Securepoint Wiki - Benutzerbeiträge [de]

UMA/FAQ

2020-04-08T07:22:16Z

Skrauti: /* Monitoring */

{{DISPLAYTITLE:Securepoint Unified Mail Archive FAQ}}{{#vardefine:headerIcon|fal fa-question}}

==Allgemein==
'''Kann das UMA auch ohne Mailserver verwendet werden?'''<br>
Gibt es ausschließlich nur einzelne Postfächer/Konten, die bei einem Anbieter von E-Mail-Diensten wie GMX, WEB, GMAIL, 1&1 oder Änlichen,
von einzelnen internen Clients abgerufen werden, kann das UMA im Normalfall nicht eingesetzt werden.

''Begründung:''<br>
Das UMA holt ausschließlich Mail von Postfächern/Konten die ein "UNSEEN"-Tag haben (ungelesene E-Mails).
Nach einem Abruf werden die entsprechenden E-Mails entweder als gelesen markiert oder gelöscht.
Ein direktes Abrufen von Benutzerpostfächern würde also dazu führen das nur eingehende Mails abgeholt werden.
Ausgehende E-Mails haben immer ein "SEEN"-Tag und werden somit nicht archiviert. Zudem sieht der Client nach dem Abruf des UMA keine "Neuen" E-Mails mehr oder das UMA holt keine E-Mails ab weil im Client, durch anklicken der Mails, diese schon ein "SEEN"-Tag haben (als gelesen markiert sind).
Die einzige Möglichkeit, wie das UMA im HUB-Modus Mails archivieren kann ist, diese von einem zentralen Postfach/Konto, Benutzerunabhängig, abzuholen.
Damit die E-Mails in dieses neu angelegte Postfach/Konto einlaufen muss die Option einer Weiterleitung für jedes Postfach/Konto bestehen.
Diese Weiterleitung muss für eingehende sowie ausgehende E-Mails gelten!
Bei den meisten der obigen Mailprovider kann KEINE ausgehende Weiterleitung für E-Mails eingerichtet werden, weshalb das UMA hier nicht eingesetzt werden kann!

''Lösung:''<br>
Bitte informieren Sie sich im Vorfeld, bei dem in Verwendung befindlichem E-Mail-Provider, über die Möglichkeiten einer vollständigen Weiterleitung pro Postfach/Konto!
Ist diese Möglichkeit gegeben, steht dem Einsatz einer UMA nichts im Wege.

Bei der Verwendung von Office365 sowie Hostet-Mailserver Lösungen ist ein Journaling oder eine vollständige Weiterleitung in den meisten Fällen möglich.
Ebenfalls möglich ist, in diesem Zusammenhang, die Lösung der Terra-Cloud oder eines kostenfrei Internen Mailserver wie H-Mail zuverwenden.

Ein passendes Webinar zum Thema [https://www.youtube.com/watch?v=-1NKrmvDaP0 "Securepoint UMA in kleinen Umgebungen"] befindet sich in unserem YouTube Channel.

Eine Anleitung zur Einrichtung von MS Office 365 liegt im Securepoint Wiki unter [[UMA/BP/Office_365 | Konfiguration - Office 365]] bereit.

'''Ist es möglich Das UMA an mehrere Benutzerumgebungen anzubinden?'''<br>
Diese Funktionalität wird nicht von uns unterstützt. Es wird ausschließlich nur das Nutzen einer Umgebung (AD, OpenLDAP oder lokale Benutzer) unterstützt. So genannte Forest Root Domains, bzw. das Splitten von Domain Controllern wird nicht unterstützt, da die Benutzer und deren E-Mailadressen nicht Serverübergreifend via LDAP abgefragt werden können. Die LDAP-Anfrage richtet sich immer nur ausschließlich an den mit dem UMA verbundenen Domain Controller

'''Der transparente Modus lässt sich nicht konfigurieren.'''<br>
Der transparente Modus ist seit Version 2.5.8 nicht mehr konfigurierbar und wird ab UMA Version 3 komplett entfernt.

'''Was passiert, wenn die Lizenz des UMA ungültig wird?'''<br>
*Die Abholung der E-Mails aus dem Sammelpostfach wird eingestellt
*Es besteht nur noch ein lesender Systemzugriff auf die bisher archivierten E-Mails

'''Müssen öffentliche Ordner (Verteilerlisten, Freigegebene Postfächer, public folder) lizenziert werden?'''<br>
Nein, die öffentlichen Postfächer werden bei einer Anbindung an das Active-Directory erkannt und müssen nicht lizenziert werden. Die Nutzung von öffentlichen Postfächern ist nur bei Verwendung eines Active Directory möglich.

'''Ist es möglich die Ordnerstrukturen des UMA abzubilden?'''<br>
Diese Funktionalität wird nicht von uns unterstützt und es ist auch nicht geplant die in Zukunft zu implementieren.

Ordnerstrukturen ändern sich stetig und dies müsste auf dem UMA nachvollzogen werden, womit die readonly-Funktion des UMA aufgehoben werden müsste.

----

==Lizensierung==
'''Die Lizenz lässt sich nicht einspielen. (z.B.:There was an error uploading the files.)'''<br>
Dies kann daran liegen das dass UMA vollgelaufen ist. Steht in der Übersicht der freie Speicher auf 0b, so ist kein Einspielen einer Lizenz möglich. <br>

''Lösung:''<br>
Der Speicher muss erweitert werden. Eine ausführliche Anleitung zu diesem Thema findet sich im Securepoint Wiki unter [[UMA/Archivspeichererweiterung | Austausch und Erweiterung des Archivspeichers des UMA]]

Desweiteren kann eine Ursache die interne Zeit des UMA sein. Weicht diese zuweit von der Lizenzlaufzeit ab, kann die Lizenz nicht hochgeladen werden bzw. ist nach dem hochladen ungültig.<br>

''Lösung:''<br>
1. Verbinden Sie sich mit dem UMA über die Konsole oder mit einem ssh-Client. Beachten Sie, dass vor einem ssh-Connect der ssh-Dienst des UMA unter "Administration -> Wartung" gestartet werden muss.
ssh -l admin 192.168.175.254

2. Setzen Sie die Zeit des UMA auf das aktuelle Datum sowie die aktuelle Uhrzeit.
date -s "06 Oct 2019 10:50:00"

3. Laden Sie das Admininterface im Browser durch [STRG]+[R] neu.

----
==Archiv / Archivierung==
'''Lassen sich bestimmte E-Mail-Adressen von der Archivierung ausnehmen?'''<br>
Ja. Unter „Administration“ -> „E-Mail-Blacklist“ lassen sich E-Mail-Adressen von der Archivierung ausnehmen.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">
Achtung: Es lassen sich nur vollständige E-Mail-Adressen definieren. Wildcards können nicht verwendet werden.
</span></div>
</div>
<div style="clear: both;"></div>

'''Wie werden Spam-E-Mails von der Archivierung ausgenommen?'''<br>
E-Mails sollen bereits an E-Mail-Gateway (z. B. Securepoint NextGen UTM) als SPAM identifiziert und gefiltert werden. Somit trifft SPAM erst gar nicht im Journal-Postfach des Mailsystems ein.

'''Werden Verschlüsselte E-Mails archiviert?'''<br>
Verschlüsselte E-Mails werden so archiviert wie sie sind. Der Header einer E-Mail ist nicht verschlüsselt, so das die Zuweisung zum Benutzer getroffen werden kann. Ein Privater Schlüssel kann in dem UMA nicht hinterlegt werden. Daher müssen diese E-Mails zur Sichtung aus dem UMA heruntergeladen werden, um sie dann mit internen Mitteln öffnen zu können.

'''Mails werden nicht vom Exchange-Mailserver abgeholt'''<br>
Es kann verschiedene Gründe geben, warum die E-Mails aus dem Journal-Postfach des Exchange-Mailserver von dem UMA nicht abgeholt werden können. Im Folgenden haben wir die häufigsten dargestellt.

''Möglichkeit 1: Die UMA Lizenz ist abgelaufen''<br>
Die Abholung der E-Mails aus dem Sammelpostfach wird eingestellt.<br>
Lösung: Es muss eine neue gültige Lizenz im UMA registriert werden.

''Möglichkeit 2: Der Archiv-Speicherplatz des UMA ist voll''<br>
Steht kein Speicherplatz zur Verfügung, kann das UMA keine weiteren Daten archivieren. Unter Berücksichtigung der Systemvoraussetzungen/Projektplanung, kann der vorhandene durch neuen Speicher mit höherer Kapazität ersetzt werden.<br>
Eine ausführliche Anleitung zu diesem Thema findet sich im Securepoint Wiki unter [[UMA/Archivspeichererweiterung | Austausch und Erweiterung des Archivspeichers des UMA]]

''Möglichkeit 3: Journal-Postfach zu voll''<br>
Ab einer gewissen Anzahl von E-Mails kann der IMAP-Dienst eines E-Mailsystems träge reagieren.<br>
Lösung: In diesem Fall müssen auf dem Mailserver der Posteingang des Journal-Postfachs geprüft und überflüssige E-Mails gelöscht werden.

Über das Webinterface des UMA lässt sich die Funktion "E-Mails auf dem Server belassen" deaktivieren. Das UMA löscht dann die E-Mails aus dem Journal-Postfach nachdem es diese abgeholt hat.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">
Achtung: Das Löschen über diese Funktion bezieht sich nur auf E-Mails die nach dem deaktivieren abgeholt werden.
</span></div>
</div>
<div style="clear: both;"></div>

''Möglichkeit 4: Der IMAP-Dienst auf dem Mailsystem läuft nicht''<br>
Lösung: Status des Dienstes auf dem Mailserver prüfen und den Dienst gegebenenfalls neu starten.<br>
Anschliessend einen Verbindungstest mit einem Telnet-Client zum Mailserver durchführen. Wie dieser durchzuführen ist, wird unter Möglichkeit 5 beschrieben.

''Möglichkeit 5: Grundsätzliches Problem mit dem IMAP-Dienst des Mailsystems''<br>
Lösung: Debugging des IMAP-Dienstes per Telnet.

1. Verbinden Sie sich mit einem Rechner mit installiertem Telnet-Client auf das Mailsystem.
telnet 192.168.1.50 143
Der Server begrüßt Sie.
* OK The Microsoft Exchange IMAP4 service is ready.

2. Loggen Sie sich nun mit dem Journal-Konto, welches auch in dem UMA konfiguriert ist, ein. In diesem Beispiel ist der Benutzername "journal" und das Passwort "insecure".
a1 LOGIN journal insecure
Der IMAP-Dienst des Mailsystems nimmt den Login an.
a1 OK LOGIN completed.

3. Lassen Sie sich die verfügbaren IMAP-Ordner anzeigen.
a2 LIST „“ „*“

Das Mailsystem listet alle Ordner auf.
* LIST (\HasNoChildren) „/“ Aufgaben
* LIST (\HasNoChildren) „/“ Entw&APw-rfe
* LIST (\HasNoChildren) „/“ „Gel&APY-schte Elemente“
* LIST (\HasNoChildren) „/“ „Gesendete Elemente“
* LIST (\HasNoChildren) „/“ Journal
* LIST (\HasNoChildren) „/“ Junk-E-Mail
* LIST (\HasNoChildren) „/“ Kalender
* LIST (\HasChildren) „/“ Kontakte
* LIST (\HasNoChildren) „/“ Notizen
* LIST (\HasNoChildren) „/“ Postausgang
* LIST (\Marked \HasNoChildren) „/“ INBOX
a2 OK LIST completed.

4. Wählen Sie den Ordner INBOX (Posteingang) aus.
a3 SELECT INBOX

Der Server gibt eine Übersicht des Ordners aus.
* 0 EXISTS
* 0 RECENT
* FLAGS (\Seen \Answered \Flagged \Deleted \Draft $MDNSent)
* OK [PERMANENTFLAGS (\Seen \Answered \Flagged \Deleted \Draft $MDNSent)] Permanent flags
* OK [UIDVALIDITY 14] UIDVALIDITY value
* OK [UIDNEXT 40] The next unique identifier value
a3 OK [READ-WRITE] SELECT completed.

Sollte das Mailsystem bis zu diesem Punkt keinen Fehler gemeldet haben, läuft der IMAP-Dienst augenscheinlich normal und fehlerfrei.<br>
Gängiger Fehler: Die Komponente ImapProxy auf dem Exchange ist inaktiv.<br>
Der Status der Komponente kann mit folgendem Kommando über die Exchange-Shell unter Exchange 2013 und 2016 abgerufen werden:
Get-ServerComponentState -identity <ServerName>

Ist der ComponentState "inaktiv", dann kann dieser mit folgendem Befehl wieder aktivert werden:
<pre>Set-ServerComponentState -identity <ServerName> -Component ImapProxy -Requester HealthAPI -State Active </pre>

Nach dem Aktivieren des ComponentState müssen die IMAPv4 und IMAPv4 BackEnd Dienste neugestartet werden.

''Möglichkeit 6: Bug in der Mailserversoftware''<br>
Die Abholung der E-Mails aus dem Sammelpostfach ist nicht mehr möglich.<br>
Bis zum CU6 (Cumulatives Update 6) in den Exchange-Servern 2013 und 2016 existiert ein Bug der den IMAP und POP Dienst betrifft. Hier kann nach einiger Zeit kein Login mehr stattfinden obwohl die Dienste laufen und auch der Component-State aktive ist.<br>

Lösung: Neuste Updates auf den Mailserver spielen. Ab dem CU7 auf beiden Server-Varianten ist dieser Fehler behoben.<br>

'''Archiviert das UMA verschlüsselte E-Mails?'''<br>
Das UMA archiviert verschlüsselte, wie unverschlüsste E-Mails, da der Header immer frei lesbar ist und somit auch eine Userzuordnung stattfinden kann. Es gibt allerdings keine Möglichkeit Zertifikate für die verschlüsselten E-Mails zu hinterlegen. Die Suche im User-Interface kann somit nur anhand der im Header stehenden Informationen vorgenommen werden.

Eine Möglichkeit, dem User seine E-Mails unverschlüsselt zur Verfügung zu stellen ist, das Zertifikat im E-Mail Client des User zu hinterlegen und den E-Mail Client direkt an das UMA per IMAP anzubinden.

'''Wie wird verfahren, wenn kein Archiv-Speicherplatz mehr verfügbar ist?'''<br>
Eine ausführliche Anleitung zu diesem Thema findet sich im Securepoint Wiki unter [[UMA/Archivspeichererweiterung | Austausch und erweitern des Archivspeichers des UMA]]

----

==Import==
'''Massenimport nicht verfügbar'''<br>
Der Massenimport wird nicht angezeigt.
Der Massenimport ist nur in Verbindung mit einer AD-Umgebung und Microsoft-Exchange nutzbar.
----

==Monitoring==
'''Belegter Speicher von UMA per SNMP auslesen'''<br>
Damit die OIDs abgefragt werden können, muss der SNMP Dienst auf dem UMA aktiviert werden.

Der '''belegte Speicher''' kann mit den folgenden OIDs abgefragt werden.

hrStorageUsed.42 -> .1.3.6.1.2.1.25.2.3.1.6.42
<br>
hrStorageAllocationUnits.42 -> .1.3.6.1.2.1.25.2.3.1.4.42

Die beiden Werte müssen multipliziert werden:
<br>
hrStorageUsed.42 * hrStorageAllocationUnits.42 = Belegter Speicher in Byte

Der '''Gesamtspeicher''' kann mit den folgenden OIDs abgefragt werden

hrStorageSize.42 -> .1.3.6.1.2.1.25.2.3.1.5.42
<br>
hrStorageAllocationUnits.42 -> .1.3.6.1.2.1.25.2.3.1.4.42

Die beiden Werte müssen multipliziert werden:
<br>
hrStorageSize.42 * hrStorageAllocationUnits.42 = Gesamtspeicher in Byte

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">
Achtung: Bei der Berechnung sollte beachtet werden das noch ca. 14% des Speichers in dem UMA für Datenbanken und Snapshots reserviert sind.
Eine Warnmeldung über das Monitoring sollte also spätestens bei 80%, im besten Fall 70% Füllgrad des Systems erfolgen.

</span></div>
</div>
<div style="clear: both;"></div>

'''SNMP im UMA aktivieren'''<br>
Die folgenden Schritte müssen im Admin-Interface ausgeführt werden.

Im Bereich '''Setup''' unter '''Netzwerk''' ist der Punkt SNMP Einstellungen
*Den SNMP Dienst aktivieren
Je nach Art der SNMP Abfrage, können noch nötige Einstellungen für SNMPv3 oder SNMPv2c/v1 gewählt werden

UMA/FAQ

2020-04-08T07:20:23Z

Skrauti: /* Monitoring */

{{DISPLAYTITLE:Securepoint Unified Mail Archive FAQ}}{{#vardefine:headerIcon|fal fa-question}}

==Allgemein==
'''Kann das UMA auch ohne Mailserver verwendet werden?'''<br>
Gibt es ausschließlich nur einzelne Postfächer/Konten, die bei einem Anbieter von E-Mail-Diensten wie GMX, WEB, GMAIL, 1&1 oder Änlichen,
von einzelnen internen Clients abgerufen werden, kann das UMA im Normalfall nicht eingesetzt werden.

''Begründung:''<br>
Das UMA holt ausschließlich Mail von Postfächern/Konten die ein "UNSEEN"-Tag haben (ungelesene E-Mails).
Nach einem Abruf werden die entsprechenden E-Mails entweder als gelesen markiert oder gelöscht.
Ein direktes Abrufen von Benutzerpostfächern würde also dazu führen das nur eingehende Mails abgeholt werden.
Ausgehende E-Mails haben immer ein "SEEN"-Tag und werden somit nicht archiviert. Zudem sieht der Client nach dem Abruf des UMA keine "Neuen" E-Mails mehr oder das UMA holt keine E-Mails ab weil im Client, durch anklicken der Mails, diese schon ein "SEEN"-Tag haben (als gelesen markiert sind).
Die einzige Möglichkeit, wie das UMA im HUB-Modus Mails archivieren kann ist, diese von einem zentralen Postfach/Konto, Benutzerunabhängig, abzuholen.
Damit die E-Mails in dieses neu angelegte Postfach/Konto einlaufen muss die Option einer Weiterleitung für jedes Postfach/Konto bestehen.
Diese Weiterleitung muss für eingehende sowie ausgehende E-Mails gelten!
Bei den meisten der obigen Mailprovider kann KEINE ausgehende Weiterleitung für E-Mails eingerichtet werden, weshalb das UMA hier nicht eingesetzt werden kann!

''Lösung:''<br>
Bitte informieren Sie sich im Vorfeld, bei dem in Verwendung befindlichem E-Mail-Provider, über die Möglichkeiten einer vollständigen Weiterleitung pro Postfach/Konto!
Ist diese Möglichkeit gegeben, steht dem Einsatz einer UMA nichts im Wege.

Bei der Verwendung von Office365 sowie Hostet-Mailserver Lösungen ist ein Journaling oder eine vollständige Weiterleitung in den meisten Fällen möglich.
Ebenfalls möglich ist, in diesem Zusammenhang, die Lösung der Terra-Cloud oder eines kostenfrei Internen Mailserver wie H-Mail zuverwenden.

Ein passendes Webinar zum Thema [https://www.youtube.com/watch?v=-1NKrmvDaP0 "Securepoint UMA in kleinen Umgebungen"] befindet sich in unserem YouTube Channel.

Eine Anleitung zur Einrichtung von MS Office 365 liegt im Securepoint Wiki unter [[UMA/BP/Office_365 | Konfiguration - Office 365]] bereit.

'''Ist es möglich Das UMA an mehrere Benutzerumgebungen anzubinden?'''<br>
Diese Funktionalität wird nicht von uns unterstützt. Es wird ausschließlich nur das Nutzen einer Umgebung (AD, OpenLDAP oder lokale Benutzer) unterstützt. So genannte Forest Root Domains, bzw. das Splitten von Domain Controllern wird nicht unterstützt, da die Benutzer und deren E-Mailadressen nicht Serverübergreifend via LDAP abgefragt werden können. Die LDAP-Anfrage richtet sich immer nur ausschließlich an den mit dem UMA verbundenen Domain Controller

'''Der transparente Modus lässt sich nicht konfigurieren.'''<br>
Der transparente Modus ist seit Version 2.5.8 nicht mehr konfigurierbar und wird ab UMA Version 3 komplett entfernt.

'''Was passiert, wenn die Lizenz des UMA ungültig wird?'''<br>
*Die Abholung der E-Mails aus dem Sammelpostfach wird eingestellt
*Es besteht nur noch ein lesender Systemzugriff auf die bisher archivierten E-Mails

'''Müssen öffentliche Ordner (Verteilerlisten, Freigegebene Postfächer, public folder) lizenziert werden?'''<br>
Nein, die öffentlichen Postfächer werden bei einer Anbindung an das Active-Directory erkannt und müssen nicht lizenziert werden. Die Nutzung von öffentlichen Postfächern ist nur bei Verwendung eines Active Directory möglich.

'''Ist es möglich die Ordnerstrukturen des UMA abzubilden?'''<br>
Diese Funktionalität wird nicht von uns unterstützt und es ist auch nicht geplant die in Zukunft zu implementieren.

Ordnerstrukturen ändern sich stetig und dies müsste auf dem UMA nachvollzogen werden, womit die readonly-Funktion des UMA aufgehoben werden müsste.

----

==Lizensierung==
'''Die Lizenz lässt sich nicht einspielen. (z.B.:There was an error uploading the files.)'''<br>
Dies kann daran liegen das dass UMA vollgelaufen ist. Steht in der Übersicht der freie Speicher auf 0b, so ist kein Einspielen einer Lizenz möglich. <br>

''Lösung:''<br>
Der Speicher muss erweitert werden. Eine ausführliche Anleitung zu diesem Thema findet sich im Securepoint Wiki unter [[UMA/Archivspeichererweiterung | Austausch und Erweiterung des Archivspeichers des UMA]]

Desweiteren kann eine Ursache die interne Zeit des UMA sein. Weicht diese zuweit von der Lizenzlaufzeit ab, kann die Lizenz nicht hochgeladen werden bzw. ist nach dem hochladen ungültig.<br>

''Lösung:''<br>
1. Verbinden Sie sich mit dem UMA über die Konsole oder mit einem ssh-Client. Beachten Sie, dass vor einem ssh-Connect der ssh-Dienst des UMA unter "Administration -> Wartung" gestartet werden muss.
ssh -l admin 192.168.175.254

2. Setzen Sie die Zeit des UMA auf das aktuelle Datum sowie die aktuelle Uhrzeit.
date -s "06 Oct 2019 10:50:00"

3. Laden Sie das Admininterface im Browser durch [STRG]+[R] neu.

----
==Archiv / Archivierung==
'''Lassen sich bestimmte E-Mail-Adressen von der Archivierung ausnehmen?'''<br>
Ja. Unter „Administration“ -> „E-Mail-Blacklist“ lassen sich E-Mail-Adressen von der Archivierung ausnehmen.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">
Achtung: Es lassen sich nur vollständige E-Mail-Adressen definieren. Wildcards können nicht verwendet werden.
</span></div>
</div>
<div style="clear: both;"></div>

'''Wie werden Spam-E-Mails von der Archivierung ausgenommen?'''<br>
E-Mails sollen bereits an E-Mail-Gateway (z. B. Securepoint NextGen UTM) als SPAM identifiziert und gefiltert werden. Somit trifft SPAM erst gar nicht im Journal-Postfach des Mailsystems ein.

'''Werden Verschlüsselte E-Mails archiviert?'''<br>
Verschlüsselte E-Mails werden so archiviert wie sie sind. Der Header einer E-Mail ist nicht verschlüsselt, so das die Zuweisung zum Benutzer getroffen werden kann. Ein Privater Schlüssel kann in dem UMA nicht hinterlegt werden. Daher müssen diese E-Mails zur Sichtung aus dem UMA heruntergeladen werden, um sie dann mit internen Mitteln öffnen zu können.

'''Mails werden nicht vom Exchange-Mailserver abgeholt'''<br>
Es kann verschiedene Gründe geben, warum die E-Mails aus dem Journal-Postfach des Exchange-Mailserver von dem UMA nicht abgeholt werden können. Im Folgenden haben wir die häufigsten dargestellt.

''Möglichkeit 1: Die UMA Lizenz ist abgelaufen''<br>
Die Abholung der E-Mails aus dem Sammelpostfach wird eingestellt.<br>
Lösung: Es muss eine neue gültige Lizenz im UMA registriert werden.

''Möglichkeit 2: Der Archiv-Speicherplatz des UMA ist voll''<br>
Steht kein Speicherplatz zur Verfügung, kann das UMA keine weiteren Daten archivieren. Unter Berücksichtigung der Systemvoraussetzungen/Projektplanung, kann der vorhandene durch neuen Speicher mit höherer Kapazität ersetzt werden.<br>
Eine ausführliche Anleitung zu diesem Thema findet sich im Securepoint Wiki unter [[UMA/Archivspeichererweiterung | Austausch und Erweiterung des Archivspeichers des UMA]]

''Möglichkeit 3: Journal-Postfach zu voll''<br>
Ab einer gewissen Anzahl von E-Mails kann der IMAP-Dienst eines E-Mailsystems träge reagieren.<br>
Lösung: In diesem Fall müssen auf dem Mailserver der Posteingang des Journal-Postfachs geprüft und überflüssige E-Mails gelöscht werden.

Über das Webinterface des UMA lässt sich die Funktion "E-Mails auf dem Server belassen" deaktivieren. Das UMA löscht dann die E-Mails aus dem Journal-Postfach nachdem es diese abgeholt hat.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">
Achtung: Das Löschen über diese Funktion bezieht sich nur auf E-Mails die nach dem deaktivieren abgeholt werden.
</span></div>
</div>
<div style="clear: both;"></div>

''Möglichkeit 4: Der IMAP-Dienst auf dem Mailsystem läuft nicht''<br>
Lösung: Status des Dienstes auf dem Mailserver prüfen und den Dienst gegebenenfalls neu starten.<br>
Anschliessend einen Verbindungstest mit einem Telnet-Client zum Mailserver durchführen. Wie dieser durchzuführen ist, wird unter Möglichkeit 5 beschrieben.

''Möglichkeit 5: Grundsätzliches Problem mit dem IMAP-Dienst des Mailsystems''<br>
Lösung: Debugging des IMAP-Dienstes per Telnet.

1. Verbinden Sie sich mit einem Rechner mit installiertem Telnet-Client auf das Mailsystem.
telnet 192.168.1.50 143
Der Server begrüßt Sie.
* OK The Microsoft Exchange IMAP4 service is ready.

2. Loggen Sie sich nun mit dem Journal-Konto, welches auch in dem UMA konfiguriert ist, ein. In diesem Beispiel ist der Benutzername "journal" und das Passwort "insecure".
a1 LOGIN journal insecure
Der IMAP-Dienst des Mailsystems nimmt den Login an.
a1 OK LOGIN completed.

3. Lassen Sie sich die verfügbaren IMAP-Ordner anzeigen.
a2 LIST „“ „*“

Das Mailsystem listet alle Ordner auf.
* LIST (\HasNoChildren) „/“ Aufgaben
* LIST (\HasNoChildren) „/“ Entw&APw-rfe
* LIST (\HasNoChildren) „/“ „Gel&APY-schte Elemente“
* LIST (\HasNoChildren) „/“ „Gesendete Elemente“
* LIST (\HasNoChildren) „/“ Journal
* LIST (\HasNoChildren) „/“ Junk-E-Mail
* LIST (\HasNoChildren) „/“ Kalender
* LIST (\HasChildren) „/“ Kontakte
* LIST (\HasNoChildren) „/“ Notizen
* LIST (\HasNoChildren) „/“ Postausgang
* LIST (\Marked \HasNoChildren) „/“ INBOX
a2 OK LIST completed.

4. Wählen Sie den Ordner INBOX (Posteingang) aus.
a3 SELECT INBOX

Der Server gibt eine Übersicht des Ordners aus.
* 0 EXISTS
* 0 RECENT
* FLAGS (\Seen \Answered \Flagged \Deleted \Draft $MDNSent)
* OK [PERMANENTFLAGS (\Seen \Answered \Flagged \Deleted \Draft $MDNSent)] Permanent flags
* OK [UIDVALIDITY 14] UIDVALIDITY value
* OK [UIDNEXT 40] The next unique identifier value
a3 OK [READ-WRITE] SELECT completed.

Sollte das Mailsystem bis zu diesem Punkt keinen Fehler gemeldet haben, läuft der IMAP-Dienst augenscheinlich normal und fehlerfrei.<br>
Gängiger Fehler: Die Komponente ImapProxy auf dem Exchange ist inaktiv.<br>
Der Status der Komponente kann mit folgendem Kommando über die Exchange-Shell unter Exchange 2013 und 2016 abgerufen werden:
Get-ServerComponentState -identity <ServerName>

Ist der ComponentState "inaktiv", dann kann dieser mit folgendem Befehl wieder aktivert werden:
<pre>Set-ServerComponentState -identity <ServerName> -Component ImapProxy -Requester HealthAPI -State Active </pre>

Nach dem Aktivieren des ComponentState müssen die IMAPv4 und IMAPv4 BackEnd Dienste neugestartet werden.

''Möglichkeit 6: Bug in der Mailserversoftware''<br>
Die Abholung der E-Mails aus dem Sammelpostfach ist nicht mehr möglich.<br>
Bis zum CU6 (Cumulatives Update 6) in den Exchange-Servern 2013 und 2016 existiert ein Bug der den IMAP und POP Dienst betrifft. Hier kann nach einiger Zeit kein Login mehr stattfinden obwohl die Dienste laufen und auch der Component-State aktive ist.<br>

Lösung: Neuste Updates auf den Mailserver spielen. Ab dem CU7 auf beiden Server-Varianten ist dieser Fehler behoben.<br>

'''Archiviert das UMA verschlüsselte E-Mails?'''<br>
Das UMA archiviert verschlüsselte, wie unverschlüsste E-Mails, da der Header immer frei lesbar ist und somit auch eine Userzuordnung stattfinden kann. Es gibt allerdings keine Möglichkeit Zertifikate für die verschlüsselten E-Mails zu hinterlegen. Die Suche im User-Interface kann somit nur anhand der im Header stehenden Informationen vorgenommen werden.

Eine Möglichkeit, dem User seine E-Mails unverschlüsselt zur Verfügung zu stellen ist, das Zertifikat im E-Mail Client des User zu hinterlegen und den E-Mail Client direkt an das UMA per IMAP anzubinden.

'''Wie wird verfahren, wenn kein Archiv-Speicherplatz mehr verfügbar ist?'''<br>
Eine ausführliche Anleitung zu diesem Thema findet sich im Securepoint Wiki unter [[UMA/Archivspeichererweiterung | Austausch und erweitern des Archivspeichers des UMA]]

----

==Import==
'''Massenimport nicht verfügbar'''<br>
Der Massenimport wird nicht angezeigt.
Der Massenimport ist nur in Verbindung mit einer AD-Umgebung und Microsoft-Exchange nutzbar.
----

==Monitoring==
'''Belegter Speicher von UMA per SNMP auslesen'''<br>
Damit die OIDs abgefragt werden können, muss der SNMP Dienst auf dem UMA aktiviert werden.

Der '''belegte Speicher''' kann mit den folgenden OIDs abgefragt werden.

hrStorageUsed.42 -> .1.3.6.1.2.1.25.2.3.1.6.42
<br>
hrStorageAllocationUnits.42 -> .1.3.6.1.2.1.25.2.3.1.4.42

Die beiden Werte müssen multipliziert werden:
<br>
hrStorageUsed.42 * hrStorageAllocationUnits.42 = Belegter Speicher in Byte

Der '''Gesamtspeicher''' kann mit den folgenden OIDs abgefragt werden

hrStorageSize.42 -> .1.3.6.1.2.1.25.2.3.1.5.42
<br>
hrStorageAllocationUnits.42 -> .1.3.6.1.2.1.25.2.3.1.4.42

Die beiden Werte müssen multipliziert werden:
<br>
hrStorageSize.42 * hrStorageAllocationUnits.42 = Gesamtspeicher in Byte

Bei der Berechnung sollte beachtet werden das noch ca. 14% des Speichers in dem UMA für Datenbanken und Snapshots reserviert sind.
Eine Warnmeldung über das Monitoring sollte also spätestens bei 80%, im besten Fall 70% Füllgrad des Systems erfolgen.

'''SNMP im UMA aktivieren'''<br>
Die folgenden Schritte müssen im Admin-Interface ausgeführt werden.

Im Bereich '''Setup''' unter '''Netzwerk''' ist der Punkt SNMP Einstellungen
*Den SNMP Dienst aktivieren
Je nach Art der SNMP Abfrage, können noch nötige Einstellungen für SNMPv3 oder SNMPv2c/v1 gewählt werden

Anpassung Exchange-Server 2013 für HUB Modus UMA2.0

2020-02-03T13:01:01Z

Skrauti: /* Hinzufügen einer neuen Premium-Journalregel (mit Exchange Enterprise-CAL) */

[[Kategorie:UMAv2]]

==Anpassung des Exchange-Server 2013 für den Hub-Mode des UMA==
Für den Hub-Betrieb des UMA muss auf dem Exchange-Server ein dafür erforderliches Journaling-Konto angelegt werden. Alle E-Mails die den Mailserver passieren, eingehende sowie ausgehende, sollen so in das Hub-Konto kopiert werden damit das UMA diese dann von dem Konto via IMAP abholen und archivieren kann.

'''Diese Konfigurationen werden direkt am Mailserver durchgeführt.'''

Dieser Abschnitt bietet nur einen kurzen Überblick. Für weitergehende Informationen lesen Sie die MS Exchange Dokumentation.<br>
Die Bildschirmaufnahmen wurden in einem MS Exchange Server 2013 System angefertigt.

===IMAP Einstellungen===
====Authentifizierungsmethode des IMAP Servers einstellen====
[[Datei:Exc2013_IMAP1.png|250px|right|thumb|Exchange 2013 Server-Dienste Verwaltung]]
[[Datei:Exc2013_IMAP2.png|250px|right|thumb|IMAP4 Authentifizierungsmethode ändern]]
Zur Anmeldung muss die „Nur-Text-Anmeldung“ ohne TLS Verbindung aktiviert werden. Standardmäßig ist die „Sichere TLS-Verbindung“ eingestellt.

Öffnen Sie die Exchange-Verwaltungskonsole, wählen Sie im Menüpunkt "Server" den Server aus und klicken auf [[Datei:Exc2013_EditB.png|25px]]

Wählen Sie im Menüpunkt "IMAP4", die Anmeldemethode '''''Standardauthentifizierung (Nur-Text)''''' und klicken auf [[Datei:Exc2013_SaveB.png|80px]]

====Starttyp des Dienstes ändern====
[[Datei:Exc2013_IMAPD1.png|250px|right|thumb|IMAP4 Dienst]]
[[Datei:Exc2013_IMAPD2.png|250px|right|thumb|IMAP4 Dienst bearbeiten]]
[[Datei:Exc2013_IMAPD3.png|250px|right|thumb|IMAP4-Back-End Dienst]]
Die Microsoft Exchange Dienste ''IMAP4'' und ''IMAP4-Back-End'' müssen zur Übernahme der Änderung der Authentifizierungsmethode neu und sollen zukünftig automatisch gestartet werden.

Wechseln Sie im Server-Manager zum Tool "Computerverwaltung" und unter ''Dienste und Anwendungen'' in den Untereintrag ''Dienste''.<br>
Wählen Sie aus der Liste den Eintrag ''Microsoft Exchange IMAP4'' und öffnen Sie das Kontextmenü durch Klick mit der rechten Maustaste auf diesen Eintrag.<br>
Wählen Sie nun den Menüpunkt ''Eigenschaften''.

Auf der Registerkarte Allgemein wählen Sie im Dropdownmenü ''Starttyp'' den Eintrag '''''Automatisch''''' aus, klicken auf [[Datei:Exc2013_StartB.png|70px]] und abschließend auf [[Datei:EXC2013_UebB.png|65px]]

Die gesamte Prozedur wiederholen Sie nun ebenfalls für den Dienst ''Microsoft Exchange IMAP4-Back-End''.

===Anlegen des Postfaches===
[[Datei:Exc2013_UMAkto1.png|250px|right|thumb|Exchange Verwaltungskonsole]]
Auf der Verwaltungskonsole des Exchange legen Sie ein neues Postfach an, von der das UMA die E-Mails abholen kann.

Dazu wählen Sie unter dem Menüpunkt ''Empfänger'' die ''Postfächer'' aus und klicken auf [[Datei:Exc2013_AddB.png|15px]] um ein neues Benutzerpostfach anzulegen.

[[Datei:Exc2013_UMAkto2.png|250px|right|thumb|UMA-Postfach einrichten]]
In dem nun geöffneten Fenster tragen Sie nacheinander einen Alias für dieses Postfach, einen Anzeigenamen und einen Namen ein.<br>
Weiterhin einen Benutzeranmeldenamen und ein Kennwort, das Sie in der folgenden Zeile nochmals eintragen.

Abschließend klicken Sie auf [[Datei:Exc2013_SaveB.png|80px]]

===Hinzufügen einer neuen Journalregel===
Exchange 2013 stellt die folgenden Journaloptionen bereit:
*'''Standardjournale''' Standardjournale werden für eine Postfachdatenbank konfiguriert. Dadurch kann der Journal-Agent alle Nachrichten in Journalen erfassen, die an und von Postfächern in einer bestimmten Postfachdatenbank gesendet werden. Wenn alle Nachrichten an alle Empfänger und von allen Absendern in Journalen aufgezeichnet werden sollen, müssen Sie Journale für alle Postfachdatenbanken auf allen Postfachservern in der Organisation konfigurieren.

*'''Premium-Journale''' Mit Premium-Journalen kann der Journal-Agent mithilfe von Journalregeln Journale mit größerer Granularität erstellen. Anstatt alle Postfächer in einer Postfachdatenbank in Journalen aufzuzeichnen, können Sie in Abstimmung auf die Anforderungen Ihrer Organisation Journalregeln konfigurieren, mit denen einzelne Empfänger oder Mitglieder von Verteilergruppen in Journalen erfasst werden. Zur Verwendung der Premium-Journalfunktion müssen Sie eine Exchange Enterprise-Clientzugriffslizenz (Client Access License, CAL) besitzen.

Quelle: http://technet.microsoft.com/de-de/library/aa998649(v=exchg.150).aspx

====Hinzufügen einer neuen Standard-Journalregel====
[[Datei:Exc2013_SJR1.png|250px|right|thumb|Datenbank Verwaltung]]
Eine Standard-Journalregel erstellen Sie, indem Sie in der Exchange-Verwaltungskonsole den Menüpunkt ''Server'' und das Untermenü ''Datenbanken'' ansteuern.<br>
Mit einem Mausklick auf [[Datei:Exc2013_EditB.png|25px]] oder einem Doppelklick auf die Datenbank erreichen Sie die Einstellungen in der Sie den Menüpunkt ''Wartung'' auswählen.

[[Datei:Exc2013_SJR2.png|250px|right|thumb|Journalempfänger]]
Wählen Sie als ''Journalempfänger'' den Namen des eben angelegten Benutzers für das UMA-Benutzerpostfach aus und klicken Sie auf [[Datei:Exc2013_SaveB.png|80px]]

====Hinzufügen einer neuen Premium-Journalregel (mit Exchange Enterprise-CAL)====
[[Datei:Exc2013_JR3.png|250px|right|thumb|Journalregel Verwaltung]]
Wechseln Sie in der Exchange-Verwaltungskonsole zum Menüpunkt ''Verwaltung der Richtlinientreue'' und wählen das Untermenü ''Journalregeln''.<br>
Mit einem Klick auf den [[Datei:Exc2013_AddB.png|15px]] Button öffnen Sie das Fenster zur Einrichtung einer neuen Journalregel.

[[Datei:Exc2013_JR4.png|250px|right|thumb|Journalregel anlegen]]
Tragen Sie für die Regel einen Namen ein

Da die Regel sich auf alle Empfänger beziehen soll, wählen Sie unter ''Beim Senden der Nachricht an oder Empfangen der Nachricht von...'' die Option '''''[Auf alle Nachrichten anwenden]'''''

Weiterhin soll die Regel auf alle Nachrichten, unabhängig vom Ursprung oder Ziel, angewendet werden, daher wählen Sie unter ''Folgende Nachrichten im Journal erfassen ...'' die Option '''''Alle Nachrichten'''''

Unter ''Journalberichte senden an:'' tragen Sie nun das UMA Benutzerpostfach ein, das Sie gerade erstellt haben.

Abschließend klicken Sie auf [[Datei:Exc2013_SaveB.png|80px]] und schließen das anlegen der Journalregel damit ab.

Nach Anlage einer der beiden Journalregeln werden alle Nachrichten/E-Mails in das neu angelegte Postfach kopiert, wo sie von dem UMA via IMAP abgeholt werden können.

UMA/FAQ

2019-09-06T06:28:51Z

Skrauti:

{{DISPLAYTITLE:Securepoint Unified Mail Archive FAQ}}

==Allgemein==
'''Kann das UMA auch ohne Mailserver verwendet werden?'''<br>
Gibt es ausschließlich nur einzelne Postfächer/Konten, die bei einem Anbieter von E-Mail-Diensten wie GMX, WEB, GMAIL, 1&1 oder Änlichen,
von einzelnen internen Clients abgerufen werden, kann das UMA im Normalfall nicht eingesetzt werden.

''Begründung:''<br>
Das UMA holt ausschließlich Mail von Postfächern/Konten die ein "UNSEEN"-Tag haben (ungelesene E-Mails).
Nach einem Abruf werden die entsprechenden E-Mails entweder als gelesen markiert oder gelöscht.
Ein direktes Abrufen von Benutzerpostfächern würde also dazu führen das nur eingehende Mails abgeholt werden.
Ausgehende E-Mails haben immer ein "SEEN"-Tag und werden somit nicht archiviert. Zudem sieht der Client nach dem Abruf des UMA keine "Neuen" E-Mails mehr oder das UMA holt keine E-Mails ab weil im Client, durch anklicken der Mails, diese schon ein "SEEN"-Tag haben (als gelesen markiert sind).
Die einzige Möglichkeit, wie das UMA im HUB-Modus Mails archivieren kann ist, diese von einem zentralen Postfach/Konto, Benutzerunabhängig, abzuholen.
Damit die E-Mails in dieses neu angelegte Postfach/Konto einlaufen muss die Option einer Weiterleitung für jedes Postfach/Konto bestehen.
Diese Weiterleitung muss für eingehende sowie ausgehende E-Mails gelten!
Bei den meisten der obigen Mailprovider kann KEINE ausgehende Weiterleitung für E-Mails eingerichtet werden, weshalb das UMA hier nicht eingesetzt werden kann!

''Lösung:''<br>
Bitte informieren Sie sich im Vorfeld, bei dem in Verwendung befindlichem E-Mail-Provider, über die Möglichkeiten einer vollständigen Weiterleitung pro Postfach/Konto!
Ist diese Möglichkeit gegeben, steht dem Einsatz einer UMA nichts im Wege.

Bei der Verwendung von Office365 sowie Hostet-Mailserver Lösungen ist ein Journaling oder eine vollständige Weiterleitung in den meisten Fällen möglich.
Ebenfalls möglich ist, in diesem Zusammenhang, die Lösung der Terra-Cloud oder eines kostenfrei Internen Mailserver wie H-Mail zuverwenden.

Ein passendes Webinar zum Thema [https://www.youtube.com/watch?v=-1NKrmvDaP0 "Securepoint UMA in kleinen Umgebungen"] befindet sich in unserem YouTube Channel.

Eine Anleitung zur Einrichtung von MS Office 365 liegt im Securepoint Wiki unter [[UMA/BP/Office_365 | Konfiguration - Office 365]] bereit.

'''Der transparente Modus lässt sich nicht konfigurieren.'''<br>
Der transparente Modus ist seit Version 2.5.8 nicht mehr konfigurierbar und wird ab UMA Version 3 komplett entfernt.

'''Was passiert, wenn die Lizenz des UMA ungültig wird?'''<br>
*Die Abholung der E-Mails aus dem Sammelpostfach wird eingestellt
*Es besteht nur noch ein lesender Systemzugriff auf die bisher archivierten E-Mails

'''Müssen öffentliche Ordner (Verteilerlisten, Freigegebene Postfächer, public folder) lizenziert werden?'''<br>
Nein, die öffentlichen Postfächer werden bei einer Anbindung an das Active-Directory erkannt und müssen nicht lizenziert werden. Die Nutzung von öffentlichen Postfächern ist nur bei Verwendung eines Active Directory möglich.

'''Ist es möglich die Ordnerstrukturen des UMA abzubilden?'''<br>
Diese Funktionalität wird nicht von uns unterstützt und es ist auch nicht geplant die in Zukunft zu implementieren.

Ordnerstrukturen ändern sich stetig und dies müsste auf dem UMA nachvollzogen werden, womit die readonly-Funktion des UMA aufgehoben werden müsste.

