Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
(16 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{Set_lang}}
{{Archivhinweis|UTM/APP/Mailrelay}}<div class=none>
 
 
{{var|display|Mailrelay
{{var|display|Mailrelay
| Mailrelay}}
| Mailrelay}}
Zeile 12: Zeile 10:
{{var|4|Smarthost: [[#TLS|TLS implizit verwenden]] (ab 11.8.4)
{{var|4|Smarthost: [[#TLS|TLS implizit verwenden]] (ab 11.8.4)
|Smarthost: [[#TLS|Use implicit TLS]] (from 11.8.4) }}
|Smarthost: [[#TLS|Use implicit TLS]] (from 11.8.4) }}
{{var|4a|Greylisting: automatisches Whitelisting für gleiche Subnetze (11.8.5)
{{var|4a|Greylisting: automatisches Whitelisting für [[#Subnetz-Übereinstimmung | gleiche Subnetze]] (11.8.5)
| Greylisting: automatic whitelisting for equal subnets (11.8.5)}}
| Greylisting: automatic whitelisting for equal subnets (11.8.5)}}
{{var|5|[[#smarthost | Smarthost Verifikation:]] Mailserver können mittels Zertifikat (pki oder dane) auf Echtheit überprüft werden.
{{var|5|[[#smarthost | Smarthost Verifikation:]] Mailserver können mittels Zertifikat (pki oder dane) auf Echtheit überprüft werden.
Zeile 26: Zeile 24:
{{var|10|Konfiguration des Mailrelay
{{var|10|Konfiguration des Mailrelay
|Configuration of the Mailrelay }}
|Configuration of the Mailrelay }}
{{var|11|Die Securepoint UTM Appliance kann mithilfe des Mailrelays E-Mails entgegennehmen und an einen Mailserver im internen Netzwerk weiterleiten. Das Mailrelay prüft die empfangenen E-Mails und teilt diese in eine entsprechende Kategorie ein. Anhand der Kategorie, wird entschieden ob eine E-Mail an den internen Mailserver weitergeleitet wird oder nicht.</p>Zum Schutz vor Spam bzw. zur Entlastung des [http://wiki.securepoint.de/index.php/Spamfilter_V11 Mailfilters] lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierten Privat- und Arbeitsplatzrechner. Dagegen haben sich die Überprüfung der Ziel E-Mail-Adressen, das Greylisting und die Greeting Pause als wirksame Funktionen erwiesen.
{{var|11|Die Securepoint UTM Appliance kann mithilfe des Mailrelays E-Mails entgegennehmen und an einen Mailserver im internen Netzwerk weiterleiten. Das Mailrelay prüft die empfangenen E-Mails und teilt diese in eine entsprechende Kategorie ein. Anhand der Kategorie, wird entschieden ob eine E-Mail an den internen Mailserver weitergeleitet wird oder nicht.</p>Zum Schutz vor Spam bzw. zur Entlastung des [[UTM/APP/Mailfilter | Mailfilters]] lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierten Privat- und Arbeitsplatzrechner. Dagegen haben sich die Überprüfung der Ziel E-Mail-Adressen, das Greylisting und die Greeting Pause als wirksame Funktionen erwiesen.
|The Securepoint UTM appliance can receive emails using the mailrelay and forward them to a mail server in the internal network. The mail relay checks the received emails and divides them into an appropriate category. Based on the category, it is decided whether an email is forwarded to the internal mail server or not.</p>To protect against spam or to relieve the [http://wiki.securepoint.de/index.php/Spamfilter_V11 Mailfilters] further options can be configured. More than 90% of spam does not come from regular mail servers, but rather from private and work computers compromised by viruses and Trojans. On the other hand, checking target email addresses, greylisting and the greeting pause have proven to be effective functions. }}
|The Securepoint UTM appliance can receive emails using the mailrelay and forward them to a mail server in the internal network. The mail relay checks the received emails and divides them into an appropriate category. Based on the category, it is decided whether an email is forwarded to the internal mail server or not.</p>To protect against spam or to relieve the [[{{#var:host}}UTM/APP/Mailfilter Mailfilter]] further options can be configured. More than 90% of spam does not come from regular mail servers, but rather from private and work computers compromised by viruses and Trojans. On the other hand, checking target email addresses, greylisting and the greeting pause have proven to be effective functions. }}
{{var|12|Voraussetzungen
{{var|12|Voraussetzungen
| Preconditions}}
| Preconditions}}
Zeile 46: Zeile 44:
{{var|20|Hinweis:
{{var|20|Hinweis:
|Note: }}
|Note: }}
{{var|21|Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, sollten die [https://www.securepoint.de/produkte/utm-firewalls/appliances.html Hardware-Empfehlungen] unbedingt berücksichtigt werden!
{{var|21|Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, sollten die [https://www.securepoint.de/fuer-unternehmen/firewall-vpn/hardware-firewalls Hardware-Empfehlungen] unbedingt berücksichtigt werden!
|Since a certain amount of storage space must be available for rejected mails or mails that could not yet be delivered to the internal mail server, the [https://www.securepoint.de/produkte/utm-firewalls/appliances.html hardware recommendations] should be considered without fail! }}
|Since a certain amount of storage space must be available for rejected mails or mails that could not yet be delivered to the internal mail server, the [https://www.securepoint.de/fuer-unternehmen/firewall-vpn/hardware-firewalls hardware recommendations] should be considered without fail! }}
{{var|22|Regelwerk
{{var|22|Regelwerk
|Set of rules }}
|Set of rules }}
Zeile 70: Zeile 68:
{{var|32|Die Konfiguration des Mailrelay findet unter {{Menu| Anwendungen | Mailrelay}} statt.
{{var|32|Die Konfiguration des Mailrelay findet unter {{Menu| Anwendungen | Mailrelay}} statt.
|The configuration of the mailrelay takes place under {{Menu| Applications | Mailrelay}}. }}
|The configuration of the mailrelay takes place under {{Menu| Applications | Mailrelay}}. }}
{{var|33|UTM_v11.8.7_Mailrelay_Allgemein.png
{{var|33| UTM_v11.8.8_Mailrelay_Allgemein.png
|UTM_v11.8.7_Mailrelay_Allgemein-en.png }}
| UTM_v11.8.8_Mailrelay_Allgemein-en.png }}
{{var|34|Allgemeine Einstellungen des Mail Relay
{{var|34|Allgemeine Einstellungen des Mail Relay
|General mailrelay settings }}
|General mailrelay settings }}
Zeile 107: Zeile 105:
|Adds RFC 8601 Authentication-Results Header to email. Not performed for mails sent by SASL-authenticated users or mails coming from "trusted hosts", i.e. hosts that have an entry in the relaying list with action RELAY and option "Connect" or no option. }}
|Adds RFC 8601 Authentication-Results Header to email. Not performed for mails sent by SASL-authenticated users or mails coming from "trusted hosts", i.e. hosts that have an entry in the relaying list with action RELAY and option "Connect" or no option. }}
{{var|47e| Weitere Hinweise im Artikel zum [[UTM/APP/Mailfilter#dkim | Mailfilter]]
{{var|47e| Weitere Hinweise im Artikel zum [[UTM/APP/Mailfilter#dkim | Mailfilter]]
|  Further information in the article about [https://wiki.securepoint.de/index.php&#63;title&#61;UTM/APP/Mailfilter&#38;uselang&#61;en#dkim Mailfilter] }}
|  Further information in the article about [{{SERVER}}/index.php&#63;title&#61;UTM/APP/Mailfilter&#38;uselang&#61;en#dkim Mailfilter] }}
{{var|48|UTM_v11.8.4_Anwendungen_Mailrelay_Smarthost.png
{{var|48| UTM_v11.8.8_Mailrelay_Smarthost.png
|UTM_v11.8.5_Mailrelay_Smarthost-en.png }}
| UTM_v11.8.8_Mailrelay_Smarthost-en.png }}
{{var|49|Smarthost Einstellungen des Mailrelay
{{var|49|Smarthost Einstellungen des Mailrelay
|Smarthost settings of the mailrelay }}
|Smarthost settings of the mailrelay }}
Zeile 161: Zeile 159:
|The Smarthost is only verified using the DANE protocol (RFC 6698) and must support this protocol. }}
|The Smarthost is only verified using the DANE protocol (RFC 6698) and must support this protocol. }}
{{var|71|Das DANE-Protokoll erfordert zwingend  die Aktivierung von [[UTM/APP/Nameserver-Allgemein_DNSSEC | DNSSEC]].
{{var|71|Das DANE-Protokoll erfordert zwingend  die Aktivierung von [[UTM/APP/Nameserver-Allgemein_DNSSEC | DNSSEC]].
|The DANE protocol requires the mandatory activation of [[index.php?title=UTM/APP/Nameserver-Allgemein_DNSSEC&uselang=en|DNSSEC]]}}
|The DANE protocol requires the mandatory activation of [https://wiki.securepoint.de/index.php&#63;uselang&#61;en&#38;title&#61;UTM/APP/Nameserver-Allgemein_DNSSEC DNSSEC]}}
{{var|72|Authentifizierung aktivieren:
{{var|72|Authentifizierung aktivieren:
|Enable Authentication: }}
|Enable Authentication: }}
Zeile 174: Zeile 172:
{{var|77|Relaying
{{var|77|Relaying
|Relaying }}
|Relaying }}
{{var|78|UTM v11-8-2 Mailrelay Relaying.png
{{var|78| UTM_v11.8.8_Mailrelay_Relaying.png
|UTM_v11.8.5_Mailrelay_Relaying-en.png }}
| UTM_v11.8.8_Mailrelay_Relaying-en.png }}
{{var|79|Konfiguration Relaying
{{var|79|Konfiguration Relaying
|Configuration Relaying }}
|Configuration Relaying }}
Zeile 204: Zeile 202:
{{var|92|Die Aktion wird auf alle Ereignisse angewendet.
{{var|92|Die Aktion wird auf alle Ereignisse angewendet.
|The action is applied to all events. }}
|The action is applied to all events. }}
{{var|93|Hier wird die Absender-Domain ausgewertet. Beispiel: Domain: ttt-point.de -  Betrifft alle Mails mit der Domain <code>ttt-point.de</code> im Absender.
{{var|93|Hier wird die Absender-Domain ausgewertet. Beispiel: Domain: {{ic|ttt-point.de}} -  Betrifft alle Mails mit der Domain {{code|ttt-point.de }} im Absender.
|The sender domain is evaluated here. Example: Domain: ttt-point.de - This applies to all mails with the domain <code>ttt-point.de</code> in the sender. }}
|The sender domain is evaluated here. Example: Domain: {{ic|ttt-point.de}} - This applies to all mails with the domain {{code|ttt-point.de}} in the sender. }}
{{var|94|Da sich die Absender-Domain leicht fälschen lässt, ist diese Option nur nach sorgfältiger Prüfung einzusetzen.
{{var|94|Da sich die Absender-Domain leicht fälschen lässt, ist diese Option nur nach sorgfältiger Prüfung einzusetzen.
|Since the sender domain can easily be faked, this option is to be used only after careful examination. }}
|Since the sender domain can easily be faked, this option is to be used only after careful examination. }}
{{var|95|Hier wird die Empfänger-Domain ausgewertet. Beispiel: Domain: anyideas.de - Betrifft alle Mails mit der Domain <code>anyideas.de</code> im Empfänger.
{{var|95|Hier wird die Empfänger-Domain ausgewertet. Beispiel: Domain: {{ic|anyideas.de}} - Betrifft alle Mails mit der Domain {{code|anyideas.de}} im Empfänger.
|The recipient domain is evaluated here. Example: Domain: anyideas.de - This concerns all mails with the domain <code>anyideas.de</code> in the recipient. }}
|The recipient domain is evaluated here. Example: Domain: {{ic|anyideas.de}} - This concerns all mails with the domain {{code|anyideas.de}} in the recipient. }}
{{var|96|Hier wird die IP, der Hostname oder die Domain des Mail'''servers''' ausgewertet, der die Mail zustellen möchte. Beispiel: Domain: <code>ttt-point.de</code> - Betrifft alle Mails, von Mailservern aus der Domain <code>ttt-point.de</code> - unabhängig vom Sender oder Empfänger der Mail.
{{var|96|Hier wird die IP, der Hostname oder die Domain des Mail'''servers''' ausgewertet, der die Mail zustellen möchte. Beispiel: Domain: {{ic|ttt-point.de}} - Betrifft alle Mails, von Mailservern aus der Domain {{code|ttt-point.de}} - unabhängig vom Sender oder Empfänger der Mail.
|Here the IP, hostname or domain of the mail '''server''' that wants to deliver the mail is evaluated. Example: Domain: <code>ttt-point.de</code> - Affects all mails from mail servers in the domain <code>ttt-point.de</code> - regardless of the sender or recipient of the mail. }}
|Here the IP, hostname or domain of the mail '''server''' that wants to deliver the mail is evaluated. Example: Domain: {{ic|ttt-point.de}} - Affects all mails from mail servers in the domain {{code|ttt-point.de}} - regardless of the sender or recipient of the mail. }}
{{var|97|Aktion
{{var|97|Aktion
|Action }}
|Action }}
Zeile 262: Zeile 260:
{{var|124|SMTP Routen-Liste
{{var|124|SMTP Routen-Liste
| SMTP Routing List}}
| SMTP Routing List}}
{{var|125|UTM 11-8 Mailrelay SMTP Routen.png
{{var|125| UTM_v11.8.8_Mailrelay_SMTP-Routen.png
| UTM_v11.8.5_Mailrelay_SMTP-Routen-en.png}}
| UTM_v11.8.8_Mailrelay_SMTP-Routen-en.png }}
{{var|126|Konfiguration der SMTP Routen
{{var|126|Konfiguration der SMTP Routen
| Configuration of SMTP routes}}
| Configuration of SMTP routes}}
Zeile 279: Zeile 277:
| either as FQDN or the IP address}}
| either as FQDN or the IP address}}
{{var|133|Einstellungen
{{var|133|Einstellungen
| Settings}}
| Options}}
{{var|134|In dieser Rubrik kann die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.
{{var|134|In dieser Rubrik kann die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.
| In this section you can configure the verification of the destination email address. It causes mails to unknown recipients to be rejected. On the one hand the attempt to deliver spam to "invented" recipients is effectively prevented, on the other hand legitimate senders receive feedback that their mail could not be delivered, for example because they have committed themselves to the recipient address.}}
| In this section you can configure the verification of the destination email address. It causes mails to unknown recipients to be rejected. On the one hand the attempt to deliver spam to "invented" recipients is effectively prevented, on the other hand legitimate senders receive feedback that their mail could not be delivered, for example because they have committed themselves to the recipient address.}}
Zeile 302: Zeile 300:
{{var|143|Mail-Adressliste
{{var|143|Mail-Adressliste
| Mail address list}}
| Mail address list}}
{{var|144|Hier stehen alle bekannten Adressen.
{{var|144| Eine Liste akzeptierter Mail-Empfänger kann auch lokal anglegt werden.
| All known addresses are listed here.}}
| A list of accepted mail recipients can also be created locally.}}
{{var|145|Lokale E-Mail-Adressliste bearbeiten
{{var|145|Lokale E-Mail-Adressliste bearbeiten
| Edit Local Email Address List}}
| Edit Local Email Address List}}
Zeile 312: Zeile 310:
{{var|148|Weitere Einstellungen sind empfehlenswert, aber für einen operativen Einsatz nicht zwingend notwendig:
{{var|148|Weitere Einstellungen sind empfehlenswert, aber für einen operativen Einsatz nicht zwingend notwendig:
| Further settings are recommended, but not mandatory for operative use:}}
| Further settings are recommended, but not mandatory for operative use:}}
{{var|149|UTM_v11.8.5_Mailrelay_Greylisting.png
{{var|149| UTM_v11.8.8_Mailrelay_Greylisting.png
| UTM_v11.8.5_Mailrelay_Greylisting-en.png}}
| UTM_v11.8.8_Mailrelay_Greylisting-en.png}}
{{var|150|Konfiguration von Greylisting
{{var|150|Konfiguration von Greylisting
| Configuration of Greylisting}}
| Configuration of Greylisting}}
Zeile 320: Zeile 318:
{{var|161|Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird. Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.<p>Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.
{{var|161|Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird. Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.<p>Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.
| Greylisting causes the delivery attempt of an unknown mail server to be initially rejected. Usually, spambots do not make any further delivery attempts, so that the delivery of spam was already successfully prevented before the mail had to run through the spam filter engine.<p>A regular mail server, on the other hand, will make another successful delivery attempt after a certain period of time.}}
| Greylisting causes the delivery attempt of an unknown mail server to be initially rejected. Usually, spambots do not make any further delivery attempts, so that the delivery of spam was already successfully prevented before the mail had to run through the spam filter engine.<p>A regular mail server, on the other hand, will make another successful delivery attempt after a certain period of time.}}
{{var| greylisting
| Zustellversuche unbekannter Mailservers werden zunächst abgelehnt. s.o.
| Delivery attempts from unknown mail servers are initially rejected. }}
{{var|162|Whitelist
{{var|162|Whitelist
| Whitelist}}
| Whitelist}}
Zeile 382: Zeile 383:
{{var|188|Domain Mapping
{{var|188|Domain Mapping
| Domain Mapping}}
| Domain Mapping}}
{{var|189|Domains können gemappt werden, um eingehende um Mails an z.B. <code>user@anyideas.net</code> auch unter <code>user@anyideas.de</code> zu empfangen.
{{var| domain-mapping--bild
| Domains can be mapped to receive incoming mails to e.g. <code>user@anyideas.net</code> also under <code>user@anyideas.de</code>.}}
| UTM_v11.8.8_Mailrelay_Domainmapping.png
| UTM_v11.8.8_Mailrelay_Domainmapping-en.png }}
{{var|189|Domains können gemappt werden, um eingehende um Mails an z.B. {{code|user@anyideas<b>.net</b>}} auch unter {{code|user@anyideas'''.de'''}} zu empfangen.
| Domains can be mapped to receive incoming mails to e.g. {{code|user@anyideas'''.net'''}} also under {{code|user@anyideas'''.de'''}}.}}
{{var|190|Mit {{Button|Domain Mapping hinzufügen|+}} kann das Mapping zwischen zwei Domains aktiviert werden.
{{var|190|Mit {{Button|Domain Mapping hinzufügen|+}} kann das Mapping zwischen zwei Domains aktiviert werden.
| With {{Button||Add Domain Mapping|+}} the mapping between two domains can be activated.}}
| With {{Button||Add Domain Mapping|+}} the mapping between two domains can be activated.}}
Zeile 392: Zeile 396:
{{var|193|Erweitert
{{var|193|Erweitert
| Advanced}}
| Advanced}}
{{var|194|UTM_v11-8-2_Mailrelay_Erweitert.png
{{var|194| UTM_v11.8.8_Mailrelay_Erweitert.png
| UTM_v11.8.5_Mailrelay_Erweitert-en.png}}
| UTM_v11.8.8_Mailrelay_Erweitert-en.png}}
{{var|195|Erweiterte Einstellungen des Mail Relay
{{var|195|Erweiterte Einstellungen des Mail Relay
| Advanced Mail Relay Settings}}
| Advanced Mail Relay Settings}}
Zeile 464: Zeile 468:
{{var|229|Konfiguration des Mailrelays für ausgehende Mails
{{var|229|Konfiguration des Mailrelays für ausgehende Mails
| Configuration of the mailrelay for outgoing mails}}
| Configuration of the mailrelay for outgoing mails}}
{{var|230|Um wirklich sicherzugehen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mailrelay auch für ausgehende Mails verwendet werden.
{{var|230|Um sicher zu stellen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mailrelay auch für ausgehende Mails verwendet werden.
| To really make sure that no spam or malware can be sent from your own network, the mail relay can also be used for outgoing mails.}}
| To make sure that no spam or malware can be sent from your own network, the mail relay can also be used for outgoing mails.}}
{{var|231|Regelwerk
{{var|231|Regelwerk
| Set of rules}}
| Set of rules}}
Zeile 511: Zeile 515:
| The UTM can now check incoming and outgoing mails for spam and viruses.}}
| The UTM can now check incoming and outgoing mails for spam and viruses.}}


