(Die Seite wurde neu angelegt: „{{Archivhinweis|UTM/APP/Mailrelay}} {{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | Greylist--Bild | UTM v12.2.2 Mailrelay Greylisting.png | UTM v12.2.2 Mailrelay Greylisting-en.png}} {{var | Greylisting--cap | Konfiguration von Greylisting | Configuration of Greylisting }} {{var | Anwendungen | Anwendungen | Applications }} {{var | Mailrelay | Mailrelay | Mailrelay }} {{var | Greylist | Greylisting | Greylisting }} {{var |…“) |
KKeine Bearbeitungszusammenfassung |
||
Zeile 130: | Zeile 130: | ||
{{var|20|Hinweis: | {{var|20|Hinweis: | ||
|Note: }} | |Note: }} | ||
{{var|21|Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, sollten die [https://www.securepoint.de/ | {{var|21|Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, sollten die [https://www.securepoint.de/fuer-unternehmen/firewall-vpn/hardware-firewalls Hardware-Empfehlungen] unbedingt berücksichtigt werden! | ||
|Since a certain amount of storage space must be available for rejected mails or mails that could not yet be delivered to the internal mail server, the [https://www.securepoint.de/ | |Since a certain amount of storage space must be available for rejected mails or mails that could not yet be delivered to the internal mail server, the [https://www.securepoint.de/fuer-unternehmen/firewall-vpn/hardware-firewalls hardware recommendations] should be considered without fail! }} | ||
{{var|22|Regelwerk | {{var|22|Regelwerk | ||
|Set of rules }} | |Set of rules }} |
Aktuelle Version vom 1. Februar 2024, 11:50 Uhr
notempty
- Hinweis auf Ablehnung zu großer Mails in der Mailfilter Ansicht im Userinterface
- Präferiertes Protokoll
- Hinweis zur Nutzung der Authentifizierung bei TLS/SSL-Verschlüsselung
- Das Hinzufügen von Headern für das Greylisting kann deaktiviert werden
- Übersetzung
Konfiguration des Mailrelay
Voraussetzungen
Providerseitige Einstellungen
Um eine reibungslose Teilnahme am Mailverkehr zu gewährleisten, müssen einige Voraussetzungen erfüllt sein:
- Eine feste IP-Adresse.
- Einen A-Record auf dem DNS-Server des Providers, der auf diese IP auflöst (z.B. mail.ttt-point.de).
- Einen MX-Record, der festlegt, unter welcher Adresse der Mailserver einer Domain erreichbar ist (z.B. mail.ttt-point.de).
- Einen PTR-Record, der die feste IP auf den MX-Record zurückauflöst (reverse DNS).
Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!
Regelwerk
Um anderen Mailservern die Zustellung von Mails auf das Mailrelay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:
E-Mail-Adresse
Unter Globale E-Mail Adresse: sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.
Grundkonfiguration des Mail Relay zum Empfang von Mails
Die Konfiguration des Mailrelay findet unter
statt.
Allgemein
Funktion | Wert | Beschreibung | |
---|---|---|---|
Mailfilter aktivieren: | Ein | Aktivieren | |
SASL-Authentifizierung: | Aus | Ermöglicht SASL-Authentifizierung, wenn aktiviert | |
Postmaster-Adresse: | admin-mail@anyideas.de | Hier muss eine korrekte Mail-Adresse hinterlegt sein. Diese E-Mail-Adresse wird im Dialog im Feld Globale E-Mail Adresse festgelegt. Änderungen sind nur dort möglich. | |
Maximale Nachrichtengröße: | 20 Megabytes | Maximale Größe der Mails in Megabytes, die vom Mailrelay angenommen werden.
Neu ab v.12.2.3 Es erscheint ein Hinweis in der Mailfilter Ansicht im Userinterface über die Ablehnung.
| |
Präferiertes Protokoll ausgehender E-Mails: Neu ab v.12.2.3 |
Legt fest, ob das Mailrelay ausgehende Verbindungen bevorzugt mit einem bestimmten Protokoll aufbauen soll. Die Einstellung sollte nur in Spezialfällen (z.B. IPv4 hinter NAT) und wenn Zustellungsprobleme auftreten geändert werden, da sie die Optionen für erfolgreiche Konnektivität einschränkt. | ||
IPv4 wird als Protokol bevorzugt (z.B. IPv4 hinter NAT) | |||
IPv6 wird als Protokol bevorzugt | |||
Ausgehende IP-Adresse: | Bei Multipath-Routing kann hier eine ausgehende Schnittstelle durch die IP-Adresse angegeben werden. Auch die Kommunikation aus dem internen Netz läuft dann über diese IP-Adresse. Auf dem Mailserver und seiner Firewall müssen weitere Einstellungen vorgenommen werden, damit Mails von dieser IP-Adresse angenommen werden.
| ||
SPF/DKIM/DMARC Prüfungen: in 11.8.7 |
Aus | Ermöglicht bei Aktivierung Ein das Filtern nach entsprechenden SPF/DKIM/DMARC Resultaten in einer Mailfilterregel. Fügt der E-Mail einen RFC 8601 Authentication-Results Header hinzu. Wird nicht ausgeführt für via SASL authentifizierte Clients und "trusted Hosts", also Clients, für die in der relaying list mit der Option "Connect" oder ohne Option die Aktion "RELAY" angegeben ist. Weitere Hinweise im Artikel zum Mailfilter
|
Smarthost
Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist. Das ist z.B. der Fall, wenn kein eigener Mailserver betrieben wird oder keine feste öffentliche IP-Adresse vorliegt.