----
==Lizensierung==
'''Die Lizenz lässt sich nicht einspielen. (z.B.:There was an error uploading the files.)'''<br>
Dies kann daran liegen das dass UMA vollgelaufen ist. Steht in der Übersicht der freie Speicher auf 0b, so ist kein Einspielen einer Lizenz möglich. <br>

''Lösung:''<br>
Der Speicher muss erweitert werden. Eine ausführliche Anleitung zu diesem Thema findet sich im Securepoint Wiki unter [[UMA/Archivspeichererweiterung | Austausch und Erweiterung des Archivspeichers des UMA]]

Desweiteren kann eine Ursache die interne Zeit des UMA sein. Weicht diese zuweit von der Lizenzlaufzeit ab, kann die Lizenz nicht hochgeladen werden bzw. ist nach dem hochladen ungültig.<br>

''Lösung:''<br>
1. Verbinden Sie sich mit dem UMA über die Konsole oder mit einem ssh-Client. Beachten Sie, dass vor einem ssh-Connect der ssh-Dienst des UMA unter "Administration -> Wartung" gestartet werden muss.
ssh -l admin 192.168.175.254

2. Setzen Sie die Zeit des UMA auf das aktuelle Datum sowie die aktuelle Uhrzeit.
date -s "06 Oct 2019 10:50:00"

3. Laden Sie das Admininterface im Browser durch [STRG]+[R] neu.

----
==Archiv / Archivierung==
'''Lassen sich bestimmte E-Mail-Adressen von der Archivierung ausnehmen?'''<br>
Ja. Unter „Administration“ -> „E-Mail-Blacklist“ lassen sich E-Mail-Adressen von der Archivierung ausnehmen.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">
Achtung: Es lassen sich nur vollständige E-Mail-Adressen definieren. Wildcards können nicht verwendet werden.
</span></div>
</div>
<div style="clear: both;"></div>

'''Wie werden Spam-E-Mails von der Archivierung ausgenommen?'''<br>
E-Mails sollen bereits an E-Mail-Gateway (z. B. Securepoint NextGen UTM) als SPAM identifiziert und gefiltert werden. Somit trifft SPAM erst gar nicht im Journal-Postfach des Mailsystems ein.

'''Werden Verschlüsselte E-Mails archiviert?'''<br>
Verschlüsselte E-Mails werden so archiviert wie sie sind. Der Header einer E-Mail ist nicht verschlüsselt, so das die Zuweisung zum Benutzer getroffen werden kann. Ein Privater Schlüssel kann in dem UMA nicht hinterlegt werden. Daher müssen diese E-Mails zur Sichtung aus dem UMA heruntergeladen werden, um sie dann mit internen Mitteln öffnen zu können.

'''Mails werden nicht vom Exchange-Mailserver abgeholt'''<br>
Es kann verschiedene Gründe geben, warum die E-Mails aus dem Journal-Postfach des Exchange-Mailserver von dem UMA nicht abgeholt werden können. Im Folgenden haben wir die häufigsten dargestellt.

''Möglichkeit 1: Die UMA Lizenz ist abgelaufen''<br>
Die Abholung der E-Mails aus dem Sammelpostfach wird eingestellt.<br>
Lösung: Es muss eine neue gültige Lizenz im UMA registriert werden.

''Möglichkeit 2: Der Archiv-Speicherplatz des UMA ist voll''<br>
Steht kein Speicherplatz zur Verfügung, kann das UMA keine weiteren Daten archivieren. Unter Berücksichtigung der Systemvoraussetzungen/Projektplanung, kann der vorhandene durch neuen Speicher mit höherer Kapazität ersetzt werden.<br>
Eine ausführliche Anleitung zu diesem Thema findet sich im Securepoint Wiki unter [[UMA/Archivspeichererweiterung | Austausch und Erweiterung des Archivspeichers des UMA]]

''Möglichkeit 3: Journal-Postfach zu voll''<br>
Ab einer gewissen Anzahl von E-Mails kann der IMAP-Dienst eines E-Mailsystems träge reagieren.<br>
Lösung: In diesem Fall müssen auf dem Mailserver der Posteingang des Journal-Postfachs geprüft und überflüssige E-Mails gelöscht werden.

Über das Webinterface des UMA lässt sich die Funktion "E-Mails auf dem Server belassen" deaktivieren. Das UMA löscht dann die E-Mails aus dem Journal-Postfach nachdem es diese abgeholt hat.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">
Achtung: Das Löschen über diese Funktion bezieht sich nur auf E-Mails die nach dem deaktivieren abgeholt werden.
</span></div>
</div>
<div style="clear: both;"></div>

''Möglichkeit 4: Der IMAP-Dienst auf dem Mailsystem läuft nicht''<br>
Lösung: Status des Dienstes auf dem Mailserver prüfen und den Dienst gegebenenfalls neu starten.<br>
Anschliessend einen Verbindungstest mit einem Telnet-Client zum Mailserver durchführen. Wie dieser durchzuführen ist, wird unter Möglichkeit 5 beschrieben.

''Möglichkeit 5: Grundsätzliches Problem mit dem IMAP-Dienst des Mailsystems''<br>
Lösung: Debugging des IMAP-Dienstes per Telnet.

1. Verbinden Sie sich mit einem Rechner mit installiertem Telnet-Client auf das Mailsystem.
telnet 192.168.1.50 143
Der Server begrüßt Sie.
* OK The Microsoft Exchange IMAP4 service is ready.

2. Loggen Sie sich nun mit dem Journal-Konto, welches auch in dem UMA konfiguriert ist, ein. In diesem Beispiel ist der Benutzername "journal" und das Passwort "insecure".
a1 LOGIN journal insecure
Der IMAP-Dienst des Mailsystems nimmt den Login an.
a1 OK LOGIN completed.

3. Lassen Sie sich die verfügbaren IMAP-Ordner anzeigen.
a2 LIST „“ „*“

Das Mailsystem listet alle Ordner auf.
* LIST (\HasNoChildren) „/“ Aufgaben
* LIST (\HasNoChildren) „/“ Entw&APw-rfe
* LIST (\HasNoChildren) „/“ „Gel&APY-schte Elemente“
* LIST (\HasNoChildren) „/“ „Gesendete Elemente“
* LIST (\HasNoChildren) „/“ Journal
* LIST (\HasNoChildren) „/“ Junk-E-Mail
* LIST (\HasNoChildren) „/“ Kalender
* LIST (\HasChildren) „/“ Kontakte
* LIST (\HasNoChildren) „/“ Notizen
* LIST (\HasNoChildren) „/“ Postausgang
* LIST (\Marked \HasNoChildren) „/“ INBOX
a2 OK LIST completed.

4. Wählen Sie den Ordner INBOX (Posteingang) aus.
a3 SELECT INBOX

Der Server gibt eine Übersicht des Ordners aus.
* 0 EXISTS
* 0 RECENT
* FLAGS (\Seen \Answered \Flagged \Deleted \Draft $MDNSent)
* OK [PERMANENTFLAGS (\Seen \Answered \Flagged \Deleted \Draft $MDNSent)] Permanent flags
* OK [UIDVALIDITY 14] UIDVALIDITY value
* OK [UIDNEXT 40] The next unique identifier value
a3 OK [READ-WRITE] SELECT completed.

Sollte das Mailsystem bis zu diesem Punkt keinen Fehler gemeldet haben, läuft der IMAP-Dienst augenscheinlich normal und fehlerfrei.<br>
Gängiger Fehler: Die Komponente ImapProxy auf dem Exchange ist inaktiv.<br>
Der Status der Komponente kann mit folgendem Kommando über die Exchange-Shell unter Exchange 2013 und 2016 abgerufen werden:
Get-ServerComponentState -identity <ServerName>

Ist der ComponentState "inaktiv", dann kann dieser mit folgendem Befehl wieder aktivert werden:
<pre>Set-ServerComponentState -identity <ServerName> -Component ImapProxy -Requester HealthAPI -State Active </pre>

Nach dem Aktivieren des ComponentState müssen die IMAPv4 und IMAPv4 BackEnd Dienste neugestartet werden.

''Möglichkeit 6: Bug in der Mailserversoftware''<br>
Die Abholung der E-Mails aus dem Sammelpostfach ist nicht mehr möglich.<br>
Bis zum CU6 (Cumulatives Update 6) in den Exchange-Servern 2013 und 2016 existiert ein Bug der den IMAP und POP Dienst betrifft. Hier kann nach einiger Zeit kein Login mehr stattfinden obwohl die Dienste laufen und auch der Component-State aktive ist.<br>

Lösung: Neuste Updates auf den Mailserver spielen. Ab dem CU7 auf beiden Server-Varianten ist dieser Fehler behoben.<br>

'''Archiviert das UMA verschlüsselte E-Mails?'''<br>
Das UMA archiviert verschlüsselte, wie unverschlüsste E-Mails, da der Header immer frei lesbar ist und somit auch eine Userzuordnung stattfinden kann. Es gibt allerdings keine Möglichkeit Zertifikate für die verschlüsselten E-Mails zu hinterlegen. Die Suche im User-Interface kann somit nur anhand der im Header stehenden Informationen vorgenommen werden.

Eine Möglichkeit, dem User seine E-Mails unverschlüsselt zur Verfügung zu stellen ist, das Zertifikat im E-Mail Client des User zu hinterlegen und den E-Mail Client direkt an das UMA per IMAP anzubinden.

'''Wie wird verfahren, wenn kein Archiv-Speicherplatz mehr verfügbar ist?'''<br>
Eine ausführliche Anleitung zu diesem Thema findet sich im Securepoint Wiki unter [[UMA/Archivspeichererweiterung | Austausch und erweitern des Archivspeichers des UMA]]

----

==Import==
'''Massenimport nicht verfügbar'''<br>
Der Massenimport wird nicht angezeigt.
Der Massenimport ist nur in Verbindung mit einer AD-Umgebung und Microsoft-Exchange nutzbar.
----

==Monitoring==
'''Belegter Speicher von UMA per SNMP auslesen'''<br>
Damit die OIDs abgefragt werden können, muss der SNMP Dienst auf dem UMA aktiviert werden.

Der '''belegte Speicher''' kann mit den folgenden OIDs abgefragt werden

hrStorageUsed.42 -> .1.3.6.1.2.1.25.2.3.1.6.42
<br>
hrStorageAllocationUnits.42 -> .1.3.6.1.2.1.25.2.3.1.4.42

Die beiden Werte müssen multipliziert werden:
<br>
hrStorageUsed.42 * hrStorageAllocationUnits.42 = Belegter Speicher in Byte

Der '''Gesamtspeicher''' kann mit den folgenden OIDs abgefragt werden

hrStorageSize.42 -> .1.3.6.1.2.1.25.2.3.1.5.42
<br>
hrStorageAllocationUnits.42 -> .1.3.6.1.2.1.25.2.3.1.4.42

Die beiden Werte müssen multipliziert werden:
<br>
hrStorageSize.42 * hrStorageAllocationUnits.42 = Gesamtspeicher in Byte

'''SNMP im UMA aktivieren'''<br>
Die folgenden Schritte müssen im Admin-Interface ausgeführt werden.

Im Bereich '''Setup''' unter '''Netzwerk''' ist der Punkt SNMP Einstellungen
*Den SNMP Dienst aktivieren
Je nach Art der SNMP Abfrage, können noch nötige Einstellungen für SNMPv3 oder SNMPv2c/v1 gewählt werden

UMA/UMAaaS v3.1.4

2019-08-20T14:47:47Z

Skrauti:

{{Set_lang}}

{{var|display|UMA as a Service
| UMA as a Service}}
{{var|1|Bereitstellung und Konfiguration von "UMA as a Service" - Cloudbasierte E-Mail-Archivierung
|Deployment and configuration of "UMA as a Service" - cloud-based email archiving }}
{{var|1b|Artikel neu:
|New article: }}
{{var|2|Organisatorische Voraussetzungen
|Organizational requirements }}
{{var|2b|UMAAAS_v2.5.21_Status.png
|UMAAAS_v2.5.21_Status-en.png }}
{{var|3|{{Hinweis | ! }}Für den Einsatz einer UMAaaS-Umgebung ist eine Weiterleitung aller ein- und ausgehenden E-Mails notwendig! Beachtet werden sollte hier der Punkt [https://wiki.securepoint.de/UMA/FAQ#Allgemein "Kann das UMA auch ohne Mailserver verwendet werden?"] </p><p> Der Managed Service "UMA as a Service" kann entweder über das '''TERRA CLOUD Center''' oderüber die '''api Cloud''' bestellt werden.
|The Managed Service "UMA as a Service" can be ordered either via the '''TERRA CLOUD Center'' or via the '''api Cloud''. }}

{{var|4|Für eine Bestellung im ''TERRA CLOUD Center'' muss das dortige Konto mit einem entsprechenden ''Securepoint Reseller-Account'' verknüpft werden. Das wird in den Einstellungen (Zahnrad unten links) unter „Meine zusätzlichen Dienstleistungen" → „Securepoint“ konfiguriert.</p><p>Nach erfolgreicher Verknüpfung finden sich unsere Produkte unter: "TERRA CLOUD" -> "Security as a Service".Bei weiteren Fragen zum Bestellprozess steht das WORTMANN AG Security-Team (E-Mail: [mailto:security@wortmann.de security@wortmann.de]) zur Verfügung. Bitte für Bestellungen ausschließlich die URL [http://www.terracloud.de www.terracloud.de] verwenden.
|For an order in the ''TERRA CLOUD Center'', the account there must be linked to a corresponding ''Securepoint Reseller Account''. This is configured in the settings (gearwheel at the bottom left) under "My additional services" → "Securepoint".</p><p>After successful linking you will find our products under: "TERRA CLOUD" -> "Security as a Service". If you have any further questions regarding the ordering process, please contact the WORTMANN AG Security Team (e-mail: [mailto:security@wortmann.de security@wortmann.de]). Please use only the URL [http://www.terracloud.de www.terracloud.de] for orders. }}

{{var|5|Für eine Bestellung über ''api Cloud'' muss das dortige Konto mit einem entsprechendem ''Securepoint Reseller-Account'' verknüpft werden. Das wird in den Einstellungen (Zahnrad unten links) unter „Meine zusätzlichen Dienstleistungen" > „Securepoint“ konfiguriert.</p><p>Bei weiteren Fragen zum Bestellprozess haben, steht das api Security-Team (E-Mail: [mailto:security@vad4u.de security@vad4u.de]) zur Verfügung.
|For an order via ''api Cloud'' the account there must be linked with a corresponding ''Securepoint Reseller-Account''. This can be configured in the settings (gearwheel at the bottom left) under "My additional services" > "Securepoint".</p><p>If you have further questions about the order process, please contact the api Security Team (e-mail: [mailto:security@vad4u.de security@vad4u.de]). }}

{{var|6|Der Dienst wird durch die Firma Wortmann AG bereitgestellt und auf deren Servern in Deutschland gehostet und von Securepoint konfiguriert und betreut.<br>Wenn der Service bereitsteht wird eine Mail mit den erforderlichen Zugangsdaten versendet. <br>Das Kennwort für den Administrator-Zugang wird telefonisch mitgeteilt und {{Hinweis | ! darf nicht geändert werden!}} Wir benötigen die Zugangsdaten für die Wartung des Managed Service (Updates, Monitoring etc.) !
|The service is provided by the company Wortmann AG and hosted on their servers in Germany and configured and maintained by Securepoint.<br>If the service is provided, a mail with the required credentials will be sent. <br>The password for administrator access is communicated by telephone and {{Hinweis | ! must not be changed!}} We need the credentials for the maintenance of the Managed Service (updates, monitoring etc.) ! }}

{{var|7|Konfiguration
|Konfiguration }}
{{var|8|E-Mail-Domänen anlegen
|Create e-mail domains }}
{{var|9|Setup
|Setup }}
{{var|10|E-Mail-Server
|Mailserver }}
{{var|11a|Es werden per Default E-Mail-Adressen für den Empfang von Mails für die Archivierung unter der Domäne archiv.securepoint.cloud zur Verfügung gestellt. Dieser Zugang ist bereits vorkonfiguriert.<br>Es lassen sich weitere Domänen hinzufügen, deren Zugang im Abschnitt {{Kasten|Remote E-Mail Konten|UMA}} konfiguriert werden muss.
|By default, email addresses are provided for receiving mails for archiving under the domain archiv.securepoint.cloud. This access is already preconfigured.<br>Additional domains can be added whose access must be configured in the {{Kasten|Remote email accounts|UMA}} section. }}
{{var|11|Remote E-Mail-Server Einstellungen
|Remote Mailserver settings }}
{{var|12|E-Mail-Domänen
|Email domains: }}
{{var|12b|Beispiel für Office-365-Domäne
|Example for Office 365 domain }}
{{var|13|E-Mail-Domäne hinzufügen mit
|Submit email domain with }}
{{var|14|hinzufügen
|add }}
{{var|14b|! Damit eine E-Mail für ein Konto archiviert werden kann, muss an dieser Stelle die vollständige E-Mail Domäne hinterlegt werden.
|! In order to archive an email for an account, the complete email domain must be stored here. }}
{{var|14c|Das Administrations-Center erlaubt weitere Einstellungen, die jedoch <u>auf keinen Fall</u> ohne Rücksprache mit unserem Support geändert werden sollten.
|The administration center allows further settings, which should however <u>not be changed in any case</u> without consulting our support. }}
{{var|14d|Weitere Einstellungen anzeigen
|Display further settings }}
{{var|14e|Weitere Einstellungen ausblenden
|Hide further settings }}
{{var|14f|Änderungen nur nach Rücksprache mit unserem Support!
|Changes only after consultation with our support! }}
{{var|15|Remote Smarthost Einstellungen
|Remote Smarthost Settings }}
{{var|16|Wird nicht konfiguriert
|Not configured }}
{{var|17|Remote E-Mail-Konten
|Remote email accounts }}

{{var|18|An dieser Stelle wird das zentrale E-Mail Postfach konfiguriert, auf dem alle zu archivierenden E-Mails eintreffen. <br>Die Zuordnung zu einzelnen Benutzern mit deren Mailadressen erfolgt im Reiter {{Reiter | Konten}}. Mit {{spc| Konto hinzufügen|bu}} können weitere E-Mail Postfächer konfiguriert werden.
|At this point, the central mailbox is configured where all emails to be archived arrive. <br>The assignment to individual users with their mail addresses is done in the {{Reiter | Accounts}} tab. With {{spc| Add account|bu}} additional mailboxes can be configured. }}

{{var|19|Name:
| Name:}}
{{var|20|Name der Verbindung zum Server
|Name of the connection to the server }}
{{var|21|Wird von Securepoint vergeben
| }}
{{var|22|Servername:
|Servername: }}
{{var|22b|Protokoll:
|Protocol: }}
{{var|22c|Das verwendete Protokoll (POP3 oder IMAP) mit dem das UMA die E-Mails vom Mailserver abholt. Bei der Option AUTO sucht sich das UMA automatisch das auf dem Mailserver verwendete Protokoll.
|The protocol used (POP3 or IMAP) with which the UMA collects the emails from the mail server. With the AUTO option, the UMA automatically searches for the protocol used on the mailserver. }}
{{var|23|Benutzername:
|Username: }}
{{var|24|Benutzername, mit dem die Anmeldung am Mailserver erfolgt
|User name used to log on to the mailserver. }}
{{var|25|Passwort:
|Password: }}
{{var|26|Passwort für die Anmeldung am Server, auf dem die zu archivierenden Mails eintreffen
|Password for logging on to the server on which the mails to be archived arrive. }}
{{var|27|E-Mails abholen alle:
|Fetch Mails Every:}}
{{var|28|1 Minute
|1 Minute }}
{{var|29|Default
| Default}}
{{var|30|Frequenz, mit der die Mails abgeholt werden
|Frequency with which the mails are collected }}
{{var|31|E-Mails auf dem Server belassen
|Keep Mails }}
{{var|32|Aktivieren nur zu Test und Prüfzwecken, da sonst das Postfach überläuft.
|Activate only for test and verification purposes, otherwise the mailbox will overflow. }}
{{var|33|Wird benötigt
|Required }}
{{var|34|MS Journal-Envelope Erkennung Ausschalten
|Disable MS Journal-Envelope Autodetection }}
{{var|35|Bei Aktivierung wird das erkennen der Headereinträge "MS Journal-Envelope" ausgeschaltet. <br>BCC-Empfänger stehen nicht im eigentlichem Mail-Header. Das Erkennen der Headereinträge "MS Journal-Envelope" ermöglicht dem UMA BCC-Empfänger im Exchange-eigenem Header zu erkennen und einem Benutzerkonto zuzuordnen.
| With activation the detection of the header entries "MS Journal-Envelope" is switched off. <br>BCC recipients are not in the original mail header. Detecting the header entries "MS Journal-Envelope" enables the UMA BCC recipient to detect them in the Exchange header and assign them to a user account.}}

{{var|36|Max. E-Mail Größe
|Max. E-Mail Size: }}
{{var|37|Deaktiviert
|Disabled }}
{{var|38|Lässt sich zwischen ''deaktiviert'' und 1- 100MB einstellen.
|Can be set between ''disabled'' and 1- 100MB. }}
{{var|39| Benutzerkonten Konfigurieren
| Configuring User Accounts}}
{{var|39b|Konten
| Accounts}}
{{var|40|Benutzer Repository
|User Repository }}
{{var|41|Lokale Benutzer
|Local users }}
{{var|41a|Es lassen sich ausschließlich lokale Benutzerlisten verwenden. <br>Um AD oder LDAP-Verzeichnis-Dienste verwenden zu können ist ein lokales '''UMA''' als ''Hardware'' oder ''VM'' notwendig.
| Only local user lists can be used. <br>To be able to use AD or LDAP directory services an '''UMA''' as ''Hardware'' or ''VM'' is necessary.}}
{{var|42|Benutzer hinzufügen
|Add user }}
{{var|43|Benutzername für den Zugang zum UMA E-Mail Archiv. (Frei wählbar)
|Username for access to the UMA email archive. ( user-definable) }}
{{var|44|Der Benutzername läßt sich später <u>nicht</u> mehr ändern.
|The username <u>cannot</u> be changed later anymore. }}
{{var|44b|Wir empfehlen <u>dringend</u> den Benutzernamen mit einem Kunden-spezifischem Prefix zu versehen. So kann die Übersicht bei der Anzeige der Konten gewährleistet und Probleme bei Namensgleichheit vermieden werden!
|We recommend <u>absolutely</u> to provide the username with a customer-specific prefix. This ensures an overview when displaying the accounts and avoids problems with identical names! }}
{{var|45|Passwort
|Password }}
{{var|46|Passwort, für den Zugang zum UMA E-Mail Archiv
|Password, for access to the UMA e-mail archive }}
{{var|47|Vorname
|First Name: }}
{{var|48|Vorname des Benutzers
|First name of the user }}
{{var|49|Nachname
|Last Name: }}
{{var|50|Nachname des Benutzers
|User's last name }}
{{var|52|Mail-Adresse, auf die der Benutzer Zugriff hat, z.B.: ''user@ttt-point.onmicrosoft.com'' . Hier können mehrere Adressen mit {{b|hinzufügen|c=blau}} hinterlegt werden.
|Mail address to which the user has access, e.g.: ''user@ttt-point.onmicrosoft.com'' . Here several addresses can be defined with {{b| hinzufügen|c=blau}}. }}
{{var|52b|Damit die E-Mails auch archiviert werden, muss die dazugehörige Maildomäne (hier: ''ttt-point.onmicrosoft.com'') unter {{Reiter| E-Mail-Server}} / {{Kasten | Remote E-Mail-Server Einstellungen|UMA}} eingetragen werden.
|In order for the emails to be archived, the corresponding mail domain (here: ''ttt-point.onmicrosoft.com'') must be entered under {{Reiter|| Email Server}} / {{Kasten | Remote Email Server Settings|UMA}}. }}
{{var|52c|Durchsuchen
|Datei auswählen}}
{{var|52d|Auswahl einer Import-Datei
|Selecting an Import File}}
{{var|53|Importieren
|Import }}
{{var|54|Abschluss des Vorgangs
|Completion of the process }}
{{var|55|CSV Import
|CSV Import }}
{{var|56|Es lässt sich eine .csv-Datei mit folgendem Format importieren:
|A .csv file with the following format can be imported: }}
{{var|57|Benutzer-ID, Passwort, Vorname, Nachname, E-Mail, weitere E-Mail<br>Es können beliebig viele Mail-Adressen angegeben werden.<br>Der Inhalt der .csv-Datei muss UTF-8 kodiert und ohne Kopfzeile sein.
|User ID, password, first name, last name, email, further email<br> Any number of email addresses can be specified.<br>The content of the .csv file must be UTF-8 encoded and without header line. }}
{{var|58|CSV Export
|CSV Export }}
{{var|59|Die Benutzerliste lässt sich mit folgenden Angaben exportieren:<br>Benutzer-ID, Passwort, Vorname, Nachname, E-Mail, weitere E-Mail-Adressen<br>Der Inhalt der .csv-Datei ist UTF-8 kodiert und ohne Kopfzeilen.
|The user list can be exported with the following information:<br>User ID, password, first name, last name, e-mail, other e-mail addresses<br>The content of the .csv file is UTF-8 encoded and without headers. }}

{{var|60a|Auswahl einzelner Konten
|Select Accounts }}
{{var|60|Auswahl einzelner Konten (nur einzelne Konten archivieren)
|Select Accounts to store}}
{{var|61|Manuelle Auswahl aktivieren
|Enable manual select }}
{{var|62|Mit Auswahl dieser Option läßt sich die Archivierung auf einzelne Konten beschränken
|Choosing this option allows you to restrict archiving to individual accounts. }}
{{var|63|Beim Entfernen von Mail-Konten aus der Archivierung ist zu beachten, ob rechtliche Vorschriften zur Aufbewahrung davon berührt sind !
|When removing mail accounts from archiving, it must be noted whether legal regulations on storage are affected! }}
{{var|64|Benutzer Suche
|User Search }}
{{var|65|Filtert die angezeigten Accounts unmittelbar auf enthaltene Zeichen.
|Immediately filters the displayed accounts for contained characters. }}
{{var|66| Gründe für den Einsatz von UMA as a Service
| Reasons for using UMA as a Service}}
{{var|67| Managed Services in der IT-Sicherheit bedeutet längst viel mehr, als nur technische Lösungen anzubieten. Managed Service bedeutet, einen definierten Service ohne Kosten für eine eigene Infrastruktur auch für kleine Umgebungen sowohl kosteneffizient als auch hochverfügbar anbieten zu können.

''UMA as a Service'' bringt Ihrem '''Kunden''' diese Vorteile:
* Rechtliche Vorteile:
** Signierung von E-Mails und Dokumenten mit qualifizierten Zeitstempeln<br>(manipulationsfreie und gerichtsfeste Archivierung.)
** Revisionssichere E-Mail-Archivierung nach höchsten Standards
** Erfüllung der gesetzlichen Vorgaben, GoBD, HGB, AO, Basel II und BSI TR 03125
** Regelbasierte Speicherung
** Automatische Ablage nach gesetzlichen Archivierungszeiträumen

* Betriebliche Vorteile:
** Erhöht die Leistung eines bestehenden Mail-Servers und gibt Speicherkapazitäten durch die Auslagerung historischer E-Mails frei.
** Starke Suchmaschine für E-Mails und Dokumente
** Sortierung, Kategorisierung und Indexierung von E-Mails und Dokumenten
** Reduziert die E-Mail-Speicherkosten dauerhaft, durch regelbasiertes Löschen von nicht benötigten E-Mails.
** Datensicherungen werden mit UMA drastisch vereinfacht

Zusätzlich bringt UMA as a Service für Sie als '''Reseller''' folgende Vorteile:
* Es ist multimandantenfähig für bis zu 50 Kunden
* Bereitstellung von bis zu 500 Postfächern
* Optimierung für Office 365
* Es ist keine Änderung der Infrastruktur beim Kunden notwendig

'''Securepoint''' unterstützt Sie dazu mit diesen Leistungen:
* Komplette Bereitstellung
* Journal-E-Mail-Postfächer
* Backup
* Monitoring
* Updates und Support
| Managed services in IT security is much more than just offering technical solutions. Managed service means being able to offer a defined service for small environments both cost-effectively and with high availability at no cost for your own infrastructure.

''UMA as a Service'' offers these advantages to your '''customers''':

* ''Legal advantages:''
** Signing of emails and documents with qualified time stamps<br>(manipulation-free and court-proof archiving.)
** Audit-proof email archiving to the highest standards
** Compliance with legal requirements,
*** GoBD (''Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff'' / Principles for the orderly keeping and retention of books, records and records in electronic form and for data access)
*** German Commercial Code (HGB)
*** German Tax Code (AO, ''Abgabenordnung'')
*** Basel II
*** BSI TR 03125 (''Technische Richtlinie des Bundesamt für Sicherheit in der Informationstechnik'' / Technical guideline of the Federal Office for Information Security, national cyber security authority in Germany)
** Rule-based storage
** Automatic storage based on legal archiving periods

* ''Operational advantages:''
** Increases the performance of an existing mail server and releases storage capacity by outsourcing historical emails.
** Powerful search engine for emails and documents
** Sorting, categorization and indexing of emails and documents
** Permanently reduces email storage costs by rule-based deletion of unneeded emails.
** Data backups are significantly simplified with UMA

In addition, UMA as a Service offers the following advantages for '''resellers:'''

* It is multi-client capable for up to 50 customers.
* Provision of up to 500 mailboxes
* Optimization for Office 365
* No change to the customer's infrastructure is necessary

'''Securepoint''' supports you with these services:

* Complete provision
* Journal email mailboxes
* backup
* monitoring
* Updates and Support }}

</div>
{{DISPLAYTITLE:{{#var:display|UMA as a Service}}}}{{Select_lang}}{{TOC2}}
'''{{#var:1|Bereitstellung und Konfiguration von "UMA as a Service" - Cloudbasierte E-MAil-Archivierung}}'''
<p>{{#var:1b|Artikel neu:}} '''07.2019'''
----
<br clear=all>
=== {{#var:66| Gründe für den Einsatz von UMA as a Service}} ===

{{#var:67|Managed Services in der IT-Sicherheit bedeutet längst viel mehr, als nur technische Lösungen anzubieten. Managed Service bedeutet, einen definierten Service ohne Kosten für eine eigene Infrastruktur auch für kleine Umgebungen sowohl kosteneffizient als auch hochverfügbar anbieten zu können.

''UMA as a Service'' bringt Ihrem '''Kunden''' diese Vorteile:
* Rechtliche Vorteile:
** Signierung von E-Mails und Dokumenten mit qualifizierten Zeitstempeln<br>(manipulationsfreie und gerichtsfeste Archivierung.)
** Revisionssichere E-Mail-Archivierung nach höchsten Standards
** Erfüllung der gesetzlichen Vorgaben, GoBD, HGB, AO, Basel II und BSI TR 03125
** Regelbasierte Speicherung
** Automatische Ablage nach gesetzlichen Archivierungszeiträumen

* Betriebliche Vorteile:
** Sortierung, Kategorisierung und Indexierung von E-Mails und Dokumenten
** Erhöht die Leistung eines bestehenden Mail-Servers und gibt Speicherkapazitäten durch die Auslagerung historischer E-Mails frei.
** Reduziert die E-Mail-Speicherkosten dauerhaft, durch regelbasiertes Löschen von nicht benötigten E-Mails.
** Datensicherungen werden mit UMA drastisch vereinfacht
** Es ist keine Änderung der Infrastruktur beim Kunden notwendig

Zusätzlich bringt UMA as a Service für Sie als '''Reseller''' folgende Vorteile:
* Es ist multimandantenfähig für bis zu 50 Kunden
* Bereitstellung von bis zu 500 Postfächern
* Optimierung für Office 365

'''Securepoint''' unterstützt Sie dazu mit diesen Leistungen:
* Komplette Bereitstellung
* Journal-E-Mail-Postfächer
* Backup
* Monitoring
* Updates und Support
}}

=== {{#var:2|Organisatorische Voraussetzungen}} ===
{{pt2| {{#var:2b|UMAAAS_v2.5.21_Status.png}}|hochkant=1 }}
<p>{{#var:3|Der Managed Service "UMA as a Service" kann entweder über das '''TERRA CLOUD Center''' oderüber die '''api Cloud''' bestellt werden.}}<p>
*<p> {{#var:4|Für eine Bestellung im ''TERRA CLOUD Center'' muss das dortige Konto mit einem entsprechenden ''Securepoint Reseller-Account'' verknüpft werden. Das wird in den Einstellungen (Zahnrad unten links) unter „Meine zusätzlichen Dienstleistungen" → „Securepoint“ konfiguriert.</p><p>Nach erfolgreicher Verknüpfung finden sich unsere Produkte unter: "TERRA CLOUD" -> "Security as a Service".
Bei weiteren Fragen zum Bestellprozess steht das WORTMANN AG Security-Team (E-Mail: [mailto:security@wortmann.de security@wortmann.de]) zur Verfügung. Bitte für Bestellungen ausschließlich die URL [http://www.terracloud.de www.terracloud.de] verwenden.}}</p>

*<p> {{#var:5|Für eine Bestellung über ''api Cloud'' muss das dortige Konto mit einem entsprechendem ''Securepoint Reseller-Account'' verknüpft werden. Das wird in den Einstellungen (Zahnrad unten links) unter „Meine zusätzlichen Dienstleistungen" > „Securepoint“ konfiguriert.</p><p>Bei weiteren Fragen zum Bestellprozess haben, steht das api Security-Team (E-Mail: [mailto:security@vad4u.de security@vad4u.de]) zur Verfügung.}}</p>

<p>{{#var:6|Der Dienst wird durch die Firma Wortmann AG bereitgestellt und auf deren Servern in Deutschland gehostet und von Securepoint konfiguriert und betreut.<br>Wenn der Service bereitsteht wird eine Mail mit den erforderlichen Zugangsdaten versendet. <br>Das Kennwort für den Administrator-Zugang wird telefonisch mitgeteilt und {{Hinweis | ! darf nicht geändert werden!}} Wir benötigen die Zugangsdaten für die Wartung des Managed Service (Updates, Monitoring etc.) !}}

<br>
----
<br><br>
=== {{#var:7|Konfiguration}} ===
----
==== {{#var:8|E-Mail-Domänen anlegen}} ====

<p>{{Reiter| {{#var:9|Setup}} }} &emsp;/&emsp; {{Reiter | {{#var:10|E-Mail-Server}} }}</p>

<p></p>
{{#var:11a|Es werden per Default E-Mail-Adressen für den Empfang von Mails für die Archivierung unter der Domäne archiv.securepoint.cloud zur Verfügung gestellt.}}

{| class="wikitable2"
! colspan="3" | {{Kasten | {{#var:11|Remote E-Mail-Server Einstellungen}} | UMA}}
|-
| style="min-width: 200px;" | {{b|{{#var:12|E-Mail-Domänen}}}} || {{ic | ttt-point.onmicrosoft.com }} <br><small>{{#var:12b|Beispiel für Office-365-Domäne}}</small>|| {{#var:13|E-Mail-Domäne hinzufügen mit}} {{b|<u>{{#var:14|hinzufügen}}</u>|c=blau}}<br>
{{Hinweis | {{#var:14b| ! Damit eine E-Mail für ein Konto archiviert werden kann, muss an dieser Stelle die vollständige Maildomäne hinterlegt werden.}} |gelb}}
|}
<br>
<br>
{{Hinweis |!}}{{#var:14c|Das Administrations-Center erlaubt weitere Einstellungen, die jedoch <u>auf keinen Fall</u> ohne Rücksprache mit unserem Support geändert erden sollten.}}
{| class="wikitable2 mw-collapsible mw-collapsed" data-expandtext="{{#var:14d|Weitere Einstellungen anzeigen}}" data-collapsetext="{{#var:14e|Weitere Einstellungen ausblenden}}"
|-
|+ {{Kasten|{{#var:17|Remote E-Mail-Konten}}|UMA}}
|class="Leerzeile" style="border-top:0;" colspan="3" | {{b|{{#var:14f|Änderungen nur nach Rücksprache mit unserem Support!}}|c=rotbd}}
|-
! colspan="3" | {{Kasten|{{#var:15|Remote Smarthost Einstellungen}}|UMA}}
|-
| {{#var:16|Wird nicht konfiguriert}} || ||{{Leerzeile|3}}
|-
! colspan="3" | {{Kasten|{{#var:17|Remote E-Mail-Konten}}|UMA}}
|-
|colspan="3" | {{#var:18|An dieser Stelle werden die E-Mail Postfächer konfiguriert, auf denen alle zu archivierenden E-Mails eintreffen. Vorkonfiguriert ist der Zugang zu ''imap.archiv.securepoint.cloud''.<br>Die Zuordnung zu einzelnen Benutzern mit deren Mailadressen erfolgt im Reiter {{Reiter|Konten}} Mit {{spc| Konto hinzufügen|bu}} können weitere Konten konfiguriert werden.}}
|-
| style="min-width: 200px;" | {{b|{{#var:19|Name:}} }} || {{ic | Xnnnnn}} ||{{#var:20|Name der Verbindung zum Server}} <small>{{#var:21|Wird von Securepoint vergeben}}</small>
|-
| {{b|{{#var:22|Servername:}}}} || imap.archiv.securepoint.cloud || {{#var:22a|Adresse des Servers, auf dem die zu archivierende Mails eintreffen.}} <small>{{#var:21|Wird von Securepoint vergeben}}</small>
|-
| {{b|{{#var:22b|Protokoll:}}}} || {{ic | Auto | dr}} || {{#var:22c|Das verwendete Protokoll (POP3 oder IMAP) mit dem das UMA die E-Mails vom Mailserver abholt. Bei der Option AUTO sucht sich das UMA automatisch das auf dem Mailserver verwendete Protokoll. }}
|-
|{{b|{{#var:23|Benutzername:}}}} || {{ic | Xnnnnn}} || {{#var:24|Benutzername, mit dem die Anmeldung am Server erfolgt}}
|-
| {{b|{{#var:25|Passwort:}}}} || {{ic | ••••••}} || {{#var:26|Passwort für die Anmeldung am Server, auf dem die zu archivierenden Mails eintreffen}}
|-
| {{b|{{#var:27|E-Mails abholen alle:}}}} || {{ic | {{#var:28|1 Minute}} | dr}} <small>({{#var:29|Default}})</small> || {{#var:30|Frequenz, mit der die Mails abgeholt werden}}
|-
| {{b|{{#var:31|E-Mails auf dem Server belassen}}}} || ⃞ || {{#var:32|Aktivieren nur zu Test und Prüfzwecken, da sonst das Postfach überläuft.}}
|-
| {{b|SSL:}} || {{spc|check|o|-}} || {{#var:33|Wird benötigt}}
|-
| {{b|{{#var:34|MS Journal-Envelope Erkennung Ausschalten}}}} || ⃞ || {{#var:35|Bei Aktivierung wird das erkennen der Headereinträge "MS Journal-Envelope" ausgeschaltet.<br>BCC-Empfänger stehen nicht im eigentlichem Mail-Header. Das Erkennen der Headereinträge "MS Journal-Envelope" ermöglicht dem UMA BCC-Empfänger im Exchange-eigenem Header zu erkennen und einem Benutzerkonto zuzuordnen. }}
|-
| {{b|{{#var:36|Max. E-Mail Größe}} || {{#var:37|Deaktiviert}} || {{#var:38|Lässt sich zwischen Deaktiviert und 1- 100MB einstellen.}}
|}
<br><br>
----
<br>
==== {{#var:39| Benutzerkonten Konfigurieren}} ====

<p>{{Reiter| {{#var:9|Setup}} }} &emsp;/&emsp; {{Reiter | {{#var:39b|Konten}}}}

{{Kasten|{{#var:40|Benutzer Repository}}|UMA}} / {{ic | {{#var:41|Lokaler Benutzer}}|dr}} {{ h5 | {{#var:41|Lokaler Benutzer}}}}

{{Hinweis |!|gelb}} {{#var:41a|Es lassen sich ausschließlich lokale Benutzerlisten verwenden. <br>Um AD oder LDAP-Verzeichnis-Dienste verwenden zu können ist eine '''UMA''' als ''bare metal'' oder ''VM'' notwendig.}}

{| class="wikitable2"
|-
| colspan="2" class="Leerzeile" style="border-top: 0;"| {{Kasten|{{#var:41|Lokaler Benutzer}}|UMA }}
|-
! colspan="2" style="text-align: left; vertical-align: center; " | {{h6 | {{#var:42|Benutzer hinzufügen}}| {{ spc | {{#var:42|Benutzer Hinzufügen}} |bu}} }}
|-
| {{b|{{#var:23|Benutzername}} }}|| {{#var:43|Benutzername für den Zugang zum UMA E-Mail Archiv. (Frei wählbar)}} <br>{{Hinweis |!|gelb}} {{#var:44|Der Benutzername läßt sich später <u>nicht</u> mehr ändern.}}<br>{{Hinweis|! {{#var:44b|Wir empfehlen <u>dringend</u> den Benutzernamen mit einem Kunden-spezifischem Prefix zu versehen. So kann die Übersicht bei der Anzeige der Konten gewährleistet und Probleme bei Namensgleichheit vermieden werden!}}}}
|-
| {{b|{{#var:45|Passwort}}}} || {{#var:46|Passwort, für den Zugang zum UMA E-Mail Archiv}}
|-
| {{b|{{#var:47|Vorname}}}} || {{#var:48|Vorname des Benutzers}}
|-
| {{b|{{#var:49|Nachname}}}} || {{#var:50|Nachname des Benutzers}}
|-
| {{b|{{#var:51|E-Mail}}}} || {{#var:52|Mail-Adresse, auf die der Benutzer Zugriff hat. Hier können mehrere Adressen mit {{b|hinzufügen|blau}} hinterlegt werden.}}<br>{{Hinweis|!|gelb}} {{#var:52b|Damit die E-Mails auch archiviert werden, muus die dazugehörige Maildomäne (hier: ''ttt-point.onmicrosoft.de'') unter {{Reiter| E-Mail-Server}} / {{Kasten | Remote E-Mail-Server Einstellungen|UMA}} eingetragen werden.}}
|-
|{{Button | {{#var:52c|Durchsuchen}}}} ||{{#var:52d|Auswahl einer Import-Datei}}
|-
| {{spc | | bu |{{#var:53|Importieren}} | -}} {{#var:54|Abschluss des Vorgangs}} || {{Leerzeile|2}}
|-
! colspan="2" | {{h6 | {{#var:55|CSV Import}} | {{spc | {{#var:55|CSV Import}} | bu}} }}
|-
| {{#var:56|Es lässt sich eine .csv-Datei mit folgendem Format importieren:}} || {{#var:57|Benutzer-ID, Passwort, Vorname, Nachname, E-Mail, weitere E-Mail<br>Es können beliebig viele Mail-Adressen angegeben werden.<br>Der Inhalt der .csv-Datei muss UTF-8 kodiert und ohne Kopfzeile sein.}}
|-
| colspan="2" | {{spc | | bu | {{#var:53|Speichern}}}} {{#var:54|Abschluss des Vorgangs}}{{Leerzeile|2}}
|-
! colspan="2" | {{h6 | {{#var:58|CSV Export}} | {{spc | |bu|{{#var:58|CSV Export}} }} }}
|-
| {{spc | |bu|Download}} || {{#var:59|Die Benutzerliste lässt sich mit folgenden Angaben exportieren:<br>Benutzer-ID, Passwort, Vorname, Nachname, E-Mail, weitere E-Mail-Adressen<br>Der Inhalt der .csv-Datei ist UTF-8 kodiert und ohne Kopfzeilen.}}
|-
| class="Leerzeile" colspan="2" | <br>{{h5 | {{#var:60a|Auswahl einzelner Konten}} | {{Kasten|{{#var:60|Auswahl einzelner Konten (nur einzelne Konten archivieren)}}|UMA}} }}
|-
! colspan="2" | {{#var:61|Manuelle Auswahl aktivieren}}
|-
| &emsp;<span style="position: absolute; height: 20px; width: 20px; border: 1px solid #aaa; border-radius: 4px; color: #212121; text-align: center;"> {{spc|check|o|-}}</span> || {{#var:62|Mit Auswahl dieser Option läßt sich die Archivierung auf einzelne Konten beschränken}}<br>{{Hinweis | ! }} {{#var:63|Beim Entfernen von Mail-Konten aus der Archivierung ist zu beachten, ob rechtliche Vorschriften zur Aufbewahrung davon berührt sind !}}
|-
| style="min-width: 270px;" | {{b|{{#var:64|Benutzer Suche}}}} {{ic||UMA}} || {{#var:65|Filtert die angezeigten Accounts unmittelbar auf enthaltene Zeichen.}}
|}

UTM/APP/Reverse Proxy-Exchange v11.7

2019-02-06T10:55:44Z

Skrauti: /* ACL Set anpassen */

{{DISPLAYTITLE:Reverse-Proxy Exchange}}

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
<br>
Bemerkung: Artikelanpassung
<br>
Vorherige Versionen: -
<br>

==Einleitung==
Mit dieser Dokumentation zeigen wir, wie der Reverse Proxy eingerichtet werden muss, um aus dem Internet Zugriff auf die „Outlook Web App“ kurz OWA eines Microsoft Exchange Server zu erlauben.

[[Datei:Reverse-Proxy OWA.png|500px|center]]

Voraussetzung dafür ist ein voll funktionsfähiger Exchange Server mit bereits importierten Zertifikaten, bei dem auch schon mit einer [[Howtos-V11/Portweiterleitungen#Portweiterleitung | Portweiterleitung]] das OWA aufgerufen werden konnte.
==Einrichtung des Reverse Proxy mit Exchange==

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Bei Problemen mit Outlook und NTLM Authentifizierung siehe [http://blog.sbsfaq.de/post/2010/11/19/Autodiscover-Outlook-Anywhere-mit-NTML-Authentifizierung.aspx SBSFAQ]</span></div>
</div>
<div style="clear: both;"></div>

===Vorbereitungen===
====Zertifikat====
Da das OWA des Exchange nur über eine SSL-Verschlüsselte Verbindung erreichbar ist, wird ein Zertifikat benötigt. Dieses kann über eine öffentliche Zertifizierungsstelle erworben, kann aber auch über die UTM selbst erstellt werden.

Ein wichtiger Punkt bei diesem Zertifikat ist, dass der Common Name mit der externen Domain identisch ist. Wird also vom Client wie in unserem Beispiel die Domain ‘‘‘owa.ttt-point.de‘‘‘ aufgerufen, muss der Name des Zertifikats ebenfalls ‘‘‘owa.ttt-point.de‘‘‘ lauten.
Sind Subdomains vorhanden wie zum Beispiel zusätzlich ‘‘‘web.ttt-point.de‘‘‘, kann auch ein sogenanntes Wildcard Zertifikat erstellt werden. In unserem Beispiel also ‘‘‘*.ttt-point.de‘‘‘.

