Zeile 166: | Zeile 166: | ||
Die Grundkonfiguration ist damit beendet. Die Securepoint Appliance ist nun voll funktional als Mail-Relay mit Spam- und Virenschutz für eingehende E-Mails einsetzbar. Soll das Mail-Relay auch für ausgehende Mails verwendet werden, sind [http://wiki.securepoint.de/index.php/Mail_Relay_V11#Konfiguration_des_Mail_Relay_f.C3.BCr_ausgehende_Mails weitere Konfigurationsschritte] notwendig. | Die Grundkonfiguration ist damit beendet. Die Securepoint Appliance ist nun voll funktional als Mail-Relay mit Spam- und Virenschutz für eingehende E-Mails einsetzbar. Soll das Mail-Relay auch für ausgehende Mails verwendet werden, sind [http://wiki.securepoint.de/index.php/Mail_Relay_V11#Konfiguration_des_Mail_Relay_f.C3.BCr_ausgehende_Mails weitere Konfigurationsschritte] notwendig. | ||
<br><br> | |||
====Domain Mapping==== | ====Domain Mapping==== |
Version vom 9. Januar 2019, 14:29 Uhr
Informationen
Letze Anpassung zur Version: 11.8
Bemerkung: Beschreibung Smarthost ausführlicher
Vorherige Versionen: 11.7
Konfiguration des Mailrelay
Die Securepoint UTM Appliance kann mithilfe des Mailrelays E-Mails empfangen und versenden. Das Mailrelay prüft die empfangenen E-Mails und teilt diese in eine entsprechende Kategorie ein. Anhand der Kategorie, wird entschieden ob eine E-Mail an den internen Mailserver weitergeleitet wird oder nicht.
Zum Schutz vor Spam bzw. zur Entlastung des Mailfilters lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierte Privat- und Arbeitsplatzrechner. Dagegen haben sich die Überprüfung der Ziel E-Mail-Adressen, das Greylisting und die Greeting Pause als wirksame Funktionen erwiesen.
Voraussetzungen
Providerseitige Einstellungen
Um eine reibungslose Teilnahme am Mailverkehr zu gewährleisten, müssen einige Voraussetzungen erfüllt sein:
- Eine feste IP-Adresse.
- Einen A-Record auf dem DNS-Server des Providers, der auf diese IP auflöst (z.B. mail.firma.de).
- Einen MX-Record, der festlegt, unter welcher Adresse der Mailserver einer Domain erreichbar ist (z.B. mail.firma.de).
- Einen PTR-Record, der die feste IP auf den MX-Record zurückauflöst (reverse DNS).
Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!
Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, empfiehlt sich je nach Mail-Aufkommen ein Minimum von 30 GB Festplattenspeicher. Wo?
Regelwerk
Um anderen Mailservern die Zustellung von Mails auf das Mail-Relay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:
Hinweis: Sollte neben der Internetverbindung mit der IP, über die der Mailversand stattfindet, keine weitere verfügbar sein, muss dafür gesorgt werden, dass NUR dem Mailserver der Versand von Mail per SMTP erlaubt wird. Sonst könnte ein einziger von einem Trojaner kompromittierter Rechner im Netzwerk das Versenden von Mails empfindlich stören oder gar gänzlich unmöglich machen, weil dieser mit der öffentlichen IP Spams und Malware verbreitet und diese innerhalb kürzester Zeit auf entsprechenden Blacklisten für Spammer gelistet wird.
Wichtig: Es darf keine Portweiterleitung für SMTP existieren. Diese würde dafür sorgen, dass die Mails am Mailrelay vorbeigeleitet werden!
E-Mail-Adresse
Unter Globale E-Mail Adresse: sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.
Grundkonfiguration des Mail Relay zum Empfang von Mails
Die Konfiguration des Mail-Relay findet unter
Allgemeine Einstellungen
Mailfilter aktivieren: aktivieren
Postmaster-Adresse: Hier muss eine korrekte Mail-Adresse hinterlegt sein.
Maximale Nachrichtengröße: 20
Megabytes ist die Standard-Vorgabe.
Ausgehende IP-Adresse: Wozu ist das gut?
Smarthost
Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist. Das ist z.B. der Fall, wenn kein eigener Mailserver betrieben wird.
Smarthost aktivieren: muss aktiviert sein.
Smarthost: smtp.allerweltsprovider.de
Externer Mailserver
Port: 25
Mail-Port für externen Mail-Server
Authentifizierung aktivieren: Sollte unbedingt aktiv sein müssen!!
Benutzer: Zugangsadaten
Passwort Zugangsdaten
Relaying
Zentrale Einstellung ist, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.
