Wechseln zu:Navigation, Suche
Wiki

UTM/APP/Mailrelay-Best Practice v12.2: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen Versionsunterschied
KKeine Bearbeitungszusammenfassung
K 1 Version importiert
 
(Eine dazwischenliegende Version von einem anderen Benutzer wird nicht angezeigt)
Zeile 1: Zeile 1:
{{Archivhinweis|UTM/APP/Mailrelay-Best_Practice}}
{{Set_lang}}
{{Set_lang}}


{{Archivhinweis|UTM/APP/Mailrelay-Best_Practice}}
{{#vardefine:headerIcon|spicon-utm}}
{{#vardefine:headerIcon|spicon-utm}}


Zeile 135: Zeile 134:
| TLS encryption as a server: }}
| TLS encryption as a server: }}
{{var | 1=TLS Verschlüsselung als Server--desc
{{var | 1=TLS Verschlüsselung als Server--desc
| 2=Die TLS-Verschlüsselung für das Mailrelay ist zu aktivieren, andernfalls werden Mails über unverschlüsselte Verbindungen entgegengenommen. Siehe hierzu auch die Hinweise des [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_BSI_TLS_Version_2_0.pdf BSI zur Verwendung von TLS.]
| 2=Die TLS-Verschlüsselung für das Mailrelay ist zu aktivieren, andernfalls werden Mails über unverschlüsselte Verbindungen entgegengenommen. Siehe hierzu auch die Hinweise des [https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Mindeststandards/TLS-Protokoll/TLS-Protokoll_node.html BSI zur Verwendung von TLS.]
| 3=TLS encryption for mail relay must be enabled, otherwise mails will be received over unencrypted connections.
| 3=TLS encryption for mail relay must be enabled, otherwise mails will be received over unencrypted connections.
See also the notes of the [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_BSI_TLS_Version_2_0.pdf  German BSI for using TLS <small>(german language)</small>.] }}
See also the notes of the [https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Mindeststandards/TLS-Protokoll/TLS-Protokoll_node.html German BSI for using TLS <small>(german language)</small>.] }}
{{var | Zertifikat
{{var | Zertifikat
| Zertifikat
| Zertifikat
Zeile 263: Zeile 262:
| Extended }}
| Extended }}
{{var | Greeting Pause
{{var | Greeting Pause
| Greeting Pause
| Greeting Pause }}
}}
{{var | Status
{{var | Status
| Status
| Status
Zeile 1.732: Zeile 1.730:
{{h4| {{#var:Spamreport}} |{{Menu| {{#var:Anwendungen}}|{{#var:Mailfilter }}| {{#var:Einstellungen}} }} {{#var:Abschnitt}} {{Kasten| {{#var:Spamreport}} }} }}<p></p>
{{h4| {{#var:Spamreport}} |{{Menu| {{#var:Anwendungen}}|{{#var:Mailfilter }}| {{#var:Einstellungen}} }} {{#var:Abschnitt}} {{Kasten| {{#var:Spamreport}} }} }}<p></p>
<div class="Einrücken">
<div class="Einrücken">
{{:UTM/APP/Mailfilter_Spamreport}}
{{:UTM/APP/Mailfilter_Spamreport_12.7}}
</div>
</div>


Aktuelle Version vom 30. April 2026, 17:24 Uhr





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Beta-Version bezieht


















































































































































































Best Practice zum Thema Mail-Security

Letzte Anpassung: 06.2022

Neu:
notempty
Dieser Artikel bezieht sich auf eine Beta-Version
Dieser Artikel ist ein Best Practice zum Thema Mail-Security.
Dies sind Einstellungen, die von uns empfohlen werden.
Ohne Gewähr auf Vollständigkeit !

Voraussetzungen

Diese Empfehlungen beziehen sich auf folgendes Szenario:

  • Empfang der E-Mails über das Mailrelay
  • Zustellung erfolgt direkt über MX
  • Filterung erfolgt direkt bei Eingang auf MX

Allgemein

Globale E-Mail Adresse

Um Benachrichtigungen im Fehlerfall zu erhalten, muss unter → Netzwerk →Servereinstellungen
Firewall
 Globale E-Mail Adresse eine gültige Postmaster Adresse eingetragen werden.

Mailrelay

‌ Mailrelay 

Unter → Anwendungen →Mailrelay ist die Konfiguration so einzustellen, dass nur E-Mails an die Empfänger-Adresse angenommen werden.



Domain / Host hinzufügen

Relaying

 Relaying-Liste 

Konfigurieren mit + Domain / Host hinzufügen


Mails, die an Domain anyideas.de gerichtet sind, sollen vom Mailrelay weitergeleitet werden:
Domain: anyideas.de Beispiel-Domain, für die Mails empfangen werden
Option: To
Aktion: Relay Weiterleiten
Sollen auch ausgehend Emails über das Mailrelay der UTM versendet werden, wird ein weiterer Eintrag benötigt:
Domain: 192.168.175.100 IP-Adresse des internen Mailservers
Option: Connect Bei Verbindungsherstellung
Aktion: Relay Weiterleiten
Eintrag für einen Mailserver, der auf eine Blacklist soll:
Domain: 203.0.113.113 IP-Adresse des fremden Mailservers
Option: Connect Bei Verbindungsherstellung
Aktion: Abgelehnt Ablehnen
 Exakten Domainnamen für das Relaying verwenden:  Ein Durch diese Option werden E-Mails an Empfänger innerhalb einer Subdomain nicht angenommen.
TLS Einstellungen
TLS Verschlüsselung als Server: Ein Die TLS-Verschlüsselung für das Mailrelay ist zu aktivieren, andernfalls werden Mails über unverschlüsselte Verbindungen entgegengenommen. Siehe hierzu auch die Hinweise des BSI zur Verwendung von TLS.
Zertifikat default Der Import eines Zertifikats, dessen CN dem Hostnamen der UTM entspricht, ist optional. Wird ein solches Zertifikat nicht importiert, verwendet das Mailrelay ein selbst-signiertes Zertifikat zum Zweck der Transportverschlüsselung.
TLS Verschlüsselung als Client: encrypt Stellt sicher, dass Emails in jedem Falle über eine verschlüsselte Verbindung versendet werden.


