Wechseln zu:Navigation, Suche
Wiki
K (Lauritzl verschob die Seite UTM/APP/Mailrelay-Best Practice nach UTM/APP/Mailrelay-Best Practice 11.7, ohne dabei eine Weiterleitung anzulegen)
 
(58 dazwischenliegende Versionen von 5 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{DISPLAYTITLE:Mail-Security - Empfohlene Einstellungen}}
{{DISPLAYTITLE:Mail Security - Empfohlene Einstellungen}}
{{Archivhinweis|UTM/APP/Mailrelay-Best_Practice}}
__TOC__
== Informationen ==
== Informationen ==
Letze Anpassung zur Version: '''11.7'''  
Letzte Anpassung zur Version: '''11.7.2'''  
<br>
<br>
Bemerkung: -
Bemerkung: Verschlüsselung forcieren hinzugefügt, URL-Filter ergänzt.
<br>
<br>
Vorherige Versionen: -
Vorherige Versionen: [[UTM/APP/Mailrelay-Best_Pracitce_v11.7.1 | 11.7.1]]
<br>
<br>


== Einleitung ==
== Einleitung ==
Dieses Artikel ist ein Best Practice zum Thema Mail-Security. Diese Empfehlungen beziehen sich auf folgendes Szenario:
Dieser Artikel ist ein Best Practice zum Thema Mail-Security. Diese Empfehlungen beziehen sich auf folgendes Szenario:


*Empfang der E-Mails per SMTP über das Mail-Relay
*Empfang der E-Mails per SMTP über das Mailrelay
*Zustellung erfolgt direkt über MX
*Zustellung erfolgt direkt über MX
*Filterung erfolgt direkt bei Eingang auf MX
*Filterung erfolgt direkt bei Eingang auf MX
<br>
<br>
{|
<div>
|-
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
|[[Datei:AVPro 2-14-9 alert2.png]]
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Die Domain securepoint.de und die IP-Adresse 192.168.175.100 sind Beispiel Adressen.</span></div>
|'''<span"> Die Domain securepoint.de und die IP-Adresse 192.168.175.100 sind Beispiel Adressen.</span>'''
</div>
|}
<div style="clear: both;"></div>


==Mail-Security==
==Mail-Security==
Zeile 28: Zeile 30:
=====Relaying=====
=====Relaying=====
Das Mailrelay ist so zu konfigurieren, dass nur E-Mails an die Empfänger-Adresse angenommen werden.
Das Mailrelay ist so zu konfigurieren, dass nur E-Mails an die Empfänger-Adresse angenommen werden.
*Option: To
* Option:   To
*Domain: securepoint.de
* Domain: securepoint.de
*Aktion: Relay
* Aktion:   Relay


<br>
<br>
Sollen auch ausgehend Emails über das Mailrelay der UTM versendet werden, wird ein weiterer Eintrag benötigt:
Sollen auch ausgehend Emails über das Mailrelay der UTM versendet werden, wird ein weiterer Eintrag benötigt:


*Option: From
*Option: None
*IP: 192.168.175.100
*IP: 192.168.175.100
*Aktion: RELAY
*Aktion: RELAY


=====Exakte Domainnamen=====
=====Exakte Domainnamen=====
Die Option ist zu aktivieren. E-Mails an Empfänger innerhalb einer Subdomain werden dadurch nicht angenommen.
Durch diese Option werden E-Mails an Empfänger innerhalb einer Subdomain nicht angenommen.
 
=====TLS-Verschlüsselung=====
=====TLS-Verschlüsselung=====
Die TLS-Verschlüsselung für das Mailrelay ist zu aktivieren. Der Import eines Zertifkats, dessen CN dem Hostnamen der UTM entspricht, ist optional. Wird ein solches Zertifikat nicht importiert, verwendet das Mailrelay ein selbst-signiertes Zertifikat zum Zweck der Transportverschlüsselung.
Die TLS-Verschlüsselung für das Mailrelay ist zu aktivieren. Der Import eines Zertifikats, dessen CN dem Hostnamen der UTM entspricht, ist optional. Wird ein solches Zertifikat nicht importiert, verwendet das Mailrelay ein selbst-signiertes Zertifikat zum Zweck der Transportverschlüsselung.
 
