Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
(6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 2: Zeile 2:




</div>{{DISPLAYTITLE:++display°°Mailrelay__}}{{TOC2}}
{{var|display|Mailrelay
<p>'''++1°°Konfiguration des Mailrelays__'''</p>
| }}
<p>++2°°Letzte Anpassung zur Version:__ '''11.8.4''' <small>(07.2019)</small></p>
{{var|1|Konfiguration des Mailrelays
<p>{{ td | ++3°°Bemerkung:__ |
| }}
* ++4°°Smarthost: TLS implizit verwenden (ab 11.8.4)__
{{var|2|Letzte Anpassung zur Version:
* ++5°°Smarthost Verifikation: Mailserver können mittels Zertifikat (pki oder dane) auf Echtheit überprüft werden.__
| }}
* ++6°°TLS-Einstellungen als Server und als Client separat konfigurierbar.__
{{var|3|Bemerkung:
* ++7°°TLS-Einstellungen erweitert für dane-konforme Server__
| }}
* ++8°°Maximale Anzahl an Prozessen lässt sich im Reiter {{Reiter|Erweitert}} einstellen.__
{{var|4|Smarthost: TLS implizit verwenden (ab 11.8.4)
| }}
{{var|5|Smarthost Verifikation: Mailserver können mittels Zertifikat (pki oder dane) auf Echtheit überprüft werden.
| }}
{{var|6|TLS-Einstellungen als Server und als Client separat konfigurierbar.
| }}
{{var|7|TLS-Einstellungen erweitert für dane-konforme Server
| }}
{{var|8|Maximale Anzahl an Prozessen lässt sich im Reiter {{Reiter|Erweitert}} einstellen.
| }}
{{var|9|Vorherige Versionen:
| }}
{{var|10|Konfiguration des Mailrelay
| }}
{{var|11|Die Securepoint UTM Appliance kann mithilfe des Mailrelays E-Mails entgegennehmen und an einen Mailserver im internen Netzwerk weiterleiten. Das Mailrelay prüft die empfangenen E-Mails und teilt diese in eine entsprechende Kategorie ein. Anhand der Kategorie, wird entschieden ob eine E-Mail an den internen Mailserver weitergeleitet wird oder nicht.</p>Zum Schutz vor Spam bzw. zur Entlastung des [http://wiki.securepoint.de/index.php/Spamfilter_V11 Mailfilters] lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierten Privat- und Arbeitsplatzrechner. Dagegen haben sich die Überprüfung der Ziel E-Mail-Adressen, das Greylisting und die Greeting Pause als wirksame Funktionen erwiesen.
| }}
{{var|12|Voraussetzungen
| }}
{{var|13|Providerseitige Einstellungen
| }}
{{var|14|Um eine reibungslose Teilnahme am Mailverkehr zu gewährleisten, müssen einige Voraussetzungen erfüllt sein:
| }}
{{var|15|Eine feste IP-Adresse.
| }}
{{var|16|Einen A-Record auf dem DNS-Server des Providers, der auf diese IP auflöst (z.B. mail.ttt-point.de).
| }}
{{var|17|Einen MX-Record, der festlegt, unter welcher Adresse der Mailserver einer Domain erreichbar ist (z.B. mail.ttt-point.de).
| }}
{{var|18|Einen PTR-Record, der die feste IP auf den MX-Record zurückauflöst (reverse DNS).
| }}
{{var|19|Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!
| }}
{{var|20|Hinweis:
| }}
{{var|21|Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, sollten die [https://www.securepoint.de/produkte/utm-firewalls/appliances.html Hardware-Empfehlungen] unbedingt berücksichtigt werden!
| }}
{{var|22|Regelwerk
| }}
{{var|23|UTM_V11-8_PFMR.png
| }}
{{var|24|Portfilterregel für eingehende Mails
| }}
{{var|25|Um anderen Mailservern die Zustellung von Mails auf das Mailrelay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:
| }}
{{var|26|Sollte neben der Internetverbindung mit der IP, über die der Mailversand stattfindet, keine weitere verfügbar sein, muss dafür gesorgt werden, dass NUR dem Mailserver der Versand von Mail per SMTP erlaubt wird. Sonst könnte ein einziger von einem Trojaner kompromittierter Rechner im Netzwerk das Versenden von Mails empfindlich stören oder gar gänzlich unmöglich machen, weil dieser mit der öffentlichen IP Spams und Malware verbreitet und diese innerhalb kürzester Zeit auf entsprechenden Blacklisten für Spammer gelistet wird.