SMTP Routen

Der Mailserver sollte Mails an Adressen ohne Postfach während des SMTP-Dialogs ablehnen.

Abschnitt

Einstellungen

Die Validierung der Empfänger auf gültige E-Mail Adressen ist zu aktivieren.
Dadurch werden nur E-Mails angenommen, welche an einen Empfänger gehen, der auch auf dem Mail-Server vorhanden ist.

E-Mail-Adresse überprüfen:
Es stehen folgende Werte zur Verfügung:
SMTP Die Securepoint Appliance fragt im Hintergrund den internen Mailserver ab.
 Die Validierung muss ebenso am Mailserver aktiv sein! (Recipient Verification z.B. bei einem Exchange-Server)
LDAP Die Securepoint Appliance fragt beispielsweise den Active Directory-Server ab.
Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter → Authentifizierung →AD/LDAP Authentifzierung konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten.
Lokale E-Mail-Adressliste Die bekannten Adressen werden lokal auf der UTM verwaltet
Lokale E-Mail-Adressliste bearbeiten Hier stehen alle bekannten Adressen.

E-Mail-Adresse hinzufügen E-Mail-Adressen können hinzugefügt werden
E-Mail-Adressen können entfernt werden


Greylisting

Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird.
Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.
Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.

Neben der Abwehr von einfachen Spambots durch das Greylisting, wird auch wertvolle Zeit gewonnen um neue Definitionen zu laden und so etwaige neue SPAM-Wellen zu erkennen.

Einstellungen
Beschriftung Empfehlung Beschreibung
Greylisting: Ein Aktiviert das Greylisting.
SPF: Ein Wenn das Sender Policy Framework der Absenderdomain korrekt im DNS eingetragen ist, wird die Mail ohne Verzögerung zugestellt.

Im SPF-Record werden alle Mailserver IP-Adressen des Absenders eingetragen, die zum Versand von E-Mails berechtigt sind. Der Empfänger prüft dann anhand des Mail Header Feldes „Mail From“ oder des „HELO“ Kommandos, welche Domain dort eingetragen ist oder genannt wird und ob diese mit einer der IP-Adressen im SPF-Record übereinstimmt. Stimmt die IP-Adresse des Absenders nicht mit denen des SPF-Record überein, geht die Mail in das Greylisting.

Header hinzufügen: Ein Im Standard wird für jeden Empfänger, der im Mailheader gelistet wird ein weiterer Greylisting Eintrag hinzugefügt.

Das kann zu Problemen führen, wenn viele Empfänger im Header stehen.
Bei Deaktivierung Nein werden keine Greylisting Header eingefügt.

Automatisches Allowlisten für: 60 Tage Der Wert kann auf 60 Tage erhöht werden.
Verzögerung: 2 Minuten

Zeitraum, der dem sendenden Mailserver vorgegeben wird, um einen weiteren Zustellversuch vorzunehmen.

Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden.

Wird ein größerer Wert für Verzögerung von z.B.: 30 Minuten gewählt, kann die Scan-Engine bei der erneuten Zustellung mit zwischenzeitlich aktualisierten Virensignaturen eine höhere Erkennungswahrscheinlichkeit bei neuen Outbreaks aufweisen.



Erweitert

Greeting Pause
Beschriftung Empfehlung Beschreibung
Status Ein Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in Spam-Bots das SMTP-Protokoll nicht zur Gänze implementiert ist. Damit lassen sich diese von regulären Mailservern unterscheiden.

Das Greeting ist eine Begrüßung, die vom Mailrelay an den sendenden Mailserver übermittelt wird.
Diese könnte z. B. so aussehen: 220 firewall.foo.local ESMTP Ready
Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er weitere SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spam-Bot wird sofort nach erfolgtem TCP-Handshake beginnen Kommandos zu senden. In diesem Fall wird das Mailrelay keine weiteren Kommandos entgegennehmen und die Verbindung abbrechen.

Empfänger-Beschränkung
Status Ein Die Option blockiert Mails, die mehr als eine definierte Anzahl Empfängeradressen aufweisen.

Limit 25 Empfänger (Default-Wert belassen.)
Beschränkungen pro Client
Verbindungen limitieren Ein Hier kann eingestellt werden, wie viele Verbindungen das Mailrelay gleichzeitig annimmt.

Ausnahmen können für bekannte Mailserver als Host-Liste definiert werden.
Erlaubte Verbindungen: 1 (Default-Wert belassen.)
Das Verbindungslimit wirkt möglichen DDOS-Attacken entgegen.
Zugriffskontrolle aktivieren Ein Möglichen DOS-Attacken wird durch die Zugriffskontrolle entgegengewirkt.
Zeitfenster: 60 Sekunden
Verbindungen pro Zeitfenster: 5
Ausnahmen Host Sollen ausgehende Mails ebenfalls über das Mailrelay der UTM gesendet werden, sollten für die entsprechenden Mailserver hinzugefügt werden.
Sonstige
HELO benötigt Ein Ist HELO aktiviert, wird vom SMTP Client gefordert seinen Namen zu nennen.
Sollte unbedingt aktiviert bleiben (Standard) Dieser Schalter existiert, um Abwärtskompatibilität zu gewährleisten.