Die Zertifikatsverwaltung befindet sich im Menü ‘‘‘Authentifizierung‘‘‘, Untermenü ‘‘‘Zertifikate‘‘‘.
Es muss, wenn noch nicht vorhanden, ein ‘‘‘CA‘‘‘ (Certification Authority) erstellt werden und anschließend, basierend auf diesem CA, das Zertifikat für die Domain.
Weitere Informationen zum erstellen von Zertifikaten befinden sich im Wiki [[Zertifikate | Zertifikate]]

====Portfilterregel====
Ein weiterer wichtiger Punkt ist, dass der Zugriff über den Reverse-Proxy auf den Exchange über die Portfilter-Regeln zugelassen werden muss.

Hierbei ist eine Portfilterregel notwendig, die den Zugriff aus dem Internet auf die UTM, also auf das externe Interface für den Dienst ‘‘‘HTTPS‘‘‘ steuert.

[[Datei:UTM116_AI_PFrprulehttps.png|600px|center]]

Zu beachten ist, dass wenn noch Portweiterleitungen zu diesem Exchange Server bestehen, diese deaktiviert bzw. gelöscht werden.

====User Webinterface Port====
[[Datei: UTM116_AI_NSEusrwebport.png|200px|thumb|right|User Webinterface Port]]
In der Werkseinstellung ist der Port 443 schon vom User-Webinterface der UTM belegt. Dieser muss dann auf einen anderen Port umgelegt werden.
Die Einstellungen dazu befinden sich im Menü ‘‘‘Netzwerk‘‘‘, Untermenü ‘‘‘Servereinstellungen‘‘‘ im Abschnitt ‘‘‘Webserver‘‘‘.

===Einrichtung===
Die Einstellungen für den Reverse Proxy befinden sich im Menü Anwendungen unter dem Untermenü Reverse-Proxy.

Mit einem Klick auf die Schaltfläche [[Datei:UTM116_AI_ARPrpassiB.png|120px]] öffnet sich der Assistent.

====Assistent====
[[Datei: UTM116_AI_ARPassiS1.png|200px|thumb|right|Reverse-Proxy Assistent Step 1]]
Im Step 1 wird eingerichtet, welcher Host im internen Netzwerk über welchen Port vom Reverse-Proxy angesprochen werden soll.

Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Auswahlfeld ‘‘‘Zielserver‘‘‘ ausgewählt werden.

[[Datei: UTM116_AI_ARPassiS1nno.png|200px|thumb|right|Reverse-Proxy Assistent Step 1]]
Sollte das nicht der Fall sein, kann über den Auswahlpunkt ‘‘‘Server anlegen‘‘‘ für den Zielserver ein Netzwerkobjekt über den Assistenten angelegt werden.

Da der OWA des Exchange nur über eine Verschlüsselte Verbindung angesprochen werden kann, wird der Port 443 gewählt und der Punkt ‘‘‘SSL benutzen:‘‘‘ aktiviert.

[[Datei: UTM116_AI_ARPassiS2.png|200px|thumb|right|Reverse-Proxy Assistent Step 2]]
Im Step 2 geht es darum, wie die UTM aus dem Internet angesprochen wird, damit der Reverse-Proxy auf diese Anfrage reagiert.

Unter ‘‘‘Externer Domainname:‘‘‘ wird die Domain (ttt-point.de) mit einer zusätzlichen Subdomain (owa) eingetragen, über die der Client auf das OWA zugreifen darf.
Es kann hier auch die öffentliche IP-Adresse eingetragen werden, die der Client aus dem Internet aufruft. Allerdings ist es dann nicht möglich über zusätzliche Subdomains einzelne Server zu unterscheiden.

Im Feld ‘‘‘Modus:‘‘‘ wird hier ‘‘‘HTTPS‘‘‘ und als ‘‘‘SSL-Proxy Port:‘‘‘ 443 ausgewählt.
Im Auswahlfeld ‘‘‘SSL-Zertifikat‘‘‘ wird nun das vorher angelegte Zertifikat ausgewählt.

Mit dem Klick auf die Schaltfläche [[Datei:UTM116_AI_FertigB.png|40px]] wird die Eirichtung mit dem Assistenten abgeschlossen. Der Reverse Proxy ist nun für den Zugriff auf den Exchange Server für OWA eingerichtet.

===ACL Set anpassen===
Um sicher zu gehen das nur auf den OWA zugriffen werden kann und nicht auf die Administrations-Weboberfläche des Exchange ECP muss allerdings noch das ACL Set angepasst werden.

Um dieses zu erreichen müssen wir ein weiteres ACL Set hinzufügen, dass dafür sorgt, dass nur /owa aufgerufen werden kann.

Dazu wird unter Reverse-Proxy der Reiter ‘‘‘ACLSETS‘‘‘ aufgerufen und das angelegte ACL Set ‘‘‘acl-Exchange‘‘‘ bearbeitet.
Es öffnet sich ein Fenster mit einem Eintrag ‘‘‘Typ dstdomain; Argument owa.ttt-point.de‘‘‘

[[Datei: UTM116_AI_ARPaclowaneu.png|200px|thumb|right|Neues ACL für den OWA Filter]]
Mit einem Klick auf die Schaltfläche [[Datei:UTM116_AI_ARPaclhinzB.png|70px]] wird ein neues ACL hinzugefügt.

Als ‘‘‘Typ‘‘‘ wird hier ‘‘‘urlpath_regex‘‘‘ ausgewählt.
Wie der ‘‘‘Typ‘‘‘ des ACL schon sagt, werden hier Reguläre Ausdrücke erwartet. Für den OWA Filter lautet das Argument daher:
^/owa

^(/owa|/autodiscover|/ecp|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange)

Mit einem Klick auf die Schaltfläche [[Datei:UTM116_AI_HinzB_(2).png|70px]] wird dieses hinzugefügt.

Abschließend müssen die Einstellungen noch gesichert werden.

===Übersicht===
Die Einstellungen für dieses Szenario müssen dann folgendermaßen aussehen:

[[Datei: UTM116_AI_ARPowa1.png|600px|thumb|center|Servergruppe]]
<br>
'''Achtung: Für Microsoft Activesync muss bei "Typ" der Wert "Zugangsdaten weiterleiten (client & proxy) ausgewählt werden. Außerdem muss in diesem Fall die Auth auf "on" stehen.'''
[[Datei: UTM116_AI_ARPowa2.png|600px|thumb|center|ACL Sets]]
[[Datei: UTM116_AI_ARPowa3.png|600px|thumb|center|Sites]]
[[Datei: UTM116_AI_ARPowa4.png|600px|thumb|center|Einstellungen]]

UMA/FAQ

2019-01-02T07:18:04Z

Skrauti: /* Archiv / Archivierung */

{{DISPLAYTITLE:Securepoint Unified Mail Archive FAQ}}

==Allgemein==
'''Kann das UMA auch ohne Mailserver verwendet werden?'''<br>
Gibt es ausschließlich nur einzelne Postfächer/Konten, die bei einem Anbieter von E-Mail-Diensten wie GMX, WEB, GMAIL, 1&1 oder Änlichen,
von einzelnen internen Clients abgerufen werden, kann das UMA im Normalfall nicht eingesetzt werden.

''Begründung:''<br>
Das UMA holt ausschließlich Mail von Postfächern/Konten die ein "UNSEEN"-Tag haben (ungelesene E-Mails).
Nach einem Abruf werden die entsprechenden E-Mails entweder als gelesen markiert oder gelöscht.
Ein direktes Abrufen von Benutzerpostfächern würde also dazu führen das nur eingehende Mails abgeholt werden.
Ausgehende E-Mails haben immer ein "SEEN"-Tag und werden somit nicht archiviert. Zudem sieht der Client nach dem Abruf des UMA keine "Neuen" E-Mails mehr oder das UMA holt keine E-Mails ab weil im Client, durch anklicken der Mails, diese schon ein "SEEN"-Tag haben (als gelesen markiert sind).
Die einzige Möglichkeit, wie das UMA im HUB-Modus Mails archivieren kann ist, diese von einem zentralen Postfach/Konto, Benutzerunabhängig, abzuholen.
Damit die E-Mails in dieses neu angelegte Postfach/Konto einlaufen muss die Option einer Weiterleitung für jedes Postfach/Konto bestehen.
Diese Weiterleitung muss für eingehende sowie ausgehende E-Mails gelten!
Bei den meisten der obigen Mailprovider kann KEINE ausgehende Weiterleitung für E-Mails eingerichtet werden, weshalb das UMA hier nicht eingesetzt werden kann!

''Lösung:''<br>
Bitte informieren Sie sich im Vorfeld, bei dem in Verwendung befindlichem E-Mail-Provider, über die Möglichkeiten einer vollständigen Weiterleitung pro Postfach/Konto!
Ist diese Möglichkeit gegeben, steht dem Einsatz einer UMA nichts im Wege.

Bei der Verwendung von Office365 sowie Hostet-Mailserver Lösungen ist ein Journaling oder eine vollständige Weiterleitung in den meisten Fällen möglich.
Ebenfalls möglich ist, in diesem Zusammenhang, die Lösung der Terra-Cloud oder eines kostenfrei Internen Mailserver wie H-Mail zuverwenden.

Ein passendes Webinar zum Thema [https://www.youtube.com/watch?v=-1NKrmvDaP0 "Securepoint UMA in kleinen Umgebungen"] befindet sich in unserem YouTube Channel.

Eine Anleitung zur Einrichtung von MS Office 365 liegt im Securepoint Wiki unter [[UMA/BP/Office_365 | Konfiguration - Office 365]] bereit.

'''Der transparente Modus lässt sich nicht konfigurieren.'''<br>
Der transparente Modus ist seit Version 2.5.8 nicht mehr konfigurierbar und wird ab UMA Version 3 komplett entfernt.

'''Was passiert, wenn die Lizenz des UMA ungültig wird?'''<br>
*Die Abholung der E-Mails aus dem Sammelpostfach wird eingestellt
*Es besteht nur noch ein lesender Systemzugriff auf die bisher archivierten E-Mails

'''Müssen öffentliche Ordner (Verteilerlisten, Freigegebene Postfächer, public folder) lizenziert werden?'''<br>
Nein, die öffentlichen Postfächer werden bei einer Anbindung an das Active-Directory erkannt und müssen nicht lizenziert werden. Die Nutzung von öffentlichen Postfächern ist nur bei Verwendung eines Active Directory möglich.

'''Ist es möglich die Ordnerstrukturen des UMA abzubilden?'''<br>
Diese Funktionalität wird nicht von uns unterstützt und es ist auch nicht geplant die in Zukunft zu implementieren.

Ordnerstrukturen ändern sich stetig und dies müsste auf dem UMA nachvollzogen werden, womit die readonly-Funktion des UMA aufgehoben werden müsste.

----
==Archiv / Archivierung==
'''Lassen sich bestimmte E-Mail-Adressen von der Archivierung ausnehmen?'''<br>
Ja. Unter „Administration“ -> „E-Mail-Blacklist“ lassen sich E-Mail-Adressen von der Archivierung ausnehmen.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">
Achtung: Es lassen sich nur vollständige E-Mail-Adressen definieren. Wildcards können nicht verwendet werden.
</span></div>
</div>
<div style="clear: both;"></div>

'''Wie werden Spam-E-Mails von der Archivierung ausgenommen?'''<br>
E-Mails sollen bereits an E-Mail-Gateway (z. B. Securepoint NextGen UTM) als SPAM identifiziert und gefiltert werden. Somit trifft SPAM erst gar nicht im Journal-Postfach des Mailsystems ein.

'''Werden Verschlüsselte E-Mails archiviert?'''<br>
Verschlüsselte E-Mails werden so archiviert wie sie sind. Der Header einer E-Mail ist nicht verschlüsselt, so das die Zuweisung zum Benutzer getroffen werden kann. Ein Privater Schlüssel kann in dem UMA nicht hinterlegt werden. Daher müssen diese E-Mails zur Sichtung aus dem UMA heruntergeladen werden, um sie dann mit internen Mitteln öffnen zu können.

'''Mails werden nicht vom Exchange-Mailserver abgeholt'''<br>
Es kann verschiedene Gründe geben, warum die E-Mails aus dem Journal-Postfach des Exchange-Mailserver von dem UMA nicht abgeholt werden können. Im Folgenden haben wir die häufigsten dargestellt.

''Möglichkeit 1: Die UMA Lizenz ist abgelaufen''<br>
Die Abholung der E-Mails aus dem Sammelpostfach wird eingestellt.<br>
Lösung: Es muss eine neue gültige Lizenz im UMA registriert werden.

''Möglichkeit 2: Der Archiv-Speicherplatz des UMA ist voll''<br>
Steht kein Speicherplatz zur Verfügung, kann das UMA keine weiteren Daten archivieren. Unter Berücksichtigung der Systemvoraussetzungen/Projektplanung, kann der vorhandene durch neuen Speicher mit höherer Kapazität ersetzt werden.<br>
Eine ausführliche Anleitung zu diesem Thema findet sich im Securepoint Wiki unter [[UMA/Archivspeichererweiterung | Austausch und Erweiterung des Archivspeichers des UMA]]

''Möglichkeit 3: Journal-Postfach zu voll''<br>
Ab einer gewissen Anzahl von E-Mails kann der IMAP-Dienst eines E-Mailsystems träge reagieren.<br>
Lösung: In diesem Fall müssen auf dem Mailserver der Posteingang des Journal-Postfachs geprüft und überflüssige E-Mails gelöscht werden.

Über das Webinterface des UMA lässt sich die Funktion "E-Mails auf dem Server belassen" deaktivieren. Das UMA löscht dann die E-Mails aus dem Journal-Postfach nachdem es diese abgeholt hat.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">
Achtung: Das Löschen über diese Funktion bezieht sich nur auf E-Mails die nach dem deaktivieren abgeholt werden.
</span></div>
</div>
<div style="clear: both;"></div>

''Möglichkeit 4: Der IMAP-Dienst auf dem Mailsystem läuft nicht''<br>
Lösung: Status des Dienstes auf dem Mailserver prüfen und den Dienst gegebenenfalls neu starten.<br>
Anschliessend einen Verbindungstest mit einem Telnet-Client zum Mailserver durchführen. Wie dieser durchzuführen ist, wird unter Möglichkeit 5 beschrieben.

''Möglichkeit 5: Grundsätzliches Problem mit dem IMAP-Dienst des Mailsystems''<br>
Lösung: Debugging des IMAP-Dienstes per Telnet.

1. Verbinden Sie sich mit einem Rechner mit installiertem Telnet-Client auf das Mailsystem.
telnet 192.168.1.50 143
Der Server begrüßt Sie.
* OK The Microsoft Exchange IMAP4 service is ready.

2. Loggen Sie sich nun mit dem Journal-Konto, welches auch in dem UMA konfiguriert ist, ein. In diesem Beispiel ist der Benutzername "journal" und das Passwort "insecure".
a1 LOGIN journal insecure
Der IMAP-Dienst des Mailsystems nimmt den Login an.
a1 OK LOGIN completed.

3. Lassen Sie sich die verfügbaren IMAP-Ordner anzeigen.
a2 LIST „“ „*“

Das Mailsystem listet alle Ordner auf.
* LIST (\HasNoChildren) „/“ Aufgaben
* LIST (\HasNoChildren) „/“ Entw&APw-rfe
* LIST (\HasNoChildren) „/“ „Gel&APY-schte Elemente“
* LIST (\HasNoChildren) „/“ „Gesendete Elemente“
* LIST (\HasNoChildren) „/“ Journal
* LIST (\HasNoChildren) „/“ Junk-E-Mail
* LIST (\HasNoChildren) „/“ Kalender
* LIST (\HasChildren) „/“ Kontakte
* LIST (\HasNoChildren) „/“ Notizen
* LIST (\HasNoChildren) „/“ Postausgang
* LIST (\Marked \HasNoChildren) „/“ INBOX
a2 OK LIST completed.

4. Wählen Sie den Ordner INBOX (Posteingang) aus.
a3 SELECT INBOX

Der Server gibt eine Übersicht des Ordners aus.
* 0 EXISTS
* 0 RECENT
* FLAGS (\Seen \Answered \Flagged \Deleted \Draft $MDNSent)
* OK [PERMANENTFLAGS (\Seen \Answered \Flagged \Deleted \Draft $MDNSent)] Permanent flags
* OK [UIDVALIDITY 14] UIDVALIDITY value
* OK [UIDNEXT 40] The next unique identifier value
a3 OK [READ-WRITE] SELECT completed.

Sollte das Mailsystem bis zu diesem Punkt keinen Fehler gemeldet haben, läuft der IMAP-Dienst augenscheinlich normal und fehlerfrei.<br>
Gängiger Fehler: Die Komponente ImapProxy auf dem Exchange ist inaktiv.<br>
Der Status der Komponente kann mit folgendem Kommando über die Exchange-Shell unter Exchange 2013 und 2016 abgerufen werden:
Get-ServerComponentState -identity <ServerName>

Ist der ComponentState "inaktiv", dann kann dieser mit folgendem Befehl wieder aktivert werden:
<pre>Set-ServerComponentState -identity <ServerName> -Component ImapProxy -Requester HealthAPI -State Active </pre>

Nach dem Aktivieren des ComponentState müssen die IMAPv4 und IMAPv4 BackEnd Dienste neugestartet werden.

''Möglichkeit 6: Bug in der Mailserversoftware''<br>
Die Abholung der E-Mails aus dem Sammelpostfach ist nicht mehr möglich.<br>
Bis zum CU6 (Cumulatives Update 6) in den Exchange-Servern 2013 und 2016 existiert ein Bug der den IMAP und POP Dienst betrifft. Hier kann nach einiger Zeit kein Login mehr stattfinden obwohl die Dienste laufen und auch der Component-State aktive ist.<br>

Lösung: Neuste Updates auf den Mailserver spielen. Ab dem CU7 auf beiden Server-Varianten ist dieser Fehler behoben.<br>

'''Archiviert das UMA verschlüsselte E-Mails?'''<br>
Das UMA archiviert verschlüsselte, wie unverschlüsste E-Mails, da der Header immer frei lesbar ist und somit auch eine Userzuordnung stattfinden kann. Es gibt allerdings keine Möglichkeit Zertifikate für die verschlüsselten E-Mails zu hinterlegen. Die Suche im User-Interface kann somit nur anhand der im Header stehenden Informationen vorgenommen werden.

Eine Möglichkeit, dem User seine E-Mails unverschlüsselt zur Verfügung zu stellen ist, das Zertifikat im E-Mail Client des User zu hinterlegen und den E-Mail Client direkt an das UMA per IMAP anzubinden.

'''Wie wird verfahren, wenn kein Archiv-Speicherplatz mehr verfügbar ist?'''<br>
Eine ausführliche Anleitung zu diesem Thema findet sich im Securepoint Wiki unter [[UMA/Archivspeichererweiterung | Austausch und erweitern des Archivspeichers des UMA]]

----

==Import==
'''Massenimport nicht verfügbar'''<br>
Der Massenimport wird nicht angezeigt.
Der Massenimport ist nur in Verbindung mit einer AD-Umgebung und Microsoft-Exchange nutzbar.
----

==Monitoring==
'''Belegter Speicher von UMA per SNMP auslesen'''<br>
Damit die OIDs abgefragt werden können, muss der SNMP Dienst auf dem UMA aktiviert werden.

Der '''belegte Speicher''' kann mit den folgenden OIDs abgefragt werden

hrStorageUsed.42 -> .1.3.6.1.2.1.25.2.3.1.6.42
<br>
hrStorageAllocationUnits.42 -> .1.3.6.1.2.1.25.2.3.1.4.42

Die beiden Werte müssen multipliziert werden:
<br>
hrStorageUsed.42 * hrStorageAllocationUnits.42 = Belegter Speicher in Byte

Der '''Gesamtspeicher''' kann mit den folgenden OIDs abgefragt werden

hrStorageSize.42 -> .1.3.6.1.2.1.25.2.3.1.5.42
<br>
hrStorageAllocationUnits.42 -> .1.3.6.1.2.1.25.2.3.1.4.42

Die beiden Werte müssen multipliziert werden:
<br>
hrStorageSize.42 * hrStorageAllocationUnits.42 = Gesamtspeicher in Byte

'''SNMP im UMA aktivieren'''<br>
Die folgenden Schritte müssen im Admin-Interface ausgeführt werden.

Im Bereich '''Setup''' unter '''Netzwerk''' ist der Punkt SNMP Einstellungen
*Den SNMP Dienst aktivieren
Je nach Art der SNMP Abfrage, können noch nötige Einstellungen für SNMPv3 oder SNMPv2c/v1 gewählt werden

UMA/FAQ

2019-01-02T07:16:08Z

Skrauti: /* Archiv / Archivierung */

{{DISPLAYTITLE:Securepoint Unified Mail Archive FAQ}}

==Allgemein==
'''Kann das UMA auch ohne Mailserver verwendet werden?'''<br>
Gibt es ausschließlich nur einzelne Postfächer/Konten, die bei einem Anbieter von E-Mail-Diensten wie GMX, WEB, GMAIL, 1&1 oder Änlichen,
von einzelnen internen Clients abgerufen werden, kann das UMA im Normalfall nicht eingesetzt werden.

''Begründung:''<br>
Das UMA holt ausschließlich Mail von Postfächern/Konten die ein "UNSEEN"-Tag haben (ungelesene E-Mails).
Nach einem Abruf werden die entsprechenden E-Mails entweder als gelesen markiert oder gelöscht.
Ein direktes Abrufen von Benutzerpostfächern würde also dazu führen das nur eingehende Mails abgeholt werden.
Ausgehende E-Mails haben immer ein "SEEN"-Tag und werden somit nicht archiviert. Zudem sieht der Client nach dem Abruf des UMA keine "Neuen" E-Mails mehr oder das UMA holt keine E-Mails ab weil im Client, durch anklicken der Mails, diese schon ein "SEEN"-Tag haben (als gelesen markiert sind).
Die einzige Möglichkeit, wie das UMA im HUB-Modus Mails archivieren kann ist, diese von einem zentralen Postfach/Konto, Benutzerunabhängig, abzuholen.
Damit die E-Mails in dieses neu angelegte Postfach/Konto einlaufen muss die Option einer Weiterleitung für jedes Postfach/Konto bestehen.
Diese Weiterleitung muss für eingehende sowie ausgehende E-Mails gelten!
Bei den meisten der obigen Mailprovider kann KEINE ausgehende Weiterleitung für E-Mails eingerichtet werden, weshalb das UMA hier nicht eingesetzt werden kann!

''Lösung:''<br>
Bitte informieren Sie sich im Vorfeld, bei dem in Verwendung befindlichem E-Mail-Provider, über die Möglichkeiten einer vollständigen Weiterleitung pro Postfach/Konto!
Ist diese Möglichkeit gegeben, steht dem Einsatz einer UMA nichts im Wege.

Bei der Verwendung von Office365 sowie Hostet-Mailserver Lösungen ist ein Journaling oder eine vollständige Weiterleitung in den meisten Fällen möglich.
Ebenfalls möglich ist, in diesem Zusammenhang, die Lösung der Terra-Cloud oder eines kostenfrei Internen Mailserver wie H-Mail zuverwenden.

Ein passendes Webinar zum Thema [https://www.youtube.com/watch?v=-1NKrmvDaP0 "Securepoint UMA in kleinen Umgebungen"] befindet sich in unserem YouTube Channel.

Eine Anleitung zur Einrichtung von MS Office 365 liegt im Securepoint Wiki unter [[UMA/BP/Office_365 | Konfiguration - Office 365]] bereit.

'''Der transparente Modus lässt sich nicht konfigurieren.'''<br>
Der transparente Modus ist seit Version 2.5.8 nicht mehr konfigurierbar und wird ab UMA Version 3 komplett entfernt.

'''Was passiert, wenn die Lizenz des UMA ungültig wird?'''<br>
*Die Abholung der E-Mails aus dem Sammelpostfach wird eingestellt
*Es besteht nur noch ein lesender Systemzugriff auf die bisher archivierten E-Mails

'''Müssen öffentliche Ordner (Verteilerlisten, Freigegebene Postfächer, public folder) lizenziert werden?'''<br>
Nein, die öffentlichen Postfächer werden bei einer Anbindung an das Active-Directory erkannt und müssen nicht lizenziert werden. Die Nutzung von öffentlichen Postfächern ist nur bei Verwendung eines Active Directory möglich.

'''Ist es möglich die Ordnerstrukturen des UMA abzubilden?'''<br>
Diese Funktionalität wird nicht von uns unterstützt und es ist auch nicht geplant die in Zukunft zu implementieren.

Ordnerstrukturen ändern sich stetig und dies müsste auf dem UMA nachvollzogen werden, womit die readonly-Funktion des UMA aufgehoben werden müsste.

----
==Archiv / Archivierung==
'''Lassen sich bestimmte E-Mail-Adressen von der Archivierung ausnehmen?'''<br>
Ja. Unter „Administration“ -> „E-Mail-Blacklist“ lassen sich E-Mail-Adressen von der Archivierung ausnehmen.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">
Achtung: Es lassen sich nur vollständige E-Mail-Adressen definieren. Wildcards können nicht verwendet werden.
</span></div>
</div>
<div style="clear: both;"></div>

'''Wie werden Spam-E-Mails von der Archivierung ausgenommen?'''<br>
E-Mails sollen bereits an E-Mail-Gateway (z. B. Securepoint NextGen UTM) als SPAM identifiziert und gefiltert werden. Somit trifft SPAM erst gar nicht im Journal-Postfach des Mailsystems ein.

'''Werden Verschlüsselte E-Mails archiviert?'''<br>
Verschlüsselte E-Mails werden so archiviert wie sie sind. Der Header einer E-Mail ist nicht verschlüsselt, so das die Zuweisung zum Benutzer getroffen werden kann. Ein Privater Schlüssel kann in dem UMA nicht hinterlegt werden. Daher müssen diese E-Mails zur Sichtung aus dem UMA heruntergeladen werden, um sie dann mit internen Mitteln öffnen zu können.

'''Mails werden nicht vom Exchange-Mailserver abgeholt'''<br>
Es kann verschiedene Gründe geben, warum die E-Mails aus dem Journal-Postfach des Exchange-Mailserver von dem UMA nicht abgeholt werden können. Im Folgenden haben wir die häufigsten dargestellt.

''Möglichkeit 1: Die UMA Lizenz ist abgelaufen''<br>
Die Abholung der E-Mails aus dem Sammelpostfach wird eingestellt.<br>
Lösung: Es muss eine neue gültige Lizenz im UMA registriert werden.

''Möglichkeit 2: Der Archiv-Speicherplatz des UMA ist voll''<br>
Steht kein Speicherplatz zur Verfügung, kann das UMA keine weiteren Daten archivieren. Unter Berücksichtigung der Systemvoraussetzungen/Projektplanung, kann der vorhandene durch neuen Speicher mit höherer Kapazität ersetzt werden.<br>
Eine ausführliche Anleitung zu diesem Thema findet sich im Securepoint Wiki unter [[UMA/Archivspeichererweiterung | Austausch und Erweiterung des Archivspeichers des UMA]]

''Möglichkeit 3: Journal-Postfach zu voll''<br>
Ab einer gewissen Anzahl von E-Mails kann der IMAP-Dienst eines E-Mailsystems träge reagieren.<br>
Lösung: In diesem Fall müssen auf dem Mailserver der Posteingang des Journal-Postfachs geprüft und überflüssige E-Mails gelöscht werden.

Über das Webinterface des UMA lässt sich die Funktion "E-Mails auf dem Server belassen" deaktivieren. Das UMA löscht dann die E-Mails aus dem Journal-Postfach nachdem es diese abgeholt hat.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">
Achtung: Das Löschen über diese Funktion bezieht sich nur auf E-Mails die nach dem deaktivieren abgeholt werden.
</span></div>
</div>
<div style="clear: both;"></div>

''Möglichkeit 4: Der IMAP-Dienst auf dem Mailsystem läuft nicht''<br>
Lösung: Status des Dienstes auf dem Mailserver prüfen und den Dienst gegebenenfalls neu starten.<br>
Anschliessend einen Verbindungstest mit einem Telnet-Client zum Mailserver durchführen. Wie dieser durchzuführen ist, wird unter Möglichkeit 5 beschrieben.

''Möglichkeit 5: Grundsätzliches Problem mit dem IMAP-Dienst des Mailsystems''<br>
Lösung: Debugging des IMAP-Dienstes per Telnet.

1. Verbinden Sie sich mit einem Rechner mit installiertem Telnet-Client auf das Mailsystem.
telnet 192.168.1.50 143
Der Server begrüßt Sie.
* OK The Microsoft Exchange IMAP4 service is ready.

2. Loggen Sie sich nun mit dem Journal-Konto, welches auch in dem UMA konfiguriert ist, ein. In diesem Beispiel ist der Benutzername "journal" und das Passwort "insecure".
a1 LOGIN journal insecure
Der IMAP-Dienst des Mailsystems nimmt den Login an.
a1 OK LOGIN completed.

3. Lassen Sie sich die verfügbaren IMAP-Ordner anzeigen.
a2 LIST „“ „*“

Das Mailsystem listet alle Ordner auf.
* LIST (\HasNoChildren) „/“ Aufgaben
* LIST (\HasNoChildren) „/“ Entw&APw-rfe
* LIST (\HasNoChildren) „/“ „Gel&APY-schte Elemente“
* LIST (\HasNoChildren) „/“ „Gesendete Elemente“
* LIST (\HasNoChildren) „/“ Journal
* LIST (\HasNoChildren) „/“ Junk-E-Mail
* LIST (\HasNoChildren) „/“ Kalender
* LIST (\HasChildren) „/“ Kontakte
* LIST (\HasNoChildren) „/“ Notizen
* LIST (\HasNoChildren) „/“ Postausgang
* LIST (\Marked \HasNoChildren) „/“ INBOX
a2 OK LIST completed.

4. Wählen Sie den Ordner INBOX (Posteingang) aus.
a3 SELECT INBOX

Der Server gibt eine Übersicht des Ordners aus.
* 0 EXISTS
* 0 RECENT
* FLAGS (\Seen \Answered \Flagged \Deleted \Draft $MDNSent)
* OK [PERMANENTFLAGS (\Seen \Answered \Flagged \Deleted \Draft $MDNSent)] Permanent flags
* OK [UIDVALIDITY 14] UIDVALIDITY value
* OK [UIDNEXT 40] The next unique identifier value
a3 OK [READ-WRITE] SELECT completed.

Sollte das Mailsystem bis zu diesem Punkt keinen Fehler gemeldet haben, läuft der IMAP-Dienst augenscheinlich normal und fehlerfrei.<br>
Gängiger Fehler: Die Komponente ImapProxy auf dem Exchange ist inaktiv.<br>
Der Status der Komponente kann mit folgendem Kommando über die Exchange-Shell unter Exchange 2013 und 2016 abgerufen werden:
Get-ServerComponentState -identity <ServerName>

Ist der ComponentState "inaktiv", dann kann dieser mit folgendem Befehl wieder aktivert werden:
<pre>Set-ServerComponentState -identity <ServerName> -Component ImapProxy -Requester HealthAPI -State Active </pre>

Nach dem Aktivieren des ComponentState müssen die IMAPv4 und IMAPv4 BackEnd Dienste neugestartet werden.

''Möglichkeit 6: Bug in der Mailserversoftware''<br>
Die Abholung der E-Mails aus dem Sammelpostfach ist nicht mehr möglich.<br>
Bis zum CU6 (Cumulatives Update 6) in den Exchange-Servern 2013 und 2016 existiert ein Bug der den IMAP und POP Dienst betrifft. Hier kann nach einiger Zeit kein Login mehr stattfinden obwohl die Dienste laufen und auch der Component-State aktive ist.
Lösung: Neuste Updates auf den Mailserver spielen. Ab dem CU7 auf beiden Server-Varianten ist dieser Fehler behoben.

'''Archiviert das UMA verschlüsselte E-Mails?'''<br>
Das UMA archiviert verschlüsselte, wie unverschlüsste E-Mails, da der Header immer frei lesbar ist und somit auch eine Userzuordnung stattfinden kann. Es gibt allerdings keine Möglichkeit Zertifikate für die verschlüsselten E-Mails zu hinterlegen. Die Suche im User-Interface kann somit nur anhand der im Header stehenden Informationen vorgenommen werden.

Eine Möglichkeit, dem User seine E-Mails unverschlüsselt zur Verfügung zu stellen ist, das Zertifikat im E-Mail Client des User zu hinterlegen und den E-Mail Client direkt an das UMA per IMAP anzubinden.

'''Wie wird verfahren, wenn kein Archiv-Speicherplatz mehr verfügbar ist?'''<br>
Eine ausführliche Anleitung zu diesem Thema findet sich im Securepoint Wiki unter [[UMA/Archivspeichererweiterung | Austausch und erweitern des Archivspeichers des UMA]]

----

==Import==
'''Massenimport nicht verfügbar'''<br>
Der Massenimport wird nicht angezeigt.
Der Massenimport ist nur in Verbindung mit einer AD-Umgebung und Microsoft-Exchange nutzbar.
----

==Monitoring==
'''Belegter Speicher von UMA per SNMP auslesen'''<br>
Damit die OIDs abgefragt werden können, muss der SNMP Dienst auf dem UMA aktiviert werden.

Der '''belegte Speicher''' kann mit den folgenden OIDs abgefragt werden

hrStorageUsed.42 -> .1.3.6.1.2.1.25.2.3.1.6.42
<br>
hrStorageAllocationUnits.42 -> .1.3.6.1.2.1.25.2.3.1.4.42

Die beiden Werte müssen multipliziert werden:
<br>
hrStorageUsed.42 * hrStorageAllocationUnits.42 = Belegter Speicher in Byte

Der '''Gesamtspeicher''' kann mit den folgenden OIDs abgefragt werden

hrStorageSize.42 -> .1.3.6.1.2.1.25.2.3.1.5.42
<br>
hrStorageAllocationUnits.42 -> .1.3.6.1.2.1.25.2.3.1.4.42

Die beiden Werte müssen multipliziert werden:
<br>
hrStorageSize.42 * hrStorageAllocationUnits.42 = Gesamtspeicher in Byte

'''SNMP im UMA aktivieren'''<br>
Die folgenden Schritte müssen im Admin-Interface ausgeführt werden.

Im Bereich '''Setup''' unter '''Netzwerk''' ist der Punkt SNMP Einstellungen
*Den SNMP Dienst aktivieren
Je nach Art der SNMP Abfrage, können noch nötige Einstellungen für SNMPv3 oder SNMPv2c/v1 gewählt werden

UTM/APP/Mailrelay-Best Practice 11.7

2018-11-15T11:34:33Z

Skrauti: /* Filterregel "enthält einen Virus" */

{{DISPLAYTITLE:Mail Security - Empfohlene Einstellungen}}
== Informationen ==
Letze Anpassung zur Version: '''11.7.2'''
<br>
Bemerkung: Verschlüsselung forcieren hinzugefügt.
<br>
Vorherige Versionen: [[UTM/APP/Mailrelay-Best_Pracitce_v11.7.1 | 11.7.1]]
<br>

== Einleitung ==
Dieser Artikel ist ein Best Practice zum Thema Mail-Security. Diese Empfehlungen beziehen sich auf folgendes Szenario:

*Empfang der E-Mails per SMTP über das Mailrelay
*Zustellung erfolgt direkt über MX
*Filterung erfolgt direkt bei Eingang auf MX
<br>
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Die Domain securepoint.de und die IP-Adresse 192.168.175.100 sind Beispiel Adressen.</span></div>
</div>
<div style="clear: both;"></div>

==Mail-Security==
===Allgemein===
====Globale E-Mail Adresse====
Um Benachrichtigungen im Fehlerfall zu erhalten, kann unter '''Netzwerk -> Servereinstellungen -> Globale E-Mail Adresse''' eine Postmaster Adresse eingetragen werden.
====Mailrelay====
=====Relaying=====
Das Mailrelay ist so zu konfigurieren, dass nur E-Mails an die Empfänger-Adresse angenommen werden.
*Option: To
*Domain: securepoint.de
*Aktion: Relay

<br>
Sollen auch ausgehend Emails über das Mailrelay der UTM versendet werden, wird ein weiterer Eintrag benötigt:

*Option: From
*IP: 192.168.175.100
*Aktion: RELAY

=====Exakte Domainnamen=====
Durch diese Option werden E-Mails an Empfänger innerhalb einer Subdomain nicht angenommen.

=====TLS-Verschlüsselung=====
Die TLS-Verschlüsselung für das Mailrelay ist zu aktivieren. Der Import eines Zertifikats, dessen CN dem Hostnamen der UTM entspricht, ist optional. Wird ein solches Zertifikat nicht importiert, verwendet das Mailrelay ein selbst-signiertes Zertifikat zum Zweck der Transportverschlüsselung.

====SMTP Routen====
Die Validierung der Empfänger auf gültige E-Mail Adressen unter '''SMTP Routen -> Einstellungen -> E-Mail Adresse überprüfen''' ist zu aktivieren. Dadurch werden nur E-Mails angenommen, welche an einem Empfänger gehen, der auch auf dem Mail-Server vorhanden ist.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Der Mailserver muss Mails an Adressen ohne Postfach während des SMTP-Dialogs ablehnen.</span></div>
</div>
<div style="clear: both;"></div>

====Greylisting====
Die Greylist- und SPF-Funktion sollte auf jedem Mailrelay aktiviert werden, dies kann unter '''Greylisting -> Einstellungen -> Aktivieren''' getan werden.

Neben der Abwehr von einfachen SPAM-Bots durch das Greylisting, wird auch wertvolle Zeit gewonnen um neuen Definitionen zu laden und so etwaige neue SPAM-Wellen zu erkennen.

Zusätzlich sollte der Wert des Feldes "Automatisches Whitelisten für" auf mindestens 60 Tage erhöht werden

=====SPF aktivieren=====
Im SPF-Record werden alle Mailserver IP-Adressen des Absenders eingetragen, die zum Versand von E-Mails berechtigt sind. Der Empfänger prüft dann anhand des Mail Header Feldes „Mail From“ oder des „HELO“ Kommandos, welche Domain dort eingetragen ist oder genannt wird und ob diese mit einer der IP-Adressen im SPF-Record übereinstimmt. Stimmt die IP-Adresse des Absenders nicht mit denen des SPF-Record überein, geht die Mail in das Greylisting.

====Erweitert====
=====Greeting Pause=====
Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in durch Malware verbreitete Spambots das SMTP-Protokoll nicht zur Gänze implementiert ist, um diese von regulären Mailservern zu unterscheiden.

Das Greeting ist eine Begrüßung, die vom Mailrelay an den sendenden Mailserver übermittelt wird.
Diese könnte z. B. so aussehen:
<code>220 firewall.foo.local ESMTP Ready</code>
Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er weitere SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen Kommandos zu senden. In diesem Fall wird das Mailrelay keine weiteren Kommandos entgegennehmen und die Verbindung abbrechen.

=====HELO benötigt=====
Ist HELO aktiviert, wird vom SMTP Client gefordert seinen Namen zu nennen.
=====Recipient flooding verhindern=====
Viele Spammer versuchen, Spams an "erfundene" Mailempfänger einer Domain zuzustellen. Durch diese Massen können, aufgrund der verbrauchten Bandbreite, andere Internetverbindungen empfindlich gestört werden. Um dieses "Recipient Flooding" wirksam zu unterbinden, können Anfragen eines Hosts, der innerhalb kurzer Zeit eine definierte Anzahl fehlgeschlagener Zustellungsversuche (z. B. aufgrund von fehlgeschlagener E-MailAdressen Validierung) aufzuweisen hat, nur noch verzögert beantwortet werden. (Default: 2)
=====Empfängerbeschränkung aktivieren=====
Die Option blockiert Mails, die mehr als eine definierte Anzahl Empfängeradressen aufweisen (Default: 25).
=====Verbindungslimit aktivieren=====
Hier kann eingestellt werden, wie viele Verbindungen das Mailrelay pro Sekunde annimmt (Default: 5). Bekannte Mailserver können in einer Ausnahmeliste von dieser Limitierung ausgenommen werden. Das Verbindungslimit wirkt möglichen DDOS-Attacken entgegen.
=====Rate Kontrolle aktivieren=====
Möglichen DOS-Attacken wird durch die Rate Kontrolle entgegengewirkt. Sollten ausgehende Emails ebenfalls über das Mailrelay der UTM gesendet werden, sollte für die entscodechenden Mailserver eine Ausnahme hinzugefügt werden.
====SMTPD Verschlüsselung====
Im Webinterface unter '''Authentifizierung''' -> '''Verschlüsselung''' -> '''SMTPD''' kann eingestellt werden, dass die Verschlüsselung forciert wird. Wenn diese Einstellung aktiviert, sind nur noch verschlüsselte Verbindungen zum Mailrelay möglich und auch die Client Verbindung, die das Mailrelay zu einem Mailserver aufbaut ist verschlüsselt.
Wenn die Gegenstelle keine Verschlüsselung unterstützt, wird die Verbindung abgebrochen. Das normale Verhalten eines Mailservers wäre, das er als Fallback eine unverschlüsselte Verbindung zu lässt. Das ist dann nicht mehr möglich. Das forcieren der Verschlüsselung wirkt den Spam Mails entgegnen.

===Mailfilter===
====Filterregel "ist als SPAM klassifiziert"====
Mail-Server oder Absender deren E-Mails als SPAM klassifiziert werden, sind in der Vergangenheit als SPAM-Quelle aufgefallen. E-Mails von diesen Systemen sollte auf gar keinen Fall angenommen werden.

Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden.</span></div>
</div>
<div style="clear: both;"></div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Bei der Verwendung des Transparenten POP3-Proxys oder des Mail-Connectors darf diese Option nicht verwendet werden! Hier empfielt sich die Option <u>in Quarantäne nehmen</u></span></div>
<div style="clear: both;"></div>

====Filterregel "ist als verdächtig eingestuft"====
E-Mails die als verdächtig eingestuft werden enthalten verdächtige Muster und Inhalte und sollten nicht in die Mailbox des Users zugestellt werden.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "ist eine Bulk E-Mail"====
E-Mails die als BULK eingestuft sind, werden aktuell massenhaft versendet und sollten nicht in die Mailbox des Users zugestellt werden. Dies könnten z. B. die ersten E-Mails einer neuen SPAM-Welle sein.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "enthält einen Virus"====
Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden.</span></div>
</div>
<div style="clear: both;"></div>
<div style="clear: both;"></div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Bei der Verwendung des Transparenten POP3-Proxys oder des Mail-Connectors darf diese Option nicht verwendet werden! Hier empfielt sich die Option <u>in Quarantäne nehmen</u></span></div>
<div style="clear: both;"></div>

====Filterregel "wurde vom URL-Filter erfasst"====
E-Mails die eine gefährliche URLs enthalten sollten nicht angenommen werden und nicht in die Mailbox des Users zugestellt werden. Bitte dazu die Einstellungen des URL-Filter beachten.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "mit Inhalt dessen"====
Die aktuelle Gefährdungslage macht deutlich, dass Standard-Verfahren im Kampf gegen Malware nicht mehr mithalten können.
Potentiell gefährliche Dokumente sollten nicht in die Mailbox des Users zuzustellen. Die Identifizierung der Dokumente erfolgt dabei über MIME-Types und Dateiendungen.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne</u> genommen werden.</span></div>
</div>
<div style="clear: both;"></div>

=====Word-Dokumente auf Basis des MIME-Types=====
Damit Word-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>application/msword,application/vnd.openxmlformats-officedocument.wordprocessingml.document,application/vnd.openxmlformats-officedocument.wordprocessingml.template,application/vnd.ms-word.document.macroEnabled.12,application/vnd.ms-word.template.macroEnabled.12</code>

=====Excel-Dokumente auf Basis des MIME-Types=====
Damit Excel-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>application/vnd.ms-excel,application/vnd.openxmlformats-officedocument.scodeadsheetml.sheet,application/vnd.openxmlformats-officedocument.scodeadsheetml.template,application/vnd.ms-excel.sheet.macroEnabled.12,application/vnd.ms-excel.template.macroEnabled.12,application/vnd.ms-excel.addin.macroEnabled.12,application/vnd.ms-excel.sheet.binary.macroEnabled.12</code>

=====Office-Dokumente auf Basis der Dateiendung=====
Damit Office-Dokumente anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*Dateiname
*endet auf
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>doc,dot,docx,docm,dotx,dotm,docb,xls,xlsx,xlt,xlm,xlsb,xla,xlam,xll,xlw,ppt,pot,pps,pptx,pptm,potx,potm,ppam,ppsx,ppsm,sldx,sldm,pub</code>

=====Komprimierte Dateien auf Basis des MIME-Type=====
Damit Komprimierte Dateien anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>application/x-zip-comcodessed,application/zip</code>

=====Komprimierte Dateien auf Basis der Endung=====
Damit Komprimierte Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*Dateiname
*endet auf
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>zip,7z,ace,arj,cab,zz,zipx</code>

=====Ausführbare Dateien auf Basis der Endung=====
Damit Ausführbare Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*Dateiname
*endet auf
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>exe,com,bat,cmd,msc,hta,pif,scf,scr,vbs,msi</code>

====Gefälschter Absender====
Damit E-Mails mit gefälschten Absender nicht angenommen werden, empfehlen wir drei Filterregeln nach folgenden Beispielen zu erstellen.

[[Datei:mf_gefaelschter_absender.png |center|Mailfilterregeln für gefälschte Absender]]

<br>
Diese Regeln sollten in der Reihenfolge ganz oben stehen.

''Mehrere E-Mail-Server können durch ein Komma getrennt werden.''

====URL-Filter Kategorien====
Die folgenden Kategorien sollten in die Liste des URL-Filter mit aufgenommen werden.
=====Danger=====
Diese Kategorie enthält URLs welche Schadsoftware verbreitet und Phishing Seiten enthält
=====Porno und Erotik=====
Diese Kategorie enthält URLs die Pornographische Inhalte bereitstellen.
=====Hacking=====
Diese Kategorie enthält URLs die auf Anleitungen zum Bauen von Schadsoftware und Hacking bereitstellen.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Weitere Kategorien sind den Anforderungen des Unternehmen anzupassen.</span></div>
</div>
<div style="clear: both;"></div>

====Einstellungen -> Spamreport====
Der Spamreport kann in bestimmten Intervallen die E-Mail Benutzer über von der UTM gefilterte, geblockte oder in Quarantäne genommene E-Mails informieren. Dieser Report kann entweder an einem bestimmten Wochentag oder Täglich, zu einer bestimmten Uhrzeit versendet werden.
Damit der Report den E-Mail Benutzer auch erreicht, ist es notwendig, dass sich dieser in einer Gruppe befindet, die die Berechtigung '''Spamreport''' beinhaltet und das seine E-Mail Adresse hinterlegt ist.