| }}
{{var|w|Wichtig:
| }}
{{var|28|Es darf keine Portweiterleitung für SMTP existieren. Diese würde dafür sorgen, dass die Mails am Mailrelay vorbeigeleitet werden!
| }}
{{var|29|E-Mail-Adresse
| }}
{{var|30|Unter {{Menu| Netzwerk | Servereinstellungen}} {{Beschriftung|Globale E-Mail Adresse:}} sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.
| }}
{{var|31|Grundkonfiguration des Mail Relay zum Empfang von Mails
| }}
{{var|32|Die Konfiguration des Mailrelay findet unter {{Menu| Anwendungen | Mailrelay}} statt.
| }}
{{var|33|UTM 11-8 Mailrelay Allgemein.png
| }}
{{var|34|Allgemeine Einstellungen des Mail Relay
| }}
{{var|35|Allgemein
| }}
{{var|36|Funktion
| }}
{{var|37|Wert
| }}
{{var|38|Beschreibung
| }}
{{var|39|Mailfilter aktivieren:
| }}
{{var|40|Ein
| }}
{{var|41|aktivieren
| }}
{{var|42|Postmaster-Adresse:
| }}
{{var|43|Hier muss eine korrekte Mail-Adresse hinterlegt sein.<br>Diese E-Mail-Adresse wird im Dialog {{Menu| Netzwerk | &ensp;Servereinstellungen}} im Feld {{ b | Globale E-Mail Adresse}} festgelegt. Änderungen sind nur dort möglich.
| }}
{{var|44|Maximale Nachrichtengröße:
| }}
{{var|45|Maximale Größe der Mails in  Megabytes, die vom Mailrelay angenommen werden.
| }}
{{var|46|Ausgehende IP-Adresse:
| }}
{{var|47|Bei Multipath-Routing kann hier eine ausgehende Schnittstelle durch die IP-Adresse angegeben werden.<br>{{Hinweis | !}}Auch die Kommunikation aus dem internen Netz läuft dann über diese IP-Adresse. Auf dem Mailserver und seiner Firewall müssen weitere Einstellungen vorgenommen werden,  damit Mails von dieser IP-Adresse angenommen werden.
| }}
{{var|48|UTM_v11.8.4_Anwendungen_Mailrelay_Smarthost.png
| }}
{{var|49|Smarthost Einstellungen des Mailrelay
| }}
{{var|50|Smarthost
| }}
{{var|51|Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist. Das ist z.B. der Fall, wenn kein eigener Mailserver betrieben wird oder keine feste öffentliche IP-Adresse vorliegt.
| }}
{{var|52|Beschriftung
| }}
{{var|53|Wert
| }}
{{var|54|Beschreibung
| }}
{{var|55|Smarthost aktivieren:
| }}
{{var|ein|Ein
| }}
{{var|56|aktiviert die Smarthost-Funktion.
| }}
{{var|57|Smarthost:
| }}
{{var|58|Externer Mailserver <small>(Beispieladresse)</small>
| }}
{{var|59|Port:
| }}
{{var|60|Mail-Port für externen Mail-Server<br> 25: Standardport für smtp (Default)<br>465: Standardport für implzites TLS<br>587: Standardport für STARTTLS
| }}
{{var|61|TLS implizit verwenden
| }}
{{var|62|Neu ab
| }}
{{var|aus|Aus
| }}
{{var|63|Per Default (deaktiviert) wird eine Verbindung zunächst über smtp aufgebaut und anschließend versucht mit der Gegenstelle eine TLS-Verschlüsselung zu initiieren.|-| class="sichtbar_monitor" style="border-top:0;"| || {{ButtonAn|{{#var:ein|Ein}} }} ||
{{var|64|Bei Aktivierung wird die Verbindung erst mit TLS verschlüsselt, bevor die smtp-Kommunikation aufgebaut wird. Beherrscht die Gegenstelle kein TLS kommt keine Verbindung zu Stande. Die TLS-Version wird unter {{Menu|Authentifizierung|Verschlüsselung}} konfiguriert.
| }}
{{var|65|Smarthost Verifikation:
| }}
{{var|66|Neu in
| }}
{{var|67|Keine
| }}
{{var|68|Es wird keine Verifikation des Smarthosts vorgenommen.
