KKeine Bearbeitungszusammenfassung |
|||
(26 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
Zeile 2: | Zeile 2: | ||
<p>'''Dieser Artikel ist ein Best Practice zum Thema Mail-Security. Dies sind Einstellungen, die von uns empfohlen werden.</p><p>{{ r | ''Ohne Gewähr auf Vollständigkeit !''}}</p>''' | <p>'''Dieser Artikel ist ein Best Practice zum Thema Mail-Security. Dies sind Einstellungen, die von uns empfohlen werden.</p><p>{{ r | ''Ohne Gewähr auf Vollständigkeit !''}}</p>''' | ||
<p>Letzte Anpassung zur Version: '''11.8'''< | {{Archivhinweis | Neu/UTM/APP/Mailrelay-Best_Practice}} | ||
Allgemeine Anpassung an die aktuelle Version. Berücksichtigung | |||
Vorherige Version: [[UTM/APP/Mailrelay- | <p>Letzte Anpassung zur Version: '''11.8'''</p> | ||
<p>Allgemeine Anpassung an die aktuelle Version. {{ Hinweis | Neue Funktion in 11.8 | 11.8 }} Berücksichtigung z.B. der Funktion Mail-Filter Zeitschloss<br>Ergänzung der MIME-Typen für OpenOffice / LibreOffice-Dokumente</p> | |||
<p>Vorherige Version: [[UTM/APP/Mailrelay-Best_Practice | '''11.7''']]</p> | |||
<br> | <br> | ||
Zeile 16: | Zeile 18: | ||
Um Benachrichtigungen im Fehlerfall zu erhalten, muss unter {{Menu | Netzwerk | Servereinstellungen}} {{Kasten|Firewall}} {{Beschriftung |Globale E-Mail Adresse}} eine gültige Postmaster Adresse eingetragen werden. | Um Benachrichtigungen im Fehlerfall zu erhalten, muss unter {{Menu | Netzwerk | Servereinstellungen}} {{Kasten|Firewall}} {{Beschriftung |Globale E-Mail Adresse}} eine gültige Postmaster Adresse eingetragen werden. | ||
{{h3 | Mailrelay | {{Menu | Mailrelay | n}} }}<br><br> | {{h3 | Mailrelay | {{Menu | Mailrelay |n}} }}<br><br> | ||
<p>Unter {{Menu| Anwendungen | Mailrelay}} ist die Konfiguration so einzustellen, dass nur E-Mails an die Empfänger-Adresse angenommen werden. </p> | <p>Unter {{Menu| Anwendungen | Mailrelay}} ist die Konfiguration so einzustellen, dass nur E-Mails an die Empfänger-Adresse angenommen werden. </p> | ||
<br> | <br> | ||
===={{Reiter|Relaying}}==== | ===={{Reiter|Relaying}}==== | ||
Zeile 25: | Zeile 28: | ||
{{pt |UTM_11-8_Mailrelay_Relaying_Domain_hinzufügen.png | hochkant=1}}Konfigurieren mit {{Button |+ Domain / Host hinzufügen}} | {{pt |UTM_11-8_Mailrelay_Relaying_Domain_hinzufügen.png | hochkant=1}}Konfigurieren mit {{Button |+ Domain / Host hinzufügen}} | ||
{{td |{{Beschriftung|Domain:}} |<code> | {{td |{{Beschriftung|Domain:}} |<code>anyideas.de</code> | w=100px | m=1px }} | ||
{{td |{{Beschriftung|Option:}} |{{MenuD |To}} | w=100px }} | {{td |{{Beschriftung|Option:}} |{{MenuD |To}} | w=100px }} | ||
{{td |{{Beschriftung|Aktion:}} |{{MenuD |Relay}} | w=100px }} | {{td |{{Beschriftung|Aktion:}} |{{MenuD |Relay}} | w=100px }} | ||
Zeile 43: | Zeile 46: | ||
<br> | <br> | ||
===={{Reiter|SMTP Routen}}==== | ===={{Reiter|SMTP Routen}}==== | ||
{{Hinweis| Der Mailserver sollte Mails an Adressen ohne Postfach während des SMTP-Dialogs ablehnen.}} | {{Hinweis | Der Mailserver sollte Mails an Adressen ohne Postfach während des SMTP-Dialogs ablehnen. | gelb}} | ||
Abschnitt: {{Kasten|Einstellungen}} | Abschnitt: {{Kasten|Einstellungen}} | ||
Zeile 50: | Zeile 54: | ||
{{ td | {{Beschriftung| E-Mail-Adresse überprüfen: }} | Es stehen folgende {{MenuD|Werte}} zur Verfügung:<br> | {{ td | {{Beschriftung| E-Mail-Adresse überprüfen: }} | Es stehen folgende {{MenuD|Werte}} zur Verfügung:<br> | ||
*{{ td | {{MenuD|SMTP}} | Die Securepoint Appliance fragt im Hintergrund den internen Mailserver ab.<br>{{Hinweis|Hinweis:}} Die Validierung muss ebenso am Mailserver aktiv sein! (Recipient Verification z.B. bei einem Exchange) | w=100px }} | *{{ td | {{MenuD|SMTP}} | Die Securepoint Appliance fragt im Hintergrund den internen Mailserver ab.<br>{{Hinweis|Hinweis: | gelb}} Die Validierung muss ebenso am Mailserver aktiv sein! (Recipient Verification z.B. bei einem Exchange-Server) | w=100px }} | ||
*{{ td | {{MenuD | LDAP}} | Die Securepoint Appliance fragt beispielsweise den Active Directory-Server ab.<br>Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter [[UTM/AUTH/AD_Anbindung|{{Menu | Authentifizierung | AD/LDAP Authentifzierung}}]] konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten. | w=100px }} | *{{ td | {{MenuD | LDAP}} | Die Securepoint Appliance fragt beispielsweise den Active Directory-Server ab.<br>Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter [[UTM/AUTH/AD_Anbindung|{{Menu | Authentifizierung | AD/LDAP Authentifzierung}}]] konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten. | w=100px }} | ||
*{{ td | {{MenuD | Lokale E-Mail-Adressliste}} |Hier stehen alle bekannten Adressen.| w=170px }} | *{{ td | {{MenuD | Lokale E-Mail-Adressliste}} |Hier stehen alle bekannten Adressen.| w=170px }} | ||
Zeile 66: | Zeile 70: | ||
{{td |{{Beschriftung |Automatisches Whitelisten für:}} |<code>60</code> Der Wert kann auf 60 Tage erhöht werden.| w=240px| m=3px}} | {{td |{{Beschriftung |Automatisches Whitelisten für:}} |<code>60</code> Der Wert kann auf 60 Tage erhöht werden.| w=240px| m=3px}} | ||
{{td | {{Beschriftung |Verzögerung: }} | Vorgabe <code>2</Code> Minuten: Zeitraum, der dem sendenden Mailserver vorgegeben wird, um einen weiteren Zustellversuch vorzunehmen. | w=240px| m=3px}} | {{td | {{Beschriftung |Verzögerung: }} | Vorgabe <code>2</Code> Minuten: Zeitraum, der dem sendenden Mailserver vorgegeben wird, um einen weiteren Zustellversuch vorzunehmen. | w=240px| m=3px}} | ||
{{td | |<p></p>{{Hinweis}} Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden.<p></p> | {{td | |<p></p>{{Hinweis | !| gelb}} Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden.<p></p> | ||
{{Positiv}} Wird ein größerer Wert für {{Beschriftung |Verzögerung}} von z.B.: <code>30</code> Minuten gewählt, kann die Scan-Engine bei der erneuten Zustellung mit zwischenzeitlich aktualisierten Virensignaturen eine höhere Erkennungswahrscheinlichkeit bei neuen Outbreaks aufweisen.| w=240px| m=3px}} | {{Hinweis | Positiv | grün}} Wird ein größerer Wert für {{Beschriftung |Verzögerung}} von z.B.: <code>30</code> Minuten gewählt, kann die Scan-Engine bei der erneuten Zustellung mit zwischenzeitlich aktualisierten Virensignaturen eine höhere Erkennungswahrscheinlichkeit bei neuen Outbreaks aufweisen.| w=240px| m=3px}} | ||
<br><br> | <br><br> | ||
Zeile 104: | Zeile 108: | ||
===Mailfilter=== | ===Mailfilter=== | ||
Unter {{Menu | Anwendungen | Mailfilter}} sollten verschieden {{Reiter|Filterregeln}} angepasst werden: | Unter {{Menu | Anwendungen | Mailfilter}} sollten verschieden {{Reiter|Filterregeln}} angepasst bzw. neu erstellt werden: | ||
===={{Reiter|Filterregeln}}==== | ===={{Reiter|Filterregeln}}==== | ||
{{h6|Filterregel "ist als SPAM klassifiziert / SMTP"}} | {{h6|Filterregel "ist als SPAM klassifiziert / SMTP"}} | ||
{{td |{{KastenGrau|Spam_SMTP}} | '''Filterkriterien: Protokoll ist "SMTP" und ist als Spam klassifiziert.'''<br>Mail-Server oder Absender deren E-Mails als SPAM klassifiziert werden, sind in der Vergangenheit als SPAM-Quelle aufgefallen. E-Mails von diesen Systemen sollte auf gar keinen Fall angenommen werden.<br>Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.<br>{{ | {{td |{{KastenGrau|Spam_SMTP}} | '''Filterkriterien: Protokoll ist "SMTP" und ist als Spam klassifiziert.'''<br>Mail-Server oder Absender deren E-Mails als SPAM klassifiziert werden, sind in der Vergangenheit als SPAM-Quelle aufgefallen. E-Mails von diesen Systemen sollte auf gar keinen Fall angenommen werden.<br>Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.<br>{{Hinweis | Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden. | grün}} {{a | 3}}'''Filterregel bearbeiten:''' {{Beschriftung|Aktion ausführen:}} {{MenuD|E-Mail ablehnen}} <p>{{ kl | Default: Ausführen: '''''E-Mail in Quarantäne nehmen.''''' }} </p>}} | ||
