KKeine Bearbeitungszusammenfassung |
Andreb (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
| Zeile 10: | Zeile 10: | ||
| Best practice on mail security }} | | Best practice on mail security }} | ||
{{var | disclaimer | {{var | disclaimer | ||
| Dieser Artikel ist ein Best Practice zum Thema Mail-Security. <br>Dies sind Einstellungen, die von uns empfohlen werden.<br>'''Ohne Gewähr auf Vollständigkeit !''' | | Dieser Artikel ist ein Best Practice zum Thema Mail-Security. <br>Dies sind Einstellungen, die von uns empfohlen werden.<br> '''Ohne Gewähr auf Vollständigkeit !''' | ||
| The article describes a best practice for mail security. <br> These are our recommended settings. <br>'''All information provided without guarantee!''' }} | | The article describes a best practice for mail security. <br> These are our recommended settings. <br>'''All information provided without guarantee!''' }} | ||
{{var | Voraussetzungen | {{var | Voraussetzungen | ||
| Zeile 78: | Zeile 78: | ||
| With this option, the mail relay forwards all emails coming from this host regardless of the recipient (open relay). This option should therefore be used with the utmost care, e.g. only for internal mail servers! }} | | With this option, the mail relay forwards all emails coming from this host regardless of the recipient (open relay). This option should therefore be used with the utmost care, e.g. only for internal mail servers! }} | ||
{{var | Eintrag für einen Mailserver | {{var | Eintrag für einen Mailserver | ||
| Eintrag für einen Mailserver, der auf eine | | Eintrag für einen Mailserver, der auf eine Blocklist soll: | ||
| Entry for a mail server that is to be | | Entry for a mail server that is to be blocklisted: }} | ||
{{var | Domain-Mailserver--desc | {{var | Domain-Mailserver--desc | ||
| IP-Adresse des fremden Mailservers | | IP-Adresse des fremden Mailservers | ||
| Zeile 126: | Zeile 126: | ||
| 2=Stellt sicher, dass E-Mails in jedem Falle über eine verschlüsselte Verbindung versendet werden. | | 2=Stellt sicher, dass E-Mails in jedem Falle über eine verschlüsselte Verbindung versendet werden. | ||
<li class="list--element__alert list--element__hint">Falls kein TLS angeboten wird schlägt die Verbindung fehl.</li> | <li class="list--element__alert list--element__hint">Falls kein TLS angeboten wird schlägt die Verbindung fehl.</li> | ||
| 3= }} | | 3=Ensures that emails are always sent via an encrypted connection. | ||
<li class="list--element__alert list--element__hint">If no TLS is offered, the connection will fail.</li> }} | |||
{{var | TLS Verschlüsselung als Client-dane--desc | {{var | TLS Verschlüsselung als Client-dane--desc | ||
| Authentifiziert und verwendet TLS zu DANE-konformen Servern. Funktioniert ansonsten wie {{ic|may|dr}}. | | Authentifiziert und verwendet TLS zu DANE-konformen Servern. Funktioniert ansonsten wie {{ic|may|dr}}. | ||
| Zeile 140: | Zeile 141: | ||
| The mail server should reject emails to addresses without a mailbox during the SMTP dialog. }} | | The mail server should reject emails to addresses without a mailbox during the SMTP dialog. }} | ||
{{var | SMTP Routen--desc | {{var | SMTP Routen--desc | ||
| Die Validierung der Empfänger auf gültige E-Mail Adressen ist bei Verwendung des SMTP-Protokolls zu aktivieren. <br>Dadurch werden nur E-Mails angenommen, welche an einen Empfänger gehen, der auch auf dem Mail-Server vorhanden ist. | | Die Validierung der Empfänger auf gültige E-Mail Adressen ist bei Verwendung des SMTP-Protokolls zu aktivieren.<br> Dadurch werden nur E-Mails angenommen, welche an einen Empfänger gehen, der auch auf dem Mail-Server vorhanden ist. | ||
| Validation of recipients for valid e-mail addresses must be activated when smtp is used. <br>This means that only emails that go to a recipient that is also registered on the mail server are accepted. }} | | Validation of recipients for valid e-mail addresses must be activated when smtp is used. <br>This means that only emails that go to a recipient that is also registered on the mail server are accepted. }} | ||
{{var | E-Mail-Adresse überprüfen | {{var | E-Mail-Adresse überprüfen | ||
