Wechseln zu:Navigation, Suche
Wiki

UMA/Konfig/Anpassung der Firewall: Unterschied zwischen den Versionen

Aus Securepoint Wiki
Zum nächsten Versionsunterschied →
Die Seite wurde neu angelegt: „{{Set_lang}} {{#vardefine:headerIcon|spicon-uma}} {{:UMA/Konfig/Anpassung der Firewall.lang}} {{var | neu--Layout | Layoutanpassung | }} {{var | neu--Ports | Weitere Ports erforderlich: Port 123 (ntp) und Port 443 (zum Abruf) | }} {{var | neu--Zeitstempel | Freigabe: tsa.exceet.cloud für Zeitstempel | }} {{var | URL-UTM | {{Hover|Admin Interface der UTM |UTM-IP:Port oder UTM-U…“
 
KKeine Bearbeitungszusammenfassung
Zeile 6: Zeile 6:
{{var | neu--Layout
{{var | neu--Layout
| Layoutanpassung
| Layoutanpassung
| }}
| Layout adjustment }}
{{var | neu--Ports
{{var | neu--Ports
| Weitere Ports erforderlich: [[#Port Eingang | Port 123 (ntp)]] und [[#Port Ausgang | Port 443 (zum Abruf)]]
| Weitere Ports erforderlich: [[#Port Eingang | Port 123 (ntp)]] und [[#Port Ausgang | Port 443 (zum Abruf)]]
| }}
| Additional ports required: [[#Port_Eingang | Port 123 (ntp)]] and [[#Port_Ausgang | Port 443 (for retrieval)]]. }}
{{var | neu--Zeitstempel
{{var | neu--Zeitstempel
| Freigabe: tsa.exceet.cloud für [[#Zeitstempel | Zeitstempel]]
| Freigabe: tsa.exceet.cloud für [[#Zeitstempel | Zeitstempel]]
| }}
| Release: tsa.exceet.cloud for [[#Timestamp | Timestamp]] }}


{{var | URL-UTM
{{var | URL-UTM
Zeile 18: Zeile 18:
| {{Hover|Admin Interface of the UTM |UTM-IP:Port or UTM-URL:Port<br>Port as configured at Network / Appliance Settings / Webserver <br>Default-Port:&#09;11115<br>i.e.:&#09;&#09;&#09;https://utm.ttt-point.de:11115<br>Default:&#09;&#09;https://192.168.175.1:11115}} }}
| {{Hover|Admin Interface of the UTM |UTM-IP:Port or UTM-URL:Port<br>Port as configured at Network / Appliance Settings / Webserver <br>Default-Port:&#09;11115<br>i.e.:&#09;&#09;&#09;https://utm.ttt-point.de:11115<br>Default:&#09;&#09;https://192.168.175.1:11115}} }}


</div>{{TOC2}}
</div>{{Select_lang}}{{TOC2}}
{{Header|3.3|
{{Header|3.3|
* {{#var:neu--Ports}}
* {{#var:neu--Ports}}

Version vom 25. Oktober 2023, 16:32 Uhr




























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden










































{{var | Anpassen des Mailfilters--desc

| In Anwendungen Mailfilter wird im Reiter Filterregeln überprüft, ob die Regeln Spam_SMTP und Spam_POP3-Proxy aktiviert Ein sind
Das bewirkt, dass eine E-Mail die von der Firewall als Spam deklariert wird, eine vordefinierte Nachricht im Betreff erhält (in diesem Fall "[SPAM]" bzw. "[PROBABLY_SPAM]") und an den internen Mailserver weitergeleitet wird. Der Mailserver filtert seinerseits nun die ankommenden E-Mails im Betreff nach dieser Nachricht und schiebt diese dann in einen Junk-Ordner. So können die Benutzer intern selber entscheiden, ob die E-Mails für sie von Belang sind oder nicht.
| In Applications Mailfilter , the Filter rules tab checks if the rules Spam_SMTP and Spam_POP3-Proxy are enabled Vorlage:ButtonOn
This causes an email declared as spam by the firewall to receive a predefined message in the subject (in this case "[SPAM]" or "[PROBABLY_SPAM]".) and forwarded to the internal mail server. The mail server, for its part, now filters the incoming emails for this message in the subject and then pushes them into a junk folder. This allows users to decide for themselves within the company whether the emails are relevant to them or not.
