---- | ---- | ||
{{h6|Filterregel "ist als SPAM klassifiziert / POP3"}} | {{h6|Filterregel "ist als SPAM klassifiziert / POP3"}} | ||
{{td |{{KastenGrau|Spam_POP3-Proxy}} | '''Filterkriterien: Protokoll ist "POP3" und ist als Spam klassifiziert.'''<br>{{ | {{td | {{KastenGrau|Spam_POP3-Proxy}} | | ||
'''Filterkriterien: Protokoll ist "POP3" und ist als Spam klassifiziert.'''<br> | |||
{{Hinweis | Securepoint empfiehlt, dass in diesen Mails die zutreffenden Inhalte entfernt werden. | grün}}<br> | |||
{{ Hinweis | !| rot}} Bei Verwendung des POP3-Proxys dürfen Mails nicht abgelehnt werden! {{ a | 3}} | |||
'''Filterregel bearbeiten:''' {{Beschriftung | Aktion ausführen:}} {{MenuD | zutreffenden Inhalt filtern}} | |||
<p>{{kl | Default: Ausführen: '''''E-Mail im Betreff markieren mit [Marked as spam]'''''}} </p> | |||
| m=6px }} | |||
---- | ---- | ||
{{h6|Filterregel "ist als verdächtig eingestuft"}} | {{h6|Filterregel "ist als verdächtig eingestuft"}} | ||
{{td |{{KastenGrau|Possibly_Spam}} |'''Filterkriterien: ist als verdächtig eingestuft.'''<br>E-Mails die als verdächtig eingestuft werden enthalten verdächtige Muster und Inhalte und sollten nicht in die Mailbox des Users zugestellt werden.<br> | {{td | | ||
{{ | {{KastenGrau|Possibly_Spam}} | | ||
'''Filterkriterien: ist als verdächtig eingestuft.'''<br> | |||
E-Mails die als verdächtig eingestuft werden enthalten verdächtige Muster und Inhalte und sollten nicht in die Mailbox des Users zugestellt werden.<br> | |||
{{ Hinweis | Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden. | grün}} {{ a | 3}} | |||
'''Filterregel bearbeiten:''' {{Beschriftung|Aktion ausführen:}} {{MenuD|E-Mail in Quarantäne nehmen}} | |||
<p>{{ kl | Default: Ausführen: '''''E-Mail im Betreff markieren mit [Marked as possibly spam]''''' }} </p> | |||
{{ Hinweis | !| rot }}{{r | Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!}} {{a | 0}} | |||
Hier empfiehlt sich die Option {{MenuD | zutreffenden Inhalt filtern}} | |||
| m=6px }} | |||
---- | ---- | ||
{{h6|Filterregel "enthält einen Virus"}} | {{h6|Filterregel "enthält einen Virus"}} | ||
{{td |{{KastenGrau|Virus}} | '''Filterkriterien: enthält einen Virus.''' <br>Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter. <br>{{ | {{td | | ||
{{KastenGrau | Virus}} | | |||
'''Filterkriterien: enthält einen Virus.''' <br> | |||
Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne | |||
für potentielle SPAM- und Viren-Versender nur interessanter. <br> | |||
{{Hinweis | Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden. | grün}} {{ a | 3}} | |||
'''Filterregel bearbeiten:''' {{Beschriftung|Aktion ausführen:}} {{MenuD | E-Mail ablehnen}} | |||
<p>{{kl | Default: Ausführen: '''''zutreffenden Inhalt filtern'''''}} </p> | |||
{{ Hinweis | ! | rot }}{{r | Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!}} {{a | 0}} | |||
Hier empfiehlt sich die Default-Option {{MenuD | zutreffenden Inhalt filtern}} | |||
| m=6px }} | |||
---- | ---- | ||
{{h6|Filterregel "mit Inhalt dessen"}} | {{h6|Filterregel "mit Inhalt dessen"}} | ||
{{td |{{KastenGrau|Filter_Extensions}}| '''Filterkriterien: mit Inhalt dessen FILENAME endet auf''' <br>Ausführbare Dateien sollten nicht zugestellt werden. Sie werden anhand der Dateiendung gefiltert. | {{td | | ||
Kann bei Bedarf ergänzt werden.<br>{{ | {{KastenGrau|Filter_Extensions}}| | ||
'''Filterkriterien: mit Inhalt dessen FILENAME endet auf''' <br> | |||
Ausführbare Dateien sollten nicht zugestellt werden. Sie werden anhand der Dateiendung gefiltert. Kann bei Bedarf ergänzt werden.<br> | |||
{{Hinweis | Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden. | grün}} {{a | 3}} | |||
Filterregel bearbeiten: {{Beschriftung|Aktion ausführen:}} {{MenuD|E-Mail in Quarantäne nehmen}} | |||
<p>{{kl | Default: ade, adp, bat, chm, cmd, com, cpl, exe, hta, ins, isp, jar, js, jse, lib, lnk, mde, msc, msi, msp, mst, nsh, pif, scr, sct, shb, sys, vb, vbe, vbs, vxd, | |||
wsc, wsf, wsh. Ausführen: '''''zutreffenden Inhalt filtern''''' }} | |||
</p> {{ Hinweis | ! | rot }}{{r | Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!}} <br> | |||
Hier empfiehlt sich die Default-Option {{MenuD | zutreffenden Inhalt filtern}} | |||
| m=6px }} | |||
---- | ---- | ||
{{h6|Filterregel "ist eine Bulk E-Mail"}} | {{h6|Filterregel "ist eine Bulk E-Mail"}} | ||
{{td |{{Button|+Filterregel hinzufügen}}<br>{{KastenGrau|Bulk_Mail}} |'''Anlegen einer neuen Regel. '''<br>E-Mails die als BULK eingestuft sind, werden aktuell massenhaft versendet und sollten nicht in die Mailbox des Users zugestellt werden. Dies könnten z. B. die ersten E-Mails einer neuen SPAM-Welle sein.<br>{{ | {{td | | ||
{{Button|+Filterregel hinzufügen}}<br> | |||
{{KastenGrau|Bulk_Mail}} | | |||
'''Anlegen einer neuen Regel. '''<br> | |||
E-Mails die als BULK eingestuft sind, werden aktuell massenhaft versendet und sollten nicht in die Mailbox des Users zugestellt werden. | |||
Dies könnten z. B. die ersten E-Mails einer neuen SPAM-Welle sein.<br> | |||
{{ Hinweis | Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden. | grün}} {{a|3}} | |||
{{Beschriftung|Regelname}} <code>Bulk_Mail</code><br> | |||
{{Beschriftung|Wenn eine E-Mail eingeht:}} {{MenuD|und ist eine Bulk E-Mail}} <br> | |||
{{b |Aktion ausführen:}} {{MenuD|E-Mail in Quarantäne nehmen}} <br> | |||
{{ Hinweis | ! | rot }}{{r | Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!}} {{ a | 3}} | |||
Hier empfiehlt sich die Option {{MenuD | zutreffenden Inhalt filtern}} | |||
| m=6px }} | |||
---- | ---- | ||
{{h6|Filterregel "wurde vom URL-Filter erfasst"}} | {{h6|Filterregel "wurde vom URL-Filter erfasst"}} | ||
{{td |{{Button|+Filterregel hinzufügen}}<br>{{KastenGrau|URL_Filter}} |'''Anlegen einer neuen Regel. '''<br>E-Mails die eine gefährliche URL enthalten sollten nicht angenommen werden und nicht in die Mailbox des Users zugestellt werden. Bitte dazu die Einstellungen des URL-Filters beachten.<br>{{ | {{td | | ||
{{Button|+Filterregel hinzufügen}}<br> | |||
{{KastenGrau|URL_Filter}} | | |||
'''Anlegen einer neuen Regel. '''<br> | |||
E-Mails die eine gefährliche URL enthalten sollten nicht angenommen werden und nicht in die Mailbox des Users zugestellt werden. | |||
Bitte dazu die Einstellungen des URL-Filters beachten.<br> | |||
{{ Hinweis | Securepoint empfiehlt, dass bei diesen Mails der <u>zutreffende Inhalt entfernt</u> wird. | grün}} {{a | 3}} | |||
{{Beschriftung | Regelname}} <code>URL_Filter</code><br> | |||
{{Beschriftung | Wenn eine E-Mail eingeht:}} {{MenuD | und wurde vom URL-Filter erfasst}} <br> | |||
{{b |Aktion ausführen:}} {{MenuD | zutreffenden Inhalt filtern}} | |||
| m=6px }} | |||
---- | ---- | ||
Die aktuelle Gefährdungslage macht deutlich, dass Standard-Verfahren im Kampf gegen Malware nicht mehr mithalten können.<br> | Die aktuelle Gefährdungslage macht deutlich, dass Standard-Verfahren im Kampf gegen Malware nicht mehr mithalten können.<br> | ||
Zeile 133: | Zeile 192: | ||
---- | ---- | ||
{{h6|Filterregel "Word-Dokumente auf Basis des MIME-Types"}} | {{h6|Filterregel "Word-Dokumente auf Basis des MIME-Types"}} | ||
{{td |{{Button|+Filterregel hinzufügen}}<br>{{KastenGrau| | {{td | | ||
{{Button|+Filterregel hinzufügen}}<br> | |||
{{KastenGrau|Word_MIME}} | | |||