==Hinweise==
Folgende Wiki-Artikel können bei der Einrichtung hilfreich sein.
*[[UTM/APP/Mailrelay| Wiki-Artikel Mailrelay]]
*[[UTM/APP/Mailfilter| Wiki-Artikel Mailfilter]]
*[[UTM/APP/Mailfilter#Spamreport| Wiki-Artikel Mailfilter Spamreport]]
*[[UTM/APP/Regex| Wiki-Artikel Regex]]

UTM/APP/Mailrelay-Best Practice 11.7

2018-11-15T11:34:11Z

Skrauti: /* Filterregel "ist als SPAM klassifiziert" */

{{DISPLAYTITLE:Mail Security - Empfohlene Einstellungen}}
== Informationen ==
Letze Anpassung zur Version: '''11.7.2'''
<br>
Bemerkung: Verschlüsselung forcieren hinzugefügt.
<br>
Vorherige Versionen: [[UTM/APP/Mailrelay-Best_Pracitce_v11.7.1 | 11.7.1]]
<br>

== Einleitung ==
Dieser Artikel ist ein Best Practice zum Thema Mail-Security. Diese Empfehlungen beziehen sich auf folgendes Szenario:

*Empfang der E-Mails per SMTP über das Mailrelay
*Zustellung erfolgt direkt über MX
*Filterung erfolgt direkt bei Eingang auf MX
<br>
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Die Domain securepoint.de und die IP-Adresse 192.168.175.100 sind Beispiel Adressen.</span></div>
</div>
<div style="clear: both;"></div>

==Mail-Security==
===Allgemein===
====Globale E-Mail Adresse====
Um Benachrichtigungen im Fehlerfall zu erhalten, kann unter '''Netzwerk -> Servereinstellungen -> Globale E-Mail Adresse''' eine Postmaster Adresse eingetragen werden.
====Mailrelay====
=====Relaying=====
Das Mailrelay ist so zu konfigurieren, dass nur E-Mails an die Empfänger-Adresse angenommen werden.
*Option: To
*Domain: securepoint.de
*Aktion: Relay

<br>
Sollen auch ausgehend Emails über das Mailrelay der UTM versendet werden, wird ein weiterer Eintrag benötigt:

*Option: From
*IP: 192.168.175.100
*Aktion: RELAY

=====Exakte Domainnamen=====
Durch diese Option werden E-Mails an Empfänger innerhalb einer Subdomain nicht angenommen.

=====TLS-Verschlüsselung=====
Die TLS-Verschlüsselung für das Mailrelay ist zu aktivieren. Der Import eines Zertifikats, dessen CN dem Hostnamen der UTM entspricht, ist optional. Wird ein solches Zertifikat nicht importiert, verwendet das Mailrelay ein selbst-signiertes Zertifikat zum Zweck der Transportverschlüsselung.

====SMTP Routen====
Die Validierung der Empfänger auf gültige E-Mail Adressen unter '''SMTP Routen -> Einstellungen -> E-Mail Adresse überprüfen''' ist zu aktivieren. Dadurch werden nur E-Mails angenommen, welche an einem Empfänger gehen, der auch auf dem Mail-Server vorhanden ist.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Der Mailserver muss Mails an Adressen ohne Postfach während des SMTP-Dialogs ablehnen.</span></div>
</div>
<div style="clear: both;"></div>

====Greylisting====
Die Greylist- und SPF-Funktion sollte auf jedem Mailrelay aktiviert werden, dies kann unter '''Greylisting -> Einstellungen -> Aktivieren''' getan werden.

Neben der Abwehr von einfachen SPAM-Bots durch das Greylisting, wird auch wertvolle Zeit gewonnen um neuen Definitionen zu laden und so etwaige neue SPAM-Wellen zu erkennen.

Zusätzlich sollte der Wert des Feldes "Automatisches Whitelisten für" auf mindestens 60 Tage erhöht werden

=====SPF aktivieren=====
Im SPF-Record werden alle Mailserver IP-Adressen des Absenders eingetragen, die zum Versand von E-Mails berechtigt sind. Der Empfänger prüft dann anhand des Mail Header Feldes „Mail From“ oder des „HELO“ Kommandos, welche Domain dort eingetragen ist oder genannt wird und ob diese mit einer der IP-Adressen im SPF-Record übereinstimmt. Stimmt die IP-Adresse des Absenders nicht mit denen des SPF-Record überein, geht die Mail in das Greylisting.

====Erweitert====
=====Greeting Pause=====
Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in durch Malware verbreitete Spambots das SMTP-Protokoll nicht zur Gänze implementiert ist, um diese von regulären Mailservern zu unterscheiden.

Das Greeting ist eine Begrüßung, die vom Mailrelay an den sendenden Mailserver übermittelt wird.
Diese könnte z. B. so aussehen:
<code>220 firewall.foo.local ESMTP Ready</code>
Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er weitere SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen Kommandos zu senden. In diesem Fall wird das Mailrelay keine weiteren Kommandos entgegennehmen und die Verbindung abbrechen.

=====HELO benötigt=====
Ist HELO aktiviert, wird vom SMTP Client gefordert seinen Namen zu nennen.
=====Recipient flooding verhindern=====
Viele Spammer versuchen, Spams an "erfundene" Mailempfänger einer Domain zuzustellen. Durch diese Massen können, aufgrund der verbrauchten Bandbreite, andere Internetverbindungen empfindlich gestört werden. Um dieses "Recipient Flooding" wirksam zu unterbinden, können Anfragen eines Hosts, der innerhalb kurzer Zeit eine definierte Anzahl fehlgeschlagener Zustellungsversuche (z. B. aufgrund von fehlgeschlagener E-MailAdressen Validierung) aufzuweisen hat, nur noch verzögert beantwortet werden. (Default: 2)
=====Empfängerbeschränkung aktivieren=====
Die Option blockiert Mails, die mehr als eine definierte Anzahl Empfängeradressen aufweisen (Default: 25).
=====Verbindungslimit aktivieren=====
Hier kann eingestellt werden, wie viele Verbindungen das Mailrelay pro Sekunde annimmt (Default: 5). Bekannte Mailserver können in einer Ausnahmeliste von dieser Limitierung ausgenommen werden. Das Verbindungslimit wirkt möglichen DDOS-Attacken entgegen.
=====Rate Kontrolle aktivieren=====
Möglichen DOS-Attacken wird durch die Rate Kontrolle entgegengewirkt. Sollten ausgehende Emails ebenfalls über das Mailrelay der UTM gesendet werden, sollte für die entscodechenden Mailserver eine Ausnahme hinzugefügt werden.
====SMTPD Verschlüsselung====
Im Webinterface unter '''Authentifizierung''' -> '''Verschlüsselung''' -> '''SMTPD''' kann eingestellt werden, dass die Verschlüsselung forciert wird. Wenn diese Einstellung aktiviert, sind nur noch verschlüsselte Verbindungen zum Mailrelay möglich und auch die Client Verbindung, die das Mailrelay zu einem Mailserver aufbaut ist verschlüsselt.
Wenn die Gegenstelle keine Verschlüsselung unterstützt, wird die Verbindung abgebrochen. Das normale Verhalten eines Mailservers wäre, das er als Fallback eine unverschlüsselte Verbindung zu lässt. Das ist dann nicht mehr möglich. Das forcieren der Verschlüsselung wirkt den Spam Mails entgegnen.

===Mailfilter===
====Filterregel "ist als SPAM klassifiziert"====
Mail-Server oder Absender deren E-Mails als SPAM klassifiziert werden, sind in der Vergangenheit als SPAM-Quelle aufgefallen. E-Mails von diesen Systemen sollte auf gar keinen Fall angenommen werden.

Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden.</span></div>
</div>
<div style="clear: both;"></div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Bei der Verwendung des Transparenten POP3-Proxys oder des Mail-Connectors darf diese Option nicht verwendet werden! Hier empfielt sich die Option <u>in Quarantäne nehmen</u></span></div>
<div style="clear: both;"></div>

====Filterregel "ist als verdächtig eingestuft"====
E-Mails die als verdächtig eingestuft werden enthalten verdächtige Muster und Inhalte und sollten nicht in die Mailbox des Users zugestellt werden.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "ist eine Bulk E-Mail"====
E-Mails die als BULK eingestuft sind, werden aktuell massenhaft versendet und sollten nicht in die Mailbox des Users zugestellt werden. Dies könnten z. B. die ersten E-Mails einer neuen SPAM-Welle sein.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "enthält einen Virus"====
Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "wurde vom URL-Filter erfasst"====
E-Mails die eine gefährliche URLs enthalten sollten nicht angenommen werden und nicht in die Mailbox des Users zugestellt werden. Bitte dazu die Einstellungen des URL-Filter beachten.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "mit Inhalt dessen"====
Die aktuelle Gefährdungslage macht deutlich, dass Standard-Verfahren im Kampf gegen Malware nicht mehr mithalten können.
Potentiell gefährliche Dokumente sollten nicht in die Mailbox des Users zuzustellen. Die Identifizierung der Dokumente erfolgt dabei über MIME-Types und Dateiendungen.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne</u> genommen werden.</span></div>
</div>
<div style="clear: both;"></div>

=====Word-Dokumente auf Basis des MIME-Types=====
Damit Word-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>application/msword,application/vnd.openxmlformats-officedocument.wordprocessingml.document,application/vnd.openxmlformats-officedocument.wordprocessingml.template,application/vnd.ms-word.document.macroEnabled.12,application/vnd.ms-word.template.macroEnabled.12</code>

=====Excel-Dokumente auf Basis des MIME-Types=====
Damit Excel-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>application/vnd.ms-excel,application/vnd.openxmlformats-officedocument.scodeadsheetml.sheet,application/vnd.openxmlformats-officedocument.scodeadsheetml.template,application/vnd.ms-excel.sheet.macroEnabled.12,application/vnd.ms-excel.template.macroEnabled.12,application/vnd.ms-excel.addin.macroEnabled.12,application/vnd.ms-excel.sheet.binary.macroEnabled.12</code>

=====Office-Dokumente auf Basis der Dateiendung=====
Damit Office-Dokumente anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*Dateiname
*endet auf
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>doc,dot,docx,docm,dotx,dotm,docb,xls,xlsx,xlt,xlm,xlsb,xla,xlam,xll,xlw,ppt,pot,pps,pptx,pptm,potx,potm,ppam,ppsx,ppsm,sldx,sldm,pub</code>

=====Komprimierte Dateien auf Basis des MIME-Type=====
Damit Komprimierte Dateien anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>application/x-zip-comcodessed,application/zip</code>

=====Komprimierte Dateien auf Basis der Endung=====
Damit Komprimierte Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*Dateiname
*endet auf
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>zip,7z,ace,arj,cab,zz,zipx</code>

=====Ausführbare Dateien auf Basis der Endung=====
Damit Ausführbare Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*Dateiname
*endet auf
<br>
Als Inhalt kann diese Liste eingetragen werden.

<code>exe,com,bat,cmd,msc,hta,pif,scf,scr,vbs,msi</code>

====Gefälschter Absender====
Damit E-Mails mit gefälschten Absender nicht angenommen werden, empfehlen wir drei Filterregeln nach folgenden Beispielen zu erstellen.

[[Datei:mf_gefaelschter_absender.png |center|Mailfilterregeln für gefälschte Absender]]

<br>
Diese Regeln sollten in der Reihenfolge ganz oben stehen.

''Mehrere E-Mail-Server können durch ein Komma getrennt werden.''

====URL-Filter Kategorien====
Die folgenden Kategorien sollten in die Liste des URL-Filter mit aufgenommen werden.
=====Danger=====
Diese Kategorie enthält URLs welche Schadsoftware verbreitet und Phishing Seiten enthält
=====Porno und Erotik=====
Diese Kategorie enthält URLs die Pornographische Inhalte bereitstellen.
=====Hacking=====
Diese Kategorie enthält URLs die auf Anleitungen zum Bauen von Schadsoftware und Hacking bereitstellen.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Weitere Kategorien sind den Anforderungen des Unternehmen anzupassen.</span></div>
</div>
<div style="clear: both;"></div>

====Einstellungen -> Spamreport====
Der Spamreport kann in bestimmten Intervallen die E-Mail Benutzer über von der UTM gefilterte, geblockte oder in Quarantäne genommene E-Mails informieren. Dieser Report kann entweder an einem bestimmten Wochentag oder Täglich, zu einer bestimmten Uhrzeit versendet werden.
Damit der Report den E-Mail Benutzer auch erreicht, ist es notwendig, dass sich dieser in einer Gruppe befindet, die die Berechtigung '''Spamreport''' beinhaltet und das seine E-Mail Adresse hinterlegt ist.

==Hinweise==
Folgende Wiki-Artikel können bei der Einrichtung hilfreich sein.
*[[UTM/APP/Mailrelay| Wiki-Artikel Mailrelay]]
*[[UTM/APP/Mailfilter| Wiki-Artikel Mailfilter]]
*[[UTM/APP/Mailfilter#Spamreport| Wiki-Artikel Mailfilter Spamreport]]
*[[UTM/APP/Regex| Wiki-Artikel Regex]]

UTM/APP/Mailfilter 11.7

2018-11-15T11:32:19Z

Skrauti: /* Filterregeln */

{{DISPLAYTITLE:Mailfilter}}

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
<br>
Bemerkung: Artikelanpassung
<br>
Vorherige Versionen: -
<br>

===Einführung===
Um festzustellen, ob es sich bei einer eingehenden Mail um Spam handelt, können der POP3-Proxy, das Mail-Relay und der Mail-Connector eingehende E-Mails an den Mailfilter übergeben. Der Mailfilter setzt sich aus dem Commtouch Spamfilter, dem Securepoint Content-Filter und einem URL Filter zusammen, der Web-Links aus einer E-Mail entfernen kann.

Zu dem bisher bekannten Mailfilter haben sich einige Veränderungen ergeben:<br>
Zum einen ist es durch den Einsatz des Mail-Connectors jetzt möglich, neben POP3 auch E-Mails die mit IMAP sowie den beiden verschlüsselten Varianten abgeholt werden, durch den Mailfilter zu überprüfen.

Zum anderen werden nicht mehr automatisch alle E-Mails im Mailarchiv der UTM abgelegt, sondern nur noch die, die vom Commtouch Spamfilter als Spam, Spam verdächtig oder als Massen-Mail (Bulk), eingestuft und anhand der Filterregel in Quarantäne genommen werden. E-Mails, die von der UTM weitergeleitet und zugestellt wurden (HAM), sind dann im Mailarchiv nicht mehr zu finden, wenn diese Option nicht aktiviert wird.

Weiterhin ist der Content-Filter, der nach Dateiendungen eines Anhanges oder nach MIME Typen filtert, direkt in den Filterregeln integriert und hat keinen eigenen Reiter mehr.

===Filterregeln===
[[Datei:UTM115_AI_MFRegeln.png|250px|thumb|right|Mailfilter]]
Über die Filterregeln wird entschieden, wie mit E-Mails, bei denen definierte Eigenschaften erkannt wurden, verfahren wird. Dabei wird zwischen den Protokollen SMTP und POP3 sowie dem Mail-Connector unterschieden.

Über den Mail-Connector ist die UTM in der Lage, E-Mails über die Protokolle POP3 und IMAP und deren verschlüsselten Varianten POP3S und IMAPS von einem Mailserver abzuholen und mit dem Mailfilter auf Spam und Schadsoftware zu überprüfen.

Weiterhin wird zwischen den Protokollen POP3 und SMTP unterschieden. Wenn das Mailrelay genutzt wird, lautet das Protokoll SMTP. Bei Verwendung des POP3-Proxy wird das Protokoll POP3 ausgewählt.

[[Datei:UTM115_AI_MFFRregel.png|250px|thumb|right|Mailfilterregel]]
Mit [[Datei:UTM11_AI_AddRuleB.png|100px]] wird eine neue Filterregel erstellt. Mit dem Operator wird festgelegt, ob alle Kriterien erfüllt sein müssen (und) oder ob es ausreichend ist, wenn nur ein Kriterium der Filterregel erfüllt wird (oder).

Eine Filterung nach folgenden Kategorien ist möglich:

*Protokoll (SMTP, Mail-Connector oder POP3)
*Quellhost
*Zielhost
*Sender
*Empfänger
*Header-Feld
*Spam oder nicht Spam
*verdächtig oder auch nicht verdächtig
*Massen E-Mails (Bulk) oder kein Bulk
*Enthält Virus oder enthält keinen Virus
*wurde vom URL-Filter erfasst oder wurde nicht erfasst
*Mailinhalt hat MIME-Type oder Dateiendung
<br>
Mit dem [[Datei:UTMV115_AI_MFFRpB.png|15px]] Button können weitere Filter hinzugefügt werden. Diese Filter definieren welche Aktion bei den E-Mails anzuwenden ist, wenn die enthaltenen Filter zutreffenden. Hier stehen dann die folgenden Aktionen zur Verfügung:
*E-Mail annehmen
*E-Mail ablehnen mit Meldung an den Absender
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Bei der Verwendung des Transparenten POP3-Proxys oder des Mail-Connectors darf diese Option nicht verwendet werden!</span></div>
<div style="clear: both;"></div>
*E-Mail in Quarantäne nehmen und eine vordefinierte Zeit (siehe Einstellungen) zur Ansicht vorhalten
*E-Mail verwerfen
*zutreffenden Inhalt ausfiltern und den Rest der E-Mail weiterleiten.
*E-Mail im Betreff markieren, so dass diese kenntlich gemacht wird und z. B. vom Mailserver in einen entsprechenden Ordner verschoben werden kann.

====Whitelist Ausnahme Regel====
[[Datei:UTM115_AI_MFFRSpamWL.png|250px|thumb|right|Mailfilter Whitelist-Regel]]
Sollte der Fall eintreten, dass bestimmte E-Mails fälschlicherweise als Spam, Spam verdächtig oder Massen-Mails erkannt werden, können Regeln erstellt werden, die in E-Mails bestimmte Merkmale erkennen und diese dann trotz bestehender Quarantäne Regeln zustellen.

In diesem Beispiel werden Mails von der E-Mail Domäne '''securepoint.de''', die mit dem Protokoll '''SMTP''' über das Mailrelay den Mailserver erreichen sollen, vom Commtouch Spamfilter als '''SPAM''' klassifiziert und würden aufgrund der Basisregeln in Quarantäne genommen. <br>
Da am Commtouch Spamfilter keine Konfigurationsmöglichkeiten bestehen, E-Mails von securepoint.de aber in jedem Fall zugestellt werden sollen, muss hierfür eine Whiltelist-Ausnahme in dem Mailfilter Regelwerk angelegt werden.<br>
Diese muss folgende Merkmale enthalten:
*Protokoll ist SMTP
*Mail ist als Spam klassifiziert
*Sender enthält securepoint.de
<br>
Als Aktion wird dann ausgewählt, dass diese E-Mails angenommen werden sollen.<br>

Durch das Kicken auf [[Datei:UTM_V114_SaveB.png|60px]] wird die Filterregel hinzugefügt.

[[Datei:UTM115_AI_MFFRSpWL1.png|250px|thumb|right|Filterregel verschieben]]
[[Datei:UTM115_AI_MFFRSpWL2.png|250px|thumb|right|Filterregel verschoben]]
Nun muss die Reihenfolge definiert werden, so dass diese Regel vor der allgemeinen Spam-Quarantäne-Regel greift.

Durch klicken und halten mit der linken Maustaste auf die Whitelist-Regel (Pos. 6) in der Spalte „Pos.“, wird diese Regel nach oben über die allgemeine Spam_SMTP Filterregel verschoben. Hat die Regel die gewünschte Position erreicht, wird die Maustaste losgelassen.

Die Whitelist-Regel erhält nun die entsprechende Positionsnummer.

===URL-Filter===
[[Datei:UTM116_AI_MFUFbsp.png|250px|thumb|right|URL-Filter 11.6]]
[[Datei:UTM115_AI_MFURLF.png|250px|thumb|right|URL-Filter 11.5]]
Mit dem URL-Filter wird untersucht, ob E-Mails Web-Links beinhalten. Links mit unerwünschten URLs werden entfernt. Unbedenkliche URLs können hier explizit erlaubt werden.

Bei URLs können Wildcards '''*''' verwendet werden. [[Webfilter_V11.6#Kategorie | Kategorien]] werden anhand des Securepoint Content-Filter geprüft, der auch beim [[Webfilter_V11.6 | Webfilter]] verwendet wird.

===Einstellungen===
Hier besteht die Möglichkeit, einen Spamreport erstellen zu lassen, die Blocking-Nachrichten zu ändern und zu definieren nach welchen Kriterien die E-Mails im Mailarchiv der UTM vorgehalten werden.

====Spamreport====
[[Datei:UTM115_AI_MFSR.png|250px|thumb|right|Einstellungen Spamreport]]
Der Spamreport kann in bestimmten Intervallen die E-Mail Benutzer über von der UTM gefilterte, geblockte oder in Quarantäne genommene E-Mails informieren. Dieser Report kann entweder an einem bestimmten Wochentag oder Täglich, zu einer bestimmten Uhrzeit versendet werden.

[[Datei:UTM115_AI_BenGrpMail1.png|250px|thumb|right|Berechtigungen]]
[[Datei:UTM115_MC_Spamrep.png|250px|thumb|right|Spamreport]]
Damit der Report den E-Mail Benutzer auch erreicht, ist es notwendig, dass sich dieser in einer Gruppe befindet, die die Berechtigung '''''Spamreport''''' beinhaltet und das seine E-Mail Adresse hinterlegt ist. <br>

Die E-Mail Adresse kann aus einem Verzeichnis Server wie ActiveDirectory oder LDAP entnommen werden, wenn die UTM daran angebunden ist. Ansonsten muss der Benutzer mit seiner E-Mail-Adresse auf der UTM angelegt werden.

====Blocking Nachricht====
In den Textfeldern Blocking Nachricht wird ein Text eingegeben, der anstatt des E-Mail Textes oder des blockierten Anhangs angezeigt wird.
*Content-Blocking Nachricht - Text für E-Mails, die wegen Ihres Anhang geblockt wurden.
*URL-Filter Nachricht - Text für E-Mails, die wegen der beinhalteten URLs gefiltert wurden.
*Virus-Blocking Nachricht - Text für E-Mails, die wegen einer Viruserkennung geblockt wurden.

====Mailarchiv====
[[Datei:UTM115_AI_MFMAeinst.png|250px|thumb|right|Einstellungen Mailarchiv]]
Im Bereich Mailarchiv werden Angaben zur Vorhaltung der E-Mails gemacht.
*'''''Maximale E-Mail-Anzahl:''''' gibt an, wie viele Mails lokal auf der UTM vorgehalten werden
*'''''Maximales E-Mail Alter:''''' definiert die Zeit der Vorhaltung in Tage
*'''''Maximale Archivgröße:''''' benennt den Speicherplatz der Mails in Megabytes

UMA/UMA Mailserver Kompatibilität v2

2018-11-06T06:32:26Z

Skrauti:

Ziel dieses Dokumentes ist es einen Überblick über am Markt verbreitete Mailserver und deren
Integrationsmöglichkeiten bei der E-Mail-Archivierung mit dem Securepoint UMA darzustellen.

Planen Sie ein Projekt mit einem hier nicht aufgeführten Mail-System,
wenden Sie sich bitte vorab an unseren Support.

{| border="0" {{prettytable}}
|'''Mailserver'''
| Version
| Ergebnis
| Integrationsart
|Clientzugriff
|Bemerkungen
|Webinar

|-
|Microsoft Exchange
|2003
|FAILED EOL
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| -
| IMAP-Server des Exchange stürzt immer wieder ab. Technische Implementation ansonsten prinzipiell möglich.
| -
|-

|Microsoft Exchange
|[[ Best_Practice_Guide_UMA2.0 | 2007 ]]
|FAILED EOL
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP (Outlook - Empfehlung das PlugIn nicht mit Outlook Client < 2010 zu verwenden))
| Mailboxjournal / Message-Only Journaling http://technet.microsoft.com/de-de/library/bb124985(v=exchg.80).aspx
| -
|-

|Microsoft Exchange
| [[ Best_Practice_Guide_UMA2.0 | 2010 ]]
|OK
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP (Outlook - Empfehlung das PlugIn nicht mit Outlook Client < 2010 zu verwenden))
| Mailboxjournal / Message-Only Journaling http://technet.microsoft.com/de-de/library/bb124985(v=exchg.80).aspx
| -
|-

|Microsoft Exchange
|[[ Best_Practice_Guide_UMA2.0 | 2013]]
|OK
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP (Outlook - Empfehlung das PlugIn nicht mit Outlook Client < 2010 zu verwenden))
| Mailboxjournal / Message-Only Journaling (Achtung bitte verwenden Sie das Standard-Journaling.) http://technet.microsoft.com/de-de/library/bb124985(v=exchg.80).aspx
| -
|-

|Microsoft Exchange
|[[ Best_Practice_Guide_UMA2.0 | 2016]]
|OK
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP (Outlook - Empfehlung das PlugIn nicht mit Outlook Client < 2010 zu verwenden))
| Mailboxjournal / Message-Only Journaling (Achtung bitte verwenden Sie das Standard-Journaling.) http://technet.microsoft.com/de-de/library/bb124985(v=exchg.80).aspx
| -
|-

|Office 365
| -
|OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| [[ UMA/BP/Office_365 | Office 365 ]]
| -
|-

|Tobit David
|Ab V10
|OK
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web
| Weiterleitungsregeln je Benutzer müssen von Hand angelegt werden.
|[http://www.youtube.com/watch?v=z1bDfwvHSuw&list=PL2fcQZRcjhafnXL_E7Q7j7RyCBgzaZFF8 Best Practice Webinar - Securepoint UMA und Tobit David]
|-

|MDaemon
|Alle
|OK
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| Siehe Infos zu Standard-Mailserver
| -
|-

|Kerio
|Alle
|OK
|[[ Sammelpostfach-Kerio | HUB Modus ]]
| Web, IMAP
| Siehe Infos zu Standard-Mailserver
| -
|-

|IBM Notes
|7
| FAILED
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP - Web-Interface lässt sich direkt in Client integrieren
| -
| -
|-

|IBM Notes
|8
|OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP - Web-Interface lässt sich direkt in Client integrieren
| [[ Lotus_Domino_UMA2.0 | IBM Notes ]]
| -
|-

|IBM Notes
|9
|OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP - Web-Interface lässt sich direkt in Client integrieren
| [[ Lotus_Domino_UMA2.0 | IBM Notes ]]
| -
|-

|Sendmail
|Alle
|OK
| HUB Modus
| Web, IMAP
| Siehe Infos zu Standard-Mailserver | Mit entsprechenden Miltern möglich
| -
|-

|Postfix
|Ab 2.3
|OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| Siehe Infos zu Standard-Mailserver
| -
|-

|Hosted Exchange
| -
|OK **
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| Weiterleitungsregeln je Benutzer oder ein Journal müssen/muss von Hand angelegt werden. Anbieter muss IMAP-Schnittstelle zur Verfügung stellen.
| -
|-

|POP3 / IMAP Konten
| -
|FAILED **
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| Weiterleitungsregeln je Benutzer meist nicht vollständig möglich.
| -
|-

|AMTANGEE Email Connectivity Service
| 5.5
|OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| IMAP
| Weiterleitungsregeln je Benutzer müssen von Hand angelegt werden.
| -
|-

|IceWarp Server
| 12
|OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| IMAP
| Weiterleitungsregeln müssen definiert werden https://www.icewarp.com/support/online_help/5940.htm
| -
|-

| hMailServer
| 5.6
| OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| POP3, IMAP
| Bei früheren Versionen kam es zu Probleme bei der Authentifizierung per IMAP
| -
|-

|}

<big>**</big>Hinweis zu gehosteten Lösungen wie Hosted Exchange, POP3- und IMAP-Konten. Diese können dann verwendet werden, wenn der Provider es erlaubt serverseitig Weiterleitungsregeln je Postfach für ein- und ausgehende E-Mails zu hinterlegen. Außerdem ist es in der Regel notwendig ein zusätzliches, bisher nicht benutztes Postfach zu konfigurieren. Dieses erhält eine Kopie aller ein und ausgehenden E-Mails und wird vom Securepoint UMA im HUB-Modus abgeholt. Die Benutzer müssen dann in der Regel lokal auf dem UMA – also manuell – eingetragen werden. Eine genauere Erläuterung ist unter [[UMA/FAQ#Allgemein|UMA ohne Mailserver]] zu finden.

Diese Liste stellt eine unverbindliche Zusammenstellung von Informationen dar und ist keine Funktionsbeschreibung oder Funktionsgarantie.

UTM/VPN/Netmap 11.7

2018-10-02T09:48:11Z

Skrauti: /* Wie erreiche ich die Hosts der Gegenstelle */

{{DISPLAYTITLE:NETMAP}}
== Informationen ==
Letze Anpassung zur Version: '''11.7'''
<br>
Bemerkung: Artikelanpassung
<br>
Vorherige Versionen: -
<br>
==Einleitung==
Sollten auf beiden Seiten einer VPN Verbindung die selben Subnetze eingesetzt werden, ist es normalerweise nicht möglich diese Verbindung einzurichten.<br>
Weiterhin kann es passieren, dass Sie verschiedene Gegenstellen haben, hinter denen die selben Netzwerke eingerichtet sind.<br>
Mit dem NAT-Typ NETMAP und Hilfsnetzwerken (Mapnetz) die auf keinen der zu verbindenden Gegenstellen eingerichtet sind, können sie diese Verbindung trotzdem erstellen, ohne auf eine der Seiten das Subnetz komplett zu ändern.
==NATen von kompletten Subnetzen mit NETMAP==
===Vorbereitungen===
Zur Nutzung der NETMAP Funktion sind folgende Bedingungen zu beachten:
*Die Subnetze der am NETMAP beteiligten Objekte müssen alle die gleiche Größe haben, zum Beispiel alle /24.
*Alle beteiligten Objekte müssen eine definierte Netzwerk IP-Adresse eingetragen haben. Es dürfen also keine Schnittstellen ausgewählt werden.

[[Datei:UTM115_AI_PFNOinaddr.png|250px|thumb|right|Netzwerkobjekt auf Adresse umstellen]]
Überprüfen Sie das Netzwerkobjekt Ihres Internen Netzwerkes und stellen Sie dieses gegebenenfalls auf Adresse um indem Sie den Radio-Button vor ''Adresse'' aktivieren und die Netzwerk-Adresse mit der entsprechenden Subnetzmaske in das Feld eintragen. In diesem Beispiel haben wir auf beiden Seiten das Netzwerk 172.16.3.0/24.

===Zentrale und Filiale haben das selbe Subnetz===

<br>
[[Datei:Netmap_sz1.png|800px|center]]
<br>
In diesem Fall muss das Mapping auf '''beiden Seiten''' der Verbindung eingerichtet werden.

====Netzwerkobjekte erstellen====
Erstellen Sie in der Zentrale zwei Netzwerkobjekte mit Netzwerken, die weder in der Zentrale noch in der Filiale eingerichtet sind.
[[Datei:UTM115_AI_PFNOnmrn.png|250px|thumb|right|Netzwerkobjekt Mapnetz Remote]]
Das Netzwerkobjekt für das Mapnetz der Filiale muss sich in der Zone vpn-ipsec befinden und erhält in unserem Beispiel die Netzwerkadresse 10.0.2.0/24.

[[Datei:UTM115_AI_PFNOnmln.png|250px|thumb|right|Netzwerkobjekt Mapnetz Lokal]]
Das Netzwerkobjekt für das Mapnetz auf der Zentrale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24.

Auf der Seite der Filale erstellen Sie ebenfalls zwei Objekte, nur das dort das Netzwerk 10.0.1.0/24, das Mapnetz der Zentrale, sich in der Zone vpn-ipsec befindet und das Netzwerk 10.0.2.0/24 als Mapnetz der Filiale mit der Zone des internen Netzwerkes angelegt wird.

====NETMAP Regel anlegen====
[[Datei:UTM115_AI_PFRnetmap.png|250px|thumb|right|NETMAP Portfilterregel]]
Legen Sie nun anhand der Netzwerkobjekte eine Portfilterregel an. <br>
Auf der Seite der Zentrale:

<p><span style="white-space:pre">	</span>Quelle:<span style="white-space:pre">				</span>Internes Netzwerk<br>
<span style="white-space:pre">	</span>Ziel:<span style="white-space:pre">					</span>Mapnetz der Filiale<br>
<span style="white-space:pre">	</span>Dienst:<span style="white-space:pre">				</span>Dienst der gemapt werden soll<br>
<span style="white-space:pre">	</span>NAT-Typ:<span style="white-space:pre">			</span>NETMAP<br>
<span style="white-space:pre">	</span>NAT-Netzwerkobjekt:<span style="white-space:pre">	</span>Mapnetz der Zentrale</p>

Auf der Seite der Filiale:

<p><span style="white-space:pre">	</span>Quelle:<span style="white-space:pre">				</span>Internes Netzwerk<br>
<span style="white-space:pre">	</span>Ziel:<span style="white-space:pre">					</span>Mapnetz der Zentrale<br>
<span style="white-space:pre">	</span>Dienst:<span style="white-space:pre">				</span>Dienst der gemapt werden soll<br>
<span style="white-space:pre">	</span>NAT-Typ:<span style="white-space:pre">			</span>NETMAP<br>
<span style="white-space:pre">	</span>NAT-Netzwerkobjekt:<span style="white-space:pre">	</span>Mapnetz der Filiale</p>

====VPN-Verbindung anlegen====
[[Datei:UTM115_AI_IPSecasiS4.png|250px|thumb|right|Phase2 mit Mapnetzen]]
Legen Sie die VPN Verbindung an wie im Wiki [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen VPN-Verbindung anlegen] beschrieben, achten Sie aber darauf, dass sie in ''Step 4 Subnetze'' die Map-Netzwerke eintragen.

===Mehrere Filialen haben das selbe Subnetz===
[[Datei:Netmap_sz2.png|800px|center]]
<br>
Hierbei wir das Mapping nur auf den Filialen eingerichtet, die das selbe Netzwerk nutzen wie auf einer schon eingerichteten VPN-Verbindung. In der Zentrale benötigen Sie kein Mapping wenn das interne Netz der Zentrale sich von denen der Filiale unterscheidet.

====Netzwerkobjekte erstellen====
Erstellen Sie in der '''Filiale''' zwei Netzwerkobjekte. Eines für das Mapnetz der Filiale mit einem Netzwerk, das weder in der Filiale, noch in der Zentrale, noch auf einer der anderen Filialen die per VPN Verbindungen an die Zentrale angebunden sind, genutzt wird. <br>
Das zweite Objekt als ganz normales IPSec-Netzwerkobjekt der Zentrale
.
[[Datei:UTM115_AI_PFNOnmln.png|250px|thumb|right|Netzwerkobjekt Mapnetz Lokal]]
Das Netzwerkobjekt für das Mapnetz auf der Filiale muss sich in der Zone des internen Netzwerkes befinden und bekommt in unserem Beispiel die Netzwerkadresse 10.0.1.0/24.

[[Datei:UTM115_AI_PFNOipsecrn.png|250px|thumb|right|Netzwerkobjekt IPSec-Netz]]
Das Netzwerkobjekt für das Netz der Gegenstelle muss sich in der Zone vpn-ipsec befinden und erhält in unserem Beispiel die Netzwerkadresse 172.31.0.0/24.

====NETMAP Regel anlegen====
[[Datei:UTM115_AI_PFRnetmap2.png|250px|thumb|right|NETMAP Portfilterregel]]
Legen Sie nun anhand der Netzwerkobjekte in der '''Filiale''' eine Portfilterregel an.

<p><span style="white-space:pre">	</span>Quelle:<span style="white-space:pre">				</span>Internes Netzwerk<br>
<span style="white-space:pre">	</span>Ziel:<span style="white-space:pre">					</span>IPSec-Netz der Zentrale<br>
<span style="white-space:pre">	</span>Dienst:<span style="white-space:pre">				</span>Ist hier nicht relevant, nehmen Sie einfach den ''icmp-echo-req''<br>
<span style="white-space:pre">	</span>NAT-Typ:<span style="white-space:pre">			</span>NETMAP<br>
<span style="white-space:pre">	</span>NAT-Netzwerkobjekt:<span style="white-space:pre">	</span>Mapnetz der Filiale</p>

====VPN-Verbindung anlegen====
[[Datei:UTM115_AI_IPSecasiS4.png|250px|thumb|right|Phase2 mit Mapnetzen]]
Legen Sie die VPN Verbindung an wie im Wiki [http://wiki.securepoint.de/index.php/IPSec_Site_to_Site_v11#VPN-Verbindung_anlegen VPN-Verbindung anlegen] beschrieben. <br>
Achten Sie darauf, dass sie in ''Step 4 Subnetze'' auf der Filial-Seite das Netmap-Netzwerk als Lokales Netzwerk eintragen und auf der Seite der Zentrale dieses als Remote-Netzwerk.

===Portfilterregeln===
Nachdem Sie mit der NETMAP Regel die beiden Netzwerke gemappt haben, benötigen Sie nun noch Portfilterregeln die den Datenverkehr regeln.

Entweder Sie nutzen in den Impliziten Regeln unter IPSEC die Option ''Accept'', dann werden Regeln im Hintergrund angelegt, die alle Dienste für alle Rechner auf beiden Seiten zulassen. Diese ist im Auslieferzustand aktiviert.
[[Datei:UTM115_AI_PFRnmvpn.png|250px|thumb|right|Portfilterregel VPN-Verbindung]]
Sicherer und professioneller ist es allerdings, nur die Dienste zuzulassen, die auch benötigt werden. Dazu deaktivieren Sie die Option Accept in den Impliziten Regeln und legen Portfilterregeln manuell an. Als Netzwerkobjekt für das VPN Netz nutzen Sie das Mapnetz-Objekt der VPN Gegenstelle. Zum Beispiel:

<p><span style="white-space:pre">	</span>Quelle:<span style="white-space:pre">	</span>Mapnetz der VPN Gegenstelle<br>
<span style="white-space:pre">	</span>Ziel:<span style="white-space:pre">		</span>Internes Netzwerk<br>
<span style="white-space:pre">	</span>Dienst:<span style="white-space:pre">	</span>ms-rdp</p>

Hierfür benötigen Sie kein NAT vom Typ NETMAP mehr.

===Wie erreiche ich die Hosts der Gegenstelle===
Da Sie auf beiden Seiten der VPN Verbindung die selben Netwerke benutzen, müssen Sie die Hosts der Gegenstelle mit der gemappten IP-Adresse ansprechen.

In unserem Beispiel bedeutet dies folgendes:<br>
Einen Rechner mit der IP-Adresse 172.16.3.10 in der Filiale sprechen Sie von der Zentrale aus mit der IP-Adresse 10.0.1.10 an.<br>
Einen Rechner mit der IP-Adresse 172.16.0.120 in der Zentrale sprechen Sie von der Filiale aus mit der IP-Adresse 172.16.0.120 an.

Best Practice Guide UMA2.0 mit Tobit David

2018-07-30T12:16:31Z

Skrauti: /* Auswahl einzelner Konten */

[[Kategorie:UMAv2]]

==Webinar==
{{#ev:youtube|z1bDfwvHSuw|600|center}}

===Positionierung des UMA im internen Netzwerk===

Für die Einbindung der UMA-Appliance in das bestehende Netzwerk gibt es verschiedene Möglichkeiten. Der Einsatz ist abhängig von der eingesetzten E-Mail-Empfangs- und -Versandtechnik.

[[Datei:UMA20_AHB_pic4.png|150px|right|thumb|]]
Am häufigsten wird der sogenannte Hub-Mode verwendet, da hierfür die bestehende Netzwerkstruktur nicht verändert werden muss und dieser Modus als einziger in der Lage ist, auch E-Mails die andere Protokolle als POP3, IMAP oder SMTP nutzen (z.B. via Outlook über MAPI) zu archivieren.

===Inbetriebnahme===
Im Auslieferungszustand sind einige Einstellungen vorkonfiguriert. Dazu gehören z. B. die IP-Adresse und der Administrator-Zugang.

Voreinstellungen:

<p><span style="white-space:pre">	</span>IP-Adresse:<span style="white-space:pre">		</span>192.168.175.254<br>
<span style="white-space:pre">	</span>Subnetzmaske:<span style="white-space:pre">	</span>255.255.255.0<br>
<span style="white-space:pre">	</span>Benutzername:<span style="white-space:pre">		</span>admin<br>
<span style="white-space:pre">	</span>Passwort:<span style="white-space:pre">			</span>insecure</p>

Verbinden sie das UMA mit einem Stromanschluss und lassen sie das Gerät hochfahren.

====Anpassen der IP-Adresse====
Um die Appliance in Ihrem bestehenden Netzwerk einzubinden, müssen Sie die IP-Adresse anpassen. <br>
Dazu haben Sie zwei Möglichkeiten: Über eine „direkte Verbindung“ und ändern der IP Adresse des UMA oder eine Anpassung der „Netzwerkverbindung“ des Client.

Für die direkte Verbindung schließen Sie einen Monitor und eine Tastatur direkt an die Appliance an und konfigurieren diese, bevor sie in das bestehende Netzwerk eingebunden wird.

Die direkte Verbindung mit Tastatur und Monitor dient nur dazu, die IP-Adresse '''temporär''' anzupassen und für den Netzwerk Einsatz vorzubereiten, ohne die IP-Adresse des Arbeitsplatz PCs zu wechseln.

Melden Sie sich mit dem vorkonfigurierten Administrator Account an:<br>
login: admin<br>
password: insecure<br>

Sie sind jetzt als Benutzer mit eingeschränkten Superuser-Rechten am System angemeldet.

In diesem Beispiel benutzen wir das Subnetz 192.168.100.0/24. Sinnvoll wäre, das Subnetz zu wählen, in dem sich auch der E-Mail-Server befindet.<br>
Achten Sie darauf, dass die von Ihnen gewählte Netzwerk-IP für das UMA nicht schon von einem anderem Gerät Ihres Netzwerkes genutzt wird.

Ändern Sie die IP-Adresse der UMA-Appliance nun mit folgendem Befehl:
ip addr replace 192.168.100.254/24 dev bridge0

Achten Sie darauf, dass die so durchgeführte IP-Adressänderung nur temporär ist und nach einem Neustart wieder auf den Auslieferungszustand zurückgesetzt wird.<br>
Zur permanenten Speicherung müssen Sie die IP-Adresse im Web-Interface ändern.

Anschließend verbinden Sie das UMA mit einem Netzwerk-Switch des Subnetzes.

===Zugriff auf die Administrationsoberfläche===
Die Konfiguration des UMA erfolgt über eine Weboberfläche, die mit einem Internetbrowser über eine verschlüsselte Verbindung vorgenommen wird.

Nach dem Anschluss des UMA und der Anbindung an das Netzwerk über ein Patch-Kabel, öffnen Sie Ihren Internetbrowser (wir empfehlen Mozilla Firefox) und geben in das URL-Eingabefeld die IP-Adresse inklusive Port des UMA ein:

<p><span style="white-space:pre">	</span> '''https://192.168.100.254:11115'''</p>

Da es sich um eine mit einem Zertifikat verschlüsselte Verbindung handelt, muss dies mit „Ich kenne das Risiko“, „Ausnahmen hinzufügen" und „Sicherheits-Ausnahmeregel bestätigen“ bestätigt werden.

'''UMA-Administration-Center'''
[[Datei:UMA20_AI_Login.png|150px|thumb|right|Login]]
Als nächstes sehen Sie das Login-Fenster des UMA-Administration-Center. Benutzername und Passwort des UMA im Auslieferzustand sind:
<p><span style="white-space:pre">	</span>Benutzername:<span style="white-space:pre">	</span>admin<br>
<span style="white-space:pre">	</span>Kennwort:<span style="white-space:pre">		</span>insecure</p>

Nach einem Klick auf den [[Datei:UMA20_AI_LoginB.png|60px]] Button befinden Sie sich im Status Fenster.

===Lizenz importieren===
[[Datei:UMA20_AI_SLizenz.png|250px|thumb|right|Lizenz importieren]]
Wechseln Sie in den Bereich "Lizenz" unter der Registerkarte Setup.

Klicken Sie auf [[Datei:UMA20_AI_DAuswB.png|85px]] und wählen Sie im Dateifenster die Lizenzdatei vom Dateisystem Ihres Rechners.

Klicken Sie dann im Webinterface auf den Button [[Datei:UMA20_AI_RegB.png|60px]]

Sollte Ihnen noch keine Lizenz-Datei vorliegen, erhalten sie diese im Securepoint Registrierungsportal unter http://my.securepoint.de

===Storage initialisieren===
[[Datei:UMA20_AI_SASpeicher2.png|250px|thumb|right|Archiv Speicher initialisiert]]
Wechseln Sie im Register „Setup“ auf „Archiv-Speicher“. Hier werden die Festplatten für den weiteren Gebrauch vorbereitet.

Sollte eine Initialisierung des Archiv-Storage noch nicht stattgefunden haben, klicken Sie auf [[Datei:UMA20_AI_SInitialB.png|60px]] und warten Sie bis dieser Vorgang abgeschlossen ist.<br>
Bei einer Appliance mit Software-RAID, wird das korrekte RAID-Level automatisch gewählt.

Bei vorhandenem Hardware-RAID-Controller sind die Festplatten auf diesem schon konfiguriert und werden daher nur als eine Festplatte angezeigt.