====SMTP Routen====
====SMTP Routen====
Die Validierung der Empfänger auf gültige E-Mail-Adressen unter '''SMTP Routen -> Einstellungen -> E-Mail-Adresse überprüfen''' ist zu aktivieren. Dadurch werden nur E-Mails angenommen die auch wirklich auf Ihrem Mail-Server vorhanden sind.
Die Validierung der Empfänger auf gültige E-Mail Adressen unter '''SMTP Routen -> Einstellungen -> E-Mail Adresse überprüfen''' ist zu aktivieren. Dadurch werden nur E-Mails angenommen, welche an einem Empfänger gehen, der auch auf dem Mail-Server vorhanden ist.


{|
<div>
|-
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
|[[Datei:AVPro 2-14-9 alert2.png]]
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Der Mailserver muss Mails an Adressen ohne Postfach während des SMTP-Dialogs ablehnen.</span></div>
|'''<span">Der Mailserver muss Mails an Adressen ohne Postfach während des SMTP-Dialogs ablehnen.</span>'''
</div>
|}
<div style="clear: both;"></div>


====Greylisting====
====Greylisting====
Die Greylist- und SPF-Funktion sollte auf jedem Mail-Relay aktiviert werden, dies kann unter '''Greylisting -> Einstellungen -> Aktivieren''' getan werden.
Die Greylist- und SPF-Funktion sollte auf jedem Mailrelay aktiviert werden, dies kann unter '''Greylisting -> Einstellungen -> Aktivieren''' getan werden.


Neben der Abwehr von einfachen SPAM-Bots durch das Greylisting, wird auch wertvolle Zeit gewonnen um neuen Definitionen zu laden und so etwaige neue SPAM-Wellen zu erkennen.
Neben der Abwehr von einfachen SPAM-Bots durch das Greylisting, wird auch wertvolle Zeit gewonnen um neuen Definitionen zu laden und so etwaige neue SPAM-Wellen zu erkennen.


Zusätzlich sollte der Wert des Feldes "Automatisches Whitelisten für" auf mindestens 60 Tage erhöht werden
Zusätzlich sollte der Wert des Feldes "Automatisches Whitelisten für" auf mindestens 60 Tage erhöht werden
=====SPF aktivieren=====
Im SPF-Record werden alle Mailserver IP-Adressen des Absenders eingetragen, die zum Versand von E-Mails berechtigt sind. Der Empfänger prüft dann anhand des Mail Header Feldes „Mail From“ oder des „HELO“ Kommandos, welche Domain dort eingetragen ist oder genannt wird und ob diese mit einer der IP-Adressen im SPF-Record übereinstimmt. Stimmt die IP-Adresse des Absenders nicht mit denen des SPF-Record überein, geht die Mail in das Greylisting.
====Erweitert====
====Erweitert====
=====Greeting Pause=====
=====Greeting Pause=====
Die Greeting Pause sollte auf jedem Mail-Relay aktiviert werden. Dadurch werden Clients blockiert die nicht dem standardkonformen Verhalten entsprechen.
Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in durch Malware verbreitete Spambots das SMTP-Protokoll nicht zur Gänze implementiert ist, um diese von regulären Mailservern zu unterscheiden.
 
Das Greeting ist eine Begrüßung, die vom Mailrelay an den sendenden Mailserver übermittelt wird.
Diese könnte z. B. so aussehen:
<code>220 firewall.foo.local ESMTP Ready</code>
Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er weitere SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen Kommandos zu senden. In diesem Fall wird das Mailrelay keine weiteren Kommandos entgegennehmen und die Verbindung abbrechen.
 
