Wechseln zu:Navigation, Suche
Wiki







































Anpassung der Firewall an das UMA
Letzte Anpassung zur Version: 3.3
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

2.5.6

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
→ Firewall →Portfilter



Einleitung

Einleitung

Das UMA wird in der Regel in einem internen Netz einer vorgeschalteten Firewall, bzw. einem Router mit Firewall-Funktion eingesetzt. Um volle Funktionalität zu gewährleisten, ist es in einigen Fällen erforderlich, die benötigten Ports für das UMA freizugeben.


Anlegen der Netzwerkobjekte und Firewall-Regeln für SMTP

Anlegen der Netzwerkobjekte und Firewall-Regeln für SMTP
In der UTM unter Firewall Paketfilter Reiter Netzwerkobjekte wird ein Netzwerkobjekt für den Exchange-Server angelegt. Dazu auf die Schaltfläche Objekt hinzufügen geklickt.
Beschriftung Wert Beschreibung UMA3.3 Firewall Portfilter Netzwerkobjekt hinzufügen.png
Name: Exchange-Server Der Name des Netzwerkobjekts
Typ: Host Als Typ Host auswählen
Adresse: 192.168.175.111 Die Adresse des Exchange-Servers eintragen
Zone: internal Als Zone, in der der Server sich befindet, auswählen
Gruppen:     Eine Gruppe kann hinzugefügt werden
Die Netzwerkobjekte für die externe und interne Schnittstelle, das Internet sowie für den Dienst SMTP mit dem Port 25, NTP mit Port 123 und HTTPS mit Port 443 sind normalerweise bereits vorkonfiguriert. Sollte dieses nicht der Fall sein, müssen die fehlenden Objekte und Dienste noch angelegt werden.
In Firewall Paketfilter wird mit der Schaltfläche Regel hinzufügen eine Portfilter-Regel hinzugefügt. Es werden zwei Portfilter-Regeln hinzugefügt.
Folgende Regel erlaubt der Firewall die Annahme von E-Mails auf dem externen Interface über den eingestellten Port aus dem Internet.
Beschriftung Wert Beschreibung UMA3.3 Firewall Portfilter-Regel-hinzufügen.png
Aktiv: Ein Regel aktivieren
Quelle: World.svg internet
Ziel: Interface.svg external-interface
Dienst: Tcp.svg ntp-tcp Den benötigten Dienst auswählen
Aktion: Accept
Logging: None - nicht protokollieren
Gruppe: default Die Regel kann einer existierenden Gruppe zugewiesen werden
Diese Regel erlaubt die Annahme von E-Mails auf dem internen Interface vom Mailserver über den jeweiligen Port, was für das Prüfen von ausgehenden E-Mails auf Viren erforderlich ist.
Beschriftung Wert Beschreibung UMA3.3 Firewall Portfilter-Regel-hinzufügen2.png
Aktiv: Ein Regel aktivieren
Quelle: Host.svg Exchange-Server Das Netzwerkobjekt des verwendeten internen Mailservers. Das Netzwerkobjekt muss gegebenenfalls erstellt werden.
Ziel: Interface.svg internal-interface Das Interface der Zone, in der das Netzwerkobjekt liegt
Dienst: Tcp.svg smtp Den benötigten Dienst auswählen
Aktion: Accept
Logging: None - nicht protokollieren
Gruppe: default Die Regel kann einer existierenden Gruppe zugewiesen werden
Die folgenden Regeln werden ebenfalls erstellt.
Aktiv: Ein Regel aktivieren
Quelle: Host.svg Exchange-Server Das Netzwerkobjekt des verwendeten internen Mailservers. Das Netzwerkobjekt muss gegebenenfalls erstellt werden.
Ziel: Interface.svg internal-interface Das Interface der Zone, in der das Netzwerkobjekt liegt
Dienst: Tcp.svg ntp-tcp Den benötigten Dienst auswählen
Aktion: Accept
Logging: None - nicht protokollieren
Gruppe: default Die Regel kann einer existierenden Gruppe zugewiesen werden
Aktiv: Ein Regel aktivieren
Quelle: Host.svg Exchange-Server Das Netzwerkobjekt des verwendeten internen Mailservers. Das Netzwerkobjekt muss gegebenenfalls erstellt werden.
Ziel: Interface.svg internal-interface Das Interface der Zone, in der das Netzwerkobjekt liegt
Dienst: Udp.svg ntp-udp Den benötigten Dienst auswählen
Aktion: Accept
Logging: None - nicht protokollieren
Gruppe: default Die Regel kann einer existierenden Gruppe zugewiesen werden

Zeitstempel

Zeitstempel
Für die Signatur des Zeitstempels und der Zeitsynchronisation werden ebenfalls eine Firewall-Regel benötigt.
In Firewall Netzwerkobjekte wird über Objekt hinzufügen das Netzwerkobjekt erstellt.
Beschriftung Wert Beschreibung UMA3.3.5 Firewall Portfilter Netzwerkobjekte Zeitstempel.png
Name: Zeitstempel Der Name des Netzwerkobjekts
Typ: Hostname Als Typ Hostname auswählen
Hostname: tsa.exceet.cloud Den Hostnamen tsa.utimaco.com eintragen
Zone: external Als Zone, in der der Server sich befindet, auswählen
Gruppen:     Eine Gruppe kann hinzugefügt werden
In Firewall Paketfilter wird mit der Schaltfläche Regel hinzufügen eine entsprechende Regel hinzugefügt.
Aktiv: Ein Regel aktivieren UMA3.3.5 Firewall Portfilter-Regel-hinzufügen Zeitstempel.png
Quelle: Host.svg Zeitstempel Das Netzwerkobjekt der UMA. Muss gegebenenfalls noch erstellt werden.
Ziel: Interface.svg internal-interface Das Netzwerkobjekt des erstellten Zeitstempelservers
Dienst: Tcp.svg https Den benötigten Dienst auswählen
Aktion: Accept
Logging: None - nicht protokollieren
Gruppe: default Die Regel kann einer existierenden Gruppe zugewiesen werden




Konfigurieren des Mailrelays

Konfigurieren des Mailrelays
Anwendungen Mailrelay öffnen.
Damit die ankommenden Mails ordnungsgemäß auf Viren überprüft, nach Spam gefiltert und dann an den internen Mailserver weitergeleitet werden können, muss im nächsten Schritt das Mailrelay konfiguriert werden.
Im Reiter Allgemein wird eine Postmaster E-Mail-Adresse eingetragen und die maximale E-Mailgröße für ankommende sowie zu versendende E-Mails festgelegt UMA3.3 Anwendungen Mailrelay Allgemein.png

Relaying

Relaying
Im Reiter Relaying wird mit der Schaltfläche Domain/Host hinzufügen zwei Domänen hinzugefügt.
Beschriftung Wert Beschreibung UMA3.3 Anwendungen Mailrelay Relaying1.png
Domain: 192.168.175.111 Die IP-Adresse des Mailservers
Option: None Es wird keine Option ausgewählt
Aktion: Relay Diese Aktion auswählen
Zur Annahme von E-Mails mit der IP des Mailservers.
Domain: mydomain.de Die Domain des Mailservers UMA3.3 Anwendungen Mailrelay Relaying2.png
Option: To Diese Option auswählen
Der Eintrag der Domain mit der Option To erlaubt die Annahme aller E-Mails der eingetragenen Domain im Empfänger.
Aktion: Relay Diese Aktion auswählen

SMTP Routen

SMTP Routen
Im Reiter SMTP Routen wird mit der Schaltfläche SMTP-Routing hinzufügen eine neue SMTP Route erstellt.
Beschriftung Wert Beschreibung UMA3.3 Anwendungen Mailrelay SMTP-Routen.png
Domain: mydomain.de Die gewählte Domain eintragen
Mailserver: 192.168.175.111 Die IP-Adresse des Mailservers eintragen
Diese Route gibt an, dass alle ankommenden E-Mails an den internen Server weitergeleitet werden.
Unter
Einstellungen
kann E-Mail-Adresse überprüfen: SMTP ausgewählt werden.
Das hat zur Folge, dass E-Mails an unbekannte Empfänger, die nicht auf dem Mailserver hinterlegt sind, abgelehnt werden.
So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre E-Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.
UMA3.3 Anwendungen Mailrelay SMTP-Routen E-Mail.png
Im Reiter Erweitert wird unter
Greeting Pause
der Status: aktiviert Ein.
UMA3.3 Anwendungen Mailrelay Erweitert Greeting.png
Ähnlich wie das Graylisting macht sich die Greeting Pause zu Nutze, dass in durch Viren und Trojaner verbreitete Spambots das SMTP-Protokoll nicht zur Gänze implementiert ist, um diese von regulären Mailservern zu unterscheiden.
Das Greeting ist eine Textzeile, die vom Mail-Relay an den sendenden Mailserver übermittelt wird. z.B:
220 firewall.foo.local ESMTP Sendmail 8.14.4/8.14.4; Tue, 8 Mar 2011 14:29:30 +2000
Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er SMTP-Kommandos sendet, um die Mailzustellung einzuleiten.
Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen, Kommandos zu senden, da dieser Aspekt des SMTP-Protokolls aus Platzgründen höchstwahrscheinlich ebenso wenig wie ein wiederholter Zustellungsversuch implementiert ist. In diesem Fall wird das Mail-Relay keine Kommandos mehr entgegennehmen.



Anpassen des Mailfilters

Anpassen des Mailfilters
UMA3.3 Anwendungen Mailfilter Filterregeln.png