Wechseln zu:Navigation, Suche
Wiki
(Die Seite wurde neu angelegt: „Kategorie:UMAv2 ==Einrichtung der Firewall für das UMA== Der erste Punkt der Implementierung des UMA ist die Anpassung der Firewall. Diese muss für den …“)
 
Zeile 2: Zeile 2:


==Einrichtung der Firewall für das UMA==
==Einrichtung der Firewall für das UMA==
Der erste Punkt der Implementierung des UMA ist die Anpassung der Firewall. Diese muss für den Empfang von Mails über POP3 oder SMTP so konfiguriert werden, dass Mails angenommen, auf Spam überprüft, auf Viren gefiltert und an den internen Exchange-Server weitergeleitet werden. Die Administration der Firewall erfolgt hierbei über einen PC welcher in das interne Netzwerk integriert wurde. So kann problemlos über einen Browser auf das Webinterface der Firewall zugegriffen werden.
Der erste Punkt der Implementierung des UMA ist die Anpassung der Firewall. Diese muss für den Empfang von E-Mails über POP3 oder SMTP so konfiguriert werden, dass Mails angenommen, auf Spam überprüft, auf Viren gefiltert und an den internen Exchange-Server weitergeleitet werden. Die Administration der Firewall erfolgt hierbei über einen PC, welcher in das interne Netzwerk integriert wurde. So kann problemlos über einen Browser auf das Webinterface der Firewall zugegriffen werden.


Einzelheiten zur Administration der Firewall finden Sie im entsprechenden Wiki. In diesem Fall beschreiben wir die Einrichtung mit UTM Version 11.
Einzelheiten zur Administration der Firewall finden Sie im entsprechenden Wiki. In diesem Fall beschreiben wir die Einrichtung mit UTM Version 11.


===Anlegen der Netzwerkobjekte und Firewall-Regeln für SMTP===
===Anlegen der Netzwerkobjekte und Firewall-Regeln für SMTP===
Das Anlegen von Firewall-Regeln setzt das vorhanden sein von Netzwerkobjekten und Diensten voraus.
Das Anlegen von Firewall-Regeln setzt das Vorhandensein von Netzwerkobjekten und Diensten voraus.


[[Datei:UTM11_PF_NOExchange.png|250px|thumb|right|Portfilter-Regeln]]
[[Datei:UTM11_PF_NOExchange.png|250px|thumb|right|Portfilter-Regeln]]
Dafür gehen sie als erstes in der Firewall in der Menüleiste auf „Firewall“, wählen den Menüpunkt „Portfilter“ und wechseln in den Bereich „Netzwerkobjekte“. Hier legen sie ein Netzwerkobjekt für den Exchange-Server an.
Dafür gehen Sie als erstes in der Firewall in der Menüleiste auf „Firewall“, wählen den Menüpunkt „Portfilter“ und wechseln in den Bereich „Netzwerkobjekte“. Hier legen Sie ein Netzwerkobjekt für den Exchange-Server an.


Diesem Netzwerkobjekt wird ein Name, die IP-Adresse des Servers und die Zone zugewiesen in der sich der Server befindet.
Diesem Netzwerkobjekt wird ein Name, die IP-Adresse des Servers und die Zone, in der sich der Server befindet, zugewiesen.
   
   
Das Netzwerkobjekt für die Externe und Interne Schnittstelle, Internet sowie der Dienst SMTP mit dem Port 25 sind normalerweise bereits vorkonfiguriert. Sollte dieses bei ihnen nicht der Fall sein, müssen die fehlenden Objekte noch angelegt werden.
Die Netzwerkobjekte für die externe und interne Schnittstelle, das Internet sowie für den Dienst SMTP mit dem Port 25 sind normalerweise bereits vorkonfiguriert. Sollte dieses bei ihnen nicht der Fall sein, müssen die fehlenden Objekte noch angelegt werden.


