Wechseln zu:Navigation, Suche
Wiki

UTM/APP/Mailfilter: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 14: Zeile 14:
</div>{{Select_lang}}{{TOC2| Bild={{#var:Mailfilter--Bild}}|cap={{#var:Mailfilter}} }}
</div>{{Select_lang}}{{TOC2| Bild={{#var:Mailfilter--Bild}}|cap={{#var:Mailfilter}} }}
{{Header|12.5.2|
{{Header|12.5.2|
<!-- * {{#var:neu--Kriterium}} v12.6-->
* {{#var:neu--TNEF Default}}
* {{#var:neu--TNEF Default}}
* {{#var:neu--URL-Kategorie}} <small>v12.5.0</small>
* {{#var:neu--URL-Kategorie}} <small>v12.5.0</small>

Version vom 17. Oktober 2023, 14:13 Uhr




























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden
















































































































Beschreibung des Mailfilters

Letzte Anpassung zur Version: 12.5.2

Neu:
notempty
Dieser Artikel bezieht sich auf eine Beta-Version


Einführung

Um festzustellen, ob es sich bei einer eingehenden Mail um Spam handelt, können der POP3-Proxy, das Mailrelay und der Mail-Connector eingehende E-Mails an den Mailfilter übergeben.
Der Mailfilter setzt sich zusammen aus:

  • einem Spamfilter
  • einem Antivirus Dienst Nur bei Systemen mit mind. 3GB RAM!
  • dem Securepoint Content-Filter
  • und einem URL Filter

Wird innerhalb der E-Mail ein Web-Link gefunden, der auf den URL-Filter passt oder der vom Content-Filter erkannt wird, erscheint statt dem Inhalts-Abschnitt der E-Mail eine frei editierbare Ersatzmeldung.
Durch den Einsatz des Mail-Connectors ist es möglich, neben POP3 auch E-Mails die mit IMAP sowie den beiden verschlüsselten Varianten abgeholt werden, durch den Mailfilter zu überprüfen. Im Mailarchiv der UTM werden Mails abgelegt, die anhand einer Filterregel in Quarantäne genommen wurden.
E-Mails, die von der UTM weitergeleitet und zugestellt wurden (HAM), sind dann im Mailarchiv nicht mehr zu finden, wenn diese Option nicht ausdrücklich aktiviert wird.


Voraussetzung

notempty
Damit der Mailfilter Mails erhält, muss der POP3-Proxy, das Mailrelay oder der Mail-Connector konfiguriert sein.


Filterregeln

Filterregeln

Übersicht

Über die Filterregeln wird entschieden, wie mit E-Mails, bei denen definierte Eigenschaften erkannt wurden, verfahren wird. Dabei wird zwischen den Protokollen SMTP und POP3 sowie dem Mail-Connector unterschieden.
Über den Mail-Connector ist die UTM in der Lage, E-Mails über die Protokolle POP3 und IMAP und deren verschlüsselten Varianten POP3S und IMAPS von einem Mailserver abzuholen und mit dem Mailfilter auf Spam und Schadsoftware zu überprüfen.
Weiterhin wird zwischen den Protokollen POP3 und SMTP unterschieden.
Wenn das Mailrelay genutzt wird, lautet das Protokoll SMTP. Bei Verwendung des POP3-Proxy wird das Protokoll POP3 ausgewählt.


Mit + Regel hinzufügen wird eine neue Filterregel erstellt.
Es muss ein eindeutiger Regelname vergeben werden. Mit Kriterien mit und -Operator verbinden wird festgelegt,

  • ob alle Kriterien erfüllt sein müssen ( und )
  • oder ob es ausreichend ist, wenn nur ein Kriterium der Filterregel erfüllt wird ( oder ).



Kriterien

Eine Filterung nach den im folgenden genannten Kriterien ist möglich. Mithilfe der Schaltfläche unten rechts lassen sich mehrere Bedingungen kombinieren.

