Wechseln zu:Navigation, Suche
Wiki

Informationen

Letze Anpassung zur Version: 11.7
Bemerkung: -
Vorherige Versionen: -

Einleitung

Dieses Artikel ist ein Best Practice zum Thema Mail-Security. Diese Empfehlungen beziehen sich auf folgendes Szenario:

  • Empfang der E-Mails per SMTP über das Mail-Relay
  • Zustellung erfolgt direkt über MX
  • Filterung erfolgt direkt bei Eingang auf MX
AVPro 2-14-9 alert2.png <span"> Die Domain securepoint.de und die IP-Adresse 192.168.175.100 dienen als Beispiel

Mail-Security

Allgemein

Globale E-Mail Adresse

Um Benachrichtigungen im Fehlerfall zu erhalten, kann unter Netzwerk -> Servereinstellungen -> Globale E-Mail Adresse eine Postmaster Adresse eingetragen werden.

Mailrelay

Relaying

Das Mailrelay ist so zu konfigurieren, dass nur E-Mails an die Empfänger-Adresse angenommen werden.

  • Option: To
  • Domain: securepoint.de
  • Aktion: Relay

Sollen auch ausgehend Emails über das Mailrelay der UTM versendet werden, wird ein weiterer Eintrag benötigt:

  • Option: From
  • IP: 192.168.175.100
  • Aktion: RELAY
Exakte Domainnamen

Die Option ist zu aktivieren. E-Mails an Empfänger innerhalb einer Subdomain werden dadurch nicht angenommen.

TLS-Verschlüsselung

Die TLS-Verschlüsselung für das Mailrelay ist zu aktivieren. Der Import eines Zertifkats, dessen CN dem Hostnamen der UTM entspricht, ist optional. Wird ein solches Zertifikat nicht importiert, verwendet das Mailrelay ein selbst-signiertes Zertifikat zum Zweck der Transportverschlüsselung.

SMTP Routen

Die Validierung der Empfänger auf gültige E-Mail-Adressen unter SMTP Routen -> Einstellungen -> E-Mail-Adresse überprüfen ist zu aktivieren. Dadurch werden nur E-Mails angenommen die auch wirklich auf Ihrem Mail-Server vorhanden sind.

AVPro 2-14-9 alert2.png <span">Der Mailserver muss Mails an Adressen ohne Postfach während des SMTP-Dialogs ablehnt.

Greylisting

Die Greylist- und SPF-Funktion sollte auf jedem Mail-Relay aktiviert werden, dies kann unter Greylisting -> Einstellungen -> Aktivieren getan werden.

Neben der Abwehr von einfachen SPAM-Bots durch das Greylisting, wird auch wertvolle Zeit gewonnen um neuen Definitionen zu laden und so etwaige neue SPAM-Wellen zu erkennen.

Zusätzlich sollte der Wert des Feldes "Automatisches Whitelisten für" auf mindestens 60 Tage erhöht werden

Erweitert

Greeting Pause

Die Greeting Pause sollte auf jedem Mail-Relay aktiviert werden. Dadurch werden Clients blockiert die nicht dem standardkonformen Verhalten entsprechen.

HELO benötigt

Die Option ist zu aktivieren. Dadurch werden Clients blockiert die nicht dem Standard konformen Verhalten entsprechen.

Recipient flooding verhindern

Die Option ist zu aktivieren. Mit dieser Funktion wird das Erraten von gültigen E-Mail-Adressen erschwert.

Verbindungslimit aktivieren

Die Option ist zu aktivieren und wirkt möglichen DDOS-Attacken entgegen. Sollten ausgehende Emails ebenfalls über das Mailrelay der UTM gesendet werden, sollte für die entsprechenden Mailserver eine Ausnahme hinzugefügt werden.

Rate Kontrolle aktivieren

Die Option ist zu aktivieren und wirkt möglichen DOS-Attacken entgegen. Sollten ausgehende Emails ebenfalls über das Mailrelay der UTM gesendet werden, sollte für die entsprechenden Mailserver eine Ausnahme hinzugefügt werden.

Mailfilter

Filterregel "ist als SPAM klassifiziert"

Mail-Server oder Absender deren E-Mails als SPAM klassifiziert werden, sind in der Vergangenheit als SPAM-Quelle aufgefallen. E-Mails von diesen Systemen sollte auf gar keinen Fall angenommen werden.

Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.