Mailfilter

Unter → Anwendungen →Mailfilter sollten verschieden Filterregeln angepasst bzw. neu erstellt werden:


Filterregeln

Filterregel Beschreibung
Filterregel »ist als SPAM klassifiziert / SMTP« 
 Spam_SMTP 
Wenn eine E-Mail eingeht

und Protokoll

ist
SMTP

und ist als Spam klassifiziert

Aktion ausführen:

Filterregel bearbeiten: E-Mail ablehnen
Default: E-Mail in Quarantäne nehmen
Mail-Server oder Absender deren E-Mails als SPAM klassifiziert werden, sind in der Vergangenheit als SPAM-Quelle aufgefallen. E-Mails von diesen Systemen sollte auf gar keinen Fall angenommen werden.
Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.
Securepoint empfiehlt, dass diese Mails abgelehnt werden.
Filterregel »ist als SPAM klassifiziert / POP3« 
 Spam_POP3-Proxy 
Wenn eine E-Mail eingeht

und Protokoll

ist
POP3

und ist als Spam klassifiziert

Aktion ausführen:

Filterregel bearbeiten: zutreffenden Inhalt filtern
Default: E-Mail im Betreff markieren mit [Marked as spam]
Securepoint empfiehlt, dass in diesen Mails die zutreffenden Inhalte entfernt werden.

 Bei Verwendung des POP3-Proxys dürfen Mails nicht abgelehnt werden!
Filterregel »ist als verdächtig eingestuft«
 Possibly_Spam 
Wenn eine E-Mail eingeht

und ist als verdächtig eingestuft.

Aktion ausführen:

Filterregel bearbeiten: E-Mail in Quarantäne nehmen
Default: E-Mail im Betreff markieren mit [Marked as possibly spam]
E-Mails die als verdächtig eingestuft werden enthalten verdächtige Muster und Inhalte und sollten nicht in die Mailbox des Users zugestellt werden.
Securepoint empfiehlt, dass diese Mails in Quarantäne genommen werden.






































Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!

Hier empfiehlt sich
Aktion ausführen:


zutreffenden Inhalt filtern
Securepoint empfiehlt bei Verwendung von POP3 E-Mails nur von bekannten Absendern entgegen zu nehmen.
Zusätzlich ist eine Allowlist-Regel anzulegen (s.U.), die direkt vor dieser Regel liegt, damit bekannte Absender weitergeleitet werden, Spam etc. aber trotzdem gefiltert wird:
Anlegen einer neuen Regel: Regelname: WL-Regelname
Wenn eine E-Mail eingeht:
Die gleichen Kriterien wie in diesem Abschnitt oben. Schaltfläche +

und Sender

enthält
Eingabe in der Klick-Box: » bekannter_Absender.de

Aktion ausführen:

Filterregel bearbeiten: E-Mail im Betreff markieren mit Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde
Default: E-Mail annehmen
Filterregel »enthält einen Virus«
 Virus 
Wenn eine E-Mail eingeht:

und enthält einen Virus.

Aktion ausführen:

Filterregel bearbeiten: E-Mail ablehnen
Default: zutreffenden Inhalt filtern
Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.
Securepoint empfiehlt, dass diese Mails abgelehnt werden.






































Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!

Hier empfiehlt sich
Aktion ausführen:


zutreffenden Inhalt filtern
Securepoint empfiehlt bei Verwendung von POP3 E-Mails nur von bekannten Absendern entgegen zu nehmen.
Zusätzlich ist eine Allowlist-Regel anzulegen (s.U.), die direkt vor dieser Regel liegt, damit bekannte Absender weitergeleitet werden, Spam etc. aber trotzdem gefiltert wird:
Anlegen einer neuen Regel: Regelname: WL-Regelname
Wenn eine E-Mail eingeht:
Die gleichen Kriterien wie in diesem Abschnitt oben. Schaltfläche +

und Sender

enthält
Eingabe in der Klick-Box: » bekannter_Absender.de

Aktion ausführen:

Filterregel bearbeiten: E-Mail im Betreff markieren mit Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde
Default: E-Mail annehmen
Filterregel »mit Inhalt dessen« 
 Filter_Extensions 
Wenn eine E-Mail eingeht:

mit Inhalt dessen

Dateiname
endet auf
Default: ade, adp, bat, chm, cmd, com, cpl, exe, hta, ins, isp, jar, js, jse, lib, lnk, mde, msc, msi, msp, mst, nsh, pif, scr, sct, shb, sys, vb, vbe, vbs, vxd, wsc, wsf, wsh

Aktion ausführen:

Filterregel bearbeiten: E-Mail in Quarantäne nehmen
Default: zutreffenden Inhalt filtern
Ausführbare Dateien sollten nicht zugestellt werden. Sie werden anhand der Dateiendung gefiltert. Kann bei Bedarf ergänzt werden.
Securepoint empfiehlt, dass diese Mails in Quarantäne genommen werden.






































Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!