===IP-Adresse, Gateway, DNS und Domain anpassen===
[[Datei:UMA20_AI_SNetzw100.png|250px|thumb|right|Netzwerk Einstellungen]]
Um die IP-Adressen dauerhaft einzustellen, wechseln Sie unter „Setup“ in den Bereich „Netzwerk“.<br>
Hier passen Sie die IP-Adresse des UMA an ihr lokales Subnetz an und tragen die IP-Adresse der Firewall als Router-IP-Adresse ein.

Im Anschluss wird das UMA neu gestartet und ist dann unter der neuen IP-Adresse im Netz erreichbar.

Im Abschnitt „Lokale Einstellungen“ tragen Sie den Hostnamen des UMA und die lokale Domain ein.

Sollte die Firewall in Ihrem Netzwerk auch als Nameserver dienen, tragen Sie diese IP-Adresse in das entsprechende Feld im Bereich „Nameserver Einstellungen" ein. Ansonsten wählen Sie die IP-Adresse des DNS-Servers ihres Netzwerkes.

===Benutzer Konten===
Als nächstes stellen Sie ein, welche E-Mail-Benutzerkonten vom UMA-System verwaltet werden und von welcher Quelle die Konteninformationen bezogen werden.

Als Quellen können Sie wählen:<br>
* Active Directory<br>
* andere LDAP Server<br>
* lokale Nutzer-Liste

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|'''Unsere Empfehlung ist die Benutzerkontenverwaltung im Active Directory, da damit folgende Vorteile verbunden sind:
* Passwörter sind synchron zu Windows-Anmeldung
* Es muss nur eine Benutzerdatenbank gepflegt werden'''
|}

====Hinzufügen des UMA zum Active Directory====
Damit die Authentifizierung des UMA ebenfalls über das Active Directory geschehen kann, muss diese als User hinzugefügt werden.<br>
Dazu öffnen Sie ihr Active Directory auf ihrem Windows-Server und legen unter ihrer Netzwerk-Domäne einen neuen User mit z.B. dem Namen UMA an und hinterlegen ein Passwort. Dieses Konto bekommt normale Benutzerrechte.

====Hinzufügen der E-Mail Adressen im Active Directory====
Da Tobit keine Schnittstelle für eine E-Mail-Adress-Übertragung zum Active Directory bietet, müssen die E-Mail-Adressen manuell eingetragen werden.<br>
Dazu können Sie das Tool [http://www.joeware.net/freetools/tools/admod/index.htm AdMod] benutzen, welches Sie am besten mit einem Script veranlassen die gewünschten E-Mail Adressen den Usern im Active Directory zuzuordnen.

Ein PowerShell Script, nennen wir es einfach mal "addemail", könnte dann wie folgt aussehen:
1 # E-Mailadresse hinzufügen
2
3 # Mitarbeiter1
4 admod -b "cn=Mitarbeiter1,cn=Users,dc=securepointdemo,dc=local" proxyaddresses:+:smtp:mitarbeiter1@securepointdemo.local
5 admod -b "cn=Mitarbeiter1,cn=Users,dc=securepointdemo,dc=local" proxyaddresses:+:smtp:m1@securepointdemo.local"
6
7 # Mitarbeiter2
8 admod -b "cn=Mitarbeiter2,cn=Users,dc=securepointdemo,dc=local" proxyaddresses:+:smtp:mitarbeiter2@securepointdemo.local
9 admod -b "cn=Mitarbeiter2,cn=Users,dc=securepointdemo,dc=local" proxyaddresses:+:smtp:m2@securepointdemo.local"
10
11 # Mitarbeiter3
12 admod -b "cn=Mitarbeiter3,cn=Users,dc=securepointdemo,dc=local" proxyaddresses:+:smtp:mitarbeiter3@securepointdemo.local
13 admod -b "cn=Mitarbeiter3,cn=Users,dc=securepointdemo,dc=local" proxyaddresses:+:smtp:m3@securepointdemo.local"
14
15

Dieses Script ist leicht erweiterbar und das Tool [http://www.joeware.net/freetools/tools/admod/index.htm AdMod] sorgt dafür, dass auch bei erneuter Ausführung des Scripts, die E-Mail-Adressen nicht mehrfach angelegt werden.

Eine kleine Anmerkung zur Syntax des Script: Das "+" hinter "proxyaddresses:" fügt eine E-Mail Adresse hinzu. Würden Sie hier ein "-" eintragen, würde diese Adresse entfernt werden.

Diese Einträge können anschließend bei den entsprechenden Usern im Active Directory unter Attribute Editor -> ProxyAdresses eingesehen werden, wenn hier unter "Ansicht" die erweiterten Features aktiviert wurden.

====ActiveDirectory Anbindung====
[[Datei:UMA20_AI_SAccounts100.png|250px|thumb|right|Windows AD Anbindung]]
Zurück auf dem UMA wechseln sie unter „Setup" in den Bereich „Accounts" und wählen im Abschnitt „Benutzer Repository“ den Eintrag „Windows Active Directory“ aus.<br>

Setzen Sie im Abschnitt „Windows-Domänenmitgliedschaft“ den Haken auf „Aktiviert"
und tragen Sie die lokale Windows-Domäne, die Arbeitsgruppe, die Domänen-Server-IP-Adresse ein.
Geben Sie weiterhin den Namen des Administrator-Kontos und das zugehörige Passwort an, um die Appliance in die lokale Domäne einzubinden.<br>
Nach dem Klick auf den Button [[Datei:UMA20_AI_BeitrB.png|60px]] zeigt ein grünes Symbol [[Datei:UMA20_AI_ADSymb.png|20px]] den erfolgreichen Beitritt des UMA in der Domäne.

====Auswahl einzelner Konten====
[[Datei:UMA20_AI_KtoAusw.png|250px|thumb|right|Kontenauswahl]]
Achten Sie bei Nutzung eines Authentifizierungs-Dienstes wie Active Directory darauf, welche E-Mail-Konten wirklich archiviert werden müssen.

Im Abschnitt "Auswahl Einzelner Konten" haben Sie hierzu die Möglichkeit durch Aktivierung des Feldes "manuelle Auswahl aktivieren" die zu archivierenden Konten genau zu selektieren und damit sehr viel "lizenzschonender" zu arbeiten.
Werden in dem lokalen Active Directory die eMail-Adressen nicht mit den Benutzern/Public-Foldern synchronisiert, so sind diese im AD nachzutragen. [https://wiki.securepoint.de/UMA/AD/Benutzer_anlegen Active Directory User Anbindung].

====Lokale Nutzer-Liste====
[[Datei:UMA20_AI_LokUser.png|250px|thumb|right|Lokale Nutzer]]
Sollten Sie keinen Authentifizierungs-Server betreiben, können Sie auch lokal eine Benutzerliste hinterlegen.

Hierzu haben Sie entweder die Möglichkeit diese über den Button [[Datei:UMA20_AI_BenhinB.png|90px]] einzeln anzulegen oder über den Button [[Datei:UMA20_AI_CSVImpB.png|60px]] eine Liste im CSV-Format zu importieren.

Der Inhalt der .csv-Datei muss folgendes Format haben:
userid,password,firstname,lastname,email,optionalemail

[[Datei:UMA20_AI_LokCSVImp.png|250px|thumb|right|CSV-Liste Importieren]]
Um diese zu importieren klicken Sie auf [[Datei:UMA20_AI_DurchsB.png|80px]] und, nachdem Sie eine entsprechende Datei ausgewählt haben, den Button [[Datei:UMA20_AI_ImportB.png|60px]]

[[Datei:UMA20_AI_LokBenok.png|250px|thumb|right|Lokale Nutzer angelegt]]
Anschließend werden die Nutzer im Abschnitt "Lokale Nutzer" angezeigt.

===Globales Archivregelwerk===
[[Datei:UMA20_AI_SArchReg10all.png|250px|thumb|right|Globale Archivregel]]
Um sicher zu gehen, dass alle E-Mails archiviert werden, ist es sinnvoll eine globale Archivregel zu erstellen.<br>

Wechseln Sie dazu unter "Administration" in den Bereich "Archiv-Regelwerk". Geben Sie in das erste Feld den Regel-Namen ein, wählen Sie „irgendeine Bedingung trifft zu“ und das Langzeitarchiv für 10 Jahre "LZA/10".

Als nächstes bestimmen Sie in der Regel, dass jede Quelladresse im E-Mail Header die ein @ beinhaltet archiviert werden soll:
E-Mail-Header > from > beinhaltet > @

===Einrichtung eines Sammel-Postfachs und des Hub-Mode===
Zwar ist es möglich, jedes David-E-Mail-Postfach einzeln zu archivieren, wir empfehlen jedoch auf dem David.fx-Server ein Sammel-Postfach einzurichten. Damit haben Sie folgende Vorteile:
* Es werden wirklich nur E-Mails auf das UMA übertragen
* Gute Steuerung und Filterung welche E-Mail-Benutzerkonten im UMA archiviert werden

====Einrichtung des UMA Sammel-Postfachs auf dem Tobit David.fx====
[[Datei:UMA_Tobit_Ben1.png|250px|thumb|right|Benutzer anlegen]]
[[Datei:UMA_Tobit_Ben2.png|250px|thumb|right|Benutzer Rechte]]
Legen Sie auf dem Tobit Server einen weiteren Benutzer an, den Sie zum Beispiel "UMA" nennen.

Achten Sie darauf, dass im Bereich "Rechte" die Funktion "Remote Access nutzen" aktiviert ist.

[[Datei:UMA_Tobit_MASauto.png|250px|thumb|right|MailAccessServer autostart]]
[[Datei:UMA_Tobit_MASstart.png|250px|thumb|right|MailAccessServer starten]]
Wecheln Sie bei dem Benutzer "UMA" auf Fernzugriff & Publizierung -> MailAccessServer -> Startyp und wählen dort die Option "Automatisch".

Klicken Sie anschließend auf "Dienst starten".

Wenn das Gitternetz erscheint ist der Server gestartet.

Diese Einstellung wird benötigt, damit die UMA mit den Standard-E-Mail-Protokollen auf den Tobit David zugreifen kann.

Als nächstes wechseln Sie auf den Client und klicken auf den Button "Unverteilt".

Rechts unten im Navigatorfenster wählen Sie den Benutzer "UMA", gehen auf Eigenschaften und wechseln in den Bereich "Zugang".

Tragen Sie hier den Benutzernamen und das Passwort ein und achten Sie darauf, dass die Option "Remote Access aktivieren" markiert ist.

{|
|-
|[[Datei:UMA20_AHB_hinweispic.png|50px]]
|Achtung!<br>Die hier angelegten Zugangsdaten werden benötigt um die E-Mails vom UMA aus diesem Postfach abzuholen.
|}

Öffnen Sie anschließend auf dem Posteingang des Benutzers "UMA" die Eigenschaften und aktivieren auch dort die Option "Remote Access aktivieren".

Die aktivierten Remote Access sind an den Händen an den Ordnern zu erkennen.

Damit die eingehenden und ausgehenden E-Mails der Benutzer auch in den Eingangs-Ordner des UMA kopiert werden, müssen bei den Ein- und Ausgangsordnern der entsprechenden Benutzer Regeln hinterlegt werden.

====Einstellungen des UMA====
[[Datei:UMA20_AI_EMailsrv.png|250px|thumb|right|E-Mail-Server Einstellungen]]
Unter „Setup“ im Bereich „E-Mail-Server“ aktivieren Sie im Abschnitt „Remote E-Mailserver
Einstellungen“ den Hub-Mode und tragen die E-Mail-Domäne ein.

Nach einem Klick auf „Konto Hinzufügen“ im Abschnitt „Remote E-Mail-Konten“ öffnet sich eine Maske in der nun Angaben zum Mailserver erfolgen müssen.<br>
Zu den Angaben der Mailserver, Login des Hub-Kontos sowie des zu verwendenden Protokolls (Automatische Auswahl, POP oder IMAP) müssen auch die Haken bei der zuvor angelegten Domain gesetzt werden.<br>
Mit dieser Einstellung wird festgelegt, welche E-Mails aus dem Konto des E-Mailservers abgeholt werden sollen.

Weiterhin können Sie festlegen, wie häufig der Abruf der E-Mails erfolgen soll und wie groß die E-Mail maximal sein darf.

Nach dem Speichern der Einstellungen wird unter „Status“ der interne Mailserver angezeigt.

===Einrichtung des Backup===
Sie können das gesamte System entweder auf einen Netzwerkspeicher oder auf ein externes Speichermedium sichern.<br>
Externe Speichermedien werden über einen USB-Anschluss an die Appliance angeschlossen.
Es werden externe Festplatten und Flash-Speichermedien(USB-Sticks, etc.) unterstützt.

====Backup Device====
Zunächst definieren Sie im Abschnitt „Backup Devices“ das oder die Geräte auf denen die Backups gesichert werden sollen.

Tragen Sie einen Namen für das Gerät ein und wählen Sie den Typ Ihres Netzwerkspeichers aus. Zur Verfügung stehen:
<p><span style="white-space:pre">	</span>- Windows-Share<br>
<span style="white-space:pre">	</span>- FTP<br>
<span style="white-space:pre">	</span>- SSH<br>
<span style="white-space:pre">	</span>- iSCSI<br>
<span style="white-space:pre">	</span>- USB</p>

In Abhängigkeit des gewählten Typs ändern sich die Eingabefelder der Maske.

=====Windows Share=====
[[Datei:Win7_UMA2_WSBackup.png|200px|right|thumb|Windows7 Ordnerstruktur]]
Sehr häufig wird "Windows Share" verwendet. Achten Sie dabei darauf den korrekten Share-Namen einzutragen. Dies soll die nebenstehende Abbildung verdeutlichen.

[[Datei:UMA20_AI_WSBackupdev.png|250px|right|thumb|Backup Devices mit Windows Share]]
Sollten Sie keinen Ordner auf dem Laufwerk eingerichtet haben, tragen Sie im Eingabefeld Ordner Folgendes ein:<br>
[[Datei:UMA20_AI_WSBukO.png|350px]]

Wichtig ist weiterhin die Eingabe des Benutzernamens und Passwort des Backup Server.

Nachdem alle benötigten Daten eingetragen sind klicken Sie auf [[Datei:UMA20_AI_SaveaB.png|60px]] und, zum Testen der Speicherverbindung, auf [[Datei:UMA20_AI_DevtestB.png|70px]]

Wenn alles funktioniert legen Sie mit [[Datei:UMA20_AI_AddB.png|40px]] einen weiteren Backup-Speicher an oder wechseln in den Abschnitt „Backup Jobs“.

=====iSCSI=====
Sehr interessant ist die Kombination von iSCSI mit dem Sicherungsformat Time Machine.

Bei ''Time Machine'' handelt es sich um inkrementelle Backups, welche weniger Speicherplatz benötigen.

Wählen Sie als Typ einfach „iSCSI“ aus, tragen Sie die Serveradresse ein und klicken Sie auf [[Datei:UMA20_AI_iSCSIRegB.png|70px]]

Nach erfolgreicher Registrierung wird Ihnen die UUID des Laufwerks und das aktuelle Speicherziel angezeigt.

Um ein anderes Ziel auszuwählen, wählen Sie aus der Drop Down-Liste unter „iSCSI Ziel“ ein Ziel aus und klicken auf [[Datei:UMA20_AI_iSCSIZielaendB.png|70px]]

Abschließend klicken Sie auf [[Datei:UMA20_AI_SaveaB.png|60px]]

====Backup-Job====
Im Abschnitt „Backup-Jobs“ werden regelmäßige Sicherungsläufe erstellt, die automatisch ausgeführt werden.

=====Backup Job mit Windows Share und tar=====
[[Datei:UMA20_AI_WSBackupjob.png|250px|right|thumb|Backup-Job mit Windows Share]]
Auch hier tragen Sie zuerst den Namen des Jobs ein und wählen dann einen der von Ihnen angelegten Speicher aus.<br>
Anschließend definieren Sie den Zeitplan dieses Jobs und die Anzahl der Backups.

Die Anzahl der Backups legt fest wie viele Backups vorgehalten werden.

Wenn Sie Null wählen ist die Anzahl der vorgehaltenen Backups unbegrenzt.

Als Sicherungsformat steht Ihnen bei Windows Share nur „.tar“ zur Verfügung.

=====Backup-Job mit Time Machine=====
[[Datei:UMA20_AI_iSCSITMBuJob.png|250px|right|thumb|Backup-Job mit Time Machine]]
Achten Sie darauf, dass das Sicherungsformat "Time-Machine" aufgrund der verwendeten Hardlinks nur in Verbindung mit iSCSI und USB einsetzbar ist.

=====Manuelles Backup erstellen=====
Neben den automatisierten Backups, gibt es natürlich auch die Möglichkeit ein Backup "per Knopfdruck" zu erstellen.<br>
Dazu wechseln Sie einfach in den entsprechenden Backup-Job und klicken auf [[Datei:UMA20_AI_ManBackupB.png|80px]]

===Backup wiederherstellen===
'''Das Wiederherstellen eines Backups ist ausschließlich mit der Konfiguration möglich, die während des Backup-Laufes aktiv war, da das Backup von der Konfigurations-ID abhängig ist.'''

====Konfiguration Exportieren====
[[Datei:UMA20_AI_AWKonfig.png|250px|thumb|right|Konfiguration Exportieren]]
Wechseln Sie unter "Administration" in den Bereich "Wartung" und klicken Sie im Abschnitt "Konfiguration Import/Export" auf [[Datei:UMA20_AI_ExportB.png|70px]]. <br>
Dieser wechselt daraufhin auf [[Datei:UMA20_AI_DownlB.png|65px]]. Nach einem wiederholten Klick auf diesen Button öffnet sich das Browser-Downloadfenster und Sie können die Datei auf ihrem PC abspeichern.

====Wiederherstellen eines Backup====
Da die Backup-Jobs verschiedene Formate und/oder verschiedene Speicherorte haben, ist die Wiederherstellungsfunktion bei den einzelnen Jobs eingefügt.

Zur Wiederherstellung der Daten aus einem Backup wählen Sie aus dem Drop Down-Menü ein Backup aus.<br>
Die Bezeichnung der Backups setzt sich wie folgt zusammen:<br>
'''uma-backup-JJJJ-MM-TTTSS-MM-ssZ+ZZV.tar.gz'''<br>
<p><b>JJJJ</b><span style="white-space:pre">	</span>Jahr vierstellig<br>
<b>MM</b><span style="white-space:pre">		</span>Monat zweistellig<br>
<b>TT</b><span style="white-space:pre">		</span>Tag zweistellig<br>
Das hierauf folgende '''T''' steht für Tag.<br>
<b>SS</b><span style="white-space:pre">		</span>Stunde zweistellig<br>
<b>MM</b><span style="white-space:pre">		</span>Minute zweistellig<br>
<b>ss</b><span style="white-space:pre">		</span>Sekunden zweistellig<br>
Das hierauf folgende '''Z''' steht für Zeit.<br>
<b>ZZV</b><span style="white-space:pre">		</span>Zeitzonenverschiebung vierstellig<br>
Das Vorzeichen (+/-) zeigt an, ob die angezeigten Stunden zur Koordinierten Weltzeit (UTC) addiert werden oder von dieser subtrahiert werden.
</p>
Die Schaltfläche [[Datei:UMA20_AI_BuAktB.png|80px]] aktualisiert die Auflistung der Backups. Mit einem Klick auf [[Datei:UMA20_AI_WiederhstB.png|90px]] wird die Wiederherstellung gestartet.

===Wartung===
====Automatisches Aufräumen des Postfachs====
[[Datei:UMA20_AI_PostfAufr.png|250px|thumb|right|Autom. Postfach Aufräumen]]
Im Bereich "Wartung" finden Sie ebenfalls die Möglichkeit, einzustellen, wann die E-Mails aus den Inboxen der Benutzerkonten gelöscht werden sollen.

Alle bis dahin nicht in die Langzeitarchive kopierten E-Mails, die sich auf dem UMA befinden, werden ebenfalls gelöscht.

Unter "Status" wird das Datum der letzten und der nächsten Ausführung angezeigt, sowie die Mailboxen die bereinigt wurden.

====Langzeitarchiv und nicht archivierte E-Mails====
[[Datei:UMA20_AI_LZA+nAMails.png|250px|thumb|right|Langzeitarchiv und nicht Archivierte E-Mails]]
Im Abschnitt "Langzeitarchiv" der "Wartung" wird in einem Status ausgegeben, dass demnächst eine Löschung von E-Mails aus den Langzeitarchiven bevorsteht und wie viele E-Mails davon betroffen sind.<br>
Es werden nur die E-Mails gelöscht, die eine gewisse Vorhaltezeit überschritten haben.

Ist die Langzeitarchivierung überschritten werden die E-Mails noch vorgehalten, bevor sie endgültig gelöscht werden. Die Vorhaltezeit kann, über einen dann eingeblendeten Schieberegler, von 180 bis 365 Tagen gewählt werden.

Im Abschnitt "Aufgrund von Fehlern nicht archivierte E-Mails" können Sie bei E-Mails, die als fehlerhaft markiert sind, die Signaturen und Dateianhänge prüfen lassen und die Archivierung mit einem Klick auf den Button [[Datei:UMA20_AI_ArchfehlmailwiedB.png|250px]] wiederholen.

====Firmware Version====
[[Datei:UMA20_AI_FWUpd.png|250px|thumb|right|Firmware Version]]
Um zu sehen welche UMA Firmware gerade aktiv ist, schauen Sie unter "Wartung" einfach in den Abschnitt "Firmware Version". Hier wird Ihnen die aktive und gegebenenfalls die vorher installierte Version als "Verfügbare Version" angezeigt.

Um zu überprüfen, ob eine neue Version des UMA vorhanden ist, klicken Sie einfach auf [[Datei:UMA20_AI_FWUpdB.png|80px]].

Weiterhin ist es möglich, nach einem Firmware-Update wieder auf die vorher auf dieser Maschine installierte Version zu wechseln. Diese Version wird Ihnen als "Verfügbare Version" angezeigt und mit einem Klick auf [[Datei:UMA20_AI_RollbackB.png|60px]] wieder aktiviert.

===Und wenn es mal klemmt ...===
[[Datei:UMA20_AI_Werkzeug.png|250px|thumb|right|Werkzeuge]]
Natürlich bietet das UMA im Bereich "Werkzeuge" auch einen kleinen "Werkzeugkasten", um zu überprüfen ob E-Mails versendet werden, das Netzwerk erreichbar ist oder um die Festplatten zu testen.

[[Datei:UMA20_AI_Logs.png|250px|thumb|right|Logs]]
Weiterhin bringt ein Blick in die Log-Dateien häufig den Ansatz, an welcher Stelle zu suchen ist, wenn nicht alles so läuft wie gewünscht.

Weitere Informationen und Hilfe zum UMA und anderen Produkten der Securepoint GmbH finden Sie unter http://wiki.securepoint.de

UMA/Einrichtung des HUB Modus UMA2.0

2018-07-30T12:15:56Z

Skrauti: /* Windows Domänenmitgliedschaft */

[[Kategorie:UMAv2]]

==Einrichtung des UMA für den HUB Modus==
Nach dem Anschließen des UMA und der Anbindung an das Netzwerk über ein Patch-Kabel, öffnen Sie Ihren Internetbrowser (wir empfehlen Mozilla Firefox) und geben in das URL-Eingabefeld die IP-Adresse inklusive Port des UMA ein:

<p><span style="white-space:pre">	</span> '''https://192.168.175.254:11115'''</p>

Da es sich um eine mit einem Zertifikat verschlüsselte Verbindung handelt, muss dies mit „Ich kenne das Risiko“, „Ausnahmen hinzufügen" und „Sicherheits-Ausnahmeregel bestätigen“ bestätigt werden.

'''UMA-Administration-Center'''
[[Datei:UMA20_AI_Login.png|150px|thumb|right|Login]]
Als nächstes sehen Sie das Login-Fenster des UMA-Administration-Center. Benutzername und Passwort des UMA im Auslieferzustand sind:
<p><span style="white-space:pre">	</span>Benutzername:<span style="white-space:pre">	</span>admin<br>
<span style="white-space:pre">	</span>Kennwort:<span style="white-space:pre">		</span>insecure</p>

Nach einem Klick auf den [[Datei:UMA20_AI_LoginB.png|60px]] Button befinden Sie sich im Status-Fenster.

===Grundkonfiguration===

====Lizenzierung====
[[Datei:UMA20_AI_SLizenz.png|250px|thumb|right|Lizenz importieren]]
Als ersten Schritt der Grundkonfiguration wählen Sie unter der Registerkarte „Setup“ den Bereich „Lizenz“ und importieren die Kundenlizenz, um die Appliance in vollem Umfang nutzen zu können. Zudem ist in der Lizenz die maximale Anzahl an zu archivierenden Postfächern festgelegt.<br>
Klicken Sie dazu auf den Button [[Datei:UMA20_AI_DurchsB.png|80px]], suchen Diese aus der anschließenden Darstellung Ihrer Ordnerstruktur heraus, klicken auf ''Öffnen'' und abschließend auf [[Datei:UMA20_AI_RegB.png|60px]]

Sollte Ihnen noch keine Lizenz-Datei vorliegen, erhalten Sie diese im Securepoint-Registrierungsportal unter my.securepoint.de

====Initialisieren====
[[Datei:UMA20_AI_SASpeicher.png|250px|thumb|right|Archiv Speicher initialisiert]]
Sollte eine Initialisierung des Archiv-Storage noch nicht stattgefunden haben, wechseln Sie im Register „Setup“ auf „Archiv-Speicher“. Hier werden die Festplatten auf den weiteren Gebrauch vorbereitet.<br>
Bei einer Appliance mit Software-RAID, wird das korrekte RAID-Level automatisch gewählt. Klicken Sie auf den Button „Initialisierung“ und warten Sie, bis dieser Vorgang abgeschlossen ist.

====Netzwerk Einstellungen====
[[Datei:UMA20_AI_SNetzw.png|250px|thumb|right|Netzwerk Einstellungen]]
Um die IP-Adressen anzupassen, wechseln Sie unter „Setup“ in den Bereich „Netzwerk“.<br>
Hier passen Sie die IP-Adresse des UMA an Ihr lokales Subnetz an und tragen die IP-Adresse der Firewall als Router-IP-Adresse ein.

Im Anschluss wird das UMA neu gestartet und ist dann unter der neuen IP im Netz erreichbar.

Im Abschnitt „Lokale Einstellungen“ tragen Sie den Hostnamen des UMA und die lokale Domain ein.

Sollte die Firewall in Ihrem Netzwerk auch als Nameserver dienen, tragen Sie diese IP in das entsprechenden Feld im Bereich „Nameserver Einstellungen" ein. Ansonsten wählen Sie die IP des DNS-Servers Ihres Netzwerkes.

====Windows Domänenmitgliedschaft====
[[Datei:UMA20_AI_SAccounts.png|250px|thumb|right|Windows AD Anbindung]]
Wechseln Sie unter „Setup" in den Bereich „Accounts" und wählen Sie im Abschnitt „Benutzer Repository“ den Eintrag „Windows Active Directory“ aus.<br>

Setzen sie im Abschnitt „Windows Domänenmitgliedschaft“ den Haken auf „Aktiviert"
und tragen Sie die lokale Windows-Domäne, die Arbeitsgruppe, die Domänen-Server-IP sowie den Admin-Login ein, um die Appliance in die lokale Domäne einzubinden.<br>
Nach dem Klick auf den Button [[Datei:UMA20_AI_BeitrB.png|60px]] bestätigt ein grünes Symbol [[Datei:UMA20_AI_ADSymb.png|20px]] die erfolgreiche Anmeldung des UMA an der Domäne.
Werden in dem lokalen Active Directory die eMail-Adressen nicht mit den Benutzern/Public-Foldern synchronisiert, so sind diese im AD nachzutragen. [https://wiki.securepoint.de/UMA/AD/Benutzer_anlegen Active Directory User Anbindung].

====E-Mail Server====
[[Datei:UMA20_AI_SMServer.png|250px|thumb|right|E-Mail-Server Einstellungen]]
Unter „Setup“ im Bereich „E-Mail-Server“ aktivieren Sie im Abschnitt „Remote E-Mailserver
Einstellungen“ den Hub-Mode und tragen die E-Mail-Domäne ein.

Nach einem Klick auf „Konto Hinzufügen“ in dem Abschnitt „Remote E-Mail-Konten“ öffnet sich eine Maske in der nun Angaben zum Mailserver erfolgen müssen.<br>
Zu den Angaben des Mailservers, Login des Hub-Kontos sowie dem zu verwendenden Protokoll (Automatische Auswahl, POP oder IMAP) müssen auch die Haken bei der/den zuvor angelegten Domain(s) gesetzt werden.<br>
Mit dieser Einstellung wird festgelegt welche Mails aus dem Konto des E-Mailservers abgeholt werden sollen.

Weiterhin können Sie festlegen, wie häufig der Abruf der Mails erfolgen soll und wie groß die E-Mail maximal sein darf.

Nach dem Speichern der Einstellungen wird unter „Status“ der interne Mailserver angezeigt und die Grundkonfiguration ist abgeschlossen.

=== Anlegen des Archiv-Regelwerkes===
Das UMA bietet die Möglichkeit, Mails in vier Langzeitarchiven, die sich in der Archivierungszeit unterscheiden, zu speichern.<br> Diese Archive sind mit den Bezeichnungen ''LZA/6 (6 Jahre)'', ''LZA/10 (10 Jahre)'', ''LZA/30 (30 Jahre)'' und ''LZA/ewig'' (dauerhaft) angegeben. Wie lange ein(e) Mail/Dokument gesetzeskonform aufbewahrt werden muss richtet sich nach der Art der/des Mail/Dokumentes. Die erforderliche Länge der Aufbewahrungspflichten können Sie der Tabelle unter Rechtsgrundlagen entnehmen.

====Globale Archiv-Regeln====
[[Datei:UMA20_AI_AARGArchivreg.png|250px|thumb|right|Globale Archiv-Regeln]]
Zum Anlegen der erforderlichen Regel wechseln Sie auf die Registrierkarte „Administration“ und wählen den Bereich „Archiv-Regelwerk“.

Legen Sie für die E-Mail-Domäne eine globale Archiv-Regel an.<br>
In dieser übergeordneten Regel geben Sie im ersten Feld einen Regel-Namen ein.<br>
Wählen Sie aus, wie die Bedingungen, die Sie anschließend definieren, zutreffen sollen und wählen Sie das Archiv aus, in das die E-Mails bzw. die Dokumente bei Zutreffen der Bedingungen verschoben werden sollen.

Anschließend definieren Sie ihre Bedingungen.<br>
Beispiel:<br><br>
[[Datei:UMA20_AI_AARBedingungen.png|600px]]

Dieser Regelsatz sagt aus das jede Nachricht/E-Mail die als Absender oder Empfänger sowie als Kopie die entsprechende interne Domäne beinhaltet, in das Langzeitarchiv(LZA)/10 geschoben wird.

Darüber hinaus sind die Nutzer in der Lage, über die UMA-Benutzer-Weboberfläche, E-Mails in ihrem Postfach mit einer längeren Archivierungszeit zu versehen.

Nach dem die Regeln und Bedingungen angelegt und gespeichert sind, ist das Anlegen der Archiv-Regeln abgeschlossen.

==='''Empfehlung'''===
<p>'''Erstellen Sie eine Kopie der Konfiguration.'''</p>
Da die Festplatten verschlüsselt sind, können Sie nur mit der Konfiguration, die den passenden Schlüssel enthält, auf die Daten, die auf der Festplatte abgelegt sind, zugreifen

====Konfiguration Exportieren====
[[Datei:UMA20_AI_AWKonfig.png|250px|thumb|right|Konfiguration Exportieren]]
[[Datei:UMA20_FF_KonfDownl.png|250px|thumb|right|Konfiguration Speichern]]
Wechseln Sie unter Administration in den Bereich "Wartung" und klicken Sie im Abschnitt "Konfiguration Import/Export" auf [[Datei:UMA20_AI_ExportB.png|70px]]. Dieser wechselt daraufhin auf [[Datei:UMA20_AI_DownlB.png|65px]]. Nach einem wiederholten Klick auf diesen Button öffnet sich das Downloadfenster Ihres Browsers und Sie können die Datei auf ihrem PC abspeichern.

UMA/BP/Office 365 v2.5.7

2018-07-30T12:14:54Z

Skrauti: /* Anbindung an ein Active Directory (empfohlen) */

{{DISPLAYTITLE:Office 365}}

== Informationen ==
Letze Anpassung zur Version: '''2.5.7'''
<br>
Bemerkung: initiale Erstellung
<br>
Vorherige Versionen: -
<br>

== Einleitung ==
Das UMA arbeitet im HUB-Modus und holt in diesem Fall die E-Mails aus einem Sammelkonto ab. Während viele E-Mail-Anbieter diese Funktion nur für eingehende E-Mails unterstützen, lassen sich bei Office 365 über eine so genannte Journal-Regel auch ausgehende Mails in das Sammelpostfach kopieren.
Dieser Artikel zeigt die Einrichtung über das Office-365-Administrationsportal in das UMA.

== Benutzer-Verwaltung ==

=== Anbindung an ein Active Directory (empfohlen) ===
Ist ein Active Directory vorhanden, ist es empfehlenswert die Office 365-Umgebung in die lokale Umgebung zu integrieren. Durch die Integration werden die Benutzer und E-Mail-Einstellungen zwischen Office 365 und dem Active Directory synchronisiert. Dieses erleichtert die Administration aller Systeme und erhöht den Komfort für den Benutzer. <br>
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Dies ist die einzige Möglichkeit, Public Folder und Shared Mailboxen als öffentliche Ordner zu archivieren!</span></div>
</div>
<div style="clear: both;"></div>

Für die Anbindung von Office 365 an ein lokales Active Directory ist die [https://support.office.com/de-de/article/Office-365-Integration-in-lokale-Umgebungen-263faf8d-aa21-428b-aed3-2021837a4b65 Office 365 Dokumentation] zu verwenden.

Werden in dem lokalen Active Directory die eMail-Adressen nicht mit den Benutzern/Public-Foldern synchronisiert, so sind diese im AD nachzutragen. [https://wiki.securepoint.de/UMA/AD/Benutzer_anlegen Active Directory User Anbindung].
<br>

=== Lokale Benutzer ===
Falls kein Active Directory vorhanden ist, können die Benutzer lokal auf dem UMA verwaltet werden.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Es können nur private Archive angelegt werden und keine öffentlichen.</span></div>
</div>
<div style="clear: both;"></div>
Existiert also beispielsweise eine info@-Adresse, muss diese Adresse einem Benutzer zugewiesen werden. Die Freigabe dieses Archives für andere Benutzer ist nicht möglich.

== Einrichtung ==
=== Journal-Regel ===
1. Login im '''Office-Portal'''.<br>
2. Verbindung zum '''Admin-Portal''' herstellen.<br>
3. In der Menüleiste am linken Bildschirmrand wird unter "'''Admin Center'''" die Verknüpfung "'''Exchange'''" aufgerufen.<br>
4. Im '''Exchange Admin Center''' wird im Menü am linken Bildschirmrand "'''Verwaltung der Compliance'''" ausgewählt.<br>
5. Im Reiter "'''Journalregeln"''' kann dann über die Schaltfläche '''+''' eine Journalregel hinzugefügt werden.<br>
<br>
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Achtung: Es ist nicht möglich eine E-Mail-Domain zu verwenden, die über Office 365 verwaltet wird.</span></div>
</div>
<div style="clear: both;"></div>

[[Datei:office365-add-journal-rule.png|400px|thumb|center|Hinzufügen der Journal-Regel]]

<br>

Nach einem Klick auf '''Speichern''' ist die Regel aktiv und von jeder ein- und ausgehenden E-Mail wird eine Kopie an die eingetragene E-Mail-Adresse gesendet. <br>

[[Datei:office365-show-journal-rule.png|900px|thumb|center|Gerade angelegte Journal-Regel]]
<br>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Achtung: ''Update 07.06.17:'''
'''Seit Kurzem muss zusätzlich eine Adresse für nicht zustellbare Journalberichte angegeben werden. Die hier angegebene E-Mail-Adresse muss zwingend innerhalb der Office365-Domain liegen und es dürfen keinerlei Regeln auf dem Posteingang des Kontos wirken!'''.</span></div>

<br><br>Dieses Postfach wird dann in dem UMA eingetragen:<br>
[[Datei:office365-uma-fetchmail.png|700px|thumb|center|E-Mail-Konto in dem UMA]]

<br>
Die Office 365 spezifische Konfiguration ist damit abgeschlossen.

Im weiteren müssen die Benutzer angelegt oder das UMA mit einem Active Directory verbunden werden. Die Einrichtung wird in [[Administration-Center_Webinterface_UMA2.0#Konten | diesem Wiki]] beschrieben.

UMA/UMA Mailserver Kompatibilität v2

2018-07-13T15:49:10Z

Skrauti:

Ziel dieses Dokumentes ist es einen Überblick über am Markt verbreitete Mailserver und deren
Integrationsmöglichkeiten bei der E-Mail-Archivierung mit dem Securepoint UMA darzustellen.

Planen Sie ein Projekt mit einem hier nicht aufgeführten Mail-System,
wenden Sie sich bitte vorab an unseren Support.

{| border="0" {{prettytable}}
|'''Mailserver'''
| Version
| Ergebnis
| Integrationsart
|Clientzugriff
|Bemerkungen
|Webinar

|-
|Microsoft Exchange
|2003
|FAILED EOL
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| -
| IMAP-Server des Exchange stürzt immer wieder ab. Technische Implementation ansonsten prinzipiell möglich.
| -
|-

|Microsoft Exchange
|[[ Best_Practice_Guide_UMA2.0 | 2007 ]]
|FAILED EOL
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP (Outlook - Empfehlung das PlugIn nicht mit Outlook Client < 2010 zu verwenden))
| Mailboxjournal / Message-Only Journaling http://technet.microsoft.com/de-de/library/bb124985(v=exchg.80).aspx
| -
|-

|Microsoft Exchange
| [[ Best_Practice_Guide_UMA2.0 | 2010 ]]
|OK
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP (Outlook - Empfehlung das PlugIn nicht mit Outlook Client < 2010 zu verwenden))
| Mailboxjournal / Message-Only Journaling http://technet.microsoft.com/de-de/library/bb124985(v=exchg.80).aspx
| -
|-

|Microsoft Exchange
|[[ Best_Practice_Guide_UMA2.0 | 2013]]
|OK
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP (Outlook - Empfehlung das PlugIn nicht mit Outlook Client < 2010 zu verwenden))
| Mailboxjournal / Message-Only Journaling (Achtung bitte verwenden Sie das Standard-Journaling.) http://technet.microsoft.com/de-de/library/bb124985(v=exchg.80).aspx
| -
|-

|Microsoft Exchange
|[[ Best_Practice_Guide_UMA2.0 | 2016]]
|OK
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP (Outlook - Empfehlung das PlugIn nicht mit Outlook Client < 2010 zu verwenden))
| Mailboxjournal / Message-Only Journaling (Achtung bitte verwenden Sie das Standard-Journaling.) http://technet.microsoft.com/de-de/library/bb124985(v=exchg.80).aspx
| -
|-

|Office 365
| -
|OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| [[ UMA/BP/Office_365 | Office 365 ]]
| -
|-

|Tobit David
|Ab V10
|OK
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web
| Weiterleitungsregeln je Benutzer müssen von Hand angelegt werden.
|[http://www.youtube.com/watch?v=z1bDfwvHSuw&list=PL2fcQZRcjhafnXL_E7Q7j7RyCBgzaZFF8 Best Practice Webinar - Securepoint UMA und Tobit David]
|-

|MDaemon
|Alle
|OK
|HUB Modus ]]
| Web, IMAP
| Siehe Infos zu Standard-Mailserver
| -
|-

|Kerio
|Alle
|OK
|[[ Sammelpostfach-Kerio | HUB Modus ]]
| Web, IMAP
| Siehe Infos zu Standard-Mailserver
| -
|-

|IBM Notes
|7
| FAILED
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP - Web-Interface lässt sich direkt in Client integrieren
| -
| -
|-

|IBM Notes
|8
|OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP - Web-Interface lässt sich direkt in Client integrieren
| [[ Lotus_Domino_UMA2.0 | IBM Notes ]]
| -
|-

|IBM Notes
|9
|OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP - Web-Interface lässt sich direkt in Client integrieren
| [[ Lotus_Domino_UMA2.0 | IBM Notes ]]
| -
|-

|Sendmail
|Alle
|OK
| HUB Modus
| Web, IMAP
| Siehe Infos zu Standard-Mailserver | Mit entsprechenden Miltern möglich
| -
|-

|Postfix
|Ab 2.3
|OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| Siehe Infos zu Standard-Mailserver
| -
|-

|Hosted Exchange
| -
|OK **
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| Weiterleitungsregeln je Benutzer oder ein Journal müssen/muss von Hand angelegt werden. Anbieter muss IMAP-Schnittstelle zur Verfügung stellen.
| -
|-

|POP3 / IMAP Konten
| -
|FAILED **
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| Weiterleitungsregeln je Benutzer meist nicht vollständig möglich.
| -
|-

|AMTANGEE Email Connectivity Service
| 5.5
|OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| IMAP
| Weiterleitungsregeln je Benutzer müssen von Hand angelegt werden.
| -
|-

|IceWarp Server
| 12
|OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| IMAP
| Weiterleitungsregeln müssen definiert werden https://www.icewarp.com/support/online_help/5940.htm
| -
|-

|}

<big>**</big>Hinweis zu gehosteten Lösungen wie Hosted Exchange, POP3- und IMAP-Konten. Diese können dann verwendet werden, wenn der Provider es erlaubt serverseitig Weiterleitungsregeln je Postfach für ein- und ausgehende E-Mails zu hinterlegen. Außerdem ist es in der Regel notwendig ein zusätzliches, bisher nicht benutztes Postfach zu konfigurieren. Dieses erhält eine Kopie aller ein und ausgehenden E-Mails und wird vom Securepoint UMA im HUB-Modus abgeholt. Die Benutzer müssen dann in der Regel lokal auf dem UMA – also manuell – eingetragen werden.

Diese Liste stellt eine unverbindliche Zusammenstellung von Informationen dar und ist keine Funktionsbeschreibung oder Funktionsgarantie.

UMA/BP/Office 365 v2.5.7

2018-05-18T10:48:48Z

Skrauti: /* Journal-Regel */

{{DISPLAYTITLE:Office 365}}

== Informationen ==
Letze Anpassung zur Version: '''2.5.7'''
<br>
Bemerkung: initiale Erstellung
<br>
Vorherige Versionen: -
<br>

== Einleitung ==
Das UMA arbeitet im HUB-Modus und holt in diesem Fall die E-Mails aus einem Sammelkonto ab. Während viele E-Mail-Anbieter diese Funktion nur für eingehende E-Mails unterstützen, lassen sich bei Office 365 über eine so genannte Journal-Regel auch ausgehende Mails in das Sammelpostfach kopieren.
Dieser Artikel zeigt die Einrichtung über das Office-365-Administrationsportal in das UMA.

== Benutzer-Verwaltung ==

=== Anbindung an ein Active Directory (empfohlen) ===
Ist ein Active Directory vorhanden, ist es empfehlenswert die Office 365-Umgebung in die lokale Umgebung zu integrieren. Durch die Integration werden die Benutzer und E-Mail-Einstellungen zwischen Office 365 und dem Active Directory synchronisiert. Dieses erleichtert die Administration aller Systeme und erhöht den Komfort für den Benutzer. <br>
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Dies ist die einzige Möglichkeit, Public Folder und Shared Mailboxen als öffentliche Ordner zu archivieren!</span></div>
</div>
<div style="clear: both;"></div>

Für die Anbindung von Office 365 an ein lokales Active Directory ist die [https://support.office.com/de-de/article/Office-365-Integration-in-lokale-Umgebungen-263faf8d-aa21-428b-aed3-2021837a4b65 Office 365 Dokumentation] zu verwenden.
<br>

=== Lokale Benutzer ===
Falls kein Active Directory vorhanden ist, können die Benutzer lokal auf dem UMA verwaltet werden.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Es können nur private Archive angelegt werden und keine öffentlichen.</span></div>
</div>
<div style="clear: both;"></div>
Existiert also beispielsweise eine info@-Adresse, muss diese Adresse einem Benutzer zugewiesen werden. Die Freigabe dieses Archives für andere Benutzer ist nicht möglich.

== Einrichtung ==
=== Journal-Regel ===
1. Login im '''Office-Portal'''.<br>
2. Verbindung zum '''Admin-Portal''' herstellen.<br>
3. In der Menüleiste am linken Bildschirmrand wird unter "'''Admin Center'''" die Verknüpfung "'''Exchange'''" aufgerufen.<br>
4. Im '''Exchange Admin Center''' wird im Menü am linken Bildschirmrand "'''Verwaltung der Compliance'''" ausgewählt.<br>
5. Im Reiter "'''Journalregeln"''' kann dann über die Schaltfläche '''+''' eine Journalregel hinzugefügt werden.<br>
<br>
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Achtung: Es ist nicht möglich eine E-Mail-Domain zu verwenden, die über Office 365 verwaltet wird.</span></div>
</div>
<div style="clear: both;"></div>

[[Datei:office365-add-journal-rule.png|400px|thumb|center|Hinzufügen der Journal-Regel]]

<br>

Nach einem Klick auf '''Speichern''' ist die Regel aktiv und von jeder ein- und ausgehenden E-Mail wird eine Kopie an die eingetragene E-Mail-Adresse gesendet. <br>

[[Datei:office365-show-journal-rule.png|900px|thumb|center|Gerade angelegte Journal-Regel]]
<br>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Achtung: ''Update 07.06.17:'''
'''Seit Kurzem muss zusätzlich eine Adresse für nicht zustellbare Journalberichte angegeben werden. Die hier angegebene E-Mail-Adresse muss zwingend innerhalb der Office365-Domain liegen und es dürfen keinerlei Regeln auf dem Posteingang des Kontos wirken!'''.</span></div>

<br><br>Dieses Postfach wird dann in dem UMA eingetragen:<br>
[[Datei:office365-uma-fetchmail.png|700px|thumb|center|E-Mail-Konto in dem UMA]]

<br>
Die Office 365 spezifische Konfiguration ist damit abgeschlossen.