| Zeile 156: | Zeile 157: | ||
{{var | LDAP--desc | {{var | LDAP--desc | ||
| Die Securepoint Appliance fragt beispielsweise den Active Directory-Server ab.<br> Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter [[UTM/AUTH/AD_Anbindung|{{Menu-UTM|Authentifizierung|AD/LDAP Authentifizierung}}]] konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten.<br> Außerdem kann LDAP auch mit lokal auf der UTM angelegten Benutzern und deren E-Mail Adressen verwendet werden. | | Die Securepoint Appliance fragt beispielsweise den Active Directory-Server ab.<br> Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter [[UTM/AUTH/AD_Anbindung|{{Menu-UTM|Authentifizierung|AD/LDAP Authentifizierung}}]] konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten.<br> Außerdem kann LDAP auch mit lokal auf der UTM angelegten Benutzern und deren E-Mail Adressen verwendet werden. | ||
| | | For example, the Securepoint appliance queries the Active Directory server.<br> In the case of authentication via LDAP, the corresponding server must be configured under [[UTM/AUTH/AD_Anbindung|{{Menu-UTM|Authentifizierung|AD/LDAP Authentifizierung}}]]. The user does not necessarily have to be the administrator, a user with read authorisation is sufficient.<br> LDAP can also be used with users created locally on the UTM and their e-mail addresses. }} | ||
{{var | Lokale E-Mail-Adressliste | {{var | Lokale E-Mail-Adressliste | ||
| Lokale E-Mail-Adressliste | | Lokale E-Mail-Adressliste | ||
| Zeile 191: | Zeile 192: | ||
| Im Standard wird für jeden Empfänger, der im Mailheader gelistet wird ein weiterer Greylisting Eintrag hinzugefügt.<br> Das kann zu Problemen führen, wenn viele Empfänger im Header stehen.<br> Bei Deaktivierung {{ButtonAus|Nein}} werden keine Greylisting Header eingefügt. | | Im Standard wird für jeden Empfänger, der im Mailheader gelistet wird ein weiterer Greylisting Eintrag hinzugefügt.<br> Das kann zu Problemen führen, wenn viele Empfänger im Header stehen.<br> Bei Deaktivierung {{ButtonAus|Nein}} werden keine Greylisting Header eingefügt. | ||
| By default, an additional greylisting entry is added for each recipient listed in the mail header.<br> This can cause issues if there are many recipients in the header.<br> When disabled {{ButtonAus|No}} no greylisting headers will be inserted. }} | | By default, an additional greylisting entry is added for each recipient listed in the mail header.<br> This can cause issues if there are many recipients in the header.<br> When disabled {{ButtonAus|No}} no greylisting headers will be inserted. }} | ||
{{var | Automatisches | {{var | Automatisches Allowlisten für | ||
| Automatisches Allowlisten für | | Automatisches Allowlisten für | ||
| Automatic allow list for }} | | Automatic allow list for }} | ||
{{var | Automatisches | {{var | Automatisches Allowlisten für--desc | ||
| Der Wert kann auf 60 Tage erhöht werden. | | Der Wert kann auf 60 Tage erhöht werden. | ||
| The value can be increased up to 60 days. }} | | The value can be increased up to 60 days. }} | ||
| Zeile 210: | Zeile 211: | ||
| Time frame given to the sending mail server to make another delivery attempt. }} | | Time frame given to the sending mail server to make another delivery attempt. }} | ||
{{var | Verzögerung-Hinweis | {{var | Verzögerung-Hinweis | ||
| Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine | | Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Allowlist eingetragen werden. | ||
| Depending on the configuration of the sending mail server, redelivery may be delayed by much more than the configured time frame (default settings 2 minutes) - in extreme cases by several hours. }} | | Depending on the configuration of the sending mail server, redelivery may be delayed by much more than the configured time frame (default settings 2 minutes) - in extreme cases by several hours. }} | ||
{{var | 1=Verzögerung-Positiver Hinweis | {{var | 1=Verzögerung-Positiver Hinweis | ||
| Zeile 257: | Zeile 258: | ||
{{var | Zugriffskontrolle aktivieren--desc | {{var | Zugriffskontrolle aktivieren--desc | ||