Hier empfiehlt sich
Aktion ausführen:


zutreffenden Inhalt filtern
Securepoint empfiehlt bei Verwendung von POP3 E-Mails nur von bekannten Absendern entgegen zu nehmen.
Zusätzlich ist eine Allowlist-Regel anzulegen (s.U.), die direkt vor dieser Regel liegt, damit bekannte Absender weitergeleitet werden, Spam etc. aber trotzdem gefiltert wird:
Anlegen einer neuen Regel: Regelname: WL-Regelname
Wenn eine E-Mail eingeht:
Die gleichen Kriterien wie in diesem Abschnitt oben. Schaltfläche +

und Sender

enthält
Eingabe in der Klick-Box: » bekannter_Absender.de

Aktion ausführen:

Filterregel bearbeiten: E-Mail im Betreff markieren mit Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde
Default: E-Mail annehmen
Filterregel »ist eine Bulk E-Mail« 
Regel hinzufügen
 Bulk_Mail 
Regelname: Bulk_Mail
Wenn eine E-Mail eingeht:

und ist eine Bulk E-Mail

Aktion ausführen:

Filterregel bearbeiten: E-Mail in Quarantäne nehmen
Default: E-Mail annehmen
E-Mails die als BULK eingestuft sind, werden aktuell massenhaft versendet und sollten nicht in die Mailbox des Users zugestellt werden.
Dies könnten z. B. die ersten E-Mails einer neuen SPAM-Welle sein.
Securepoint empfiehlt, dass diese Mails in Quarantäne genommen werden.






































Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!

Hier empfiehlt sich
Aktion ausführen:


zutreffenden Inhalt filtern
Securepoint empfiehlt bei Verwendung von POP3 E-Mails nur von bekannten Absendern entgegen zu nehmen.
Zusätzlich ist eine Allowlist-Regel anzulegen (s.U.), die direkt vor dieser Regel liegt, damit bekannte Absender weitergeleitet werden, Spam etc. aber trotzdem gefiltert wird:
Anlegen einer neuen Regel: Regelname: WL-Regelname
Wenn eine E-Mail eingeht:
Die gleichen Kriterien wie in diesem Abschnitt oben. Schaltfläche +

und Sender

enthält
Eingabe in der Klick-Box: » bekannter_Absender.de

Aktion ausführen:

Filterregel bearbeiten: E-Mail im Betreff markieren mit Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde
Default: E-Mail annehmen
Filterregel »wurde vom URL-Filter erfasst« 
Regel hinzufügen
 URL_Filter 
Anlegen einer neuen Regel: Regelname: URL_Filter
Wenn eine E-Mail eingeht:

und wurde vom URL-Filter erfasst

Aktion ausführen:

Filterregel bearbeiten:
Default: E-Mail annehmen
E-Mails die eine gefährliche URL enthalten sollten nicht angenommen werden und nicht in die Mailbox des Users zugestellt werden. Bitte dazu die Einstellungen des URL-Filters beachten.
Securepoint empfiehlt, dass bei diesen Mails der zutreffende Inhalt entfernt wird.
Die aktuelle Gefährdungslage macht deutlich, dass Standard-Verfahren im Kampf gegen Malware nicht mehr mithalten können.
Potentiell gefährliche Dokumente sollten nicht in die Mailbox des Benutzers zugestellt werden.
Die Identifizierung der Dokumente erfolgt dabei über MIME-Types und Dateiendungen.

Filterregel »Word-Dokumente auf Basis des MIME-Types« 
+Regel hinzufügen
 Word_MIME 
Anlegen einer neuen Regel: Regelname: Word_Mime
Wenn eine E-Mail eingeht:

und mit Inhalt dessen

MIME-Typ
ist
In der Klick-Box können nun MIME-Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
application/msword, application/vnd.openxmlformats-officedocument.wordprocessingml.document, application/vnd.openxmlformats-officedocument.wordprocessingml.template, application/vnd.ms-word.document.macroEnabled.12, application/vnd.ms-word.template.macroEnabled.12

Aktion ausführen:

Filterregel bearbeiten: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten
Default: E-Mail annehmen
Damit Word-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig in Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!






































Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!

Hier empfiehlt sich
Aktion ausführen:


zutreffenden Inhalt filtern
Securepoint empfiehlt bei Verwendung von POP3 E-Mails nur von bekannten Absendern entgegen zu nehmen.
Zusätzlich ist eine Allowlist-Regel anzulegen (s.U.), die direkt vor dieser Regel liegt, damit bekannte Absender weitergeleitet werden, Spam etc. aber trotzdem gefiltert wird:
Anlegen einer neuen Regel: Regelname: WL_Word_Mime
Wenn eine E-Mail eingeht:
Die gleichen Kriterien wie in diesem Abschnitt oben. Schaltfläche +

und Sender

enthält
Eingabe in der Klick-Box: » bekannter_Absender.de

Aktion ausführen:

Filterregel bearbeiten: E-Mail im Betreff markieren mit Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde
Default: E-Mail annehmen

Speichern

Filterregel »Excel-Dokumente auf Basis des MIME-Types« 
+Filterregel hinzufügen
 Excel_MIME 
Anlegen einer neuen Regel: Regelname: Excel_Mime
Wenn eine E-Mail eingeht:

und mit Inhalt dessen

MIME-Typ
ist

application/vnd.ms-excel, application/vnd.openxmlformats-officedocument.spreadsheetml.sheet, application/vnd.openxmlformats-officedocument.spreadsheetml.template, application/vnd.ms-excel.sheet.macroEnabled.12, application/vnd.ms-excel.template.macroEnabled.12, application/vnd.ms-excel.addin.macroEnabled.12, application/vnd.ms-excel.sheet.binary.macroEnabled.12

Aktion ausführen:

Filterregel bearbeiten: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten
Default: E-Mail annehmen
Damit Excel-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig in Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!






































Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!

Hier empfiehlt sich
Aktion ausführen:


zutreffenden Inhalt filtern
Securepoint empfiehlt bei Verwendung von POP3 E-Mails nur von bekannten Absendern entgegen zu nehmen.
Zusätzlich ist eine Allowlist-Regel anzulegen (s.U.), die direkt vor dieser Regel liegt, damit bekannte Absender weitergeleitet werden, Spam etc. aber trotzdem gefiltert wird:
Anlegen einer neuen Regel: Regelname: WL_Excel_Mime
Wenn eine E-Mail eingeht:
Die gleichen Kriterien wie in diesem Abschnitt oben. Schaltfläche +

und Sender

enthält
Eingabe in der Klick-Box: » bekannter_Absender.de

Aktion ausführen:

Filterregel bearbeiten: E-Mail im Betreff markieren mit Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde
Default: E-Mail annehmen

Speichern

Filterregel »Open-Office / Libre-Office-Dokumente auf Basis des MIME-Types« 
+Filterregel hinzufügen
 OOffice_MIME 
Anlegen einer neuen Regel: Regelname: OOffice_MIME (Open-Office)
Wenn eine E-Mail eingeht:

und mit Inhalt dessen

MIME-Typ
ist

application/vnd.oasis.opendocument.chart-template,application/vnd.oasis.opendocument.database,application/vnd.oasis.opendocument.formula, application/vnd.oasis.opendocument.formula-template,application/vnd.oasis.opendocument.graphics,application/vnd.oasis.opendocument.graphics-template, application/vnd.oasis.opendocument.image,application/vnd.oasis.opendocument.image-template,application/vnd.oasis.opendocument.presentation, application/vnd.oasis.opendocument.presentation-template,application/vnd.oasis.opendocument.spreadsheet, application/vnd.oasis.opendocument.spreadsheet-template,application/vnd.oasis.opendocument.text,application/vnd.oasis.opendocument.text-master, application/vnd.oasis.opendocument.text-template,application/vnd.oasis.opendocument.text-web, text/rtf, application/rtf

Neu 06.2022: text/rtf, application/rtf ergänzt

Aktion ausführen:

Filterregel bearbeiten: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten
Default: E-Mail annehmen

Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig in Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!






































Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!

Hier empfiehlt sich
Aktion ausführen:


zutreffenden Inhalt filtern
Securepoint empfiehlt bei Verwendung von POP3 E-Mails nur von bekannten Absendern entgegen zu nehmen.
Zusätzlich ist eine Allowlist-Regel anzulegen (s.U.), die direkt vor dieser Regel liegt, damit bekannte Absender weitergeleitet werden, Spam etc. aber trotzdem gefiltert wird:
Anlegen einer neuen Regel: Regelname: WL_OOffice_Mime
Wenn eine E-Mail eingeht:
Die gleichen Kriterien wie in diesem Abschnitt oben. Schaltfläche +

und Sender

enthält
Eingabe in der Klick-Box: » bekannter_Absender.de

Aktion ausführen:

Filterregel bearbeiten: E-Mail im Betreff markieren mit Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde
Default: E-Mail annehmen
Filterregel »Office-Dokumente auf Basis der Dateiendung« 
+Filterregel hinzufügen
 Office_Extension 
Anlegen einer neuen Regel: Regelname: Office_Extension
Wenn eine E-Mail eingeht:

und mit Inhalt dessen

Dateiname
endet auf

In der Klick-Box können nun Datei-Endungen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
doc, dot, docx, docm, dotx, dotm, docb, xls, xlsx, xlt, xlm, xlsm, xltm, xlsb, xla, xlam, xll, xlw, ppt, pot, pps, ppa, pptx, pptm, potx, potm, ppam, ppsx, ppsm, sldx, sldm, pub, odt, ott, oth, odm, otg, odp, otp, ods, ots, odc, odf, odb, odi, oxt, rtf

Neu 06.2022:rtf ergänzt

Aktion ausführen:

Filterregel bearbeiten: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten
Default: E-Mail annehmen
Damit Office-Dokumente anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig in Quarantäne genommen
und nach 30 Minuten erneut gefiltert werden!






































Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!

Hier empfiehlt sich
Aktion ausführen:


zutreffenden Inhalt filtern
Securepoint empfiehlt bei Verwendung von POP3 E-Mails nur von bekannten Absendern entgegen zu nehmen.
Zusätzlich ist eine Allowlist-Regel anzulegen (s.U.), die direkt vor dieser Regel liegt, damit bekannte Absender weitergeleitet werden, Spam etc. aber trotzdem gefiltert wird:
Anlegen einer neuen Regel: Regelname: WL_Office_Extension
Wenn eine E-Mail eingeht:
Die gleichen Kriterien wie in diesem Abschnitt oben. Schaltfläche +

und Sender

enthält
Eingabe in der Klick-Box: » bekannter_Absender.de

Aktion ausführen:

Filterregel bearbeiten: E-Mail im Betreff markieren mit Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde
Default: E-Mail annehmen

Speichern

Filterregel »Komprimierte Dateien auf Basis des MIME-Types« 
+Filterregel hinzufügen
 Compressed_MIME 
Anlegen einer neuen Regel: Regelname: Compressed_MIME
Wenn eine E-Mail eingeht:

und mit Inhalt dessen

MIME-Typ
ist
In der Klick-Box können nun MIME-Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
application/x-zip-compressed,application/zip

Aktion ausführen:

Filterregel bearbeiten: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten
Default: E-Mail annehmen
Damit komprimierte Dateien anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
Securepoint empfiehlt, dass Mails mit komprimierten Dateien im Anhang vorläufig in Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!






































Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!

Hier empfiehlt sich
Aktion ausführen:


zutreffenden Inhalt filtern
Securepoint empfiehlt bei Verwendung von POP3 E-Mails nur von bekannten Absendern entgegen zu nehmen.
Zusätzlich ist eine Allowlist-Regel anzulegen (s.U.), die direkt vor dieser Regel liegt, damit bekannte Absender weitergeleitet werden, Spam etc. aber trotzdem gefiltert wird:
Anlegen einer neuen Regel: Regelname: WL_Compressed_MIME
Wenn eine E-Mail eingeht:
Die gleichen Kriterien wie in diesem Abschnitt oben. Schaltfläche +

und Sender

enthält
Eingabe in der Klick-Box: » bekannter_Absender.de

Aktion ausführen:

Filterregel bearbeiten: E-Mail im Betreff markieren mit Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde
Default: E-Mail annehmen

Speichern

Filterregel »Komprimierte Dateien auf Basis der Endung« 
+Filterregel hinzufügen
 Compressed_Extension 
Anlegen einer neuen Regel: Regelname: Compressed_Extension
Wenn eine E-Mail eingeht:

und mit Inhalt dessen

Dateiname
endet auf
In der Klick-Box können nun Datei-Endungen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
zip,7z,ace,arj,cab,zz,zipx

Aktion ausführen:

Filterregel bearbeiten: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten
Default: E-Mail annehmen
Damit Komprimierte Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
Securepoint empfiehlt, dass Mails mit komprimierten Dateien im Anhang vorläufig in Quarantäne genommen
und nach 30 Minuten erneut gefiltert werden!






































Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!

Hier empfiehlt sich
Aktion ausführen:


zutreffenden Inhalt filtern
Securepoint empfiehlt bei Verwendung von POP3 E-Mails nur von bekannten Absendern entgegen zu nehmen.
Zusätzlich ist eine Allowlist-Regel anzulegen (s.U.), die direkt vor dieser Regel liegt, damit bekannte Absender weitergeleitet werden, Spam etc. aber trotzdem gefiltert wird:
Anlegen einer neuen Regel: Regelname: WL_Compressed_Extension
Wenn eine E-Mail eingeht:
Die gleichen Kriterien wie in diesem Abschnitt oben. Schaltfläche +

und Sender

enthält
Eingabe in der Klick-Box: » bekannter_Absender.de

Aktion ausführen:

Filterregel bearbeiten: E-Mail im Betreff markieren mit Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde
Default: E-Mail annehmen

Speichern

Filterregel »ISO-Dateien auf Basis des MIME-Typs oder der Endung« 
+Filterregel hinzufügen
 images 


Anlegen einer neuen Regel: Regelname: Images
Regeln mit oder -Operator verbinden
Wenn eine E-Mail eingeht:

und mit Inhalt dessen

Dateiname
endet auf
In der Klick-Box können nun Datei-Endungen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
iso,img

oder mit Inhalt dessen

MIME-Typ
ist
In der Klick-Box können nun MIME-Typen eingegeben werden. Als Inhalt kann diese Liste eingetragen werden.
application/x-cd-image, application/x-iso-image, application/x-iso9660-image

Aktion ausführen:

Filterregel bearbeiten: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten
Default: E-Mail annehmen
Damit .iso und .img -Dateien gefiltert werden, wird eine neue Regel benötigt.
Securepoint empfiehlt, dass Mails mit Images im Anhang vorläufig in Quarantäne genommen
und nach 30 Minuten erneut gefiltert werden!






































Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!

Hier empfiehlt sich
Aktion ausführen:


zutreffenden Inhalt filtern
Securepoint empfiehlt bei Verwendung von POP3 E-Mails nur von bekannten Absendern entgegen zu nehmen.
Zusätzlich ist eine Allowlist-Regel anzulegen (s.U.), die direkt vor dieser Regel liegt, damit bekannte Absender weitergeleitet werden, Spam etc. aber trotzdem gefiltert wird:
Anlegen einer neuen Regel: Regelname: WL_images
Wenn eine E-Mail eingeht:
Die gleichen Kriterien wie in diesem Abschnitt oben. Schaltfläche +

und Sender

enthält
Eingabe in der Klick-Box: » bekannter_Absender.de

Aktion ausführen:

Filterregel bearbeiten: E-Mail im Betreff markieren mit Warnhinweis, den Anhang nur zu öffnen, wenn er angekündigt wurde
Default: E-Mail annehmen

Speichern

WL_Anhänge markieren oder filtern
Filterregel hinzufügen
 WL_Anhänge markieren 
 WL_Anhänge zustellen 
 Anhänge filtern  		Szenario: Anhänge bestimmter Absender sollen markiert und zugestellt werden. Alle anderen Anhänge sollen gefiltert werden.
  • 1. Regel: E-Mails mit Anhängen bestimmter Absender markieren
  • 2. Regel: E-Mails mit Anhängen bestimmter Absender zustellen
  • 3. Regel: E-Mails mit Anhängen die nicht von bestimmten Absendern stammen filtern

