Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
 
(145 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{DISPLAYTITLE:Mailrelay}}
{{DISPLAYTITLE:Mailrelay}}


'''Informationen'''<br>
'''Konfiguration des Mailrelays'''<br>
Letze Anpassung zur Version: '''11.8'''  
{{Archivhinweis | Neu/UTM/APP/Mailrelay}}<br>
<p>Letzte Anpassung zur Version: '''11.8''' </p>
<br>
<br>
Bemerkung: Beschreibung Smarthost ausführlicher
Bemerkung: Allgemeine Anpassung auf die aktuelle Version
<br>
<br>
Vorherige Versionen: [[UTM/APP/Mailrelay | '''11.7''']]
Vorherige Versionen: [[UTM/APP/Mailrelay_11.7| '''11.7''']]
<br>
<br>


===Konfiguration des Mailrelay===
===Konfiguration des Mailrelay===


<p>Die Securepoint UTM Appliance kann mithilfe des Mailrelays E-Mails empfangen und versenden. Das Mailrelay prüft die empfangenen E-Mails und teilt diese in eine entsprechende Kategorie ein. Anhand der Kategorie, wird entschieden ob eine E-Mail an den internen Mailserver weitergeleitet wird oder nicht.</p>
<p>Die Securepoint UTM Appliance kann mithilfe des Mailrelays E-Mails entgegennehmen und an einen internen Mailserver weiterleiten. Das Mailrelay prüft die empfangenen E-Mails und teilt diese in eine entsprechende Kategorie ein. Anhand der Kategorie, wird entschieden ob eine E-Mail an den internen Mailserver weitergeleitet wird oder nicht.</p>
Zum Schutz vor Spam bzw. zur Entlastung des [http://wiki.securepoint.de/index.php/Spamfilter_V11 Mailfilters] lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierte Privat- und Arbeitsplatzrechner. Dagegen haben sich die Überprüfung der Ziel E-Mail-Adressen, das Greylisting und die Greeting Pause als wirksame Funktionen erwiesen.
Zum Schutz vor Spam bzw. zur Entlastung des [[UTM/APP/Spamfilter_V11 | Mailfilters]] lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierten Privat- und Arbeitsplatzrechner. Dagegen haben sich die Überprüfung der Ziel E-Mail-Adressen, das Greylisting und die Greeting Pause als wirksame Funktionen erwiesen.


===Voraussetzungen===
===Voraussetzungen===
Zeile 25: Zeile 26:
'''''Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!'''''
'''''Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!'''''


Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, empfiehlt sich je nach Mail-Aufkommen ein Minimum von 30 GB Festplattenspeicher. <span style="color: red">'''Wo?'''</span>
{{Hinweis | Hinweis:}} Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, sollten die [https://www.securepoint.de/produkte/utm-firewalls.html Hardwareempfehlungen] unbedingt berücksichtigt werden!<br><br>
 


====Regelwerk====
====Regelwerk====


[[Datei:UTM_V114_PFMR1.png|thumb|right|hochkant=2|Portfilterregel für eingehende Mails]]
[[Datei:UTM_V11-8_PFMR.png|thumb|right|hochkant=2|Portfilterregel für eingehende Mails]]
Um anderen Mailservern die Zustellung von Mails auf das Mail-Relay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:
Um anderen Mailservern die Zustellung von Mails auf das Mailrelay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:


{{Hinweis|Hinweis:}} Sollte neben der Internetverbindung mit der IP, über die der Mailversand stattfindet, keine weitere verfügbar sein, muss dafür gesorgt werden, dass NUR dem Mailserver der Versand von Mail per SMTP erlaubt wird. Sonst könnte ein einziger von einem Trojaner kompromittierter Rechner im Netzwerk das Versenden von Mails empfindlich stören oder gar gänzlich unmöglich machen, weil dieser mit der öffentlichen IP Spams und Malware verbreitet und diese innerhalb kürzester Zeit auf entsprechenden Blacklisten für Spammer gelistet wird.
{{Hinweis|Hinweis:}} Sollte neben der Internetverbindung mit der IP, über die der Mailversand stattfindet, keine weitere verfügbar sein, muss dafür gesorgt werden, dass NUR dem Mailserver der Versand von Mail per SMTP erlaubt wird. Sonst könnte ein einziger von einem Trojaner kompromittierter Rechner im Netzwerk das Versenden von Mails empfindlich stören oder gar gänzlich unmöglich machen, weil dieser mit der öffentlichen IP Spams und Malware verbreitet und diese innerhalb kürzester Zeit auf entsprechenden Blacklisten für Spammer gelistet wird.


{{Warnung|Wichtig:}} Es darf keine Portweiterleitung für SMTP existieren. Diese würde dafür sorgen, dass die Mails am Mailrelay vorbeigeleitet werden!
{{Hinweis | ! Wichtig:}} Es darf keine Portweiterleitung für SMTP existieren. Diese würde dafür sorgen, dass die Mails am Mailrelay vorbeigeleitet werden!
<br><br clear=all>
<br><br clear=all>


====Grundkonfiguration====
====E-Mail-Adresse====
Unter {{Menu|→Netzwerk →Servereinstellungen}} {{Beschriftung|Globale E-Mail Adresse:}} sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.
Unter {{Menu| Netzwerk | Servereinstellungen}} {{Beschriftung|Globale E-Mail Adresse:}} sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.
<br><br>


===Grundkonfiguration des Mail Relay zum Empfang von Mails===
===Grundkonfiguration des Mail Relay zum Empfang von Mails===


Die Konfiguration des Mail-Relay findet unter {{Menu|Anwendungen Mail Relay}} statt.  
Die Konfiguration des Mailrelay findet unter {{Menu| Anwendungen | Mail Relay}} statt.  
<br clear=all>
<br clear=all>


====Allgemeine Einstellungen====
===={{Reiter|Allgemein}}====
[[Datei:UTM 11-8 Mailrelay Allgemein.png|thumb|right|hochkant=1.5|Allgemeine Einstellungen des Mail Relay]]
[[Datei:UTM 11-8 Mailrelay Allgemein.png|thumb|right|hochkant=1.5|Allgemeine Einstellungen des Mail Relay]]
{{Beschriftung|Mailfilter aktivieren:}} aktivieren
<p>{{Tab | {{Beschriftung|Mailfilter aktivieren:}} | aktivieren}}</p>
 
<p>{{Tab | {{Beschriftung|Postmaster-Adresse:}} | Hier muss eine korrekte Mail-Adresse hinterlegt sein.}}</p>
{{Beschriftung|Postmaster-Adresse:}} Hier muss eine korrekte Mail-Adresse hinterlegt sein.
{{Tabp | {{Beschriftung|Maximale Nachrichtengröße:}} | <code>20</code> Megabytes ist die Standard-Vorgabe.}}
{{Tabp | {{Beschriftung| Ausgehende IP-Adresse: }} | Bei Multipath-Routing kann hier eine Ausgehende Schnittstelle durch die IP-Adresse angegeben werden.<br>{{Hinweis | !}}Auch die interne Kommunikation läuft dann über diese IP-Adresse. Es müssen weitere Filter eingerichtet werden, damit auch interne Mails mit dieser IP akzeptiert werden.}}


{{Beschriftung|Maximale Nachrichtengröße:}} <code>20</code> Megabytes ist die Standard-Vorgabe.
{{Beschriftung| Ausgehende IP-Adresse: }} <span style="color: red">Wozu ist das gut?</span>
<br clear=all>
<br clear=all>