=====HELO benötigt=====
=====HELO benötigt=====
Die Option ist zu aktivieren. Dadurch werden Clients blockiert die nicht dem Standard konformen Verhalten entsprechen.
Ist HELO aktiviert, wird vom SMTP Client gefordert seinen Namen zu nennen.
=====Recipient flooding verhindern=====
=====Recipient flooding verhindern=====
Die Option ist zu aktivieren. Mit dieser Funktion wird das Erraten von gültigen E-Mail-Adressen erschwert.
Viele Spammer versuchen, Spams an "erfundene" Mailempfänger einer Domain zuzustellen. Durch diese Massen können, aufgrund der verbrauchten Bandbreite, andere Internetverbindungen empfindlich gestört werden. Um dieses "Recipient Flooding" wirksam zu unterbinden, können Anfragen eines Hosts, der innerhalb kurzer Zeit eine definierte Anzahl fehlgeschlagener Zustellungsversuche (z. B. aufgrund von fehlgeschlagener E-MailAdressen Validierung) aufzuweisen hat, nur noch verzögert beantwortet werden. (Default: 2)
=====Empfängerbeschränkung aktivieren=====
Die Option blockiert Mails, die mehr als eine definierte Anzahl Empfängeradressen aufweisen (Default: 25).
=====Verbindungslimit aktivieren=====
=====Verbindungslimit aktivieren=====
Die Option ist zu aktivieren und wirkt möglichen DDOS-Attacken entgegen. Sollten ausgehende Emails ebenfalls über das Mailrelay der UTM gesendet werden, sollte für die entsprechenden Mailserver eine Ausnahme hinzugefügt werden.
Hier kann eingestellt werden, wie viele Verbindungen das Mailrelay pro Sekunde annimmt (Default: 5). Bekannte Mailserver können in einer Ausnahmeliste von dieser Limitierung ausgenommen werden. Das Verbindungslimit wirkt möglichen DDOS-Attacken entgegen.
=====Rate Kontrolle aktivieren=====
=====Rate Kontrolle aktivieren=====
Die Option ist zu aktivieren und wirkt möglichen DOS-Attacken entgegen. Sollten ausgehende Emails ebenfalls über das Mailrelay der UTM gesendet werden, sollte für die entsprechenden Mailserver eine Ausnahme hinzugefügt werden.
Möglichen DOS-Attacken wird durch die Rate Kontrolle entgegengewirkt. Sollten ausgehende Emails ebenfalls über das Mailrelay der UTM gesendet werden, sollte für die entsprechenden Mailserver eine Ausnahme hinzugefügt werden.
 
====SMTPD Verschlüsselung====
Im Webinterface unter '''Authentifizierung''' -> '''Verschlüsselung''' -> '''SMTPD''' kann eingestellt werden, dass die Verschlüsselung forciert wird. Wenn diese Einstellung aktiviert, sind nur noch verschlüsselte Verbindungen zum Mailrelay möglich und auch die Client Verbindung, die das Mailrelay zu einem Mailserver aufbaut ist verschlüsselt.
Wenn die Gegenstelle keine Verschlüsselung unterstützt, wird die Verbindung abgebrochen. Das normale Verhalten eines Mailservers wäre, das er als Fallback eine unverschlüsselte Verbindung zu lässt. Das ist dann nicht mehr möglich. Das forcieren der Verschlüsselung wirkt den Spam Mails entgegnen.
 
===Mailfilter===
===Mailfilter===
====Filterregel "ist als SPAM klassifiziert"====
====Filterregel "ist als SPAM klassifiziert"====
Zeile 74: Zeile 95:


Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.
Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden.</span></div>
</div>
<div style="clear: both;"></div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Bei der Verwendung des Transparenten POP3-Proxys oder des Mail-Connectors darf diese Option nicht verwendet werden! Hier empfielt sich die Option  <u>in Quarantäne nehmen</u></span></div>
<div style="clear: both;"></div>


====Filterregel "ist als verdächtig eingestuft"====
====Filterregel "ist als verdächtig eingestuft"====
E-Mails die als verdächtig eingestuft werden enthalten verdächtige Muster und Inhalte und sollten nicht in die Mailbox des Users zugestellt werden.
E-Mails die als verdächtig eingestuft werden enthalten verdächtige Muster und Inhalte und sollten nicht in die Mailbox des Users zugestellt werden.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>


====Filterregel "ist eine Bulk E-Mail"====
====Filterregel "ist eine Bulk E-Mail"====
E-Mails die als BULK eingestuft sind, werden aktuell massenhaft versendet und sollten nicht in die Mailbox des Users zugestellt werden. Dies könnten z. B. die ersten E-Mails einer neuen SPAM-Welle sein.
E-Mails die als BULK eingestuft sind, werden aktuell massenhaft versendet und sollten nicht in die Mailbox des Users zugestellt werden. Dies könnten z. B. die ersten E-Mails einer neuen SPAM-Welle sein.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>


====Filterregel "enthält einen Virus"====
====Filterregel "enthält einen Virus"====
E-Mails die einen Virus enthalten sollten direkt abgelehnt werden.
Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.


Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden.</span></div>
</div>
<div style="clear: both;"></div>
<div style="clear: both;"></div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Bei der Verwendung des Transparenten POP3-Proxys oder des Mail-Connectors darf diese Option nicht verwendet werden! Hier empfielt sich die Option  <u>in Quarantäne nehmen</u></span></div>
<div style="clear: both;"></div>


====Filterregel "wurde vom URL-Filter erfasst"====
====Filterregel "wurde vom URL-Filter erfasst"====
E-Mails die eine gefährliche URLs enthalten sollten direkt abgelehnt werden. Beachte Sie bitte dazu die Einstellungen des URL-Filter (siehe unten).
E-Mails die eine gefährliche URLs enthalten sollten nicht angenommen werden und nicht in die Mailbox des Users zugestellt werden. Bitte dazu die Einstellungen des URL-Filter beachten.
 