</div>{{DISPLAYTITLE:{{#var:display|Mailrelay}}}}{{Select_lang}}{{TOC2}}
 
{{var| neu--signing
| [[#Signierung | DKIM-Signierung]] von ausgehenden Mails
| [[#Signierung | DKIM signing]] of outgoing mail }}
 
{{var | signierung
| Signierung
| Signing }}
{{var | signierung--bild
| UTM_v11.8.8_Anwendungen_Mailrelay_Signierung.png
| UTM_v11.8.8_Anwendungen_Mailrelay_Signierung-en.png }}
{{var | signierung--bild--cap
| Signierung mit DKIM
| Signing with DKIM }}
{{var | new--text
| Ausgehende E-Mails können mittels {{hover|DKIM | DomainKeys Identified Mail}} signiert werden. Dabei werden einzelne Segmente im Header sowie der Body jeweils separat signiert, damit ein weiterleiten einer Mail über einen Mailserver und damit eine Veränderung des Mailheaders nicht die Signatur zerstört.
| Outgoing emails can be signed using {{hover|DKIM | DomainKeys Identified Mail}}. The individual segments in the header and the body are signed separately, so that forwarding a mail via a mail server and changing the mail header does not destroy the signature. }}
{{var | Allgemein
| Allgemein
| General }}
{{var | dkim
| DKIM-Signierung:
| DKIM Sign: }}
{{var | dkim--text
| Bei {{ButtonAn| {{#var:ein}} }} Aktivierung kann die DKIM-Signierung genutzt werden.
| At {{ButtonAn| {{#var:ein}} }} activation, DKIM signing can be used. }}
{{var | max-prozesse
| Maximale Anzahl an Prozessen:
| Maximum processes: }}
{{var | max-prozesse--desc
| bestimmt die Anzahl der Filterprozesse und smtp-Instanzen, die für die DKIM-Signierung verwendet werden
| determines the number of filter processes and smtp instances used for DKIM signing }}
{{var | add-default
| Default-Konfiguration hinzufügen
| Add default configuration }}
{{var | add-default--desc
| Fügt eine Standardkonfiguration hinzu. Dazu wird ein RSA-Schlüssel erzeugt (Selector) und jeder Mail-Domain, die als SMTP-Route eingetragen ist zugeordnet
| Adds a default configuration. For this purpose, an RSA key is generated (Selector) and assigned to each mail domain entered as SMTP route }}
{{var | Hinzufügen
| Hinzufügen
| Add }}
{{var | Hinzufügen-domain--desc
| Fügt einen Domainname-Eintrag hinzu
| Adds a domain name record }}
{{var | edit--domains--desc
| Zeigt die {{spc| DNS-Einstellungen |gr}} an
| Displays the {{spc| DNS Settings |gr}} }}
{{var | plain-text--desc
| Bei {{ButtonAn| Ja }} Aktivierung werden die DNS-Einstellungen zusammenhängend in einem Fenster angezeigt.<br>{{Hinweis|!|g}} Wird ein eigener authoritativer DNS-Server betrieben, kann dieser Wert direkt in eine BIND Zonendatei kopiert werden.
| With {{ButtonAn| Yes }} activation the DNS settings will be displayed in one window. <br>{{Hinweis|!|g}}If a separate authoritative DNS server is operated, this value can be copied directly into a BIND zone file.}}
{{var | domain-folder--desc
| Öffnet / schließt die Übersicht, in der die Selektoren für eine Domain angezeigt werden, die zum signieren verwendet werden.
| Opens / closes the overview that shows the selectors for a domain that are used for signing. }}
{{var | selektor-entfernen
| Entfernt einen Selektor aus einem Domain-Eintrag
| Removes a selector from a domain entry }}
{{var | selektor-hinzufügen
| Fügt den Selektor dem aktiven (blau hinterlegten) Domain-Eintrag zu.
| Adds the selector to the active (blue highlighted) domain entry. }}
{{var | copy--desc
| Kopiert den Eintrag in die Zwischenablage
| Copies the entry to the clipboard }}
{{var | copy--desc--subdomain
| Zur Zuordnung der Subdomain beim DNS-Hoster.
| To assign the subdomain at the DNS hoster. }}
{{var | txt-copy
| TXT Eintrag
| TXT Record }}
{{var | txt--desc
| Dies ist der öffentliche Teil des RSA-Schlüssels, der im TXT-Record der Mail-Domain hinterlegt werden muss.
| This is the public part of the RSA key, which must be stored in the TXT record of the mail domain. }}
{{var | txt--info_hover
| Zu finden auch unter im Menü Authentifizierung / RSA-Schlüssel / Öffentlicher Teil (des zugehörigen Schlüssels) / PEM-Format
| Can also be found in the menu Authentication / RSA keys / Public part (of the corresponding key) / PEM format }}
{{var | txt--info_klick
| Zu finden auch unter {{Menu |Authentifizierung | RSA-Schlüssel}} Öffentlicher Teil (des zugehörigen Schlüssels) {{Button|PEM|d}}
| Can also be found under {{Menu |Authentication | RSA Key}} Public part (of the associated key) {{Button|PEM|d}} }}
{{var | edit--domain
| Bearbeitet den jeweiligen Domain-Namen
| Edits the respective domain name }}
{{var | del
| Löscht den Eintrag
| Deletes the entry }}
{{var | DKIM-Selectoren
| DKIM-Selectoren
| DKIM Selectors }}
{{var | add--dkim
| Fügt einen DKIM-Selektor hinzu
| Adds a DKIM selector }}
{{var | edit--dkim-selector
| Bearbeitet den Eintrag
| Edits the entry }}
{{var | dkim--selector--name
| Name des Selektors
| Name of the selector }}
{{var | RSA-Schlüssel
| RSA-Schlüssel:
| RSA Key }}
{{var | Schlüsselname
| Schlüsselname
| Key name }}
{{var | Schlüsselname--desc
| Vorhandenen Schlüssel auswählen oder mit der Schaltfläche {{Button||+}} einen Neues Schlüsselpaar erzeugen
| Select existing key or create a new key pair with the {{Button||+}} button }}
{{var | Hash-Algorithmus
| Hash-Algorithmus:
| Hash algorithm: }}
{{var | algorithmus-verwendet
| Verwendeter Algorithmus
| Algorithm used }}
{{var | advanced-settings
| Erweiterte Einstellungen
| Advanced settings }}
{{var | header-canonicalization
| E-Mail Header Normalisierung:
| Email Header Canonicalization: }}
{{var | header-canonicalization--desc
| Normalisiert die E-Mail Header. {{info| Da verschiedene Quellen (wie weiterleitende Mailserver) die E-Mail Header verändern können, ist es möglich, eine normalisierte Version dieser Header, zur Erstellung der Signatur bzw. zur Überprüfung dieser, zu verwenden - die Header selbst werden dabei nicht verändert. Dadurch wird die Zuverlässigkeit der Signierung erhöht.}}
| Canonicalize the email headers. {{info| Since various sources (like relaying mailservers) might alter the email headers, it is possible to use a canonicalized version of those headers before creating the signature and also before validating it - the headers itself will stay unaffected. This will make the digital signing more reliable. }} }}
{{var | header-canonicalization--simple
| Normalisiert die E-Mail Header nicht.
| Do not canonicalize the email headers. }}
{{var | body-canonicalization
| E-Mail Body Normalisierung:
| Email Body Canonicalization: }}
{{var | body-canonicalization--desc
| Entfernt leere Zeilen am Ende der E-Mail und räumt Leerzeichen auf. {{info| Da verschiedene Quellen (wie weiterleitende Mailserver) den E-Mail Body verändern können, ist es möglich, eine normalisierte Version, zur Erstellung der Signatur bzw. zur Überprüfung dieser, zu verwenden - der Body selbst wird dabei nicht verändert. Dadurch wird die Zuverlässigkeit der Signierung erhöht.}}
| Remove trailing blank lines and cleanup whitespaces. {{info| Since various sources (like relaying mailservers) might alter the email body, it is possible to use a canonicalized version of the body before creating the signature and also before validating it - the body itself will stay unaffected. This will make the digital signing more reliable. }} }}
{{var | body-canonicalization--simple
| Entfernt lediglich leere Zeilen am Ende der E-Mail.
| Remove trailing blank lines only. }}
{{var | default-header-signing
| Standard E-Mail Header signieren:
| Sign default email headers: }}
{{var | alt-header-signing
| Zu signierende E-Mail Header:
| Email headers to be signed: }}
{{var | alt-header-signing--desc
| E-Mail Header, die signiert werden sollen.
| Email headers to be signed. }}
</div>
[[Category: UTM]]
{{DISPLAYTITLE:{{#var:display|Mailrelay}} }} {{#vardefine:headerIcon|spicon-utm}}{{Select_lang}}{{TOC2}}
<p>'''{{#var:1|Konfiguration des Mailrelays}}'''</p>
<p>'''{{#var:1|Konfiguration des Mailrelays}}'''</p>
<p>{{#var:2|Letzte Anpassung zur Version:}} '''11.8.7''' <small>(12.2019)</small></p>
<p>{{#var:2|Letzte Anpassung zur Version:}} '''11.8.8''' <small>(02.2020)</small></p>
<p>{{ cl | {{#var:3|Bemerkung:}} |
<p>{{ cl | {{#var:neu}} |
* {{#var:8|E-Mail-Prüfung mittels [[#spf | SPF/DKIM/DMARC]] }} {{Hinweis| in'''11.8.7'''|11.8.7}}
* {{#var:neu--signing}} {{Hinweis| |11.8.8|gr}}
* {{#var:8|E-Mail-Prüfung mittels [[#spf | SPF/DKIM/DMARC]] }}
* {{#var:4a|Greylisting: automatisches Whitelisting für gleiche Subnetze (11.8.5)}}
* {{#var:4a|Greylisting: automatisches Whitelisting für gleiche Subnetze (11.8.5)}}
* {{#var:4|Smarthost: TLS implizit verwenden (ab 11.8.4)}}
* {{#var:4|Smarthost: TLS implizit verwenden (ab 11.8.4)}}
Zeile 523: Zeile 670:
| w=80px }}
| w=80px }}
</p>
</p>