| }}
{{var|69|Der Smarthost wird anhand von standardmäßig installierten Root-CAs oder einer selbstsignierten CA verifiziert.<br> {{ b | CA:}} {{Button | SystemCAs |dr}} (Default) Alternativ kann eine (zuvor unter {{Menu | Authentifizierung | Zertifikate }} erstellte oder importierte ) CA zur Authentifizierung ausgewählt werden.
| }}
{{var|70|Der Smarthost wird ausschließlich mittels DANE Protokoll (RFC 6698) verifiziert und muss dieses unterstützen
| }}
{{var|71|Das DANE-Protokoll erfordert zwingend  die Aktivierung von
| }}
{{var|72|Authentifizierung aktivieren:
| }}
{{var|73|Erfordert die Authentifizierung am Smarthost-Mailserver.
| }}
{{var|74|Benutzer
| }}
{{var|75|Zugangsdaten
| }}
{{var|76|Passwort
| }}
{{var|77|Relaying
| }}
{{var|78|UTM v11-8-2 Mailrelay Relaying.png
| }}
{{var|79|Konfiguration Relaying
| }}
{{var|80|Relaying-Liste
| }}
{{var|81|Hier wird konfiguriert, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.
| }}
{{var|82|UTM 11-8 Mailrelay Relaying Domain hinzufügen.png
| }}
{{var|83|Domain / Host hinzufügen Dialog
| }}
{{var|84|Hinzufügen eines Eintrags mit dem Button {{Button|+ Domain / Host hinzufügen}}
| }}
{{var|85|Angabe folgender Werte:
| }}
{{var|86|Beschriftung
| }}
{{var|87|Wert
| }}
{{var|88|Beschreibung
| }}
{{var|89|Domain:
| }}
{{var|90|E-Mail-Domainname oder IP-Adresse
| }}
{{var|91|Option
| }}
{{var|92|Die Aktion wird auf alle Ereignisse angewendet.
| }}
{{var|93|Hier wird die Absender-Domain ausgewertet. Beispiel: Domain: ttt-point.de -  Betrifft alle Mails mit der Domain <code>ttt-point.de</code> im Absender.
| }}
{{var|94|Da sich die Absender-Domain leicht fälschen lässt, ist diese Option nur nach sorgfältiger Prüfung einzusetzen.
| }}
{{var|95|Hier wird die Empfänger-Domain ausgewertet. Beispiel: Domain: anyideas.de - Betrifft alle Mails mit der Domain <code>anyideas.de</code> im Empfänger.
| }}
{{var|96|Hier wird die IP, der Hostname oder die Domain des Mail'''servers''' ausgewertet, der die Mail zustellen möchte. Beispiel: Domain: <code>ttt-point.de</code> - Betrifft alle Mails, von Mailservern aus der Domain <code>ttt-point.de</code> - unabhängig vom Sender oder Empfänger der Mail.|-| style="border-bottom:0;" | {{Beschriftung|
{{var|97|Aktion
| }}
{{var|98|Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet.
| }}
{{var|99|ABGELEHNT
| }}
{{var|100|Mails werden abgewiesen.
| }}
{{var|101|Mails werden angenommen und an ein lokales Postfach zugestellt, aber nicht weitergeleitet.
| }}
{{var|102|Um also alle Mails zu relayen, die für Empfänger der eigenen Domain bestimmt sind, muss folgender Eintrag konfiguriert werden:
| }}
{{var|103|Exakten Domainnamen für das Relaying verwenden:
| }}
{{var|104|Das Relay reagiert nur auf den in der Liste eingetragenen Domainnamen und nicht auf nicht eingetragene Subdomains oder Erweiterungen.
| }}
{{var|105|Beispiel: '''In die Relayliste eingetragene Domain: anyideas.de'''
| }}
{{var|106|vom Mailrelay akzeptiert:
| }}
{{var|107|vom Mailrelay akzeptiert
| }}
{{var|108|vom Mailrelay akzeptiert:
| }}
{{var|109|vom Mailrelay akzeptiert:
| }}
{{var|110|TLS Einstellungen
| }}
{{var|111|Beschriftung
| }}
{{var|112|Default
| }}
{{var|113|Beschreibung
| }}
{{var|114|TLS Verschlüsselung als Server:
| }}
{{var|115|Wird TLS deaktiviert, werden Mails über unverschlüsselte Verbindungen versendet!
