ist, kann die UMA dem AD beitreten und dadurch Benutzer und Postfächer auslesen. '''Achtung: Dies ist die einzige Möglichkeit, Public Folder und Shared Mailboxen als öffentliche Ordner zu archivieren!'''
 

=== lokale Benutzer ===
Falls kein Active Directory vorhanden ist, müssen die Konten auf der UMA manuell angelegt werden. Besonderheit hierbei: Es können nur private Postfächer angelegt werden - keine öffentlichen. Existiert also beispielsweise eine info@-Adresse, muss diese Adresse fest einem User zugewiesen werden. Nur dieser '''eine''' User kann die Mails im Info Postfach einsehen.

== Einrichtung ==
=== Journal-Regel ===
1. Login im '''Office-Portal'''.
2. Verbindung zum '''Admin-Portal''' herstellen.
3. In der Menüleiste am linken Bildschirmrand wird unter "'''Admin Center'''" die Verknüpfung "'''Exchange'''" aufgerufen.
4. Im '''Exchange Admin Center''' wird im Menü am linken Bildschirmrand "'''Verwaltung der Compliance'''" ausgewählt.
5. Im Reiter "'''Journalregeln"''' kann dann über das '''+ Symbol''' eine Journalregel hinzugefügt werden.

[[Datei:office365-add-journal-rule.png|400px|thumb|center|Hinzufügen der Journal-Regel]]

Nach einem Klick auf '''"Speichern"''' ist die Regel aktiv und von jeder ein und ausgehenden Mail wird eine Kopie an (in unserem Fall) tttpointcloud@yahoo.com gesendet. 

[[Datei:office365-show-journal-rule.png|900px|thumb|center|Gerade angelegte Journal-Regel]]
 Dieses Postfach wird dann in der UMA eingetragen: 
[[Datei:office365-uma-fetchmail.png|700px|thumb|center|E-Mail-Konto in der UMA]]

 
Das Office 365 ist somit fertig konfiguriert. Als letzter Schritt müssen auf der UMA noch die Benutzer angelegt oder die UMA mit einem Active Directory verbunden werden. Die Einrichtung wird in [[Administration-Center_Webinterface_UMA2.0#Konten | diesem Wiki]] beschrieben.

UMA/BP/Office 365 v2.5.7

2016-12-16T09:48:22Z

Dennisp: /* Anbindung an ein Active Directory (empfohlen) */

[[Kategorie:UMAv2]]

== Einleitung ==
Die UMA arbeitet in den meisten Fällen im HUB-Modus und holt in diesem Falls die E-Mails aus einem Sammelkonto ab. Während viele Hoster diese Funktion nur für eingehende E-Mails unterstützen, lassen sich bei Office 365 über eine so genannte Journal-Regel auch ausgehende Mails in das Sammelpostfach kopieren. Im Folgenden wird die Einrichtung über das Office-365-Administrationsportal erläutert und auf den Betrieb einer UMA abgestimmt.

== Besonderheiten/zu beachten ==
=== Anbindung an ein Active Directory (empfohlen) ===
Falls ein Active Directory vorhanden ist, sollte dieses unbedingt an die Office-365-Umgebung angebunden werden. Nachdem die Verbindung erfolgreich ist, kann die UMA dem AD beitreten und Benutzer und Postfächer auslesen. '''Achtung: Dies ist die einzige Möglichkeit, Public Folder und Shared Mailboxen als öffentliche Ordner zu archivieren!'''
 

=== lokale Benutzer ===
Falls kein Active Directory vorhanden ist, müssen die Konten auf der UMA manuell angelegt werden. Besonderheit hierbei: Es können nur private Postfächer angelegt werden - keine öffentlichen. Existiert also beispielsweise eine info@-Adresse, muss diese Adresse fest einem User zugewiesen werden. Nur dieser '''eine''' User kann die Mails im Info Postfach einsehen.

== Einrichtung ==
=== Journal-Regel ===
1. Login im '''Office-Portal'''.
2. Verbindung zum '''Admin-Portal''' herstellen.
3. In der Menüleiste am linken Bildschirmrand wird unter "'''Admin Center'''" die Verknüpfung "'''Exchange'''" aufgerufen.
4. Im '''Exchange Admin Center''' wird im Menü am linken Bildschirmrand "'''Verwaltung der Compliance'''" ausgewählt.
5. Im Reiter "'''Journalregeln"''' kann dann über das '''+ Symbol''' eine Journalregel hinzugefügt werden.

[[Datei:office365-add-journal-rule.png|400px|thumb|center|Hinzufügen der Journal-Regel]]

Nach einem Klick auf '''"Speichern"''' ist die Regel aktiv und von jeder ein und ausgehenden Mail wird eine Kopie an (in unserem Fall) tttpointcloud@yahoo.com gesendet. 

[[Datei:office365-show-journal-rule.png|900px|thumb|center|Gerade angelegte Journal-Regel]]
 Dieses Postfach wird dann in der UMA eingetragen: 
[[Datei:office365-uma-fetchmail.png|700px|thumb|center|E-Mail-Konto in der UMA]]

 
Das Office 365 ist somit fertig konfiguriert. Als letzter Schritt müssen auf der UMA noch die Benutzer angelegt oder die UMA mit einem Active Directory verbunden werden. Die Einrichtung wird in [[Administration-Center_Webinterface_UMA2.0#Konten | diesem Wiki]] beschrieben.