Im weiteren müssen die Benutzer angelegt oder das UMA mit einem Active Directory verbunden werden. Die Einrichtung wird in [[Administration-Center_Webinterface_UMA2.0#Konten | diesem Wiki]] beschrieben.

UMA/FAQ

2018-04-13T09:18:28Z

Skrauti:

{{DISPLAYTITLE:Securepoint Unified Mail Archive FAQ}}
==UMA ohne Mailserver==
'''Kann das UMA auch ohne Mailserver verwendet werden?'''<br>
Der Einsatz des UMA in Umgebungen ohne Mailserver hat bestimmte Voraussetzungen:<br>
Das benutzerunabhängige Journal-Postfach, welches das UMA abholt, kann grundsätzlich auch bei einem Mail-Hoster platziert sein.<br>
Besonderheit hierbei: Nur wenige Hoster unterstützen die Kopie in das Journal-/Sammelpostfach für ein UND ausgehende E-Mails.

Derzeit uns bekannte Hoster:
*Office365
*Hosted Exchange
*Kontent.com

Ein passendes Webinar zum Thema [https://www.youtube.com/watch?v=-1NKrmvDaP0 "Securepoint UMA in kleinen Umgebungen"] befindet sich in unserem YouTube Channel.

Eine Anleitung zur Einrichtung von MS Office 365 liegt im Securepoint Wiki unter [[UMA/BP/Office_365 | Konfiguration - Office 365]] bereit.

==Import==
'''Massenimport nicht verfügbar'''<br>
Der Massenimport wird nicht angezeigt.
Der Massenimport ist nur in Verbindung mit einer AD-Umgebung und Microsoft-Exchange nutzbar.

==Transparenter Modus==
'''Der transparente Modus lässt sich nicht konfigurieren.'''<br>
Der transparente Modus ist seit Version 2.5.8 nicht mehr konfigurierbar und wird ab UMA Version 3 komplett entfernt.

==Ausnahmen von der E-Mail Archivierung==
'''Lassen sich bestimmte E-Mail-Adressen von der Archivierung ausnehmen?'''<br>
Ja. Unter „Administration“ -> „E-Mail-Blacklist“ lassen sich E-Mail-Adressen von der Archivierung ausnehmen.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">
Achtung: Es lassen sich nur vollständige E-Mail-Adressen definieren. Wildcards können nicht verwendet werden.
</span></div>
</div>
<div style="clear: both;"></div>

'''Wie werden Spam-E-Mails von der Archivierung ausgenommen?'''<br>
E-Mails sollen bereits an E-Mail-Gateway (z. B. Securepoint NextGen UTM) als SPAM identifiziert und gefiltert werden. Somit trifft SPAM erst gar nicht im Journal-Postfach des Mailsystems ein.

'''Werden Verschlüsselte E-Mails archiviert?'''<br>
Verschlüsselte E-Mails werden so archiviert wie sie sind. Der Header einer E-Mail ist nicht verschlüsselt, so das die Zuweisung zum Benutzer getroffen werden kann. Ein Privater Schlüssel kann in dem UMA nicht hinterlegt werden. Daher müssen diese E-Mails zur Sichtung aus dem UMA heruntergeladen werden, um sie dann mit internen Mitteln öffnen zu können.

==E-Mails werden nicht vom Exchange-Mailserver abgeholt==
Es kann verschiedene Gründe geben, warum die E-Mails aus dem Journal-Postfach des Exchange-Mailserver von dem UMA nicht abgeholt werden können. Im Folgenden haben wir die häufigsten dargestellt.

====Möglichkeit 1: Die UMA Lizenz ist abgelaufen====
Die Abholung der E-Mails aus dem Sammelpostfach wird eingestellt.<br>
Lösung: Es muss eine neue gültige Lizenz im UMA registriert werden.

====Möglichkeit 2: Der Archiv-Speicherplatz des UMA ist voll====
Steht kein Speicherplatz zur Verfügung, kann das UMA keine weiteren Daten archivieren. Unter Berücksichtigung der Systemvoraussetzungen/Projektplanung, kann der vorhandene durch neuen Speicher mit höherer Kapazität ersetzt werden.<br>
Eine ausführliche Anleitung zu diesem Thema findet sich im Securepoint Wiki unter [[UMA/Archivspeichererweiterung | Austausch und Erweiterung des Archivspeichers des UMA]]

====Möglichkeit 3: Journal-Postfach zu voll.====
Ab einer gewissen Anzahl von E-Mails kann der IMAP-Dienst eines E-Mailsystems träge reagieren.<br>
Lösung: In diesem Fall müssen auf dem Mailserver der Posteingang des Journal-Postfachs geprüft und überflüssige E-Mails gelöscht werden.

Über das Webinterface des UMA lässt sich die Funktion "E-Mails auf dem Server belassen" deaktivieren. Das UMA löscht dann die E-Mails aus dem Journal-Postfach nachdem es diese abgeholt hat.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">
Achtung: Das Löschen über diese Funktion bezieht sich nur auf E-Mails die nach dem deaktivieren abgeholt werden.
</span></div>
</div>
<div style="clear: both;"></div>

====Möglichkeit 4: Der IMAP-Dienst auf dem Mailsystem läuft nicht====
Lösung: Status des Dienstes auf dem Mailserver prüfen und den Dienst gegebenenfalls neu starten.<br>
Anschliessend einen Verbindungstest mit einem Telnet-Client zum Mailserver durchführen. Wie dieser durchzuführen ist, wird unter Möglichkeit 5 beschrieben.

====Möglichkeit 5: Grundsätzliches Problem mit dem IMAP-Dienst des Mailsystems====
Lösung: Debugging des IMAP-Dienstes per Telnet.

1. Verbinden Sie sich mit einem Rechner mit installiertem Telnet-Client auf das Mailsystem.
telnet 192.168.1.50 143
Der Server begrüßt Sie.
* OK The Microsoft Exchange IMAP4 service is ready.

2. Loggen Sie sich nun mit dem Journal-Konto, welches auch in dem UMA konfiguriert ist, ein. In diesem Beispiel ist der Benutzername "journal" und das Passwort "insecure".
a1 LOGIN journal insecure
Der IMAP-Dienst des Mailsystems nimmt den Login an.
a1 OK LOGIN completed.

3. Lassen Sie sich die verfügbaren IMAP-Ordner anzeigen.
a2 LIST „“ „*“

Das Mailsystem listet alle Ordner auf.
* LIST (\HasNoChildren) „/“ Aufgaben
* LIST (\HasNoChildren) „/“ Entw&APw-rfe
* LIST (\HasNoChildren) „/“ „Gel&APY-schte Elemente“
* LIST (\HasNoChildren) „/“ „Gesendete Elemente“
* LIST (\HasNoChildren) „/“ Journal
* LIST (\HasNoChildren) „/“ Junk-E-Mail
* LIST (\HasNoChildren) „/“ Kalender
* LIST (\HasChildren) „/“ Kontakte
* LIST (\HasNoChildren) „/“ Notizen
* LIST (\HasNoChildren) „/“ Postausgang
* LIST (\Marked \HasNoChildren) „/“ INBOX
a2 OK LIST completed.

4. Wählen Sie den Ordner INBOX (Posteingang) aus.
a3 SELECT INBOX

Der Server gibt eine Übersicht des Ordners aus.
* 0 EXISTS
* 0 RECENT
* FLAGS (\Seen \Answered \Flagged \Deleted \Draft $MDNSent)
* OK [PERMANENTFLAGS (\Seen \Answered \Flagged \Deleted \Draft $MDNSent)] Permanent flags
* OK [UIDVALIDITY 14] UIDVALIDITY value
* OK [UIDNEXT 40] The next unique identifier value
a3 OK [READ-WRITE] SELECT completed.

Sollte das Mailsystem bis zu diesem Punkt keinen Fehler gemeldet haben, läuft der IMAP-Dienst augenscheinlich normal und fehlerfrei.<br>
Gängiger Fehler: Die Komponente ImapProxy auf dem Exchange ist inaktiv.<br>
Der Status der Komponente kann mit folgendem Kommando über die Exchange-Shell unter Exchange 2013 und 2016 abgerufen werden:
Get-ServerComponentState -identity <ServerName>

Ist der ComponentState "inaktiv", dann kann dieser mit folgendem Befehl wieder aktivert werden:
<pre>Set-ServerComponentState -identity <ServerName> -Component ImapProxy -Requester HealthAPI -State Active </pre>

Nach dem Aktivieren des ComponentState müssen die IMAPv4 und IMAPv4 BackEnd Dienste neugestartet werden.

==UMA Lizenz==
'''Was passiert, wenn die Lizenz des UMA ungültig wird?'''<br>
*Die Abholung der E-Mails aus dem Sammelpostfach wird eingestellt
*Es besteht nur noch ein lesender Systemzugriff auf die bisher archivierten E-Mails

'''Müssen öffentliche Ordner (Verteilerlisten, Freigegebene Postfächer, public folder) lizenziert werden?'''<br>
Nein, die öffentlichen Postfächer werden bei einer Anbindung an das Active-Directory erkannt und müssen nicht lizenziert werden. Die Nutzung von öffentlichen Postfächern ist nur bei Verwendung eines Active Directory möglich.

==UMA Archiv-Speicher==
'''Wie wird verfahren, wenn kein Archiv-Speicherplatz mehr verfügbar ist?'''<br>
Eine ausführliche Anleitung zu diesem Thema findet sich im Securepoint Wiki unter [[UMA/Archivspeichererweiterung | Austausch und erweitern des Archivspeichers des UMA]]

UMA/FAQ

2018-02-22T09:18:07Z

Skrauti:

{{DISPLAYTITLE:Securepoint Unified Mail Archive FAQ}}
==UMA ohne Mailserver==
'''Kann das UMA auch ohne Mailserver verwendet werden?'''<br>
Der Einsatz des UMA in Umgebungen ohne Mailserver hat bestimmte Voraussetzungen:<br>
Das benutzerunabhängige Journal-Postfach, welches das UMA abholt, kann grundsätzlich auch bei einem Mail-Hoster platziert sein.<br>
Besonderheit hierbei: Nur wenige Hoster unterstützen die Kopie in das Journal-/Sammelpostfach für ein UND ausgehende E-Mails.

Derzeit uns bekannte Hoster:
*Office365
*Hosted Exchange
*Kontent.com

Ein passendes Webinar zum Thema [https://www.youtube.com/watch?v=-1NKrmvDaP0 "Securepoint UMA in kleinen Umgebungen"] befindet sich in unserem YouTube Channel.

Eine Anleitung zur Einrichtung von MS Office 365 liegt im Securepoint Wiki unter [[UMA/BP/Office_365 | Konfiguration - Office 365]] bereit.

==Import==
'''Massenimport nicht verfügbar'''<br>
Der Massenimport wird nicht angezeigt.
Der Massenimport ist nur in Verbindung mit einer AD-Umgebung und Microsoft-Exchange nutzbar.

==Transparenter Modus==
'''Der transparente Modus lässt sich nicht konfigurieren.'''<br>
Der transparente Modus ist seit Version 2.5.8 nicht mehr konfigurierbar und wird ab UMA Version 3 komplett entfernt.

==Ausnahmen von der E-Mail Archivierung==
'''Lassen sich bestimmte E-Mail-Adressen von der Archivierung ausnehmen?'''<br>
Ja. Unter „Administration“ -> „E-Mail-Blacklist“ lassen sich E-Mail-Adressen von der Archivierung ausnehmen.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">
Achtung: Es lassen sich nur vollständige E-Mail-Adressen definieren. Wildcards können nicht verwendet werden.
</span></div>
</div>
<div style="clear: both;"></div>

'''Wie werden Spam-E-Mails von der Archivierung ausgenommen?'''<br>
E-Mails sollen bereits an E-Mail-Gateway (z. B. Securepoint NextGen UTM) als SPAM identifiziert und gefiltert werden. Somit trifft SPAM erst gar nicht im Journal-Postfach des Mailsystems ein.

==E-Mails werden nicht vom Exchange-Mailserver abgeholt==
Es kann verschiedene Gründe geben, warum die E-Mails aus dem Journal-Postfach des Exchange-Mailserver von dem UMA nicht abgeholt werden können. Im Folgenden haben wir die häufigsten dargestellt.

====Möglichkeit 1: Die UMA Lizenz ist abgelaufen====
Die Abholung der E-Mails aus dem Sammelpostfach wird eingestellt.<br>
Lösung: Es muss eine neue gültige Lizenz im UMA registriert werden.

====Möglichkeit 2: Der Archiv-Speicherplatz des UMA ist voll====
Steht kein Speicherplatz zur Verfügung, kann das UMA keine weiteren Daten archivieren. Unter Berücksichtigung der Systemvoraussetzungen/Projektplanung, kann der vorhandene durch neuen Speicher mit höherer Kapazität ersetzt werden.<br>
Eine ausführliche Anleitung zu diesem Thema findet sich im Securepoint Wiki unter [[UMA/Archivspeichererweiterung | Austausch und Erweiterung des Archivspeichers des UMA]]

====Möglichkeit 3: Journal-Postfach zu voll.====
Ab einer gewissen Anzahl von E-Mails kann der IMAP-Dienst eines E-Mailsystems träge reagieren.<br>
Lösung: In diesem Fall müssen auf dem Mailserver der Posteingang des Journal-Postfachs geprüft und überflüssige E-Mails gelöscht werden.

Über das Webinterface des UMA lässt sich die Funktion "E-Mails auf dem Server belassen" deaktivieren. Das UMA löscht dann die E-Mails aus dem Journal-Postfach nachdem es diese abgeholt hat.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">
Achtung: Das Löschen über diese Funktion bezieht sich nur auf E-Mails die nach dem deaktivieren abgeholt werden.
</span></div>
</div>
<div style="clear: both;"></div>

====Möglichkeit 4: Der IMAP-Dienst auf dem Mailsystem läuft nicht====
Lösung: Status des Dienstes auf dem Mailserver prüfen und den Dienst gegebenenfalls neu starten.<br>
Anschliessend einen Verbindungstest mit einem Telnet-Client zum Mailserver durchführen. Wie dieser durchzuführen ist, wird unter Möglichkeit 5 beschrieben.

====Möglichkeit 5: Grundsätzliches Problem mit dem IMAP-Dienst des Mailsystems====
Lösung: Debugging des IMAP-Dienstes per Telnet.

1. Verbinden Sie sich mit einem Rechner mit installiertem Telnet-Client auf das Mailsystem.
telnet 192.168.1.50 143
Der Server begrüßt Sie.
* OK The Microsoft Exchange IMAP4 service is ready.

2. Loggen Sie sich nun mit dem Journal-Konto, welches auch in dem UMA konfiguriert ist, ein. In diesem Beispiel ist der Benutzername "journal" und das Passwort "insecure".
a1 LOGIN journal insecure
Der IMAP-Dienst des Mailsystems nimmt den Login an.
a1 OK LOGIN completed.

3. Lassen Sie sich die verfügbaren IMAP-Ordner anzeigen.
a2 LIST „“ „*“

Das Mailsystem listet alle Ordner auf.
* LIST (\HasNoChildren) „/“ Aufgaben
* LIST (\HasNoChildren) „/“ Entw&APw-rfe
* LIST (\HasNoChildren) „/“ „Gel&APY-schte Elemente“
* LIST (\HasNoChildren) „/“ „Gesendete Elemente“
* LIST (\HasNoChildren) „/“ Journal
* LIST (\HasNoChildren) „/“ Junk-E-Mail
* LIST (\HasNoChildren) „/“ Kalender
* LIST (\HasChildren) „/“ Kontakte
* LIST (\HasNoChildren) „/“ Notizen
* LIST (\HasNoChildren) „/“ Postausgang
* LIST (\Marked \HasNoChildren) „/“ INBOX
a2 OK LIST completed.

4. Wählen Sie den Ordner INBOX (Posteingang) aus.
a3 SELECT INBOX

Der Server gibt eine Übersicht des Ordners aus.
* 0 EXISTS
* 0 RECENT
* FLAGS (\Seen \Answered \Flagged \Deleted \Draft $MDNSent)
* OK [PERMANENTFLAGS (\Seen \Answered \Flagged \Deleted \Draft $MDNSent)] Permanent flags
* OK [UIDVALIDITY 14] UIDVALIDITY value
* OK [UIDNEXT 40] The next unique identifier value
a3 OK [READ-WRITE] SELECT completed.

Sollte das Mailsystem bis zu diesem Punkt keinen Fehler gemeldet haben, läuft der IMAP-Dienst augenscheinlich normal und fehlerfrei.<br>
Gängiger Fehler: Die Komponente ImapProxy auf dem Exchange ist inaktiv.<br>
Der Status der Komponente kann mit folgendem Kommando über die Exchange-Shell unter Exchange 2013 und 2016 abgerufen werden:
Get-ServerComponentState -identity <ServerName>

Ist der ComponentState "inaktiv", dann kann dieser mit folgendem Befehl wieder aktivert werden:
<pre>Set-ServerComponentState -identity <ServerName> -Component ImapProxy -Requester HealthAPI -State Active </pre>

Nach dem Aktivieren des ComponentState müssen die IMAPv4 und IMAPv4 BackEnd Dienste neugestartet werden.

==UMA Lizenz==
'''Was passiert, wenn die Lizenz des UMA ungültig wird?'''<br>
*Die Abholung der E-Mails aus dem Sammelpostfach wird eingestellt
*Es besteht nur noch ein lesender Systemzugriff auf die bisher archivierten E-Mails

'''Müssen öffentliche Ordner (Verteilerlisten, Freigegebene Postfächer, public folder) lizenziert werden?'''<br>
Nein, die öffentlichen Postfächer werden bei einer Anbindung an das Active-Directory erkannt und müssen nicht lizenziert werden. Die Nutzung von öffentlichen Postfächern ist nur bei Verwendung eines Active Directory möglich.

==UMA Archiv-Speicher==
'''Wie wird verfahren, wenn kein Archiv-Speicherplatz mehr verfügbar ist?'''<br>
Eine ausführliche Anleitung zu diesem Thema findet sich im Securepoint Wiki unter [[UMA/Archivspeichererweiterung | Austausch und erweitern des Archivspeichers des UMA]]

UTM/APP/Mailrelay 11.7

2017-11-03T14:19:31Z

Skrauti: /* Weitere Einstellungen */

{{DISPLAYTITLE:Mailrelay}}

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
<br>
Bemerkung: Artikelanpassung
<br>
Vorherige Versionen: -
<br>

==Konfiguration des Mailrelay==

Betreibt man im internen Netzwerk einen Mailserver, dann besteht die Möglichkeit, Mails ohne den Umweg über einen vom Provider betriebenen Server zu senden und auch zu empfangen. Die Securepoint Appliance kann in diesem Falle als Mailrelay dienen, das heißt, sie nimmt Mails entgegen, prüft sie auf Spam und Viren und leitet sie dann an den internen Mailserver weiter.

===Voraussetzungen===

Um eine reibungslose Teilnahme am Mailverkehr zu gewährleisten, müssen einige Voraussetzungen erfüllt sein:

*Eine feste IP-Adresse.
*Einen A-Record auf dem DNS-Server des Providers, der auf diese IP auflöst (z.B. mail.firma.de).
*Einen MX-Record, der festlegt, unter welcher Adresse der Mailserver einer Domain erreichbar ist (z.B. mail.firma.de).
*Einen PTR-Record, der die feste IP auf den MX-Record zurückauflöst (reverse DNS).

'''''Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!'''''

Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, empfiehlt sich je nach Mail-Aufkommen ein Minimum von 30 GB Festplattenspeicher.

===Grundkonfiguration des Mail Relay zum Empfang von Mails===

====Regelwerk====

'''Das Wichtigste zuerst:''' Sollte neben der Internetverbindung mit der IP, über die der Mailversand stattfindet, keine weitere verfügbar sein, sollten sie dafür sorgen, dass NUR dem Mailserver der Versand von Mail per SMTP erlaubt wird. Sonst könnte ein einziger von einem Trojaner kompromittierter Rechner im Netzwerk das Versenden von Mails empfindlich stören oder gar gänzlich unmöglich machen, weil dieser mit der öffentlichen IP Spams und Malware verbreitet und diese innerhalb kürzester Zeit auf entsprechenden Blacklisten für Spammer gelistet wird.

Um anderen Mailservern die Zustellung von Mails auf das Mail-Relay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:

[[Datei:UTM_V114_PFMR1.png|800px|thumb|center|Portfilterregel für eingehende Mails]]

Achten sie darauf, dass keine Portweiterleitung für SMTP existiert. Diese würde dafür sorgen, dass die Mails am Mailrelay vorbeigeleitet werden.

====Mail-Relay====

Die Konfiguration des Mail-Relay findet unter Anwendungen -> Mail Relay statt.

=====Allgemeine Einstellungen und Smarthost=====
[[Datei:UTM_V114_MRAllg.png|400px|thumb|right|Allgemeine Einstellungen des Mail Relay]]

Unter Netzwerk/Servereinstellungen/Globale E-Mail Adresse sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.

[[Datei:UTM_V114_MRSH.png|400px|thumb|right|Smarthost Einstellungen des Mail Relay]]
Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist.

=====Relaying=====
[[Datei:UTM_V114_MRRDanl.png|400px|thumb|right|Konfiguration Relaying]]
Die wichtigste Einstellung ist sicherlich, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.

Zusätzlich sind bestimmte Optionen konfigurierbar:

*From: Hier wird die Absender-Domain ausgewertet. Beispiel: Domain: partnerfirma.de - Option: From: - Aktion: RELAY - Alle Mails mit der Domain partnerfirma.de im Absender werden angenommen.
*To: Hier wird die Empfänger-Domain ausgewertet. Beispiel: Domain: firma.de - Option: To: - Aktion: RELAY - Alle Mails mit der Domain firma.de im Empfänger werden angenommen.
*Connect: Hier wird die IP, der Hostname oder die Domain des Mailservers ausgewertet, der die Mail zustellen möchte. Beispiel: Domain: partnerfirma.de - Option: Connect - Aktion: RELAY - alle Mails, die von Mailservern aus der Domain partnerfirma.de zugestellt werden, werden angenommen - unabhängig vom Sender oder Empfänger der Mail.

Unter "Aktion" sind folgende Optionen konfigurierbar:

*RELAY: Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet.
*OK: Mails werden angenommen und an ein lokales Postfach zugestellt, aber nicht weitergeleitet.
*REJECT: Mails werden abgewiesen.

Da es einerseits keine lokalen Postfächer auf der Securepoint Appliance gibt und andererseits alle Mails, für die kein Relay-Eintrag existiert, ohnehin abgewiesen werden, ist "RELAY" an dieser Stelle die einzig sinnvolle Option.

Um also alle Mails zu relayen, die für Empfänger der eigenen Domain bestimmt sind, würden wir einen Eintrag mit der Domain "firma.de", der Option "To:" und der Aktion "RELAY" konfigurieren.

Ist die Option ''Exakten Domainnamen für das Relaying verwenden:'' aktiviert, reagiert das Relay nur auf den in der Liste eingetragenen Domainnamen und nicht auf nicht eingetragene Subdomains oder Erweiterungen.

Beispiel:<br>
In die Relayliste eingetragene Domain: securepoint.de
{| {{prettytable}}
!Von Mailrelay akzeptiert wenn<br>Option aktiv !! Von Mailrelay akzeptiert wenn<br>Option inaktiv
|-
|@securepoint.de || @securepoint.de<br>@support.securepoint.de<br>@securepoint.de.com
|}

=====Mail Routing=====
[[Datei:UTM_V114_MRMRRanl.png|400px|thumb|right|Konfiguration des Mail Routings]]
Hier muss eingestellt werden, an welchen Mailserver eine entgegengenommene Mail weitergeleitet werden soll. Falls dies nicht geschieht, wertet das Mail-Relay den MX-Record der Empfänger-Domain aus - der auf das Relay selbst zeigt! Es wird dann ein sogenannter "Loopback" erkannt, durch den die Annahme der Mail mit einer entsprechenden Fehlermeldung abgebrochen wird. Im Folgenden können dann auch weitere Domains auf den gleichen oder auf andere Mailserver weitergeleitet werden.

Die Grundkonfiguration ist damit beendet. Die Securepoint Appliance ist nun voll funktional als Mail-Relay mit Spam- und Virenschutz für eingehende E-Mails einsetzbar. Soll das Mail-Relay auch für ausgehende Mails verwendet werden, sind [http://wiki.securepoint.de/index.php/Mail_Relay_V11#Konfiguration_des_Mail_Relay_f.C3.BCr_ausgehende_Mails weitere Konfigurationsschritte] notwendig.

====Weitere Einstellungen====

Zum Schutz vor Spam bzw. zur Entlastung des [http://wiki.securepoint.de/index.php/Spamfilter_V11 Mailfilters] lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierte Privat- und Arbeitsplatzrechner. Dagegen haben sich die Überprüfung der Ziel E-Mail-Adressen, das Greylisting und die Greeting Pause als wirksame Funktionen erwiesen.

=====Überprüfung der E-Mail-Adressen=====

Auf der Registerkarte "Mail Routing" kann die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.

Die Validierung kann erfolgen:

*über eine lokale Liste, in der alle bekannten Adressen stehen.
*über SMTP, indem die Securepoint Appliance im Hintergrund den internen Mailserver abfragt.

[[Datei:UMA20_AHB_hinweispic.png|50px]] Hinweis: Die Validierung muss ebenso am Mailserver aktiv sein! (Recipient Verification z.B. bei einem Exchange)
*über LDAP, indem die Securepoint Appliance beispielsweise den Active Directory-Server abfragt.

[[Datei:UTM_V114_MRMVSMTP.png|600px|thumb|center|Konfiguration der E-Mail-Validierung]]

[[Datei:UMA_V114_EALDAP.png|400px|thumb|right|Konfiguration des LDAP-Servers]]
Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter Authentifizierung -> externe Authentifzierung konfiguriert werden:

Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Lese rechten.

=====Greylisting=====
[[Datei:UTM_V114_MRGL.png|400px|thumb|right|Konfiguration von Greylisting]]
Das weltweite Spam-Aufkommen stammt wie gesagt zum größten Teil (über 90%) nicht von regulären Mailservern, sondern von durch Viren und Trojaner kompromittierten Privat- und Arbeitsplatzrechnern. Greylisting macht sich zu Nutze, dass in diese Spambots das SMTP-Protokoll nicht gänzlich implementiert wurde.

Greylisting bewirkt, dass der Zustell versuch eines unbekannten Mailservers zunächst abgelehnt wird. Da Spambots in der Regel keine weiteren Zustell versuche unternehmen, wurde damit die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste. Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustell versuch unternehmen. Im Weiteren wird er für einen einstellbaren Zeitraum automatisch in eine Whitelist übernommen, das heißt, weitere Mails werden innerhalb dieses Zeitraums sofort entgegengenommen.

Daraus ergibt sich allerdings ein möglicher Nachteil: Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden. Alternativ kann auch auf den Einsatz der [http://wiki.securepoint.de/index.php/Mailrelay_V11#Greeting_Pause Greeting Pause] ausgewichen werden.

'''Achtung: Seit der Version 11.6.8 ist das SPF für das Greylisting aktivierbar. Das SPF ist besonders für große Absender-Domains sehr wichtig, um die Verzögerung der Mail-Zustellung möglichst gering zu halten.'''
<br>
<br>
======Whitelist======
[[Datei:UTM116_AI_MRGLwldom.png|400px|thumb|right|Whitelisteintrag einer MailserverDomain]]
Um Domains, Empfänger und Absender vom Greylisting auszunehmen wird eine Whitelist erstellt.

Wichtig ist hierbei zu beachten, dass bei Whitelisteinträgen unter ''Domains'' die Domain des Mailserver überprüft wird, welche nicht identisch mit der E-Mail Domain des Absender sein muss.

Beispiel: Absender ''user@example.net'' wobei der Mailserver unter dem Namen ''mta.mailserverdomain.net'' eingerichtet wurde.

[[Datei:UTM116_AI_MRGLwlabs.png|400px|thumb|right|Whitelisteintrag einer kompletten E-Mail Domain]]
Um eine komplette E-Mail Domain in die Whitelist mit aufzunehmen, wird dieser Eintrag als Regulärer Ausdruck unter ''Absender'' eingetragen.

Beispiel für die Absender Domain ''example.net'':
/.*@example\.net/

=====Erweiterte Einstellungen=====
[[Datei:UTM_V114_MRErw.png|400px|thumb|right|Erweiterte Einstellungen des Mail Relay]]
Auf der Registerkarte "Erweitert" befinden sich weitere Optionen zur Vermeidung von Spam:

======Greeting Pause======

Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in durch Viren und Trojaner verbreitete Spambots das SMTP-Protokoll nicht vollständig implementiert ist und diese sich dadurch von regulären Mailservern unterscheiden.<br>
Das Greeting ist eine Textzeile, die vom Mail-Relay an den sendenden Mailserver übermittelt wird. Sie könnte z.B. so aussehen:

220 firewall.foo.local ESMTP Sendmail 8.14.4/8.14.4; Tue, 8 Mar 2011 14:29:30 +0100

Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen, Kommandos zu senden, da dieser Aspekt des SMTP-Protokolls aus Platzgründen höchstwahrscheinlich ebenso wenig wie ein wiederholter Zustellungsversuch (siehe [http://wiki.securepoint.de/index.php/Mailrelay_V11#Greylisting Greylisting]) implementiert ist. In diesem Fall wird das Mailrelay keine Kommandos mehr entgegennehmen.

Da die Menge der Spambots, die auf diesen Trick "hereinfallen", nahezu deckungsgleich ist mit der, die durch das Greylisting aussortiert werden können, bietet sich die Greetingpause als Alternative in Fällen an, in denen durch das Greylisting unzumutbar lange Zustellzeiten entstehen.

======Recipient Flooding======

Viele Spammer versuchen, zu hunderten (oder gar tausenden) Spams an "erfundene" Mailempfänger einer Domain zuzustellen, in der Hoffnung, dass zumindestens eine irgendwie in einem Postfach landet, gelesen und vielleicht sogar beantwortet wird. Dadurch können aufgrund der verbrauchten Bandbreite andere Internetverbindungen empfindlich gestört werden. Um dieses "Recipient Flooding" wirksam zu unterbinden, können Anfragen eines Hosts, der innerhalb kurzer Zeit eine einstellbare Anzahl fehlgeschlagener Zustellungsversuche (z.B. aufgrund von fehlgeschlagener Adressvalidierung) aufzuweisen hat, nur noch verzögert beantwortet werden. (Default: 2)

======Limitierte Anzahl von Empfängern======

Diese Option blockiert Mails, die mehr als eine einstellbare Zahl Empfängeradressen aufweisen (Default: 25).

Damit können auch wirkungsvoll "Spaßmails" (Mails mit angehängten lustigen Bildern, Videos oder Powerpoint-Präsentationen, die gerne an das komplette Adressbuch weitergeleitet werden) unterbunden werden.

======Limitierte Verbindungen======

Hier kann eingestellt werden, wie viele Verbindungen das Mail-Relay pro Sekunde annimmt (Default: 5). "Befreundete" Mailserver können in einer Ausnahmeliste von dieser Limitierung ausgenommen werden.

======Rate Kontrolle======

Hier kann konfiguriert werden, wie viele Verbindungen ein einzelner Host innerhalb eines einstellbaren Zeitraums aufbauen kann (Default: 5 Verbindungen in 60 Sekunden). Auch hier ist es möglich, bekannte Mailserver von dieser Limitierung auszunehmen.

===Konfiguration des Mail-Relay für ausgehende Mails===

Um wirklich sicherzugehen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mail-Relay auch für ausgehende Mails verwendet werden.

====Regelwerk====

Um den Zugriff auf das Mail-Relay zu erlauben, muss den zum Mailversand berechtigten Hosts der Zugriff auf die entsprechende Schnittstelle der Securepoint Appliance (abhängig von der Zone, in der sich die Hosts befinden) über das Protokoll SMTP erlaubt werden. Dies kann je nach Anforderung ein einzelner Host (z.B. der Mailserver), eine Gruppe von Hosts oder das gesamte Netzwerk sein. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mail-Relay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben.

Um z.B. dem internen Netzwerk den Zugriff auf das Mail-Relay zu gestatten, kann das Regelwerk mit den vordefinierten Netzwerkgruppen erstellt werden:

[[Datei:UTM_V114_PFMR2.png|800px|thumb|center|Firewall-Regel für ausgehende Mails aus dem internen Netz]]

Soll nur der Mailserver Mails versenden können, muss dieser zunächst als Netzwerkobjekt angelegt werden:

[[Datei:UTM_V114_PFNOmsrvanl.png|300px|thumb|center|Netzwerkobjekt Mailserver]]

Dieses Objekt kann dann in der Firewall-Regel verwendet werden:

[[Datei:UTM_V114_PFMR3.png|800px|thumb|center|Firewall-Regel für ausgehende Mails des Mailservers]]

Soll einer bestimmten Gruppe von Rechnern im internen Netzwerk gestattet sein, das Mail-Relay zu benutzen, dann müssen diese Rechner jeweils als Netzwerkobjekt angelegt werden. Diese können dann in einer Gruppe zusammengefasst werden (z.B. "SMTP-Berechtigte").

====Relaying====
[[Datei:UTM_V114_MRRHanl.png|400px|thumb|right|Konfiguration des Relaying für den internen Mailserver]]
Damit das Mail-Relay die Mails aus dem internen Netz bzw vom Mailserver auch annimmt, müssen die Relaying-Einstellungen um einen entsprechenden Eintrag ergänzt werden. Als Kriterium dient uns die Netzwerkadresse des entsprechenden Subnetzes bzw. die IP-Adresse des betreffenden Rechners:

UTM/APP/Mailrelay-Best Practice 11.7

2017-08-29T05:46:22Z

Skrauti: /* Filterregel "wurde vom URL-Filter erfasst" */

{{DISPLAYTITLE:Mail Security - Empfohlene Einstellungen}}
== Informationen ==
Letze Anpassung zur Version: '''11.7.2'''
<br>
Bemerkung: Verschlüsselung forcieren hinzugefügt.
<br>
Vorherige Versionen: [[UTM/APP/Mailrelay-Best_Pracitce_v11.7.1 | 11.7.1]]
<br>

== Einleitung ==
Dieser Artikel ist ein Best Practice zum Thema Mail-Security. Diese Empfehlungen beziehen sich auf folgendes Szenario:

*Empfang der E-Mails per SMTP über das Mailrelay
*Zustellung erfolgt direkt über MX
*Filterung erfolgt direkt bei Eingang auf MX
<br>
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Die Domain securepoint.de und die IP-Adresse 192.168.175.100 sind Beispiel Adressen.</span></div>
</div>
<div style="clear: both;"></div>

==Mail-Security==
===Allgemein===
====Globale E-Mail Adresse====
Um Benachrichtigungen im Fehlerfall zu erhalten, kann unter '''Netzwerk -> Servereinstellungen -> Globale E-Mail Adresse''' eine Postmaster Adresse eingetragen werden.
====Mailrelay====
=====Relaying=====
Das Mailrelay ist so zu konfigurieren, dass nur E-Mails an die Empfänger-Adresse angenommen werden.
*Option: To
*Domain: securepoint.de
*Aktion: Relay

<br>
Sollen auch ausgehend Emails über das Mailrelay der UTM versendet werden, wird ein weiterer Eintrag benötigt:

*Option: From
*IP: 192.168.175.100
*Aktion: RELAY

=====Exakte Domainnamen=====
Durch diese Option werden E-Mails an Empfänger innerhalb einer Subdomain nicht angenommen.

=====TLS-Verschlüsselung=====
Die TLS-Verschlüsselung für das Mailrelay ist zu aktivieren. Der Import eines Zertifikats, dessen CN dem Hostnamen der UTM entspricht, ist optional. Wird ein solches Zertifikat nicht importiert, verwendet das Mailrelay ein selbst-signiertes Zertifikat zum Zweck der Transportverschlüsselung.

====SMTP Routen====
Die Validierung der Empfänger auf gültige E-Mail Adressen unter '''SMTP Routen -> Einstellungen -> E-Mail Adresse überprüfen''' ist zu aktivieren. Dadurch werden nur E-Mails angenommen, welche an einem Empfänger gehen, der auch auf dem Mail-Server vorhanden ist.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Der Mailserver muss Mails an Adressen ohne Postfach während des SMTP-Dialogs ablehnen.</span></div>
</div>
<div style="clear: both;"></div>

====Greylisting====
Die Greylist- und SPF-Funktion sollte auf jedem Mailrelay aktiviert werden, dies kann unter '''Greylisting -> Einstellungen -> Aktivieren''' getan werden.

Neben der Abwehr von einfachen SPAM-Bots durch das Greylisting, wird auch wertvolle Zeit gewonnen um neuen Definitionen zu laden und so etwaige neue SPAM-Wellen zu erkennen.

Zusätzlich sollte der Wert des Feldes "Automatisches Whitelisten für" auf mindestens 60 Tage erhöht werden

=====SPF aktivieren=====
Im SPF-Record werden alle Mailserver IP-Adressen des Absenders eingetragen, die zum Versand von E-Mails berechtigt sind. Der Empfänger prüft dann anhand des Mail Header Feldes „Mail From“ oder des „HELO“ Kommandos, welche Domain dort eingetragen ist oder genannt wird und ob diese mit einer der IP-Adressen im SPF-Record übereinstimmt. Stimmt die IP-Adresse des Absenders nicht mit denen des SPF-Record überein, geht die Mail in das Greylisting.

====Erweitert====
=====Greeting Pause=====
Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in durch Malware verbreitete Spambots das SMTP-Protokoll nicht zur Gänze implementiert ist, um diese von regulären Mailservern zu unterscheiden.

Das Greeting ist eine Begrüßung, die vom Mailrelay an den sendenden Mailserver übermittelt wird.
Diese könnte z. B. so aussehen:
<pre>220 firewall.foo.local ESMTP Ready</pre>
Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er weitere SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen Kommandos zu senden. In diesem Fall wird das Mailrelay keine weiteren Kommandos entgegennehmen und die Verbindung abbrechen.

=====HELO benötigt=====
Ist HELO aktiviert, wird vom SMTP Client gefordert seinen Namen zu nennen.
=====Recipient flooding verhindern=====
Viele Spammer versuchen, Spams an "erfundene" Mailempfänger einer Domain zuzustellen. Durch diese Massen können, aufgrund der verbrauchten Bandbreite, andere Internetverbindungen empfindlich gestört werden. Um dieses "Recipient Flooding" wirksam zu unterbinden, können Anfragen eines Hosts, der innerhalb kurzer Zeit eine definierte Anzahl fehlgeschlagener Zustellungsversuche (z. B. aufgrund von fehlgeschlagener E-MailAdressen Validierung) aufzuweisen hat, nur noch verzögert beantwortet werden. (Default: 2)
=====Empfängerbeschränkung aktivieren=====
Die Option blockiert Mails, die mehr als eine definierte Anzahl Empfängeradressen aufweisen (Default: 25).
=====Verbindungslimit aktivieren=====
Hier kann eingestellt werden, wie viele Verbindungen das Mailrelay pro Sekunde annimmt (Default: 5). Bekannte Mailserver können in einer Ausnahmeliste von dieser Limitierung ausgenommen werden. Das Verbindungslimit wirkt möglichen DDOS-Attacken entgegen.
=====Rate Kontrolle aktivieren=====
Möglichen DOS-Attacken wird durch die Rate Kontrolle entgegengewirkt. Sollten ausgehende Emails ebenfalls über das Mailrelay der UTM gesendet werden, sollte für die entsprechenden Mailserver eine Ausnahme hinzugefügt werden.
====SMTPD Verschlüsselung====
Im Webinterface unter '''Authentifizierung''' -> '''Verschlüsselung''' -> '''SMTPD''' kann eingestellt werden, dass die Verschlüsselung forciert wird. Wenn diese Einstellung aktiviert, sind nur noch verschlüsselte Verbindungen zum Mailrelay möglich und auch die Client Verbindung, die das Mailrelay zu einem Mailserver aufbaut ist verschlüsselt.
Wenn die Gegenstelle keine Verschlüsselung unterstützt, wird die Verbindung abgebrochen. Das normale Verhalten eines Mailservers wäre, das er als Fallback eine unverschlüsselte Verbindung zu lässt. Das ist dann nicht mehr möglich. Das forcieren der Verschlüsselung wirkt den Spam Mails entgegnen.

===Mailfilter===
====Filterregel "ist als SPAM klassifiziert"====
Mail-Server oder Absender deren E-Mails als SPAM klassifiziert werden, sind in der Vergangenheit als SPAM-Quelle aufgefallen. E-Mails von diesen Systemen sollte auf gar keinen Fall angenommen werden.

Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "ist als verdächtig eingestuft"====
E-Mails die als verdächtig eingestuft werden enthalten verdächtige Muster und Inhalte und sollten nicht in die Mailbox des Users zugestellt werden.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "ist eine Bulk E-Mail"====
E-Mails die als BULK eingestuft sind, werden aktuell massenhaft versendet und sollten nicht in die Mailbox des Users zugestellt werden. Dies könnten z. B. die ersten E-Mails einer neuen SPAM-Welle sein.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "enthält einen Virus"====
Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "wurde vom URL-Filter erfasst"====
E-Mails die eine gefährliche URLs enthalten sollten nicht angenommen werden und nicht in die Mailbox des Users zugestellt werden. Bitte dazu die Einstellungen des URL-Filter beachten.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "mit Inhalt dessen"====
Die aktuelle Gefährdungslage macht deutlich, dass Standard-Verfahren im Kampf gegen Malware nicht mehr mithalten können.
Potentiell gefährliche Dokumente sollten nicht in die Mailbox des Users zuzustellen. Die Identifizierung der Dokumente erfolgt dabei über MIME-Types und Dateiendungen.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne</u> genommen werden.</span></div>
</div>
<div style="clear: both;"></div>

=====Word-Dokumente auf Basis des MIME-Types=====
Damit Word-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<pre>application/msword,application/vnd.openxmlformats-officedocument.wordprocessingml.document,application/vnd.openxmlformats-officedocument.wordprocessingml.template,application/vnd.ms-word.document.macroEnabled.12,application/vnd.ms-word.template.macroEnabled.12</pre>

=====Excel-Dokumente auf Basis des MIME-Types=====
Damit Excel-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<pre>application/vnd.ms-excel,application/vnd.openxmlformats-officedocument.spreadsheetml.sheet,application/vnd.openxmlformats-officedocument.spreadsheetml.template,application/vnd.ms-excel.sheet.macroEnabled.12,application/vnd.ms-excel.template.macroEnabled.12,application/vnd.ms-excel.addin.macroEnabled.12,application/vnd.ms-excel.sheet.binary.macroEnabled.12</pre>

=====Office-Dokumente auf Basis der Dateiendung=====
Damit Office-Dokumente anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*Dateiname
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<pre>doc,dot,docx,docm,dotx,dotm,docb,xls,xlsx,xlt,xlm,xlsb,xla,xlam,xll,xlw,ppt,pot,pps,pptx,pptm,potx,potm,ppam,ppsx,ppsm,sldx,sldm,pub</pre>

=====Komprimierte Dateien auf Basis des MIME-Type=====
Damit Komprimierte Dateien anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<pre>application/x-zip-compressed,application/zip</pre>

=====Komprimierte Dateien auf Basis der Endung=====
Damit Komprimierte Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*Dateiname
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<pre>zip,7z,ace,arj,cab,zz,zipx</pre>

=====Gefälschter Absender=====
Damit E-Mails mit gefälschten Absender nicht angenommen werden, empfehlen wir zwei Filterregeln nach folgenden Beispielen zu erstellen.

*Quellhost
*ist
*192.168.175.100
'''Mail annehmen'''
<br>
*Sender
*enthält
*@securepoint.de
'''Mail ablehnen'''

<br>
Diese Regeln sollten in der Reihenfolge ganz oben stehen.

''Mehrere E-Mail-Server können durch ein Komma getrennt werden.''

====URL-Filter Kategorie "Danger"====
Die Kategorie Danger sollte auf jeden Fall in die Lister des URL-Filters mit aufgenommen werden. Diese Kategorie enthält URLs die in Zusammenhang mit Sicherheitsbedrohungen aufgefallen sind.

Weitere Kategorien sind je nach Unternehmen zu definieren.

====Einstellungen -> Spamreport====
Der Spamreport kann in bestimmten Intervallen die E-Mail Benutzer über von der UTM gefilterte, geblockte oder in Quarantäne genommene E-Mails informieren. Dieser Report kann entweder an einem bestimmten Wochentag oder Täglich, zu einer bestimmten Uhrzeit versendet werden.
Damit der Report den E-Mail Benutzer auch erreicht, ist es notwendig, dass sich dieser in einer Gruppe befindet, die die Berechtigung '''Spamreport''' beinhaltet und das seine E-Mail Adresse hinterlegt ist.

