notempty
- Erkennung der Fake-URLs wurde verbessert
- Geänderte Zeiteinstellung beim Spamreport
- Erweiterung des Mail-Header
- 07.2024
- Erkennung und Markierung von Fake-URLs überarbeitet
Einführung
Um festzustellen, ob es sich bei einer eingehenden Mail um Spam handelt, können der POP3-Proxy, das Mailrelay und der Mail-Connector eingehende E-Mails an den Mailfilter übergeben.
Der Mailfilter setzt sich zusammen aus:
- einem Spamfilter
- einem Antivirus Dienst Nur bei Systemen mit mind. 3GB RAM!
- dem Securepoint Content-Filter
- und einem URL Filter
Wird innerhalb der E-Mail ein Web-Link gefunden, der auf den URL-Filter passt oder der vom Content-Filter erkannt wird, erscheint statt dem Inhalts-Abschnitt der E-Mail eine frei editierbare Ersatzmeldung.
Durch den Einsatz des Mail-Connectors ist es möglich, neben POP3 auch E-Mails die mit IMAP sowie den beiden verschlüsselten Varianten abgeholt werden, durch den Mailfilter zu überprüfen.
Im Mailarchiv der UTM werden Mails abgelegt, die anhand einer Filterregel in Quarantäne genommen wurden.
E-Mails, die von der UTM weitergeleitet und zugestellt wurden (HAM), sind dann im Mailarchiv nicht mehr zu finden, wenn diese Option nicht ausdrücklich aktiviert wird.
Voraussetzung
Filterregeln
Übersicht | |||||||||||||
Über die Filterregeln wird entschieden, wie mit E-Mails, bei denen definierte Eigenschaften erkannt wurden, verfahren wird.
Dabei wird zwischen den Protokollen SMTP und POP3 sowie dem Mail-Connector unterschieden. |
UTMbenutzer@firewall.name.fqdnAnwendungen Datei:UTM 14.0.0 Mailfilter Filterregeln Uebersicht.png | ||||||||||||
Filterregel hinzufügen | |||||||||||||
Mit Es muss ein eindeutiger Regelname vergeben werden. Mit Kriterien mit wird festgelegt, -Operator verbinden
|
wird eine neue Filterregel erstellt.UTMbenutzer@firewall.name.fqdnMailfilterAnwendungen | ||||||||||||
Kriterien | |||||||||||||
Eine Filterung nach den im folgenden genannten Kriterien ist möglich. Mithilfe der Schaltfläche | unten rechts lassen sich mehrere Bedingungen kombinieren.|||||||||||||
Operator | Wert | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Siehe Wiki-Artikel über Regex. |
»beliebige Werte | ||||||||||||
siehe Quellhost | |||||||||||||
siehe Quellhost Soll sich z.B. ein Whitelisteintrag auf "From" im Header beziehen muss "und Header-Feld" / "From" verwendet werden. | |||||||||||||
siehe Quellhost | |||||||||||||
zusätzlich: Angabe des Header-Feldes |
siehe Quellhost | ||||||||||||
Die Spamfilter-Engine erwartet, daß sich die Kategorie dieser E-Mail in den nächsten 15 Minuten noch ändern könnte. | |||||||||||||
notempty Erkennung und Markierung überarbeitet |
Dient zum erkennen von Fake-URLs. Normaler Text, der nicht wie eine URL aufgebaut ist, bleibt unberücksichtigt. | ||||||||||||
oder |
siehe Quellhost | ||||||||||||
Eingabe der Domäne |
»fail »pass »temperror | ||||||||||||
| |||||||||||||
Eingabe der Domäne |
»fail »neutral »pass »permerror »softfail »temperror | ||||||||||||
| |||||||||||||
Weder SPF noch DKIM stellen irgendwelche Anforderungen an einen Zusammenhang zwischen der sendenden respektive signierenden Domain und weiteren Merkmalen der E-mail (z. B. Headerfelder). D.h., jeder, der die Kontrolle über DNS Einträge für eine beliebige Domain hat kann unter Angabe dieser im "MAIL FROM"-Kommando im Sinne von SPF gültige ("pass") SMTP-Transaktionen durchführen oder im Sinne von DKIM gültige Signaturen für diese Domain erstellen. | |||||||||||||
Entweder wird ein vorhandener Tag ausgewählt. Oder es wird ein neuer mithilfe der Schaltfläche hinzugefügt. | |||||||||||||
Ein vorhandener Tag wird ausgewählt. Über die Schaltfläche | kann ein neuer Tag hinzugefügt werden.|||||||||||||
Mit dem | Button können weitere Kriterien für diesen Filter hinzugefügt werden.|||||||||||||
Aktionen | |||||||||||||
Bei Aktionen ausführen: stehen folgende Optionen zur Verfügung:
Weitere Filterregeln können auf diese E-Mails angewendet werden. | |||||||||||||
Aktion | Beschreibung | ||||||||||||
Nimmt die E-Mail an. Die Prüfung auf das Regelwerk wird beendet. | |||||||||||||
Der Absender erhält eine Benachrichtigung, dass seine E-Mail abgelehnt wurde. notempty Bei der Verwendung des Mail-Connectors wird von dieser Funktion dringend abgeraten.