'''Anlegen einer neuen Regel. '''<br> | |||
Damit Word-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.<br> | |||
{{ Hinweis | Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig in Quarantäne genommen <br> | |||
und nach 30 Minuten erneut gefiltert werden! | grün}} | |||
{{ Hinweis | Neue Filter-Aktion in 11.8 | 11.8 }} <br> | |||
{{Beschriftung|Regelname}} <code>Word_Mime</code><br> | |||
{{Beschriftung|Wenn eine E-Mail eingeht:}} {{MenuD|und mit Inhalt dessen}} {{MenuD|MIME-Typ}} {{MenuD|ist}}<br> | |||
In der Klick-Box können nun MIME_Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.<br> | |||
{{ code |application/msword, application/vnd.openxmlformats-officedocument.wordprocessingml.document, | |||
application/vnd.openxmlformats-officedocument.wordprocessingml.template,application/vnd.ms-word.document.macroEnabled.12, | |||
application/vnd.ms-word.template.macroEnabled.12}} {{ a | 5}} | |||
{{b |Aktion ausführen:}} {{MenuD | E-Mail in Quarantäne aufnehmen und erneut filtern nach}} <code>30</code> Minuten <br> | |||
{{ Hinweis | ! | rot }} {{r | Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden! {{ a | 0}} | |||
Securepoint empfiehlt Office-Dokumente nur von bekannten Absendern entgegen zu nehmen.}} {{ a | 0}} | |||
Bei Verwendung eines POP3-Proxys empfiehlt sich folgende Konfiguration: {{ a | 0}} | |||
{{b |Aktion ausführen:}} {{MenuD | zutreffenden Inhalt filtern }} {{ a | 3}} | |||
Zusätzlich eine Whitelist-Regel (s.U.) die '''direkt vor dieser Regel''' liegt, damit Spam etc. trotzdem gefiltert wird: {{ a | 3}} | |||
: {{ Beschriftung | Regelname}} <code>WL_Word_Mime</code><br> | |||
: Die gleichen Kriterien wie in diesem Abschnitt oben.<br> | |||
: Button {{Button | + }} | |||
: {{ MenuD | und Sender }} {{MenuD | enthält }} Eingabe in der Klick-Box: {{cb | bekannter_Absender.de}} {{a | 3}} | |||
: {{ b | Aktion ausführen:}} {{MenuD | E-Mail im Betreff markieren mit}} <code>Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde</code> | |||
: {{Button | Speichern }} | |||
| m=6px }} | |||
---- | ---- | ||
{{h6 |Filterregel: "Excel-Dokumente auf Basis des MIME-Types"}} | {{h6 |Filterregel: "Excel-Dokumente auf Basis des MIME-Types"}} | ||
{{td |{{Button|+Filterregel hinzufügen}}<br>{{KastenGrau|Excel_MIME}} |'''Anlegen einer neuen Regel. '''<br>Damit Excel-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.<br>{{ | {{td | | ||
{{Button|+Filterregel hinzufügen}}<br> | |||
{{KastenGrau|Excel_MIME}} | | |||
'''Anlegen einer neuen Regel. '''<br> | |||
Damit Excel-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.<br> | |||
{{ Hinweis | Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig in Quarantäne genommen <br> | |||
und nach 30 Minuten erneut gefiltert werden! | grün}} | |||
{{ Hinweis | Neue Filter-Aktion in 11.8 | 11.8 }} <br> | |||
{{ Beschriftung | Regelname}} <code>Excel_Mime</code><br> | |||
{{ Beschriftung | Wenn eine E-Mail eingeht:}} {{ MenuD | und mit Inhalt dessen}} {{ MenuD | MIME-Typ}} {{ MenuD | ist}}<br> | |||
In der Klick-Box können nun MIME_Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.<br> | |||
<code>application/vnd.ms-excel, application/vnd.openxmlformats-officedocument.spreadsheetml.sheet, | |||
application/vnd.openxmlformats-officedocument.spreadsheetml.template, application/vnd.ms-excel.sheet.macroEnabled.12, | |||
application/vnd.ms-excel.template.macroEnabled.12, application/vnd.ms-excel.addin.macroEnabled.12, | |||
application/vnd.ms-excel.sheet.binary.macroEnabled.12</code> {{ a | 3}} | |||
{{b |Aktion ausführen:}} {{ MenuD | E-Mail in Quarantäne aufnehmen und erneut filtern nach}} <code>30</code> Minuten | |||
{{ Hinweis | ! | rot }} {{r | Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden! {{ a | 0}} | |||
Securepoint empfiehlt Office-Dokumente nur von bekannten Absendern entgegen zu nehmen.}} {{ a | 0}} | |||
Bei Verwendung eines POP3-Proxys empfiehlt sich folgende Konfiguration: {{ a | 0}} | |||
{{b |Aktion ausführen:}} {{MenuD | zutreffenden Inhalt filtern }} {{ a | 3}} | |||
Zusätzlich eine Whitelist-Regel (s.U.) die '''direkt vor dieser Regel''' liegt, damit Spam etc. trotzdem gefiltert wird: {{ a | 3}} | |||
: {{ Beschriftung | Regelname}} <code>WL_Excel_Mime</code><br> | |||
: Die gleichen Kriterien wie in diesem Abschnitt oben.<br> | |||
: Button {{Button | + }} | |||
: {{ MenuD | und Sender }} {{MenuD | enthält }} Eingabe in der Klick-Box: {{cb | bekannter_Absender.de}} {{a | 3}} | |||
: {{ b | Aktion ausführen:}} {{MenuD | E-Mail im Betreff markieren mit}} <code>Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde</code> | |||
: {{Button | Speichern }} | |||
| m=6px }} | |||
---- | |||
{{h6|Filterregel "Open-Office / Libre-Office-Dokumente auf Basis des MIME-Types"}} | |||
{{td | | |||
{{Button|+Filterregel hinzufügen}}<br> | |||
{{KastenGrau|OOffice_MIME}} | | |||
'''Anlegen einer neuen Regel. '''<br> | |||
Damit Open-Office- und Libre-Office--Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.<br> | |||
{{ Hinweis | Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig in Quarantäne genommen <br> | |||
und nach 30 Minuten erneut gefiltert werden! | grün}} | |||
{{ Hinweis | Neue Filter-Aktion in 11.8 | 11.8 }} <br> | |||
{{Beschriftung|Regelname}} <code>Word_Mime</code><br> | |||
{{Beschriftung|Wenn eine E-Mail eingeht:}} {{MenuD|und mit Inhalt dessen}} {{MenuD|MIME-Typ}} {{MenuD|ist}}<br> | |||
In der Klick-Box können nun MIME_Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.<br> | |||
{{code | application/vnd.oasis.opendocument.chart-template,application/vnd.oasis.opendocument.database,application/vnd.oasis.opendocument.formula, | |||
application/vnd.oasis.opendocument.formula-template,application/vnd.oasis.opendocument.graphics,application/vnd.oasis.opendocument.graphics-template, | |||
application/vnd.oasis.opendocument.image,application/vnd.oasis.opendocument.image-template,application/vnd.oasis.opendocument.presentation, | |||
application/vnd.oasis.opendocument.presentation-template,application/vnd.oasis.opendocument.spreadsheet, | |||
application/vnd.oasis.opendocument.spreadsheet-template,application/vnd.oasis.opendocument.text,application/vnd.oasis.opendocument.text-master, | |||
application/vnd.oasis.opendocument.text-template,application/vnd.oasis.opendocument.text-web}} {{ a | 5}} | |||
{{b |Aktion ausführen:}} {{MenuD | E-Mail in Quarantäne aufnehmen und erneut filtern nach}} <code>30</code> Minuten <br> | |||
{{ Hinweis | ! | rot }} {{r | Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden! {{ a | 0}} | |||
Securepoint empfiehlt Office-Dokumente nur von bekannten Absendern entgegen zu nehmen.}} {{ a | 0}} | |||
Bei Verwendung eines POP3-Proxys empfiehlt sich folgende Konfiguration: {{ a | 0}} | |||
{{b |Aktion ausführen:}} {{MenuD | zutreffenden Inhalt filtern }} {{ a | 3}} | |||
Zusätzlich eine Whitelist-Regel (s.U.) die '''direkt vor dieser Regel''' liegt, damit Spam etc. trotzdem gefiltert wird: {{ a | 3}} | |||
: {{ Beschriftung | Regelname}} <code>WL_OOffice_Mime</code><br> | |||
: Die gleichen Kriterien wie in diesem Abschnitt oben.<br> | |||
: Button {{Button | + }} | |||
: {{ MenuD | und Sender }} {{MenuD | enthält }} Eingabe in der Klick-Box: {{cb | bekannter_Absender.de}} {{a | 3}} | |||
: {{ b | Aktion ausführen:}} {{MenuD | E-Mail im Betreff markieren mit}} <code>Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde</code> | |||
: {{Button | Speichern }} | |||
| m=6px }} | |||
---- | ---- | ||
{{h6 | Filterregel: "Office-Dokumente auf Basis der Dateiendung"}} | {{h6 | Filterregel: "Office-Dokumente auf Basis der Dateiendung"}} | ||