Anlegen einer neuen Regel:Regelname: WL_Anhänge markieren
Wenn eine E-Mail eingeht:

und mit Inhalt dessen

Dateiname enthält
»*

 Kriterium hinzufügen

und Sender

enthält
»partnerdomain.de

Aktion ausführen:

Filterregel bearbeiten: E-Mail im Betreff markieren mit Absender geprüft

Filterregel hinzufügen

Anlegen einer neuen Regel:Regelname: WL_Anhänge zustellen
Wenn eine E-Mail eingeht:

und mit Inhalt dessen

Dateiname enthält
»*

 Kriterium hinzufügen

und Sender

enthält
»partnerdomain.de

Aktion ausführen:

Filterregel bearbeiten: E-Mail annehmen

Filterregel hinzufügen

Anlegen einer neuen Regel:Regelname: Anhänge filtern
Wenn eine E-Mail eingeht:

und mit Inhalt dessen

Dateiname enthält
»*

und Sender

enthält nicht
»partnerdomain.de

Aktion ausführen:

Filterregel bearbeiten: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten

  • Die Prüfung auf das Regelwerk wird bei den Aktionen zutreffenden Inhalt filtern und E-Mail im Betreff markieren mit nicht abgebrochen, sondern fortgeführt. Weiter Filterregeln können auf solche Mails angewendet werden.
  • In allen anderen Aktions-Fällen wird die Prüfung auf das Regelwerk beendet, sofern die Kriterien zutreffen.
    • Whitelist Ausnahme Regeln erstellen
    +Filterregel hinzufügen
     Whitelist 
    aktualisiert

    Wenn E-Mails eines bestimmten Absenders (hier von securepoint.de) in jedem Fall zugestellt werden sollen, muss hierfür eine Whiltelist-Ausnahme in dem Mailfilter Regelwerk angelegt werden.

    Anlegen einer neuen Regel:Regelname: Whitelist
    Wenn eine E-Mail eingeht:

    und Protokoll

    ist SMTP

     Kriterium hinzufügen

    und ist als Spam klassifiziert

     Kriterium hinzufügen

    und Sender

    from
    endet auf
    »securepoint.de

    Aktion ausführen:

    Filterregel bearbeiten: E-Mail annehmen

    Speichern


    Filterregel verschieben

    Damit eine Regel als Whitelist-Regel funktioniert, muss die Reihenfolge definiert werden, so dass diese Regel vor der allgemeinen Spam-Quarantäne-Regel greift.
    Durch klicken und halten mit der linken Maustaste auf die Whitelist-Regel (Pos. 7) in der Spalte „Pos.“, wird diese Regel nach oben über die allgemeine Spam_SMTP Filterregel verschoben. Hat die Regel die gewünschte Position erreicht, wird die Maustaste losgelassen.
    Die Whitelist-Regel erhält nun entsprechend ihrer Rangfolge eine neue Positionsnummer.

    Gefälschter Absender
    +Filterregel hinzufügen
     ' 
    Fake Sender

    Damit E-Mails mit gefälschtem internen Absender (die gewöhnlich ein hohes Vertrauen genießen) nicht angenommen werden, empfehlen wir drei Filterregeln nach folgendem Beispiel zu erstellen:

    In diesem Beispiel sollen Mails der Maildomain @securepoint.de angenommen werden.
    Die IP-Adresse des Mailservers wird mit 192.168.175.100 angenommen.

    Dies sind lediglich Beispieladressen, die lokal angepasst werden müssen.


    Anlegen einer neuen Regel:Regelname: fake_sender_intern1
    Wenn eine E-Mail eingeht:

    und Sender

    enthält
    »@securepoint.de

     Kriterium hinzufügen

    und Quellhost

    ist nicht
    »192.168.175.100

    Aktion ausführen:

    Filterregel bearbeiten: E-Mail ablehnen

    Speichern

    Regel hinzufügen


    Anlegen einer neuen Regel:Regelname: fake_sender_intern2
    Wenn eine E-Mail eingeht:

    und Header-Feld

    From enthält
    »@securepoint.de

     Kriterium hinzufügen

    und Quellhost

    ist nicht
    »192.168.175.100

    Aktion ausführen:

    Filterregel bearbeiten: E-Mail ablehnen

    Speichern


    Filterregel hinzufügen

    Anlegen einer neuen Regel:Regelname: fake_sender_intern3
    Wenn eine E-Mail eingeht:

    und Header-Feld

    From ist
    »securepoint.de

     Kriterium hinzufügen

    und Quellhost

    ist nicht
    »192.168.175.100

    Aktion ausführen:

    Filterregel bearbeiten: E-Mail ablehnen

    Speichern




    URL-Filter

    → Anwendungen →MailfilterReiter URL-Filter


    Der URL-Filter überprüft

    • die URL selbst. Regel hinzufügen Weitere Hinweise im Wiki zum Mailfilter.
      Damit lassen sich in Verbindung mit der Aktion zulassen vor allem Whitelists erstellen

    • in welche inhaltliche Kategorie die aufgerufene Seite fällt. Kategorie hinzufügen
      Diese Kategorisierung wird von unserem Contentfilter-Team ständig aktualisiert.
      Es lassen sich auch hier Allowlist-Einträge (z.B. Ausbildung (Schulen und Ausbildungsinstitute, Universitäten) mit der Aktion zulassen oder Blocklist-Einträge mit der Aktion blockieren erstellen.