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne genommen</u> werden.</span></div>
</div>
<div style="clear: both;"></div>


====Filterregel "mit Inhalt dessen"====
====Filterregel "mit Inhalt dessen"====
Die aktuelle Gefährdungslage macht deutlich, dass Standard-Verfahren im Kampf gegen Malware nicht mehr mithalten können.
Die aktuelle Gefährdungslage macht deutlich, dass Standard-Verfahren im Kampf gegen Malware nicht mehr mithalten können.
Potentiell gefährliche Dokumente sollten nicht in die Mailbox des Users zuzustellen. Die Identifizierung der Dokumente erfolgt dabei über MIME-Types und Dateiendungen.


Wir empfehlen daher, potentiell gefährliche Dokumente auf der UTM in Quarantäne zu nehmen und nicht in die Mailbox des User zuzustellen. Die Identifizierung der Dokumente erfolgt dabei über MIME-Types und Dateiendungen.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Securepoint empfiehlt, dass diese Mails <u>in Quarantäne</u> genommen werden.</span></div>
</div>
<div style="clear: both;"></div>


=====Ablehnen von Word-Dokumenten auf Basis des MIME-Types=====
=====Word-Dokumente auf Basis des MIME-Types=====
Legen Sie einen neuen Filter an. Beim Punkt MIME-Type klicken Sie auf das Stift-Symbol und geben folgende Liste ein:
Damit Word-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.


<pre>application/msword,application/vnd.openxmlformats-officedocument.wordprocessingml.document,application/vnd.openxmlformats-officedocument.wordprocessingml.template,application/vnd.ms-word.document.macroEnabled.12,application/vnd.ms-word.template.macroEnabled.12</pre>
<code>application/msword,application/vnd.openxmlformats-officedocument.wordprocessingml.document,application/vnd.openxmlformats-officedocument.wordprocessingml.template,application/vnd.ms-word.document.macroEnabled.12,application/vnd.ms-word.template.macroEnabled.12</code>


=====Ablehnen von Excel-Dokumenten auf Basis des MIME-Types=====
=====Excel-Dokumente auf Basis des MIME-Types=====
Legen Sie einen neuen Filter an. Beim Punkt MIME-Type klicken Sie auf das Stift Symbol und geben folgende Liste ein:
Damit Excel-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.


<pre>application/vnd.ms-excel,application/vnd.openxmlformats-officedocument.spreadsheetml.sheet,application/vnd.openxmlformats-officedocument.spreadsheetml.template,application/vnd.ms-excel.sheet.macroEnabled.12,application/vnd.ms-excel.template.macroEnabled.12,application/vnd.ms-excel.addin.macroEnabled.12,application/vnd.ms-excel.sheet.binary.macroEnabled.12</pre>
<code>application/vnd.ms-excel,application/vnd.openxmlformats-officedocument.spreadsheetml.sheet,application/vnd.openxmlformats-officedocument.spreadsheetml.template,application/vnd.ms-excel.sheet.macroEnabled.12,application/vnd.ms-excel.template.macroEnabled.12,application/vnd.ms-excel.addin.macroEnabled.12,application/vnd.ms-excel.sheet.binary.macroEnabled.12</code>


=====Ablehnen von Office-Dokumenten auf Basis der Dateiendung=====
=====Office-Dokumente auf Basis der Dateiendung=====
Zusätzlich ist es angebracht, Dokumente auch auf Basis der enthaltenen Dateiendung zu verwerfen. Hier das Beispiel, um eine Liste von Office-Dokumenten zu sperren
Damit Office-Dokumente anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*Dateiname
*endet auf
<br>
Als Inhalt kann diese Liste eingetragen werden.


In diesem Beispiel wurde bei Dateiendung die folgende Liste verwendet - diese können Sie natürlich Ihren Anforderungen entsprechend anpassen:
<code>doc,dot,docx,docm,dotx,dotm,docb,xls,xlsx,xlt,xlm,xlsb,xla,xlam,xll,xlw,ppt,pot,pps,pptx,pptm,potx,potm,ppam,ppsx,ppsm,sldx,sldm,pub</code>


<pre>doc,dot,docx,docm,dotx,dotm,docb,xls,xlsx,xlt,xlm,xlsb,xla,xlam,xll,xlw,ppt,pot,pps,pptx,pptm,potx,potm,ppam,ppsx,ppsm,sldx,sldm,pub</pre>
=====Komprimierte Dateien auf Basis des MIME-Type=====
Damit Komprimierte Dateien anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*MIME-Typ
*enthält
<br>
Als Inhalt kann diese Liste eingetragen werden.