====Smarthost====
===={{Reiter|Smarthost}}====
[[Datei:UTM 11-8 Mailrelay Smarthost.png|hochkant=1.5|thumb|right|Smarthost Einstellungen des Mail Relay]]
{{pt|UTM 11-8 Mailrelay Smarthost.png|Smarthost Einstellungen des Mail Relay}}Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist. Das ist z.B. der Fall, wenn kein eigener Mailserver betrieben wird oder keine feste öffentliche IP-Adresse vorliegt.
Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist. Das ist z.B. der Fall, wenn kein eigener Mailserver betrieben wird.
{{Tabp | {{Beschriftung| Smarthost aktivieren: }} | muss aktiviert sein.| 210px| 3px}}
 
{{Tabp | {{Beschriftung|Smarthost:}} | <code>smtp.allerweltsprovider.de</code> Externer Mailserver | 210px| 3px}}
{{Beschriftung| Smarthost aktivieren: }} muss aktiviert sein.
{{Tabp | {{Beschriftung|Port:}} | <code>25</code> Mail-Port für externen Mail-Server | 210px| 3px }}
 
{{Tabp | {{Beschriftung| Authentifizierung aktivieren:}} | {{ButtonAn |Ein}} Sollte unbedingt aktiv sein!| 210px| 3px}}
{{Beschriftung|Smarthost:}} <code>smtp.allerweltsprovider.de</code> Externer Mailserver  
{{Tabp | {{Beschriftung|Benutzer:}} | <Code>Zugangsdaten</code>| 210px| 3px}}
 
{{Tabp | {{Beschriftung|Passwort}} | <code>Zugangsdaten</code>| 210px| 3px}}
{{Beschriftung|Port:}} <code>25</code> Mail-Port für externen Mail-Server
 
{{Beschriftung| Authentifizierung aktivieren:}} Sollte unbedingt aktiv sein müssen!!
 
{{Beschriftung|Benutzer:}} <Code>Zugangsadaten</code>
 
{{Beschriftung|Passwort}} <code>Zugangsdaten</code>
<br clear=all>
<br clear=all>


====Relaying====
===={{Reiter|Relaying}}====
[[Datei:UTM 11-8 Mailrelay Relaying.png|hochkant=1.5|thumb|right|Konfiguration Relaying]]
{{ pt | UTM 11-8 Mailrelay Relaying.png | Konfiguration Relaying}}{{h5 | Relaying-Liste | {{KastenGrau | Relaying-Liste}} }}
Zentrale Einstellung ist, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.
Zentrale Einstellung ist, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.
<br clear=all>
<br clear=all>
Hinzufügen eines Eintrags mit dem Button {{Button|+ Domain / Host hinzufügen}}
{{ pt | UTM 11-8 Mailrelay Relaying Domain hinzufügen.png | Domain / Host hinzufügen Dialog}}Hinzufügen eines Eintrags mit dem Button {{Button|+ Domain / Host hinzufügen}}
[[Datei:UTM 11-8 Mailrelay Relaying Domain hinzufügen.png|hochkant=1|thumb|right|Domain / Host hinzufügen Dialog]]
<p>Angabe folgender Werte:</p>
Angabe folgender Werte:
{{ td | {{Beschriftung|Domain:}} | <code>E-Mail-Domainname oder IP-Adresse</code> | w=100px }}
{{ td | {{Beschriftung | Option}} | {{MenuD | Kriterium auswählen}} <br>
* {{ td |  {{MenuD | NONE}} | Die Aktion wird auf alle Ereignisse angewendet. | w=100px }}
* {{ TabDL | {{MenuD | From}} | Hier wird die Absender-Domain ausgewertet. Beispiel: Domain: partnerfirma.de - Betrifft alle Mails mit der Domain <code>partnerfirma.de</code> im Absender. | w=100px }}
* {{TabDL | {{MenuD | To}} | Hier wird die Empfänger-Domain ausgewertet. Beispiel: Domain: firma.de - Betrifft alle Mails mit der Domain <code>firma.de</code> im Empfänger. | w=100px }}
* {{TabDL |{{MenuD | Connect}} | Hier wird die IP, der Hostname oder die Domain des Mail'''servers''' ausgewertet, der die Mail zustellen möchte. Beispiel: Domain: <code>partnerfirma.de</code> - Betrifft alle Mails, von Mailservern aus der Domain <code>partnerfirma.de</code> - unabhängig vom Sender oder Empfänger der Mail.  | w=100px }} | w=100px }}


{{Beschriftung|Domain:}} <code>Domainname</code>
<br>
{{ TabDL | {{Beschriftung|Aktion}} | {{MenuD|Wert auswählen}} <br>
* {{TabDL | {{MenuD | RELAY}} | Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet.  | w=100px }}
* {{TabDL | {{MenuD | REJECT}} | Mails werden abgewiesen. | w=100px }}
* {{TabDL | {{MenuD | OK}} | Mails werden angenommen und an ein lokales Postfach zugestellt, aber nicht weitergeleitet. | w=100px }}  | w=100px }}


{{Beschriftung|Option}} {{MenuD|Wert auswählen}}
{{ TabDL | | Da es einerseits keine lokalen Postfächer auf der Securepoint Appliance gibt und andererseits alle Mails, für die kein Relay-Eintrag existiert, ohnehin abgewiesen werden, ist "RELAY" an dieser Stelle die einzig sinnvolle Option| w=100px }}


*NONE: <span style="color: red">Was passiert dann?</span><p>
Um also alle Mails zu relayen, die für Empfänger der eigenen Domain bestimmt sind, muss folgender Eintrag konfiguriert werden. <p>
*From: Hier wird die Absender-Domain ausgewertet. Beispiel: Domain: partnerfirma.de - Option: From: - Aktion: RELAY - Alle Mails mit der Domain partnerfirma.de im Absender werden angenommen.</p>
{{td | |{{ td | {{ B | Domain}} |<code>firma.de</code> | w=100px }}
*To: Hier wird die Empfänger-Domain ausgewertet. Beispiel: Domain: firma.de - Option: To: - Aktion: RELAY - Alle Mails mit der Domain firma.de im Empfänger werden angenommen.<p>
{{ td | {{ b | Option}} |<code>To</code> | w=100px }}
*Connect: Hier wird die IP, der Hostname oder die Domain des Mailservers ausgewertet, der die Mail zustellen möchte. Beispiel: Domain: partnerfirma.de - Option: Connect - Aktion: RELAY - alle Mails, die von Mailservern aus der Domain partnerfirma.de zugestellt werden, werden angenommen - unabhängig vom Sender oder Empfänger der Mail.</p>
{{ td | {{ b | Aktion}} | <code>RELAY</code> | w=100px }}  | w=100px }}
<br clear=all>


