Beschreibung des Mailfilters
Neu in Version 11.8: In den Filterregeln kann die Aktion
ausgewählt werden. Hier können z.B. Officedokumente mit der Endung .docx geparkt werden. Die Scan-Engine kann bei neuen Viren, die sich häufig über diesen Dateityp verbreiten, bei der erneuten Zustellung mit zwischenzeitlich aktualisierten Virensignaturen eine höhere Erkennungswahrscheinlichkeit aufweisen. Die grundsätzliche Zustellung bleibt aber gewährleistet.Vorherige Versionen: 11.7
Einführung
Um festzustellen, ob es sich bei einer eingehenden Mail um Spam handelt, können der POP3-Proxy, das Mail-Relay und der Mail-Connector eingehende E-Mails an den Mailfilter übergeben. Der Mailfilter setzt sich aus dem Commtouch Spamfilter, dem Securepoint Content-Filter und einem URL Filter zusammen, der Web-Links aus einer E-Mail entfernen kann.
Zu dem bisher bekannten Mailfilter haben sich einige Veränderungen ergeben:
Zum einen ist es durch den Einsatz des Mail-Connectors jetzt möglich, neben POP3 auch E-Mails die mit IMAP sowie den beiden verschlüsselten Varianten abgeholt werden, durch den Mailfilter zu überprüfen.
Zum anderen werden nicht mehr automatisch alle E-Mails im Mailarchiv der UTM abgelegt, sondern nur noch die, die vom Commtouch Spamfilter als Spam, Spam verdächtig oder als Massen-Mail (Bulk), eingestuft und anhand der Filterregel in Quarantäne genommen werden. E-Mails, die von der UTM weitergeleitet und zugestellt wurden (HAM), sind dann im Mailarchiv nicht mehr zu finden, wenn diese Option nicht aktiviert wird.
Weiterhin ist der Content-Filter, der nach Dateiendungen eines Anhanges oder nach MIME Typen filtert, direkt in den Filterregeln integriert und hat keinen eigenen Reiter mehr.
Filterregeln
Über die Filterregeln wird entschieden, wie mit E-Mails, bei denen definierte Eigenschaften erkannt wurden, verfahren wird. Dabei wird zwischen den Protokollen SMTP und POP3 sowie dem Mail-Connector unterschieden.
Über den Mail-Connector ist die UTM in der Lage, E-Mails über die Protokolle POP3 und IMAP und deren verschlüsselten Varianten POP3S und IMAPS von einem Mailserver abzuholen und mit dem Mailfilter auf Spam und Schadsoftware zu überprüfen.
Weiterhin wird zwischen den Protokollen POP3 und SMTP unterschieden. Wenn das Mailrelay genutzt wird, lautet das Protokoll SMTP. Bei Verwendung des POP3-Proxy wird das Protokoll POP3 ausgewählt.
Mit Regelname vergeben werden. Mit dem Regeln mit wird festgelegt, ob alle Kriterien erfüllt sein müssen ( -Operator verbinden ) oder ob es ausreichend ist, wenn nur ein Kriterium der Filterregel erfüllt wird .
wird eine neue Filterregel erstellt. Es muss ein eindeutigerEine Filterung nach folgenden
ist möglich:
- Protokoll - Auswählbar sind: , oder
- Quellhost
- Zielhost
- Sender
- Empfänger
- Header-Feld
- Spam oder nicht Spam
- verdächtig oder auch nicht verdächtig
- Massen E-Mails (Bulk) oder kein Bulk
- Enthält Virus oder enthält keinen Virus
- wurde vom URL-Filter erfasst oder wurde nicht erfasst
- mit Inhalt dessen - Auswahl
- ist bzw. ist nicht
- enthält bzw. enthält nicht
- passt auf Regex
- endet auf bzw. endet nicht auf
oder Als Bedingung steht zur
Mit dem
Button können weitere Filter hinzugefügt werden. Diese Filter definieren welche Aktion bei den E-Mails anzuwenden ist, wenn die enthaltenen Filter zutreffenden.BeiAktionen ausführen: stehen folgende Optionen zur Verfügung:
Wichtig: Bei der Verwendung des POP3-Proxys oder des Mail-Connectors darf diese Option nicht verwendet werden!- Neu in 11.8:
Zusätzlich Eingabe der Quarantänedauer 30 in Minuten
Wichtig: Bei der Verwendung des POP3-Proxys oder des Mail-Connectors darf diese Option nicht verwendet werden!
(und eine vordefinierte Zeit (siehe Einstellungen) zur Ansicht vorhalten)
Wichtig: Bei der Verwendung des POP3-Proxys oder des Mail-Connectors darf diese Option nicht verwendet werden!- und den Rest der E-Mail weiterleiten.
- Text, mit dem der Betreff so ergänzt wird, dass die Mail gemacht wird und z. B. vom Mailserver in einen entsprechenden Ordner verschoben werden kann.
