Mailsecurity/FAQ: Unterschied zwischen den Versionen

Securepoint Mail Security bietet (zusätzlich zu einer UTM) ATP, S/MIME, DDOsS-Schutz, Post-Incident-Management, Advanced URL-Defence und eine umfassende Viren-Analyse in .exe oder .zip-Dateien.

Die Abkürzung steht für Advanced Persistent Threat (APT) bzw. Advanced Threat Protection (ATP). Dabei handelt es sich um eine Sandbox-Umgebung, die für zusätzliche Tests der Dateien verwendet wird, die von Securepoint zunächst nicht als Virus eingestuft werden. Die Dateien werden ausgeführt und das Verhalten wird von der ATP analysiert, je nach diesem Verhalten können die Dateien dann als Virus erkannt werden. Dies bietet zusätzlichen Schutz vor neuen, unbekannten Viren oder Malware.

Ja, die Infrastruktur von Securepoint Mail Security ist auf eine große Anzahl Mails eingestellt und kann so einem DDoS-Angriff besser standhalten.

Wird eine bereits zugestellte E-Mail oder deren Anhang innerhalb von 7 Tagen nachträglich als gefährlich erkannt, so erhalten der Absender eine Benachrichtigung.

Links in einer E-Mail werden bereits vor dem Zustellen der E-Mail überprüft. Sollte die Adresse als gefährlich erkannt werden, wird der Zugriff darauf . Zusätzlich werden Links in den E-Mails durch eine Umleitung über unsere Mail Security-Server ersetzt (rewrite). So wird auch bei späteren Aufrufen geprüft, ob diese inzwischen als nicht mehr sicher gelten.

Aus www.anyideas.de wird dann z.B. https://cloud.mymailwall.com/m/www.anyideas.de
So bleibt die ursprüngliche Adresse weiterhin erkennbar.

Die Erkennung erfolgt anhand der Struktur der Datei. MIME-Type oder Dateiendung spielen hierbei keine Rolle.
Zip-Dateien werden entpackt und die enthaltenen Dateien einzeln überprüft.
Bei Kennwortgeschützten Dateien wird versucht das Kennwort anhand bekannter Kennwortlisten bzw. anhand der Wörter oder Wortkombinationen aus der E-Mail zu erraten. (Phishing-Mails enthalten oft einen kennwortgeschützten Anhang um der Virenerkennung zu entgehen. Damit der Anwender trotzdem den Anhang mit dem Virus öffnen kann, wird das Kennwort dann aber im Klartext in der E-Mail mitgeteilt.)

Um die Securepoint mail.security zu nutzen, müssen Sie den MX-Eintrag Ihrer E-Mail-Domain auf mx.mymailwall.com ändern und die Server-IP (oder den DNS-Namen) Ihrer E-Mail-Domain an Securepoint übermitteln, um die Weiterleitung abzuschließen.

Änderungen werden in der Regel innerhalb von fünf Minuten wirksam.

Domains, die über Securepoint Mail Security versenden, werden daraufhin überprüft, ob sie einen SPF-Eintrag haben und wenn ja, ob dieser folgendes enthält: mymailwall.com.

Ein SPF-Eintrag legt fest, welche Server unter Verwendung der Namen der Domänen senden dürfen. Dies verhindert den Missbrauch der Domäne, indem E-Mails von Absendern, die nicht im DNS-Eintrag enthalten sind, nicht akzeptiert werden.

Wenn eine E-Mail aufgrund von SPF abgelehnt wird, wird sie zunächst nicht akzeptiert. In diesem Fall muss ein SPF-Allowlist-Eintrag für die Domain vorgenommen werden. Danach muss die E-Mail vom Absender erneut versendet werden.

Wenn Securepoint Mail Security eine Nachricht greylistet, antwortet es dem sendenden Mailserver mit einer temporären Ablehnungsnachricht, die den Absender veranlasst, es erneut zu versuchen. Bei einem erneuten Versuch, eine E-Mail mit der gleichen Datenkombination zu versenden, wird diese E-Mail akzeptiert. Ob und wann ein weiterer Versuch unternommen wird, hängt allein vom Absender ab.