{{ td | {{KastenGrau | Exakten Domainnamen für das Relaying verwenden:}} |{{ButtonAn |Ein}}  Das Relay reagiert nur auf den in der Liste eingetragenen Domainnamen und nicht auf nicht eingetragene Subdomains oder Erweiterungen. <br>
Beispiel: '''In die Relayliste eingetragene Domain: securepoint.de'''<br>
{{#if:||
{{{!}}  border="0"  class="wikitable"
!{{ButtonAn | Ein}} <br> vom Mailrelay akzeptiert !! {{ButtonAus | Aus}} <br>vom Mailrelay akzeptiert
{{!}}-
{{!}}@securepoint.de {{!}}{{!}}  @securepoint.de<br>@support.securepoint.de<br>@securepoint.de.com
{{!}}}  }}
| w=350px }}
<br>
<br>
{{Beschriftung|Aktion}}  {{MenuD|Wert auswählen}}
*RELAY: Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet.<p>
*REJECT: Mails werden abgewiesen.</p>
*OK: Mails werden angenommen und an ein lokales Postfach zugestellt, aber nicht weitergeleitet.<p>
Da es einerseits keine lokalen Postfächer auf der Securepoint Appliance gibt und andererseits alle Mails, für die kein Relay-Eintrag existiert, ohnehin abgewiesen werden, ist "RELAY" an dieser Stelle die einzig sinnvolle Option.</p>
Um also alle Mails zu relayen, die für Empfänger der eigenen Domain bestimmt sind, muss ein Eintrag mit der Domain "firma.de", der Option "To:" und der Aktion "RELAY" konfiguriert werden.
[[Datei:UTM_11-8_Mailrelay_Relaying_Exakt.png|thumb|right|hochkant=1.5|Aktivierung des Filters für Exakte Domainnamen]]
Ist die Option {{Beschriftung|Exakten Domainnamen für das Relaying verwenden:}} aktiviert, reagiert das Relay nur auf den in der Liste eingetragenen Domainnamen und nicht auf nicht eingetragene Subdomains oder Erweiterungen.
Beispiel:<br>
In die Relayliste eingetragene Domain: securepoint.de
{|  border="0"  class="wikitable"
!Von Mailrelay akzeptiert wenn<br>Option aktiv !! Von Mailrelay akzeptiert wenn<br>Option inaktiv
|-
|@securepoint.de ||  @securepoint.de<br>@support.securepoint.de<br>@securepoint.de.com
|}
<br clear=all>
<br clear=all>
Abschnitt: '''Einstellungen'''
{{h5 | Einstellungen | {{Kasten | Einstellungen}} }}{{ a | 6}}
{{ Beschriftung|TLS Verschlüsselung für das Mailrelay aktivieren:}} <span style="color: red">um was zu tun?</span>
{{TabDL | {{ Beschriftung | TLS Verschlüsselung für das Mailrelay aktivieren:}} | {{ButtonAn|Ein}} Wird TLS deaktiviert, werden Mails im Klartext unverschlüsselt versendet! | w=25em | m=5px}}
 
{{TabDL | {{Beschriftung | CA:}} | Auswahl der {{MenuD | öffentlichen Zertifizierungsstelle}}, wenn ein öffentliches Zertifikat einer Zertifizierungsstelle zur Verfügung steht.<br> Die UTM bringt eine eigene Zertifizierungsstelle mit eigenem Zertifikat mit, die per {{MenuD | Default}} vorgegeben sind. | w=5.5em | m=5px }}
{{Beschriftung|CA:}} Auswahl der {{MenuD|Lokalen Zertifizierungsstelle}}
{{TabDL | {{Beschriftung | Zertifikat:}} | Auswahl des dazugehörigen {{MenuD | Zertifikats}} | w=5.5em | m=5px }}


{{Beschriftung|Zertifikat:}} Auswahl des dazugehörigen {{MenuD|Zertifikats}}
<br><br>
<br><br>


====SMTP Routen====
===={{Reiter|SMTP Routen}}====
[[Datei:UTM 11-8 Mailrelay SMTP Routen.png|hochkant=1.5|thumb|right|Konfiguration der SMTP Routen]]
{{ h5 | SMTP Routen-Liste | {{KastenGrau | SMTP Routen-Liste}} }}
Hier muss eingestellt werden, an welchen Mailserver eine entgegengenommene Mail weitergeleitet werden soll. Falls dies nicht geschieht, wertet das Mail-Relay den MX-Record der Empfänger-Domain aus - der auf das Relay selbst zeigt! Es wird dann ein sogenannter "Loopback" erkannt, durch den die Annahme der Mail mit einer entsprechenden Fehlermeldung abgebrochen wird. Im Folgenden können dann auch weitere Domains auf den gleichen oder auf andere Mailserver weitergeleitet werden.
{{pt | UTM 11-8 Mailrelay SMTP Routen.png|Konfiguration der SMTP Routen}}Hier muss eingestellt werden, an welchen Mailserver eine entgegengenommene Mail weitergeleitet werden soll. Falls dies nicht geschieht, wertet das Mailrelay den MX-Record der Empfänger-Domain aus - der auf das Relay selbst zeigt! Es wird dann ein sogenannter "Loopback" erkannt, durch den die Annahme der Mail mit einer entsprechenden Fehlermeldung abgebrochen wird. Im Folgenden können dann auch weitere Domains auf den gleichen oder auf andere Mailserver weitergeleitet werden.</p>
<p>Mit dem Button {{Button|+&nbsp;SMTP-Routing&nbsp;hinzufügen}} werden weitere Routen angelegt.</p>


Mit dem Button {{Button|+&nbsp;SMTP-Routing&nbsp;hinzufügen}} werden weitere Routen angelegt.
<p>Erforderliche Angaben dabei:</p>
{{TabP | {{Beschriftung|Domain:}} | <code>Maildomain</code> | 6.1em}}
{{TabP | {{Beschriftung|Mailserver:}} | <code>entweder als FQDN oder die IP-Adresse</code> | 6.1em}}


Erforderliche Angaben dabei:
{{ h5 | Einstellungen |  {{Beschriftung| Einstellungen}} }}<br>In dieser Rubrik kann die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.<p></p>


{{Beschriftung|Domain:}} <code>Maildomain</code>
{{ td | {{Beschriftung| E-Mail-Adresse überprüfen: }} | Es stehen folgende {{MenuD|Werte}} zur Verfügung:<br>
*{{ td | {{MenuD|SMTP}} | Die Securepoint Appliance fragt im Hintergrund den internen Mailserver ab.<br>{{Hinweis|Hinweis:}} Die Validierung muss ebenso am Mailserver aktiv sein! (Recipient Verification z.B. bei einem Exchange) | w=100px }}
*{{ td | {{MenuD | LDAP}} | Die Securepoint Appliance fragt beispielsweise den Active Directory-Server ab.<br>Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter [[UTM/AUTH/AD_Anbindung|{{Menu | Authentifizierung | AD/LDAP Authentifzierung}}]] konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten. | w=100px }}
*{{ td | {{MenuD | Lokale E-Mail-Adressliste}} |Hier stehen alle bekannten Adressen.| w=170px }}
{{ td ||Mit {{Button | Lokale E-Mail-Adressliste bearbeiten}} können Mail-Adressen hinzugefügt und entfernt werden. | w=125px }} | w=200px }}
<br clear=all>
<br><br>


{{Beschriftung|Mailserver:}} <code>entweder als fqdn oder die IP-Adresse</code>
===Optionale Einstellungen===
 
Weitere Einstellungen sind empfehlenswert, aber für einen operativen Einsatz nicht zwingend notwendig:
In der Rubrik [[Beschriftung|-Einstellungen-}} kann die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.
<br><br>
 
Für {{Beschriftung| E-Mail-Adresse überprüfen: }} Stehen folgende {{MenuD|Werte}} zur Verfügung:
*über {{MenuD|SMTP}}, indem die Securepoint Appliance im Hintergrund den internen Mailserver abfragt.<br>{{Hinweis|Hinweis:}} Die Validierung muss ebenso am Mailserver aktiv sein! (Recipient Verification z.B. bei einem Exchange)<p>
<!--  Das ist nicht mehr aktuell!!
[[Datei:UMA_V114_EALDAP.png|hochkant=1.5|thumb|right|Konfiguration des LDAP-Servers]]
-->
*über {{MenuD|LDAP}}, indem die Securepoint Appliance beispielsweise den Active Directory-Server abfragt.<br>Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter {{Menu|→Authentifizierung →AD/LDAP Authentifzierung}} konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten.</p>
*über eine {{MenuD|Lokale E-Mail-Adressliste}}, in der alle bekannten Adressen stehen. <p>
Mit {{Button|Lokale E-Mail-Adressliste bearbeiten}} können Mail-Adressen hinzugefügt und entfernt werden.</p>
<br clear=all>