| Möglichen DOS-Attacken wird durch die Zugriffskontrolle entgegengewirkt. | | Möglichen DOS-Attacken wird durch die Zugriffskontrolle entgegengewirkt. | ||
| Possible DOS attacks are counteracted by the access control. | | Possible DOS attacks are counteracted by the access control. }} | ||
{{var | Zeitfenster | {{var | Zeitfenster | ||
| Zeitfenster | | Zeitfenster | ||
| Zeile 391: | Zeile 392: | ||
| and is a bulk email }} | | and is a bulk email }} | ||
{{var | Bulk_Mail--desc | {{var | Bulk_Mail--desc | ||
| E-Mails die als BULK eingestuft sind, werden aktuell massenhaft versendet und sollten nicht in die Mailbox des Users zugestellt werden.<br> | | E-Mails die als BULK eingestuft sind, werden aktuell massenhaft versendet und sollten nicht in die Mailbox des Users zugestellt werden.<br> Dies könnten z. B. die ersten E-Mails einer neuen SPAM-Welle sein. | ||
Dies könnten z. B. die ersten E-Mails einer neuen SPAM-Welle sein. | |||
| E-Mails classified as BULK are currently being sent out in masses and should not be delivered to the user's mailbox.<br> These could be, for example, the first emails of a new SPAM wave. }} | | E-Mails classified as BULK are currently being sent out in masses and should not be delivered to the user's mailbox.<br> These could be, for example, the first emails of a new SPAM wave. }} | ||
{{var | Quarantaene-Empfehlung | {{var | Quarantaene-Empfehlung | ||
| Zeile 538: | Zeile 538: | ||
| E-Mail annehmen | | E-Mail annehmen | ||
| Accept email }} | | Accept email }} | ||
{{var | AL_Anhänge markieren | |||
| AL_Anhänge markieren | |||
| }} | |||
{{var | AL_Anhänge zustellen | |||
| AL_Anhänge zustellen | |||
| }} | |||
{{var | Anhänge filtern | {{var | Anhänge filtern | ||
| Anhänge filtern | | Anhänge filtern | ||
| Zeile 547: | Zeile 553: | ||
| E-Mail in Quarantäne aufnehmen und erneut filtern nach | | E-Mail in Quarantäne aufnehmen und erneut filtern nach | ||
| Quarantine email and filter again for }} | | Quarantine email and filter again for }} | ||
{{var | | {{var | AL_Anhänge markieren oder filtern | ||
| | | AL_Anhänge markieren oder filtern | ||
| | | AL_mark or filter attachments }} | ||
{{var | | {{var | AL_Anhänge markieren oder filtern--desc | ||
| Szenario: Anhänge bestimmter Absender sollen markiert und zugestellt werden. Alle anderen Anhänge sollen gefiltert werden. | | Szenario: Anhänge bestimmter Absender sollen markiert und zugestellt werden. Alle anderen Anhänge sollen gefiltert werden. | ||
* 1. Regel: E-Mails mit Anhängen bestimmter Absender markieren | * 1. Regel: E-Mails mit Anhängen bestimmter Absender markieren | ||
| Zeile 568: | Zeile 574: | ||
| In allen anderen Aktions-Fällen wird die Prüfung auf das Regelwerk beendet, sofern die Kriterien zutreffen. | | In allen anderen Aktions-Fällen wird die Prüfung auf das Regelwerk beendet, sofern die Kriterien zutreffen. | ||
| In all other action cases, the verification on the set of rules is terminated if the criteria apply. }} | | In all other action cases, the verification on the set of rules is terminated if the criteria apply. }} | ||
{{var | | {{var | Allowlist Ausnahme Regeln erstellen | ||
| | | Allowlist Ausnahme Regeln erstellen | ||
| Create | | Create allowlist exception rules }} | ||
{{var | Wenn E-Mails eines bestimmten Absenders | {{var | Wenn E-Mails eines bestimmten Absenders | ||
| Wenn E-Mails eines bestimmten Absenders (hier von securepoint.de) in jedem Fall zugestellt werden sollen, | | Wenn E-Mails eines bestimmten Absenders (hier von securepoint.de) in jedem Fall zugestellt werden sollen, | ||
muss hierfür eine | muss hierfür eine Allowlist-Ausnahme in dem Mailfilter Regelwerk angelegt werden. | ||
| If emails from a certain sender (here from securepoint.de) are to be delivered in any case, a | | If emails from a certain sender (here from securepoint.de) are to be delivered in any case, a allowlist exception must be created in the mail filter rule set. }} | ||
{{var | und Protokoll | {{var | und Protokoll | ||
| und Protokoll | | und Protokoll | ||
| Zeile 582: | Zeile 588: | ||
| and is classified as SPAM }} | | and is classified as SPAM }} | ||