Weder der Absender noch der Empfänger erhalten eine Benachrichtigung darüber, daß die E-Mail abgelehnt wurde! | |||||||||||||
Zusätzlich Eingabe der Quarantänedauer in Minuten. Beispiel: 30 Minuten | |||||||||||||
(und eine vordefinierte Zeit (siehe Einstellungen) zur Ansicht vorhalten) | |||||||||||||
Die E-Mail wird entsorgt, ohne dass der Absender benachrichtigt wird. | |||||||||||||
notempty Erkennung und Markierung überarbeitet |
Markiert alle Links in einer E-Mail mit ℹ️. Text, der wie ein Link aussieht, aber zu eine anderen Adresse verweist wird mit ⛔ gekennzeichnet.
| ||||||||||||
Text, mit dem der Betreff so ergänzt wird, daß die Mail kenntlich gemacht wird und z. B. vom Mailserver in einen entsprechenden Ordner verschoben werden kann. | |||||||||||||
Verhalten bei Aktion E-Mail im Betreff markieren mit | |||||||||||||
Das Verhalten einer Mailfilterregel mit der Aktion
| ist abhängig davon, ob die E-Mail sich in Quarantäne befindet, oder nicht.
|||||||||||||
Whitelist Ausnahme Regel | |||||||||||||
In einer Whitelist-Regel wird unter bestimmten Bedingungen das Annehmen einer Mail festgelegt. Damit eine Regel als Whitelist-Regel funktioniert, muss die Reihenfolge definiert werden, so daß diese Regel vor der allgemeinen Spam-Quarantäne-Regel greift. Durch klicken und halten mit der linken Maustaste auf die Whitelist-Regel (Pos. 7) in der Spalte „Pos.“, wird diese Regel nach oben über die allgemeine Spam_SMTP Filterregel verschoben. Hat die Regel die gewünschte Position erreicht, wird die Maustaste losgelassen.Die Whitelist-Regel erhält nun entsprechend ihrer Rangfolge eine neue Positionsnummer. | UTMbenutzer@firewall.name.fqdnAnwendungen Datei:UTM 14.0.0 Mailfilter Filterregeln verschieben.png | ||||||||||||
Tags
Mit Hilfe von Tags lassen sich Sets an E-Mails auswählen. Aufgrund dieser Sets wird ein Pattern erstellt und jede neue eingehende E-Mail wird anhand dieses Patterns auf Ähnlichkeit überprüft. Über entsprechende Mailfilterregeln können dann bestimmte Aktionen durchgeführt werden. | |||
Damit E-Mails getagt werden können, müssen diese im Mailarchiv abgespeichert werden. Daher ist es ratsam unter Einstellungen bei Mailarchiv die Option Alle E-Mail Transaktionen speichern zu aktivieren Ja.
| Bereich |||
In der Tag-Übersicht wird folgendes angezeigt:
| |||
Mit der Schaltfläche | wird ein neuer Tag hinzugefügt.|||
Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnAnwendungenMailfilter |
---|---|---|---|
Name: | Einen passenden Namen für den Tag wählen | ||
Beschreibung: | Optional Eine Beschreibung für die Funktion von diesem Tag eintragen | ||
Über die Schaltfläche Speichern und schließen wird der Tag abgespeichert und das Fenster geschlossen.
| |||
Tags einsetzen | |||
Um einen erstellten Tag anwenden zu können, muss eine Filterregel konfiguriert werden.
Nach dem Abspeichern der Filterregel kann dieser Tag im Benutzerinterface eingesetzt werden. Weiteres dazu beschreibt dieser Wiki-Artikel. | |||
Benutzerberechtigung | |||
Damit ein Benutzer E-Mails mit Tags versehen kann, benötigt dieser Benutzer die entsprechende Gruppenberechtigung. Unter wird bei Gruppen die entsprechende Gruppe über Bearbeiten ausgewählt. Im Abschnitt Berechtigungen müssen folgende Berechtigungen aktiv sein:
|
|||
CLI | |||
Folgende CLI-Befehle sind für Tags vorhanden:
| |||
URL-Filter
Text für E-Mails, die wegen der beinhalteten URLs gefiltert wurden. | UTMbenutzer@firewall.name.fqdnAnwendungen | ||
Regel hinzufügen | |||
Typ: | anyideas.com | Domain in Klartext-Schreibweise. Es wird auf alle Subdomains und Unterseiten gefiltert. | UTMbenutzer@firewall.name.fqdnAnwendungen |
Typ: | *.anyideas.com/pages/* | Es wird nur auf exakt die URL gefiltert (Wildcard * ist möglich) | |
Typ: | .*\.anyideas\.com | URL im Regex Format, das zahlreiche Platzhalter erlaubt Syntax der Regulären Ausdrücke - Regex | |
Typ: | Unbekannt |
Damit lässt sich der Zugriff auf alle Webseiten blockieren, die bisher von Securepoint nicht klassifiziert wurden
| |
Einstellungen
Hier besteht die Möglichkeit, einen Spamreport erstellen zu lassen, die Blocking-Meldungen zu ändern und zu definieren, nach welchen Kriterien die E-Mails im Mailarchiv der UTM vorgehalten werden.