Ja, Sie können einen zweiten Zielserver eingeben, der als Backup genutzt werden soll.

Outlook fordert einen DSN direkt vom empfangenden Mailserver an.
Bei Verwendung der Securepoint Mail Security fungieren wir jedoch als SMTP-Relay vor dem Zielserver. Die DSN-Anfrage von Outlook erreicht den endgültigen Mailserver nicht in ihrer ursprünglichen Form.
Der Zielserver generiert daher keine Zustellungsbestätigung.

Securepoint Mail Security generiert solche Berichte ebenfalls nicht, da wir nicht der endgültige Empfänger sind.

Das bedeutet, dass die E-Mails vollständig zugestellt und korrekt verarbeitet werden, aber der Mechanismus der „Zustellungsbestätigung” über ein Mail-Security-Gateway nicht funktionieren kann.
Dieses Verhalten ist bei vorgeschalteten Relays normal.

Die Spam-Filter bestimmen die Parameter, innerhalb derer eine E-Mail als möglicher Spam oder Spam erkannt wird. Die Standardeinstellungen sind die von uns empfohlenen. Sie sollten zunächst getestet und erst dann geändert werden, wenn Sie sich über die erforderlichen Einstellungen sicher sind.

Unsere Standardeinstellung kennzeichnet E-Mails als Spam und/oder möglichen Spam. Dadurch wird sichergestellt, dass neue Kunden ihre Einstellungen überprüfen und gegebenenfalls anpassen können, ohne sich Sorgen zu machen, dass sie eine E-Mail verpassen könnten.

Der Virenfilter kann so eingestellt werden, dass er festlegt, was mit einer E-Mail, die einen Virus enthält, geschehen soll.

Bei der Standardeinstellung wird der Virus aus der E-Mail entfernt, während andere Anhänge und die E-Mail selbst weiterhin zugestellt werden.

Es ist zu beachten, dass die E-Mail in diesem Fall nicht mehr auf Spam geprüft wird, da eine E-Mail mit einem Virus immer als Spam eingestuft wird.

Wenn dies nicht mehr geschehen soll kann dies in dem Mail Security Portal unter mail.security Eingehend Bereich Einstellungen → Virus Filter Option Aktion bei infizierter E-Mail eingestellt werden

Damit werden alle ausführbaren Dateien in E-Mail-Anhängen als Virus identifiziert.

Wenn sie direkt angehängt sind, wird nicht nur die Dateierweiterung überprüft, sondern die Datei wird analysiert, so dass auch umbenannte Dateien erkannt werden.

Wenn Dateien in einem passwortgeschützten Archiv enthalten sind, werden sie nur anhand ihrer Dateierweiterung erkannt.

Jeder von Securepoint Mail Security erkannte Virus wird an diese Mailbox gesendet, wenn das Programm entsprechend konfiguriert ist. Die Virendatei wird in ein passwortgeschütztes Archiv gesendet, wobei das Passwort in der E-Mail angegeben wird. Die Virendatei wird außerdem so verändert, dass sie nicht ungewollt ausgeführt werden kann.

Dies kann mehrere Fehlerquellen haben. Am sinnvollsten ist es deshalb die Logmeldungen zu überprüfen.

Über die Schnittstelle zum Zugriff auf die Protokolldatei können Sie nach jeder vom Securepoint Mail Security-System angenommenen E-Mail suchen.

Wenn eine E-Mail empfangen wurde, finden Sie den Status der E-Mail. Die folgenden Statuswerte sind verfügbar:

• Zugestellt: E-Mail wurde an den nächsten Server gesendet
• Zustellungsfehler: die Zustellung an den Zielserver ist fehlgeschlagen
• In der Warteschlange: die Übermittlung an den nächsten Server steht noch aus
• Abgelehnt: die E-Mail wurde aufgrund von Spam / Virus / Anhang abgelehnt.