Operator Wert
und Protokoll ist
ist nicht		 SMTP
Mail-Connector
POP3
und Quellhost ist
ist nicht
enthält
enthält nicht
passt auf Regex
Siehe Wiki-Artikel über Regex.

endet auf
endet nicht auf 		»beliebige Werte
und Zielhost siehe Quellhost
und Sender siehe Quellhost
und Empfänger siehe Quellhost
und Header-Feld
zusätzlich: Angabe des Header-Feldes
 siehe Quellhost
und weitere Untersuchungen werden empfohlen / sind nicht zwingend notwendig Die Spamfilter-Engine erwartet, daß sich die Kategorie dieser E-Mail in den nächsten 15 Minuten noch ändern könnte.
und stammt von einem / stammt nicht von einem authentifizierten Benutzer
und mit Inhalt dessen
MIME-Type oder
Dateiname
siehe Quellhost
und DKIM-Ergebnis für Domäne
    Eingabe der Domäne
»fail »pass »temperror




»fail Signatur ungültig
»pass Signatur gültig
»temperror
und SPF-Ergebnis für Domäne
    Eingabe der Domäne
»fail »neutral »pass »permerror »softfail »temperror



»fail Client-Host explizit nicht autorisiert
»neutral keine explizite Aussage getroffen
»pass Prüfung erfolgreich
»permerror Fehler (z.B. Syntax) in DNS Resource Records
»softfail nicht explizit unautorisiert, aber auch nicht autorisiert ("~"-qualifier im DNS RR)
»temperror meist: Fehler in der DNS-Auflösung; generell: Fehler, der zu einem späteren Zeitpunkt ggf. nicht mehr auftritt
pass
quarantine
reject


Weder SPF noch DKIM stellen irgendwelche Anforderungen an einen Zusammenhang zwischen der sendenden respektive signierenden Domain und weiteren Merkmalen der E-mail (z. B. Headerfelder). D.h., jeder, der die Kontrolle über DNS Einträge für eine beliebige Domain hat kann unter Angabe dieser im "MAIL FROM"-Kommando im Sinne von SPF gültige ("pass") SMTP-Transaktionen durchführen oder im Sinne von DKIM gültige Signaturen für diese Domain erstellen.

Deswegen kann mittels DMARC (https://tools.ietf.org/html/rfc7489) eben jener Zusammenhang hergestellt werden: Eine DMARC-Prüfung ist nur erfolgreich, wenn entweder SPF oder DKIM Prüfungen gültig sind und die jeweils verwendete Domain mit der im "From"-Headerfeld der E-mail verwendeten Domain übereinstimmt (je nach Option gleich oder eine Subdomain). Zusätzlich kann über DMARC ein Domain-Besitzer definieren, welche Aktion (reject, quarantine) durchgeführt werden soll, wenn die Prüfung nicht erfolgreich ist.


Mit dem + Button können weitere Kriterien für diesen Filter hinzugefügt werden.


Aktionen

Bei Aktionen ausführen: stehen folgende Optionen zur Verfügung:

  • Die Prüfung auf das Regelwerk wird bei den Aktionen
    • zutreffenden Inhalt filtern und
    • E-Mail im Betreff markieren mit
    nicht abgebrochen, sondern fortgeführt.
    Weitere Filterregeln können auf diese E-Mails angewendet werden.
  • In allen anderen Aktions-Fällen wird, sofern die Kriterien zutreffen, die Prüfung auf das Regelwerk nach der Aktion beendet.
Aktion Beschreibung
E-Mail annehmen Nimmt die E-Mail an. Die Prüfung auf das Regelwerk wird beendet.
E-Mail ablehnen
Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!
notempty
Bei der Verwendung des Mail-Connectors wird von dieser Funktion dringend abgeraten.
Weder der Absender noch der Empfänger erhalten eine Benachrichtigung darüber, daß die E-Mail abgelehnt wurde!
E-Mail in Quarantäne aufnehmen und erneut filtern nach: Zusätzlich Eingabe der Quarantänedauer in Minuten. Beispiel: 30 Minuten
Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!
E-Mail in Quarantäne nehmen (und eine vordefinierte Zeit (siehe Einstellungen) zur Ansicht vorhalten)
Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!
E-Mail verwerfen
Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden!
zutreffenden Inhalt filtern bzw. abweichenden Link markieren Markiert alle Links in einer E-Mail mit ℹ️. Text, der wie ein Link aussieht, aber zu eine anderen Adresse verweist wird mit ⛔ gekennzeichnet.
E-Mail im Betreff markieren mit Text, mit dem der Betreff so ergänzt wird, daß die Mail kenntlich gemacht wird und z. B. vom Mailserver in einen entsprechenden Ordner verschoben werden kann.



Filterregel verschieben





URL-Filter

URL-Filter

URL-Filter mit einigen Filtern

Text für E-Mails, die wegen der beinhalteten URLs gefiltert wurden.