==Hinweise==
Folgende Wiki-Artikel können bei der Einrichtung hilfreich sein.
*[[UTM/APP/Mailrelay| Wiki-Artikel Mailrelay]]
*[[UTM/APP/Mailfilter| Wiki-Artikel Mailfilter]]
*[[UTM/APP/Mailfilter#Spamreport| Wiki-Artikel Mailfilter Spamreport]]
*[[UTM/APP/Regex| Wiki-Artikel Regex]]

UTM/APP/Mailrelay-Best Practice 11.7

2017-08-29T05:45:19Z

Skrauti: /* Filterregel "ist eine Bulk E-Mail" */

{{DISPLAYTITLE:Mail Security - Empfohlene Einstellungen}}
== Informationen ==
Letze Anpassung zur Version: '''11.7.2'''
<br>
Bemerkung: Verschlüsselung forcieren hinzugefügt.
<br>
Vorherige Versionen: [[UTM/APP/Mailrelay-Best_Pracitce_v11.7.1 | 11.7.1]]
<br>

== Einleitung ==
Dieser Artikel ist ein Best Practice zum Thema Mail-Security. Diese Empfehlungen beziehen sich auf folgendes Szenario:

*Empfang der E-Mails per SMTP über das Mailrelay
*Zustellung erfolgt direkt über MX
*Filterung erfolgt direkt bei Eingang auf MX
<br>
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Die Domain securepoint.de und die IP-Adresse 192.168.175.100 sind Beispiel Adressen.</span></div>
</div>
<div style="clear: both;"></div>

==Mail-Security==
===Allgemein===
====Globale E-Mail Adresse====
Um Benachrichtigungen im Fehlerfall zu erhalten, kann unter '''Netzwerk -> Servereinstellungen -> Globale E-Mail Adresse''' eine Postmaster Adresse eingetragen werden.
====Mailrelay====
=====Relaying=====
Das Mailrelay ist so zu konfigurieren, dass nur E-Mails an die Empfänger-Adresse angenommen werden.
*Option: To
*Domain: securepoint.de
*Aktion: Relay

<br>
Sollen auch ausgehend Emails über das Mailrelay der UTM versendet werden, wird ein weiterer Eintrag benötigt:

*Option: From
*IP: 192.168.175.100
*Aktion: RELAY

=====Exakte Domainnamen=====
Durch diese Option werden E-Mails an Empfänger innerhalb einer Subdomain nicht angenommen.

=====TLS-Verschlüsselung=====
Die TLS-Verschlüsselung für das Mailrelay ist zu aktivieren. Der Import eines Zertifikats, dessen CN dem Hostnamen der UTM entspricht, ist optional. Wird ein solches Zertifikat nicht importiert, verwendet das Mailrelay ein selbst-signiertes Zertifikat zum Zweck der Transportverschlüsselung.

====SMTP Routen====
Die Validierung der Empfänger auf gültige E-Mail Adressen unter '''SMTP Routen -> Einstellungen -> E-Mail Adresse überprüfen''' ist zu aktivieren. Dadurch werden nur E-Mails angenommen, welche an einem Empfänger gehen, der auch auf dem Mail-Server vorhanden ist.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Der Mailserver muss Mails an Adressen ohne Postfach während des SMTP-Dialogs ablehnen.</span></div>
</div>
<div style="clear: both;"></div>

====Greylisting====
Die Greylist- und SPF-Funktion sollte auf jedem Mailrelay aktiviert werden, dies kann unter '''Greylisting -> Einstellungen -> Aktivieren''' getan werden.

Neben der Abwehr von einfachen SPAM-Bots durch das Greylisting, wird auch wertvolle Zeit gewonnen um neuen Definitionen zu laden und so etwaige neue SPAM-Wellen zu erkennen.

Zusätzlich sollte der Wert des Feldes "Automatisches Whitelisten für" auf mindestens 60 Tage erhöht werden

=====SPF aktivieren=====
Im SPF-Record werden alle Mailserver IP-Adressen des Absenders eingetragen, die zum Versand von E-Mails berechtigt sind. Der Empfänger prüft dann anhand des Mail Header Feldes „Mail From“ oder des „HELO“ Kommandos, welche Domain dort eingetragen ist oder genannt wird und ob diese mit einer der IP-Adressen im SPF-Record übereinstimmt. Stimmt die IP-Adresse des Absenders nicht mit denen des SPF-Record überein, geht die Mail in das Greylisting.

====Erweitert====
=====Greeting Pause=====
Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in durch Malware verbreitete Spambots das SMTP-Protokoll nicht zur Gänze implementiert ist, um diese von regulären Mailservern zu unterscheiden.

Das Greeting ist eine Begrüßung, die vom Mailrelay an den sendenden Mailserver übermittelt wird.
Diese könnte z. B. so aussehen:
<pre>220 firewall.foo.local ESMTP Ready</pre>
Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er weitere SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen Kommandos zu senden. In diesem Fall wird das Mailrelay keine weiteren Kommandos entgegennehmen und die Verbindung abbrechen.

=====HELO benötigt=====
Ist HELO aktiviert, wird vom SMTP Client gefordert seinen Namen zu nennen.
=====Recipient flooding verhindern=====
Viele Spammer versuchen, Spams an "erfundene" Mailempfänger einer Domain zuzustellen. Durch diese Massen können, aufgrund der verbrauchten Bandbreite, andere Internetverbindungen empfindlich gestört werden. Um dieses "Recipient Flooding" wirksam zu unterbinden, können Anfragen eines Hosts, der innerhalb kurzer Zeit eine definierte Anzahl fehlgeschlagener Zustellungsversuche (z. B. aufgrund von fehlgeschlagener E-MailAdressen Validierung) aufzuweisen hat, nur noch verzögert beantwortet werden. (Default: 2)
=====Empfängerbeschränkung aktivieren=====
Die Option blockiert Mails, die mehr als eine definierte Anzahl Empfängeradressen aufweisen (Default: 25).
=====Verbindungslimit aktivieren=====
Hier kann eingestellt werden, wie viele Verbindungen das Mailrelay pro Sekunde annimmt (Default: 5). Bekannte Mailserver können in einer Ausnahmeliste von dieser Limitierung ausgenommen werden. Das Verbindungslimit wirkt möglichen DDOS-Attacken entgegen.
=====Rate Kontrolle aktivieren=====
Möglichen DOS-Attacken wird durch die Rate Kontrolle entgegengewirkt. Sollten ausgehende Emails ebenfalls über das Mailrelay der UTM gesendet werden, sollte für die entsprechenden Mailserver eine Ausnahme hinzugefügt werden.
====SMTPD Verschlüsselung====
Im Webinterface unter '''Authentifizierung''' -> '''Verschlüsselung''' -> '''SMTPD''' kann eingestellt werden, dass die Verschlüsselung forciert wird. Wenn diese Einstellung aktiviert, sind nur noch verschlüsselte Verbindungen zum Mailrelay möglich und auch die Client Verbindung, die das Mailrelay zu einem Mailserver aufbaut ist verschlüsselt.
Wenn die Gegenstelle keine Verschlüsselung unterstützt, wird die Verbindung abgebrochen. Das normale Verhalten eines Mailservers wäre, das er als Fallback eine unverschlüsselte Verbindung zu lässt. Das ist dann nicht mehr möglich. Das forcieren der Verschlüsselung wirkt den Spam Mails entgegnen.

===Mailfilter===
====Filterregel "ist als SPAM klassifiziert"====
Mail-Server oder Absender deren E-Mails als SPAM klassifiziert werden, sind in der Vergangenheit als SPAM-Quelle aufgefallen. E-Mails von diesen Systemen sollte auf gar keinen Fall angenommen werden.

Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "ist als verdächtig eingestuft"====
E-Mails die als verdächtig eingestuft werden enthalten verdächtige Muster und Inhalte und sollten nicht in die Mailbox des Users zugestellt werden.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "ist eine Bulk E-Mail"====
E-Mails die als BULK eingestuft sind, werden aktuell massenhaft versendet und sollten nicht in die Mailbox des Users zugestellt werden. Dies könnten z. B. die ersten E-Mails einer neuen SPAM-Welle sein.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "enthält einen Virus"====
Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "wurde vom URL-Filter erfasst"====
E-Mails die eine gefährliche URLs enthalten sollten nicht angenommen werden und nicht in die Mailbox des Users zugestellt werden. Bitte dazu die Einstellungen des URL-Filter beachten.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "mit Inhalt dessen"====
Die aktuelle Gefährdungslage macht deutlich, dass Standard-Verfahren im Kampf gegen Malware nicht mehr mithalten können.
Potentiell gefährliche Dokumente sollten nicht in die Mailbox des Users zuzustellen. Die Identifizierung der Dokumente erfolgt dabei über MIME-Types und Dateiendungen.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne</u> genommen werden.</span></div>
</div>
<div style="clear: both;"></div>

=====Word-Dokumente auf Basis des MIME-Types=====
Damit Word-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<pre>application/msword,application/vnd.openxmlformats-officedocument.wordprocessingml.document,application/vnd.openxmlformats-officedocument.wordprocessingml.template,application/vnd.ms-word.document.macroEnabled.12,application/vnd.ms-word.template.macroEnabled.12</pre>

=====Excel-Dokumente auf Basis des MIME-Types=====
Damit Excel-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<pre>application/vnd.ms-excel,application/vnd.openxmlformats-officedocument.spreadsheetml.sheet,application/vnd.openxmlformats-officedocument.spreadsheetml.template,application/vnd.ms-excel.sheet.macroEnabled.12,application/vnd.ms-excel.template.macroEnabled.12,application/vnd.ms-excel.addin.macroEnabled.12,application/vnd.ms-excel.sheet.binary.macroEnabled.12</pre>

=====Office-Dokumente auf Basis der Dateiendung=====
Damit Office-Dokumente anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*Dateiname
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<pre>doc,dot,docx,docm,dotx,dotm,docb,xls,xlsx,xlt,xlm,xlsb,xla,xlam,xll,xlw,ppt,pot,pps,pptx,pptm,potx,potm,ppam,ppsx,ppsm,sldx,sldm,pub</pre>

=====Komprimierte Dateien auf Basis des MIME-Type=====
Damit Komprimierte Dateien anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<pre>application/x-zip-compressed,application/zip</pre>

=====Komprimierte Dateien auf Basis der Endung=====
Damit Komprimierte Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*Dateiname
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<pre>zip,7z,ace,arj,cab,zz,zipx</pre>

=====Gefälschter Absender=====
Damit E-Mails mit gefälschten Absender nicht angenommen werden, empfehlen wir zwei Filterregeln nach folgenden Beispielen zu erstellen.

*Quellhost
*ist
*192.168.175.100
'''Mail annehmen'''
<br>
*Sender
*enthält
*@securepoint.de
'''Mail ablehnen'''

<br>
Diese Regeln sollten in der Reihenfolge ganz oben stehen.

''Mehrere E-Mail-Server können durch ein Komma getrennt werden.''

====URL-Filter Kategorie "Danger"====
Die Kategorie Danger sollte auf jeden Fall in die Lister des URL-Filters mit aufgenommen werden. Diese Kategorie enthält URLs die in Zusammenhang mit Sicherheitsbedrohungen aufgefallen sind.

Weitere Kategorien sind je nach Unternehmen zu definieren.

====Einstellungen -> Spamreport====
Der Spamreport kann in bestimmten Intervallen die E-Mail Benutzer über von der UTM gefilterte, geblockte oder in Quarantäne genommene E-Mails informieren. Dieser Report kann entweder an einem bestimmten Wochentag oder Täglich, zu einer bestimmten Uhrzeit versendet werden.
Damit der Report den E-Mail Benutzer auch erreicht, ist es notwendig, dass sich dieser in einer Gruppe befindet, die die Berechtigung '''Spamreport''' beinhaltet und das seine E-Mail Adresse hinterlegt ist.

==Hinweise==
Folgende Wiki-Artikel können bei der Einrichtung hilfreich sein.
*[[UTM/APP/Mailrelay| Wiki-Artikel Mailrelay]]
*[[UTM/APP/Mailfilter| Wiki-Artikel Mailfilter]]
*[[UTM/APP/Mailfilter#Spamreport| Wiki-Artikel Mailfilter Spamreport]]
*[[UTM/APP/Regex| Wiki-Artikel Regex]]

UTM/APP/Mailrelay-Best Practice 11.7

2017-08-29T05:44:07Z

Skrauti: /* Filterregel "ist als verdächtig eingestuft" */

{{DISPLAYTITLE:Mail Security - Empfohlene Einstellungen}}
== Informationen ==
Letze Anpassung zur Version: '''11.7.2'''
<br>
Bemerkung: Verschlüsselung forcieren hinzugefügt.
<br>
Vorherige Versionen: [[UTM/APP/Mailrelay-Best_Pracitce_v11.7.1 | 11.7.1]]
<br>

== Einleitung ==
Dieser Artikel ist ein Best Practice zum Thema Mail-Security. Diese Empfehlungen beziehen sich auf folgendes Szenario:

*Empfang der E-Mails per SMTP über das Mailrelay
*Zustellung erfolgt direkt über MX
*Filterung erfolgt direkt bei Eingang auf MX
<br>
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Die Domain securepoint.de und die IP-Adresse 192.168.175.100 sind Beispiel Adressen.</span></div>
</div>
<div style="clear: both;"></div>

==Mail-Security==
===Allgemein===
====Globale E-Mail Adresse====
Um Benachrichtigungen im Fehlerfall zu erhalten, kann unter '''Netzwerk -> Servereinstellungen -> Globale E-Mail Adresse''' eine Postmaster Adresse eingetragen werden.
====Mailrelay====
=====Relaying=====
Das Mailrelay ist so zu konfigurieren, dass nur E-Mails an die Empfänger-Adresse angenommen werden.
*Option: To
*Domain: securepoint.de
*Aktion: Relay

<br>
Sollen auch ausgehend Emails über das Mailrelay der UTM versendet werden, wird ein weiterer Eintrag benötigt:

*Option: From
*IP: 192.168.175.100
*Aktion: RELAY

=====Exakte Domainnamen=====
Durch diese Option werden E-Mails an Empfänger innerhalb einer Subdomain nicht angenommen.

=====TLS-Verschlüsselung=====
Die TLS-Verschlüsselung für das Mailrelay ist zu aktivieren. Der Import eines Zertifikats, dessen CN dem Hostnamen der UTM entspricht, ist optional. Wird ein solches Zertifikat nicht importiert, verwendet das Mailrelay ein selbst-signiertes Zertifikat zum Zweck der Transportverschlüsselung.

====SMTP Routen====
Die Validierung der Empfänger auf gültige E-Mail Adressen unter '''SMTP Routen -> Einstellungen -> E-Mail Adresse überprüfen''' ist zu aktivieren. Dadurch werden nur E-Mails angenommen, welche an einem Empfänger gehen, der auch auf dem Mail-Server vorhanden ist.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Der Mailserver muss Mails an Adressen ohne Postfach während des SMTP-Dialogs ablehnen.</span></div>
</div>
<div style="clear: both;"></div>

====Greylisting====
Die Greylist- und SPF-Funktion sollte auf jedem Mailrelay aktiviert werden, dies kann unter '''Greylisting -> Einstellungen -> Aktivieren''' getan werden.

Neben der Abwehr von einfachen SPAM-Bots durch das Greylisting, wird auch wertvolle Zeit gewonnen um neuen Definitionen zu laden und so etwaige neue SPAM-Wellen zu erkennen.

Zusätzlich sollte der Wert des Feldes "Automatisches Whitelisten für" auf mindestens 60 Tage erhöht werden

=====SPF aktivieren=====
Im SPF-Record werden alle Mailserver IP-Adressen des Absenders eingetragen, die zum Versand von E-Mails berechtigt sind. Der Empfänger prüft dann anhand des Mail Header Feldes „Mail From“ oder des „HELO“ Kommandos, welche Domain dort eingetragen ist oder genannt wird und ob diese mit einer der IP-Adressen im SPF-Record übereinstimmt. Stimmt die IP-Adresse des Absenders nicht mit denen des SPF-Record überein, geht die Mail in das Greylisting.

====Erweitert====
=====Greeting Pause=====
Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in durch Malware verbreitete Spambots das SMTP-Protokoll nicht zur Gänze implementiert ist, um diese von regulären Mailservern zu unterscheiden.

Das Greeting ist eine Begrüßung, die vom Mailrelay an den sendenden Mailserver übermittelt wird.
Diese könnte z. B. so aussehen:
<pre>220 firewall.foo.local ESMTP Ready</pre>
Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er weitere SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen Kommandos zu senden. In diesem Fall wird das Mailrelay keine weiteren Kommandos entgegennehmen und die Verbindung abbrechen.

=====HELO benötigt=====
Ist HELO aktiviert, wird vom SMTP Client gefordert seinen Namen zu nennen.
=====Recipient flooding verhindern=====
Viele Spammer versuchen, Spams an "erfundene" Mailempfänger einer Domain zuzustellen. Durch diese Massen können, aufgrund der verbrauchten Bandbreite, andere Internetverbindungen empfindlich gestört werden. Um dieses "Recipient Flooding" wirksam zu unterbinden, können Anfragen eines Hosts, der innerhalb kurzer Zeit eine definierte Anzahl fehlgeschlagener Zustellungsversuche (z. B. aufgrund von fehlgeschlagener E-MailAdressen Validierung) aufzuweisen hat, nur noch verzögert beantwortet werden. (Default: 2)
=====Empfängerbeschränkung aktivieren=====
Die Option blockiert Mails, die mehr als eine definierte Anzahl Empfängeradressen aufweisen (Default: 25).
=====Verbindungslimit aktivieren=====
Hier kann eingestellt werden, wie viele Verbindungen das Mailrelay pro Sekunde annimmt (Default: 5). Bekannte Mailserver können in einer Ausnahmeliste von dieser Limitierung ausgenommen werden. Das Verbindungslimit wirkt möglichen DDOS-Attacken entgegen.
=====Rate Kontrolle aktivieren=====
Möglichen DOS-Attacken wird durch die Rate Kontrolle entgegengewirkt. Sollten ausgehende Emails ebenfalls über das Mailrelay der UTM gesendet werden, sollte für die entsprechenden Mailserver eine Ausnahme hinzugefügt werden.
====SMTPD Verschlüsselung====
Im Webinterface unter '''Authentifizierung''' -> '''Verschlüsselung''' -> '''SMTPD''' kann eingestellt werden, dass die Verschlüsselung forciert wird. Wenn diese Einstellung aktiviert, sind nur noch verschlüsselte Verbindungen zum Mailrelay möglich und auch die Client Verbindung, die das Mailrelay zu einem Mailserver aufbaut ist verschlüsselt.
Wenn die Gegenstelle keine Verschlüsselung unterstützt, wird die Verbindung abgebrochen. Das normale Verhalten eines Mailservers wäre, das er als Fallback eine unverschlüsselte Verbindung zu lässt. Das ist dann nicht mehr möglich. Das forcieren der Verschlüsselung wirkt den Spam Mails entgegnen.

===Mailfilter===
====Filterregel "ist als SPAM klassifiziert"====
Mail-Server oder Absender deren E-Mails als SPAM klassifiziert werden, sind in der Vergangenheit als SPAM-Quelle aufgefallen. E-Mails von diesen Systemen sollte auf gar keinen Fall angenommen werden.

Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "ist als verdächtig eingestuft"====
E-Mails die als verdächtig eingestuft werden enthalten verdächtige Muster und Inhalte und sollten nicht in die Mailbox des Users zugestellt werden.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "ist eine Bulk E-Mail"====
E-Mails die als BULK eingestuft sind, werden aktuell massenhaft versendet und sollten nicht in die Mailbox des Users zugestellt werden. Dies könnten z. B. die ersten E-Mails einer neuen SPAM-Welle sein.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "enthält einen Virus"====
Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "wurde vom URL-Filter erfasst"====
E-Mails die eine gefährliche URLs enthalten sollten nicht angenommen werden und nicht in die Mailbox des Users zugestellt werden. Bitte dazu die Einstellungen des URL-Filter beachten.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden.</span></div>
</div>
<div style="clear: both;"></div>

====Filterregel "mit Inhalt dessen"====
Die aktuelle Gefährdungslage macht deutlich, dass Standard-Verfahren im Kampf gegen Malware nicht mehr mithalten können.
Potentiell gefährliche Dokumente sollten nicht in die Mailbox des Users zuzustellen. Die Identifizierung der Dokumente erfolgt dabei über MIME-Types und Dateiendungen.

<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne</u> genommen werden.</span></div>
</div>
<div style="clear: both;"></div>

=====Word-Dokumente auf Basis des MIME-Types=====
Damit Word-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<pre>application/msword,application/vnd.openxmlformats-officedocument.wordprocessingml.document,application/vnd.openxmlformats-officedocument.wordprocessingml.template,application/vnd.ms-word.document.macroEnabled.12,application/vnd.ms-word.template.macroEnabled.12</pre>

=====Excel-Dokumente auf Basis des MIME-Types=====
Damit Excel-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<pre>application/vnd.ms-excel,application/vnd.openxmlformats-officedocument.spreadsheetml.sheet,application/vnd.openxmlformats-officedocument.spreadsheetml.template,application/vnd.ms-excel.sheet.macroEnabled.12,application/vnd.ms-excel.template.macroEnabled.12,application/vnd.ms-excel.addin.macroEnabled.12,application/vnd.ms-excel.sheet.binary.macroEnabled.12</pre>

=====Office-Dokumente auf Basis der Dateiendung=====
Damit Office-Dokumente anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*Dateiname
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<pre>doc,dot,docx,docm,dotx,dotm,docb,xls,xlsx,xlt,xlm,xlsb,xla,xlam,xll,xlw,ppt,pot,pps,pptx,pptm,potx,potm,ppam,ppsx,ppsm,sldx,sldm,pub</pre>

=====Komprimierte Dateien auf Basis des MIME-Type=====
Damit Komprimierte Dateien anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<pre>application/x-zip-compressed,application/zip</pre>

=====Komprimierte Dateien auf Basis der Endung=====
Damit Komprimierte Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*Dateiname
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.

<pre>zip,7z,ace,arj,cab,zz,zipx</pre>

=====Gefälschter Absender=====
Damit E-Mails mit gefälschten Absender nicht angenommen werden, empfehlen wir zwei Filterregeln nach folgenden Beispielen zu erstellen.

*Quellhost
*ist
*192.168.175.100
'''Mail annehmen'''
<br>
*Sender
*enthält
*@securepoint.de
'''Mail ablehnen'''

<br>
Diese Regeln sollten in der Reihenfolge ganz oben stehen.

''Mehrere E-Mail-Server können durch ein Komma getrennt werden.''

====URL-Filter Kategorie "Danger"====
Die Kategorie Danger sollte auf jeden Fall in die Lister des URL-Filters mit aufgenommen werden. Diese Kategorie enthält URLs die in Zusammenhang mit Sicherheitsbedrohungen aufgefallen sind.

Weitere Kategorien sind je nach Unternehmen zu definieren.

====Einstellungen -> Spamreport====
Der Spamreport kann in bestimmten Intervallen die E-Mail Benutzer über von der UTM gefilterte, geblockte oder in Quarantäne genommene E-Mails informieren. Dieser Report kann entweder an einem bestimmten Wochentag oder Täglich, zu einer bestimmten Uhrzeit versendet werden.
Damit der Report den E-Mail Benutzer auch erreicht, ist es notwendig, dass sich dieser in einer Gruppe befindet, die die Berechtigung '''Spamreport''' beinhaltet und das seine E-Mail Adresse hinterlegt ist.

==Hinweise==
Folgende Wiki-Artikel können bei der Einrichtung hilfreich sein.
*[[UTM/APP/Mailrelay| Wiki-Artikel Mailrelay]]
*[[UTM/APP/Mailfilter| Wiki-Artikel Mailfilter]]
*[[UTM/APP/Mailfilter#Spamreport| Wiki-Artikel Mailfilter Spamreport]]
*[[UTM/APP/Regex| Wiki-Artikel Regex]]

Datei:Uma-vorbereitung-ews.jpg

2017-07-11T13:43:08Z

Skrauti:

Datei:Ews-sonstige-optionen.jpg

2017-07-11T13:35:30Z

Skrauti:

Datei:Ews-filterregel.jpg

2017-07-11T08:52:17Z

Skrauti:

Datei:Konfig-ews.jpg

2017-07-11T08:03:22Z

Skrauti:

Datei:Hyperv-uma-11.jpg

2017-02-14T07:25:24Z

Skrauti:

Datei:Hyperv-uma-10.jpg

2017-02-14T07:22:18Z

Skrauti:

Datei:Hyperv-uma-9.jpg

2017-02-14T07:14:17Z

Skrauti:

Datei:Hyperv-uma-8.jpg

2017-02-14T07:11:46Z

Skrauti:

Datei:Hyperv-uma-7.jpg

2017-02-13T11:04:53Z

Skrauti: Skrauti lud eine neue Version von „Datei:Hyperv-uma-7.jpg“ hoch

Datei:Hyperv-uma-7.jpg

2017-02-13T10:59:47Z

Skrauti:

Datei:Hyperv-uma-6.jpg

2017-02-13T10:39:20Z

Skrauti:

Datei:Hyperv-uma-5.jpg

2017-02-13T10:33:26Z

Skrauti:

Datei:Hyperv-uma-4.jpg

2017-02-13T10:30:55Z

Skrauti:

Datei:Hyperv-uma-3.jpg

2017-02-13T10:27:42Z

Skrauti:

Datei:Hyperv-uma-2.jpg

2017-02-13T10:23:59Z

Skrauti:

Datei:Hyperv-uma-1.jpg

2017-02-13T10:20:02Z

Skrauti:

Datei:Vm HyperV Server.png

2017-02-13T10:05:07Z

Skrauti:

Datei:Webfilter-03.jpg

2017-02-03T08:24:45Z

Skrauti:

Datei:Webfilter-06.jpg

2017-02-03T08:23:23Z

Skrauti:

Datei:Webfilter-05.jpg

2017-02-03T08:14:19Z

Skrauti:

Datei:Webfilter-02.jpg

2017-02-03T08:02:38Z

Skrauti:

Datei:Webfilter-01.jpg

2017-02-03T07:58:19Z

Skrauti:

UMA/UMA Mailserver Kompatibilität v2

2017-02-01T09:45:36Z

Skrauti:

Ziel dieses Dokumentes ist es einen Überblick über am Markt verbreitete Mailserver und deren
Integrationsmöglichkeiten bei der E-Mail-Archivierung mit dem Securepoint UMA darzustellen.

Planen Sie ein Projekt mit einem hier nicht aufgeführten Mail-System,
wenden Sie sich bitte vorab an unseren Support.

{| border="0" {{prettytable}}
|'''Mailserver'''
| Version
| Ergebnis
| Integrationsart
|Clientzugriff
|Bemerkungen
|Webinar

|-
|Microsoft Exchange
|2003
|FAILED
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| -
| IMAP-Server des Exchange stürzt immer wieder ab. Technische Implementation ansonsten prinzipiell möglich.
| -
|-

|Microsoft Exchange
|[[ Best_Practice_Guide_UMA2.0 | 2007 ]]
|OK
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP (Outlook - Empfehlung das PlugIn nicht mit Outlook Client < 2010 zu verwenden))
| Mailboxjournal / Message-Only Journaling http://technet.microsoft.com/de-de/library/bb124985(v=exchg.80).aspx
| -
|-

|Microsoft Exchange
| [[ Best_Practice_Guide_UMA2.0 | 2010 ]]
|OK
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP (Outlook - Empfehlung das PlugIn nicht mit Outlook Client < 2010 zu verwenden))
| Mailboxjournal / Message-Only Journaling http://technet.microsoft.com/de-de/library/bb124985(v=exchg.80).aspx
| -
|-

|Microsoft Exchange
|[[ Best_Practice_Guide_UMA2.0 | 2013]]
|OK
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP (Outlook - Empfehlung das PlugIn nicht mit Outlook Client < 2010 zu verwenden))
| Mailboxjournal / Message-Only Journaling (Achtung bitte verwenden Sie das Standard-Journaling.) http://technet.microsoft.com/de-de/library/bb124985(v=exchg.80).aspx
| -
|-

|Microsoft Exchange
|[[ Best_Practice_Guide_UMA2.0 | 2016]]
|OK
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP (Outlook - Empfehlung das PlugIn nicht mit Outlook Client < 2010 zu verwenden))
| Mailboxjournal / Message-Only Journaling (Achtung bitte verwenden Sie das Standard-Journaling.) http://technet.microsoft.com/de-de/library/bb124985(v=exchg.80).aspx
| -
|-

|Office 365
| -
|OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| [[ UMA/BP/Office_365 | Office 365 ]]
| -
|-

|Tobit David
|Ab V10
|OK
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web
| Weiterleitungsregeln je Benutzer müssen von Hand angelegt werden.
|[http://www.youtube.com/watch?v=z1bDfwvHSuw&list=PL2fcQZRcjhafnXL_E7Q7j7RyCBgzaZFF8 Best Practice Webinar - Securepoint UMA und Tobit David]
|-

|MDaemon
|Alle
|OK
|Transparent oder [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| Siehe Infos zu Standard-Mailserver
| -
|-

|Kerio
|Alle
|OK
|Transparent oder [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| Siehe Infos zu Standard-Mailserver
| -
|-

|IBM Notes
|7
| FAILED
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP - Web-Interface lässt sich direkt in Client integrieren
| -
| -
|-

|IBM Notes
|8
|OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP - Web-Interface lässt sich direkt in Client integrieren
| [[ Lotus_Domino_UMA2.0 | IBM Notes ]]
| -
|-

|IBM Notes
|9
|OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP - Web-Interface lässt sich direkt in Client integrieren
| [[ Lotus_Domino_UMA2.0 | IBM Notes ]]
| -
|-

|Sendmail
|Alle
|OK
| Transparent
| Web, IMAP
| Siehe Infos zu Standard-Mailserver
| -
|-

|Postfix
|Alle
|OK
| Transparent
| Web, IMAP
| Siehe Infos zu Standard-Mailserver
| -
|-

|Postfix
|Ab 2.3
|OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| Siehe Infos zu Standard-Mailserver
| -
|-

|Exim
|Alle
|OK
| Transparent
| Web, IMAP
| Siehe Infos zu Standard-Mailserver
| -
|-

|Hosted Exchange
| -
|OK **
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| Weiterleitungsregeln je Benutzer oder ein Journal müssen/muss von Hand angelegt werden. Anbieter muss IMAP-Schnittstelle zur Verfügung stellen.
| -
|-

|POP3 / IMAP Konten
| -
|FAILED **
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| Weiterleitungsregeln je Benutzer meist nicht vollständig möglich.
| -
|-

|}

<big>**</big>Hinweis zu gehosteten Lösungen wie Hosted Exchange, POP3- und IMAP-Konten. Diese können dann verwendet werden, wenn der Provider es erlaubt serverseitig Weiterleitungsregeln je Postfach für ein- und ausgehende E-Mails zu hinterlegen. Außerdem ist es in der Regel notwendig ein zusätzliches, bisher nicht benutztes Postfach zu konfigurieren. Dieses erhält eine Kopie aller ein und ausgehenden E-Mails und wird vom Securepoint UMA im HUB-Modus abgeholt. Die Benutzer müssen dann in der Regel lokal auf dem UMA – also manuell – eingetragen werden.

Diese Liste stellt eine unverbindliche Zusammenstellung von Informationen dar und ist keine Funktionsbeschreibung oder Funktionsgarantie.

UMA/UMA Mailserver Kompatibilität v2

2017-02-01T09:45:16Z

Skrauti:

Ziel dieses Dokumentes ist es einen Überblick über am Markt verbreitete Mailserver und deren
Integrationsmöglichkeiten bei der E-Mail-Archivierung mit dem Securepoint UMA darzustellen.

Planen Sie ein Projekt mit einem hier nicht aufgeführten Mail-System,
wenden Sie sich bitte vorab an unseren Support.

{| border="0" {{prettytable}}
|'''Mailserver'''
| Version
| Ergebnis
| Integrationsart
|Clientzugriff
|Bemerkungen
|Webinar

|-
|Microsoft Exchange
|2003
|FAILED
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| -
| IMAP-Server des Exchange stürzt immer wieder ab. Technische Implementation ansonsten prinzipiell möglich.
| -
|-

|Microsoft Exchange
|[[ Best_Practice_Guide_UMA2.0 | 2007 ]]
|OK
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP (Outlook - Empfehlung das PlugIn nicht mit Outlook Client < 2010 zu verwenden))
| Mailboxjournal / Message-Only Journaling http://technet.microsoft.com/de-de/library/bb124985(v=exchg.80).aspx
| -
|-

|Microsoft Exchange
| [[ Best_Practice_Guide_UMA2.0 | 2010 ]]
|OK
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP (Outlook - Empfehlung das PlugIn nicht mit Outlook Client < 2010 zu verwenden))
| Mailboxjournal / Message-Only Journaling http://technet.microsoft.com/de-de/library/bb124985(v=exchg.80).aspx
| -
|-

|Microsoft Exchange
|[[ Best_Practice_Guide_UMA2.0 | 2013]]
|OK
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP (Outlook - Empfehlung das PlugIn nicht mit Outlook Client < 2010 zu verwenden))
| Mailboxjournal / Message-Only Journaling (Achtung bitte verwenden Sie das Standard-Journaling.) http://technet.microsoft.com/de-de/library/bb124985(v=exchg.80).aspx
| -
|-

|Microsoft Exchange
|[[ Best_Practice_Guide_UMA2.0 | 2016]]
|OK
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP (Outlook - Empfehlung das PlugIn nicht mit Outlook Client < 2010 zu verwenden))
| Mailboxjournal / Message-Only Journaling (Achtung bitte verwenden Sie das Standard-Journaling.) http://technet.microsoft.com/de-de/library/bb124985(v=exchg.80).aspx
| -
|-

|Office 365
| -
|OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| [[ UMA/BP/Office_365 | Office 365 ]]
| -
|-

|Tobit David
|Ab V10
|OK
|[[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web
| Weiterleitungsregeln je Benutzer müssen von Hand angelegt werden.
|[http://www.youtube.com/watch?v=z1bDfwvHSuw&list=PL2fcQZRcjhafnXL_E7Q7j7RyCBgzaZFF8 Best Practice Webinar - Securepoint UMA und Tobit David]
|-

|MDaemon
|Alle
|OK
|Transparent oder [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| Siehe Infos zu Standard-Mailserver
| -
|-

|Kerio
|Alle
|OK
|Transparent oder [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| Siehe Infos zu Standard-Mailserver
| -
|-

|IBM Notes
|7
| FAILED
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP - Web-Interface lässt sich direkt in Client integrieren
| -
| -
|-

|IBM Notes
|8
|OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP - Web-Interface lässt sich direkt in Client integrieren
| [[ Lotus_Domino_UMA2.0 | IBM Notes ]]
| -
|-

|IBM Notes
|9
|OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP - Web-Interface lässt sich direkt in Client integrieren
| [[ Lotus_Domino_UMA2.0 | IBM Notes ]]
| -
|-

|Sendmail
|Alle
|OK
| Transparent
| Web, IMAP
| Siehe Infos zu Standard-Mailserver
| -
|-

|Postfix
|Alle
|OK
| Transparent
| Web, IMAP
| Siehe Infos zu Standard-Mailserver
| -
|-

|Postfix
|Ab 2.3
|OK
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| Siehe Infos zu Standard-Mailserver
| -
|-

|Exim
|Alle
|OK
| Transparent
| Web, IMAP
| Siehe Infos zu Standard-Mailserver
| -
|-

|Hosted Exchange
| -
|OK **
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| Weiterleitungsregeln je Benutzer oder ein Journal müssen/muss von Hand angelegt werden. Anbieter muss IMAP-Schnittstelle zur Verfügung stellen.
| -
|-

|POP3 / IMAP Konten
| -
|FAILED **
| [[ Einrichtung_des_HUB_Modus_UMA2.0 | HUB Modus ]]
| Web, IMAP
| Weiterleitungsregeln je Benutzer meist nicht vollständig möglich.
| -
|-

|}

<big>**</big> ** Hinweis zu gehosteten Lösungen wie Hosted Exchange, POP3- und IMAP-Konten. Diese können dann verwendet werden, wenn der Provider es erlaubt serverseitig Weiterleitungsregeln je Postfach für ein- und ausgehende E-Mails zu hinterlegen. Außerdem ist es in der Regel notwendig ein zusätzliches, bisher nicht benutztes Postfach zu konfigurieren. Dieses erhält eine Kopie aller ein und ausgehenden E-Mails und wird vom Securepoint UMA im HUB-Modus abgeholt. Die Benutzer müssen dann in der Regel lokal auf dem UMA – also manuell – eingetragen werden.

Diese Liste stellt eine unverbindliche Zusammenstellung von Informationen dar und ist keine Funktionsbeschreibung oder Funktionsgarantie.

UTM/APP/Nameserver

2017-01-19T07:03:41Z

Skrauti: /* Relay anlegen */

{{DISPLAYTITLE:Nameserver}}
== Einleitung ==
Ein Nameserver ist ein Server, der Namensauflösung anbietet. Namensauflösung ist das Verfahren, das es ermöglicht, Namen von Rechnern bzw. Diensten in eine Adresse (IP) aufzulösen (z.B.: securepoint.de in 62.116.166.66). Des Weiteren kann in der V11 eine Namensauflösung an einen anderen Nameserver weitergeleitet werden oder aus einer IP Adresse auf einen bestimmten Namen geschlossen werden (Reverse Lookup). Zusätzlich gibt es die Funktion "DNS Forwarding" die es erlaubt alle DNS Anfragen an einen bestimmten Nameserver weiterzuleiten.

Um die Einstellungen die der Nameserver der V11 bietet, besser verstehen zu können, folgt nun eine "Typ Beschreibung", der Typen die bei der Einrichtung auswählbar sind:

* Beschreibung der Typen

- NS
- A
- AAAA
- TXT
- PTR
- MX
- CNAME

Im weiteren Verlauf wird genauer auf die Einrichtung folgender Punkte der V11 eingegangen:

* Anlegen einer Forward-Zone
* Anlegen einer Reverse-Zone
* Anlegen einer Relay-Zone
* Anlegen eines DNS Forwardings

Beachten Sie, dass aus dem jeweiligen Netz immer eine Regeln für DNS auf das entsprechende Interface vorhanden ist.

=== Beschreibung der Typen ===
==== NS ====
Ein NS oder besser gesagt, NS-RR (Name Server Resource Record) ist ein Datensatz eines DNS Servers und kann zwei unterschiedliche Funktionen erfüllen:

* Er definiert, welche Nameserver für diese Zone offiziell zuständig sind.
* Er verkettet Zonen zu einem Zonen-Baum (Delegation).

In jedem Zonenfile muss mindestens ein NS-RR vorhanden sein, der angibt, welcher Nameserver für diese Zone autoritativ ist. Ist zum Bsp. die Firewall selbst zuständig muss hier "localhost" ausgewählt/eingegeben werden.

==== A ====
Mit einem A-RR (A Resource Record) wird einem DNS-Namen eine IPv4-Adresse zugeordnet.

==== AAAA ====
Mit einem AAAA Resource Record („quad-A“) wird einem DNS-Namen eine IPv6-Adresse zugeordnet. Es handelt sich damit um die IPv6-Entsprechung zum A Resource Record.

==== TXT ====
Mit einem TXT Resource Record kann ein frei definierbarer Text in einer DNS-Zone abgelegt werden. TXT Records können unter anderem zum Tunneln über DNS eingesetzt werden.

==== PTR ====
PTR Resource Records ordnen im Domain Name System einer gegebenen IP-Adresse einen oder mehrere Hostname(s) zu. Sie stellen damit gewissermaßen das Gegenstück zur klassischen Zuordnung einer oder mehrerer IP-Adresse(n) zu einem gegebenen Hostname per A- oder AAAA Resource Record dar.

PTR Resource Records sind ein zentrales Element des Reverse DNS. Sie werden üblicherweise ausschließlich verwendet

* in der in-addr.arpa-Zone (für den Reverse-Lookup von IPv4-Adressen),
* in der Zone ip6.arpa (für den Reverse-Lookup von IPv6-Adressen)[1] sowie
* in anderen Zonen für Hostnames, auf die ein CNAME Resource Record aus einer der vorgenannten Zonen zeigt.

==== MX ====
Der MX Resource Record (MX-RR) einer Domain ist ein Eintrag im Domain Name System, der sich ausschließlich auf den Dienst E-Mail (SMTP) bezieht.

Ein MX-Record sagt aus, unter welchem Fully Qualified Domain Name (FQDN) der Mail-Server zu einer Domäne oder Subdomäne erreichbar ist. Es ist üblich, für eine Domäne mehrere MX-Records zu definieren mit unterschiedlichen Prioritäten, so dass bei Ausfall eines Mail-Servers ein anderer die E-Mails entgegennehmen kann. Dies erhöht die Wahrscheinlichkeit, dass eine Mail trotzdem an die Empfängerdomain zugestellt werden kann.

==== CNAME ====
Ein CNAME Resource Record (CNAME RR) ist im Domain Name System dazu vorgesehen, einer Domänen einen weiteren Namen zuzuordnen. Die Abkürzung "CNAME" steht für canonical name (canonical = anerkannt, bezeichnet also den primären, quasi echten Namen).

Im einfachsten Fall verweist der Name eines CNAME Resource Records auf den Namen eines A Resource Records und/oder eines AAAA Resource Records. Die Namen dieser Resource Records verweisen auf eine IP-Adresse. Beim Wechsel einer IP-Adresse muss dann für mehrere Namen nur ein einziger Resource Record geändert werden.

Ein NS Resource Record, MX Resource Record oder PTR Resource Record darf nicht auf einen CNAME Resource Record verweisen. Umgekehrt darf ein PTR Resource Record aber durchaus nur über einen CNAME Resource Record zugänglich sein. Der Name eines CNAME Resource Records darf nicht als Name anderer Resource Records verwendet werden, da er stellvertretend für alle Resource Records des Ziels steht.

=== Forward-Zone ===
Eine Foward-Zone wird zur Umsetzung von Domainnamen in IP-Adressen verwendet. Diese Umsetzung ist sowohl in IPv4 (A) als auch in IPv6 (AAAA) möglich. In dem folgenden Einrichtungsbeispiel wird das Anlegen eines A-RR, für eine öffentliche Domain erklärt. Wird der DNS der Firewall zur Auflösung verwendet, soll eine private IP aus dem internen Netz zurückgegeben werden.

Diese Einstellung wird unter anderem dann benötigt, wenn aus dem internen Netz eine Domain aufgerufen wird, dessen öffentliche IP die der Firewall ist. Ohne diesen Eintrag würde man eine komplizierte Portweiterleitung benötigen, so allerdings kann die Anfrage ohne Umwege direkt an den Server gestellt werden.

==== Nameserver der Firewall festlegen ====
Im ersten Schritt muss der Nameserver der Firewall festgelegt werden.

#Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken Sie im Dropdown-Menü auf Servereinstellungen.
#Tragen Sie im Feld "Primärer Nameserver" als IP die "127.0.0.1" (localhost) ein.
#Klicken Sie auf Speichern

[[Datei:Nameserver.jpg|800px|thumb|center|Nameserver IP]]

==== A-RR anlegen ====
Im nächsten Schritt wird der A-RR angelegt.

#Gehen Sie in der Navigationsleiste auf den Punkt Anwendungen und klicken sie im Dropdown-Menü auf Nameserver.
#Klicken Sie im erscheinenden Dialog auf den Button Forward-Zone hinzufügen.
#Tragen Sie im Step 1 die gewünschte Domain in das Feld Zonenname ein.
#Tragen Sie im Step 2 unter Nameserver Hostname "localhost" ein.
#Der Step 3 kann durch klicken auf den Button Fertig übersprungen werden.
#Bearbeiten Sie durch einen Klick auf den Schraubenschlüssel die angelegte Zone.
#Klicken Sie im erscheinenden Dialog auf den Button Eintrag hinzufügen.
#Tragen Sie in das Feld "Name" die gewünschte Domain ein. An die Domain wird ein Punkt "." angehängt!
#Als Typ wählen Sie "A".
#In das Feld Wert tragen Sie die interne IP des Servers ein auf den die Domain verweisen soll.
#Klicken Sie auf Hinzufügen.
#Klicken Sie auf Speichern.

[[Datei:Step_1_A-RR.jpg‎|800px|thumb|center|Step 1 ]]
[[Datei:Step2.jpg|800px|thumb|center|Step 2]]
[[Datei:A-RR_anlegen.jpg|800px|thumb|center|Anlegen des A-RR]]

*Nun ist das Anlegen des A-RR fertig und die Firewall setzt auf Anfrage die Domain auf die gewünschte Private IP um!

==== A-RR testen ====
Um das Umsetzten des zuvor angelegten A-RR zu testen können sie von extern eine DNS-Anfrage in Form eines nslookup schicken oder sie nutzen die eigenen Netzwerktools der Firewall.

#Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken sie im Dropdown-Menü auf Netzwerkwerkzeuge.
#Klicken Sie im erscheinenden Dialog auf den Host.
#Wählen Sie als Abfragetyp "A" aus.
#Tragen Sie im Feld Hostname ihre Domain ein.
#Verwenden Sie im Feld Nameserver die 127.0.0.1
#Klicken Sie auf Senden.

[[Datei:A-RR_testen.jpg|800px|thumb|center|A-RR testen]]

*Im unteren Fenster löst er, wenn alles richtig eingerichtet wurde, die Domain auf die korrekte IP-Adresse auf.

=== Reverse-Zone ===
Reverse DNS lookup (rDNS) bezeichnet eine DNS-Anfrage, bei der zu einer IP-Adresse der Name ermittelt werden soll. Als RR-Typen sind nur PTR Resource Records zulässig. Bei einem PTR-RR steht links eine IP-Adresse und rechts ein Name – im Gegensatz zum A Resource Record, wo links ein Name und rechts eine IP-Adresse steht.

Genutzt wird ein rDNS lookup häufig im Zusammenhang mit Spamfiltern. Viele Spam-Mails werden von Fake-Domainen versendet. Der Empfänger kann anhand einer Rückauflösung der IP festzustellen ob die Domain auch wirklich zu der ankommenden IP gehört, ist dies nicht der Fall wird die Mail abgewiesen.

==== Nameserver der Firewall festlegen ====
Im ersten Schritt muss der Nameserver der Firewall festgelegt werden.

#Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken Sie im Dropdown-Menü auf Server Einstellungen.
#Tragen Sie im Feld "Primärer Nameserver" als IP die "127.0.0.1" (localhost) ein.
#Klicken Sie auf Speichern

[[Datei:Nameserver.jpg|800px|thumb|center|Nameserver IP]]

==== PTR-RR anlegen ====
Im nächsten Schritt wird der PTR-RR angelegt.