E-Mails können direkt aus der Protokolldatei erneut versendet werden.

Darüber hinaus gibt es immer noch E-Mails, die bereits vom System abgelehnt werden. Das passiert, wenn die Domäne des Absenders nicht durch SPF (sender policy framework) autorisiert ist.

S/MIME dient als Add-on zu Securepoint mail.security und kann daher nicht separat erworben werden.

S/MIME-Zertifikate können nur für Domänen angefordert werden, deren MX-Eintrag auf mx.mymailwall.com zeigt und die in einer eingehenden Route angelegt sind.

Es werden ausschließlich E-Mails mit einem S/MIME Zertifikat versehen, die über Securepoint Mail Security/mymailwall verschickt werden.

Unter dem Menüpunkt mail.security > S/MIME finden Sie eine Auflistung Ihrer Mailboxen. Hier können Sie eine, mehrere oder alle Mailboxen aktivieren. Das Signieren und Verschlüsseln erfolgt dann automatisch nach den von Ihnen festgelegten Regeln beim Versand der E-Mails über Securepoint Mail Security/mymailwall.

Die Mailboxen müssen in einer eingehenden Route als bekannte Mailbox angelegt sein. Mailboxen, die in einer Wildcard-Route erfasst sind, werden nicht angezeigt.

Die Lizenz wird, analog zu Securepoint Mail Security, Domain-übergreifend erworben und kann daher für beliebig viele Domains eingesetzt werden.

Wenden Sie sich bitte an den Securepoint Support.

Das Herunterladen von S/MIME-Zertifikaten ist aus Sicherheitsgründen technisch nicht vorgehsehen.

Sie können im Rahmen Ihrer bestehenden Lizenz beliebig viele bestehende (Drittanbieter-) Zertifikate hochladen, die dann wie Seucrepoint S/MIME-Zertifikate verwaltet und verwendet werden. Bitte beachten Sie dabei, dass auch diese als Lizenz zählen und somit Ihr freies Kontingent verringern.

Hierbei handelt es sich um Mailboxen, die deaktiviert wurden. Dieser Status bleibt bis zu 14 Tagen aufrecht, bis der Status zu „Inactive“ (EN) / „Inaktiv“ (DE) übergeht und die Lizenz wieder frei wird.

Nein. Die S/MIME-Lizenz kann kleiner oder gleich der Seurepoint mail.security-Lizenz sein.

Securepoint S/MIME-Lizenzen erhalten automatisch dieselbe Gültigkeitsdauer wie Ihre bestehende Securepoint Mail Security-Lizenz. Technisch handelt es sich um 1-Jahres-Zertifikate, die jedoch automatisch und ohne Mehrkosten (im Rahmen der bestehenden Lizenz) verlängert werden.

Die S/MIME-Zertifikate werden von der europäischen Zertifizierungsstelle Certum ausgestellt. Certum ist in der Adobe Approved Trust List (AATL), einer exklusiven Liste vertrauenswürdiger Aussteller von Zertifikaten, enthalten.

Die E-Mail-Verschlüsselung ist Teil von Seurepoint S/MIME und im Preis der Seurepoint S/MIME Lizenzen inbegriffen. Seurepoint S/MIME kann von allen Seurepoint mail.security-Usern bezogen werden.

Die Verschlüsselung kann auf alle mit Seurepoint mail.security verwalteten Mailboxen mit einem aktiven Seurepoint S/MIME Zertifikat angewendet werden. Bitte beachten Sie, dass bei erzwungener Verschlüsselung für ausgehende E-Mails (Outbound) Mailboxen ohne gültiges Seurepoint S/MIME Zertifikat, die von dieser Regel betroffen sind, nicht versenden können! Die optionale Entschlüsselung wird auch auf Mailboxen ohne Seurepoint S/MIME Zertifikat angewendet.

Voraussetzung für die Verschlüsselung von E-Mails ist ein aktives Zertifikat und der öffentliche Schlüssel des Empfängers. Über ein unverschlüsseltes, aber signiertes E-Mail werden die Schlüssel automatisch ausgetauscht und gespeichert.