{{td |{{Button|+Filterregel hinzufügen}}<br>{{KastenGrau|Office_Extension}} |'''Anlegen einer neuen Regel. '''<br>Damit Office-Dokumente anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.<br>{{ | {{td | | ||
{{Button|+Filterregel hinzufügen}}<br> | |||
{{KastenGrau|Office_Extension}} | | |||
'''Anlegen einer neuen Regel. '''<br> | |||
Damit Office-Dokumente anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.<br> | |||
{{ Hinweis | Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig in Quarantäne genommen <br> | |||
und nach 30 Minuten erneut gefiltert werden! | grün}} | |||
{{ Hinweis | Neue Filter-Aktion in 11.8 | 11.8}} <br> | |||
{{Beschriftung | Regelname}} <code>Office_Extension</code><br> | |||
{{Beschriftung | Wenn eine E-Mail eingeht:}} {{ MenuD | und mit Inhalt dessen}} {{ MenuD | Dateiname}} {{ MenuD | endet auf}}<br> | |||
In der Klick-Box können nun Datei-Endungen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.<br> | |||
<code>doc,dot,docx,docm,dotx,dotm,docb,xls,xlsx,xlt,xlm,xlsb,xla,xlam,xll,xlw, ppt,pot,pps,pptx,pptm,potx,potm,ppam,ppsx,ppsm,sldx,sldm,pub</code> {{a | 3}} | |||
{{b | Aktion ausführen:}} {{MenuD | E-Mail in Quarantäne aufnehmen und erneut filtern nach }} <code>30</code> Minuten | |||
{{ Hinweis | ! | rot }} {{r | Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden! {{ a | 0}} | |||
Securepoint empfiehlt Office-Dokumente nur von bekannten Absendern entgegen zu nehmen.}} {{ a | 0}} | |||
Bei Verwendung eines POP3-Proxys empfiehlt sich folgende Konfiguration: {{ a | 0}} | |||
{{b |Aktion ausführen:}} {{MenuD | zutreffenden Inhalt filtern }} {{ a | 3}} | |||
Zusätzlich eine Whitelist-Regel (s.U.) die '''direkt vor dieser Regel''' liegt, damit Spam etc. trotzdem gefiltert wird: {{ a | 3}} | |||
: {{ Beschriftung | Regelname}} <code>WL_Office_Extension</code><br> | |||
: Die gleichen Kriterien wie in diesem Abschnitt oben.<br> | |||
: Button {{Button | + }} | |||
: {{ MenuD | und Sender }} {{MenuD | enthält }} Eingabe in der Klick-Box: {{cb | bekannter_Absender.de}} {{a | 3}} | |||
: {{ b | Aktion ausführen:}} {{MenuD | E-Mail im Betreff markieren mit}} <code>Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde</code> | |||
: {{Button | Speichern }} | |||
| m=6px }} | |||
---- | ---- | ||
{{h6 | Filterregel: "Komprimierte Dateien auf Basis des MIME-Type"}} | {{h6 | Filterregel: "Komprimierte Dateien auf Basis des MIME-Type"}} | ||
{{td |{{Button|+Filterregel hinzufügen}}<br>{{KastenGrau|Compressed_MIME}} |'''Anlegen einer neuen Regel.'''<br>Damit Komprimierte Dateien anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.<br>{{ | {{td | | ||
{{Button|+Filterregel hinzufügen}}<br> | |||
{{KastenGrau|Compressed_MIME}} | | |||
'''Anlegen einer neuen Regel.'''<br> | |||
Damit Komprimierte Dateien anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.<br> | |||
{{ Hinweis | Securepoint empfiehlt, dass Mails mit komprimierten Dateien im Anhang vorläufig in Quarantäne genommen <br> | |||
und nach 30 Minuten erneut gefiltert werden! | grün}} {{ Hinweis | Neue Filter-Aktion in 11.8 | 11.8}} <br> | |||
{{Beschriftung | Regelname}} <code>Word_Mime</code><br> | |||
{{Beschriftung | Wenn eine E-Mail eingeht:}} {{ MenuD | und mit Inhalt dessen}} {{ MenuD | MIME-Typ}} {{ MenuD | ist}}<br> | |||
In der Klick-Box können nun MIME_Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.<br> | |||
<code>application/x-zip-compressed,application/zip</code> {{a | 3}} | |||
{{b | Aktion ausführen:}} {{MenuD | E-Mail in Quarantäne aufnehmen und erneut filtern nach }} <code>30</code> Minuten | |||
{{ Hinweis | ! | rot }} {{r | Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden! {{ a | 0}} | |||
Securepoint empfiehlt Mails mit komprimierten Dateien im Anhang nur von bekannten Absendern entgegen zu nehmen.}} {{ a | 0}} | |||
Bei Verwendung eines POP3-Proxys empfiehlt sich folgende Konfiguration: {{ a | 0}} | |||
{{b |Aktion ausführen:}} {{MenuD | zutreffenden Inhalt filtern }} {{ a | 3}} | |||
Zusätzlich eine Whitelist-Regel (s.U.) die '''direkt vor dieser Regel''' liegt, damit Spam etc. trotzdem gefiltert wird: {{ a | 3}} | |||
: {{ Beschriftung | Regelname}} <code>WL_Compressed_MIME</code><br> | |||
: Die gleichen Kriterien wie in diesem Abschnitt oben.<br> | |||
: Button {{Button | + }} | |||
: {{ MenuD | und Sender }} {{MenuD | enthält }} Eingabe in der Klick-Box: {{cb | bekannter_Absender.de}} {{a | 3}} | |||
: {{ b | Aktion ausführen:}} {{MenuD | E-Mail im Betreff markieren mit}} <code>Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde</code> | |||
: {{Button | Speichern }} | |||
| m=6px }} | |||
---- | ---- | ||
{{h6 | Filterregel: "Komprimierte Dateien auf Basis der Endung"}} | {{h6 | Filterregel: "Komprimierte Dateien auf Basis der Endung"}} | ||
{{td |{{Button|+Filterregel hinzufügen}}<br>{{KastenGrau | Compressed_Extension}} | '''Anlegen einer neuen Regel.'''<br>Damit Komprimierte Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.<br>{{ | {{td | ||
| {{Button|+Filterregel hinzufügen}}<br> | |||
{{KastenGrau | Compressed_Extension}} | |||
| '''Anlegen einer neuen Regel.'''<br> | |||
Damit Komprimierte Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.<br> | |||
{{ Hinweis | Securepoint empfiehlt, dass Mails mit komprimierten Dateien im Anhang vorläufig in Quarantäne genommen <br> | |||
und nach 30 Minuten erneut gefiltert werden! | grün}} {{ Hinweis | Neue Filter-Aktion in 11.8 | 11.8}} <br> | |||
{{Beschriftung|Regelname}} <code>Word_Mime</code><br> | |||
{{Beschriftung|Wenn eine E-Mail eingeht:}} {{MenuD|und mit Inhalt dessen}} {{MenuD | Dateiname}} {{MenuD | endet auf}} <br> | |||
In der Klick-Box können nun Datei-Endungen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.<br> | |||
<code>zip,7z,ace,arj,cab,zz,zipx</code> {{a | 3}} | |||
{{b | Aktion ausführen:}} {{MenuD | E-Mail in Quarantäne aufnehmen und erneut filtern nach }} <code>30</code> Minuten | |||
{{ Hinweis | ! | rot }} {{r | Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden! {{ a | 0}} | |||
Securepoint empfiehlt Mails mit komprimierten Dateien im Anhang nur von bekannten Absendern entgegen zu nehmen.}} {{ a | 0}} | |||
Bei Verwendung eines POP3-Proxys empfiehlt sich folgende Konfiguration: {{ a | 0}} | |||
{{b |Aktion ausführen:}} {{MenuD | zutreffenden Inhalt filtern }} {{ a | 3}} | |||
Zusätzlich eine Whitelist-Regel (s.U.) die '''direkt vor dieser Regel''' liegt, damit Spam etc. trotzdem gefiltert wird: {{ a | 3}} | |||
: {{ Beschriftung | Regelname}} <code>WL_Compressed_Extension</code><br> | |||
: Die gleichen Kriterien wie in diesem Abschnitt oben.<br> | |||
: Button {{Button | + }} | |||
: {{ MenuD | und Sender }} {{MenuD | enthält }} Eingabe in der Klick-Box: {{cb | bekannter_Absender.de}} {{a | 3}} | |||
: {{ b | Aktion ausführen:}} {{MenuD | E-Mail im Betreff markieren mit}} <code>Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde</code> | |||
: {{Button | Speichern }} | |||
| m=6px }} | |||
---- | ---- | ||
{{h6 | Whitelist Ausnahme Regeln erstellen }} | {{h6 | Whitelist Ausnahme Regeln erstellen }} | ||
{{ td | {{Button|+Filterregel hinzufügen}}<br>{{KastenGrau | Whitelist}} |{{pt|UTM_v11-8_Mailfilter_Filterregeln_Whitelist.png|Mailfilter Whitelist-Regel}}Wenn E-Mails eines bestimmten Absenders (hier von securepoint.de) in jedem Fall zugestellt werden sollen, muss hierfür eine Whiltelist-Ausnahme in dem Mailfilter Regelwerk angelegt werden.<br> | {{ td | ||