[[Datei:UTM11_PF_UMAPFreg.png|250px|thumb|right|Portfilter-Regeln]]
[[Datei:UTM11_PF_UMAPFreg.png|250px|thumb|right|Portfilter-Regeln]]
Im Anschluss daran wird im Bereich Portfilter eine neue Regel angelegt, bei der als Quelle das Internet Objekt, als Ziel das Objekt „External Interface“ und als Dienst „SMTP“ ausgewählt wird. Diese Regel erlaubt der Firewall das Annehmen von Mails auf dem Externen Interface über Port 25 aus dem Internet.  
Im Anschluss daran wird im Bereich '''Portfilter''' eine neue Regel angelegt, bei der als Quelle das Internetobjekt, als Ziel das Objekt „External Interface“ und als Dienst „SMTP“ ausgewählt wird. Diese Regel erlaubt der Firewall die Annahme von E-Mails auf dem externen Interface über Port 25 aus dem Internet.  


Als zweites wird eine Regel mit dem Exchange-Server Objekt als Quelle, Internal Interface als Ziel und SMTP als Dienst angelegt. Diese Regel erlaubt das Annehmen von Mails auf dem Internen Interface von dem Mailserver über Port 25, was auch das Prüfen von ausgehenden Mails auf Viren ermöglicht.
Als zweites wird eine Regel mit dem Exchange-Server-Objekt als Quelle, "Internal Interface" als Ziel und SMTP als Dienst angelegt. Diese Regel erlaubt die Annahme von E-Mails auf dem internen Interface vom Mailserver über Port 25, was auch das Prüfen von ausgehenden E-Mails auf Viren ermöglicht.






===Konfigurieren des Mail Relays===
===Konfigurieren des Mailrelays===
Damit ankommende Mails ordnungsgemäß auf Viren überprüft, nach Spam gefiltert und dann an den internen Mailserver weitergeleitet werden können, muss im nächsten Schritt das Mailrelay konfiguriert werden.
Damit ankommende Mails ordnungsgemäß auf Viren überprüft, nach Spam gefiltert und dann an den internen Mailserver weitergeleitet werden können, muss im nächsten Schritt das Mailrelay konfiguriert werden.


[[Datei:UTM11_MR_Allg.png|250px|thumb|right|Mailrelay Allgemein]]
[[Datei:UTM11_MR_Allg.png|250px|thumb|right|Mailrelay Allgemein]]
Dazu wählen sie in der Menüleiste Anwendungen und den Menüpunkt Mailrelay aus.<br>
Dazu wählen Sie in der Menüleiste "Anwendungen" und den Menüpunkt '''Mailrelay''' aus.<br>
Im Bereich Allgemein tragen sie als erstes eine Postmaster E-Mail Adresse ein und legen die maximale E-Mailgröße für ankommende sowie zu versendende Mails fest.  
Im Bereich "Allgemein" tragen Sie als erstes eine Postmaster E-Mail-Adresse ein und legen die maximale E-Mailgröße für ankommende sowie zu versendende E-Mails fest.  




Zeile 38: Zeile 38:
[[Datei:UTM11_MR_RDomhin.png|250px|thumb|right|Domain hinzufügen]]
[[Datei:UTM11_MR_RDomhin.png|250px|thumb|right|Domain hinzufügen]]
[[Datei:UTM11_MR_Relaying.png|250px|thumb|right|Mailrelay Relaying]]
[[Datei:UTM11_MR_Relaying.png|250px|thumb|right|Mailrelay Relaying]]
In dem Bereich RELAYING wird, mit einem klick auf Domain/Host hinzufügen, zum einen ein Host mit der IP-Adresse des Mailservers und der Aktion „RELAY“ hinzugefügt.<br>
In dem Bereich RELAYING wird, mit einem Klick auf ''Domain/Host hinzufügen'' zum einen ein Host mit der IP-Adresse des Mailservers und der Aktion „RELAY“ hinzugefügt.<br>




Zeile 49: Zeile 49:




Weiterhin wird, mit einem klick auf Domain/Host hinzufügen, eine Domain mit der Option „To“ und der Aktion „RELAY“ angelegt.  
Weiterhin wird, mit einem Klick auf ''Domain/Host hinzufügen'', eine Domain mit der Option „To“ und der Aktion „RELAY“ angelegt.  