<p>{{#var:9|Vorherige Versionen:}} [[UTM/APP/Mailrelay_11.7| '''11.7''']] / [[UTM/APP/MailRelay_11.8 | '''11.8''']] / [[UTM/APP/Mailrelay_11.8.2 | '''11.8.2''']] / [[UTM/APP/Mailrelay_11.8.4 | '''11.8.4''']]</p>
<p>{{#var:9|Vorherige Versionen:}} [[UTM/APP/Mailrelay_11.7| '''11.7''']] / [[UTM/APP/MailRelay_11.8 | '''11.8''']] / [[UTM/APP/Mailrelay_11.8.2 | '''11.8.2''']] / [[UTM/APP/Mailrelay_11.8.4 | '''11.8.4''']]</p>
Zeile 530: Zeile 678:


<p>{{#var:11|Die Securepoint UTM Appliance kann mithilfe des Mailrelays E-Mails entgegennehmen und an einen Mailserver im internen Netzwerk weiterleiten. Das Mailrelay prüft die empfangenen E-Mails und teilt diese in eine entsprechende Kategorie ein. Anhand der Kategorie, wird entschieden ob eine E-Mail an den internen Mailserver weitergeleitet wird oder nicht.</p>
<p>{{#var:11|Die Securepoint UTM Appliance kann mithilfe des Mailrelays E-Mails entgegennehmen und an einen Mailserver im internen Netzwerk weiterleiten. Das Mailrelay prüft die empfangenen E-Mails und teilt diese in eine entsprechende Kategorie ein. Anhand der Kategorie, wird entschieden ob eine E-Mail an den internen Mailserver weitergeleitet wird oder nicht.</p>
Zum Schutz vor Spam bzw. zur Entlastung des [http://wiki.securepoint.de/index.php/Spamfilter_V11 Mailfilters] lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierten Privat- und Arbeitsplatzrechner. Dagegen haben sich die Überprüfung der Ziel E-Mail-Adressen, das Greylisting und die Greeting Pause als wirksame Funktionen erwiesen.}}
Zum Schutz vor Spam bzw. zur Entlastung des [https://wiki.securepoint.de/UTM/APP/Mailfilter Mailfilters] lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierten Privat- und Arbeitsplatzrechner. Dagegen haben sich die Überprüfung der Ziel E-Mail-Adressen, das Greylisting und die Greeting Pause als wirksame Funktionen erwiesen.}}
----
=== {{#var:12|Voraussetzungen}} ===


=== {{#var:12|Voraussetzungen}} ===
==== {{#var:13|Providerseitige Einstellungen}} ====
==== {{#var:13|Providerseitige Einstellungen}} ====
<div class="einrücken">
{{#var:14|Um eine reibungslose Teilnahme am Mailverkehr zu gewährleisten, müssen einige Voraussetzungen erfüllt sein:}}
{{#var:14|Um eine reibungslose Teilnahme am Mailverkehr zu gewährleisten, müssen einige Voraussetzungen erfüllt sein:}}


Zeile 544: Zeile 694:


{{Hinweis | {{#var:20|Hinweis:}}}} {{#var:21|Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, sollten die [https://www.securepoint.de/produkte/utm-firewalls/appliances.html Hardware-Empfehlungen] unbedingt berücksichtigt werden!}}<br><br>
{{Hinweis | {{#var:20|Hinweis:}}}} {{#var:21|Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, sollten die [https://www.securepoint.de/produkte/utm-firewalls/appliances.html Hardware-Empfehlungen] unbedingt berücksichtigt werden!}}<br><br>
 
</div>
==== {{#var:22|Regelwerk}} ====
==== {{#var:22|Regelwerk}} ====
 
<div class="einrücken">
{{pt2| {{#var:23|UTM_V11-8_PFMR.png}}|hochkant=2|{{#var:24|Portfilterregel für eingehende Mails}}}}
{{pt2| {{#var:23|UTM_V11-8_PFMR.png}}|hochkant=2|{{#var:24|Portfilterregel für eingehende Mails}}}}
{{#var:25|Um anderen Mailservern die Zustellung von Mails auf das Mailrelay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:}}
{{#var:25|Um anderen Mailservern die Zustellung von Mails auf das Mailrelay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:}}
Zeile 554: Zeile 704:


{{Hinweis | ! {{#var:w|Wichtig:}}}} {{#var:28|Es darf keine Portweiterleitung für SMTP existieren. Diese würde dafür sorgen, dass die Mails am Mailrelay vorbeigeleitet werden!}}
{{Hinweis | ! {{#var:w|Wichtig:}}}} {{#var:28|Es darf keine Portweiterleitung für SMTP existieren. Diese würde dafür sorgen, dass die Mails am Mailrelay vorbeigeleitet werden!}}
<br><br clear=all>
<br clear=all>
 
</div>
==== {{#var:29|E-Mail-Adresse}} ====
==== {{#var:29|E-Mail-Adresse}} ====
<div class="einrücken">
{{#var:30|Unter {{Menu| Netzwerk | Servereinstellungen}} {{Beschriftung|Globale E-Mail Adresse:}} sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.}}
{{#var:30|Unter {{Menu| Netzwerk | Servereinstellungen}} {{Beschriftung|Globale E-Mail Adresse:}} sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.}}
<br><br>
<br>
</div>
----


=== {{#var:31|Grundkonfiguration des Mail Relay zum Empfang von Mails}} ===
=== {{#var:31|Grundkonfiguration des Mail Relay zum Empfang von Mails}} ===
Zeile 566: Zeile 719:




{{pt2| {{#var:33|UTM 11-8 Mailrelay Allgemein.png}}|hochkant=1.5|{{#var:34|Allgemeine Einstellungen des Mail Relay}} | {{ h4| {{#var:35|Allgemein}} | {{Reiter|{{#var:35|Allgemein}} }} }} }}<br clear=all>
{{pt3| {{#var:33|UTM 11-8 Mailrelay Allgemein.png}} | {{#var:34|Allgemeine Einstellungen des Mail Relay}} | {{ h4| {{#var:35|Allgemein}} | {{Reiter|{{#var:35|Allgemein}} }} }} }}<br clear=all>
{|  class="spgridtr" style="--me-nn:3; --me-width-2: 35%; --me-n:1;" <!-- class="wikitable2" -->
{|  class="spgridtr" style="--me-nn:3; --me-width-2: 35%; --me-n:1;" <!-- class="wikitable2" -->
! {{#var:36|Funktion}} !! {{#var:37|Wert}} !! {{#var:38|Beschreibung}}
! {{#var:36|Funktion}} !! {{#var:37|Wert}} !! {{#var:38|Beschreibung}}
Zeile 581: Zeile 734:
|}
|}
<br clear=all>
<br clear=all>
----