Voraussetzung für alle Regelvarianten für eingehende E-Mails (Inbound) ist ein vorhandenes Zertifikat für die empfangende Mailbox. Die optionale Entschlüsselung wird auch auf Mailboxen ohne Securepoint S/MIME Zertifikat angewendet.

Ja, auch S/MIME-Zertifikate, die nicht via Securepoint bezogen wurden, können in Securepoint Mail Security verwaltet werden. Sie können unter dem Menüpunkt S/MIME im Securepoint Portal hochgeladen werden. Sie verfügen über die gleiche Funktionalität wie Securepoint S/MIME-Zertifikate und werden Ihrem Securepoint-Lizenzkontingent angerechnet.

Alle User des Securepoint-Portals mit Schreibberechtigung können Regeln erstellen oder ändern.

Es kann bis zu 10 Minuten nach Erstellung/Änderung einer Regel dauern, bis diese beim Senden/Empfangen berücksichtigt wird.

Welche E-Mails verschlüsselt, entschlüsselt oder signiert wurden, kann in der E-Mail-Übersicht unter dem Menüpunkt Securepoint Mail Security eingesehen werden. Dabei kann auch nach dem Status gefiltert werden.

S/MIME nutzt die asymmetrische Verschlüsselung. Dabei wird der öffentliche Schlüssel des Empfängers verwendet, um Inhalte zu verschlüsseln, die nur mit dem privaten Schlüssel wieder entschlüsselt werden können.

Die öffentlichen Schlüssel, die für die Verschlüsselung benötigt werden, können über ein unverschlüsseltes, signiertes E-Mail ausgetauscht werden. Securepoint Mail Security extrahiert und speichert den Schlüssel automatisch.

ATP steht für Advanced Threat Protection und bezieht sich auf einen Ansatz in der Informationssicherheit, der sich auf die Erkennung und Abwehr fortgeschrittener Bedrohungen und Angriffe konzentriert, die entwickelt wurden, um klassische Sicherheitsmaßnahmen wie Malware-Scanner und Firewalls zu umgehen.

Zusätzlich zu den Analysenverfahren der Malware Scan Engine nach Signaturen, Inhalten und Verhalten nutzt Securepoint Mail Security mit ATP die signaturlosen Methoden und Sandboxes verschiedener führender Sandboxing-Anbieter. Alle Arten von Attachements werden gezielt auf versteckte Angriffe untersucht und testweise in Verbindung mit verschiedenen Kombinationen von Betriebssystemen und Anwendungen, darunter verschiedene Webbrowser und Plug-ins wie Adobe Reader oder Flash, ausgeführt. So können auch Angriffe, die dafür entwickelt wurden, klassische Sicherheitslösungen zu umgehen, erkannt werden.

Es werden nur jene Daten, bei denen die Malware Scan Engine zu keinem verlässlichen Schluss kommt, weitergeleitet und parallel erneut analysiert – diese liegen im Promillebereich des gesamten Datenvolumens. In der Regel laufen die Analysen daher gewohnt schnell und sind zeitlich kaum spürbar. Je nach Umfang der ATP-Analyse kann es jedoch bei einzelnen Elementen zu Bearbeitungszeiten von bis zu zehn Minuten kommen.

Angezeigt werden die Daten, die bei der ATP-Analyse als Bedrohung erkannt wurden. Sie scheinen in der E-Mail-Suche mit der Kennzeichnung „Infiziert (ATP)“ auf.

Die Sandboxes unserer Technologiepartner sind im deutschsprachigem Raum installiert. Dadurch bleiben alle Daten – gesendet werden nur Meta-Daten, Anhänge oder Scripts – in der EU.

Es gelten die europäischen und deutschen Datenschutzgesetze (EU-DSGVO).

Die Sandboxes selbst holen zwar laufend Updates ihrer Hersteller, sind aber so abgeschottet, daß sie selbst keine Verbindung nach außen herstellen können.