====Greylisting====
====Greylisting====
[[Datei:UTM_V114_MRGL.png|hochkant=1.5|thumb|right|Konfiguration von Greylisting]]
{{pt|UTM_v11-8_Mailrelay_Greylisting-on.png|Konfiguration von Greylisting}}Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird. Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.
<span style="color: red"> Das gehört hier nicht hin=> Schulung? Das weltweite Spam-Aufkommen stammt wie gesagt zum größten Teil (über 90%) nicht von regulären Mailservern, sondern von durch Viren und Trojaner kompromittierten Privat- und Arbeitsplatzrechnern. Greylisting macht sich zu Nutze, dass in diese Spambots das SMTP-Protokoll nicht gänzlich implementiert wurde. </span>
 
<p>Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird. Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste. </p>
<p>Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.</p>
<p>Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.</p>


=====Whitelist=====
=====Whitelist=====
[[Datei:UTM116_AI_MRGLwldom.png|hochkant=1.5|thumb|right|Whitelisteintrag einer MailserverDomain]]
<!-- [[Datei:UTM116_AI_MRGLwldom.png|hochkant=1.5|thumb|right|Whitelisteintrag einer MailserverDomain]] -->
Die Whitelist erlaubt folgende Einträge:
Die Whitelist erlaubt folgende Einträge:
<p>{{Reiter| IP / Netzwerke}} Hier können einzelne IP-Adressen oder Netzwerke hinzugefügt werden z.B.: <code>10.0.0.0/8</code></p>
{{ td | {{Reiter| IP / Netzwerke}} | Hier können einzelne IP-Adressen oder Netzwerke hinzugefügt werden z.B.: <code>10.0.0.0/8</code> | w=110px | m=3px }}
<p>{{Reiter|Domains}} Hier können einzelne Domains hinzugefügt werden z.B.: <code>Maildomain.net</code><br>{{Hinweis|Wichtig}}  Die Domain des Mailservers muss nicht  identisch mit der E-Mail Domain des Absender sein. Beispiel: Absender <code>user@example.net</code> aber Mailserver <code>mta.mailserverdomain.net</code></p>
{{ td | {{Reiter|Domains}} | Hier können einzelne Mail'''server'''-Domains hinzugefügt werden z.B.: <code>Maildomain.net</code><br>{{Hinweis | Wichtig | background-color=gelb}}  Die Domain des Mailservers muss nicht  identisch mit der E-Mail Domain des Absender sein. <br>Beispiel: Absender <code>user@EigenerDomainname.de</code> sendet über den Mailserver <code>smtp.allerweltsprovider.de</code> | w=110px | m=3px }}
<p>{{Reiter|Empfänger}} Hier können einzelne Empfänger hinzugefügt werden z.B.: <code>MailUser@Maildomain.de</code></p>
{{ td |  {{Reiter|Empfänger}} | Hier können einzelne Empfänger hinzugefügt werden z.B.: <code>MailUser@Maildomain.de</code> | w=110px | m=3px }}
<p>{{Reiter|Absender}} Hier können einzelne Absender hinzugefügt werden z.B.: <code>MailSender@Maildomain.org</code>
{{ td |  {{Reiter|Absender}} | Hier können einzelne Absender hinzugefügt werden z.B.: <code>MailSender@Maildomain.org</code><br>Um alle Absender einer E-Mail Domain in die Whitelist mit aufzunehmen, wird dieser Eintrag als [[:UTM/APP/Regex |Regulärer Ausdruck]] eingetragen: <code>/.*@Maildomain\.org/</code> | w=110px | m=3px }}
[[Datei:UTM116_AI_MRGLwlabs.png|hochkant=1.5|thumb|right|Whitelisteintrag einer kompletten E-Mail Domain]]
<p></p>
Um eine komplette E-Mail Domain in die Whitelist mit aufzunehmen, wird dieser Eintrag als Regulärer Ausdruck eingetragen:<code>/.*@example\.net/</code>
<span style="color: red">Wo liegt der effektive Unterschied zu {{Reiter|Domain}}?</span>


=====Einstellungen=====
=====Einstellungen=====


{{Beschriftung|Greylisting aktivieren: }} aktiviert die Funktion
{{Tabp | {{Beschriftung |Greylisting aktivieren: }} | aktiviert die Funktion | 210px| 3px}}
 
{{Tabp | {{Beschriftung |SPF aktivieren:}} | Wenn das [https://de.wikipedia.org/wiki/Sender_Policy_Framework Sender Policy Framework] der Absenderdomain korrekt im DNS eingetragen ist, wird die Mail ohne Verzögerung zugestellt. | 210px| 3px}}
{{Beschriftung| SPF aktivieren:}} Das SPF ist besonders für große Absender-Domains sehr wichtig, um die Verzögerung der Mail-Zustellung möglichst gering zu halten.
{{Tabp | {{Beschriftung |Automatisches Whitelisten für:}} | Vorgabe <code>7</code> Tage: Für diesen Zeitraum werden Mails sofort entgegengenommen. | 210px| 3px}}
 
{{Tabp | {{Beschriftung |Verzögerung: }} | Vorgabe <code>2</Code> Minuten: Zeitraum, der dem sendenden Mailserver vorgegeben wird, um einen weiteren Zustellversuch vorzunehmen. | 210px| 3px}}
{{Beschriftung| Automatisches Whitelisten für:}} Vorgabe <code>7</code> Tage. Für diesen Zeitraum werden Mails sofort entgegengenommen.  
<p></p>
 
<p>{{Hinweis | Hinweis| gelb}} Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden</p>
{{Beschriftung|Verzögerung: }} <span style="color: red">macht was?</span>
{{Hinweis | Positiv: | grün}} Wird ein größerer Wert für {{Beschriftung |Verzögerung}} von z.B.: <code>30</code> Minuten gewählt, kann die Scan-Engine bei der erneuten Zustellung mit zwischenzeitlich aktualisierten  Virensignaturen eine höhere Erkennungswahrscheinlichkeit bei neuen Outbreaks aufweisen.
 
<br><br>
<br>{{Warnung|Achtung:}} Greylisting erzeugt einen möglichen Nachteil: Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden. Alternativ kann auch auf den Einsatz der  {{Reiter|Erweitert}} {{Beschriftung|Greeting Pause}} ausgewichen werden.
 
 
Die Grundkonfiguration ist damit beendet. Die Securepoint Appliance ist nun voll funktional als Mail-Relay mit Spam- und Virenschutz für eingehende E-Mails einsetzbar. Soll das Mail-Relay auch für ausgehende Mails verwendet werden, sind [http://wiki.securepoint.de/index.php/Mail_Relay_V11#Konfiguration_des_Mail_Relay_f.C3.BCr_ausgehende_Mails weitere Konfigurationsschritte] notwendig.


====Domain Mapping====
====Domain Mapping====
<span style="color: red">Domain Mapping tut tolle Sachen.</span>
<p>Domains können gemappt werden, eingehende Mails an um z.B. <code>user@Maildomain.net</code> auch unter <code>user@Maildomain.de</code> zu empfangen.</p>
Mit {{Button|+ Domain Mapping hinzufügen}} kann das Mapping zwischen zwei Domains aktiviert werden.<br>Dazu muss jeweils eine {{Beschriftung|Quell-Domain:}} und eine {{Beschriftung| Ziel-Domain:}} angegeben werden.
<p>Mit {{Button|+ Domain Mapping hinzufügen}} kann das Mapping zwischen zwei Domains aktiviert werden.</p>
<br clear=all>
<p>Dazu muss jeweils eine {{Beschriftung|Quell-Domain:}} und eine {{Beschriftung| Ziel-Domain:}} angegeben werden.</p>
<br clear=all><br><br>


