Dirkg (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
Dirkg (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
Zeile 49: | Zeile 49: | ||
====Whitelist Ausnahme Regel==== | ====Whitelist Ausnahme Regel==== | ||
[[Datei:UTM115_AI_MFFRSpamWL.png|250px|thumb|right|Mailfilter Whitelist-Regel]] | [[Datei:UTM115_AI_MFFRSpamWL.png|250px|thumb|right|Mailfilter Whitelist-Regel]] | ||
Sollte der Fall eintreten, dass bestimmte E-Mails fälschlicherweise als Spam, Spam verdächtig oder Massen- | Sollte der Fall eintreten, dass bestimmte E-Mails fälschlicherweise als Spam, Spam verdächtig oder Massen-Mails erkannt werden, können Regeln erstellt werden, die in E-Mails bestimmte Merkmale erkennen und diese dann trotz bestehender Quarantäne Regeln zustellen. | ||
In diesem Beispiel werden Mails von der E-Mail Domäne '''securepoint.de''', die mit dem Protokoll '''SMTP''' über das Mailrelay den Mailserver erreichen sollen, vom Commtouch Spamfilter als '''SPAM''' klassifiziert und würden aufgrund der Basisregeln in Quarantäne genommen. <br> | In diesem Beispiel werden Mails von der E-Mail Domäne '''securepoint.de''', die mit dem Protokoll '''SMTP''' über das Mailrelay den Mailserver erreichen sollen, vom Commtouch Spamfilter als '''SPAM''' klassifiziert und würden aufgrund der Basisregeln in Quarantäne genommen. <br> |
Version vom 6. Oktober 2015, 07:33 Uhr
Einführung
Um festzustellen, ob es sich bei einer eingehenden Mail um Spam handelt, können der POP3-Proxy, das Mail-Relay und der Mail-Connector eingehende E-Mails an den Mailfilter übergeben. Der Mailfilter setzt sich aus dem Commtouch Spamfilter, dem Securepoint Content-Filter und einem URL Filter zusammen, der Web-Links aus einer E-Mail entfernen kann.
Zu dem bisher bekannten Mailfilter haben sich einige Veränderungen ergeben. Zum einen ist es durch den Einsatz des Mail-Connector jetzt möglich, neben POP3 auch E-Mails die mit IMAP bzw. den beiden verschlüsselten Varianten abgeholt werden, durch den Mailfilter zu überprüfen.
Zum anderen werden nicht mehr automatisch alle E-Mails im Mailarchiv der UTM abgelegt, sondern nur noch die, die vom Commtouch Spamfilter als Spam, Spam verdächtig oder als Massen-Mail, sogenannten Bulk, eingestuft und anhand der Filterregel in Quarantäne genommen werden. E-Mails, die von der UTM weitergeleitet und zugestellt wurden (HAM), sind dann im Mailarchiv nicht mehr zu finden, wenn diese Option nicht aktiviert wird.
Weiterhin ist der Content-Filter, der nach Dateiendungen eines Anhanges oder nach MIME Typen filtert, direkt in den Filterregeln integriert und hat keinen eigenen Reiter mehr.
Filterregeln
Über die Filterregeln wird entschieden, wie mit E-Mails, bei denen definierte Eigenschaften erkannt wurden, verfahren wird. Dabei wird zwischen den Protokollen SMTP und POP3 sowie dem Mail-Connector unterschieden.
Über den Mail-Connector ist die UTM in der Lage, E-Mails über die Protokolle POP3 und IMAP und deren verschlüsselten Varianten POP3S und IMAPS von einem Mailserver abzuholen und mit dem Mailfilter auf Spam und Schadsoftware zu überprüfen.
Weiterhin wird zwischen den Protokollen POP3 und SMTP unterschieden. Wenn das Mailrelay genutzt wird, lautet das Protokoll SMTP. Bei Verwendung des POP3-Proxy wird das Protokoll POP3 ausgewählt.
Mit wird eine neue Filterregel erstellt. Mit dem Operator wird festgelegt, ob alle Kriterien erfüllt sein müssen (und) oder ob es ausreichend ist, wenn nur ein Kriterium der Filterregel erfüllt wird (oder).
Eine Filterung nach folgenden Kategorien ist möglich:
- Protokoll (SMTP, Mail-Connector oder POP3)
- Quellhost
- Zielhost
- Sender (From)
- Empfänger (To)
- Daten in einem bestimmten Mail-Header Feld
- Spam oder nicht Spam
- Spam verdächtig oder auch nicht verdächtig
- Massen E-Mails (Bulk)
- Enthält Virus oder enthält keinen Virus
- wurde vom URL-Filter erfasst oder wurde nicht erfasst
- Die E-Mail ist einem bestimmten Medien-Typ (MIME) zugeordnet oder hat eine bestimmte Dateiendung im Anhang.