Zeile 59: Zeile 59:




Die Eintragung des Hosts gestattet das annehmen von Mails mit der IP des Mailservers und der Eintrag der Domain mit der Option „To“ erlaubt das annehmen aller Mails der eingetragenen Domain im Empfänger.
Die Eintragung des Hosts gestattet die Annahme von E-Mails mit der IP des Mailservers. Der Eintrag der Domain mit der Option „To“ erlaubt die Annahme aller E-Mails der eingetragenen Domain im Empfänger.




Zeile 70: Zeile 70:
[[Datei:UTM11_MR_SREMAddrSMTP.png|250px|thumb|right|SMTP Route hinzufügen]]
[[Datei:UTM11_MR_SREMAddrSMTP.png|250px|thumb|right|SMTP Route hinzufügen]]
[[Datei:UTM11_MR_SR.png|250px|thumb|right|SMTP Routen]]
[[Datei:UTM11_MR_SR.png|250px|thumb|right|SMTP Routen]]
Im Bereich „SMTP Routen“ wird, mit einem klick auf [[Datei:UTM11_MR_SMTPRhinB.png|100px]], die entsprechenden Maildomain und die internen IP-Adresse des Exchange-Mailservers hinzugefügt.<br>  
Im Bereich „SMTP Routen“ wird, mit einem Klick auf [[Datei:UTM11_MR_SMTPRhinB.png|100px]], die entsprechende Maildomain und die internen IP-Adresse des Exchange-Mailservers hinzugefügt.<br>  
Diese Route gibt an, dass alle ankommenden Mails an den internen Server weitergeleitet werden sollen.  
Diese Route gibt an, dass alle ankommenden E-Mails an den internen Server weitergeleitet werden sollen.  




Zeile 78: Zeile 78:




Zu dem ist es sinnvoll im Bereich Einstellungen (im unteren Teil dieses Fensters) unter „E-Mail Adresse überprüfen:“ SMTP auszuwählen.
Zu dem ist es sinnvoll im Bereich "Einstellungen" (im unteren Teil dieses Fensters) unter „E-Mail Adresse überprüfen:“ SMTP auszuwählen.


Das hat zur Folge, dass Mails an unbekannte Empfänger, die nicht auf dem Mailserver hinterlegt sind, abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.  
Das hat zur Folge, dass E-Mails an unbekannte Empfänger, die nicht auf dem Mailserver hinterlegt sind, abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre E-Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.  




Zeile 88: Zeile 88:


[[Datei:UTM11_MR_EGPause.png|250px|thumb|right|Greeting Pause]]
[[Datei:UTM11_MR_EGPause.png|250px|thumb|right|Greeting Pause]]
Zum weiteren Schutz vor Spam können sie im Bereich ERWEITERT den Haken bei „Greeting Pause aktivieren“ setzen.<br>
Zum weiteren Schutz vor Spam können Sie im Bereich ''Erweitert'' den Haken bei „Greeting Pause aktivieren“ setzen.<br>
Ähnlich wie das Graylisting macht sich die Greeting Pause zu Nutze, dass in durch Viren und
Ähnlich wie das Graylisting macht sich die Greeting Pause zu Nutze, dass in durch Viren und
Trojaner verbreitete Spambots das SMTP-Protokoll nicht zur Gänze implementiert ist, um diese von regulären Mailservern zu unterscheiden. Das Greeting ist eine Textzeile, die vom Mail-Relay an den sendenden Mailserver übermittelt wird. z.B:
Trojaner verbreitete Spambots das SMTP-Protokoll nicht zur Gänze implementiert ist, um diese von regulären Mailservern zu unterscheiden. Das Greeting ist eine Textzeile, die vom Mail-Relay an den sendenden Mailserver übermittelt wird. z.B:
Zeile 99: Zeile 99:
===Anpassen des Mailfilters===
===Anpassen des Mailfilters===
[[Datei:UTM11_MF_FRegeln.png|250px|thumb|right|Mailfilter Regeln]]
[[Datei:UTM11_MF_FRegeln.png|250px|thumb|right|Mailfilter Regeln]]
Als letzter Schritt der Anpassung der Firewall wird die Einstellungen des Spamfilters überprüft und angepasst.  
Als letzter Schritt der Anpassung der Firewall werden die Einstellungen des Spamfilters überprüft und angepasst.  