{{pt2| {{#var:48|UTM_v11.8.4_Anwendungen_Mailrelay_Smarthost.png}}| {{#var:49|Smarthost Einstellungen des Mailrelay}} | {{h4 | {{#var:50|Smarthost}} | {{Reiter|{{#var:50|Smarthost}} }} }} }}
{{pt3| {{#var:48|UTM_v11.8.4_Anwendungen_Mailrelay_Smarthost.png}}| {{#var:49|Smarthost Einstellungen des Mailrelay}} | {{h4 | {{#var:50|Smarthost}} | {{Reiter|{{#var:50|Smarthost}} }} }} }}
{{#var:51|Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist. Das ist z.B. der Fall, wenn kein eigener Mailserver betrieben wird oder keine feste öffentliche IP-Adresse vorliegt.}}
{{#var:51|Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist. Das ist z.B. der Fall, wenn kein eigener Mailserver betrieben wird oder keine feste öffentliche IP-Adresse vorliegt.}}
<br clear=all>
<br clear=all>
Zeile 591: Zeile 745:
| {{Beschriftung| {{#var:55|Smarthost aktivieren:}} }} || {{ ButtonAn | {{#var:ein|Ein}}}} || {{#var:56|aktiviert die Smarthost-Funktion.}}
| {{Beschriftung| {{#var:55|Smarthost aktivieren:}} }} || {{ ButtonAn | {{#var:ein|Ein}}}} || {{#var:56|aktiviert die Smarthost-Funktion.}}
|-
|-
| {{Beschriftung| {{#var:57|Smarthost:}}}} || style="min-width: 120px;" |{{mobil| |<code>smtp.anyideas.de</code>}} || {{mobil|<code>smtp.anyideas.de</code><br>}}{{#var:58|Externer Mailserver <small>(Beispieladresse)</small>}}
| {{Beschriftung| {{#var:57|Smarthost:}}}} || style="min-width: 140px;" |{{mobil| |<code>smtp.anyideas.de</code>}} || {{mobil|<code>smtp.anyideas.de</code><br>}}{{#var:58|Externer Mailserver <small>(Beispieladresse)</small>}}
|-
|-
| {{Beschriftung|{{#var:59|Port:}}}} || {{ ic | 465 | c |w=50px}} || {{#var:60|Mail-Port für externen Mail-Server<br> 25: Standardport für smtp (Default)<br>465: Standardport für implzites TLS<br>587: Standardport für STARTTLS}}
| {{Beschriftung|{{#var:59|Port:}}}} || {{ ic | 465 | c |w=50px}} || {{#var:60|Mail-Port für externen Mail-Server<br> 25: Standardport für smtp (Default)<br>465: Standardport für implzites TLS<br>587: Standardport für STARTTLS}}
Zeile 599: Zeile 753:
| class="sichtbar_monitor" style="border-top:0;"| || {{ButtonAn|{{#var:ein|Ein}} }} || {{#var:64|Bei Aktivierung wird die Verbindung erst mit TLS verschlüsselt, bevor die smtp-Kommunikation aufgebaut wird. Beherrscht die Gegenstelle kein TLS kommt keine Verbindung zu Stande. Die TLS-Version wird unter {{Menu|Authentifizierung|Verschlüsselung}} konfiguriert.}}
| class="sichtbar_monitor" style="border-top:0;"| || {{ButtonAn|{{#var:ein|Ein}} }} || {{#var:64|Bei Aktivierung wird die Verbindung erst mit TLS verschlüsselt, bevor die smtp-Kommunikation aufgebaut wird. Beherrscht die Gegenstelle kein TLS kommt keine Verbindung zu Stande. Die TLS-Version wird unter {{Menu|Authentifizierung|Verschlüsselung}} konfiguriert.}}
|-
|-
| style="border-bottom: 0;" | <span id="smarthost"></span>{{ b | {{#var:65|Smarthost Verifikation:}}}}<br>{{Hinweis | {{#var:66|Neu in}} 11.8.2 | 11.8.2}} || {{ td | {{Button | {{#var:67|Keine}} | dr|w=65px}} || {{#var:68|Es wird keine Verifikation des Smarthosts vorgenommen.}}
| style="border-bottom: 0;" | <span id="smarthost"></span>{{ b | {{#var:65|Smarthost Verifikation:}} }} || {{Button | {{#var:67|Keine}} | dr|w=80px}} || {{#var:68|Es wird keine Verifikation des Smarthosts vorgenommen.}}
|-
|-
| class="sichtbar_monitor" style="border-top:0; border-bottom:0;"|  ||{{Button | pki | dr | w=65px }} || {{#var:69|Der Smarthost wird anhand von standardmäßig installierten Root-CAs oder einer selbstsignierten CA verifiziert.<br> {{ b | CA:}} {{Button | SystemCAs |dr}} (Default) Alternativ kann eine (zuvor unter {{Menu | Authentifizierung | Zertifikate }} erstellte oder importierte ) CA zur Authentifizierung ausgewählt werden.}}
| class="sichtbar_monitor" style="border-top:0; border-bottom:0;"|  ||{{Button | pki | dr | w=80px }} || {{#var:69|Der Smarthost wird anhand von standardmäßig installierten Root-CAs oder einer selbstsignierten CA verifiziert.<br> {{ b | CA:}} {{Button | SystemCAs |dr}} (Default) Alternativ kann eine (zuvor unter {{Menu | Authentifizierung | Zertifikate }} erstellte oder importierte ) CA zur Authentifizierung ausgewählt werden.}}
|-
|-
|class="sichtbar_monitor" style="border-top:0;"| || {{Button | dane | dr | w=65px }} || {{#var:70|Der Smarthost wird ausschließlich mittels DANE Protokoll (RFC 6698) verifiziert und muss dieses unterstützen}}. <br>
|class="sichtbar_monitor" style="border-top:0;"| || {{Button | dane | dr | w=80px }} || {{#var:70|Der Smarthost wird ausschließlich mittels DANE Protokoll (RFC 6698) verifiziert und muss dieses unterstützen}}. <br>
{{ Hinweis | ! }} {{#var:71|Das DANE-Protokoll erfordert zwingend  die Aktivierung von [[UTM/APP/Nameserver-Allgemein_DNSSEC | DNSSEC]].}}   
{{ Hinweis | ! }} {{#var:71|Das DANE-Protokoll erfordert zwingend  die Aktivierung von [[UTM/APP/Nameserver-Allgemein_DNSSEC | DNSSEC]].}}   
|-
|-
| style="min-width:190px;" |{{Beschriftung| {{#var:72|Authentifizierung aktivieren:}} }} || {{ButtonAn |{{#var:ein|Ein}} }} || {{#var:73|Erfordert die Authentifizierung am Smarthost-Mailserver.}}
| style="min-width:190px;" |{{Beschriftung| {{#var:72|Authentifizierung aktivieren:}} }} || {{ButtonAn |{{#var:ein|Ein}} }} || {{#var:73|Erfordert die Authentifizierung am Smarthost-Mailserver.}}
|-
|-
| {{Beschriftung| {{#var:74|Benutzer}}:}} || || <Code>{{#var:75|Zugangsdaten}}</code>
| {{Beschriftung| {{#var:74|Benutzer}}:}} || || {{Code| {{#var:75|Zugangsdaten}} }}
|-
|-
| {{Beschriftung|{{#var:76|Passwort}}}} || || <code>{{#var:75|Zugangsdaten}}</code>
| {{Beschriftung|{{#var:76|Passwort}}}} || || {{code|{{#var:75|Zugangsdaten}} }}
|}
|}
<br clear=all>
<br clear=all>


{{h4 | {{#var:77|Relaying}} | {{Reiter| {{#var:77|Relaying}} }} }}<br>
 
{{ pt2 | {{#var:78|UTM v11-8-2 Mailrelay Relaying.png}} | {{#var:79|Konfiguration Relaying}} | {{h5 | {{#var:80|Relaying-Liste}} | {{KastenGrau | {{#var:80|Relaying-Liste}} }} }} }}
{{ pt3 | {{#var:78|UTM v11-8-2 Mailrelay Relaying.png}} | {{#var:79|Konfiguration Relaying}} | {{h4 | {{#var:77|Relaying}} | {{Reiter| {{#var:77|Relaying}} }} }}<br>
{{h5 | {{#var:80|Relaying-Liste}} | {{KastenGrau | {{#var:80|Relaying-Liste}} }} }} }}
{{#var:81|Hier wird konfiguriert, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.}}
{{#var:81|Hier wird konfiguriert, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.}}
<br clear=all>
<br clear=all>
Zeile 624: Zeile 779:
! {{#var:86|Beschriftung}} !! {{#var:87|Wert}} !! {{#var:88|Beschreibung}}
! {{#var:86|Beschriftung}} !! {{#var:87|Wert}} !! {{#var:88|Beschreibung}}
|-
|-
| {{Beschriftung|{{#var:89| Domain:}}}} || || <code>{{#var:90|E-Mail-Domainname oder IP-Adresse}}</code>
| {{Beschriftung|{{#var:89| Domain:}}}} || || {{#var:90|E-Mail-Domainname oder IP-Adresse}}
|-
|-
| style="border-bottom:0;" | {{Beschriftung | {{#var:91|Option}}}} || {{Button | NONE | dr | w=105px}} || {{#var:92|Die Aktion wird auf alle Ereignisse angewendet.}}
| style="border-bottom:0;" | {{Beschriftung | {{#var:91|Option}}}} || {{Button | NONE | dr | w=105px}} || {{#var:92|Die Aktion wird auf alle Ereignisse angewendet.}}
|-
|-
| class="sichtbar_monitor" style="border-top:0; border-bottom:0;"| || {{ Button | From | dr | w=105px}} || {{#var:93|Hier wird die Absender-Domain ausgewertet. Beispiel: Domain: ttt-point.de -  Betrifft alle Mails mit der Domain <code>ttt-point.de</code> im Absender.}} <br>{{c|{{ Hinweis | ! {{#var:94|Da sich die Absender-Domain leicht fälschen lässt, ist diese Option nur nach sorgfältiger Prüfung einzusetzen.}}| gelbbd}}| fs=10px | lh=1.7}}
| class="sichtbar_monitor" style="border-top:0; border-bottom:0;"| || {{ Button | From | dr | w=105px}} || {{#var:93|Hier wird die Absender-Domain ausgewertet. Beispiel: Domain: ttt-point.de -  Betrifft alle Mails mit der Domain <code>ttt-point.de</code> im Absender.}} <br>{{c|{{ Hinweis | ! {{#var:94|Da sich die Absender-Domain leicht fälschen lässt, ist diese Option nur nach sorgfältiger Prüfung einzusetzen.}}| gelbbd}} }}
|-
|-
| class="sichtbar_monitor" style="border-top:0; border-bottom:0;"| || {{ Button | To | dr | w=105px}} || {{#var:95|Hier wird die Empfänger-Domain ausgewertet. Beispiel: Domain: anyideas.de - Betrifft alle Mails mit der Domain <code>anyideas.de</code> im Empfänger.}}
| class="sichtbar_monitor" style="border-top:0; border-bottom:0;"| || {{ Button | To | dr | w=105px}} || {{#var:95|Hier wird die Empfänger-Domain ausgewertet. Beispiel: Domain: anyideas.de - Betrifft alle Mails mit der Domain <code>anyideas.de</code> im Empfänger.}}
|-
|-
| class="sichtbar_monitor" style="border-top:0; border-bottom:0;"| || {{ Button | Connect | dr | w=105px}} || {{#var:96|Hier wird die IP, der Hostname oder die Domain des Mail'''servers''' ausgewertet, der die Mail zustellen möchte. Beispiel: Domain: <code>ttt-point.de</code> - Betrifft alle Mails, von Mailservern aus der Domain <code>ttt-point.de</code> - unabhängig vom Sender oder Empfänger der Mail.}}
| class="sichtbar_monitor" style="border-top:0; border-bottom:0;"| || {{ Button | Connect | dr | w=135px}} || {{#var:96|Hier wird die IP, der Hostname oder die Domain des Mail'''servers''' ausgewertet, der die Mail zustellen möchte. Beispiel: Domain: <code>ttt-point.de</code> - Betrifft alle Mails, von Mailservern aus der Domain <code>ttt-point.de</code> - unabhängig vom Sender oder Empfänger der Mail.}}
|-
|-
| style="border-bottom:0;" | {{Beschriftung|{{#var:97|Aktion}}}} || {{Button | RELAY | dr | w=105px}} || {{#var:98|Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet.}}
| style="border-bottom:0;" | {{Beschriftung|{{#var:97|Aktion}}}} || {{Button | RELAY | dr | w=105px}} || {{#var:98|Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet.}}
Zeile 693: Zeile 848:
<br><br>
<br><br>


==== {{Reiter|{{#var:123|SMTP Routen}}}} ====
{{h4| SMTP Routen | {{Reiter|{{#var:123|SMTP Routen}}}} }}
{{ h5 | {{#var:124|SMTP Routen-Liste}} | {{KastenGrau | {{#var:124|SMTP Routen-Liste}} }} }}
{{ h5 | {{#var:124|SMTP Routen-Liste}} | {{KastenGrau | {{#var:124|SMTP Routen-Liste}} }} }}
{{pt2 | {{#var:125|UTM 11-8 Mailrelay SMTP Routen.png}} | {{#var:126|Konfiguration der SMTP Routen}}}}
{{pt3 | {{#var:125|UTM 11-8 Mailrelay SMTP Routen.png}} | {{#var:126|Konfiguration der SMTP Routen}}}}
{{#var:127|Hier muss eingestellt werden, an welchen Mailserver eine entgegengenommene Mail weitergeleitet werden soll. Falls dies nicht geschieht, wertet das Mailrelay den MX-Record der Empfänger-Domain aus - der auf das Relay selbst zeigt! Es wird dann ein sogenannter "Loopback" erkannt, durch den die Annahme der Mail mit einer entsprechenden Fehlermeldung abgebrochen wird. Im Folgenden können dann auch weitere Domains auf den gleichen oder auf andere Mailserver weitergeleitet werden.</p>
{{#var:127|Hier muss eingestellt werden, an welchen Mailserver eine entgegengenommene Mail weitergeleitet werden soll. Falls dies nicht geschieht, wertet das Mailrelay den MX-Record der Empfänger-Domain aus - der auf das Relay selbst zeigt! Es wird dann ein sogenannter "Loopback" erkannt, durch den die Annahme der Mail mit einer entsprechenden Fehlermeldung abgebrochen wird. Im Folgenden können dann auch weitere Domains auf den gleichen oder auf andere Mailserver weitergeleitet werden.</p>
<p>Mit dem Button {{Button|+&nbsp;SMTP-Routing&nbsp;hinzufügen}} werden weitere Routen angelegt.</p>}}
<p>Mit dem Button {{Button|+&nbsp;SMTP-Routing&nbsp;hinzufügen}} werden weitere Routen angelegt.</p>}}
Zeile 719: Zeile 874:
| class="sichtbar_monitor" style="border-top:0; border-bottom: 0;" | || {{MenuD | LDAP}} || {{#var:141|Die Securepoint Appliance fragt beispielsweise den Active Directory-Server ab.<br>Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter [[UTM/AUTH/AD_Anbindung|{{Menu | Authentifizierung | AD/LDAP Authentifzierung}}]] konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten.}}
| class="sichtbar_monitor" style="border-top:0; border-bottom: 0;" | || {{MenuD | LDAP}} || {{#var:141|Die Securepoint Appliance fragt beispielsweise den Active Directory-Server ab.<br>Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter [[UTM/AUTH/AD_Anbindung|{{Menu | Authentifizierung | AD/LDAP Authentifzierung}}]] konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten.}}
|-
|-
| class="sichtbar_monitor" style="border-top:0;" | || style="min-width: 180px;" | {{MenuD | {{#var:142|Lokale E-Mail-Adressliste}}}} || {{mobil|{{#var:143|Mail-Adressliste}}<br>}}{{#var:144|Hier stehen alle bekannten Adressen.}}
| class="sichtbar_monitor" style="border-top:0;" | || style="min-width: 220px;" | {{MenuD | {{#var:142|Lokale E-Mail-Adressliste}}}} || {{mobil|{{#var:143|Mail-Adressliste}}<br>}}{{#var:144|Hier stehen alle bekannten Adressen.}}
|-
| colspan="2" | {{Button | {{#var:145|Lokale E-Mail-Adressliste bearbeiten}} }} || {{#var:146|Hiermit können Mail-Adressen hinzugefügt und entfernt werden.}}
|}<br>
|}<br>