Regel hinzufügen
Regel hinzufügen
Typ: Domain anyideas.com Domain in Klartext-Schreibweise. Es wird auf alle Subdomains und Unterseiten gefiltert. Regel hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungen Filterregel
Typ: URL *.anyideas.com/pages/* Es wird nur auf exakt die URL gefiltert (Wildcard * ist möglich)
Typ: URL Regex .*\.anyideas\.com URL im Regex Format, das zahlreiche Platzhalter erlaubt
Syntax der Regulären Ausdrücke - Regex
Typ: Kategorie Unbekannt
  • Von Securepoint gepflegte Content Filter Liste.
    Eine Übersicht mit allen Kategorien ist hier zu finden.
  • Kategorie: Unbekannt
    Damit lässt sich der Zugriff auf alle Webseiten blockieren, die bisher von Securepoint nicht klassifiziert wurden
    • Meldung versehentlich falsch kategorisierter Seiten erfolgt hier.



    Einstellungen

    Hier besteht die Möglichkeit, einen Spamreport erstellen zu lassen, die Blocking-Meldungen zu ändern und zu definieren, nach welchen Kriterien die E-Mails im Mailarchiv der UTM vorgehalten werden.

    Spamreport

    Spamreport



























    Der Spamreport kann in bestimmten Intervallen die E-Mail Benutzer über von der UTM gefilterte, geblockte oder in Quarantäne genommene E-Mails informieren. Dieser Report kann entweder an einem bestimmten Wochentag oder Täglich, zu einer bestimmten Uhrzeit versendet werden.

    Aktion Wert Beschreibung Mailfilter UTMbenutzer@firewall.name.fqdnAnwendungen Mailfilter-Log Einstellungen Spamreport
    Berichte aktivieren: Keine
    (Default)    		 Es werden keine Spamreports versendet.
    Benutzer Es werden Berichte an die Benutzer versendet.
    Benutzer und Admin Es werden Berichte an die Benutzer und eine Übersicht an den Administrator versendet.
    Zustellbedingung: Immer zustellen
    (Default)    		 Es wird auf jeden Fall ein Spam-Report gesendet.
    Nicht angenommen Es wird nur dann ein Spam-Bericht zugestellt, wenn mindestens eine E-Mail gefiltert, quarantänisiert oder abgelehnt wurde.
    Quarantänisiert oder gefiltert Es wird nur dann ein Spam-Bericht zugestellt, wenn mindestens eine E-Mail Quarantänisiert oder gefiltert wurde.
    Alternativer Hostname / IP:     Falls über eine externe IP oder einen anderen Hostnamen auf das Webinterface mit dem Mailserver zugegriffen werden soll.
    Tag: Montag Dieser Report kann entweder an einem bestimmten Wochentag oder jeden Tag versendet werden.
    1. Bericht notempty
    aktualisiert

    20 : 00 Uhr    		 Legt die Uhrzeit für das Versenden des Berichts fest
    2. Bericht
    3.Bericht
    4. Bericht    		 Aus Bei täglichen Berichten, können insgesamt vier Berichte zu festgelegten Zeiten versendet werden.

    Damit der Report den E-Mail Benutzer auch erreicht, ist es notwendig, dass sich dieser in einer Gruppe befindet, die die Berechtigung Spamreport beinhaltet.

    Sind mehrere Mailadressen für einen Benutzer in einem AD hinterlegt, wird der dort als Primäre SMTP-Adresse konfigurierte Eintrag als Default-Adresse verwendet.

    Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer Gruppe unter Authentifizierung Benutzer hinzufügen Die Einstellung dazu erfolgt im Menü
    Authentifizierung Benutzer Gruppen + Gruppe hinzufügen bzw. bearbeiten unter Berechtigungen:
    Hier müssen folgende Abschnitte aktiviert werden:

    Spamreport
    Ein aktiviert die Erstellung des Spamreports
    Userinterface
    Ein Die E-Mail Adresse kann aus einem Verzeichnis-Server wie ActiveDirectory oder LDAP entnommen werden, wenn die UTM daran angebunden ist. Ansonsten muss der Benutzer mit seiner E-Mail-Adresse auf der UTM angelegt werden.

    Die E-Mail Adresse kann aus einem Verzeichnis-Server wie ActiveDirectory oder LDAP entnommen werden, wenn die UTM daran angebunden ist. Ansonsten muss der Benutzer mit seiner E-Mail-Adresse auf der UTM angelegt werden.