Whitelist Ausnahme Regel
Damit eine Regel als Whitelist-Regel funktioniert, muss die Reihenfolge definiert werden, so dass diese Regel vor der allgemeinen Spam-Quarantäne-Regel greift.
Durch klicken und halten mit der linken Maustaste auf die Whitelist-Regel (Pos. 7) in der Spalte „Pos.“, wird diese Regel nach oben über die allgemeine Spam_SMTP Filterregel verschoben. Hat die Regel die gewünschte Position erreicht, wird die Maustaste losgelassen.
Die Whitelist-Regel erhält nun entsprechend ihrer Rangfolge eine neue Positionsnummer.
Tip: Weitere Konfigurationshinweise finden Sie in unserem Best-Practice-Artikel zum Thema Mail Security
URL-Filter
Mit dem URL-Filter wird untersucht, ob E-Mails Web-Links beinhalten. Links mit unerwünschten URLs werden entfernt. Unbedenkliche URLs können hier explizit erlaubt werden.
Mit dem Button ✔ können die URLs zugelassen oder blockiert werden.
Bei URLs können Wildcards * verwendet werden. Kategorien werden anhand des Securepoint Content-Filters geprüft, der auch beim Webfilter verwendet wird.
Einstellungen
Hier besteht die Möglichkeit, einen Spamreport erstellen zu lassen, die Blocking-Meldungen zu ändern und zu definieren nach welchen Kriterien die E-Mails im Mailarchiv der UTM vorgehalten werden.
Spamreport
Einstellungen im Abschnitt
- Berichte aktivieren:
- Es wird an nienanden ein Bericht versendet.
- Es werden Berichte an die Benutzer versendet.
- Es werden Berichte an die Benutzer und eine Übersicht an den Admin versendet.
- Zustellbedingung:
- Es wird auf jeden Fall ein Spam-Report gesendet.
- : Nur zustellen, wenn mindestens eine E-Mail gefiltert, quarantänisiert oder abgelehnt wurde.
- Nur zustellen, wenn mindestens eine E-Mail Quarantänisiert oder gefiltert wurde.
- Alternativer Hostname / IP: Falls über eine externe IP oder einen anderen Hostnamen auf das Webinterface mit dem Mailserver zugegriffen werden soll.
- Tag: Dieser Report kann entweder an einem bestimmten oder versendet werden.In 1. Bericht kann die Uhrzeit festgelegt werden.
Bei täglichen Berichten, können insgesamt vier Berichte zu festgelegten Zeiten versendet werden.
- Damit der Report den E-Mail Benutzer auch erreicht, ist es notwendig, dass sich dieser in einer Gruppe befindet, die die Berechtigung Spamreport beinhaltet.
- Die Einstellung dazu erfolgt im Menü Gruppen unter Berechtigungen :
Hier muss der Abschnitt Spamreport aktiviert Ein werden. Damit der Benutzer gefilterte Mails im Mailarchiv der UTM ansehen kann, benötigt er außerdem die Berechtigung für das Userinterface.
- Die E-Mail Adresse kann aus einem Verzeichnis Server wie ActiveDirectory oder LDAP entnommen werden, wenn die UTM daran angebunden ist. Ansonsten muss der Benutzer mit seiner E-Mail-Adresse auf der UTM angelegt werden.
- Im Reiter Mailfilter wird die E-Mail Adresse hinterlegt.
Hier können auch noch aktiviert Ein werden:
- Herunterladen von gefilterten Anhängen erlauben
- Weiterleiten von quarantänisierten E-Mails erlauben
- Diese Einstellungen können auch individuell für jeden Benutzer im Reiter Mailfilter vorgenommen werden
Ersatzmeldungen
Unter Ersatzmeldungen werden Texte eingegeben, die anstatt des E-Mail Textes oder des blockierten Anhangs angezeigt werden sollen:
- Content-Blocking Nachricht - Text für E-Mails, die wegen Ihres Anhang geblockt wurden.
- URL-Filter Nachricht - Text für E-Mails, die wegen der beinhalteten URLs gefiltert wurden.
- Virus-Blocking Nachricht - Text für E-Mails, die wegen einer Viruserkennung geblockt wurden.
Mailarchiv
Unter
werden Angaben zur Vorhaltung der E-Mails im Mailarchiv der UTM gemacht.
- Maximale E-Mail-Anzahl: 1024 gibt an, wie viele Mails lokal auf der UTM vorgehalten werden.
- Maximales E-Mail Alter: 7 definiert die Zeit der Vorhaltung in Tagen.
- Maximale Archivgröße: 128 benennt den Speicherplatz der Mails in Megabytes. Bei überschreiten der Archivgröße passiert was?
- Alle E-Mail Transaktionen speichern: Aus Bedeutet was?