{{Button | {{#var:145|Lokale E-Mail-Adressliste bearbeiten}}}} {{#var:146|Hiermit können Mail-Adressen hinzugefügt und entfernt werden.}}
 
----
<br clear=all>
<br>
{{h4| {{#var:signierung| Signierung }} | {{Reiter| {{#var:signierung}} }} }}
{{pt3| {{#var:signierung--bild| UTM_v11.8.8_Anwendungen_Mailrelay_Signierung.png }} | hochkant=2 | {{#var:signierung--bild--cap| Signierung mit DKIM }} }}
{{Hinweis| ! {{#var:new}} in 11.8.8 | 11.8.8 | gr }} {{#var:new--text| Ausgehende E-Mails können mittels {{hover|DKIM | DomainKeys Identified Mail}} signiert werden. Dabei werden eizelne Segmente im Header sowie der Body jeweils separat signiert, damit ein weiterleiten einer Mail über einen Mailserver und damit eine Veränderung des Mailheaders nicht die Signatur zerstört. }}
<br clear=all>
<br clear=all>
<br><br>
{| class="sptable pd5"
! colspan="2" | {{#var:cap|Beschriftung}} !! {{#var:val|Wert}} !! {{#var:desc|Beschreibung}}
|-
| class="Leerzeile" colspan="3" | {{Kasten| {{#var:Allgemein| Allgemein }} }}
|-
| colspan="2" | {{b| {{#var:dkim| DKIM-Signierung: }} }} || {{ButtonAus|{{#var:aus}} }} (Default) || {{#var:dkim--text| Bei {{ButtonAn| {{#var:ein}} }} Aktivierung kann die DKIM-Signierung genutzt werden. }}
|-
| colspan="2" | {{b| {{#var:max-prozesse| Maximale Anzahl an Prozessen:}} }} || {{ic| 2|c|w=80px}} || {{#var:max-prozesse--desc| Anzahl der Mails, die gleichzeitig signiert werden können?}}
|-
| class="Leerzeile" colspan="3" | <br>{{spc|Domains|gr}}
|-
| colspan="3" | {{ Button| {{#var:add-default| Default-Konfiguration hinzufügen }} |+}} || {{#var:add-default--desc| Fügt eine Standardkonfiguration hinzu. Dazu wird ein RSA-Schlüssel erzeugt (Selector) und jeder Mail-Domain, die als SMTP-Route eingetragen ist zugeordnet }}
|-
| colspan="3" | {{Button | {{#var:Hinzufügen| Hinzufügen }} |+}} || {{#var:Hinzufügen-domain--desc| Fügt einen Domainname-Eintrag hinzu }}
|-
| colspan="3" | {{Button |1=<i class="glyphicons glyphicons-folder-closed glyphicons-size-14"></i>}} / {{Button |1=<i class="glyphicons glyphicons-folder-open glyphicons-size-14"></i>}} || {{#var:domain-folder--desc}}
|-
| colspan="3" | {{Button |1=<i class="glyphicons glyphicons-minus glyphicons-size-14"></i>}} || {{#var:selektor-entfernen| Entfernt einen Selektor aus einem Domain-Eintrag}}
|-
| rowspan="4" | {{Button||mw}} ||  colspan="3" | {{#var:edit--domains--desc| Zeigt die {{spc| DNS-Einstellungen |gr}} an }}
|-
| {{b| Plain text}} || {{ButtonAus|Nein }} || {{#var:plain-text--desc| Bei {{ButtonAn| Ja }} Aktivierung werden die DNS-Einstellungen zusammenhängend in einem Fenster angezeigt. }}
|-
| colspan="2" | {{Button| Subdomain |copy}} || {{#var:copy--desc| Kopiert den Eintrag in die Zwischenablage }} <br>{{Hinweis|!|gelb}}{{#var:copy--desc--subdomain}}
|-
| colspan="2" | {{Button| {{#var:txt-copy| TXT Eintrag }} |copy }} || {{#var:copy--desc|Kopiert den Eintrag in die Zwischenablage}}<br>{{Hinweis|!|gelb}} {{#var:txt--desc| Dies ist der öffentliche Teil des RSA-Schlüssels, der im TXT-Record der Mail-Domain hinterlegt werden muss. }} {{info| {{#var:txt--info_hover| Zu finden auch unter im Menü Authentifizierung / RSA-Schlüssel / Öffentlicher Teil (des zugehörigen Schlüssels) / PEM-Format }} | content={{#var:txt--info_klick| Zu finden auch unter {{Menu |Authentifizierung | RSA-Schlüssel}} Öffentlicher Teil (des zugehörigen Schlüssels) {{Button|PEM|d}} }} }}
|-
| colspan="3" | {{Button||w}} || {{#var:edit--domain| Bearbeitet den jeweiligen Doman-Namen }}
|-
| colspan="3" | {{Button||trash}} || {{#var:del| Löscht den Eintrag }}
|-
| class="Leerzeile" colspan="3" | <br>{{spc| {{#var:DKIM-Selectoren| DKIM-Selectoren }} |gr}}
|-
| colspan="3" | {{Button | {{#var:Hinzufügen}}|+}} || {{#var:add--dkim| Fügt einen DKIM-Selektor hinzu }}
|-
| colspan="3" | {{Button||+}} || {{#var:selektor-hinzufügen}}
|-
| rowspan="11" | {{Button||w}} || colspan="3" | {{#var:edit--dkim-selector| Bearbeitet den Eintrag }}
|-
| {{b| Name: }} || {{ic|selector-2020-02-13-1}} || {{#var:dkim--selector--name| Name des Selektors }}
|-
| {{b| {{#var:RSA-Schlüssel| RSA-Schlüssel: }} }} ||{{ic| {{#var:Schlüsselname| Schlüsselname }} |dr}} || {{#var:Schlüsselname--desc| Vorhandenen Schlüssel auswählen oder mit der Schaltfläche {{Button||+}} einen Neues Schlüsselpaar erzeugen }}
|-
| {{b| {{#var:Hash-Algorithmus| Hash-Algorithmus: }} }} || sha256 || {{#var:algorithmus-verwendet| Verwendeter Algorithmus }}
|-
| class="Leerzeile" colspan="3" | <br>{{Kasten| {{#var:advanced-settings| Erweiterte Einstellungen }} }}
|-
| rowspan="2" | {{b|{{#var:header-canonicalization| E-Mail Header Normalisierung: }} }} || {{button| relaxed | dr}} || {{#var:header-canonicalization--desc| {{f|Standardisiert §versus normalisiert}} die E-Mail Header. {{info| Da verschiedene Quellen (wie weiterleitende Mailserver) die E-Mail Header verändern können, ist es möglich, eine normalisierte Version dieser Header, zur Erstellung der Signatur bzw. zur Überprüfung dieser, zu verwenden - die Header selbst werden dabei nicht verändert. Dadurch wird die Zuverlässigkeit der Signierung erhöht.}} }}
|-
| {{Button| simple | dr}} || {{#var:header-canonicalization--simple| Standardisiert die E-Mail Header nicht. }}
|-
| rowspan="2" | {{b| {{#var:body-canonicalization| E-Mail Body Normalisierung: }} }} || {{button| relaxed |dr}} || {{#var:body-canonicalization--desc| .Entfernt leere Zeilen am Ende der E-Mail und räumt Leerzeichen auf. {{info| Da verschiedene Quellen (wie weiterleitende Mailserver) den E-Mail Body verändern können, ist es möglich, eine normalisierte Version, zur Erstellung der Signatur bzw. zur Überprüfung dieser, zu verwenden - der Body selbst wird dabei nicht verändert. Dadurch wird die Zuverlässigkeit der Signierung erhöht. }} }}
|-
| {{button| simple |dr}} || {{#var:body-canonicalization--simple| Entfernt lediglich leere Zeilen am Ende der E-Mail. }}
|-
| {{b| {{#var:default-header-signing| Standard E-Mail Header signieren: }} }} || {{ButtonAn|{{#var:ja}} }} || {{#var:def}}: h=From:Reply-To:Subject:Date:To:Cc:Resent-Date:Resent-From:Resent-To:Resent-Cc:In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:List-Subscribe:List-Post:List-Owner:List-Archive; {{info| 1=see RFC 6376 5.4.1 | content=[https://tools.ietf.org/html/rfc6376#section-5.4 → RFC 6376 5.4.1] }}
|-
| {{b| {{#var:alt-header-signing| Zu signierende E-Mail Header: }} }} || {{ic| {{cb|From}}  {{cb|Date}} <br>{{cb|Subject}} {{cb|To}}<br> {{cb|List-Unsubscribe}} {{cb|List-ID}} |cb}}|| {{#var:alt-header-signing--desc| Alternative E-Mail Header, der bzw. die signiert werden sollen. }}
|}


----
=== {{#var:147|Optionale Einstellungen}} ===
=== {{#var:147|Optionale Einstellungen}} ===
{{#var:148|Weitere Einstellungen sind empfehlenswert, aber für einen operativen Einsatz nicht zwingend notwendig:}}
{{#var:148|Weitere Einstellungen sind empfehlenswert, aber für einen operativen Einsatz nicht zwingend notwendig:}}
<br><br>
<br><br>