=====Ablehnen von komprimierten Dateien auf Basis des MIME-Type=====
<code>application/x-zip-compressed,application/zip</code>
Legen Sie auch hier einen neuen Filter an. Beim Punkt MIME-Type klicken Sie auf das Stift Symbol und geben folgende Liste ein:
<pre>application/x-zip-compressed,application/zip</pre>


=====Sperrung von komprimierten Dateien auf Basis der Endung=====
=====Komprimierte Dateien auf Basis der Endung=====
Bitte geben Sie bei Dateiendung die folgende Liste ein:
Damit Komprimierte Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*und mit Inhalt dessen
*Dateiname
*endet auf
<br>
Als Inhalt kann diese Liste eingetragen werden.


<pre>zip,7z,ace,arj,cab,zz,zipx</pre>
<code>zip,7z,ace,arj,cab,zz,zipx</code>


=====Filtern von gefälschten Absendern=====
Damit E-Mails mit gefälschten Absender nicht angenommen werden, empfehlen wir zwei Filterregeln nach folgenden Beispielen zu erstellen.


*Quellhost ist 192.168.175.100 -> Mail annehmen
=====Ausführbare Dateien auf Basis der Endung=====
*Sender enthält @securepoint.de -> Mail ablehnen
Damit Ausführbare Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
*Diese Regeln sollten in der Reihenfolge ganz oben stehen.
*und mit Inhalt dessen
*Dateiname
*endet auf
<br>
Als Inhalt kann diese Liste eingetragen werden.


''Mehrere E-Mail-Server können Sie durch ein Komma trennen.''
<code>exe,com,bat,cmd,msc,hta,pif,scf,scr,vbs,msi</code>


====URL-Filter Kategorie "Danger"=====
====Gefälschter Absender====
Die Kategorie Danger sollte auf jeden Fall in die Lister des URL-Filters mit aufgenommen werden. Diese Kategorie enthält URLs die in Zusammenhang mit Sicherheitsbedrohungen aufgefallen sind.
Damit E-Mails mit gefälschten Absender nicht angenommen werden, empfehlen wir drei Filterregeln nach folgenden Beispielen zu erstellen.


Weitere Kategorien sind je nach Unternehmen zu definieren.
[[Datei:mf_gefaelschter_absender.png |center|Mailfilterregeln für gefälschte Absender]]
 
<br>
Diese Regeln sollten in der Reihenfolge ganz oben stehen.
 
''Mehrere E-Mail-Server können durch ein Komma getrennt werden.''
 
====URL-Filter Kategorien====
Die folgenden Kategorien sollten in die Liste des URL-Filter mit aufgenommen werden.
=====Danger=====
Diese Kategorie enthält URLs welche Schadsoftware verbreitet und Phishing Seiten enthält
=====Porno und Erotik=====
Diese Kategorie enthält URLs die Pornographische Inhalte bereitstellen.
=====Hacking=====
Diese Kategorie enthält URLs die auf Anleitungen zum Bauen von Schadsoftware und Hacking bereitstellen.
 
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Weitere Kategorien sind den Anforderungen des Unternehmen anzupassen.</span></div>
</div>
<div style="clear: both;"></div>


====Einstellungen -> Spamreport====
====Einstellungen -> Spamreport====
Der Spamreport unterstützt Sie und den User bei der Umsetzung der Sicherheitsrichtlinien und informiert über mögliche blockierte oder gefilterte Inhalte.
Der Spamreport kann in bestimmten Intervallen die E-Mail Benutzer über von der UTM gefilterte, geblockte oder in Quarantäne genommene E-Mails informieren. Dieser Report kann entweder an einem bestimmten Wochentag oder Täglich, zu einer bestimmten Uhrzeit versendet werden.
Der Versand sollte täglich erfolgen.
Damit der Report den E-Mail Benutzer auch erreicht, ist es notwendig, dass sich dieser in einer Gruppe befindet, die die Berechtigung '''Spamreport''' beinhaltet und das seine E-Mail Adresse hinterlegt ist.
 