====Erweiterte Einstellungen====
====Erweiterte Einstellungen====
[[Datei:UTM_V114_MRErw.png|hochkant=1.5|thumb|right|Erweiterte Einstellungen des Mail Relay]]
{{pt|UTM_V11-8_Mailrealy_Erweitert.png|Erweiterte Einstellungen des Mail Relay}}Auf der Registerkarte "Erweitert" befinden sich weitere Optionen zur Vermeidung von Spam, die jeweils einzeln aktiviert werden können:
Auf der Registerkarte "Erweitert" befinden sich weitere Optionen zur Vermeidung von Spam, die jeweils einzeln aktiviert werden können:
{{ td | {{h6 | Greeting Pause | {{Beschriftung|Greeting Pause:}} }} | <code>2000</code> Milisekunden (Standardwert). Zeit, in der der Mailserver die Greetingzeile auswertet, bevor er SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. | w=245px }}
======Greeting Pause======
----
* Greeting Pause: {{Beschriftung|Greeting pause:}} <code>2000</code> Milisekunden (Standardwert). Zeit, in der der Mailserver die Greetingzeile auswertet, bevor er SMTP-Kommandos sendet, um die Mailzustellung einzuleiten.<p>
{{ td | {{h6 | Helo | {{Beschriftung| HELO benötigt:}} }} | {{ ButtonAn |Ein}} Sollte unbedingt aktiviert bleiben (Standard) Dieser Schalter existiert, um Abwärtskompatibilität zu gewähleisten. | w=245px }}
======Helo======
----
* {{Beschriftung| HELO benötigt:}} ????</p>
{{ td | {{h6 | Recipient flooding verhindern: | {{ b | Recipient flooding verhindern: }} }} | {{ButtonAus |Aus}} | w=245px | m=5px  }}
======Recipient flooding verhindern:======
{{ td | {{Beschriftung| Verzögerung nach: }} | {{sw |2}} Versuchen. Anzahl fehlgeschlagener Zustellungsversuche (z.B. aufgrund von fehlgeschlagener Adressvalidierung), bevor Anfragen nur noch verzögert beantwortet werden. | w=245px }}
* Recipient flooding verhindern: {{Beschriftung| Verzögerung nach: }} <code>2</code> (Standardwert). Anzahl fehlgeschlagener Zustellungsversuche (z.B. aufgrund von fehlgeschlagener Adressvalidierung), bevor Anfragen nur noch verzögert beantwortet werden.<p>
----
======Empfängerbeschränkung aktivieren:======
{{ td | {{h6 | Empfängerbeschränkung aktivieren: | {{ b | Empfängerbeschränkung aktivieren:}} }} | {{ButtonAus | Aus}} | w=245px | m=5px }}
* Empfängerbeschränkung aktivieren: {{Beschriftung| Limit: <code>25</code> (Standardwert). Diese Option blockiert Mails, die mehr als eine einstellbare Zahl Empfängeradressen aufweisen</p>
{{ td | {{Beschriftung| Limit:}} | {{ sw |25}} Diese Option blockiert Mails, die mehr als eine einstellbare Zahl Empfängeradressen aufweisen | w=245px }}
======Verbindungslimit:======
----
* Verbindungslimit: {{Beschriftung| Erlaubte Verbindungen pro Sekunde:  <code>5</code> (Standardwert). Hier kann eingestellt werden, wie viele Verbindungen das Mail-Relay pro Sekunde annimmt. "Befreundete" Mailserver können mit {{Button|Ausnahmen}} in einer Ausnahmeliste von dieser Limitierung ausgenommen werden.
{{ td | {{h6 | Verbindungslimit | {{ b | Verbindungslimit aktivieren:}} }} | {{ButtonAus |Aus}} | w=245px | m=5px }}
======Rate Kontrolle:======
{{ td | {{Beschriftung| Erlaubte Verbindungen pro Sekunde:}} | {{ sw | 5 }} Anzahl der Verbindungen, die das Mailrelay pro Sekunde annimmt. "Befreundete" Mailserver können mit {{Button|Ausnahmen}} in einer Ausnahmeliste von dieser Limitierung ausgenommen werden.| w=245px }}
* Hier kann konfiguriert werden, wie viele  {{Beschriftung| Verbindungen pro Host:}} innerhalb eines einstellbaren Zeitraums ({{Beschriftung| Time frame: }}) aufgebaut werden können. (Standardwerte:<code>5</code> Verbindungen in  <code>60</code> Sekunden. Auch hier ist es möglich, bekannte Mailserver als {{Button|Ausnahmen}} von dieser Limitierung auszunehmen.<p>
----
* {{Beschriftung|Reverse DNS lookup benötigt:}} kann ggf. aktiviert werden</p>
{{ td | {{h6 | Rate Kontrolle | {{ b | Rate Kontrolle }} }} | {{ButtonAus |Aus}} | w=245px | m=5px }}
* {{Beschriftung| Unauflösbare Domains akzeptieren:}} kann ggf. aktiviert werden</p>
{{ td | {{Beschriftung| Time frame: }} | {{sw | 60 }} Sekunden. Zeitraum, innerhalb dessen gezählt wird.| w=245px }}
{{ td | {{Beschriftung| Verbindungen pro Host:}} {{ sw | 5 }} Anzahl der Verbindungen pro Host, die innerhalb des Time frames aufgebaut werden können.<br>Bekannte Mailserver können als {{Button|Ausnahmen}} von dieser Limitierung definiert werden. | w=245px }}
----
{{ td | {{h6 | Reverse DNS lookup | {{Beschriftung|Reverse DNS lookup benötigt:}} }} | {{ButtonAus |Aus}} kann ggf. aktiviert werden | w=245px | m=5px }}


{{ td | {{h6 | Unauflösbare Domains | {{Beschriftung|Unauflösbare Domains akzeptieren:}} }} | {{ButtonAus |Aus}}kann ggf. aktiviert werden | w=245px }}
<br><br>


======Greeting Pause======
===Konfiguration des Mailrelays für ausgehende Mails===
<span style="color: red">-> Schulung? Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in durch Viren und Trojaner verbreitete Spambots das SMTP-Protokoll nicht vollständig implementiert ist und diese sich dadurch von regulären Mailservern unterscheiden.<br>
Das Greeting ist eine Textzeile, die vom Mail-Relay an den sendenden Mailserver übermittelt wird. Sie könnte z.B. so aussehen:
<code>220 firewall.foo.local ESMTP Sendmail 8.14.4/8.14.4; Tue, 8 Mar 2011 14:29:30 +0100</code>
Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen, Kommandos zu senden, da dieser Aspekt des SMTP-Protokolls aus Platzgründen höchstwahrscheinlich ebenso wenig wie ein wiederholter Zustellungsversuch (siehe [http://wiki.securepoint.de/index.php/Mailrelay_V11#Greylisting Greylisting]) implementiert ist. In diesem Fall wird das Mailrelay keine Kommandos mehr entgegennehmen.
 
Da die Menge der Spambots, die auf diesen Trick "hereinfallen", nahezu deckungsgleich ist mit der, die durch das Greylisting aussortiert werden können, bietet sich die Greetingpause als Alternative in Fällen an, in denen durch das Greylisting unzumutbar lange Zustellzeiten entstehen.
 
======Recipient Flooding======
 
Viele Spammer versuchen, zu hunderten (oder gar tausenden) Spams an "erfundene" Mailempfänger einer Domain zuzustellen, in der Hoffnung, dass zumindestens eine irgendwie in einem Postfach landet, gelesen und vielleicht sogar beantwortet wird.  Dadurch können aufgrund der verbrauchten Bandbreite andere Internetverbindungen empfindlich gestört werden. Um dieses "Recipient Flooding" wirksam zu unterbinden, können Anfragen eines Hosts, der innerhalb kurzer Zeit eine einstellbare Anzahl fehlgeschlagener Zustellungsversuche (z.B. aufgrund von fehlgeschlagener Adressvalidierung) aufzuweisen hat, nur noch verzögert beantwortet werden. (Default: 2)
 
======Limitierte Anzahl von Empfängern======
 
Diese Option blockiert Mails, die mehr als eine einstellbare Zahl Empfängeradressen aufweisen (Default: 25).
 