Zum Verständnis hier eine kurze Beschreibung:

Da es extrem zeitaufwändig wäre, bei einer inversen Anfrage den gesamten Domänen-Baum nach der gewünschten IPv4-Adresse zu durchsuchen wurde eine eigenständige Domäne für inverse Zugriffe gebildet, die in-addr.arpa-Domäne. Unterhalb dieser Domäne existieren lediglich drei Subdomänen-Ebenen, so dass maximal drei Schritte zur Auflösung einer IPv4-Adresse erforderlich sind.
Die unmittelbaren Subdomänen von in-addr.arpa haben als Label eine Zahl zwischen 0 und 255 und repräsentieren die erste Komponente einer IPv4-Adresse. (Beispiel: 64.in-addr.arpa oder 192.in-addr.arpa).
Die nächste Ebene im Baum repräsentiert die zweite Komponente einer IPv4-Adresse (Beispiel: 27.64.in-addr.arpa. enthält die IPv4-Adressen 64.27.x.y) und die unterste Ebene schließlich die dritte Komponente (Beispiel: 125.27.64.in-addr.arpa enthält alle bekannten IPv4-Adressen des Netzes 64.27.125.0/24 – also z. B. 64.27.125.60).

Wie aus den Beispielen ersichtlich ist, enthält ein reverser Name die IP-Adresskomponenten in umgekehrter Reihenfolge. Diese Struktur ermöglicht ein Verfeinern des reversen Adressraums in mehreren Schritten. In unserem folgenden Einrichtungsbeispiel werden wir mit dem letzten Adressraum (/24) arbeiten.

#Gehen Sie in der Navigationsleiste auf den Punkt Anwendungen und klicken sie im Dropdown-Menü auf Nameserver.
#Klicken Sie im erscheinenden Dialog auf den Button Reverse-Zone hinzufügen.
#Tragen Sie im Step 1 das gewünschte Subnetz ein, indem sich die IP-Adresse zu der gewünschten Domain befindet.
#Tragen Sie im Step 2 unter Nameserver "localhost" ein und klicken sie auf Fertig.

Der Zonenname bildet sich automatisch wie im oberen Beispiel beschrieben.

#Bearbeiten Sie durch einen Klick auf den Schraubenschlüssel die angelegte Zone.
#Klicken Sie im erscheinenden Dialog auf den Button Eintrag hinzufügen.
#Tragen Sie in das Feld "Name", die letzte Zahl der Host-IP ein, die zu der gewünschten Domain gehört (In unserem Beispiel die "60".)
#Als Typ wählen Sie "PTR".
#In das Feld Wert tragen Sie die Domain ein auf die die IP-Adresse zeigen soll. An die Domain wird ein Punkt "." angehängt!
#Klicken Sie auf Hinzufügen.
#Klicken Sie auf Speichern.

[[Datei:Step1-PTR.jpg |800px|thumb|center|Step 1]]
[[Datei:Step2-PTR.jpg|800px|thumb|center|Step 2]]
[[Datei:PTR-anlegen.jpg|800px|thumb|center|PTR anlegen]]

*Nun ist das Anlegen des PTR-RR fertig und die Firewall setzt auf Anfrage die IP auf die gewünschte Domain um!

==== PTR-RR testen ====
Um das Umsetzten des zuvor angelegten PTR-RR zu testen, können Sie von extern eine rDNS-Anfrage in Form eines nslookup schicken oder sie nutzen die eigenen Netzwerktools der Firewall.

#Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken sie im Dropdown-Menü auf Netzwerkwerkzeuge.
#Klicken Sie im erscheinenden Dialog auf den Host.
#Wählen Sie als Abfragetyp "PTR" aus.
#Tragen Sie im Feld Hostname die IP ein.
#Verwenden Sie im Feld Nameserver die 127.0.0.1
#Klicken Sie auf Senden.

[[Datei:PTR-testen.jpg|800px|thumb|center|PTR-RR testen]]

*Im unteren Fenster wird, wenn alles richtig eingerichtet wurde, zu der IP-Adresse die richtige Domain aufgelöst.

=== Relay-Zone ===
Eine Relay-Zone ist für das Weiterleiten von Anfragen, die zu einer bestimmten Domain gehören zuständig. Hierzu ein Beispiel.:

Die Firewall wird im internen Netz von allen Clients als Nameserver verwendet. Zusätzlich ist im internen Netz ein Nameserver integriert der für die interne Domänenverwaltung zuständig ist. Möchte nun ein Client einen internen Namen auflösen (z.B.: uma.test.local) wird diese DNS-Anfrage an die Firewall gestellt. Durch eine Weiterleitung aller Anfragen auf "test.local" an den internen Nameserver können diese ohne Probleme von selbigem aufgelöst werden. Anfragen die nicht zur internen Domain gehören, löst die Firewall weiterhin selbst auf.

==== Nameserver der Firewall festlegen ====
Im ersten Schritt muss der Nameserver der Firewall festgelegt werden.

#Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken Sie im Dropdown-Menü auf Server Einstellungen.
#Tragen Sie im Feld "Primärer Nameserver" als IP die "127.0.0.1" (localhost) ein.
#Klicken Sie auf Speichern

[[Datei:Nameserver.jpg|800px|thumb|center|Nameserver IP]]

==== Relay anlegen ====
Im nächsten Schritt wird das Relay angelegt.

#Gehen Sie in der Navigationsleiste auf den Punkt Anwendungen und klicken sie im Dropdown-Menü auf Nameserver.
#Klicken Sie im erscheinenden Dialog auf den Button Relay-Zone hinzufügen.
#Tragen Sie im erscheinenden Dialog die gewünschte Domain in das Feld Zonenname ein. Wählen sie als Typ Relay und tragen Sie in das Feld IP-Adresse, die Adresse des entfernten Nameservers ein. (Gibt es mehrere Nameserver/Domaincontroller die für diese Domain zuständig sind, kann die zweite IP mit einem Simlikolon getrennt´, hinter der ersten IP angegeben werden.)
#Klicken Sie auf Speichern.

[[Datei:Relayzone.jpg|800px|thumb|center|Anlegen der Relay-Zone]]

*Nun ist das Anlegen der Relay-Zone fertig und die Firewall leitet alle Anfragen auf die Domain an den gewünschten Nameserver weiter!

=== DNS Forwarding ===
Ein DNS Forwarding wird dazu Verwendet um ALLE DNS Anfragen die an den Nameserver der Firewall gestellt werden an eine andere IP weiterzuleiten.

==== Domainweiterleitung anlegen ====
Anlegen einer Domainweiterleitung

#Gehen Sie in der Navigationsleiste auf den Punkt Anwendungen und klicken sie im Dropdown-Menü auf Nameserver.
#Klicken Sie im erscheinenden Dialog auf den Tab DNS Forwarding.
#Klicken sie auf Domainweiterleitung hinzufügen.
#Tragen sie die gewünschte IP-Adresse ein, an den die DNS Anfragen geschickt werden sollen.
#Klicken Sie auf Speichern.

[[Datei:DNSWeiterleitung.jpg|800px|thumb|center|Anlegen eines DNS Forwardings]]

*Die Domainweiterleitung ist nun angelegt und die DNS Anfragen werden an die gewünschte IP weitergeleitet.

=== Domainweiterleitung durch einen IPSec-Tunnel ===
Bei weilen ist es Nötig interne Domainanfragen an einen entfernten Nameserver weiter zu leiten, der sich in einem IPSec-Netz befindet. Hier ist zu beachten das standardmäßig alle direkten Anfragen, die sich an externe Nameserver richten, von der Firewall mit der externen IP aus geschickt werden. Eine öffentlich IP wird aber nicht in einen IPSec-Tunnel geroutet.

==== Nameserver der Firewall festlegen ====
Im ersten Schritt muss der Nameserver der Firewall festgelegt werden.

#Gehen Sie in der Navigationsleiste auf den Punkt Netzwerk und klicken Sie im Dropdown-Menü auf Server Einstellungen.
#Tragen Sie im Feld "Primärer Nameserver" als IP die "127.0.0.1" (localhost) ein.
#Klicken Sie auf Speichern

[[Datei:Nameserver.jpg|800px|thumb|center|Nameserver IP]]

==== Relay anlegen ====
Im nächsten Schritt wird das Relay angelegt.

#Gehen Sie in der Navigationsleiste auf den Punkt Anwendungen und klicken sie im Dropdown-Menü auf Nameserver.
#Klicken Sie im erscheinenden Dialog auf den Button Relay-Zone hinzufügen.
#Tragen Sie im erscheinenden Dialog die gewünschte Domain in das Feld Zonenname ein. Wählen sie als Typ Relay und tragen die in das Feld IP-Adresse die Adresse des entfernten Nameservers ein.
#Klicken Sie auf Speichern.

[[Datei:Relay-zone-ipsec.png|800px|thumb|center|Anlegen der Relay-Zone]]

*Nun ist das Anlegen der Relay-Zone fertig und die Firewall leitet alle Anfragen auf die Domain an den gewünschten Nameserver weiter!

==== Netzwerkobjekt anlegen ====
Klicken Sie auf der Navigationsleise auf den Punkt Firewall und wählen Sie den Eintrag Portfilter vom Dropdownmenü. Anschließen wählen Sie im Fenster den Tab Netzwerkobjekte.

Folgende Objekte sind vorkonfiguriert:

external-interface, internal-interface, Internet, internal-network, dmz1-interface, dmz1-network

# Legen Sie ein Netzwerkobjekt für das IPSec Netzwerk an, indem Sie auf den Button Objekt hinzufügen klicken.
# Tragen Sie im Feld Name eine Bezeichnung für das IPSec-Netzwerk ein
# Wählen Sie als Typ VPN-Netzwerk und tragen Sie unter IP-Adresse die IP-Adresse des IPSec Netzwerkes ein.
# Als Zone wählen Sie vpn-ipsec aus.
# Sichern Sie die Einstellungen mit dem Button Speichern.

[[Datei:netzwerkobjekt_iüpsec_object.png|none|thumb|300px|Netzwerkobjekt]]

==== Regel erstellen ====
Im letzten Schritt muss eine Firewallregel, mit einem Hide-NAT angelegt werden. Diese bewirkt das die DNS-Weiterleitung auch in den Tunnel, und nicht direkt in das Internet, geht.

# Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdownmenü auf den Eintrag Portfilter.
# Klicken Sie im Portfilterdialog auf den Button Regel hinzufügen.
# Wählen Sie in der Liste Quelle das Netzwerkobjekt external-interface, in der Liste Ziel das IPSec-Netzwerk und als Dienst den Eintrag domain-udp.
# Wählen Sie in der Liste NAT, bei TYP "HIDENAT" und als Netzwerkobjekt "internal-interface".
# Als Aktion muss der Eintrag ACCEPT gewählt werden.
# Die Checkbox Aktiv muss ebenfalls aktiviert sein.
# Wählen Sie im Feld Logging zwischen den Protokollierungsmethoden NONE, MEDIUM und ALL.
# Unter Kommentar können Sie eine Beschreibung oder Notizen zu der Regel hinzufügen.
# Beim Überfahren der Netzwerkobjekte mit der Maus, wird Ihnen die zugehörigen Netzwerkobjekte und deren IP-Adressen und Zonen angezeigt.
# Klicken Sie auf Speichern.

[[Datei:Regel-hidenat-ext-über-int.png|800px|thumb|center|Anlegen der Regel]]

* Mit dieser Regel werden nun alle Domain-UDP-Anfragen die über die Firewall an den entfernten Nameserver gestellt werden, über die IP des internen Interfaces genatet und können somit in den IPSec-Tunnel geleitet werden.

UMA/Changelog

2016-04-11T05:23:35Z

Skrauti: /* Build 2.5.1 */

[[Category:UMAv1]]
=Changelog Securepoint UMA=

__TOC__

==Build 2.5.1==
<small>Release Date: 06.04.2016</small>

*'''Security Bugfix:''' glibc aktualisiert ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7547 CVE-2015-7547]).
* Bugfix: Behebt einen Fehler das unter Umständen E-Mails in Public-Mailboxen (Shared-Mailboxen) nicht geöffnet werden konnten.
* Bugfix: Behebt einen Fehler der den Start von Backups unter Umständen verhindert, weil ein Dienst nicht korrekt heruntergefahren werden konnte.
* Maintenance: Aktualisierung Linux Kernel ([http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0728 CVE-2016-0728]).
* Maintenance: Aktualisierung SSH Dienst, Openssh Version 7.1p2 ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0777 CVE-2016-0777], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0778 CVE-2016-0778]).
* Maintenance: Aktualisierung SSL Library, OpenSSL Version 1.0.1s ([http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3197 CVE-2015-3197]).
* Maintenance: Refactoring des Einzel- und Massen-Imports.
* Maintenance: Diverse Verbesserungen in der Admin-UI.
* Maintenance: Storage-Info beschleunigt.
* Maintenance: Die Neu- und Re-Indexierung von Datenbanken wurde beschleunigt.
* Feature: Automatische Sortierung von E-Mails in Archiv-Unterordnern.
* Feature: Backup-Key editierbar.
* Feature: Das Hochladen und Importieren von Dateien im DMS kann deaktiviert werden.
<BR>
'''Bitte beachten sie:'''

'''Bevor Sie ein Update durchführen, stellen Sie sicher, das Sie ein aktuelles Backup der Konfiguration erstellt haben.'''

Das Online Update auf die Version 2.5.1 ist ab der Version 2.4.3 möglich. Das Update erfordert eine Re-Indexierung der Public-Mailboxen (Shared-Mailboxen). Der Vorgang kann, je nach Größe des Archivs, etwas Zeit in Anspruch nehmen.

==Build 2.4.3==
<small>Release Date: 17.11.2015</small>

* Bugfix: Fehler in der Zeitenangabe der Statusgraphen behoben.
* Maintenance: Massenimport überarbeitet und um eine Rechte-Abfrage erweitert um Fehlerquellen zu reduzieren.
* Maintenance: Aus Kompatibilitätsgründen zu alten NAS Firmwares, NTLMv1 Option für das CIFS Backup hinzugefügt.
* Maintenance: Allgemeine Verbesserungen der Anzeige von E-Mails im DMS.

<BR>
'''Bitte beachten sie:'''

'''Bevor Sie ein Update durchführen, stellen Sie sicher, das Sie ein aktuelles Backup der Konfiguration erstellt haben.'''

Das Online Update auf die Version 2.4.3 ist ab der Version 2.4 möglich. Erfolgt das Update mittels ISO oder IMG Image von der Version 2.2.5 werden die Index-Datenbanken der Anwender neu erstellt. Der Vorgang kann, je nach Größe des Archivs, etwas Zeit in Anspruch nehmen.

==Build 2.4.2==
<small>Release Date: 09.09.2015</small>

* Bugfix: Falsche Anzeige des LTA/10 Ordners in den Archiv-Regeln behoben.
* Bugfix: Die Checkbox im Fetchmail-Dialog des Einrichtung-Wizards konnte nicht deaktiviert werden.
* Bugfix: Fehler im Rechteverwaltung-Dialog für das Löschen, bei Benutzernamen mit Leerstellen, behoben.
* Bugfix: Fehler beim Öffnen von E-Mails im Auditor-Modus des DMS behoben.
* Maintenance: Plausibilitätsprüfung des Standard-Gateway in den Netzwerkeinstellungen.

<br>
'''Known Issues:'''<br>
Archivregeln die auf die E-Mail Größe filtern und nach Version 2.3.0 erstellt wurden, müssen unter Umständen neu angelegt werden. Bitte prüfen Sie dazu die Anzeige unter Administration/Archivregelwerk im Admin-Webinterface.
<BR><BR>
'''Bitte beachten sie:'''

'''Bevor Sie ein Update durchführen, stellen Sie sicher, das Sie ein aktuelles Backup der Konfiguration erstellt haben.'''

Das Online Update auf die Version 2.4.2 ist ab der Version 2.4 möglich. Erfolgt das Update mittels ISO oder IMG Image von der Version 2.2.5 werden die Index-Datenbanken der Anwender neu erstellt. Der Vorgang kann, je nach Größe des Archivs, etwas Zeit in Anspruch nehmen.

==Build 2.4.1==
<small>Release Date: 13.08.2015</small>

*Bugfix: Problem beim Einspiel der Lizenz mit Internet Explorer 11 behoben.
*Bugfix: Archivefilterregeln konnten nicht komplett gelöscht werden.
*Bugfix: Fehler im Massenimport bei Domain-Namen abweichender Workgroup behoben.
*Bugfix: Fehler bei sehr großen Ordnerauswahl-Listen beim Massenimport behoben.
*Bugfix: Anzeigefehler im DMS bei E-Mails ohne From Feld behoben.
*Bugfix: Fehler beim Öffnen von E-Mails als Auditor im DMS behoben.
*Maintenance: Fehlermeldungen bei Hubmode und PoP3 verbessert.
*Maintenance: Eingabe-Validierungen im Admin-Webinterface verbessert.
<br>
'''Known Issues:'''<br>
Archivregeln die auf die E-Mail Größe filtern und nach Version 2.3.0 erstellt wurden, müssen unter Umständen neu angelegt werden. Bitte prüfen Sie dazu die Anzeige unter Administration/Archivregelwerk im Admin-Webinterface.
<BR><BR>
'''Bitte beachten sie:'''

'''Bevor Sie ein Update durchführen, stellen Sie sicher, das Sie ein aktuelles Backup der Konfiguration erstellt haben.'''

Das Online Update auf die Version 2.4.1 ist ab der Version 2.4 und Version 2.3.0 möglich. Erfolgt das Update mittels ISO oder IMG Image von der Version 2.2.5 werden die Index-Datenbanken der Anwender neu erstellt. Der Vorgang kann, je nach Größe des Archivs, etwas Zeit in Anspruch nehmen.

==Build 2.4==
<small>Release Date: 27.07.2015</small>

*'''Security Bugfix:''' OpenSSL aktualisiert ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1793 CVE-2015-1793]).
*'''Security Bugfix:''' Die automatische Weiterleitung von Port 80 auf 443 wurde aus Sicherheitsgründen deaktiviert.
*'''Security Bugfix:''' Enumerierbare Session-IDs verhindern. <small>1</small>
*'''Security Bugfix:''' Arbitrary-File Disclosure Schwachstelle behoben. <small>1</small>
*'''Security Bugfix:''' Benutzergesteuerte Format-Strings verhindern. <small>1</small>
*'''Security Bugfix:''' Cross-Site-Scripting Admin UI behoben. <small>1</small>
*'''Security Bugfix:''' Generierung von unzureichend zufälligen URLs zur Freigabe von Dokumenten behoben. <small>1</small>
*'''Security Bugfix:''' Denial-of-Service auf Unix-Domain-Sockets behoben. <small>1</small>
*Bugfix: Im transparent (Bridge) Mode wurden unter Umständen keine Bounces verschickt.
*Bugfix: Im DMS wurde bei bestimmten Zeitzonen die Zeit falsch dargestellt.
*Bugfix: Ein Fehler beim Herunterladen von E-Mails mit bestimmten Sonderzeichen aus dem DMS wurde behoben.
*Bugfix: Fehler beim Import von E-Mails mit Ordnerverschachtelung behoben.
*Bugfix: Fehler im Massenimport von E-Mails die zu spontanen Abbrüchen bei Microsoft Exchange führten, behoben.
*Bugfix: Fehler bei der Anmeldung am Exchange mit Sonderzeichen behoben.
*Maintenance: Statusanzeige beim Massenimport von E-Mails verbessert.
*Maintenance: TLS und DH Parameter Einstellungen aktualisiert.
*Maintenance: Bei Backup Devices kann nun über „:Portnummer“ ein vom Standard abweichender Port angegeben werden.
*Maintenance: Beim Postfach aufräumen wird nun als Zeit das Datum des E-Mail-Headers und nicht das Einlieferungsdatum verwendet.
*Feature: Im DMS werden die Gallerie-Bilder nun gecached. Die Zeit dafür ist in der Admin UI einstellbar.
*Feature: Beim Import und Massenimport können nun Zeiträume definiert werden.

: 1)Securepoint GmbH lässt präventiv in regelmässigen Abständen Security Audits durch unabhängige Unternehmen durchführen. Die Fehler wurden im Rahmen eines Penetrationstests durch die Firma RedTeam Pentesting GmbH mit Sitz in Aachen gefunden (https://www.redteam-pentesting.de).

<BR>
'''Bitte beachten sie:'''

'''Bevor Sie ein Update durchführen, stellen Sie sicher, das Sie ein aktuelles Backup der Konfiguration erstellt haben.'''

Das Online Update auf die Version 2.4 ist ab der Version 2.3.3 möglich. Erfolgt das Update von der Version 2.2.5 mittels ISO oder IMG Image werden die Index-Datenbanken der Anwender neu erstellt. Der Vorgang kann, je nach Größe des Archivs, etwas Zeit in Anspruch nehmen.

==Build 2.3.3==
<small>Release Date: 10.03.2015</small>

*Bugfix: Fehler in der Darstellung von abonnierten Ordnern behoben.
*Bugfix: Fehler in der Erstellung von Prüfberichten bei Usernamen mit Leerstellen behoben.
*Bugfix: Fehler, welcher zu leeren oder unvollständigen Suchergebnissen bei abonnierten Ordnern geführt hat, behoben.
*Bugfix: ''Parse Error'' beim Öffnen von bestimmten E-Mails in der DMS E-Mail-Ansicht behoben.
*Feature: Alle Abonnements können jetzt auf einmal entfernt werden.

<BR>
'''Bitte beachten sie:'''

'''Bevor Sie ein Update durchführen, stellen Sie sicher, das Sie ein aktuelles Backup der Konfiguration erstellt haben.'''

Das Online Update auf die Version 2.3.3 ist ab der Version 2.2.5 möglich. Erfolgt das Update von der Version 2.2.5 werden die Index-Datenbanken der Anwender neu erstellt. Der Vorgang kann, je nach Größe des Archivs, etwas Zeit in Anspruch nehmen.

==Build 2.3.2==
<small>Release Date: 19.02.2015</small>

*Bugfix: Fehler bei der Active Directory Anmeldung, mit Passwörtern die Leerzeichen beinhalten, behoben.
*Feature: Storage-Info Anzeige optimiert und erweitert.
*Feature: Blacklist für E-Mail Adressen die von der UMA nicht archiviert werden sollen.
*Feature: Vereinfachte Suche nach E-Mail Adressen im DMS.
*Feature: Allgemeine Verbesserung der I/O Leistung des Systems.

<BR>
'''Bitte beachten sie:'''

'''Bevor Sie ein Update durchführen, stellen Sie sicher, das Sie ein aktuelles Backup der Konfiguration erstellt haben.'''

Das Online Update auf die Version 2.3.2 ist ab der Version 2.2.5 möglich. Erfolgt das Update von der Version 2.2.5 werden die Index-Datenbanken der Anwender neu erstellt. Der Vorgang kann, je nach Größe des Archivs, etwas Zeit in Anspruch nehmen.

==Build 2.3.1==
<small>Release Date: 29.01.2015</small>

*'''Security Bugfix: Kritisches Problem in der glibc Library behoben ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235 CVE-2015-0235]).'''
*Bugfix: Fehler im LDAP Filter korrigiert.
*Bugfix: Fehler in der Sortierung der Dokumenten-Ansicht beseitigt.
*Bugfix: E-Mail HTML-Ansicht verbessert.

<BR>
'''Bitte beachten sie:'''

'''Bevor Sie ein Update durchführen, stellen Sie sicher, das Sie ein aktuelles Backup der Konfiguration erstellt haben.'''

Das Online Update auf die Version 2.3.1 ist ab der Version 2.2.5 möglich. Erfolgt das Update von der Version 2.2.5 werden die Index-Datenbanken der Anwender neu erstellt. Der Vorgang kann, je nach Größe des Archivs, etwas Zeit in Anspruch nehmen.

==Build 2.3==
<small>Release Date: 22.01.2015</small>

*Feature: Konfigurations-Assistent erweitert um Funktionen zur leichteren Einrichtung.
*Feature: Cockpit des Administrativen-Webinterface überarbeitet.
*Feature: Status Informationen über Backup, Indexer und Importvorgänge sind nun im Administrativen-Webinterface nachvollziehbar.
*Feature: Bei Mailbox-Imports werden immer die Archiv-Regeln berücksichtigt.
*Feature: Import-Vorgänge von mehreren Exchange Postfächern gleichzeitig.
*Feature: USV kann per SNMP oder USB angebunden werden.
*Feature: Zugriff auf das Mailarchiv über Outlook-Plugin (ab Outlook Version 2010).
*Feature: Import von Outlook PST-Dateien mittels Windows PST-Import Tool (ab Outlook Version 2010).
*Feature: Text-Highlighting in der Archiv-Suche verbessert.
*Feature: Dokumenten- und Bilder-Ansicht des Archivs verbessert.
*Feature: Die Archiv-Suche unterstützt nun die Sortierung nach Attributen.
*Feature: Die Archiv-Suche unterstützt Livequerys.
*Feature: Selbst erstellte Zertifikate sind jetzt 10 Jahre gültig.
*Bugfix: Adapter Reset bei Intel E1000 Netzwerkadaptern behoben.
*Bugfix: Probleme in der OpenSSL Library behoben (https://www.openssl.org/news/secadv_20150108.txt).
*Bugfix: Erhöhung des Timeouts bei Festplatten-Zugriffen bei VMWare Installationen.

<BR>
'''Bitte beachten sie:'''

'''Bevor Sie ein Update durchführen, stellen Sie sicher, das Sie ein aktuelles Backup der Konfiguration erstellt haben.'''

Nach dem Update werden die Index-Datenbanken der Anwender neu erstellt. Der Vorgang kann, je nach Größe des Archivs, etwas Zeit in Anspruch nehmen.

Das Online Update auf die Version 2.3 ist ab der Version 2.2.5 möglich.

Folgende unterbrechungsfreie Stromversorgungen werden unterstützt:

[http://www.networkupstools.org/stable-hcl.html?device-type=ups&connection=USB USB Devices] <BR>
[http://www.networkupstools.org/stable-hcl.html?device-type=ups&connection=Network SNMP Devices]

'''Knowing Issue:'''

Beim Massen-Import von einem Microsoft Exchange Server ist zu beachten, das Konten nicht importiert werden können deren MailNickname nicht ASCII codiert sind. Das Gleiche gilt für den sAMAccountName des Superusers, über den der Massen-Import durchgeführt wird. Die UMA liefert darüber einen Fehlerbericht, für welche Konten das zutrifft. Diese Konten müssen einzeln importiert werden.

==Build 2.2.5==
<small>Release Date: 17.11.2014</small>

*Bugfix: Darstellung von HTML E-Mails im WebInterface verbessert.
*Bugfix: Fehlerbehandlung bei der Verarbeitung von PDFs in der Indexierung optimiert.

<BR>
'''Bitte beachten sie:'''

'''Bevor Sie ein Update durchführen, stellen Sie sicher, das Sie ein aktuelles Backup der Konfiguration erstellt haben.'''

Das Online Update auf die Version 2.2.5 ist ab der Version 2.2.0 möglich.

==Build 2.2.4==
<small>Release Date: 24.10.2014</small>

*Bugfix: Behebt ein kritisches Problem im Indexierungs-Prozess das zu fehlerhaften Vorschautexten in den Suchergebnissen führen kann.
*Bugfix: Stabilitätsverbesserungen im Hub-Modus beim Abholen von E-Mails mit falsch ausgelieferten Mail-Headern.
<BR>
'''Bitte beachten sie:'''

'''Bevor Sie ein Update durchführen, stellen Sie sicher, das Sie ein aktuelles Backup der Konfiguration erstellt haben.'''

Nach dem Update werden die Index-Datenbanken der Anwender neu erstellt. Der Vorgang kann, je nach größe des Archives, etwas Zeit in Anspruch nehmen.

Das Online Update auf die Version 2.2.4 ist ab der Version 2.2.0 möglich.

==Build 2.2.3==
<small>Release Date: 06.10.2014</small>

*'''Security Bugfix: Kritische Probleme in der Bash-Shell behoben (CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6271).'''
*Bugfix: Problem beim manuellen Löschen bestimmter E-Mails behoben.
*Bugfix: Fehler bei Erstellung eines Backup-Snapshots korrigiert.
*Bugfix: Fehler in den Proxy-Einstellungen des Admin-WebInterfaces behoben.
*Bugfix: Fehler in der IP Adressen-Validierung des Installation-Wizards korrigiert.
*Bugfix: Problem beim Update der Konfiguration behoben, wenn nur ausgewählte Nutzer archiviert werden sollen, aber keine Nutzer ausgewählt sind.
<BR>
'''Bitte beachten sie:'''

'''Bevor Sie ein Update durchführen, stellen Sie sicher, das Sie ein aktuelles Backup der Konfiguration erstellt haben.'''

Bei der Verwendung von Windows Server 2008 Hyper-V muss nach dem Update der Typ der Netzwerkkarte zu "Legacy" ("Ältere Netzwerkkarte") geändert werden.

Das Online Update auf die Version 2.2.3 ist nur von der Version 2.2.0, 2.2.1 und 2.2.2 direkt möglich.

==Build 2.2.2==
<small>Release Date: 01.09.2014</small>

*Bugfix: E-Mails für unbekannte Empfänger werden aus der Archive-Queue gelöscht.
*Feature: LTA Performance Verbesserungen (Garbage Collector and HEAP Einstellungen).
*Feature: Aktuelle Hyper-V Treiber implementiert (Unterstützung ab Windows Server 2008 R2)
*Feature: Integration der LIS (Linux Integration Services) für Hyper-V.
<br>
'''Bitte beachten sie:'''

'''Bevor Sie ein Update durchführen, stellen Sie sicher, das Sie ein aktuelles Backup der Konfiguration erstellt haben.'''

Bei der Verwendung von Windows Server 2008 Hyper-V muss nach dem Update der Typ der Netzwerkkarte zu "Legacy" ("Ältere Netzwerkkarte") geändert werden.

Das Online Update auf die Version 2.2.2 ist nur von der Version 2.2.0 oder 2.2.1 möglich.

==Build 2.2.1==
<small>Release Date: 22.05.2014</small>

*Bugfix: Problem bei Exchange Nutzern, die sich eine E-Mail Adresse teilen, behoben.
*Bugfix: Das Caching des Browsers wird nun verhindert.
*Bugfix: Problem bei bestimmten Zeichen in AD/LDAP Credentials behoben.
*Bugfix: Beim Importieren von E-Mails werden Fehler durch Exchange Kalender-Mails nun besser behandelt.
*Bugfix: Beschädigte Index-Datenbanken werden nun automatisch erkannt und neu erstellt.
<br />
'''Bitte beachten sie:'''

'''Bevor Sie ein Update durchführen, stellen Sie sicher, das Sie ein aktuelles Backup der Konfiguration erstellt haben.'''

Das Online-Update auf die Version 2.2.1 ist nur von Version 2.2.0 möglich. Falls Sie noch eine Version 1.0.4.2 oder 2.0.0 verwenden und online aktualisieren möchten, müssen sie vorher das Update auf Version 2.2.0 einspielen.

==Build 2.2.0==
<small>Release Date: 16.04.2014</small>

*'''Security Bugfix''': Kritisches Problem in der OpenSSL Library behoben (https://www.openssl.org/news/secadv_20140407.txt).

*Feature: Das Löschen von E-Mails wird nun unterstützt.
*Feature: Neuer Installationswizard bei Ersteinrichtung.
*Feature: Laufende Prozesse (Mailbox Import/Backup/Restore) werden nun bei neuerlichen Login, neu angezeigt.
*Feature: Neue Debug-Option beim Importieren von E-Mails und beim Hub-Modus
*Feature: Design des UserInterfaces angepasst.
*Bugfix: Fehler beim Import von Benutzernamen mit Umlauten behoben.
*Bugfix: Fehler im Datumsregler des UserInterfaces behoben.
*Bugfix: Parse Error Fehler im UserInterface bei E-Mails mit Steuerzeichen im Header behoben.
<br>
'''Bitte beachten sie:'''

'''Bevor Sie ein Update durchführen, stellen Sie sicher, das Sie ein aktuelles Backup der Konfiguration erstellt haben.'''

Das Online-Update auf die Version 2.2.0 ist nur von Version 2.1.5 möglich. Falls Sie noch eine Version 1.0.4.2 oder 2.0.0 verwenden und online aktualisieren möchten, müssen sie vorher das Update auf Version 2.1.5 einspielen.

Aufgrund von Änderungen des Indexer wird beim Einloggen im UserInterface automatisch die Datenbank neu indexiert.

==Build 2.1.5==
<small>Release Date: 10.12.2013</small>

*Bugfix: Übersetzungsfehler in der Update Funktion behoben.
*Bugfix: Fehler in der Firmware-Update-Funktion behoben.
*Bugfix: Problem im OCR Modul bei technischen Zeichnungen behoben.
<br>
'''Bitte beachten sie''':

Das sie beim Update aus der Version 2.1.4 die Funktion „Dryrun“ im Update Dialog benutzen müssen, um das Update durchzuführen.
Das Online-Update auf die Version 2.1.5 ist nur von Version 2.1.0 möglich. Falls Sie noch eine Version 1.0.4.2 oder 2.0.0 verwenden und online aktualisieren möchten, müssen sie vorher das Update auf Version 2.1.0 einspielen.

==Build 2.1.4==
<small>Release Date: 28.11.2013</small>

*Bugfix: Fehler beim Bearbeiten von .tif Dateien im Indexer behoben.
*Bugfix: Im Union FS Layer wurden versteckte Dateien nicht vollständig gelöscht.
<br>
'''Bitte beachten Sie''':

Das Online-Update auf die Version 2.1.4 ist nur von Version 2.1.0 möglich. Falls Sie noch eine Version 1.0.4.2 oder 2.0.0 verwenden und online aktualisieren möchten, müssen sie vorher das Update auf Version 2.1.0 einspielen.

==Build 2.1.3==
<small>Release Date: 30.10.2013</small>
*Feature: Storage/Raid: neuer Dialog, der den Status des Raids anzeigt.
*Feature: Neue Statusanzeige beim Import von Mailboxen.
*Feature: Das System kann in VMs jetzt auch mit nur einer Netzwerkschnittstelle betrieben werden.
*Feature: Verbesserung der Performance beim Backup auf Windows Shares.
*Bugfix: E-Mail Konten von Benutzern die nicht mehr im AD sind können mit dem Master User wieder eingesehen werden.
*Bugfix: Kleinere iSCSI Probleme behoben.
*Bugfix: In seltenen Fällen kam es vor, das kein Verschlüsselungs-Key für das Backup erzeugt wurde.
*Bugfix: Im User-Interface wurde die selbe E-Mail unter Umständen mehrmals angezeigt.
*Bugfix: Im User-Interface wurde ein Bug in der Kategorien-Suche behoben.
*Bugfix: Im User-Interface wurde ein Bug im Datumsregler behoben.
<br>
'''Bitte beachten Sie''':

Das Online-Update auf die Version 2.1.3 ist nur von Version 2.1.0 möglich. Falls Sie noch eine Version 1.0.4.2 oder 2.0.0 verwenden und online aktualisieren möchten, müssen sie vorher das Update auf Version 2.1.0 einspielen.

== Build 2.1.2 ==
<small>Release Date: 10.09.2013</small>
*Bugfix: Kommunikationsproblem mit langsamen IMAP-Verbindungen beim Mail-Import behoben.
*Feature: Die Index Datenbanken werden nun nicht mehr gesichert. Die Backups werden dadurch deutlich kleiner. Die Datenbank werden nach einer durchgeführten Wiederherstellung neuerstellt.
*Feature: IO-Performance bei der Durchführung einer Sicherung verbessert und Prioritäten eingeführt.
<br>
'''Bitte beachten Sie''':

Das Online-Update auf die Version 2.1.2 ist nur von Version 2.1.0 möglich. Falls Sie noch eine Version 1.0.4.2 oder 2.0.0 verwenden und online aktualisieren möchten, müssen sie vorher das Update auf Version 2.1.0 einspielen.

== Build 2.1.1 ==
<small>Release Date: 19.08.2013</small>

*Bugfix: Problem beim Hochladen von von .eml Dateien über das UserInterface behoben.
*Bugfix: Problem beim Bearbeiten von Kategorien im UserInterface behoben.
*Bugfix: Problem beim Indexieren von bestimmten Microsoft xls Dateien behoben.
*Feature: In der Backup Ansicht wird nun die Größe und der verfügbare Platz einen iSCSI Devices angezeigt.
<br>
'''Bitte beachten Sie''':

Das Online-Update auf die Version 2.1.1 ist nur von Version 2.1.0 möglich. Falls Sie noch eine Version 1.0.4.2 oder 2.0.0 verwenden und online aktualisieren möchten, müssen sie vorher das Update auf Version 2.1.0 einspielen.

== Build 2.1.0 ==
<small>Release Date: 22.07.2013</small>
*Bugfix: Mögliche Probleme des LTA, die zur erhöhter CPU Last führen, behoben.
*Bugfix: Verarbeitungsprobleme des LTA bei Attachments mit Leerzeichen im Datei-Namen behoben.
*Bugfix: Anzeige-Fehler in der Admin-UI nach Reboot/Update in der Statusanzeige des Storage behoben.
*Bugfix: Mögliche Probleme beim Indexieren von Excel Dokumenten behoben.
*Feature: Der Reindex Dialog in der Admin-UI zeigt nun, ob eine Mailbox bereits indexiert wurde und ermöglicht eine initiale Indexierung.
*Feature: Behandlung von PDF Dokumenten verbessert.
*Feature: Behandlung von fehlerhaften HTML Dokumenten verbessert.
*Feature: Kernel: IO Leistung weiter verbessert.
<br>
'''Bitte beachten Sie''':

Das Online-Update auf die Version 2.1.0 ist nur von Version 2.0.1 oder 2.0.2 möglich. Falls Sie noch eine Version 1.0.4.2 oder 2.0.0 verwenden und online aktualisieren möchten, müssen sie vorher das Update auf Version 2.0.1 einspielen.

== Build 2.0.2 ==

*Bugfix: Backup: Fehler im Bearbeiten von Backup Jobs behoben.
*Bugfix: UserInterface: Vier-Augen-Prinzip, Darstellungsfehler bei langen Usernamen behoben.
*Bugfix: UserInterface: Login Problem bei IE10 im Kompatibilitäts-Modus behoben.
*Bugfix: Server: Shared Folders wurden nicht indexiert.
*Feature: UserInterface: Prüfbericht nun auch in deutsch.
*Feature: UserInterface: Performance in der Darstellung verbessert.
*Feature: Kernel: IO Leistung verbessert.
*Feature: Backup via cifs signed und unsigned.
<br>
'''Bitte beachten Sie''':

Das Online-Update ist nur möglich von 2.0.1 auf 2.0.2. Falls Sie noch eine Version 1.0.4.2 oder 2.0.0 verwenden und online aktualisieren möchten, müssen sie vorher das Update auf Version 2.0.1 einspielen.

==Build 1.0.4.2==
*Feature: SMTP Server: Im transparenten Modus besteht nun die Möglichkeit eine SMTP Authentifizierung durchzuführen.
*Bugfix: Server: Mailbox Import: Das Synchronisieren von Mailboxen mit Ordner-Bezeichnungen die Umlaute enthalten ist nun möglich.
*Bugfix: Backup: Unter bestimmten Umständen konnte das Backup nicht korrekt beendet werden. Dies führte dazu, dass kein weiteres Backup durchgeführt werden konnte.
<br>
'''Bitte beachten Sie''':

Ein Update von Version 1.0.0 bis Version 1.0.3.3 direkt auf die Version 1.0.4.2 ist nicht möglich über das Online Update . Nur von der Version 1.0.4 und 1.0.4.1 kann das Online Update direkt durchgeführt werden.

==Build 1.0.4.1==

*Bugfix: Server: Bestimmte Netzwerkmasken in der Netzwerkeinstellung nicht konfigurierbar.
*Bugfix: Server: Benutzer Verwaltung LDAP, Problem mit Groß-/Kleinschreibung bei Benutzernamen behoben.
<br>
'''Bitte beachten Sie''':

Ein Update von Version 1.0.0 bis Version 1.0.2.2 direkt auf die Version 1.0.4.1 ist nicht möglich über das Online Update . Es wird dann erst auf Version 1.0.3 aktualisiert und von dieser Version kann dann auf Version 1.0.4.1 aktualisiert werden.

==Build 1.0.4==
*Feature: Mailbox Import: E-Mails und die Ordner-Struktur kann aus bestehenden Postfächern importiert werden.
*Feature: Benutzer Verwaltung: Es können nun andere LDAP-Server(z.B. OpenLDAP) für die Benutzer-Verwaltung verwendet werden.
*Feature: Monitorig: Es ist nun möglich Systeminformationen per SNMP abzufragen.
*Feature: Indexer: Eingescannte Dokumente (PDF, TIF) werden nun volltextindiziert.
*Bugfix: Benutzer Verwaltung: Im Konfiguration-Export ist nun auch das lokale Benutzer-Verzeichnis enthalten.
<br>
'''Bitte beachten Sie''':

Ein Update von Version 1.0.0 bis Version 1.0.2.2 direkt auf die Version 1.0.4 ist nicht möglich über das Online Update . Es wird dann erst auf Version 1.0.3 aktualisiert und von dieser Version kann dann auf Version 1.0.4 aktualisiert werden.

==Build 1.0.3.3==

*Bugfix: Archiv-Regelwerk: Das Archiv-Regelwerk wurde nicht in der korrekten Reihenfolge verarbeitet.

==Build 1.0.3.2==

*Bugfix: Fetchmail: Problem bei Abruf von mehreren POP3-Konten innerhalb der gleichen Domain behoben.
*Bugfix: IMAP Server: Login-Problematik bei Benutzernamen mit Leerzeichen und @-Zeichen behoben
*Bugfix: IMAP Server: Es können nun nur noch E-Mails innerhalb des Archives kopiert werden.

==Build 1.0.3.1==

*Feature: Server: Export der lokalen User Datenbank als CSV
*Bugfix: Webmailer: Unter bestimmten Umständen, war die Anmeldung am Webmailer nicht mehr möglich.
*Bugfix: Admin UI: Problem bei Importvorgang von bestimmten Zertifikaten behoben.
*Bugfix: Fetchmail: Problem mit Rautezeichen in Username und Passwort behoben
*Bugfix: Status Report: Die Anzahl der bereits verwendeten Postfächer war nicht korrekt.
*Bugfix: Server: Problem mit Aktualisierung der Graphen im Admin UI behoben.
<br>
'''Bitte beachten Sie''':

Bei dem Update werden die Graphen(Netzwerk-, CPU-, Speicher-Auslastung und Entropie) im Admin UI erneuert.

==Build 1.0.3==

*Feature: Server: Abonnieren von Shared Folders.<br />
*Feature: Server: Manuelle Auswahl der zu archivierenden Accounts.<br />
*Feature: Server: Archivierung ohne Active Directory, mit lokaler Userdatenbank.<br />
*Bugfix: Server: Verbesserte XEN Unterstützung.<br />
<br>
'''Bitte beachten Sie''':

Ein Update von Version 1.0.0 bis Version 1.0.2 direkt auf die Version 1.0.3
ist nicht möglich über das Online Update . Es wird dann erst auf Version 1.0.2.2
aktualisiert und von dieser Version kann dann auf Version 1.0.3 aktualisiert
werden.

==Build 1.0.2.2==

*Bugfix: Server: ADS join Problem nach Neustart behoben.<br>
*Bugfix: Server: Anmeldung am AD mit bestimmtem Sonderzeichen im Passwort behoben.<br>
*Bugfix: Admin UI: Layout für Chrome Browser angepasst.<br>
*Bugfix: IMAP: Mit E-Mail Client erstellte Folder können nicht gelöscht werden.<br>
*Bugfix: SMTP: SMTP Server akzeptiert nur CRLF im Body behoben. <br>
<br>
'''Bitte beachten Sie:'''<br>
Nachdem erfolgreich ausgeführten Update, ist es nötig das UMA erneut manuell in die Domain zu joinen. <br>

==Build 1.0.2.1==

Bugfix: LZA: Bereinigt Problem mit temporären Dateien die vom Langzeitarchiv erzeugt werden.

==Build 1.0.2==

*Feature: Admin UI: Im Hub Modus können mehrer Domains einem Account zugeordnet werden<br>
*Feature: Admin UI: Im Hub Modus kann nun die maximale Größe einer E-Mail definiert werden<br>
*Feature: Admin UI: Einstellung eines Smarthosts auch im Hub Modus möglich<br>
*Feature: Admin UI: Manuelles online Update nun möglich<br>
*Feature: Admin UI: Deaktivieren vom Anwender erstellten Archiv-Regeln<br>
*Feature: Webmailer: Erweiterung des Prüfberichts und Überarbeitung der Meldungen aus dem LTA<br>
*Feature: Webmailer: Anzeige des Mailbox-Namens im Auditor Mode<br>
*Feature: Webserver: Automatische Umleitung bei Angabe des falschen Protokolls<br>
*Feature: VMWare ESX Server und VirtualBox Unterstützung (ISO Image)<br>
*Feature: Logging: Meldungen Backup/Restore im Log erweitert<br>

*Bugfix: Webmailer: Prüfbericht konnte im LTA Folder Forever nicht angezeigt werden <br>

==Build 1.0.1.1==

*Bugfix: Webmailer: Datumssortierung korrigiert<br>
*Bugfix: Admin UI: Archivregeln mit Größenangaben korrigiert

==Build 1.0.1==

*Feature: Webmailer: Auditor Zugriff wird nun angezeigt<br>
*Feature: Admin UI: Lizenz-Status wird angezeigt<br>
*Feature: LTA: Optimierungen beim ablegen von E-Mails in das Langzeit-Archiv<br>
*Feature: ADS/LDAP: Communication Security hinzugefügt<br>
*Feature: OS: Aktualisierung der Konsole. Tastaturlayout einstellbar.<br>

*Bugfix: Admin UI: Progressbar beim Backup auf USB Speicher korrigiert<br>
*Bugfix: Admin UI: Progressbar beim Restore von USB Speicher korrigiert<br>
*Bugfix: OS: Systemzeit in Hardware Clock speichern<br>
<br>
Nach dem Update muss man sich wieder auf das WebInterface für die Administration
einloggen. Die erfolgreiche Installation des Images muss der Administrator
bestätigen. Nach der Bestätigung wird das System noch einmal neu starten.