Hinzufügen eines Eintrags mit dem Button
Angabe folgender Werte:
Domain: Domainname
Option
- Was passiert dann? Wird für die Prüfung ausgehender Mails verwendet.
partnerfirma.de
im Absender.
Hier wird die Absender-Domain ausgewertet. Beispiel: Domain: partnerfirma.de - Betrifft alle Mails mit der Domain firma.de
im Empfänger.
Hier wird die Empfänger-Domain ausgewertet. Beispiel: Domain: firma.de - Betrifft alle Mails mit der Domain partnerfirma.de
- Betrifft alle Mails, von Mailservern aus der Domainpartnerfirma.de
- unabhängig vom Sender oder Empfänger der Mail. Hier wird die IP, der Hostname oder die Domain des Mailservers ausgewertet, der die Mail zustellen möchte. Beispiel: Domain:
Aktion
- Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet.
- Mails werden abgewiesen.
- Mails werden angenommen und an ein lokales Postfach zugestellt, aber nicht weitergeleitet.
Da es einerseits keine lokalen Postfächer auf der Securepoint Appliance gibt und andererseits alle Mails, für die kein Relay-Eintrag existiert, ohnehin abgewiesen werden, ist "RELAY" an dieser Stelle die einzig sinnvolle Option.
Um also alle Mails zu relayen, die für Empfänger der eigenen Domain bestimmt sind, muss ein Eintrag mit der Domain "firma.de", der Option "To:" und der Aktion "RELAY" konfiguriert werden.
Ist die Option Exakten Domainnamen für das Relaying verwenden: aktiviert, reagiert das Relay nur auf den in der Liste eingetragenen Domainnamen und nicht auf nicht eingetragene Subdomains oder Erweiterungen.
Beispiel:
In die Relayliste eingetragene Domain: securepoint.de
Von Mailrelay akzeptiert wenn Option aktiv |
Von Mailrelay akzeptiert wenn Option inaktiv |
---|---|
@securepoint.de | @securepoint.de @support.securepoint.de @securepoint.de.com |
Abschnitt: Einstellungen
TLS Verschlüsselung für das Mailrelay aktivieren: um was zu tun?
CA: Auswahl der
Zertifikat: Auswahl des dazugehörigen
SMTP Routen
Hier muss eingestellt werden, an welchen Mailserver eine entgegengenommene Mail weitergeleitet werden soll. Falls dies nicht geschieht, wertet das Mail-Relay den MX-Record der Empfänger-Domain aus - der auf das Relay selbst zeigt! Es wird dann ein sogenannter "Loopback" erkannt, durch den die Annahme der Mail mit einer entsprechenden Fehlermeldung abgebrochen wird. Im Folgenden können dann auch weitere Domains auf den gleichen oder auf andere Mailserver weitergeleitet werden.
Mit dem Button
werden weitere Routen angelegt.Erforderliche Angaben dabei:
Domain: Maildomain
Mailserver: entweder als fqdn oder die IP-Adresse
In der Rubrik [[Beschriftung|-Einstellungen-}} kann die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.
Für E-Mail-Adresse überprüfen: Stehen folgende zur Verfügung:
- über
Hinweis: Die Validierung muss ebenso am Mailserver aktiv sein! (Recipient Verification z.B. bei einem Exchange)
, indem die Securepoint Appliance im Hintergrund den internen Mailserver abfragt. - über
Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten.
, indem die Securepoint Appliance beispielsweise den Active Directory-Server abfragt. - über eine , in der alle bekannten Adressen stehen.
Mit
können Mail-Adressen hinzugefügt und entfernt werden.
Greylisting
Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird. Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.
Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.
Whitelist
Die Whitelist erlaubt folgende Einträge:
- IP / Netzwerke Hier können einzelne IP-Adressen oder Netzwerke hinzugefügt werden z.B.:
10.0.0.0/8
- Domains Hier können einzelne Domains hinzugefügt werden z.B.:
Maildomain.net
Wichtig Die Domain des Mailservers muss nicht identisch mit der E-Mail Domain des Absender sein. Beispiel: Absenderuser@example.net
aber Mailservermta.mailserverdomain.net
- Empfänger Hier können einzelne Empfänger hinzugefügt werden z.B.:
MailUser@Maildomain.de
- Absender Hier können einzelne Absender hinzugefügt werden z.B.:
MailSender@Maildomain.org
Um eine komplette E-Mail Domain in die Whitelist mit aufzunehmen, wird dieser Eintrag als Regulärer Ausdruck eingetragen:/.*@example\.net/
Wo liegt der effektive Unterschied zu Domain?
