notempty
Beschreibung des Mailfilters
Letzte Anpassung zur Version: 11.8.6 (11.2019)
- Neu:
- Neu in Version 11.8.6 E-Mails in der Quarantäne können nun alternativ auch als Anhang in einer neuen E-Mail versendet werden.
- Neu in Version 11.8.6 Mailfilter unterstützt nun die Decodierung von Abschnitten in Microsofts proprietärem TNEF -Format
- Das E-Mail Zeitschloss: In den Filterregeln kann die Aktion
ausgewählt werden.
Die Scan-Engine kann bei neuen Viren, die sich häufig über einen bestimmten Dateityp verbreiten, bei der erneuten Zustellung mit zwischenzeitlich aktualisierten Virensignaturen eine höhere Erkennungswahrscheinlichkeit aufweisen. Die grundsätzliche Zustellung bleibt dabei gewährleistet.
Vorherige Versionen: 11.7 | 11.8
Einführung
Um festzustellen, ob es sich bei einer eingehenden Mail um Spam handelt, können der POP3-Proxy, das Mail-Relay und der Mail-Connector eingehende E-Mails an den Mailfilter übergeben. Der Mailfilter setzt sich aus dem Cyren Scan Daemon, dem ClamAntivurs, dem Securepoint Content-Filter und einem URL Filter zusammen. Wird innerhalb der E-Mail ein Web-Link gefunden, der auf den URL-Filter passt oder der vom Content-Filter erkannt wird, erscheint statt dem Inhalt der E-Mail eine frei editierbare Ersatzmeldung.
Durch den Einsatz des Mail-Connectors ist es möglich, neben POP3 auch E-Mails die mit IMAP sowie den beiden verschlüsselten Varianten abgeholt werden, durch den Mailfilter zu überprüfen.
Im Mailarchiv der UTM werden Mails abgelegt, die anhand der Filterregel in Quarantäne genommen wurden.
E-Mails, die von der UTM weitergeleitet und zugestellt wurden (HAM), sind dann im Mailarchiv nicht mehr zu finden, wenn diese Option nicht aktiviert wird.
Voraussetzung
Hinweis: Damit der Mailfilter Mails erhält, muss der POP3-Proxy, das Mail-Relay oder der Mail-Connector konfiguriert sein.
Filterregeln
Übersicht
Über die Filterregeln wird entschieden, wie mit E-Mails, bei denen definierte Eigenschaften erkannt wurden, verfahren wird. Dabei wird zwischen den Protokollen SMTP und POP3 sowie dem Mail-Connector unterschieden.
Über den Mail-Connector ist die UTM in der Lage, E-Mails über die Protokolle POP3 und IMAP und deren verschlüsselten Varianten POP3S und IMAPS von einem Mailserver abzuholen und mit dem Mailfilter auf Spam und Schadsoftware zu überprüfen.
Weiterhin wird zwischen den Protokollen POP3 und SMTP unterschieden. Wenn das Mailrelay genutzt wird, lautet das Protokoll SMTP. Bei Verwendung des POP3-Proxy wird das Protokoll POP3 ausgewählt.
Konfiguration
Mit wird eine neue Filterregel erstellt.
Es muss ein eindeutiger Regelname vergeben werden.
Mit dem Regeln mit -Operator verbinden wird festgelegt, ob alle Kriterien erfüllt sein müssen () oder ob es ausreichend ist, wenn nur ein Kriterium der Filterregel erfüllt wird ().
Eine Filterung nach folgenden ist möglich:
- Protokoll - Auswählbar sind: , oder
- Quellhost
- Zielhost
- Sender
- Empfänger
- Header-Feld
- Spam oder nicht Spam
- verdächtig oder auch nicht verdächtig
- Massen E-Mails (Bulk) oder kein Bulk
- Enthält Virus oder enthält keinen Virus
- wurde vom URL-Filter erfasst oder wurde nicht erfasst
- mit Inhalt dessen - Auswahl oder
Als Bedingung steht zur
- ist bzw. ist nicht
- enthält bzw. enthält nicht
- passt auf Regex
- endet auf bzw. endet nicht auf
In der Klick-Box können nun Elemente ausgewählt oder auch neu eingegeben werden.
Mit dem Button können weitere Kriterien für diesen Filter hinzugefügt werden.
Tip: Weitere Konfigurationshinweise finden sich in unserem Best-Practice-Artikel zum Thema Mail Security
Bei Aktionen ausführen: stehen folgende Optionen zur Verfügung:
| Aktion | Beschreibung |
|---|---|
| Wichtig: Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden! Wichtig: Bei der Verwendung des Mail-Connectors wird von dieser Funktion dringend abgeraten. Weder der Absender noch der Empfänger erhalten eine Benachrichtigung darüber, daß die E-Mail abgelehnt wurde! | |
Neu in 11.8 |
Zusätzlich Eingabe der Quarantänedauer 30 in Minuten Wichtig: Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden! |
| (und eine vordefinierte Zeit (siehe Einstellungen) zur Ansicht vorhalten) Wichtig: Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden! | |
| Wichtig: Bei der Verwendung des POP3-Proxys darf diese Option nicht verwendet werden! | |
| Es wird für den zutreffenden Abschnitt (Plain-Text, html-Text, Anhang etc.) eine Ersatzmeldung angezeigt. | |
| Text, mit dem der Betreff so ergänzt wird, dass die Mail kenntlich gemacht wird und z. B. vom Mailserver in einen entsprechenden Ordner verschoben werden kann. |
Whitelist Ausnahme Regel
In einer Whitelist-Regel wird unter bestimmten Bedingungen das Annehmen einer Mail festgelegt. Damit eine Regel als Whitelist-Regel funktioniert, muss die Reihenfolge definiert werden, so dass diese Regel vor der allgemeinen Spam-Quarantäne-Regel greift.