Diese muss folgende Merkmale enthalten:<br><p>{{ b | Wenn eine E-Mail eingeht: }} </p> | | {{Button|+Filterregel hinzufügen}}<br> | ||
{{KastenGrau | Whitelist}} | |||
| {{pt|UTM_v11-8_Mailfilter_Filterregeln_Whitelist.png|Mailfilter Whitelist-Regel}} | |||
Wenn E-Mails eines bestimmten Absenders (hier von securepoint.de) in jedem Fall zugestellt werden sollen, | |||
muss hierfür eine Whiltelist-Ausnahme in dem Mailfilter Regelwerk angelegt werden.<br> | |||
Diese muss folgende Merkmale enthalten:<br> | |||
<p>{{ b | Wenn eine E-Mail eingeht: }} </p> | |||
* {{ MenuD | und Protokoll }} {{ MenuD | ist }} {{ MenuD | SMTP }} | * {{ MenuD | und Protokoll }} {{ MenuD | ist }} {{ MenuD | SMTP }} | ||
* {{ MenuD | und ist als Spam klassifiziert }} | * {{ MenuD | und ist als Spam klassifiziert }} | ||
* {{ MenuD | und Sender }} {{MenuD | enthält }} <br> {{cb | securepoint.de}} | * {{ MenuD | und Sender }} {{MenuD | enthält }} <br> | ||
<br>{{ b | Aktion ausführen:}} {{MenuD | E-Mails annehmen}} | {{cb | securepoint.de}}<br> | ||
<p>{{ Button | Speichern }}</p>}} | {{ b | Aktion ausführen:}} {{MenuD | E-Mails annehmen}} | ||
{{ td || {{pt|UTM_v11-8_Mailfilter_Filterregeln-verschieben.png|Filterregel verschieben|versatz=48px}}Damit eine Regel als Whitelist-Regel funktioniert, muss die Reihenfolge definiert werden, so dass diese Regel vor der allgemeinen Spam-Quarantäne-Regel greift. | <p>{{ Button | Speichern }}</p> | ||
}} | |||
{{ td | |||
| | |||
| {{pt|UTM_v11-8_Mailfilter_Filterregeln-verschieben.png|Filterregel verschieben|versatz=48px}} | |||
Damit eine Regel als Whitelist-Regel funktioniert, muss die Reihenfolge definiert werden, so dass diese Regel vor der allgemeinen Spam-Quarantäne-Regel greift. | |||
Durch klicken und halten mit der linken Maustaste auf die Whitelist-Regel (Pos. 7) in der Spalte „Pos.“, wird diese Regel nach oben über die allgemeine Spam_SMTP Filterregel verschoben. Hat die Regel die gewünschte Position erreicht, wird die Maustaste losgelassen. | Durch klicken und halten mit der linken Maustaste auf die Whitelist-Regel (Pos. 7) in der Spalte „Pos.“, | ||
wird diese Regel nach oben über die allgemeine Spam_SMTP Filterregel verschoben. Hat die Regel die gewünschte Position erreicht, wird die Maustaste losgelassen. | |||
Die Whitelist-Regel erhält nun entsprechend ihrer Rangfolge eine neue Positionsnummer. | Die Whitelist-Regel erhält nun entsprechend ihrer Rangfolge eine neue Positionsnummer. | ||
}} | }} | ||
<br clear=all> | <br clear=all> | ||
---- | ---- | ||
{{h6 | Gefälschter Absender}} | {{h6 | Gefälschter Absender}} | ||
{{ td | {{Button|+Filterregel hinzufügen}}<br>{{KastenGrau|fake_sender_intern}} |{{pt |UTM_v11-8_Mailfilter_Filterregeln-fake-sender.png |Fake Sender}}Damit E-Mails mit gefälschtem internen Absender (die gewöhnlich ein hohes Vertrauen genießen) nicht angenommen werden, empfehlen wir zwei Filterregeln nach folgendem Beispiel zu erstellen:<br> | {{ td | ||
| {{Button|+Filterregel hinzufügen}}<br> | |||
{{KastenGrau|fake_sender_intern}} | |||
|{{pt |UTM_v11-8_Mailfilter_Filterregeln-fake-sender.png |Fake Sender}} | |||
Damit E-Mails mit gefälschtem internen Absender (die gewöhnlich ein hohes Vertrauen genießen) nicht angenommen werden, | |||
empfehlen wir zwei Filterregeln nach folgendem Beispiel zu erstellen:<br> | |||
<p>{{ Hinweis | In diesem Beispiel sollen Mails der Maildomain @securepoint.de angenommen werden. | |||
Die IP-Adresse des Mailservers wird mit 192.168.175.100 angenommen. | gelb}} <br> | |||
{{ Hinweis | Dies sind lediglich Beispieladressen die lokal angepasst werden müssen. | rot}}</p> | |||
{{Button|+Filterregel hinzufügen}}<br> | |||
{{Beschriftung|Regelname}} <code>fake_sender_intern1</code><br>{{Beschriftung|Wenn eine E-Mail eingeht:}} <br> | |||
{{MenuD | und Sender}} {{MenuD | enthält}} {{cb | @securepoint.de}}<br> | |||
Kriterium hinzufügen {{Button | + }}<br> | |||
{{MenuD | und Quellhost}} {{MenuD | ist nicht}} {{cb | 192.168.175.100}}<br> | |||
{{Button | Speichern }}| m=6px }} | {{b |Aktion ausführen:}} {{MenuD | E-Mail ablehnen}}<br> | ||
{{Button | Speichern }}<p></p><p></p> | |||
{{Button|+Filterregel hinzufügen}}<br> | |||
{{Beschriftung|Regelname}} <code>fake_sender_intern2</code><br> | |||
{{Beschriftung|Wenn eine E-Mail eingeht:}} {{MenuD| und Header-Feld "From"}} {{MenuD | enthält}} {{cb | @securepoint.de}}<br> | |||
Kriterium hinzufügen {{Button | + }}<br> | |||
{{MenuD|und Quellhost}} {{MenuD | ist nicht}} {{cb | 192.168.175.100}}<br> | |||
{{b |Aktion ausführen:}} {{MenuD | E-Mail ablehnen}}<br> | |||
{{Button | Speichern }} | |||
| m=6px }} | |||
---- | ---- | ||
{{h4 | URL-Filter | {{Reiter| URL-Filter}} }} | {{h4 | URL-Filter | {{Reiter| URL-Filter}} }} | ||
Die folgenden Kategorien sollten in die Liste des URL-Filter mit aufgenommen werden. | Die folgenden Kategorien sollten in die Liste des URL-Filter mit aufgenommen werden. | ||
<p>{{ Button | + Kategorie hinzufügen }}</p> | <p>{{ Button | + Kategorie hinzufügen }}</p> | ||
{{ td | {{ MenuD | Danger}} | Diese Kategorie enthält aktuell als schädlich eingestufte URLs welche Schadsoftware verbreiten und Phishing Seiten enthalten (Botnetze, Crimeware usw.) | w=130px }} | {{ td | ||
{{ td | {{ MenuD | Porno und Erotik }} | Diese Kategorie enthält URLs die Pornographische oder überwiegend sexuelle Inhalte bereitstellen. | w=130px }} | | {{ MenuD | Danger}} | ||
{{ td | {{ MenuD | Hacking }} | Diese Kategorie enthält URLs die Ratgeber bereitstellen zum Thema Hacking, Warez, Malware bauen, Systeme überlisten oder Abofallen. | w=130px }} | | Diese Kategorie enthält aktuell als schädlich eingestufte URLs welche Schadsoftware verbreiten und Phishing Seiten enthalten (Botnetze, Crimeware usw.) | ||
| w=130px }} | |||
{{ td | |||
| {{ MenuD | Porno und Erotik }} | |||
| Diese Kategorie enthält URLs die Pornographische oder überwiegend sexuelle Inhalte bereitstellen. | |||
| w=130px }} | |||
{{ td | |||
| {{ MenuD | Hacking }} | |||
| Diese Kategorie enthält URLs die Ratgeber bereitstellen zum Thema Hacking, Warez, Malware bauen, Systeme überlisten oder Abofallen. | |||
| w=130px }} | |||
{{Hinweis | Weitere Kategorien sind den Anforderungen des | {{Hinweis | Weitere Kategorien sind den Anforderungen des Unternehmens anzupassen. | gelb}} | ||
Durch das Kicken auf {{Button | Speichern }} wird die Filterregel hinzugefügt. | Durch das Kicken auf {{Button | Speichern }} wird die Filterregel hinzugefügt. | ||
---- | ---- | ||
{{h4 | Spamreport |{{Kasten | Spamreport }} }}<p></p> | {{h4 | Spamreport |{{Kasten | Spamreport }} }}<p></p> | ||
{{: | {{:UTM/APP/Mailfilter_Spamreport}} | ||
==Disclaimer und Hinweise== | |||
{{ kl | '''Haftung'''<br> | |||
Diese Website wurde mit größtmöglicher Sorgfalt zusammengestellt. Trotzdem kann keine Gewähr für die Fehlerfreiheit und Genauigkeit der enthaltenen Informationen übernommen werden. Jegliche Haftung für Schäden, die direkt oder indirekt aus der Benutzung dieser Website entstehen, wird ausgeschlossen. Sofern von dieser Website auf Internetseiten verwiesen wird, die von Dritten betrieben werden, übernimmt die Securepoint GmbH keine Verantwortung für deren Inhalte.}} | |||
Folgende Wiki-Artikel können bei der Einrichtung hilfreich sein. | Folgende Wiki-Artikel können bei der Einrichtung hilfreich sein. | ||
*[[UTM/APP/Mailrelay| Wiki-Artikel Mailrelay]] | *[[UTM/APP/Mailrelay| Wiki-Artikel Mailrelay]] |
Aktuelle Version vom 10. April 2019, 09:50 Uhr
Dieser Artikel ist ein Best Practice zum Thema Mail-Security. Dies sind Einstellungen, die von uns empfohlen werden.