{{var | UTM-Filterregeln verschieben--Bild | {{var | UTM-Filterregeln verschieben--Bild | ||
| UTM | | UTM v14 Mailrelay BP Mailfilter verschieben.png | ||
| UTM | | UTM v14 Mailrelay BP Mailfilter verschieben-en.png }} | ||
{{var | UTM-Filterregeln verschieben--desc | {{var | UTM-Filterregeln verschieben--desc | ||
| Damit eine Regel als | | Damit eine Regel als Allowlist-Regel funktioniert, muss die Reihenfolge definiert werden, so dass diese Regel vor der allgemeinen Spam-Quarantäne-Regel greift.<br> Durch klicken und halten mit der linken Maustaste auf die Allowlist-Regel (Pos. 7) in der Spalte „Pos.“, wird diese Regel nach oben über die allgemeine Spam_SMTP Filterregel verschoben. Hat die Regel die gewünschte Position erreicht, wird die Maustaste losgelassen.<br> Die Allowlist-Regel erhält nun entsprechend ihrer Rangfolge eine neue Positionsnummer. | ||
Die | | For a rule to work as a allowlist rule, the order must be defined so that this rule takes effect before the general spam quarantine rule.<br> By clicking and holding with the left mouse button on the allowlist rule (pos. 7) in the "Pos." column, this rule is moved up above the general Spam_SMTP filter rule.<br> When the rule has reached the desired position, release the mouse button.<br> The allowlist rule is now assigned a new position number according to its ranking. }} | ||
| For a rule to work as a | |||
By clicking and holding with the left mouse button on the | |||
{{var | Gefälschter Absender | {{var | Gefälschter Absender | ||
| Gefälschter Absender | | Gefälschter Absender | ||
| Zeile 618: | Zeile 622: | ||
{{var | 1=URL-Filter--desc | {{var | 1=URL-Filter--desc | ||
| 2=Der URL-Filter überprüft | | 2=Der URL-Filter überprüft | ||
* die '''URL''' selbst. {{Button|Regel hinzufügen|+}} Weitere Hinweise im Wiki zum [[UTM/APP/Mailfilter#URL-Filter | Mailfilter]].<br>Damit lassen sich in Verbindung mit der Aktion {{ButtonAn|check}} ''zulassen'' vor allem | * die '''URL''' selbst. {{Button|Regel hinzufügen|+}} Weitere Hinweise im Wiki zum [[UTM/APP/Mailfilter#URL-Filter | Mailfilter]].<br>Damit lassen sich in Verbindung mit der Aktion {{ButtonAn|check}} ''zulassen'' vor allem Allowlists erstellen | ||
* in welche inhaltliche '''Kategorie''' die aufgerufene Seite fällt. {{ Button | Kategorie hinzufügen|+}}<br>Diese Kategorisierung wird von unserem Contentfilter-Team ständig aktualisiert. <br>Es lassen sich auch hier Allowlist-Einträge (z.B. ''Ausbildung (Schulen und Ausbildungsinstitute, Universitäten'') mit der Aktion {{ButtonAn|check}} ''zulassen'' oder Blocklist-Einträge mit der Aktion {{ButtonAus|ban}} blockieren erstellen. | * in welche inhaltliche '''Kategorie''' die aufgerufene Seite fällt. {{ Button | Kategorie hinzufügen|+}}<br>Diese Kategorisierung wird von unserem Contentfilter-Team ständig aktualisiert. <br>Es lassen sich auch hier Allowlist-Einträge (z.B. ''Ausbildung (Schulen und Ausbildungsinstitute, Universitäten'') mit der Aktion {{ButtonAn|check}} ''zulassen'' oder Blocklist-Einträge mit der Aktion {{ButtonAus|ban}} blockieren erstellen.<br> Die folgenden Kategorien sind in Installationen seit 11.8 vorkonfiguriert und sollten auch bei älteren Installationen nicht fehlen: | ||
| 3=The URL filter verifies | | 3=The URL filter verifies | ||
* the '''URL''' itself. {{Button|Add rule|+}} Further notes in the wiki about the [[UTM/APP/Mailfilter#URL-Filter | Mailfilter]].<br>This can be used in combination with the {{ButtonAn|check}} ''allow'' action to create mainly | * the '''URL''' itself. {{Button|Add rule|+}} Further notes in the wiki about the [[UTM/APP/Mailfilter#URL-Filter | Mailfilter]].<br>This can be used in combination with the {{ButtonAn|check}} ''allow'' action to create mainly allowlists | ||