Durch klicken und halten mit der linken Maustaste auf die Whitelist-Regel (Pos. 7) in der Spalte „Pos.“, wird diese Regel nach oben über die allgemeine Spam_SMTP Filterregel verschoben. Hat die Regel die gewünschte Position erreicht, wird die Maustaste losgelassen.
Die Whitelist-Regel erhält nun entsprechend ihrer Rangfolge eine neue Positionsnummer.
Tip: Weitere Konfigurationshinweise finden sich in unserem Best-Practice-Artikel zum Thema Mail Security.
URL-Filter
Mit dem URL-Filter wird untersucht, ob E-Mails Web-Links beinhalten. Wird in der Mail ein Link erkannt, der in dieser Liste ingetragen ist, wird statt dem gesamten Mailtext eine Ersatzmeldung angezeigt. Unbedenkliche URLs können hier explizit erlaubt werden, damit sie nicht vom Kategorie-Filter abgelehnt werden. (Reihenfolge wie bei Whitelist-Filter beachten!).
Mit der Schaltfläche ✔ können die URLs zugelassen bzw. blockiert werden.
Bei URLs können Wildcards * verwendet werden. Kategorien werden anhand des Securepoint Content-Filters geprüft, der auch beim Webfilter verwendet wird.
Einstellungen
Hier besteht die Möglichkeit, einen Spamreport erstellen zu lassen, die Blocking-Meldungen zu ändern und zu definieren nach welchen Kriterien die E-Mails im Mailarchiv der UTM vorgehalten werden.
Spamreport
| UTM [[Datei: ]] | |||
| |||
| |||
| |||
| 1. | 20 : 00 |
||
| 2. 3. 4. |
|||
UTMAuthentifizierungBenutzer [[Datei: ]]
- Userinterface
| Beschriftung | Default | Beschreibung |
|---|---|---|
| Herunterladen von folgenden Anhängen erlauben: | (Default) | Mitglieder dieser Gruppe können im User-Interface Anhänge von Mails herunterladen, die bestimmte Kriterien erfüllen. |
| Weiterleiten von folgenden E-Mails erlauben: | Mitglieder dieser Gruppe können im User-Interface Anhänge von Mails weiterleiten, die bestimmte Kriterien erfüllen. | |
| (Default) | ||
| Bericht E-Mail-Adresse: | E-Mail-Adresse, an die ein Spam-Report versendet wird. Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet. 
| |
| Sprache der Berichte: | Vorgabe unter → Firewall → Sprache der BerichteEs kann gezielt ausgewählt werden: bzw. | |
| E-Mail-Adressen | ||
| E-Mail-Adresse | Eintragen einer Mail-Adresse in die Liste | |
| support@ttt-point.de | E-Mailkonten ein, die von dieser Gruppe eingesehen werden können, um den Mailfilter zu kontrollieren. Löschen mit |
[[Datei: |hochkant=2|mini|]]
Ersatzmeldungen
Hier werden Texte definiert, die anstatt des E-Mail Textes oder des blockierten Anhangs angezeigt werden sollen. Mit können die Texte geändert werden.
| Typ | Default-Nachricht | Beschreibung |
|---|---|---|
| Content-Blocking | The content is rejected due content restrictions. If you think this is incorrect, please contact the IT Service Desk. |
Text für E-Mails, die wegen Ihres Inhalts oder Anhangs geblockt wurden. |
| URL-Filter | The content is rejected due content restrictions. If you think this is incorrect, please contact the IT Service Desk. |
Text für E-Mails, die wegen der beinhalteten URLs gefiltert wurden. |
| Virus-Blocking | The content is rejected due content restrictions. If you think this is incorrect, please contact the IT Service Desk. |
Text für E-Mails, die wegen einer Viruserkennung geblockt wurden. |
Mailarchiv
Vorgaben, wie E-Mails im Quarantäne-Archiv der UTM vorgehalten werden.
| Kriterium / Aktion | Default | Beschreibung |
|---|---|---|
| Maximale E-Mail-Anzahl: | 1024 | Gibt an, wie viele Mails lokal auf der UTM vorgehalten werden. |
| Maximales E-Mail Alter: | 7 Tage. | Definiert die Zeit der Vorhaltung. |
| Maximale Archivgröße: | 128 Megabytes. | Benennt den Speicherplatz, der Mails zur Verfügung steht. Bei erreichen der Grenze, werden die ältesten Mails gelöscht. |
| Alle E-Mail Transaktionen speichern: | Aus | Bei Aktivierung werden zusätzlich zu den vollständigen gefilterten und abgelehnten Mails auch die Meta-Informationen zu unbeanstandeten Mails gespeichert. |
| Erneutes Zustellen als Anhang: Neu in 11.8.6 |
Aus | E-Mails in der Quarantäne können nun alternativ auch als Anhang in einer neuen E-Mail versendet werden. |
| TNEF Dekodierung aktivieren: Neu in 11.8.6 |
Aus | E-Mails, deren formatierte body-Elemente oder Anhänge von Microsoft Outlook im proprietären TNEF-Format kodiert wurden können bei Aktivierung vom Mailfilter erfasst werden. |
Abschluss
Abschluss der Konfiguration mit und