    Die folgenden Kategorien sind in Installationen seit 11.8 vorkonfiguriert und sollten auch bei älteren Installationen nicht fehlen:

    Kategorie hinzufügen

    Typ Name Beschreibung Aktion
    Kategorie Threat Intelligence Feed Diese Kategorie enthält aktuell als schädlich eingestufte URLs welche Schadsoftware verbreiten und Phishing Seiten enthalten (Phishing, Malware, Botnetze, Crimeware usw.) blockieren
    Kategorie Porno und Erotik Diese Kategorie enthält URLs die Pornographische oder überwiegend sexuelle Inhalte bereitstellen. blockieren
    Kategorie Hacking Diese Kategorie enthält URLs die Ratgeber bereitstellen zum Thema Hacking, Warez, Malware bauen, Systeme überlisten oder Abofallen. blockieren
    Kategorie Update Server Server und Dienste für wichtige Softwareupdates
    Diese Kategorie ist für Whitelist-Umgebungen vorgesehen.    		 zulassen
    Weitere Kategorien sind den Anforderungen des Unternehmens anzupassen

    Durch das Kicken auf Speichern wird die Filterregel hinzugefügt.

    Spamreport

    → Anwendungen →MailfilterReiter Einstellungen Abschnitt
    Spamreport





    notempty
    Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

    notempty
    Der Artikel für die neueste Version steht hier

    notempty
    Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Beta-Version bezieht



























    Der Spamreport kann in bestimmten Intervallen die E-Mail Benutzer über von der UTM gefilterte, geblockte oder in Quarantäne genommene E-Mails informieren. Dieser Report kann entweder an einem bestimmten Wochentag oder Täglich, zu einer bestimmten Uhrzeit versendet werden.

    Aktion Wert Beschreibung Mailfilter UTMbenutzer@firewall.name.fqdnAnwendungen Mailfilter-Log Einstellungen Spamreport
    Berichte aktivieren: Keine
    (Default)    		 Es werden keine Spamreports versendet.
    Benutzer Es werden Berichte an die Benutzer versendet.
    Benutzer und Admin Es werden Berichte an die Benutzer und eine Übersicht an den Administrator versendet.
    Zustellbedingung: Immer zustellen
    (Default)    		 Es wird auf jeden Fall ein Spam-Report gesendet.
    Nicht angenommen Es wird nur dann ein Spam-Bericht zugestellt, wenn mindestens eine E-Mail gefiltert, quarantänisiert oder abgelehnt wurde.
    Quarantänisiert oder gefiltert Es wird nur dann ein Spam-Bericht zugestellt, wenn mindestens eine E-Mail Quarantänisiert oder gefiltert wurde.
    Alternativer Hostname / IP:     Falls über eine externe IP oder einen anderen Hostnamen auf das Webinterface mit dem Mailserver zugegriffen werden soll.
    Tag: Montag Dieser Report kann entweder an einem bestimmten Wochentag oder jeden Tag versendet werden.
    1. Bericht
    notempty
    aktualisiert

    20 : 00 Uhr    		 Legt die Uhrzeit für das Versenden des Berichts fest
    2. Bericht
    3.Bericht
    4. Bericht    		 Aus Bei täglichen Berichten, können insgesamt vier Berichte zu festgelegten Zeiten versendet werden.

    Damit der Report den E-Mail Benutzer auch erreicht, ist es notwendig, dass sich dieser in einer Gruppe befindet, die die Berechtigung Spamreport beinhaltet.

    Sind mehrere Mailadressen für einen Benutzer in einem AD hinterlegt, wird der dort als Primäre SMTP-Adresse konfigurierte Eintrag als Default-Adresse verwendet.

    Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer Gruppe unter Authentifizierung Benutzer hinzufügen Die Einstellung dazu erfolgt im Menü
    Authentifizierung Benutzer Gruppen + Gruppe hinzufügen bzw. bearbeiten unter Berechtigungen:
    Hier müssen folgende Abschnitte aktiviert werden:

    Spamreport
    Ein aktiviert die Erstellung des Spamreports
    Userinterface
    Ein Die E-Mail Adresse kann aus einem Verzeichnis-Server wie ActiveDirectory oder LDAP entnommen werden, wenn die UTM daran angebunden ist. Ansonsten muss der Benutzer mit seiner E-Mail-Adresse auf der UTM angelegt werden.

    Die E-Mail Adresse kann aus einem Verzeichnis-Server wie ActiveDirectory oder LDAP entnommen werden, wenn die UTM daran angebunden ist. Ansonsten muss der Benutzer mit seiner E-Mail-Adresse auf der UTM angelegt werden.

    Im Abschnitt Mailfilter müssen weitere Einstellungen vorgenommen werden, u.a. wird dort die E-Mail Adresse hinterlegt, an die Berichte gesendet werden:
    UTM/AUTH/Benutzerverwaltung Gruppen Mailfilter 12.6


    Spamreport an den User.



    Disclaimer und Hinweise

    Haftung
    Diese Website wurde mit größtmöglicher Sorgfalt zusammengestellt. Trotzdem kann keine Gewähr für die Fehlerfreiheit und Genauigkeit der enthaltenen Informationen übernommen werden. Jegliche Haftung für Schäden, die direkt oder indirekt aus der Benutzung dieser Website entstehen, wird ausgeschlossen. Sofern von dieser Website auf Internetseiten verwiesen wird, die von Dritten betrieben werden, übernimmt die Securepoint GmbH keine Verantwortung für deren Inhalte.

    Folgende Wiki-Artikel können bei der Einrichtung hilfreich sein.

    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/APP/Mailrelay-Best_Practice_v12.2&oldid=104302