Anpassung der Firewall an das UMA

Letzte Anpassung zur Version: 3.3(02.2023)

Neu:
notempty
Dieser Artikel bezieht sich auf eine Beta-Version
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 → Firewall →Portfilter


Einleitung

Einleitung

Das UMA wird in der Regel in einem internen Netz einer vorgeschalteten Firewall, bzw. einem Router mit Firewall-Funktion eingesetzt. Um volle Funktionalität zu gewährleisten, ist es in einigen Fällen erforderlich, die benötigten Ports für das UMA freizugeben.

Anlegen der Netzwerkobjekte und Firewall-Regeln für SMTP

Anlegen der Netzwerkobjekte und Firewall-Regeln für SMTP
In der UTM unter Firewall Paketfilter Reiter Netzwerkobjekte wird ein Netzwerkobjekt für den Exchange-Server angelegt. Dazu auf die Schaltfläche Objekt hinzufügen geklickt.
Beschriftung Wert Beschreibung
Name: Exchange-Server Der Name des Netzwerkobjekts
Typ: Host Als Typ Host auswählen
Adresse: 192.168.175.111 Die Adresse des Exchange-Servers eintragen
Zone: internal Als Zone, in der der Server sich befindet, auswählen
Gruppen:     Eine Gruppe kann hinzugefügt werden
Die Netzwerkobjekte für die externe und interne Schnittstelle, das Internet sowie für den Dienst SMTP mit dem Port 25, NTP mit Port 123 und HTTPS mit Port 443 sind normalerweise bereits vorkonfiguriert. Sollte dieses nicht der Fall sein, müssen die fehlenden Objekte und Dienste noch angelegt werden.
In Firewall Paketfilter wird mit der Schaltfläche Regel hinzufügen eine Portfilter-Regel hinzugefügt. Es werden zwei Portfilter-Regeln hinzugefügt.
Folgende Regel erlaubt der Firewall die Annahme von E-Mails auf dem externen Interface über den eingestellten Port aus dem Internet.
Beschriftung Wert Beschreibung
Aktiv: Ein Regel aktivieren
Quelle: internet
Ziel: external-interface
Dienst: ntp-tcp Den benötigten Dienst auswählen
Aktion: Accept
Logging: None - nicht protokollieren
Gruppe: default Die Regel kann einer existierenden Gruppe zugewiesen werden
Diese Regel erlaubt die Annahme von E-Mails auf dem internen Interface vom Mailserver über den jeweiligen Port, was für das Prüfen von ausgehenden E-Mails auf Viren erforderlich ist.
Beschriftung Wert Beschreibung
Aktiv: Ein Regel aktivieren
Quelle: Exchange-Server Das Netzwerkobjekt des verwendeten internen Mailservers. Das Netzwerkobjekt muss gegebenenfalls erstellt werden.
Ziel: internal-interface Das Interface der Zone, in der das Netzwerkobjekt liegt
Dienst: smtp Den benötigten Dienst auswählen
Aktion: Accept
Logging: None - nicht protokollieren
Gruppe: default Die Regel kann einer existierenden Gruppe zugewiesen werden
Die folgenden Regeln werden ebenfalls erstellt.
Aktiv: Ein Regel aktivieren
Quelle: Exchange-Server Das Netzwerkobjekt des verwendeten internen Mailservers. Das Netzwerkobjekt muss gegebenenfalls erstellt werden.
Ziel: internal-interface Das Interface der Zone, in der das Netzwerkobjekt liegt
Dienst: ntp-tcp Den benötigten Dienst auswählen
Aktion: Accept
Logging: None - nicht protokollieren
Gruppe: default Die Regel kann einer existierenden Gruppe zugewiesen werden
Aktiv: Ein Regel aktivieren
Quelle: Exchange-Server Das Netzwerkobjekt des verwendeten internen Mailservers. Das Netzwerkobjekt muss gegebenenfalls erstellt werden.
Ziel: internal-interface Das Interface der Zone, in der das Netzwerkobjekt liegt
Dienst: ntp-udp Den benötigten Dienst auswählen
Aktion: Accept
Logging: None - nicht protokollieren
Gruppe: default Die Regel kann einer existierenden Gruppe zugewiesen werden

