Anpassung der Firewall an das UMA2.0

Aus Securepoint Wiki
Version vom 4. Oktober 2016, 14:22 Uhr von Felixk (Diskussion | Beiträge) (Einrichtung der Firewall für das UMA)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu:Navigation, Suche


Einrichtung der Firewall für das UMA

Der erste Punkt der Implementierung des UMA ist die Anpassung der Firewall. Diese muss für den Empfang von E-Mails über POP3 oder SMTP so konfiguriert werden, dass Mails angenommen, auf Spam überprüft, auf Viren gefiltert und an den internen Exchange-Server weitergeleitet werden. Die Administration der Firewall erfolgt hierbei über einen PC, welcher in das interne Netzwerk integriert wurde. So kann problemlos über einen Browser auf das Webinterface der Firewall zugegriffen werden.

Einzelheiten zur Administration der Firewall finden Sie im entsprechenden Wiki. In diesem Fall beschreiben wir die Einrichtung mit UTM Version 11.

Anlegen der Netzwerkobjekte und Firewall-Regeln für SMTP

Das Anlegen von Firewall-Regeln setzt das Vorhandensein von Netzwerkobjekten und Diensten voraus.

Portfilter-Regeln

Dafür gehen Sie als erstes in der Firewall in der Menüleiste auf „Firewall“, wählen den Menüpunkt „Portfilter“ und wechseln in den Bereich „Netzwerkobjekte“. Hier legen Sie ein Netzwerkobjekt für den Exchange-Server an.

Diesem Netzwerkobjekt wird ein Name, die IP-Adresse des Servers und die Zone, in der sich der Server befindet, zugewiesen.

Die Netzwerkobjekte für die externe und interne Schnittstelle, das Internet sowie für den Dienst SMTP mit dem Port 25 sind normalerweise bereits vorkonfiguriert. Sollte dieses bei ihnen nicht der Fall sein, müssen die fehlenden Objekte noch angelegt werden.

Portfilter-Regeln

Im Anschluss daran wird im Bereich Portfilter eine neue Regel angelegt, bei der als Quelle das Internetobjekt, als Ziel das Objekt „External Interface“ und als Dienst „SMTP“ ausgewählt wird. Diese Regel erlaubt der Firewall die Annahme von E-Mails auf dem externen Interface über Port 25 aus dem Internet.

Als zweites wird eine Regel mit dem Exchange-Server-Objekt als Quelle, "Internal Interface" als Ziel und SMTP als Dienst angelegt. Diese Regel erlaubt die Annahme von E-Mails auf dem internen Interface vom Mailserver über Port 25, was auch das Prüfen von ausgehenden E-Mails auf Viren ermöglicht.


Konfigurieren des Mailrelays

Damit ankommende Mails ordnungsgemäß auf Viren überprüft, nach Spam gefiltert und dann an den internen Mailserver weitergeleitet werden können, muss im nächsten Schritt das Mailrelay konfiguriert werden.

Mailrelay Allgemein

Dazu wählen Sie in der Menüleiste "Anwendungen" und den Menüpunkt Mailrelay aus.
Im Bereich "Allgemein" tragen Sie als erstes eine Postmaster E-Mail-Adresse ein und legen die maximale E-Mailgröße für ankommende sowie zu versendende E-Mails fest.




Host hinzufügen
Domain hinzufügen
Mailrelay Relaying

In dem Bereich RELAYING wird, mit einem Klick auf Domain/Host hinzufügen zum einen ein Host mit der IP-Adresse des Mailservers und der Aktion „RELAY“ hinzugefügt.






Weiterhin wird, mit einem Klick auf Domain/Host hinzufügen, eine Domain mit der Option „To“ und der Aktion „RELAY“ angelegt.





Die Eintragung des Hosts gestattet die Annahme von E-Mails mit der IP des Mailservers. Der Eintrag der Domain mit der Option „To“ erlaubt die Annahme aller E-Mails der eingetragenen Domain im Empfänger.





SMTP Route hinzufügen
SMTP Routen

Im Bereich „SMTP Routen“ wird, mit einem Klick auf UTM11 MR SMTPRhinB.png, die entsprechende Maildomain und die internen IP-Adresse des Exchange-Mailservers hinzugefügt.
Diese Route gibt an, dass alle ankommenden E-Mails an den internen Server weitergeleitet werden sollen.




Zu dem ist es sinnvoll im Bereich "Einstellungen" (im unteren Teil dieses Fensters) unter „E-Mail Adresse überprüfen:“ SMTP auszuwählen.

Das hat zur Folge, dass E-Mails an unbekannte Empfänger, die nicht auf dem Mailserver hinterlegt sind, abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre E-Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.




Greeting Pause

Zum weiteren Schutz vor Spam können Sie im Bereich Erweitert den Haken bei „Greeting Pause aktivieren“ setzen.
Ähnlich wie das Graylisting macht sich die Greeting Pause zu Nutze, dass in durch Viren und Trojaner verbreitete Spambots das SMTP-Protokoll nicht zur Gänze implementiert ist, um diese von regulären Mailservern zu unterscheiden. Das Greeting ist eine Textzeile, die vom Mail-Relay an den sendenden Mailserver übermittelt wird. z.B:

220 firewall.foo.local ESMTP Sendmail 8.14.4/8.14.4; Tue, 8 Mar 2011 14:29:30 +2000

Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er SMTP-Kommandos sendet, um die Mailzustellung einzuleiten.
Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen, Kommandos zu senden, da dieser Aspekt des SMTP-Protokolls aus Platzgründen höchstwahrscheinlich ebenso wenig wie ein wiederholter Zustellungsversuch implementiert ist. In diesem Fall wird das Mail-Relay keine Kommandos mehr entgegennehmen.


Anpassen des Mailfilters

Mailfilter Regeln

Als letzter Schritt der Anpassung der Firewall werden die Einstellungen des Spamfilters überprüft und angepasst.

Wechseln Sie unter „Anwendungen“ zum Menüpunkt „Mailfilter“.
Im Bereich Filterregeln finden Sie standardmäßig schon Einträge für SMTP und POP3.
Bei diesen ändern Sie die Aktionen für Spam und Probably-Spam auf „mark“.

Das bewirkt, dass eine E-Mail die von der Firewall als Spam deklariert wird, eine vordefinierte Nachricht im Betreff erhält (in diesem Fall „[SPAM]“ bzw. “[PROBABLY_SPAM]), und an den internen Mailserver weitergeleitet wird. Der Mailserver filtert seinerseits nun die ankommenden E-Mails im Betreff nach dieser Nachricht und schiebt Diese dann in einen Junk-Ordner. So können die Benutzer intern selber entscheiden ob die E-Mails für sie von Belang sind oder nicht.

Damit ist die Einrichtung der Firewall für das UMA abgeschlossen.