Mit dem Button können weitere Filter hinzugefügt werden. Diese Filter definieren welche Aktion bei den E-Mails anzuwenden ist, wenn die enthaltenen Filter zutreffenden. Hier stehen dann die folgenden Aktionen zur Verfügung:
- E-Mail annehmen
- E-Mail ablehnen mit Meldung an den Absender
- E-Mail in Quarantäne nehmen und eine vordefinierte Zeit (siehe Einstellungen) zur Ansicht vorhalten
- E-Mail verwerfen
- zutreffenden Inhalt ausfiltern und den Rest der E-Mail weiterleiten.
- E-Mail im Betreff markieren, so dass diese kenntlich gemacht wird und z. B. vom Mailserver in einen entsprechenden Ordner verschoben werden kann.
Whitelist Ausnahme Regel
Sollte der Fall eintreten, dass bestimmte E-Mails fälschlicherweise als Spam, Spam verdächtig oder Massen-Mails erkannt werden, können Regeln erstellt werden, die in E-Mails bestimmte Merkmale erkennen und diese dann trotz bestehender Quarantäne Regeln zustellen.
In diesem Beispiel werden Mails von der E-Mail Domäne securepoint.de, die mit dem Protokoll SMTP über das Mailrelay den Mailserver erreichen sollen, vom Commtouch Spamfilter als SPAM klassifiziert und würden aufgrund der Basisregeln in Quarantäne genommen.
Da am Commtouch Spamfilter keine Konfigurationsmöglichkeiten bestehen, E-Mails von securepoint.de aber in jedem Fall zugestellt werden sollen, muss hierfür eine Whiltelist-Ausnahme in dem Mailfilter Regelwerk angelegt werden.
Diese muss folgende Merkmale enthalten:
- Protokoll ist SMTP
- Mail ist als Spam klassifiziert
- Sender enthält securepoint.de
Als Aktion wird dann ausgewählt, dass diese E-Mails angenommen werden sollen.
Durch das Kicken auf wird die Filterregel hinzugefügt.
Nun muss die Reihenfolge definiert werden, so dass diese Regel vor der allgemeinen Spam-Quarantäne-Regel greift.
Durch klicken und halten mit der linken Maustaste auf die Whitelist-Regel (Pos. 6) in der Spalte „Pos.“, wird diese Regel nach oben über die allgemeine Spam_SMTP Filterregel verschoben. Hat die Regel die gewünschte Position erreicht, wird die Maustaste losgelassen.
Die Whitelist-Regel erhält nun die entsprechende Positionsnummer.
URL-Filter
Mit dem URL-Filter untersuchen Sie, ob E-Mails Web-Links beinhalten. Sie können unerwünschte URLs blocken oder zurückweisen. Unbedenkliche URLs können Sie hier explizit erlauben.
Die URLs können mit Hilfe von regulären Ausdrücken gefiltert oder anhand der Kategorien des Securepoint Content-Filter geprüft werden.
Einstellungen
Hier besteht die Möglichkeit, einen Spamreport erstellen zu lassen, die Blocking-Nachrichten zu ändern und zu definieren nach welchen Kriterien die E-Mails im Mailarchiv der UTM vorgehalten werden.
Spamreport
Der Spamreport kann in bestimmten Intervallen die E-Mail Benutzer über von der UTM gefilterte, geblockte oder in Quarantäne genommene E-Mails informieren. Dieser Report kann entweder an einem bestimmten Wochentag oder Täglich, zu einer bestimmten Uhrzeit versendet werden.
Damit der Report den E-Mail Benutzer auch erreicht, ist es notwendig, dass sich dieser in einer Gruppe befindet, die die Berechtigung Spamreport beinhaltet und das seine E-Mail Adresse hinterlegt ist.
Die E-Mail Adresse kann aus einem Verzeichnis Server wie ActiveDirectory oder LDAP entnommen werden, wenn die UTM daran angebunden ist. Ansonsten muss der Benutzer mit seiner E-Mail-Adresse auf der UTM angelegt werden.
Blocking Nachricht
In den Textfeldern Blocking Nachricht wird ein Text eingegeben, der anstatt des E-Mail Textes oder des blockierten Anhangs angezeigt wird.
- Content-Blocking Nachricht - Text für E-Mails, die wegen Ihres Anhang geblockt wurden.
- URL-Filter Nachricht - Text für E-Mails, die wegen der beinhalteten URLs gefiltert wurden.
- Virus-Blocking Nachricht - Text für E-Mails, die wegen einer Viruserkennung geblockt wurden.
Mailarchiv
Im Bereich Mailarchiv werden Angaben zur Vorhaltung der E-Mails gemacht.
- Maximale E-Mail-Anzahl: gibt an, wie viele Mails lokal auf der UTM vorgehalten werden
- Maximales E-Mail Alter: definiert die Zeit der Vorhaltung in Tage
- Maximale Archivgröße: benennt den Speicherplatz der Mails in Megabytes