    Im Abschnitt Mailfilter müssen weitere Einstellungen vorgenommen werden, u.a. wird dort die E-Mail Adresse hinterlegt, an die Berichte gesendet werden:





  • <This function may allow the downloading of viruses and should therefore only be allowed for experienced users!/li> }}
    • Beschriftung Default Beschreibung
    Herunterladen von folgenden Anhängen erlauben: Keine (Default) Mitglieder dieser Gruppe können im User-Interface Anhänge von Mails herunterladen, die bestimmte Kriterien erfüllen.
    Gefiltert, aber nicht quarantänisiert
    Quarantänisiert, aber nicht gefiltert
  • Diese Funktion ermöglicht u.U. das herunterladen von Viren und sollte daher nur versierten Benutzern erlaubt werden!
    • Quarantänisiert und/oder gefiltert
  • Diese Funktion ermöglicht u.U. das herunterladen von Viren und sollte daher nur versierten Benutzern erlaubt werden!
    • Weiterleiten von folgenden E-Mails erlauben:
  • Die Berechtigung Mailfilter Administrator überschreibt diese Konfiguration mit dem Default Wert. notempty
    aktualisiert
    		•  Keine Mitglieder dieser Gruppe können im User-Interface E-Mails weiterleiten, die bestimmte Kriterien erfüllen.
    Gefiltert, aber nicht quarantänisiert
    Quarantänisiert, aber nicht gefiltert (Default)
  • Diese Funktion ermöglicht u.U. das weiterleiten von Viren und sollte daher nur versierten Benutzern erlaubt werden!
    • Quarantänisiert und/oder gefiltert
  • Diese Funktion ermöglicht u.U. das weiterleiten von Viren und sollte daher nur versierten Benutzern erlaubt werden!
    • Bericht E-Mail-Adresse:     E-Mail-Adresse, an die ein Spam-Report versendet wird.
    Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet.
    Sind mehrere Mailadressen für einen Benutzer in einem AD hinterlegt, wird der dort als Primäre SMTP-Adresse konfigurierte Eintrag als Default-Adresse verwendet.

    Sprache der Berichte: Default Vorgabe unter Netzwerk Servereinstellungen
    Firewall
    Sprache der Berichte
    Es kann gezielt ausgewählt werden: Deutsch bzw. Englisch
    E-Mail-Adressen
    E-Mail-Adresse Eintragen einer Mail-Adresse in die Liste
    support@ttt-point.de E-Mailkonten, die von Mitgliedern dieser Gruppe eingesehen werden können, um den Mailfilter zu kontrollieren.
    Löschen mit

    Spamreport an den User.




    Ersatzmeldungen

     Ersatzmeldungen 
    Ersatzmeldungen

    Hier werden Texte definiert, die anstatt des blockierten E-Mail Abschnitts (Plain-Text, formatierter Text oder Anhang) angezeigt werden sollen. Mit dem Bearbeitern-Werkzeug können die Texte geändert werden.


    Typ: Default-Nachricht Beschreibung
    Content-Blocking
    The content is rejected due content restrictions. If you think this is incorrect, please contact the IT Service Desk.
    		 Text für E-Mails, die wegen Ihres Inhalts oder Anhangs geblockt wurden.
    URL-Filter
    The content is rejected due content restrictions. If you think this is incorrect, please contact the IT Service Desk.
    		 Text für E-Mails, die wegen der beinhalteten URLs gefiltert wurden.
    Virus-Blocking
    The content is rejected due content restrictions. If you think this is incorrect, please contact the IT Service Desk.
    		 Text für E-Mails, die wegen einer Viruserkennung geblockt wurden.



    Mailarchiv

    Mailarchiv
    Einstellungen Mailarchiv unter Anwendungen Mailfilter  Bereich Einstellungen Abschnitt
    Mailarchiv

    Vorgaben, wie E-Mails im Quarantäne-Archiv der UTM vorgehalten werden.


    Default Beschreibung
    Maximale E-Mail-Anzahl: 1024 Gibt an, wie viele Mails lokal auf der UTM vorgehalten werden.
    Maximales E-Mail Alter: 7 Tage Definiert die Zeit der Vorhaltung.
    Maximale Archivgröße: 128 Benennt den Speicherplatz, der Mails zur Verfügung steht. Bei erreichen der Grenze, werden die ältesten Mails gelöscht.
    Alle E-Mail Transaktionen speichern: Aus Bei Aktivierung werden zusätzlich zu den voll­ständigen gefilterten und abgelehnten Mails auch die Meta-Informationen zu unbeanstandeten Mails gespeichert.
    Erneutes Zustellen als Anhang: Aus E-Mails in der Quarantäne können alternativ auch als Anhang in einer neuen E-Mail versendet werden.
    || Ein Default ||



    Abschluss

    Abschluss der Konfiguration mit Speichern.

    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/APP/Mailfilter&oldid=87708