Wechseln sie unter „Anwendungen“ zum Menüpunkt „Mailfilter“.<br>
Wechseln Sie unter „Anwendungen“ zum Menüpunkt „Mailfilter“.<br>
Im Bereich Filterregeln finden sie Standardmäßig schon Einträge für SMTP und POP3.<br> Bei diesen ändern sie die Aktionen für Spam und Probably-Spam auf „mark“.
Im Bereich ''Filterregeln'' finden Sie standardmäßig schon Einträge für SMTP und POP3.<br> Bei diesen ändern Sie die Aktionen für Spam und Probably-Spam auf „mark“.


Das bedeutet das eine Mail die von der Firewall als Spam deklariert wird, eine vordefinierte Nachricht im Betreff erhält (in diesem Fall „[SPAM]“ bzw. “[PROBABLY_SPAM]), und an den internen Mailserver weitergeleitet wird. Der Mailserver filtert seinerseits nun die ankommenden Mails im Betreff nach dieser Nachricht und schiebt diese dann in einen
Das bewirkt, dass eine E-Mail die von der Firewall als Spam deklariert wird, eine vordefinierte Nachricht im Betreff erhält (in diesem Fall „[SPAM]“ bzw. “[PROBABLY_SPAM]), und an den internen Mailserver weitergeleitet wird. Der Mailserver filtert seinerseits nun die ankommenden E-Mails im Betreff nach dieser Nachricht und schiebt Diese dann in einen
Junk-Ordner. So können die Benutzer intern selber entscheiden ob die Mails für sie von Belang sind oder nicht.
Junk-Ordner. So können die Benutzer intern selber entscheiden ob die E-Mails für sie von Belang sind oder nicht.


Damit ist die Einrichtung der Firewall für das UMA abgeschlossen.
Damit ist die Einrichtung der Firewall für das UMA abgeschlossen.

Version vom 4. Oktober 2016, 13:22 Uhr


Einrichtung der Firewall für das UMA

Der erste Punkt der Implementierung des UMA ist die Anpassung der Firewall. Diese muss für den Empfang von E-Mails über POP3 oder SMTP so konfiguriert werden, dass Mails angenommen, auf Spam überprüft, auf Viren gefiltert und an den internen Exchange-Server weitergeleitet werden. Die Administration der Firewall erfolgt hierbei über einen PC, welcher in das interne Netzwerk integriert wurde. So kann problemlos über einen Browser auf das Webinterface der Firewall zugegriffen werden.

Einzelheiten zur Administration der Firewall finden Sie im entsprechenden Wiki. In diesem Fall beschreiben wir die Einrichtung mit UTM Version 11.

Anlegen der Netzwerkobjekte und Firewall-Regeln für SMTP

Das Anlegen von Firewall-Regeln setzt das Vorhandensein von Netzwerkobjekten und Diensten voraus.

Portfilter-Regeln

Dafür gehen Sie als erstes in der Firewall in der Menüleiste auf „Firewall“, wählen den Menüpunkt „Portfilter“ und wechseln in den Bereich „Netzwerkobjekte“. Hier legen Sie ein Netzwerkobjekt für den Exchange-Server an.

Diesem Netzwerkobjekt wird ein Name, die IP-Adresse des Servers und die Zone, in der sich der Server befindet, zugewiesen.

Die Netzwerkobjekte für die externe und interne Schnittstelle, das Internet sowie für den Dienst SMTP mit dem Port 25 sind normalerweise bereits vorkonfiguriert. Sollte dieses bei ihnen nicht der Fall sein, müssen die fehlenden Objekte noch angelegt werden.

Portfilter-Regeln

Im Anschluss daran wird im Bereich Portfilter eine neue Regel angelegt, bei der als Quelle das Internetobjekt, als Ziel das Objekt „External Interface“ und als Dienst „SMTP“ ausgewählt wird. Diese Regel erlaubt der Firewall die Annahme von E-Mails auf dem externen Interface über Port 25 aus dem Internet.

Als zweites wird eine Regel mit dem Exchange-Server-Objekt als Quelle, "Internal Interface" als Ziel und SMTP als Dienst angelegt. Diese Regel erlaubt die Annahme von E-Mails auf dem internen Interface vom Mailserver über Port 25, was auch das Prüfen von ausgehenden E-Mails auf Viren ermöglicht.