{{pt2|{{#var:149|UTM_v11-8_Mailrelay_Greylisting-on.png}}|{{#var:150|Konfiguration von Greylisting}} | {{h4|{{#var:160|Greylisting}} | {{Reiter|{{#var:160|Greylisting}} }} }} }}
{{pt3|{{#var:149|UTM_v11-8_Mailrelay_Greylisting-on.png}}|{{#var:150|Konfiguration von Greylisting}} | {{h4|{{#var:160|Greylisting}} | {{Reiter|{{#var:160|Greylisting}} }} }} }}
{{#var:161|Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird. Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.
{{#var:161|Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird. Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.
<p>Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.}}</p>
<p>Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.}}</p>
Zeile 766: Zeile 987:
| class="Leerzeile" colspan="3" | {{h4 | {{#var:174|Einstellungen}} | <br>{{ Kasten |  {{#var:174|Einstellungen}} }} }}
| class="Leerzeile" colspan="3" | {{h4 | {{#var:174|Einstellungen}} | <br>{{ Kasten |  {{#var:174|Einstellungen}} }} }}
|-
|-
| {{Beschriftung | {{#var:177|Greylisting aktivieren:}} }} ||{{ButtonAus|Aus}} || {{ButtonAn|An}} {{#var:178|aktiviert die Funktion}}
| {{Beschriftung | {{#var:177|Greylisting aktivieren:}} }} ||{{ButtonAus|Aus}} || {{ButtonAn|An}} {{#var:178|aktiviert die Funktion}} {{info|1={{#var:greylisting}} }}
|-
|-
| {{Beschriftung |{{#var:179|SPF aktivieren:}} }} ||{{ButtonAus|Aus}} || {{#var:180|Wenn das [https://de.wikipedia.org/wiki/Sender_Policy_Framework Sender Policy Framework] der Absenderdomain korrekt im DNS eingetragen ist, wird die Mail ohne Verzögerung zugestellt.}}
| {{Beschriftung |{{#var:179|SPF aktivieren:}} }} ||{{ButtonAus|Aus}} || {{#var:180|Wenn das [https://de.wikipedia.org/wiki/Sender_Policy_Framework Sender Policy Framework] der Absenderdomain korrekt im DNS eingetragen ist, wird die Mail ohne Verzögerung zugestellt.}}
Zeile 774: Zeile 995:
| {{Beschriftung | {{#var:183|Verzögerung:}} }} || {{ ic | 2 | c }} || {{#var:184|Minuten: Zeitraum, der dem sendenden Mailserver vorgegeben wird, um einen weiteren Zustellversuch vorzunehmen.}}
| {{Beschriftung | {{#var:183|Verzögerung:}} }} || {{ ic | 2 | c }} || {{#var:184|Minuten: Zeitraum, der dem sendenden Mailserver vorgegeben wird, um einen weiteren Zustellversuch vorzunehmen.}}
|-
|-
| class="Leerzeile" colspan="3"| {{h4| {{#var:184a|Subnetz-Übereinstimmung}} | <br>{{Kasten|{{#var:184a|Subnetz-Übereinstimmung}} }} }} {{Hinweis| ! {{#var:62|Neu ab}} 11.8.4|11.8.4}}
| class="Leerzeile" colspan="3"| <span id="subnetze"></span>{{h4| {{#var:184a|Subnetz-Übereinstimmung}} | <br>{{Kasten|{{#var:184a|Subnetz-Übereinstimmung}} }} }} {{Hinweis| ! {{#var:62|Neu ab}} 11.8.4|11.8.4}}
|-
|-
| {{b|{{#var:184b| Subnetzmaske IPv4: }} || {{cb|32|}} || {{#var:184c|Anstatt, dass der sendende Server die genaue IP-Adresse wie zuvor haben muss, kann diese so geändert werden, dass nur die ersten 2 oder 3 Oktette übereinstimmen müssen.<br>Damit wird ein Whitelisting auch dann ermöglicht, wenn der Absender über mehrere Mailserver verfügt.<br>Möglich Werte: (Es lässt sich nur ein Wert eintragen.)<br>{{cb|32|}} (Einzelner Host) <br>{{cb|24|}} Subnetz, mit übereinstimmung der ersten drei Oktette<br>{{cb|29|}} Beliebiger Wert über Tastatureingabe. }}
| {{b|{{#var:184b| Subnetzmaske IPv4: }} || {{cb|32|}} || {{#var:184c|Anstatt, dass der sendende Server die genaue IP-Adresse wie zuvor haben muss, kann diese so geändert werden, dass nur die ersten 2 oder 3 Oktette übereinstimmen müssen.<br>Damit wird ein Whitelisting auch dann ermöglicht, wenn der Absender über mehrere Mailserver verfügt.<br>Möglich Werte: (Es lässt sich nur ein Wert eintragen.)<br>{{cb|32|}} (Einzelner Host) <br>{{cb|24|}} Subnetz, mit übereinstimmung der ersten drei Oktette<br>{{cb|29|}} Beliebiger Wert über Tastatureingabe. }}
Zeile 785: Zeile 1.006:




 
{{pt3| {{#var:domain-mapping--bild}} | {{#var:188|Domain Mapping}} }}
{{h4 | {{#var:188|Domain Mapping}} | {{ Reiter | {{#var:188|Domain Mapping}} }} }}<br>
{{h4 | {{#var:188|Domain Mapping}} | {{ Reiter | {{#var:188|Domain Mapping}} }} }}<br>
<p>{{#var:189|Domains können gemappt werden, um eingehende um Mails an z.B. <code>user@anyideas.net</code> auch unter <code>user@anyideas.de</code> zu empfangen.}}</p>
<p>{{#var:189|Domains können gemappt werden, um eingehende um Mails an z.B. {{code|user@anyideas.net}} auch unter {{code|user@anyideas.de}} zu empfangen.}}</p>
<p>{{#var:190|Mit {{Button|+ Domain Mapping hinzufügen}} kann das Mapping zwischen zwei Domains aktiviert werden.}}</p>
<p>{{#var:190|Mit {{Button|+ Domain Mapping hinzufügen}} kann das Mapping zwischen zwei Domains aktiviert werden.}}</p>
<p>{{#var:191|Dazu muss jeweils eine {{Beschriftung|Quell-Domain:}} und eine {{Beschriftung| Ziel-Domain:}} angegeben werden.}}</p>
<p>{{#var:191|Dazu muss jeweils eine {{Beschriftung|Quell-Domain:}} und eine {{Beschriftung| Ziel-Domain:}} angegeben werden.}}</p>
Zeile 793: Zeile 1.014:


{{h4 | {{#var:192|Erweiterte Einstellungen}} | {{ Reiter | {{#var:193|Erweitert}} }} }}<br/>
{{h4 | {{#var:192|Erweiterte Einstellungen}} | {{ Reiter | {{#var:193|Erweitert}} }} }}<br/>
{{pt2| {{#var:194|UTM_v11-8-2_Mailrelay_Erweitert.png}} | {{#var:195|Erweiterte Einstellungen des Mail Relay}}}}
{{pt3| {{#var:194|UTM_v11-8-2_Mailrelay_Erweitert.png}} | {{#var:195|Erweiterte Einstellungen des Mail Relay}}}}
<p>{{#var:196|Hier befinden sich weitere Optionen zur Vermeidung von Spam, die jeweils einzeln aktiviert werden können:}}</p>
<p>{{#var:196|Hier befinden sich weitere Optionen zur Vermeidung von Spam, die jeweils einzeln aktiviert werden können:}}</p>
<br clear=all>
 
{| class="wikitable2"
{| class="sptable"
! {{#var:197|Funktion}} !! {{#var:198|Beschreibung}}
! {{#var:197|Funktion}} !! {{#var:198|Beschreibung}}
|-
|-
| class="Leerzeile" | <br>{{ Kasten | {{#var:199|Greeting Pause}} }}
| class="Leerzeile" colspan="2"| <br>{{ Kasten | {{#var:199|Greeting Pause}} }}
|-
|-
| style="min-width: 245px;" | {{h6 | {{#var:199|Greeting Pause}} | {{Beschriftung| {{#var:200|Status:}} }} }}  
| style="min-width: 245px;" | {{h6 | {{#var:199|Greeting Pause}} | {{Beschriftung| {{#var:200|Status:}} }} }}  
Zeile 806: Zeile 1.027:
| {{ b | {{#var:202|Dauer:}}}} || {{ ic | 2000 | c}} {{#var:203|Milisekunden (Standardwert). Zeit, die das Mailrelay die Grußbotschaft verzögert. Sendet der verbundene Client vor Ablauf dieser Zeit SMTP Kommandos, wird sein Request beim RCPT TO-Kommando mit einem "Protocol Error" abgewiesen.<br>{{Button|Ausnahmen}} können für bekannte Mailserver als Netzwerk- oder Host-IP-Adresse definiert werden.}} <br>{{ Hinweis | !| grün }}{{#var:204|Erfolgreich wartende Mailserver werden außerdem automatisch für einen Tag in die Whitelist aufgenommen.}}
| {{ b | {{#var:202|Dauer:}}}} || {{ ic | 2000 | c}} {{#var:203|Milisekunden (Standardwert). Zeit, die das Mailrelay die Grußbotschaft verzögert. Sendet der verbundene Client vor Ablauf dieser Zeit SMTP Kommandos, wird sein Request beim RCPT TO-Kommando mit einem "Protocol Error" abgewiesen.<br>{{Button|Ausnahmen}} können für bekannte Mailserver als Netzwerk- oder Host-IP-Adresse definiert werden.}} <br>{{ Hinweis | !| grün }}{{#var:204|Erfolgreich wartende Mailserver werden außerdem automatisch für einen Tag in die Whitelist aufgenommen.}}
|-
|-
| class="Leerzeile" | <br>{{h6 | {{#var:205|Empfänger-Beschränkung}} | {{ Kasten | {{#var:205|Empfänger-Beschränkung}} }} }}
| class="Leerzeile"  colspan="2" | <br>{{h6 | {{#var:205|Empfänger-Beschränkung}} | {{ Kasten | {{#var:205|Empfänger-Beschränkung}} }} }}
|-
|-
| {{ b | Status:}} || {{ButtonAus | {{#var:aus|Aus}} }}
| {{ b | Status:}} || {{ButtonAus | {{#var:aus|Aus}} }}
Zeile 812: Zeile 1.033:
| {{Beschriftung| {{#var:206|Limit:}} }} || {{ ic |25 | c }} {{#var:207|Empfänger}} <br>{{#var:208|Diese Option blockiert Mails, die mehr als eine einstellbare Zahl Empfängeradressen aufweisen}}
| {{Beschriftung| {{#var:206|Limit:}} }} || {{ ic |25 | c }} {{#var:207|Empfänger}} <br>{{#var:208|Diese Option blockiert Mails, die mehr als eine einstellbare Zahl Empfängeradressen aufweisen}}
|-
|-
| class="Leerzeile" | <br>{{h6 | {{#var:209|Beschränkung pro Client}} | {{ Kasten | {{#var:209|Beschränkung pro Client}} }} }}
| class="Leerzeile"  colspan="2"| <br>{{h6 | {{#var:209|Beschränkung pro Client}} | {{ Kasten | {{#var:209|Beschränkung pro Client}} }} }}
|-
|-
|  {{ b | {{#var:210|Verbindungen limitieren:}} }} || <p>{{ButtonAus |{{#var:aus|Aus}} }}</p><p>{{Button|{{#var:211|Ausnahmen}} }}  {{#var:212|können für bekannte Mailserver als Netzwerk- oder Host-IP-Adresse definiert werden.<br>Konfiguration, wenn ein einzelner Mailserver (identifiziert anhand seiner IP-Adresse) maximal eine Verbindung zur UTM Appliance und maximal 5 Verbindungen nacheinander pro Minute aufbauen dürfen soll:}}<p>
|  {{ b | {{#var:210|Verbindungen limitieren:}} }} || <p>{{ButtonAus |{{#var:aus|Aus}} }}</p><p>{{Button|{{#var:211|Ausnahmen}} }}  {{#var:212|können für bekannte Mailserver als Netzwerk- oder Host-IP-Adresse definiert werden.<br>Konfiguration, wenn ein einzelner Mailserver (identifiziert anhand seiner IP-Adresse) maximal eine Verbindung zur UTM Appliance und maximal 5 Verbindungen nacheinander pro Minute aufbauen dürfen soll:}}<p>
Zeile 843: Zeile 1.064:


{{#var:232|Um den Zugriff auf das Mailrelay zu erlauben, muss den zum Mailversand berechtigten Hosts der Zugriff auf die entsprechende Schnittstelle der Securepoint Appliance (abhängig von der Zone, in der sich die Hosts befinden) über das Protokoll SMTP erlaubt werden. Dies kann je nach Anforderung ein einzelner Host (z.B. der Mailserver), eine Gruppe von Hosts oder das gesamte Netzwerk sein. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mailrelay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben.}}
{{#var:232|Um den Zugriff auf das Mailrelay zu erlauben, muss den zum Mailversand berechtigten Hosts der Zugriff auf die entsprechende Schnittstelle der Securepoint Appliance (abhängig von der Zone, in der sich die Hosts befinden) über das Protokoll SMTP erlaubt werden. Dies kann je nach Anforderung ein einzelner Host (z.B. der Mailserver), eine Gruppe von Hosts oder das gesamte Netzwerk sein. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mailrelay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben.}}
{{pt2|{{#var:233|UTM_V11-8_PFMR2.png}}|hochkant=2|{{#var:234|Firewall-Regel für ausgehende Mails aus dem internen Netz}} }}
{{pt3|{{#var:233|UTM_V11-8_PFMR2.png}} | {{#var:234|Firewall-Regel für ausgehende Mails aus dem internen Netz}} }}
{{#var:235|Um z.B. dem internen Netzwerk den Zugriff auf das Mailrelay zu gestatten, kann das Regelwerk mit den vordefinierten Netzwerkgruppen erstellt werden:}}
{{#var:235|Um z.B. dem internen Netzwerk den Zugriff auf das Mailrelay zu gestatten, kann das Regelwerk mit den vordefinierten Netzwerkgruppen erstellt werden:}}
<br clear=all>
<br clear=all>
Zeile 851: Zeile 1.072:
<br clear=all>
<br clear=all>


{{pt2|{{#var:239|UTM_V118_PFMR3.png}}|hochkant=2|{{#var:240|Firewall-Regel für ausgehende Mails des Mailservers}} }}
{{pt3|{{#var:239|UTM_V118_PFMR3.png}} | {{#var:240|Firewall-Regel für ausgehende Mails des Mailservers}} }}
{{#var:241|Dieses Objekt kann dann in der Firewall-Regel verwendet werden:}}
{{#var:241|Dieses Objekt kann dann in der Firewall-Regel verwendet werden:}}


{{#var:242|Soll einer bestimmten Gruppe von Rechnern im internen Netzwerk gestattet sein, das Mailrelay zu benutzen, dann müssen diese Rechner jeweils als Netzwerkobjekt angelegt werden. Diese können dann in einer Gruppe zusammengefasst werden (z.B. "SMTP-Berechtigte").}}
{{#var:242|Soll einer bestimmten Gruppe von Rechnern im internen Netzwerk gestattet sein, das Mailrelay zu benutzen, dann müssen diese Rechner jeweils als Netzwerkobjekt angelegt werden. Diese können dann in einer Gruppe zusammengefasst werden (z.B. "SMTP-Berechtigte").}}
<br clear=all>