Spamreport
Der Spamreport kann in bestimmten Intervallen die E-Mail Benutzer über von der UTM gefilterte, geblockte oder in Quarantäne genommene E-Mails informieren. Dieser Report kann entweder an einem bestimmten Wochentag oder Täglich, zu einer bestimmten Uhrzeit versendet werden.
Aktion | Wert | Beschreibung |
---|---|---|
Berichte aktivieren: | (Default) | Es werden keine Spamreports versendet. |
Es werden Berichte an die Benutzer versendet. | ||
Es werden Berichte an die Benutzer und eine Übersicht an den Administrator versendet. | ||
Zustellbedingung: | Immer zustellen (Default) | Es wird auf jeden Fall ein Spam-Report gesendet. |
Nicht angenommen | Quarantänisiert oder gefiltert | |
Quarantänisiert oder gefiltert | Es wird nur dann ein Spam-Bericht zugestellt, wenn mindestens eine E-Mail Quarantänisiert oder gefiltert wurde. | |
Alternativer Hostname / IP: | Falls über eine externe IP oder einen anderen Hostnamen auf das Webinterface mit dem Mailserver zugegriffen werden soll. | |
Tag: | (Default) | Dieser Report kann entweder an einem bestimmten | oder versendet werden.
1. Bericht | 20:00 Uhr | Legt die Uhrzeit für das Versenden des Berichts fest |
2.Bericht 3.Bericht 4.Bericht |
Deaktiviert | Bei täglichen Berichten, können insgesamt vier Berichte zu festgelegten Zeiten versendet werden. |
Damit der Report den E-Mail Benutzer auch erreicht, ist es notwendig, dass sich dieser in einer Gruppe befindet, die die Berechtigung Spamreport beinhaltet.
Sind mehrere Mailadressen für einen Benutzer in einem AD hinterlegt, wird der dort als Primäre SMTP-Adresse konfigurierte Eintrag als Default-Adresse verwendet.
Die Einstellung dazu erfolgt im Menü
Gruppen bzw. bearbeiten unter Berechtigungen:
Hier müssen folgende Abschnitte aktiviert werden:
- Spamreport
- Ein aktiviert die Erstellung des Spamreports
- Userinterface
- Ein Die E-Mail Adresse kann aus einem Verzeichnis-Server wie ActiveDirectory oder LDAP entnommen werden, wenn die UTM daran angebunden ist. Ansonsten muss der Benutzer mit seiner E-Mail-Adresse auf der UTM angelegt werden.
Die E-Mail Adresse kann aus einem Verzeichnis-Server wie ActiveDirectory oder LDAP entnommen werden, wenn die UTM daran angebunden ist. Ansonsten muss der Benutzer mit seiner E-Mail-Adresse auf der UTM angelegt werden.
Im Reiter Mailfilter müssen weitere Einstellungen vorgenommen werden, u.a. wird dort die E-Mail Adresse hinterlegt, an die Berichte gesendet werden:
E-Mail-Adresse | ||
Beschriftung | Default | Beschreibung |
---|---|---|
support@ttt-point.de | E-Mailkonten, die von Mitgliedern dieser Gruppe eingesehen werden können, um den Mailfilter zu kontrollieren. Löschen mit | |
E-Mail-Adresse | Eintragen einer Mail-Adresse in die Liste | |
Herunterladen von folgenden Anhängen erlauben: | (Default) | Mitglieder dieser Gruppe können im User-Interface Anhänge von Mails herunterladen, die bestimmte Kriterien erfüllen. |
Weiterleiten von folgenden E-Mails erlauben: | (Default) | Mitglieder dieser Gruppe können im User-Interface E-Mails weiterleiten, die bestimmte Kriterien erfüllen. |
Bericht E-Mail-Adresse: | E-Mail-Adresse, an die ein Spam-Report versendet wird. Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet. Sind mehrere Mailadressen für einen Benutzer in einem AD hinterlegt, wird der dort als Primäre SMTP-Adresse konfigurierte Eintrag als Default-Adresse verwendet.
| |
Sprache der Berichte: | Vorgabe unter Firewall → Sprache der BerichteEs kann gezielt ausgewählt werden: bzw. | →
Spamreport an den User.
Ersatzmeldungen
Mailarchiv
Abschluss
Mail-Header
Folgende Werte können unter dem Headerfeld X-Securepoint durch den Mailfilter gesetzt werden:
- X-Securepoint: Virusscan Failure
- X-Securepoint: Spamcheck Failure
- X-Securepoint: Virus found (virus_name)
- X-Securepoint: Content Changed
- X-Securepoint: Spam
- X-Securepoint: Probably Spam
- X-Securepoint: UrlFilterSpam
- X-Securepoint: Bulk
- X-Securepoint: FHASH notemptyneu