Konfigurieren des Mailrelays

Damit ankommende Mails ordnungsgemäß auf Viren überprüft, nach Spam gefiltert und dann an den internen Mailserver weitergeleitet werden können, muss im nächsten Schritt das Mailrelay konfiguriert werden.

Mailrelay Allgemein

Dazu wählen Sie in der Menüleiste "Anwendungen" und den Menüpunkt Mailrelay aus.
Im Bereich "Allgemein" tragen Sie als erstes eine Postmaster E-Mail-Adresse ein und legen die maximale E-Mailgröße für ankommende sowie zu versendende E-Mails fest.




Host hinzufügen
Domain hinzufügen
Mailrelay Relaying

In dem Bereich RELAYING wird, mit einem Klick auf Domain/Host hinzufügen zum einen ein Host mit der IP-Adresse des Mailservers und der Aktion „RELAY“ hinzugefügt.






Weiterhin wird, mit einem Klick auf Domain/Host hinzufügen, eine Domain mit der Option „To“ und der Aktion „RELAY“ angelegt.





Die Eintragung des Hosts gestattet die Annahme von E-Mails mit der IP des Mailservers. Der Eintrag der Domain mit der Option „To“ erlaubt die Annahme aller E-Mails der eingetragenen Domain im Empfänger.





SMTP Route hinzufügen
SMTP Routen

Im Bereich „SMTP Routen“ wird, mit einem Klick auf UTM11 MR SMTPRhinB.png, die entsprechende Maildomain und die internen IP-Adresse des Exchange-Mailservers hinzugefügt.
Diese Route gibt an, dass alle ankommenden E-Mails an den internen Server weitergeleitet werden sollen.




Zu dem ist es sinnvoll im Bereich "Einstellungen" (im unteren Teil dieses Fensters) unter „E-Mail Adresse überprüfen:“ SMTP auszuwählen.

Das hat zur Folge, dass E-Mails an unbekannte Empfänger, die nicht auf dem Mailserver hinterlegt sind, abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre E-Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.




Greeting Pause

Zum weiteren Schutz vor Spam können Sie im Bereich Erweitert den Haken bei „Greeting Pause aktivieren“ setzen.
Ähnlich wie das Graylisting macht sich die Greeting Pause zu Nutze, dass in durch Viren und Trojaner verbreitete Spambots das SMTP-Protokoll nicht zur Gänze implementiert ist, um diese von regulären Mailservern zu unterscheiden. Das Greeting ist eine Textzeile, die vom Mail-Relay an den sendenden Mailserver übermittelt wird. z.B:

220 firewall.foo.local ESMTP Sendmail 8.14.4/8.14.4; Tue, 8 Mar 2011 14:29:30 +2000

Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er SMTP-Kommandos sendet, um die Mailzustellung einzuleiten.
Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen, Kommandos zu senden, da dieser Aspekt des SMTP-Protokolls aus Platzgründen höchstwahrscheinlich ebenso wenig wie ein wiederholter Zustellungsversuch implementiert ist. In diesem Fall wird das Mail-Relay keine Kommandos mehr entgegennehmen.


Anpassen des Mailfilters

Mailfilter Regeln

Als letzter Schritt der Anpassung der Firewall werden die Einstellungen des Spamfilters überprüft und angepasst.

Wechseln Sie unter „Anwendungen“ zum Menüpunkt „Mailfilter“.
Im Bereich Filterregeln finden Sie standardmäßig schon Einträge für SMTP und POP3.
Bei diesen ändern Sie die Aktionen für Spam und Probably-Spam auf „mark“.

Das bewirkt, dass eine E-Mail die von der Firewall als Spam deklariert wird, eine vordefinierte Nachricht im Betreff erhält (in diesem Fall „[SPAM]“ bzw. “[PROBABLY_SPAM]), und an den internen Mailserver weitergeleitet wird. Der Mailserver filtert seinerseits nun die ankommenden E-Mails im Betreff nach dieser Nachricht und schiebt Diese dann in einen Junk-Ordner. So können die Benutzer intern selber entscheiden ob die E-Mails für sie von Belang sind oder nicht.

Damit ist die Einrichtung der Firewall für das UMA abgeschlossen.