Beschriftung | Wert | Beschreibung | |
---|---|---|---|
Smarthost aktivieren: | Ein | aktiviert die Smarthost-Funktion. | |
Smarthost: | Mailserver, der ausgehende Mails entgegennehmen und versenden soll.(Beispieladresse) | ||
Port: | 465 | Mail-Port für externen Mail-Server 25: Standardport für smtp (Default) 465: Standardport für implizites TLS 587: Standardport für STARTTLS | |
TLS implizit verwenden Neu ab 11.8.4 |
Aus | Per Default (deaktiviert) wird eine Verbindung zunächst über smtp aufgebaut und anschließend versucht mit der Gegenstelle eine TLS-Verschlüsselung zu initiieren. | |
Ein | Bei Aktivierung wird die Verbindung erst mit TLS verschlüsselt, bevor die smtp-Kommunikation aufgebaut wird. Beherrscht die Gegenstelle kein TLS kommt keine Verbindung zu Stande. Die TLS-Version wird unter | konfiguriert.||
Smarthost Verifikation: | Es wird keine Verifikation des Smarthosts vorgenommen. | ||
Der Smarthost wird anhand von standardmäßig installierten Root-CAs oder einer selbstsignierten CA verifiziert. CA: (Default) Alternativ kann eine (zuvor unter erstellte oder importierte ) CA zur Authentifizierung ausgewählt werden. | |||
Der Smarthost wird ausschließlich mittels DANE Protokoll (RFC 6698) verifiziert und muss dieses unterstützen. Das DANE-Protokoll erfordert zwingend die Aktivierung von DNSSEC.
| |||
Authentifizierung aktivieren: | Ein | Ermöglicht die Authentifizierung am Smarthost-Mailserver. | |
Benutzer: | Zugangsdaten | ||
Passwort | Zugangsdaten |
Relaying
Relaying-Liste
Hier wird konfiguriert, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.
Hinzufügen eines Eintrags mit dem Button
Um also alle Mails zu relayen, die für Empfänger der eigenen Domain bestimmt sind, muss folgender Eintrag konfiguriert werden:
Domain / Host hizufügen | |
---|---|
Domain | anyideas.de
|
Option | |
Aktion |
Exakten Domainnamen für das Relaying verwenden:
Ein Das Relay reagiert nur auf den in der Liste eingetragenen Domainnamen und nicht auf nicht eingetragene Subdomains oder Erweiterungen.
Beispiel: In die Relayliste eingetragene Domain: anyideas.de
TLS Einstellungen
Beschriftung | Default | Beschreibung |
---|---|---|
TLS Verschlüsselung als Server: | Ein | Wird TLS deaktiviert, werden Mails über unverschlüsselte Verbindungen versendet! |
Zertifikat | Das Mailrelay verwendet ein selbst-signiertes Zertifikat für die Transportverschlüsselung. Optional kann ein Zertifikat, dessen CN dem Hostnamen der UTM entspricht, unter | importiert werden.|
TLS Verschlüsselung als Client: | Verwendet TLS, sofern es angeboten wird. | |
Verwendet immer TLS. Verbindung mit Servern, die kein TLS anbieten, werden wieder abgebrochen. | ||
Authentifiziert und verwendet TLS zu DANE-Konformen Servern, sofern es angeboten wird. |
SMTP Routen
SMTP Routen-Liste
Mit dem Button
werden weitere Routen angelegt.Erforderliche Angaben dabei: | |
---|---|
Domain: | anyideas.de (bzw. die entsprechende Maildomain)
|
Mailserver: | entweder als FQDN oder die IP-Adresse
|
Einstellungen
In dieser Rubrik kann die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.
Signierung
Optionale Einstellungen
Weitere Einstellungen sind empfehlenswert, aber für einen operativen Einsatz nicht zwingend notwendig:
Greylisting
Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.
Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.