==== {{#var:243|Konfiguration Relaying}} ====
==== {{#var:243|Konfiguration Relaying}} ====
Zeile 861: Zeile 1.083:
{| class="wikitable2"
{| class="wikitable2"
|-
|-
| {{Beschriftung|{{#var:246|Domain}} }} || <code>192.0.2.0/30</code> {{#var:247|oder}} <code>192.0.2.192</code><br>{{Hinweis | {{#var:248|Dieses sind Beispiel-IPs für die internen Mailserver. Diese müssen durch individuelle Adressen ersetzt werden!}} | gelb }}
| {{Beschriftung|{{#var:246|Domain}} }} || <p>{{code|192.0.2.0/30}} {{#var:247|oder}} {{code|192.0.2.192}}</p><p>{{Hinweis | {{#var:248|Dieses sind Beispiel-IPs für die internen Mailserver. Diese müssen durch individuelle Adressen ersetzt werden!}} | gelb|c=graul}}</p>
|-
|-
| {{Beschriftung|{{#var:249|Option}} }} || {{MenuD|None}}
| {{Beschriftung|{{#var:249|Option}} }} || {{MenuD|None}}

Aktuelle Version vom 1. Februar 2024, 11:47 Uhr





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht



















































































) }}





To include all senders of an e-mail domain in the whitelist, this entry is entered as Regular expression: /.*@ttt-point\.de/}}}



































































De.png
En.png
Fr.png

Konfiguration des Mailrelays

Letzte Anpassung zur Version: 11.8.8 (02.2020)


  • DKIM-Signierung von ausgehenden Mails
  • E-Mail-Prüfung mittels SPF/DKIM/DMARC
  • Greylisting: automatisches Whitelisting für gleiche Subnetze (11.8.5)
  • Smarthost: TLS implizit verwenden (ab 11.8.4)
  • Smarthost Verifikation: Mailserver können mittels Zertifikat (pki oder dane) auf Echtheit überprüft werden.
  • TLS-Einstellungen als Server und als Client separat konfigurierbar.
  • TLS-Einstellungen erweitert für dane-konforme Server


Vorherige Versionen: 11.7 / 11.8 / 11.8.2 / 11.8.4


Konfiguration des Mailrelay

Die Securepoint UTM Appliance kann mithilfe des Mailrelays E-Mails entgegennehmen und an einen Mailserver im internen Netzwerk weiterleiten. Das Mailrelay prüft die empfangenen E-Mails und teilt diese in eine entsprechende Kategorie ein. Anhand der Kategorie, wird entschieden ob eine E-Mail an den internen Mailserver weitergeleitet wird oder nicht.

Zum Schutz vor Spam bzw. zur Entlastung des Mailfilters lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierten Privat- und Arbeitsplatzrechner. Dagegen haben sich die Überprüfung der Ziel E-Mail-Adressen, das Greylisting und die Greeting Pause als wirksame Funktionen erwiesen.


Voraussetzungen

Providerseitige Einstellungen

Um eine reibungslose Teilnahme am Mailverkehr zu gewährleisten, müssen einige Voraussetzungen erfüllt sein:

  • Eine feste IP-Adresse.
  • Einen A-Record auf dem DNS-Server des Providers, der auf diese IP auflöst (z.B. mail.ttt-point.de).
  • Einen MX-Record, der festlegt, unter welcher Adresse der Mailserver einer Domain erreichbar ist (z.B. mail.ttt-point.de).
  • Einen PTR-Record, der die feste IP auf den MX-Record zurückauflöst (reverse DNS).

Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!

Hinweis: Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, sollten die Hardware-Empfehlungen unbedingt berücksichtigt werden!

Regelwerk

Portfilterregel für eingehende Mails

Um anderen Mailservern die Zustellung von Mails auf das Mailrelay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:


Hinweis: Sollte neben der Internetverbindung mit der IP, über die der Mailversand stattfindet, keine weitere verfügbar sein, muss dafür gesorgt werden, dass NUR dem Mailserver der Versand von Mail per SMTP erlaubt wird. Sonst könnte ein einziger von einem Trojaner kompromittierter Rechner im Netzwerk das Versenden von Mails empfindlich stören oder gar gänzlich unmöglich machen, weil dieser mit der öffentlichen IP Spams und Malware verbreitet und diese innerhalb kürzester Zeit auf entsprechenden Blacklisten für Spammer gelistet wird.

Wichtig: Es darf keine Portweiterleitung für SMTP existieren. Diese würde dafür sorgen, dass die Mails am Mailrelay vorbeigeleitet werden!

E-Mail-Adresse

Unter → Netzwerk →Servereinstellungen Globale E-Mail Adresse: sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.


Grundkonfiguration des Mail Relay zum Empfang von Mails

Die Konfiguration des Mailrelay findet unter → Anwendungen →Mailrelay statt.


Allgemein

Allgemein
Allgemeine Einstellungen des Mail Relay



Funktion Wert Beschreibung
Mailfilter aktivieren: Ein aktivieren
Postmaster-Adresse: admin-mail@anyideas.de Hier muss eine korrekte Mail-Adresse hinterlegt sein.
Diese E-Mail-Adresse wird im Dialog → Netzwerk → Servereinstellungen im Feld Globale E-Mail Adresse festgelegt. Änderungen sind nur dort möglich.
Maximale Nachrichtengröße: 20Link= Maximale Größe der Mails in Megabytes, die vom Mailrelay angenommen werden.
Ausgehende IP-Adresse:     Bei Multipath-Routing kann hier eine ausgehende Schnittstelle durch die IP-Adresse angegeben werden.
Auch die Kommunikation aus dem internen Netz läuft dann über diese IP-Adresse. Auf dem Mailserver und seiner Firewall müssen weitere Einstellungen vorgenommen werden, damit Mails von dieser IP-Adresse angenommen werden.
SPF/DKIM/DMARC Prüfungen:
in 11.8.7
Aus Ermöglicht bei Aktivierung Ein das Filtern nach entsprechenden SPF/DKIM/DMARC Resultaten in einer Mailfilterregel.
Fügt der E-Mail einen RFC 8601 Authentication-Results Header hinzu. Wird nicht ausgeführt für via SASL authentifizierte Clients und "trusted Hosts", also Clients, für die in der relaying list mit der Option "Connect" oder ohne Option die Aktion "RELAY" angegeben ist.

Weitere Hinweise im Artikel zum Mailfilter




Smarthost

Smarthost
Smarthost Einstellungen des Mailrelay


Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist. Das ist z.B. der Fall, wenn kein eigener Mailserver betrieben wird oder keine feste öffentliche IP-Adresse vorliegt.

Beschriftung Wert Beschreibung
Smarthost aktivieren: Ein aktiviert die Smarthost-Funktion.
Smarthost: smtp.anyideas.de smtp.anyideas.de
Mailserver, der ausgehende Mails entgegennehmen und versenden soll.(Beispieladresse)
Port: 465Link= Mail-Port für externen Mail-Server
25: Standardport für smtp (Default)
465: Standardport für implizites TLS
587: Standardport für STARTTLS
TLS implizit verwenden
Neu ab 11.8.4
Aus Per Default (deaktiviert) wird eine Verbindung zunächst über smtp aufgebaut und anschließend versucht mit der Gegenstelle eine TLS-Verschlüsselung zu initiieren.
Ein Bei Aktivierung wird die Verbindung erst mit TLS verschlüsselt, bevor die smtp-Kommunikation aufgebaut wird. Beherrscht die Gegenstelle kein TLS kommt keine Verbindung zu Stande. Die TLS-Version wird unter → Authentifizierung →Verschlüsselung konfiguriert.
Smarthost Verifikation: Keine Es wird keine Verifikation des Smarthosts vorgenommen.
pki Der Smarthost wird anhand von standardmäßig installierten Root-CAs oder einer selbstsignierten CA verifiziert.
CA: SystemCAs (Default) Alternativ kann eine (zuvor unter → Authentifizierung →Zertifikate erstellte oder importierte ) CA zur Authentifizierung ausgewählt werden.
dane Der Smarthost wird ausschließlich mittels DANE Protokoll (RFC 6698) verifiziert und muss dieses unterstützen.

Das DANE-Protokoll erfordert zwingend die Aktivierung von DNSSEC.

Authentifizierung aktivieren: Ein Ermöglicht die Authentifizierung am Smarthost-Mailserver.
Benutzer: Zugangsdaten
Passwort Zugangsdaten



Relaying

Relaying

Relaying-Liste
 Relaying-Liste 
Konfiguration Relaying


Hier wird konfiguriert, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.

Domain / Host hinzufügen Dialog

Hinzufügen eines Eintrags mit dem Button Domain / Host hinzufügen

Angabe folgender Werte:
Beschriftung Wert Beschreibung
Domain: E-Mail-Domainname oder IP-Adresse
Option NONE Die Aktion wird auf alle Ereignisse angewendet.
From Hier wird die Absender-Domain ausgewertet. Beispiel: Domain: ttt-point.de - Betrifft alle Mails mit der Domain ttt-point.de im Absender.
Da sich die Absender-Domain leicht fälschen lässt, ist diese Option nur nach sorgfältiger Prüfung einzusetzen.
To Hier wird die Empfänger-Domain ausgewertet. Beispiel: Domain: anyideas.de - Betrifft alle Mails mit der Domain anyideas.de im Empfänger.
Connect Hier wird die IP, der Hostname oder die Domain des Mailservers ausgewertet, der die Mail zustellen möchte. Beispiel: Domain: ttt-point.de - Betrifft alle Mails, von Mailservern aus der Domain ttt-point.de - unabhängig vom Sender oder Empfänger der Mail.
Aktion RELAY Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet.
ABGELEHNT Mails werden abgewiesen.
OK Mails werden angenommen und an ein lokales Postfach zugestellt, aber nicht weitergeleitet.


Um also alle Mails zu relayen, die für Empfänger der eigenen Domain bestimmt sind, muss folgender Eintrag konfiguriert werden:

Domain / Host hizufügen
Domain anyideas.de
Option To
Aktion RELAY


 Exakten Domainnamen für das Relaying verwenden: 

Ein Das Relay reagiert nur auf den in der Liste eingetragenen Domainnamen und nicht auf nicht eingetragene Subdomains oder Erweiterungen.
Beispiel: In die Relayliste eingetragene Domain: anyideas.de

Ein
vom Mailrelay akzeptiert:
@anyideas.de
Aus
 vom Mailrelay akzeptiert:
@anyideas.de
@support.anyideas.de
@anyideas.de.com
Ein
vom Mailrelay akzeptiert:
Aus
vom Mailrelay akzeptiert:
@anyideas.de @anyideas.de
@support.anyideas.de
@anyideas.de.com


TLS Einstellungen
TLS Einstellungen

Beschriftung Default Beschreibung
TLS Verschlüsselung als Server: Ein Wird TLS deaktiviert, werden Mails über unverschlüsselte Verbindungen versendet!
Zertifikat default Das Mailrelay verwendet ein selbst-signiertes Zertifikat für die Transportverschlüsselung. Optional kann ein Zertifikat, dessen CN dem Hostnamen der UTM entspricht, unter → Authentifizierung → Zertifikate importiert werden.
TLS Verschlüsselung als Client: may Verwendet TLS, sofern es angeboten wird.
encrypt Verwendet immer TLS. Verbindung mit Servern, die kein TLS anbieten, werden wieder abgebrochen.
dane Authentifiziert und verwendet TLS zu DANE-Konformen Servern, sofern es angeboten wird.



SMTP Routen

SMTP Routen

SMTP Routen-Liste
 SMTP Routen-Liste 

Konfiguration der SMTP Routen

Hier muss eingestellt werden, an welchen Mailserver eine entgegengenommene Mail weitergeleitet werden soll. Falls dies nicht geschieht, wertet das Mailrelay den MX-Record der Empfänger-Domain aus - der auf das Relay selbst zeigt! Es wird dann ein sogenannter "Loopback" erkannt, durch den die Annahme der Mail mit einer entsprechenden Fehlermeldung abgebrochen wird. Im Folgenden können dann auch weitere Domains auf den gleichen oder auf andere Mailserver weitergeleitet werden.

Mit dem Button + SMTP-Routing hinzufügen werden weitere Routen angelegt.

Erforderliche Angaben dabei:
Domain: anyideas.de (bzw. die entsprechende Maildomain)
Mailserver: entweder als FQDN oder die IP-Adresse

Einstellungen
Einstellungen

In dieser Rubrik kann die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.