==Hinweise==
Folgende Wiki-Artikel können bei der Einrichtung hilfreich sein.
*[[UTM/APP/Mailrelay| Wiki-Artikel Mailrelay]]
*[[UTM/APP/Mailfilter| Wiki-Artikel Mailfilter]]
*[[UTM/APP/Mailfilter#Spamreport| Wiki-Artikel Mailfilter Spamreport]]
*[[UTM/APP/Regex| Wiki-Artikel Regex]]

Aktuelle Version vom 9. August 2019, 15:45 Uhr





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht

Informationen

Letzte Anpassung zur Version: 11.7.2
Bemerkung: Verschlüsselung forcieren hinzugefügt, URL-Filter ergänzt.
Vorherige Versionen: 11.7.1

Einleitung

Dieser Artikel ist ein Best Practice zum Thema Mail-Security. Diese Empfehlungen beziehen sich auf folgendes Szenario:

  • Empfang der E-Mails per SMTP über das Mailrelay
  • Zustellung erfolgt direkt über MX
  • Filterung erfolgt direkt bei Eingang auf MX


Alert-yellow.png
Die Domain securepoint.de und die IP-Adresse 192.168.175.100 sind Beispiel Adressen.

Mail-Security

Allgemein

Globale E-Mail Adresse

Um Benachrichtigungen im Fehlerfall zu erhalten, kann unter Netzwerk -> Servereinstellungen -> Globale E-Mail Adresse eine Postmaster Adresse eingetragen werden.

Mailrelay

Relaying

Das Mailrelay ist so zu konfigurieren, dass nur E-Mails an die Empfänger-Adresse angenommen werden.

  • Option: To
  • Domain: securepoint.de
  • Aktion: Relay


Sollen auch ausgehend Emails über das Mailrelay der UTM versendet werden, wird ein weiterer Eintrag benötigt:

  • Option: None
  • IP: 192.168.175.100
  • Aktion: RELAY
Exakte Domainnamen

Durch diese Option werden E-Mails an Empfänger innerhalb einer Subdomain nicht angenommen.

TLS-Verschlüsselung

Die TLS-Verschlüsselung für das Mailrelay ist zu aktivieren. Der Import eines Zertifikats, dessen CN dem Hostnamen der UTM entspricht, ist optional. Wird ein solches Zertifikat nicht importiert, verwendet das Mailrelay ein selbst-signiertes Zertifikat zum Zweck der Transportverschlüsselung.

SMTP Routen

Die Validierung der Empfänger auf gültige E-Mail Adressen unter SMTP Routen -> Einstellungen -> E-Mail Adresse überprüfen ist zu aktivieren. Dadurch werden nur E-Mails angenommen, welche an einem Empfänger gehen, der auch auf dem Mail-Server vorhanden ist.

Alert-yellow.png
Der Mailserver muss Mails an Adressen ohne Postfach während des SMTP-Dialogs ablehnen.

Greylisting

Die Greylist- und SPF-Funktion sollte auf jedem Mailrelay aktiviert werden, dies kann unter Greylisting -> Einstellungen -> Aktivieren getan werden.

Neben der Abwehr von einfachen SPAM-Bots durch das Greylisting, wird auch wertvolle Zeit gewonnen um neuen Definitionen zu laden und so etwaige neue SPAM-Wellen zu erkennen.

Zusätzlich sollte der Wert des Feldes "Automatisches Whitelisten für" auf mindestens 60 Tage erhöht werden

SPF aktivieren

Im SPF-Record werden alle Mailserver IP-Adressen des Absenders eingetragen, die zum Versand von E-Mails berechtigt sind. Der Empfänger prüft dann anhand des Mail Header Feldes „Mail From“ oder des „HELO“ Kommandos, welche Domain dort eingetragen ist oder genannt wird und ob diese mit einer der IP-Adressen im SPF-Record übereinstimmt. Stimmt die IP-Adresse des Absenders nicht mit denen des SPF-Record überein, geht die Mail in das Greylisting.

Erweitert

Greeting Pause

Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in durch Malware verbreitete Spambots das SMTP-Protokoll nicht zur Gänze implementiert ist, um diese von regulären Mailservern zu unterscheiden.

Das Greeting ist eine Begrüßung, die vom Mailrelay an den sendenden Mailserver übermittelt wird. Diese könnte z. B. so aussehen: 220 firewall.foo.local ESMTP Ready Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er weitere SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen Kommandos zu senden. In diesem Fall wird das Mailrelay keine weiteren Kommandos entgegennehmen und die Verbindung abbrechen.