Ohne Gewähr auf Vollständigkeit !
notempty
Letzte Anpassung zur Version: 11.8
Allgemeine Anpassung an die aktuelle Version. Neue Funktion in 11.8 Berücksichtigung z.B. der Funktion Mail-Filter Zeitschloss
Ergänzung der MIME-Typen für OpenOffice / LibreOffice-Dokumente
Vorherige Version: 11.7
Voraussetzungen
Diese Empfehlungen beziehen sich auf folgendes Szenario:
- Empfang der E-Mails per SMTP über das Mailrelay
- Zustellung erfolgt direkt über MX
- Filterung erfolgt direkt bei Eingang auf MX
Allgemein
Globale E-Mail Adresse
Um Benachrichtigungen im Fehlerfall zu erhalten, muss unter
Globale E-Mail Adresse eine gültige Postmaster Adresse eingetragen werden.
Mailrelay
Unter
ist die Konfiguration so einzustellen, dass nur E-Mails an die Empfänger-Adresse angenommen werden.
Relaying
Relaying-Liste
Konfigurieren mit
- Domain:
anyideas.de
- Option:
- Aktion:
Sollen auch ausgehend Emails über das Mailrelay der UTM versendet werden, wird ein weiterer Eintrag benötigt:
- Domain:
IP: 192.168.175.100
- Option:
- Aktion:
Exakten Domainnamen für das Relaying verwenden: Ein
Durch diese Option werden E-Mails an Empfänger innerhalb einer Subdomain nicht angenommen.
TLS Verschlüsselung für das Mailrelay aktivieren: Ein
Die TLS-Verschlüsselung für das Mailrelay ist zu aktivieren.
Der Import eines Zertifikats, dessen CN dem Hostnamen der UTM entspricht, ist optional. Wird ein solches Zertifikat nicht importiert, verwendet das Mailrelay ein selbst-signiertes Zertifikat zum Zweck der Transportverschlüsselung.
SMTP Routen
Der Mailserver sollte Mails an Adressen ohne Postfach während des SMTP-Dialogs ablehnen.
Abschnitt:
Die Validierung der Empfänger auf gültige E-Mail Adressen ist zu aktivieren. Dadurch werden nur E-Mails angenommen, welche an einen Empfänger gehen, der auch auf dem Mail-Server vorhanden ist.
- E-Mail-Adresse überprüfen:
- Es stehen folgende
- Die Securepoint Appliance fragt im Hintergrund den internen Mailserver ab.
Hinweis: Die Validierung muss ebenso am Mailserver aktiv sein! (Recipient Verification z.B. bei einem Exchange-Server)
- Hier stehen alle bekannten Adressen.
- Mit können Mail-Adressen hinzugefügt und entfernt werden.
zur Verfügung:
Greylisting
Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird.
Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.
Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.
Neben der Abwehr von einfachen Spam-Bots durch das Greylisting, wird auch wertvolle Zeit gewonnen um neuen Definitionen zu laden und so etwaige neue SPAM-Wellen zu erkennen.
- Greylisting aktivieren:
- Ein Greylisting sollte aktiviert werden.
- SPF aktivieren:
- Ein Wenn das Sender Policy Framework der Absenderdomain korrekt im DNS eingetragen ist, wird die Mail ohne Verzögerung zugestellt.
Im SPF-Record werden alle Mailserver IP-Adressen des Absenders eingetragen, die zum Versand von E-Mails berechtigt sind. Der Empfänger prüft dann anhand des Mail Header Feldes „Mail From“ oder des „HELO“ Kommandos, welche Domain dort eingetragen ist oder genannt wird und ob diese mit einer der IP-Adressen im SPF-Record übereinstimmt. Stimmt die IP-Adresse des Absenders nicht mit denen des SPF-Record überein, geht die Mail in das Greylisting.
- Automatisches Whitelisten für:
60
Der Wert kann auf 60 Tage erhöht werden.
- Verzögerung:
- Vorgabe
2
Minuten: Zeitraum, der dem sendenden Mailserver vorgegeben wird, um einen weiteren Zustellversuch vorzunehmen.
- Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden.
Positiv Wird ein größerer Wert für Verzögerung von z.B.:
30
Minuten gewählt, kann die Scan-Engine bei der erneuten Zustellung mit zwischenzeitlich aktualisierten Virensignaturen eine höhere Erkennungswahrscheinlichkeit bei neuen Outbreaks aufweisen.
Erweitert
- Greeting Pause
- Ein Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in Spam-Bots das SMTP-Protokoll nicht zur Gänze implementiert ist. Damit lassen sich diese von regulären Mailservern zu unterscheiden.
Das Greeting ist eine Begrüßung, die vom Mailrelay an den sendenden Mailserver übermittelt wird.
Diese könnte z. B. so aussehen:220 firewall.foo.local ESMTP Ready
Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er weitere SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spam-Bot wird sofort nach erfolgtem TCP-Handshake beginnen Kommandos zu senden. In diesem Fall wird das Mailrelay keine weiteren Kommandos entgegennehmen und die Verbindung abbrechen.
- HELO benötigt
- Ein Ist HELO aktiviert, wird vom SMTP Client gefordert seinen Namen zu nennen.
Sollte unbedingt aktiviert bleiben (Standard) Dieser Schalter existiert, um Abwärtskompatibilität zu gewähleisten.
- Recipient flooding verhindern
- Ein Viele Spammer versuchen, Spams an "erfundene" Mailempfänger einer Domain zuzustellen. Durch diese Massen können, aufgrund der verbrauchten Bandbreite, andere Internetverbindungen empfindlich gestört werden. Um dieses "Recipient Flooding" wirksam zu unterbinden, können Anfragen eines Hosts, der innerhalb kurzer Zeit eine definierte Anzahl fehlgeschlagener Zustellungsversuche (z. B. aufgrund von fehlgeschlagener E-MailAdressen Validierung) aufzuweisen hat, nur noch verzögert beantwortet werden. (Default: 2 Versuche)
- Empfängerbeschränkung aktivieren
- Ein Die Option blockiert Mails, die mehr als eine definierte Anzahl Empfängeradressen aufweisen (Default: 25 Empfänger).
- Verbindungslimit aktivieren
- Ein Hier kann eingestellt werden, wie viele Verbindungen das Mailrelay pro Sekunde annimmt (Default: 5).
Für bekannte Mailserver können von dieser Limitierung ausgenommen werden. Das Verbindungslimit wirkt möglichen DDOS-Attacken entgegen..
- Rate Kontrolle aktivieren
- Ein Möglichen DOS-Attacken wird durch die Rate Kontrolle entgegengewirkt.
Sollen ausgehende Emails ebenfalls über das Mailrelay der UTM gesendet werden, sollten für die entsprechenden Mailserver hinzugefügt werden.
Verschlüsselung
Unter Mailrelay kann eingestellt werden, dass die Verschlüsselung forciert, also zwingend wird. Wenn diese Einstellung aktiviert ist, sind nur noch verschlüsselte Verbindungen zum Mailrelay möglich und auch die Client Verbindung, die das Mailrelay zu einem Mailserver aufbaut ist verschlüsselt.
Wenn die Gegenstelle keine Verschlüsselung unterstützt, wird die Verbindung abgebrochen. Das normale Verhalten eines Mailservers wäre, das er als Fallback eine unverschlüsselte Verbindung zu lässt. Das ist dann nicht mehr möglich. Das forcieren der Verschlüsselung wirkt den Spam Mails entgegnen.
- Standardwerte überschreiben:
- Ein
- Verschlüsselung forcieren:
- Ein
Alle übrigen Einstellungen können unverändert bleiben.
Übernehmen der Einstellungen mit
.
Mailfilter
Unter Filterregeln angepasst bzw. neu erstellt werden:
sollten verschiedenFilterregeln
Filterregel "ist als SPAM klassifiziert / SMTP"
- Spam_SMTP
- Filterkriterien: Protokoll ist "SMTP" und ist als Spam klassifiziert.
Mail-Server oder Absender deren E-Mails als SPAM klassifiziert werden, sind in der Vergangenheit als SPAM-Quelle aufgefallen. E-Mails von diesen Systemen sollte auf gar keinen Fall angenommen werden.
Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.
Securepoint empfiehlt, dass diese Mails abgelehnt werden.Filterregel bearbeiten: Aktion ausführen:Default: Ausführen: E-Mail in Quarantäne nehmen.
Filterregel "ist als SPAM klassifiziert / POP3"
- Spam_POP3-Proxy
- Filterkriterien: Protokoll ist "POP3" und ist als Spam klassifiziert.
Securepoint empfiehlt, dass in diesen Mails die zutreffenden Inhalte entfernt werden.