Folgende Konfigurationen sind möglich:
Allowlist Allowlist | |||
Beschriftung | Default | Beschreibung | |
---|---|---|---|
IP / Netzwerke | »10.0.0.0/8 »172.16.0.0/12 »192.168.0.0/16 »127.0.0.0/8 | Vorgabe sind die privaten IP-Adressbereiche sowie die Loopback-Adresse. Mit Klick in die Klickbox lassen sich weitere Netzwerke und einzelne Hosts (z.B.: »203.0.113.113/32) hinzufügen. | |
Domains | Hier können einzelne Mailserver-Domains hinzugefügt werden z.B.: smtp.anyideas.de Die Domain des Mailservers muss nicht identisch mit der E-Mail Domain des Absender sein. Beispiel: Absender user@ttt-point.de sendet über den Mailserver »smtp.anyideas.de | ||
Empfänger | Hier können einzelne Empfänger hinzugefügt werden z.B.: »MailUser@ttt-point.de | ||
Absender | Hier können einzelne Absender hinzugefügt werden z.B.:»MailSender@ttt-point.de Um alle Absender einer E-Mail Domain in die Whitelist mit aufzunehmen, wird dieser Eintrag als Regulärer Ausdruck eingetragen: »/.*@ttt-point\.de/ | ||
Einstellungen Einstellungen | |||
Greylisting: | Aus | An aktiviert die Funktion Zustellversuche unbekannter Mailservers werden zunächst abgelehnt. s.o. | |
SPF: | Aus | Wenn das Sender Policy Framework der Absenderdomain korrekt im DNS eingetragen ist, wird bei Aktivierung Ein die Mail ohne Verzögerung zugestellt. | |
Header hinzufügen: Neu ab v.12.2.2 | Ja | Im Standard wird für jeden Empfänger, der im Mailheader gelistet wird ein weiterer Greylisting Eintrag hinzugehügt. Das kann zu Problemen führen, wenn viele Empfänger im Header stehen. Bei Deaktivierung Nein werden keine Greylisting Header eingefügt. | |
Automatisches Allowlisten für: | 7 Tage(Default) | Für diesen Zeitraum werden nach einer erfolgreichen Zustellung Mails sofort entgegengenommen. | |
Verzögerung: | 2 Minuten (Default) | Zeitraum, der dem sendenden Mailserver vorgegeben wird, um einen weiteren Zustellversuch vorzunehmen. | |
Subnetz-ÜbereinstimmungSubnetz-Übereinstimmung | |||
Subnetzmaske IPv4: | »32 | Anstatt, dass der sendende Server die genaue IP-Adresse wie zuvor haben muss, kann diese so geändert werden, dass nur die ersten 2 oder 3 Oktette übereinstimmen müssen. Damit wird ein Whitelisting auch dann ermöglicht, wenn der Absender über mehrere Mailserver verfügt. Möglich Werte: (Es lässt sich nur ein Wert eintragen.) »32 (Einzelner Host) »24 Subnetz, mit übereinstimmung der ersten drei Oktette »29 Beliebiger Wert über Tastatureingabe. | |
Subnetzmaske IPv6: | »128 |
Domain Mapping
Domains können gemappt werden, um eingehende Mails an z.B. user@anyideas.net auch unter user@anyideas.de zu empfangen.
Mit
kann das Mapping zwischen zwei Domains aktiviert werden.Dazu muss jeweils eine Quell-Domain: und eine Ziel-Domain: angegeben werden.
Erweiterte Einstellungen
Hier befinden sich weitere Optionen zur Vermeidung von Spam, die jeweils einzeln aktiviert werden können:
Konfiguration des Mailrelays für ausgehende Mails
Um sicher zu stellen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mailrelay auch für ausgehende Mails verwendet werden.
Regelwerk
Um den Zugriff auf das Mailrelay zu erlauben, muss den zum Mailversand berechtigten Hosts der Zugriff auf die entsprechende Schnittstelle der Securepoint Appliance (abhängig von der Zone, in der sich die Hosts befinden) über das Protokoll SMTP erlaubt werden. Dies kann je nach Anforderung ein einzelner Host (z.B. der Mailserver), eine Gruppe von Hosts oder das gesamte Netzwerk sein. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mailrelay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben.
Um z.B. dem internen Netzwerk den Zugriff auf das Mailrelay zu gestatten, kann das Regelwerk mit den vordefinierten Netzwerkgruppen erstellt werden:
Soll nur der Mailserver Mails versenden können, muss dieser zunächst als Netzwerkobjekt angelegt werden:
Dieses Objekt kann dann in der Firewall-Regel verwendet werden:
Soll einer bestimmten Gruppe von Rechnern im internen Netzwerk gestattet sein, das Mailrelay zu benutzen, dann müssen diese Rechner jeweils als Netzwerkobjekt angelegt werden. Diese können dann in einer Gruppe zusammengefasst werden (z.B. "SMTP-Berechtigte").
Konfiguration Relaying
Damit das Mailrelay die Mails aus dem internen Netz bzw. vom Mailserver auch annimmt, müssen die Einstellungen im Reiter Relaying um einen entsprechenden Eintrag ergänzt werden. Als Kriterium dient die Netzwerkadresse des entsprechenden Subnetzes bzw. die IP-Adresse des betreffenden Rechners:
Domain | 192.0.2.0/30 oder 192.0.2.192 Dieses sind Beispiel-IPs für die internen Mailserver. Diese müssen durch individuelle Adressen ersetzt werden! |
Option | |
Aktion |
Ergebnis
Die UTM kann jetzt eingehende und ggf. auch ausgehende Mails auf Spam und Viren überprüfen.