Funktion Option Beschreibung
E-Mail-Adresse überprüfen: Aus Die Securepoint Appliance fragt im Hintergrund den internen Mailserver ab.
SMTP Die Securepoint Appliance fragt im Hintergrund den internen Mailserver ab.
Hinweis: Die Validierung muss ebenso am Mailserver aktiv sein! (Recipient Verification z.B. bei einem Exchange)
LDAP Die Securepoint Appliance fragt beispielsweise den Active Directory-Server ab.
Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter → Authentifizierung →AD/LDAP Authentifzierung konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten.
Lokale E-Mail-Adressliste Mail-Adressliste
Eine Liste akzeptierter Mail-Empfänger kann auch lokal anglegt werden.
Lokale E-Mail-Adressliste bearbeiten Hiermit können Mail-Adressen hinzugefügt und entfernt werden.






Signierung

Signierung

Signierung mit DKIM

in 11.8.8 Ausgehende E-Mails können mittels DomainKeys Identified Mail signiert werden. Dabei werden einzelne Segmente im Header sowie der Body jeweils separat signiert, damit ein weiterleiten einer Mail über einen Mailserver und damit eine Veränderung des Mailheaders nicht die Signatur zerstört.

Beschriftung Wert Beschreibung
Allgemein
DKIM-Signierung: Aus (Default) Bei Ein Aktivierung kann die DKIM-Signierung genutzt werden.
Maximale Anzahl an Prozessen: 2Link= bestimmt die Anzahl der Filterprozesse und smtp-Instanzen, die für die DKIM-Signierung verwendet werden

Domains
Default-Konfiguration hinzufügen Fügt eine Standardkonfiguration hinzu. Dazu wird ein RSA-Schlüssel erzeugt (Selector) und jeder Mail-Domain, die als SMTP-Route eingetragen ist zugeordnet
Hinzufügen Fügt einen Domainname-Eintrag hinzu
/ Öffnet / schließt die Übersicht, in der die Selektoren für eine Domain angezeigt werden, die zum signieren verwendet werden.
Entfernt einen Selektor aus einem Domain-Eintrag
Zeigt die DNS-Einstellungen an
Plain text Nein Bei Ja Aktivierung werden die DNS-Einstellungen zusammenhängend in einem Fenster angezeigt.
Wird ein eigener authoritativer DNS-Server betrieben, kann dieser Wert direkt in eine BIND Zonendatei kopiert werden.
Subdomain Kopiert den Eintrag in die Zwischenablage
Zur Zuordnung der Subdomain beim DNS-Hoster.
TXT Eintrag Kopiert den Eintrag in die Zwischenablage
Dies ist der öffentliche Teil des RSA-Schlüssels, der im TXT-Record der Mail-Domain hinterlegt werden muss.
Zu finden auch unter → Authentifizierung →RSA-Schlüssel Öffentlicher Teil (des zugehörigen Schlüssels) PEM
Bearbeitet den jeweiligen Domain-Namen
Löscht den Eintrag

DKIM-Selectoren
Hinzufügen Fügt einen DKIM-Selektor hinzu
Fügt den Selektor dem aktiven (blau hinterlegten) Domain-Eintrag zu.
Bearbeitet den Eintrag
Name: selector-2020-02-13-1 Name des Selektors
RSA-Schlüssel: Schlüsselname Vorhandenen Schlüssel auswählen oder mit der Schaltfläche einen Neues Schlüsselpaar erzeugen
Hash-Algorithmus: sha256 Verwendeter Algorithmus

Erweiterte Einstellungen
E-Mail Header Normalisierung: relaxed Normalisiert die E-Mail Header.
Da verschiedene Quellen (wie weiterleitende Mailserver) die E-Mail Header verändern können, ist es möglich, eine normalisierte Version dieser Header, zur Erstellung der Signatur bzw. zur Überprüfung dieser, zu verwenden - die Header selbst werden dabei nicht verändert. Dadurch wird die Zuverlässigkeit der Signierung erhöht.
simple Normalisiert die E-Mail Header nicht.
E-Mail Body Normalisierung: relaxed Entfernt leere Zeilen am Ende der E-Mail und räumt Leerzeichen auf.
Da verschiedene Quellen (wie weiterleitende Mailserver) den E-Mail Body verändern können, ist es möglich, eine normalisierte Version, zur Erstellung der Signatur bzw. zur Überprüfung dieser, zu verwenden - der Body selbst wird dabei nicht verändert. Dadurch wird die Zuverlässigkeit der Signierung erhöht.
simple Entfernt lediglich leere Zeilen am Ende der E-Mail.
Standard E-Mail Header signieren: : h=From:Reply-To:Subject:Date:To:Cc:Resent-Date:Resent-From:Resent-To:Resent-Cc:In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:List-Subscribe:List-Post:List-Owner:List-Archive;
Zu signierende E-Mail Header: »From »Date
»Subject »To
»List-Unsubscribe »List-ID
E-Mail Header, die signiert werden sollen.

Optionale Einstellungen

Weitere Einstellungen sind empfehlenswert, aber für einen operativen Einsatz nicht zwingend notwendig:

Greylisting

Greylisting
Konfiguration von Greylisting


Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird. Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.

Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.


Folgende Konfigurationen sind möglich:

Beschriftung Default Beschreibung

Whitelist


Whitelist
IP / Netzwerke
10.0.0.0/8
127.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Vorgabe sind die privaten IP-Adressbereiche sowie die Loopback-Adresse. Mit IP / Netzwerk hinzufügen lassen sich weitere Netzwerke und einzelne Hosts (z.B.: 203.0.113.113/32) hinzufügen
Domains No data available. Hier können einzelne Mailserver-Domains hinzugefügt werden z.B.: smtp.anyideas.de
Wichtig: Die Domain des Mailservers muss nicht identisch mit der E-Mail Domain des Absender sein.
Beispiel: Absender user@ttt-point.de sendet über den Mailserver smtp.anyideas.de
Empfänger No data available. Hier können einzelne Empfänger hinzugefügt werden z.B.: MailUser@ttt-point.de
Absender No data available. Hier können einzelne Absender hinzugefügt werden z.B.:MailSender@ttt-point.de
Um alle Absender einer E-Mail Domain in die Whitelist mit aufzunehmen, wird dieser Eintrag als Regulärer Ausdruck eingetragen: /.*@ttt-point\.de/

Einstellungen


Einstellungen
Greylisting aktivieren: Aus An aktiviert die Funktion
Zustellversuche unbekannter Mailservers werden zunächst abgelehnt. s.o.
SPF aktivieren: Aus Wenn das Sender Policy Framework der Absenderdomain korrekt im DNS eingetragen ist, wird bei Aktivierung Ein die Mail ohne Verzögerung zugestellt.
Automatisches Whitelisten für: 7Link= Tage(Default) : Für diesen Zeitraum werden nach einer erfolgreichen Zustellung Mails sofort entgegengenommen.
Verzögerung: 2Link= Minuten(Default): Zeitraum, der dem sendenden Mailserver vorgegeben wird, um einen weiteren Zustellversuch vorzunehmen.

Subnetz-Übereinstimmung


Subnetz-Übereinstimmung
Neu ab 11.8.4
Subnetzmaske IPv4: »32 Anstatt, dass der sendende Server die genaue IP-Adresse wie zuvor haben muss, kann diese so geändert werden, dass nur die ersten 2 oder 3 Oktette übereinstimmen müssen.
Damit wird ein Whitelisting auch dann ermöglicht, wenn der Absender über mehrere Mailserver verfügt.
Möglich Werte: (Es lässt sich nur ein Wert eintragen.)
»32 (Einzelner Host)
»24 Subnetz, mit übereinstimmung der ersten drei Oktette
»29 Beliebiger Wert über Tastatureingabe.
Subnetzmaske IPv6: »64

Hinweis: Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden

Positiv: Wird ein größerer Wert für Verzögerung von z.B.: 30Link= Minuten gewählt, kann die Scan-Engine bei der erneuten Zustellung mit zwischenzeitlich aktualisierten Virensignaturen eine höhere Erkennungswahrscheinlichkeit bei neuen Outbreaks aufweisen.


Domain Mapping

Domain Mapping

Domain Mapping


Domains können gemappt werden, um eingehende um Mails an z.B. user@anyideas.net auch unter user@anyideas.de zu empfangen.

Mit Domain Mapping hinzufügen kann das Mapping zwischen zwei Domains aktiviert werden.

Dazu muss jeweils eine Quell-Domain: und eine Ziel-Domain: angegeben werden.




Erweiterte Einstellungen

Erweitert


Erweiterte Einstellungen des Mail Relay

Hier befinden sich weitere Optionen zur Vermeidung von Spam, die jeweils einzeln aktiviert werden können:

Funktion Beschreibung

Greeting Pause
Greeting Pause
Status:
Ein aktiviert die Funktion.
Dauer: 2000Link= Milisekunden (Standardwert). Zeit, die das Mailrelay die Grußbotschaft verzögert. Sendet der verbundene Client vor Ablauf dieser Zeit SMTP Kommandos, wird sein Request beim RCPT TO-Kommando mit einem "Protocol Error" abgewiesen.
Ausnahmen können für bekannte Mailserver als Netzwerk- oder Host-IP-Adresse definiert werden.
Erfolgreich wartende Mailserver werden außerdem automatisch für einen Tag in die Whitelist aufgenommen.

Empfänger-Beschränkung
Empfänger-Beschränkung
Status: Aus
Limit: 25Link= Empfänger
Diese Option blockiert Mails, die mehr als eine einstellbare Zahl Empfängeradressen aufweisen

Beschränkung pro Client
Beschränkung pro Client
Verbindungen limitieren:

Aus

Ausnahmen können für bekannte Mailserver als Netzwerk- oder Host-IP-Adresse definiert werden.
Konfiguration, wenn ein einzelner Mailserver (identifiziert anhand seiner IP-Adresse) maximal eine Verbindung zur UTM Appliance und maximal 5 Verbindungen nacheinander pro Minute aufbauen dürfen soll:

Erlaubte Verbindungen: 1Link= Anzahl der (Client-) Verbindungen, je verbundenem Mailserver.
Zugriffskontrolle aktivieren: Beschränkt die Anzahl der (Client-) Verbindungen je verbundenem Mailserver innerhalb eines Zeitfensters.
Zeitfenster: 60Link= Sekunden
Verbindungen pro Zeitfenster: 5Link=

Sonstige
Sonstige
HELO benötigt: Ein Sollte unbedingt aktiviert bleiben (Standard) Dieser Schalter existiert, um Abwärtskompatibilität zu gewähleisten.
Reverse DNS lookup benötigt: Aus Verlangt, dass für verbundene Mailserver ein Reverse-Lookup(Address) existiert. Der Forward Lookup muss wieder die IP-Adresse ergibt.
Unauflösbare Domains akzeptieren: Aus Erlaubt Absenderadressen, deren Domäne nicht per DNS auflösbar ist.
Maximale Anzahl an Prozessen: 10Link= Steuert die globale Anzahl gleichzeitiger Verbindungen zum Mailrelay (und anhängender Filter und Spamabwehr-Prozesse)



Konfiguration des Mailrelays für ausgehende Mails

Um sicher zu stellen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mailrelay auch für ausgehende Mails verwendet werden.

Regelwerk

Um den Zugriff auf das Mailrelay zu erlauben, muss den zum Mailversand berechtigten Hosts der Zugriff auf die entsprechende Schnittstelle der Securepoint Appliance (abhängig von der Zone, in der sich die Hosts befinden) über das Protokoll SMTP erlaubt werden. Dies kann je nach Anforderung ein einzelner Host (z.B. der Mailserver), eine Gruppe von Hosts oder das gesamte Netzwerk sein. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mailrelay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben.

Firewall-Regel für ausgehende Mails aus dem internen Netz

Um z.B. dem internen Netzwerk den Zugriff auf das Mailrelay zu gestatten, kann das Regelwerk mit den vordefinierten Netzwerkgruppen erstellt werden:

Netzwerkobjekt Mailserver

Soll nur der Mailserver Mails versenden können, muss dieser zunächst als Netzwerkobjekt angelegt werden:

Firewall-Regel für ausgehende Mails des Mailservers

Dieses Objekt kann dann in der Firewall-Regel verwendet werden:

Soll einer bestimmten Gruppe von Rechnern im internen Netzwerk gestattet sein, das Mailrelay zu benutzen, dann müssen diese Rechner jeweils als Netzwerkobjekt angelegt werden. Diese können dann in einer Gruppe zusammengefasst werden (z.B. "SMTP-Berechtigte").

Konfiguration Relaying

Damit das Mailrelay die Mails aus dem internen Netz bzw. vom Mailserver auch annimmt, müssen die Einstellungen im Reiter Relaying um einen entsprechenden Eintrag ergänzt werden. Als Kriterium dient die Netzwerkadresse des entsprechenden Subnetzes bzw. die IP-Adresse des betreffenden Rechners:

+ Domain / Host hinzufügen

Domain

192.0.2.0/30 oder 192.0.2.192

Dieses sind Beispiel-IPs für die internen Mailserver. Diese müssen durch individuelle Adressen ersetzt werden!

Option None
Aktion Relay



Ergebnis

Die UTM kann jetzt eingehende und ggf. auch ausgehende Mails auf Spam und Viren überprüfen.