Einstellungen
Greylisting aktivieren: aktiviert die Funktion
SPF aktivieren: Das SPF ist besonders für große Absender-Domains sehr wichtig, um die Verzögerung der Mail-Zustellung möglichst gering zu halten.
Automatisches Whitelisten für: Vorgabe 7
Tage. Für diesen Zeitraum werden Mails sofort entgegengenommen.
Verzögerung: macht was?
Achtung: Greylisting erzeugt einen möglichen Nachteil: Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden. Alternativ kann auch auf den Einsatz der Erweitert Greeting Pause ausgewichen werden.
Die Grundkonfiguration ist damit beendet. Die Securepoint Appliance ist nun voll funktional als Mail-Relay mit Spam- und Virenschutz für eingehende E-Mails einsetzbar. Soll das Mail-Relay auch für ausgehende Mails verwendet werden, sind weitere Konfigurationsschritte notwendig.
Domain Mapping
Domain Mapping tut tolle Sachen.
Mit
Dazu muss jeweils eine Quell-Domain: und eine Ziel-Domain: angegeben werden.
Erweiterte Einstellungen
Auf der Registerkarte "Erweitert" befinden sich weitere Optionen zur Vermeidung von Spam, die jeweils einzeln aktiviert werden können:
Greeting Pause
- Greeting pause:
2000
Milisekunden (Standardwert). Zeit, in der der Mailserver die Greetingzeile auswertet, bevor er SMTP-Kommandos sendet, um die Mailzustellung einzuleiten.
Helo
- HELO benötigt: ????
Recipient flooding verhindern:
- Verzögerung nach:
2
(Standardwert). Anzahl fehlgeschlagener Zustellungsversuche (z.B. aufgrund von fehlgeschlagener Adressvalidierung), bevor Anfragen nur noch verzögert beantwortet werden.
Empfängerbeschränkung aktivieren:
- {{Beschriftung| Limit:
25
(Standardwert). Diese Option blockiert Mails, die mehr als eine einstellbare Zahl Empfängeradressen aufweisen
Verbindungslimit:
- {{Beschriftung| Erlaubte Verbindungen pro Sekunde:
5
(Standardwert). Hier kann eingestellt werden, wie viele Verbindungen das Mail-Relay pro Sekunde annimmt. "Befreundete" Mailserver können mit in einer Ausnahmeliste von dieser Limitierung ausgenommen werden.
Rate Kontrolle:
- Hier kann konfiguriert werden, wie viele Verbindungen pro Host: innerhalb eines einstellbaren Zeitraums (Time frame:) aufgebaut werden können. (Standardwerte:
5
Verbindungen in60
Sekunden. Auch hier ist es möglich, bekannte Mailserver als von dieser Limitierung auszunehmen.
Reverse DNS lookup
- Reverse DNS lookup benötigt: kann ggf. aktiviert werden
Unauflösbare Domains
- Unauflösbare Domains akzeptieren: kann ggf. aktiviert werden
Konfiguration des Mail-Relay für ausgehende Mails
Um wirklich sicherzugehen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mail-Relay auch für ausgehende Mails verwendet werden.
Regelwerk
Um den Zugriff auf das Mail-Relay zu erlauben, muss den zum Mailversand berechtigten Hosts der Zugriff auf die entsprechende Schnittstelle der Securepoint Appliance (abhängig von der Zone, in der sich die Hosts befinden) über das Protokoll SMTP erlaubt werden. Dies kann je nach Anforderung ein einzelner Host (z.B. der Mailserver), eine Gruppe von Hosts oder das gesamte Netzwerk sein. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mail-Relay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben.
Um z.B. dem internen Netzwerk den Zugriff auf das Mail-Relay zu gestatten, kann das Regelwerk mit den vordefinierten Netzwerkgruppen erstellt werden:
Soll nur der Mailserver Mails versenden können, muss dieser zunächst als Netzwerkobjekt angelegt werden:
Dieses Objekt kann dann in der Firewall-Regel verwendet werden:
Soll einer bestimmten Gruppe von Rechnern im internen Netzwerk gestattet sein, das Mail-Relay zu benutzen, dann müssen diese Rechner jeweils als Netzwerkobjekt angelegt werden. Diese können dann in einer Gruppe zusammengefasst werden (z.B. "SMTP-Berechtigte").
Konfiguration Relaying
Damit das Mail-Relay die Mails aus dem internen Netz bzw vom Mailserver auch annimmt, müssen die Einstellungen im Reiter Relaying um einen entsprechenden Eintrag ergänzt werden. Als Kriterium dient uns die Netzwerkadresse des entsprechenden Subnetzes bzw. die IP-Adresse des betreffenden Rechners:
Domain 192.168.175.100
oder 192.168.175.30/30
Option
Aktion