Damit können auch wirkungsvoll "Spaßmails" (Mails mit angehängten lustigen Bildern, Videos oder Powerpoint-Präsentationen, die gerne an das komplette Adressbuch weitergeleitet werden) unterbunden werden.
 
======Limitierte Verbindungen======
 
Hier kann eingestellt werden, wie viele Verbindungen das Mail-Relay pro Sekunde annimmt (Default: 5). "Befreundete" Mailserver können in einer Ausnahmeliste von dieser Limitierung ausgenommen werden.
 
======Rate Kontrolle======
 
Hier kann konfiguriert werden, wie viele Verbindungen ein einzelner Host innerhalb eines einstellbaren Zeitraums aufbauen kann (Default: 5 Verbindungen in 60 Sekunden). Auch hier ist es möglich, bekannte Mailserver von dieser Limitierung auszunehmen.
</span>
 
===Konfiguration des Mail-Relay für ausgehende Mails===


Um wirklich sicherzugehen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mail-Relay auch für ausgehende Mails verwendet werden.
Um wirklich sicherzugehen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mailrelay auch für ausgehende Mails verwendet werden.


====Regelwerk====
====Regelwerk====


Um den Zugriff auf das Mail-Relay zu erlauben, muss den zum Mailversand berechtigten Hosts der Zugriff auf die entsprechende Schnittstelle der Securepoint Appliance (abhängig von der Zone, in der sich die Hosts befinden) über das Protokoll SMTP erlaubt werden. Dies kann je nach Anforderung ein einzelner Host (z.B. der Mailserver), eine Gruppe von Hosts oder das gesamte Netzwerk sein. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mail-Relay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben.
Um den Zugriff auf das Mailrelay zu erlauben, muss den zum Mailversand berechtigten Hosts der Zugriff auf die entsprechende Schnittstelle der Securepoint Appliance (abhängig von der Zone, in der sich die Hosts befinden) über das Protokoll SMTP erlaubt werden. Dies kann je nach Anforderung ein einzelner Host (z.B. der Mailserver), eine Gruppe von Hosts oder das gesamte Netzwerk sein. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mailrelay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben.
 
[[Datei:UTM_V11-8_PFMR2.png|hochkant=2|thumb|right|Firewall-Regel für ausgehende Mails aus dem internen Netz]]
Um z.B. dem internen Netzwerk den Zugriff auf das Mail-Relay zu gestatten, kann das Regelwerk mit den vordefinierten Netzwerkgruppen erstellt werden:
Um z.B. dem internen Netzwerk den Zugriff auf das Mailrelay zu gestatten, kann das Regelwerk mit den vordefinierten Netzwerkgruppen erstellt werden:
 
<br clear=all>
 
[[Datei:UTM_V114_PFMR2.png|hochkant=1.5|thumb|right|Firewall-Regel für ausgehende Mails aus dem internen Netz]]
 


[[Datei:UTM_V11-8_PFMR Serverobjekt.png|hochkant=1|thumb|right|Netzwerkobjekt Mailserver]]
Soll nur der Mailserver Mails versenden können, muss dieser zunächst als Netzwerkobjekt angelegt werden:
Soll nur der Mailserver Mails versenden können, muss dieser zunächst als Netzwerkobjekt angelegt werden:
<br clear=all>


 
[[Datei:UTM_V118_PFMR3.png|hochkant=2|thumb|right|Firewall-Regel für ausgehende Mails des Mailservers]]
[[Datei:UTM_V114_PFNOmsrvanl.png|hochkant=1.5|thumb|right|Netzwerkobjekt Mailserver]]
 
 
Dieses Objekt kann dann in der Firewall-Regel verwendet werden:
Dieses Objekt kann dann in der Firewall-Regel verwendet werden:


Soll einer bestimmten Gruppe von Rechnern im internen Netzwerk gestattet sein, das Mailrelay zu benutzen, dann müssen diese Rechner jeweils als Netzwerkobjekt angelegt werden. Diese können dann in einer Gruppe zusammengefasst werden (z.B. "SMTP-Berechtigte").


[[Datei:UTM_V114_PFMR3.png|hochkant=1.5|thumb|right|Firewall-Regel für ausgehende Mails des Mailservers]]
====Konfiguration Relaying====
 
<p>Damit das Mailrelay die Mails aus dem internen Netz bzw. vom Mailserver auch annimmt, müssen die Einstellungen im Reiter {{Reiter|Relaying}} um einen entsprechenden Eintrag ergänzt werden. Als Kriterium dient die Netzwerkadresse des entsprechenden Subnetzes bzw. die IP-Adresse des betreffenden Rechners:</p>
 
{{td | {{Button|+ Domain / Host hinzufügen}} |  
Soll einer bestimmten Gruppe von Rechnern im internen Netzwerk gestattet sein, das Mail-Relay zu benutzen, dann müssen diese Rechner jeweils als Netzwerkobjekt angelegt werden. Diese können dann in einer Gruppe zusammengefasst werden (z.B. "SMTP-Berechtigte").
{{ td | {{Beschriftung|Domain}} | <code>192.168.175.30/30</code> oder <code>192.168.175.100</code><br>{{Hinweis | Dieses sind Beispiel-IPs. Diese müssen durch individuelle Adressen ersetzt werden! | gelb}} | w=100px }}
{{ td | {{Beschriftung|Option}} | {{MenuD|None}}  | w=100px }}
{{ td | {{Beschriftung|Aktion}} | {{MenuD|Relay}}  | w=100px }} }}
<br><br>


====Relaying====
===Ergebnis===
[[Datei:UTM_V114_MRRHanl.png|hochkant=1.5|thumb|right|Konfiguration des Relaying für den internen Mailserver]]
Die UTM kann jetzt eingehende und ggf. auch ausgehende Mails auf Spam und Viren überprüfen.
Damit das Mail-Relay die Mails aus dem internen Netz bzw vom Mailserver auch annimmt, müssen die Relaying-Einstellungen um einen entsprechenden Eintrag ergänzt werden. Als Kriterium dient uns die Netzwerkadresse des entsprechenden Subnetzes bzw. die IP-Adresse des betreffenden Rechners:
----
{{h3 | Copyright & Disclaimer}}
{{ kl |Copyright &copy; 1998-2014 Proofpoint, Inc.  All rights reserved.<br>
Copyright &copy; 1988, 1993 The Regents of the University of California. All rights reserved.
Disclaimer/Limitation of Liability:  
This software is provided by SENDMAIL, Inc. and contributors "as is" and any Express or implied warranties, including, but not limited zo, the implied warranties of merchantability and fitness for a particular purpose are disclaimed. In no event shall sendmail, Inc., the regents of the University of California or contributors be liable for any direct, indirect, incidental, special exemplary or consequential damages (including, but not limited to procurement of substitute goods or services; loss of use, data or profits; or business interruption). However caused and on any theory of liability, wheter in contract, strict liability, or tort (including negligence or otherwise) arising in any way out of the use of this software, even if advised of the possibility of such damages.}}

Aktuelle Version vom 1. Februar 2024, 10:04 Uhr


Konfiguration des Mailrelays





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht


Letzte Anpassung zur Version: 11.8


Bemerkung: Allgemeine Anpassung auf die aktuelle Version
Vorherige Versionen: 11.7

Konfiguration des Mailrelay

Die Securepoint UTM Appliance kann mithilfe des Mailrelays E-Mails entgegennehmen und an einen internen Mailserver weiterleiten. Das Mailrelay prüft die empfangenen E-Mails und teilt diese in eine entsprechende Kategorie ein. Anhand der Kategorie, wird entschieden ob eine E-Mail an den internen Mailserver weitergeleitet wird oder nicht.