* in which content '''category''' the visited page falls. {{ Button | Add category|+}} <br>This categorization is constantly updated by our content filter team. <br>Allowlist entries (e.g. ''Education (schools and training institutes, universities'') can also be created here with the {{ButtonAn|check}} ''allow'' action, or blocklist entries with the {{ButtonAus|ban}} action. | * in which content '''category''' the visited page falls. {{ Button | Add category|+}} <br>This categorization is constantly updated by our content filter team. <br>Allowlist entries (e.g. ''Education (schools and training institutes, universities'') can also be created here with the {{ButtonAn|check}} ''allow'' action, or blocklist entries with the {{ButtonAus|ban}} action.<br> The following categories are preconfigured in installations since 11.8 and should not be missed in older installations: }} | ||
{{var | Kategorie hinzufügen | {{var | Kategorie hinzufügen | ||
| Kategorie hinzufügen | | Kategorie hinzufügen | ||
| Zeile 648: | Zeile 652: | ||
| This category contains URLs that provide advice on hacking, warez, building malware, tricking systems or subscription traps. }} | | This category contains URLs that provide advice on hacking, warez, building malware, tricking systems or subscription traps. }} | ||
{{var | Update Server--desc | {{var | Update Server--desc | ||
| Server und Dienste für wichtige Softwareupdates<br> {{Hinweis-box||g}} Diese Kategorie ist für | | Server und Dienste für wichtige Softwareupdates<br> {{Hinweis-box||g}} Diese Kategorie ist für Allowlist-Umgebungen vorgesehen. | ||
| Server and services for important software updates<br> {{Hinweis-box||g}} This category is intended for | | Server and services for important software updates<br> {{Hinweis-box||g}} This category is intended for allowlist environments. }} | ||
{{var | zulassen | {{var | zulassen | ||
| zulassen | | zulassen | ||
| Zeile 692: | Zeile 696: | ||
| und DKIM-Ergebnis für Domäne | | und DKIM-Ergebnis für Domäne | ||
| and DKIM result for domain }} | | and DKIM result for domain }} | ||
{{var | DKIM-anyideas ersetzen--Hinweis | |||
| ''anyideas.de'' muss durch eine individuelle Domain ersetzt werden | |||
| }} | |||
{{var | DKIM-Domain Ergebnisse--Hinweis | |||
| Es sollten nur Domains eingetragen werden, für die in der Regel immer korrekte dkim-Ergebnisse erwartet werden | |||
| }} | |||
{{var | DMARC Filterkriterium | {{var | DMARC Filterkriterium | ||
| und DMARC-Ergebnis/Policy-Empfehlung ist | | und DMARC-Ergebnis/Policy-Empfehlung ist | ||
| Zeile 740: | Zeile 750: | ||
| Da diese E-Mail markiert wurde - also ein Filter zutraf - wird sie in der Quarantäne als ''gefiltert'' angezeigt. Trotzdem wird sie, dank der 2. Regel, zugestellt. | | Da diese E-Mail markiert wurde - also ein Filter zutraf - wird sie in der Quarantäne als ''gefiltert'' angezeigt. Trotzdem wird sie, dank der 2. Regel, zugestellt. | ||
| Since this email was flagged - i.e. a filter applied - it is displayed in the quarantine as ''filtered''. Nevertheless, thanks to the 2nd rule, it will be delivered. }} | | Since this email was flagged - i.e. a filter applied - it is displayed in the quarantine as ''filtered''. Nevertheless, thanks to the 2nd rule, it will be delivered. }} | ||
{{var | | {{var | Allowlist-Position | ||
| | | Allowlist-Regeln sollten '''nach''' den Regeln für Spam und Viren, aber '''vor''' anderen Regeln stehen, die eine Zustellung ungewollt verhindern können. | ||
| | | Allowlist rules should be '''after''' the rules for spam and viruses, but '''before''' other rules that may unintentionally prevent delivery. }} | ||
{{var | und weitere Untersuchungen | {{var | und weitere Untersuchungen | ||
| und weitere Untersuchungen werden empfohlen / sind nicht zwingend notwendig | | und weitere Untersuchungen werden empfohlen / sind nicht zwingend notwendig | ||
| Zeile 755: | Zeile 765: | ||
| Werden verschiedene Protokolle benutzt, muss das zuvor in den Filterbedingungen ausgewählt werden! | | Werden verschiedene Protokolle benutzt, muss das zuvor in den Filterbedingungen ausgewählt werden! | ||
| If different protocols are used, this must be selected in the filter conditions beforehand! }} | | If different protocols are used, this must be selected in the filter conditions beforehand! }} | ||
{{var | | |||
| | |||
| }} | |||
---- | ---- | ||
UTM/APP/Mailsecurity-Best Practice.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki