Wechseln zu:Navigation, Suche
Wiki

Informationen

Letze Anpassung zur Version: 11.7
Bemerkung: -
Vorherige Versionen: -

Einleitung

Dieses Artikel ist ein Best Practice zum Thema Mail-Security. Diese Empfehlungen beziehen sich auf folgendes Szenario:

  • Empfang der E-Mails per SMTP über das Mail-Relay
  • Zustellung erfolgt direkt über MX
  • Filterung erfolgt direkt bei Eingang auf MX


AVPro 2-14-9 alert2.png <span"> Die Domain securepoint.de und die IP-Adresse 192.168.175.100 sind Beispiel Adressen.

Mail-Security

Allgemein

Globale E-Mail Adresse

Um Benachrichtigungen im Fehlerfall zu erhalten, kann unter Netzwerk -> Servereinstellungen -> Globale E-Mail Adresse eine Postmaster Adresse eingetragen werden.

Mailrelay

Relaying

Das Mailrelay ist so zu konfigurieren, dass nur E-Mails an die Empfänger-Adresse angenommen werden.

  • Option: To
  • Domain: securepoint.de
  • Aktion: Relay


Sollen auch ausgehend Emails über das Mailrelay der UTM versendet werden, wird ein weiterer Eintrag benötigt:

  • Option: From
  • IP: 192.168.175.100
  • Aktion: RELAY
Exakte Domainnamen

Durch diese Optiopn werden E-Mails an Empfänger innerhalb einer Subdomain nicht angenommen.

TLS-Verschlüsselung

Die TLS-Verschlüsselung für das Mailrelay ist zu aktivieren. Der Import eines Zertifkats, dessen CN dem Hostnamen der UTM entspricht, ist optional. Wird ein solches Zertifikat nicht importiert, verwendet das Mailrelay ein selbst-signiertes Zertifikat zum Zweck der Transportverschlüsselung.

SMTP Routen

Die Validierung der Empfänger auf gültige E-Mail-Adressen unter SMTP Routen -> Einstellungen -> E-Mail-Adresse überprüfen ist zu aktivieren. Dadurch werden nur E-Mails angenommen die auch wirklich auf Ihrem Mail-Server vorhanden sind.

AVPro 2-14-9 alert2.png <span">Der Mailserver muss Mails an Adressen ohne Postfach während des SMTP-Dialogs ablehnen.

Greylisting

Die Greylist- und SPF-Funktion sollte auf jedem Mail-Relay aktiviert werden, dies kann unter Greylisting -> Einstellungen -> Aktivieren getan werden.

Neben der Abwehr von einfachen SPAM-Bots durch das Greylisting, wird auch wertvolle Zeit gewonnen um neuen Definitionen zu laden und so etwaige neue SPAM-Wellen zu erkennen.

Zusätzlich sollte der Wert des Feldes "Automatisches Whitelisten für" auf mindestens 60 Tage erhöht werden

Erweitert

Greeting Pause

Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in durch Malware verbreitete Spambots das SMTP-Protokoll nicht zur Gänze implementiert ist, um diese von regulären Mailservern zu unterscheiden.

Das Greeting ist eine Begrüßung, die vom Mail-Relay an den sendenden Mailserver übermittelt wird. Sie könnte z. B. so aussehen:

220 firewall.foo.local ESMTP Sendmail 8.14.4/8.14.4; Tue, 8 Mar 2011 14:29:30 +0100

Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er weitere SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen Kommandos zu senden. In diesem Fall wird das Mail-Relay keine weiteren Kommandos entgegennehmen und die Verbindung abbrechen.

HELO benötigt

Ist HELO aktiviert, wird vom SMTP Client gefordert seinen Namen zu nennen.

Recipient flooding verhindern

Viele Spammer versuchen, Spams an "erfundene" Mailempfänger einer Domain zuzustellen. Durch diese Massen können, aufgrund der verbrauchten Bandbreite, andere Internetverbindungen empfindlich gestört werden. Um dieses "Recipient Flooding" wirksam zu unterbinden, können Anfragen eines Hosts, der innerhalb kurzer Zeit eine definierte Anzahl fehlgeschlagener Zustellungsversuche (z. B. aufgrund von fehlgeschlagener E-Mail-Adressen Validierung) aufzuweisen hat, nur noch verzögert beantwortet werden. (Default: 2)

=Empfängerbeschränkung aktivieren

Die Option blockiert Mails, die mehr als eine definierte Anzahl Empfängeradressen aufweisen (Default: 25).

Verbindungslimit aktivieren

Hier kann eingestellt werden, wie viele Verbindungen das Mail-Relay pro Sekunde annimmt (Default: 5). Bekannte Mailserver können in einer Ausnahmeliste von dieser Limitierung ausgenommen werden. Das Verbindungslimit wirkt möglichen DDOS-Attacken entgegen.

Rate Kontrolle aktivieren

Die Option wirkt möglichen DOS-Attacken entgegen. Sollten ausgehende Emails ebenfalls über das Mailrelay der UTM gesendet werden, sollte für die entsprechenden Mailserver eine Ausnahme hinzugefügt werden.

Mailfilter

Filterregel "ist als SPAM klassifiziert"

Mail-Server oder Absender deren E-Mails als SPAM klassifiziert werden, sind in der Vergangenheit als SPAM-Quelle aufgefallen. E-Mails von diesen Systemen sollte auf gar keinen Fall angenommen werden.

Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.

Filterregel "ist als verdächtig eingestuft"

E-Mails die als verdächtig eingestuft werden enthalten verdächtige Muster und Inhalte und sollten nicht in die Mailbox des Users zugestellt werden.

Filterregel "ist eine Bulk E-Mail"

E-Mails die als BULK eingestuft sind, werden aktuell massenhaft versendet und sollten nicht in die Mailbox des Users zugestellt werden. Dies könnten z. B. die ersten E-Mails einer neuen SPAM-Welle sein.

Filterregel "enthält einen Virus"

E-Mails die einen Virus enthalten sollten direkt abgelehnt werden.

Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.

Filterregel "wurde vom URL-Filter erfasst"

E-Mails die eine gefährliche URLs enthalten sollten direkt abgelehnt werden. Beachte Sie bitte dazu die Einstellungen des URL-Filter (siehe unten).

Filterregel "mit Inhalt dessen"

Die aktuelle Gefährdungslage macht deutlich, dass Standard-Verfahren im Kampf gegen Malware nicht mehr mithalten können.

Wir empfehlen daher, potentiell gefährliche Dokumente auf der UTM in Quarantäne zu nehmen und nicht in die Mailbox des User zuzustellen. Die Identifizierung der Dokumente erfolgt dabei über MIME-Types und Dateiendungen.

Ablehnen von Word-Dokumenten auf Basis des MIME-Types

Legen Sie einen neuen Filter an. Beim Punkt MIME-Type klicken Sie auf das Stift-Symbol und geben folgende Liste ein:

application/msword,application/vnd.openxmlformats-officedocument.wordprocessingml.document,application/vnd.openxmlformats-officedocument.wordprocessingml.template,application/vnd.ms-word.document.macroEnabled.12,application/vnd.ms-word.template.macroEnabled.12
Ablehnen von Excel-Dokumenten auf Basis des MIME-Types

Legen Sie einen neuen Filter an. Beim Punkt MIME-Type klicken Sie auf das Stift Symbol und geben folgende Liste ein:

application/vnd.ms-excel,application/vnd.openxmlformats-officedocument.spreadsheetml.sheet,application/vnd.openxmlformats-officedocument.spreadsheetml.template,application/vnd.ms-excel.sheet.macroEnabled.12,application/vnd.ms-excel.template.macroEnabled.12,application/vnd.ms-excel.addin.macroEnabled.12,application/vnd.ms-excel.sheet.binary.macroEnabled.12
Ablehnen von Office-Dokumenten auf Basis der Dateiendung

Zusätzlich ist es angebracht, Dokumente auch auf Basis der enthaltenen Dateiendung zu verwerfen. Hier das Beispiel, um eine Liste von Office-Dokumenten zu sperren

In diesem Beispiel wurde bei Dateiendung die folgende Liste verwendet - diese können Sie natürlich Ihren Anforderungen entsprechend anpassen:

doc,dot,docx,docm,dotx,dotm,docb,xls,xlsx,xlt,xlm,xlsb,xla,xlam,xll,xlw,ppt,pot,pps,pptx,pptm,potx,potm,ppam,ppsx,ppsm,sldx,sldm,pub
Ablehnen von komprimierten Dateien auf Basis des MIME-Type

Legen Sie auch hier einen neuen Filter an. Beim Punkt MIME-Type klicken Sie auf das Stift Symbol und geben folgende Liste ein:

application/x-zip-compressed,application/zip
Sperrung von komprimierten Dateien auf Basis der Endung

Bitte geben Sie bei Dateiendung die folgende Liste ein:

zip,7z,ace,arj,cab,zz,zipx
Filtern von gefälschten Absendern

Damit E-Mails mit gefälschten Absender nicht angenommen werden, empfehlen wir zwei Filterregeln nach folgenden Beispielen zu erstellen.

  • Quellhost ist 192.168.175.100 -> Mail annehmen
  • Sender enthält @securepoint.de -> Mail ablehnen

Diese Regeln sollten in der Reihenfolge ganz oben stehen.

Mehrere E-Mail-Server können durch ein Komma getrennt werden.

URL-Filter Kategorie "Danger"=

Die Kategorie Danger sollte auf jeden Fall in die Lister des URL-Filters mit aufgenommen werden. Diese Kategorie enthält URLs die in Zusammenhang mit Sicherheitsbedrohungen aufgefallen sind.

Weitere Kategorien sind je nach Unternehmen zu definieren.

Einstellungen -> Spamreport

Der Spamreport unterstützt Sie und den User bei der Umsetzung der Sicherheitsrichtlinien und informiert über mögliche blockierte oder gefilterte Inhalte. Der Versand sollte täglich erfolgen.