Zum Schutz vor Spam bzw. zur Entlastung des Mailfilters lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierten Privat- und Arbeitsplatzrechner. Dagegen haben sich die Überprüfung der Ziel E-Mail-Adressen, das Greylisting und die Greeting Pause als wirksame Funktionen erwiesen.

Voraussetzungen

Providerseitige Einstellungen

Um eine reibungslose Teilnahme am Mailverkehr zu gewährleisten, müssen einige Voraussetzungen erfüllt sein:

  • Eine feste IP-Adresse.
  • Einen A-Record auf dem DNS-Server des Providers, der auf diese IP auflöst (z.B. mail.firma.de).
  • Einen MX-Record, der festlegt, unter welcher Adresse der Mailserver einer Domain erreichbar ist (z.B. mail.firma.de).
  • Einen PTR-Record, der die feste IP auf den MX-Record zurückauflöst (reverse DNS).

Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!

Hinweis: Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, sollten die Hardwareempfehlungen unbedingt berücksichtigt werden!

Regelwerk

Portfilterregel für eingehende Mails

Um anderen Mailservern die Zustellung von Mails auf das Mailrelay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:

Hinweis: Sollte neben der Internetverbindung mit der IP, über die der Mailversand stattfindet, keine weitere verfügbar sein, muss dafür gesorgt werden, dass NUR dem Mailserver der Versand von Mail per SMTP erlaubt wird. Sonst könnte ein einziger von einem Trojaner kompromittierter Rechner im Netzwerk das Versenden von Mails empfindlich stören oder gar gänzlich unmöglich machen, weil dieser mit der öffentlichen IP Spams und Malware verbreitet und diese innerhalb kürzester Zeit auf entsprechenden Blacklisten für Spammer gelistet wird.

Wichtig: Es darf keine Portweiterleitung für SMTP existieren. Diese würde dafür sorgen, dass die Mails am Mailrelay vorbeigeleitet werden!

E-Mail-Adresse

Unter → Netzwerk →Servereinstellungen Globale E-Mail Adresse: sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.

Grundkonfiguration des Mail Relay zum Empfang von Mails

Die Konfiguration des Mailrelay findet unter → Anwendungen →Mail Relay statt.

Allgemein

Allgemeine Einstellungen des Mail Relay

Mailfilter aktivieren: aktivieren

Postmaster-Adresse: Hier muss eine korrekte Mail-Adresse hinterlegt sein.

Maximale Nachrichtengröße: 20 Megabytes ist die Standard-Vorgabe.
Ausgehende IP-Adresse: Bei Multipath-Routing kann hier eine Ausgehende Schnittstelle durch die IP-Adresse angegeben werden.
Auch die interne Kommunikation läuft dann über diese IP-Adresse. Es müssen weitere Filter eingerichtet werden, damit auch interne Mails mit dieser IP akzeptiert werden.


Smarthost

Smarthost Einstellungen des Mail Relay

Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist. Das ist z.B. der Fall, wenn kein eigener Mailserver betrieben wird oder keine feste öffentliche IP-Adresse vorliegt.

Smarthost aktivieren: muss aktiviert sein.
Smarthost: smtp.allerweltsprovider.de Externer Mailserver
Port: 25 Mail-Port für externen Mail-Server
Authentifizierung aktivieren: Ein Sollte unbedingt aktiv sein!
Benutzer: Zugangsdaten
Passwort Zugangsdaten


Relaying

Konfiguration Relaying

Relaying-Liste
 Relaying-Liste 

Zentrale Einstellung ist, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.

Domain / Host hinzufügen Dialog

Hinzufügen eines Eintrags mit dem Button + Domain / Host hinzufügen

Angabe folgender Werte:

Domain:
E-Mail-Domainname oder IP-Adresse
Option
Kriterium auswählen
  • NONE
    Die Aktion wird auf alle Ereignisse angewendet.
  • From
    Hier wird die Absender-Domain ausgewertet. Beispiel: Domain: partnerfirma.de - Betrifft alle Mails mit der Domain partnerfirma.de im Absender.
  • To
    Hier wird die Empfänger-Domain ausgewertet. Beispiel: Domain: firma.de - Betrifft alle Mails mit der Domain firma.de im Empfänger.
  • Connect
    Hier wird die IP, der Hostname oder die Domain des Mailservers ausgewertet, der die Mail zustellen möchte. Beispiel: Domain: partnerfirma.de - Betrifft alle Mails, von Mailservern aus der Domain partnerfirma.de - unabhängig vom Sender oder Empfänger der Mail.


Aktion
Wert auswählen
  • RELAY
    Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet.
  • REJECT
    Mails werden abgewiesen.
  • OK
    Mails werden angenommen und an ein lokales Postfach zugestellt, aber nicht weitergeleitet.
Da es einerseits keine lokalen Postfächer auf der Securepoint Appliance gibt und andererseits alle Mails, für die kein Relay-Eintrag existiert, ohnehin abgewiesen werden, ist "RELAY" an dieser Stelle die einzig sinnvolle Option.

Um also alle Mails zu relayen, die für Empfänger der eigenen Domain bestimmt sind, muss folgender Eintrag konfiguriert werden.

Domain
firma.de
Option
To
Aktion
RELAY


 Exakten Domainnamen für das Relaying verwenden: 
Ein Das Relay reagiert nur auf den in der Liste eingetragenen Domainnamen und nicht auf nicht eingetragene Subdomains oder Erweiterungen.
Beispiel: In die Relayliste eingetragene Domain: securepoint.de
Ein
vom Mailrelay akzeptiert
Aus
vom Mailrelay akzeptiert
@securepoint.de @securepoint.de
@support.securepoint.de
@securepoint.de.com



Einstellungen
Einstellungen

TLS Verschlüsselung für das Mailrelay aktivieren:
Ein Wird TLS deaktiviert, werden Mails im Klartext unverschlüsselt versendet!
CA:
Auswahl der öffentlichen Zertifizierungsstelle , wenn ein öffentliches Zertifikat einer Zertifizierungsstelle zur Verfügung steht.
Die UTM bringt eine eigene Zertifizierungsstelle mit eigenem Zertifikat mit, die per Default vorgegeben sind.
Zertifikat:
Auswahl des dazugehörigen Zertifikats



SMTP Routen

SMTP Routen-Liste
 SMTP Routen-Liste 
Konfiguration der SMTP Routen

Hier muss eingestellt werden, an welchen Mailserver eine entgegengenommene Mail weitergeleitet werden soll. Falls dies nicht geschieht, wertet das Mailrelay den MX-Record der Empfänger-Domain aus - der auf das Relay selbst zeigt! Es wird dann ein sogenannter "Loopback" erkannt, durch den die Annahme der Mail mit einer entsprechenden Fehlermeldung abgebrochen wird. Im Folgenden können dann auch weitere Domains auf den gleichen oder auf andere Mailserver weitergeleitet werden.

Mit dem Button + SMTP-Routing hinzufügen werden weitere Routen angelegt.

Erforderliche Angaben dabei:

Domain: Maildomain
Mailserver: entweder als FQDN oder die IP-Adresse

Einstellungen
Einstellungen


In dieser Rubrik kann die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.

E-Mail-Adresse überprüfen:
Es stehen folgende Werte zur Verfügung:
  • SMTP
    Die Securepoint Appliance fragt im Hintergrund den internen Mailserver ab.
    Hinweis: Die Validierung muss ebenso am Mailserver aktiv sein! (Recipient Verification z.B. bei einem Exchange)
  • LDAP
    Die Securepoint Appliance fragt beispielsweise den Active Directory-Server ab.
    Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter → Authentifizierung →AD/LDAP Authentifzierung konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten.
  • Lokale E-Mail-Adressliste
    Hier stehen alle bekannten Adressen.
Mit Lokale E-Mail-Adressliste bearbeiten können Mail-Adressen hinzugefügt und entfernt werden.