Bei Verwendung des POP3-Proxys dürfen Mails nicht abgelehnt werden!Filterregel bearbeiten: Aktion ausführen:
Default: Ausführen: E-Mail im Betreff markieren mit [Marked as spam]
Filterregel "ist als verdächtig eingestuft"
- Possibly_Spam
- Filterkriterien: ist als verdächtig eingestuft.
E-Mails die als verdächtig eingestuft werden enthalten verdächtige Muster und Inhalte und sollten nicht in die Mailbox des Users zugestellt werden.
Securepoint empfiehlt, dass diese Mails in Quarantäne genommen werden.Filterregel bearbeiten: Aktion ausführen:
Default: Ausführen: E-Mail im Betreff markieren mit [Marked as possibly spam]Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!Hier empfiehlt sich die Option
Filterregel "enthält einen Virus"
- Virus
- Filterkriterien: enthält einen Virus.
Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.
Securepoint empfiehlt, dass diese Mails abgelehnt werden.Filterregel bearbeiten: Aktion ausführen:
Default: Ausführen: zutreffenden Inhalt filternBei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!Hier empfiehlt sich die Default-Option
Filterregel "mit Inhalt dessen"
- Filter_Extensions
- Filterkriterien: mit Inhalt dessen FILENAME endet auf
Ausführbare Dateien sollten nicht zugestellt werden. Sie werden anhand der Dateiendung gefiltert. Kann bei Bedarf ergänzt werden.
Securepoint empfiehlt, dass diese Mails in Quarantäne genommen werden.Filterregel bearbeiten: Aktion ausführen:
Default: ade, adp, bat, chm, cmd, com, cpl, exe, hta, ins, isp, jar, js, jse, lib, lnk, mde, msc, msi, msp, mst, nsh, pif, scr, sct, shb, sys, vb, vbe, vbs, vxd, wsc, wsf, wsh. Ausführen: zutreffenden Inhalt filternBei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!
Hier empfiehlt sich die Default-Option
Filterregel "ist eine Bulk E-Mail"
Bulk_Mail- Anlegen einer neuen Regel.
E-Mails die als BULK eingestuft sind, werden aktuell massenhaft versendet und sollten nicht in die Mailbox des Users zugestellt werden. Dies könnten z. B. die ersten E-Mails einer neuen SPAM-Welle sein.
Securepoint empfiehlt, dass diese Mails in Quarantäne genommen werden.Regelname
Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!Bulk_Mail
Wenn eine E-Mail eingeht:
Aktion ausführen:
Hier empfiehlt sich die Option
Filterregel "wurde vom URL-Filter erfasst"
URL_Filter- Anlegen einer neuen Regel.
E-Mails die eine gefährliche URL enthalten sollten nicht angenommen werden und nicht in die Mailbox des Users zugestellt werden. Bitte dazu die Einstellungen des URL-Filters beachten.
Securepoint empfiehlt, dass bei diesen Mails der zutreffende Inhalt entfernt wird.Regelname
Aktion ausführen:URL_Filter
Wenn eine E-Mail eingeht:
Die aktuelle Gefährdungslage macht deutlich, dass Standard-Verfahren im Kampf gegen Malware nicht mehr mithalten können.
Potentiell gefährliche Dokumente sollten nicht in die Mailbox des Users zugestellt werden.
Die Identifizierung der Dokumente erfolgt dabei über MIME-Types und Dateiendungen.
Filterregel "Word-Dokumente auf Basis des MIME-Types"
Word_MIME- Anlegen einer neuen Regel.
Damit Word-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig in Quarantäne genommen
und nach 30 Minuten erneut gefiltert werden! Neue Filter-Aktion in 11.8
RegelnameWord_Mime
Wenn eine E-Mail eingeht:
In der Klick-Box können nun MIME_Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
application/msword, application/vnd.openxmlformats-officedocument.wordprocessingml.document, application/vnd.openxmlformats-officedocument.wordprocessingml.template,application/vnd.ms-word.document.macroEnabled.12, application/vnd.ms-word.template.macroEnabled.12Aktion ausführen:
Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!30
Minuten
Securepoint empfiehlt Office-Dokumente nur von bekannten Absendern entgegen zu nehmen.Bei Verwendung eines POP3-Proxys empfiehlt sich folgende Konfiguration:Aktion ausführen:Zusätzlich eine Whitelist-Regel (s.U.) die direkt vor dieser Regel liegt, damit Spam etc. trotzdem gefiltert wird:- Regelname
WL_Word_Mime
- Die gleichen Kriterien wie in diesem Abschnitt oben.
- Button
- » bekannter_Absender.de
- Aktion ausführen:
Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde
- Regelname
Filterregel: "Excel-Dokumente auf Basis des MIME-Types"
Excel_MIME- Anlegen einer neuen Regel.
Damit Excel-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig in Quarantäne genommen
und nach 30 Minuten erneut gefiltert werden! Neue Filter-Aktion in 11.8
RegelnameExcel_Mime
Wenn eine E-Mail eingeht:
In der Klick-Box können nun MIME_Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
application/vnd.ms-excel, application/vnd.openxmlformats-officedocument.spreadsheetml.sheet, application/vnd.openxmlformats-officedocument.spreadsheetml.template, application/vnd.ms-excel.sheet.macroEnabled.12, application/vnd.ms-excel.template.macroEnabled.12, application/vnd.ms-excel.addin.macroEnabled.12, application/vnd.ms-excel.sheet.binary.macroEnabled.12
Aktion ausführen:
Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!30
MinutenSecurepoint empfiehlt Office-Dokumente nur von bekannten Absendern entgegen zu nehmen.Bei Verwendung eines POP3-Proxys empfiehlt sich folgende Konfiguration:Aktion ausführen:Zusätzlich eine Whitelist-Regel (s.U.) die direkt vor dieser Regel liegt, damit Spam etc. trotzdem gefiltert wird:- Regelname
WL_Excel_Mime
- Die gleichen Kriterien wie in diesem Abschnitt oben.
- Button
- » bekannter_Absender.de
- Aktion ausführen:
Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde
- Regelname
Filterregel "Open-Office / Libre-Office-Dokumente auf Basis des MIME-Types"
OOffice_MIME- Anlegen einer neuen Regel.
Damit Open-Office- und Libre-Office--Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig in Quarantäne genommen
und nach 30 Minuten erneut gefiltert werden! Neue Filter-Aktion in 11.8
RegelnameWord_Mime
Wenn eine E-Mail eingeht:
In der Klick-Box können nun MIME_Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
application/vnd.oasis.opendocument.chart-template,application/vnd.oasis.opendocument.database,application/vnd.oasis.opendocument.formula, application/vnd.oasis.opendocument.formula-template,application/vnd.oasis.opendocument.graphics,application/vnd.oasis.opendocument.graphics-template, application/vnd.oasis.opendocument.image,application/vnd.oasis.opendocument.image-template,application/vnd.oasis.opendocument.presentation, application/vnd.oasis.opendocument.presentation-template,application/vnd.oasis.opendocument.spreadsheet, application/vnd.oasis.opendocument.spreadsheet-template,application/vnd.oasis.opendocument.text,application/vnd.oasis.opendocument.text-master, application/vnd.oasis.opendocument.text-template,application/vnd.oasis.opendocument.text-webAktion ausführen:
Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!30
Minuten
Securepoint empfiehlt Office-Dokumente nur von bekannten Absendern entgegen zu nehmen.Bei Verwendung eines POP3-Proxys empfiehlt sich folgende Konfiguration:Aktion ausführen:Zusätzlich eine Whitelist-Regel (s.U.) die direkt vor dieser Regel liegt, damit Spam etc. trotzdem gefiltert wird:- Regelname
WL_OOffice_Mime
- Die gleichen Kriterien wie in diesem Abschnitt oben.
- Button
- » bekannter_Absender.de
- Aktion ausführen:
Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde
- Regelname
Filterregel: "Office-Dokumente auf Basis der Dateiendung"
Office_Extension- Anlegen einer neuen Regel.
Damit Office-Dokumente anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig in Quarantäne genommen
und nach 30 Minuten erneut gefiltert werden! Neue Filter-Aktion in 11.8
RegelnameOffice_Extension
Wenn eine E-Mail eingeht:
In der Klick-Box können nun Datei-Endungen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
doc,dot,docx,docm,dotx,dotm,docb,xls,xlsx,xlt,xlm,xlsb,xla,xlam,xll,xlw, ppt,pot,pps,pptx,pptm,potx,potm,ppam,ppsx,ppsm,sldx,sldm,pub
Aktion ausführen:
Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!30
MinutenSecurepoint empfiehlt Office-Dokumente nur von bekannten Absendern entgegen zu nehmen.Bei Verwendung eines POP3-Proxys empfiehlt sich folgende Konfiguration:Aktion ausführen:Zusätzlich eine Whitelist-Regel (s.U.) die direkt vor dieser Regel liegt, damit Spam etc. trotzdem gefiltert wird:- Regelname
WL_Office_Extension
- Die gleichen Kriterien wie in diesem Abschnitt oben.
- Button
- » bekannter_Absender.de
- Aktion ausführen:
Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde
- Regelname
Filterregel: "Komprimierte Dateien auf Basis des MIME-Type"
Compressed_MIME- Anlegen einer neuen Regel.