Zeitstempel

Zeitstempel
Für die Signatur des Zeitstempels und der Zeitsynchronisation werden ebenfalls eine Firewall-Regel benötigt.
In Firewall Netzwerkobjekte wird über Objekt hinzufügen das Netzwerkobjekt erstellt.
Beschriftung Wert Beschreibung
Name: Zeitstempel Der Name des Netzwerkobjekts
Typ: Hostname Als Typ Hostname auswählen
Hostname: tsa.exceet.cloud Den Hostnamen tsa.utimaco.com eintragen
Zone: external Als Zone, in der der Server sich befindet, auswählen
Gruppen:     Eine Gruppe kann hinzugefügt werden
In Firewall Paketfilter wird mit der Schaltfläche Regel hinzufügen eine entsprechende Regel hinzugefügt.
Aktiv: Ein Regel aktivieren
Quelle: Zeitstempel Das Netzwerkobjekt der UMA. Muss gegebenenfalls noch erstellt werden.
Ziel: internal-interface Das Netzwerkobjekt des erstellten Zeitstempelservers
Dienst: https Den benötigten Dienst auswählen
Aktion: Accept
Logging: None - nicht protokollieren
Gruppe: default Die Regel kann einer existierenden Gruppe zugewiesen werden



Konfigurieren des Mailrelays

Konfigurieren des Mailrelays
Anwendungen Mailrelay öffnen.
Damit die ankommenden Mails ordnungsgemäß auf Viren überprüft, nach Spam gefiltert und dann an den internen Mailserver weitergeleitet werden können, muss im nächsten Schritt das Mailrelay konfiguriert werden.
Im Reiter Allgemein wird eine Postmaster E-Mail-Adresse eingetragen und die maximale E-Mailgröße für ankommende sowie zu versendende E-Mails festgelegt

Relaying

Relaying
Im Reiter Relaying wird mit der Schaltfläche Domain/Host hinzufügen zwei Domänen hinzugefügt.
Beschriftung Wert Beschreibung
Domain: 192.168.175.111 Die IP-Adresse des Mailservers
Option: None Es wird keine Option ausgewählt
Aktion: Relay Diese Aktion auswählen
Zur Annahme von E-Mails mit der IP des Mailservers.
Domain: mydomain.de Die Domain des Mailservers
Option: To Diese Option auswählen
Der Eintrag der Domain mit der Option To erlaubt die Annahme aller E-Mails der eingetragenen Domain im Empfänger.
Aktion: Relay Diese Aktion auswählen

SMTP Routen

SMTP Routen
Im Reiter SMTP Routen wird mit der Schaltfläche SMTP-Routing hinzufügen eine neue SMTP Route erstellt.
Beschriftung Wert Beschreibung
Domain: mydomain.de Die gewählte Domain eintragen
Mailserver: 192.168.175.111 Die IP-Adresse des Mailservers eintragen
Diese Route gibt an, dass alle ankommenden E-Mails an den internen Server weitergeleitet werden.
Unter
Einstellungen
 kann E-Mail-Adresse überprüfen: SMTP ausgewählt werden.
Das hat zur Folge, dass E-Mails an unbekannte Empfänger, die nicht auf dem Mailserver hinterlegt sind, abgelehnt werden.
So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre E-Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.
Im Reiter Erweitert wird unter
Greeting Pause
 der Status: aktiviert Ein.
Ähnlich wie das Graylisting macht sich die Greeting Pause zu Nutze, dass in durch Viren und Trojaner verbreitete Spambots das SMTP-Protokoll nicht zur Gänze implementiert ist, um diese von regulären Mailservern zu unterscheiden.
Das Greeting ist eine Textzeile, die vom Mail-Relay an den sendenden Mailserver übermittelt wird. z.B:
220 firewall.foo.local ESMTP Sendmail 8.14.4/8.14.4; Tue, 8 Mar 2011 14:29:30 +2000
Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er SMTP-Kommandos sendet, um die Mailzustellung einzuleiten.
Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen, Kommandos zu senden, da dieser Aspekt des SMTP-Protokolls aus Platzgründen höchstwahrscheinlich ebenso wenig wie ein wiederholter Zustellungsversuch implementiert ist. In diesem Fall wird das Mail-Relay keine Kommandos mehr entgegennehmen.


Anpassen des Mailfilters

Anpassen des Mailfilters

Abgerufen von „https://wiki.securepoint.de/index.php?title=UMA/Konfig/Anpassung_der_Firewall&oldid=87801