HELO benötigt

Ist HELO aktiviert, wird vom SMTP Client gefordert seinen Namen zu nennen.

Recipient flooding verhindern

Viele Spammer versuchen, Spams an "erfundene" Mailempfänger einer Domain zuzustellen. Durch diese Massen können, aufgrund der verbrauchten Bandbreite, andere Internetverbindungen empfindlich gestört werden. Um dieses "Recipient Flooding" wirksam zu unterbinden, können Anfragen eines Hosts, der innerhalb kurzer Zeit eine definierte Anzahl fehlgeschlagener Zustellungsversuche (z. B. aufgrund von fehlgeschlagener E-MailAdressen Validierung) aufzuweisen hat, nur noch verzögert beantwortet werden. (Default: 2)

Empfängerbeschränkung aktivieren

Die Option blockiert Mails, die mehr als eine definierte Anzahl Empfängeradressen aufweisen (Default: 25).

Verbindungslimit aktivieren

Hier kann eingestellt werden, wie viele Verbindungen das Mailrelay pro Sekunde annimmt (Default: 5). Bekannte Mailserver können in einer Ausnahmeliste von dieser Limitierung ausgenommen werden. Das Verbindungslimit wirkt möglichen DDOS-Attacken entgegen.

Rate Kontrolle aktivieren

Möglichen DOS-Attacken wird durch die Rate Kontrolle entgegengewirkt. Sollten ausgehende Emails ebenfalls über das Mailrelay der UTM gesendet werden, sollte für die entsprechenden Mailserver eine Ausnahme hinzugefügt werden.

SMTPD Verschlüsselung

Im Webinterface unter Authentifizierung -> Verschlüsselung -> SMTPD kann eingestellt werden, dass die Verschlüsselung forciert wird. Wenn diese Einstellung aktiviert, sind nur noch verschlüsselte Verbindungen zum Mailrelay möglich und auch die Client Verbindung, die das Mailrelay zu einem Mailserver aufbaut ist verschlüsselt. Wenn die Gegenstelle keine Verschlüsselung unterstützt, wird die Verbindung abgebrochen. Das normale Verhalten eines Mailservers wäre, das er als Fallback eine unverschlüsselte Verbindung zu lässt. Das ist dann nicht mehr möglich. Das forcieren der Verschlüsselung wirkt den Spam Mails entgegnen.

Mailfilter

Filterregel "ist als SPAM klassifiziert"

Mail-Server oder Absender deren E-Mails als SPAM klassifiziert werden, sind in der Vergangenheit als SPAM-Quelle aufgefallen. E-Mails von diesen Systemen sollte auf gar keinen Fall angenommen werden.

Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.

Alert-yellow.png
Securepoint empfiehlt, dass diese Mails abgelehnt werden.
Alert-red.png
Bei der Verwendung des Transparenten POP3-Proxys oder des Mail-Connectors darf diese Option nicht verwendet werden! Hier empfielt sich die Option in Quarantäne nehmen

Filterregel "ist als verdächtig eingestuft"

E-Mails die als verdächtig eingestuft werden enthalten verdächtige Muster und Inhalte und sollten nicht in die Mailbox des Users zugestellt werden.

Alert-yellow.png
Securepoint empfiehlt, dass diese Mails in Quarantäne genommen werden.

Filterregel "ist eine Bulk E-Mail"

E-Mails die als BULK eingestuft sind, werden aktuell massenhaft versendet und sollten nicht in die Mailbox des Users zugestellt werden. Dies könnten z. B. die ersten E-Mails einer neuen SPAM-Welle sein.

Alert-yellow.png
Securepoint empfiehlt, dass diese Mails in Quarantäne genommen werden.

Filterregel "enthält einen Virus"

Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.

Alert-yellow.png
Securepoint empfiehlt, dass diese Mails abgelehnt werden.
Alert-red.png
Bei der Verwendung des Transparenten POP3-Proxys oder des Mail-Connectors darf diese Option nicht verwendet werden! Hier empfielt sich die Option in Quarantäne nehmen

Filterregel "wurde vom URL-Filter erfasst"

E-Mails die eine gefährliche URLs enthalten sollten nicht angenommen werden und nicht in die Mailbox des Users zugestellt werden. Bitte dazu die Einstellungen des URL-Filter beachten.

Alert-yellow.png
Securepoint empfiehlt, dass diese Mails in Quarantäne genommen werden.