Damit Komprimierte Dateien anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
Securepoint empfiehlt, dass Mails mit komprimierten Dateien im Anhang vorläufig in Quarantäne genommen
und nach 30 Minuten erneut gefiltert werden! Neue Filter-Aktion in 11.8
RegelnameWord_Mime
Wenn eine E-Mail eingeht:
In der Klick-Box können nun MIME_Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
application/x-zip-compressed,application/zip
Aktion ausführen:
Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!30
MinutenSecurepoint empfiehlt Mails mit komprimierten Dateien im Anhang nur von bekannten Absendern entgegen zu nehmen.Bei Verwendung eines POP3-Proxys empfiehlt sich folgende Konfiguration:Aktion ausführen:Zusätzlich eine Whitelist-Regel (s.U.) die direkt vor dieser Regel liegt, damit Spam etc. trotzdem gefiltert wird:- Regelname
WL_Compressed_MIME
- Die gleichen Kriterien wie in diesem Abschnitt oben.
- Button
- » bekannter_Absender.de
- Aktion ausführen:
Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde
- Regelname
Filterregel: "Komprimierte Dateien auf Basis der Endung"
Compressed_Extension- Anlegen einer neuen Regel.
Damit Komprimierte Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
Securepoint empfiehlt, dass Mails mit komprimierten Dateien im Anhang vorläufig in Quarantäne genommen
und nach 30 Minuten erneut gefiltert werden! Neue Filter-Aktion in 11.8
RegelnameWord_Mime
Wenn eine E-Mail eingeht:
In der Klick-Box können nun Datei-Endungen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
zip,7z,ace,arj,cab,zz,zipx
Aktion ausführen:
Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!30
MinutenSecurepoint empfiehlt Mails mit komprimierten Dateien im Anhang nur von bekannten Absendern entgegen zu nehmen.Bei Verwendung eines POP3-Proxys empfiehlt sich folgende Konfiguration:Aktion ausführen:Zusätzlich eine Whitelist-Regel (s.U.) die direkt vor dieser Regel liegt, damit Spam etc. trotzdem gefiltert wird:- Regelname
WL_Compressed_Extension
- Die gleichen Kriterien wie in diesem Abschnitt oben.
- Button
- » bekannter_Absender.de
- Aktion ausführen:
Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde
- Regelname
Whitelist Ausnahme Regeln erstellen
Whitelist-
Wenn E-Mails eines bestimmten Absenders (hier von securepoint.de) in jedem Fall zugestellt werden sollen, muss hierfür eine Whiltelist-Ausnahme in dem Mailfilter Regelwerk angelegt werden.
Diese muss folgende Merkmale enthalten:
Wenn eine E-Mail eingeht:
» securepoint.de
Aktion ausführen:
-
Damit eine Regel als Whitelist-Regel funktioniert, muss die Reihenfolge definiert werden, so dass diese Regel vor der allgemeinen Spam-Quarantäne-Regel greift.
Durch klicken und halten mit der linken Maustaste auf die Whitelist-Regel (Pos. 7) in der Spalte „Pos.“, wird diese Regel nach oben über die allgemeine Spam_SMTP Filterregel verschoben. Hat die Regel die gewünschte Position erreicht, wird die Maustaste losgelassen.
Die Whitelist-Regel erhält nun entsprechend ihrer Rangfolge eine neue Positionsnummer.
Gefälschter Absender
fake_sender_intern-
Damit E-Mails mit gefälschtem internen Absender (die gewöhnlich ein hohes Vertrauen genießen) nicht angenommen werden, empfehlen wir zwei Filterregeln nach folgendem Beispiel zu erstellen:
In diesem Beispiel sollen Mails der Maildomain @securepoint.de angenommen werden. Die IP-Adresse des Mailservers wird mit 192.168.175.100 angenommen.
Dies sind lediglich Beispieladressen die lokal angepasst werden müssen.
Regelnamefake_sender_intern1
Wenn eine E-Mail eingeht:
» @securepoint.de
Kriterium hinzufügen
» 192.168.175.100
Aktion ausführen:
Regelnamefake_sender_intern2
Wenn eine E-Mail eingeht: » @securepoint.de
Kriterium hinzufügen
» 192.168.175.100
Aktion ausführen:
URL-Filter
Die folgenden Kategorien sollten in die Liste des URL-Filter mit aufgenommen werden.
- Diese Kategorie enthält aktuell als schädlich eingestufte URLs welche Schadsoftware verbreiten und Phishing Seiten enthalten (Botnetze, Crimeware usw.)
- Diese Kategorie enthält URLs die Pornographische oder überwiegend sexuelle Inhalte bereitstellen.
- Diese Kategorie enthält URLs die Ratgeber bereitstellen zum Thema Hacking, Warez, Malware bauen, Systeme überlisten oder Abofallen.
Weitere Kategorien sind den Anforderungen des Unternehmens anzupassen.
Durch das Kicken auf
wird die Filterregel hinzugefügt.Spamreport
Der Spamreport kann in bestimmten Intervallen die E-Mail Benutzer über von der UTM gefilterte, geblockte oder in Quarantäne genommene E-Mails informieren. Dieser Report kann entweder an einem bestimmten Wochentag oder Täglich, zu einer bestimmten Uhrzeit versendet werden.
Aktion | Wert | Beschreibung |
---|---|---|
Berichte aktivieren: | (Default) | Es werden keine Spamreports versendet. |
Es werden Berichte an die Benutzer versendet. | ||
Es werden Berichte an die Benutzer und eine Übersicht an den Administrator versendet. | ||
Zustellbedingung: | Immer zustellen (Default) | Es wird auf jeden Fall ein Spam-Report gesendet. |
Nicht angenommen | Quarantänisiert oder gefiltert | |
Quarantänisiert oder gefiltert | Es wird nur dann ein Spam-Bericht zugestellt, wenn mindestens eine E-Mail Quarantänisiert oder gefiltert wurde. | |
Alternativer Hostname / IP: | Falls über eine externe IP oder einen anderen Hostnamen auf das Webinterface mit dem Mailserver zugegriffen werden soll. | |
Tag: | (Default) | Dieser Report kann entweder an einem bestimmten | oder versendet werden.
1. Bericht | 20:00 Uhr | Legt die Uhrzeit für das Versenden des Berichts fest |
2.Bericht 3.Bericht 4.Bericht |
Deaktiviert | Bei täglichen Berichten, können insgesamt vier Berichte zu festgelegten Zeiten versendet werden. |
Damit der Report den E-Mail Benutzer auch erreicht, ist es notwendig, dass sich dieser in einer Gruppe befindet, die die Berechtigung Spamreport beinhaltet.
Sind mehrere Mailadressen für einen Benutzer in einem AD hinterlegt, wird der dort als Primäre SMTP-Adresse konfigurierte Eintrag als Default-Adresse verwendet.
Die Einstellung dazu erfolgt im Menü
Gruppen bzw. bearbeiten unter Berechtigungen:
Hier müssen folgende Abschnitte aktiviert werden:
- Spamreport
- Ein aktiviert die Erstellung des Spamreports
- Userinterface
- Ein Die E-Mail Adresse kann aus einem Verzeichnis-Server wie ActiveDirectory oder LDAP entnommen werden, wenn die UTM daran angebunden ist. Ansonsten muss der Benutzer mit seiner E-Mail-Adresse auf der UTM angelegt werden.
Die E-Mail Adresse kann aus einem Verzeichnis-Server wie ActiveDirectory oder LDAP entnommen werden, wenn die UTM daran angebunden ist. Ansonsten muss der Benutzer mit seiner E-Mail-Adresse auf der UTM angelegt werden.
Im Reiter Mailfilter müssen weitere Einstellungen vorgenommen werden, u.a. wird dort die E-Mail Adresse hinterlegt, an die Berichte gesendet werden:
E-Mail-Adresse | ||
Beschriftung | Default | Beschreibung |
---|---|---|
support@ttt-point.de | E-Mailkonten, die von Mitgliedern dieser Gruppe eingesehen werden können, um den Mailfilter zu kontrollieren. Löschen mit | |
E-Mail-Adresse | Eintragen einer Mail-Adresse in die Liste | |
Herunterladen von folgenden Anhängen erlauben: | (Default) | Mitglieder dieser Gruppe können im User-Interface Anhänge von Mails herunterladen, die bestimmte Kriterien erfüllen. |
Weiterleiten von folgenden E-Mails erlauben: | (Default) | Mitglieder dieser Gruppe können im User-Interface E-Mails weiterleiten, die bestimmte Kriterien erfüllen. |
Bericht E-Mail-Adresse: | E-Mail-Adresse, an die ein Spam-Report versendet wird. Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet. Sind mehrere Mailadressen für einen Benutzer in einem AD hinterlegt, wird der dort als Primäre SMTP-Adresse konfigurierte Eintrag als Default-Adresse verwendet.
| |
Sprache der Berichte: | Vorgabe unter Firewall → Sprache der BerichteEs kann gezielt ausgewählt werden: bzw. | →
Spamreport an den User.
Disclaimer und Hinweise
Diese Website wurde mit größtmöglicher Sorgfalt zusammengestellt. Trotzdem kann keine Gewähr für die Fehlerfreiheit und Genauigkeit der enthaltenen Informationen übernommen werden. Jegliche Haftung für Schäden, die direkt oder indirekt aus der Benutzung dieser Website entstehen, wird ausgeschlossen. Sofern von dieser Website auf Internetseiten verwiesen wird, die von Dritten betrieben werden, übernimmt die Securepoint GmbH keine Verantwortung für deren Inhalte.
Folgende Wiki-Artikel können bei der Einrichtung hilfreich sein.