Optionale Einstellungen

Weitere Einstellungen sind empfehlenswert, aber für einen operativen Einsatz nicht zwingend notwendig:

Greylisting

Konfiguration von Greylisting

Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird. Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.

Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.

Whitelist

Die Whitelist erlaubt folgende Einträge:

IP / Netzwerke
Hier können einzelne IP-Adressen oder Netzwerke hinzugefügt werden z.B.: 10.0.0.0/8
Domains
Hier können einzelne Mailserver-Domains hinzugefügt werden z.B.: Maildomain.net
Wichtig Die Domain des Mailservers muss nicht identisch mit der E-Mail Domain des Absender sein.
Beispiel: Absender user@EigenerDomainname.de sendet über den Mailserver smtp.allerweltsprovider.de
Empfänger
Hier können einzelne Empfänger hinzugefügt werden z.B.: MailUser@Maildomain.de
Absender
Hier können einzelne Absender hinzugefügt werden z.B.: MailSender@Maildomain.org
Um alle Absender einer E-Mail Domain in die Whitelist mit aufzunehmen, wird dieser Eintrag als Regulärer Ausdruck eingetragen: /.*@Maildomain\.org/

Einstellungen
Greylisting aktivieren: aktiviert die Funktion
SPF aktivieren: Wenn das Sender Policy Framework der Absenderdomain korrekt im DNS eingetragen ist, wird die Mail ohne Verzögerung zugestellt.
Automatisches Whitelisten für: Vorgabe 7 Tage: Für diesen Zeitraum werden Mails sofort entgegengenommen.
Verzögerung: Vorgabe 2 Minuten: Zeitraum, der dem sendenden Mailserver vorgegeben wird, um einen weiteren Zustellversuch vorzunehmen.

Hinweis Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden

Positiv: Wird ein größerer Wert für Verzögerung von z.B.: 30 Minuten gewählt, kann die Scan-Engine bei der erneuten Zustellung mit zwischenzeitlich aktualisierten Virensignaturen eine höhere Erkennungswahrscheinlichkeit bei neuen Outbreaks aufweisen.

Domain Mapping

Domains können gemappt werden, eingehende Mails an um z.B. user@Maildomain.net auch unter user@Maildomain.de zu empfangen.

Mit + Domain Mapping hinzufügen kann das Mapping zwischen zwei Domains aktiviert werden.

Dazu muss jeweils eine Quell-Domain: und eine Ziel-Domain: angegeben werden.




Erweiterte Einstellungen

Erweiterte Einstellungen des Mail Relay

Auf der Registerkarte "Erweitert" befinden sich weitere Optionen zur Vermeidung von Spam, die jeweils einzeln aktiviert werden können:

Greeting Pause
Greeting Pause:
2000 Milisekunden (Standardwert). Zeit, in der der Mailserver die Greetingzeile auswertet, bevor er SMTP-Kommandos sendet, um die Mailzustellung einzuleiten.

Helo
HELO benötigt:
Ein Sollte unbedingt aktiviert bleiben (Standard) Dieser Schalter existiert, um Abwärtskompatibilität zu gewähleisten.

Recipient flooding verhindern:
Recipient flooding verhindern:
Aus
Verzögerung nach:
2 Versuchen. Anzahl fehlgeschlagener Zustellungsversuche (z.B. aufgrund von fehlgeschlagener Adressvalidierung), bevor Anfragen nur noch verzögert beantwortet werden.

Empfängerbeschränkung aktivieren:
Empfängerbeschränkung aktivieren:
Aus
Limit:
25 Diese Option blockiert Mails, die mehr als eine einstellbare Zahl Empfängeradressen aufweisen

Verbindungslimit
Verbindungslimit aktivieren:
Aus
Erlaubte Verbindungen pro Sekunde:
5 Anzahl der Verbindungen, die das Mailrelay pro Sekunde annimmt. "Befreundete" Mailserver können mit Ausnahmen in einer Ausnahmeliste von dieser Limitierung ausgenommen werden.

Rate Kontrolle
Rate Kontrolle
Aus
Time frame:
60 Sekunden. Zeitraum, innerhalb dessen gezählt wird.
Verbindungen pro Host:
5 Anzahl der Verbindungen pro Host, die innerhalb des Time frames aufgebaut werden können.
Bekannte Mailserver können als Ausnahmen von dieser Limitierung definiert werden.

Reverse DNS lookup
Reverse DNS lookup benötigt:
Aus kann ggf. aktiviert werden
Unauflösbare Domains
Unauflösbare Domains akzeptieren:
Auskann ggf. aktiviert werden



Konfiguration des Mailrelays für ausgehende Mails

Um wirklich sicherzugehen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mailrelay auch für ausgehende Mails verwendet werden.

Regelwerk

Um den Zugriff auf das Mailrelay zu erlauben, muss den zum Mailversand berechtigten Hosts der Zugriff auf die entsprechende Schnittstelle der Securepoint Appliance (abhängig von der Zone, in der sich die Hosts befinden) über das Protokoll SMTP erlaubt werden. Dies kann je nach Anforderung ein einzelner Host (z.B. der Mailserver), eine Gruppe von Hosts oder das gesamte Netzwerk sein. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mailrelay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben.

Firewall-Regel für ausgehende Mails aus dem internen Netz

Um z.B. dem internen Netzwerk den Zugriff auf das Mailrelay zu gestatten, kann das Regelwerk mit den vordefinierten Netzwerkgruppen erstellt werden:

Netzwerkobjekt Mailserver

Soll nur der Mailserver Mails versenden können, muss dieser zunächst als Netzwerkobjekt angelegt werden:

Firewall-Regel für ausgehende Mails des Mailservers

Dieses Objekt kann dann in der Firewall-Regel verwendet werden:

Soll einer bestimmten Gruppe von Rechnern im internen Netzwerk gestattet sein, das Mailrelay zu benutzen, dann müssen diese Rechner jeweils als Netzwerkobjekt angelegt werden. Diese können dann in einer Gruppe zusammengefasst werden (z.B. "SMTP-Berechtigte").

Konfiguration Relaying

Damit das Mailrelay die Mails aus dem internen Netz bzw. vom Mailserver auch annimmt, müssen die Einstellungen im Reiter Relaying um einen entsprechenden Eintrag ergänzt werden. Als Kriterium dient die Netzwerkadresse des entsprechenden Subnetzes bzw. die IP-Adresse des betreffenden Rechners:

+ Domain / Host hinzufügen
Domain
192.168.175.30/30 oder 192.168.175.100
Dieses sind Beispiel-IPs. Diese müssen durch individuelle Adressen ersetzt werden!
Option
None
Aktion
Relay



Ergebnis

Die UTM kann jetzt eingehende und ggf. auch ausgehende Mails auf Spam und Viren überprüfen.


Copyright & Disclaimer

Copyright © 1998-2014 Proofpoint, Inc. All rights reserved.

Copyright © 1988, 1993 The Regents of the University of California. All rights reserved. Disclaimer/Limitation of Liability:

This software is provided by SENDMAIL, Inc. and contributors "as is" and any Express or implied warranties, including, but not limited zo, the implied warranties of merchantability and fitness for a particular purpose are disclaimed. In no event shall sendmail, Inc., the regents of the University of California or contributors be liable for any direct, indirect, incidental, special exemplary or consequential damages (including, but not limited to procurement of substitute goods or services; loss of use, data or profits; or business interruption). However caused and on any theory of liability, wheter in contract, strict liability, or tort (including negligence or otherwise) arising in any way out of the use of this software, even if advised of the possibility of such damages.