Filterregel "mit Inhalt dessen"

Die aktuelle Gefährdungslage macht deutlich, dass Standard-Verfahren im Kampf gegen Malware nicht mehr mithalten können. Potentiell gefährliche Dokumente sollten nicht in die Mailbox des Users zuzustellen. Die Identifizierung der Dokumente erfolgt dabei über MIME-Types und Dateiendungen.

Alert-yellow.png
Securepoint empfiehlt, dass diese Mails in Quarantäne genommen werden.
Word-Dokumente auf Basis des MIME-Types

Damit Word-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.

  • und mit Inhalt dessen
  • MIME-Typ
  • enthält


Als Inhalt kann diese Liste eingetragen werden.

application/msword,application/vnd.openxmlformats-officedocument.wordprocessingml.document,application/vnd.openxmlformats-officedocument.wordprocessingml.template,application/vnd.ms-word.document.macroEnabled.12,application/vnd.ms-word.template.macroEnabled.12

Excel-Dokumente auf Basis des MIME-Types

Damit Excel-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.

  • und mit Inhalt dessen
  • MIME-Typ
  • enthält


Als Inhalt kann diese Liste eingetragen werden.

application/vnd.ms-excel,application/vnd.openxmlformats-officedocument.spreadsheetml.sheet,application/vnd.openxmlformats-officedocument.spreadsheetml.template,application/vnd.ms-excel.sheet.macroEnabled.12,application/vnd.ms-excel.template.macroEnabled.12,application/vnd.ms-excel.addin.macroEnabled.12,application/vnd.ms-excel.sheet.binary.macroEnabled.12

Office-Dokumente auf Basis der Dateiendung

Damit Office-Dokumente anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.

  • und mit Inhalt dessen
  • Dateiname
  • endet auf


Als Inhalt kann diese Liste eingetragen werden.

doc,dot,docx,docm,dotx,dotm,docb,xls,xlsx,xlt,xlm,xlsb,xla,xlam,xll,xlw,ppt,pot,pps,pptx,pptm,potx,potm,ppam,ppsx,ppsm,sldx,sldm,pub

Komprimierte Dateien auf Basis des MIME-Type

Damit Komprimierte Dateien anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.

  • und mit Inhalt dessen
  • MIME-Typ
  • enthält


Als Inhalt kann diese Liste eingetragen werden.

application/x-zip-compressed,application/zip

Komprimierte Dateien auf Basis der Endung

Damit Komprimierte Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.

  • und mit Inhalt dessen
  • Dateiname
  • endet auf


Als Inhalt kann diese Liste eingetragen werden.

zip,7z,ace,arj,cab,zz,zipx


Ausführbare Dateien auf Basis der Endung

Damit Ausführbare Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.

  • und mit Inhalt dessen
  • Dateiname
  • endet auf


Als Inhalt kann diese Liste eingetragen werden.

exe,com,bat,cmd,msc,hta,pif,scf,scr,vbs,msi

Gefälschter Absender

Damit E-Mails mit gefälschten Absender nicht angenommen werden, empfehlen wir drei Filterregeln nach folgenden Beispielen zu erstellen.

Mailfilterregeln für gefälschte Absender


Diese Regeln sollten in der Reihenfolge ganz oben stehen.

Mehrere E-Mail-Server können durch ein Komma getrennt werden.

URL-Filter Kategorien

Die folgenden Kategorien sollten in die Liste des URL-Filter mit aufgenommen werden.

Danger

Diese Kategorie enthält URLs welche Schadsoftware verbreitet und Phishing Seiten enthält

Porno und Erotik

Diese Kategorie enthält URLs die Pornographische Inhalte bereitstellen.

Hacking

Diese Kategorie enthält URLs die auf Anleitungen zum Bauen von Schadsoftware und Hacking bereitstellen.

Alert-yellow.png
Weitere Kategorien sind den Anforderungen des Unternehmen anzupassen.

Einstellungen -> Spamreport

Der Spamreport kann in bestimmten Intervallen die E-Mail Benutzer über von der UTM gefilterte, geblockte oder in Quarantäne genommene E-Mails informieren. Dieser Report kann entweder an einem bestimmten Wochentag oder Täglich, zu einer bestimmten Uhrzeit versendet werden. Damit der Report den E-Mail Benutzer auch erreicht, ist es notwendig, dass sich dieser in einer Gruppe befindet, die die Berechtigung Spamreport beinhaltet und das seine E-Mail Adresse hinterlegt ist.

Hinweise

Folgende Wiki-Artikel können bei der Einrichtung hilfreich sein.