| }}
{{var|116|Zertifikat
| }}
{{var|117|default
| }}
{{var|118|Das Mailrelay verwendet ein selbst-signiertes Zertifikat für die Transportverschlüsselung. Optional kann ein Zertifikat, dessen CN dem Hostnamen der UTM entspricht, unter {{ Menu | Authentifizierung | &ensp;Zertifikate }} importiert werden.
| }}
{{var|119|TLS Verschlüsselung als Client:
| }}
{{var|120|Verwendet TLS, sofern es angeboten wird.
| }}
{{var|121|Verwendet immer TLS. Verbindung mit Servern, die kein TLS anbieten, werden wieder abgebrochen.
| }}
{{var|122|Authentifiziert und verwendet TLS zu DANE-Konformen Servern, sofern es angeboten wird.
| }}
{{var|123|SMTP Routen
| }}
{{var|124|SMTP Routen-Liste
| }}
{{var|125|UTM 11-8 Mailrelay SMTP Routen.png
| }}
{{var|126|Konfiguration der SMTP Routen
| }}
{{var|127|Hier muss eingestellt werden, an welchen Mailserver eine entgegengenommene Mail weitergeleitet werden soll. Falls dies nicht geschieht, wertet das Mailrelay den MX-Record der Empfänger-Domain aus - der auf das Relay selbst zeigt! Es wird dann ein sogenannter "Loopback" erkannt, durch den die Annahme der Mail mit einer entsprechenden Fehlermeldung abgebrochen wird. Im Folgenden können dann auch weitere Domains auf den gleichen oder auf andere Mailserver weitergeleitet werden.</p><p>Mit dem Button {{Button|+&nbsp;SMTP-Routing&nbsp;hinzufügen}} werden weitere Routen angelegt.</p>
| }}
{{var|128|Erforderliche Angaben dabei:
| }}
{{var|129|Domain:
| }}
{{var|130|bzw. die entsprechende Maildomain
| }}
{{var|131|Mailserver:
| }}
{{var|132|entweder als FQDN oder die IP-Adresse
| }}
{{var|133|Einstellungen
| }}
{{var|134|In dieser Rubrik kann die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.
| }}
{{var|135|Funktion
| }}
{{var|136|Option
| }}
{{var|137|Beschreibung
| }}
{{var|138|E-Mail-Adresse überprüfen:
| }}
{{var|139|Es findet keine Überprüfung von E-Mail-Adressen statt. Es wird versucht, alle Mails zuzustellen.
| }}
{{var|139|Die Securepoint Appliance fragt im Hintergrund den internen Mailserver ab.
| }}
{{var|140|Die Validierung muss ebenso am Mailserver aktiv sein! (Recipient Verification z.B. bei einem Exchange)
| }}
{{var|141|Die Securepoint Appliance fragt beispielsweise den Active Directory-Server ab.<br>Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter [[UTM/AUTH/AD_Anbindung|{{Menu | Authentifizierung | AD/LDAP Authentifzierung}}]] konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten.
| }}
{{var|142|Lokale E-Mail-Adressliste
| }}
{{var|143|Mail-Adressliste
| }}
{{var|144|Hier stehen alle bekannten Adressen.
| }}
{{var|145|Lokale E-Mail-Adressliste bearbeiten
| }}
{{var|146|Hiermit können Mail-Adressen hinzugefügt und entfernt werden.
| }}
{{var|147|Optionale Einstellungen
| }}
{{var|148|Weitere Einstellungen sind empfehlenswert, aber für einen operativen Einsatz nicht zwingend notwendig:
| }}
{{var|149|UTM_v11-8_Mailrelay_Greylisting-on.png
| }}
{{var|150|Konfiguration von Greylisting
| }}
{{var|160|Greylisting
| }}
{{var|161|Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird. Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.<p>Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.
| }}
{{var|162|Whitelist
| }}
{{var|162b|Die Whitelist erlaubt folgende Einträge:
| }}
{{var|163|Reiter
| }}
{{var|164|Beschreibung
| }}
{{var|165|IP / Netzwerke
| }}
{{var|166|Hier können einzelne IP-Adressen oder Netzwerke hinzugefügt werden z.B.:
| }}
{{var|167|Domains
| }}
{{var|168|Hier können einzelne Mail'''server'''-Domains hinzugefügt werden z.B.:
| }}
{{var|169|Die Domain des Mailservers muss nicht  identisch mit der E-Mail Domain des Absender sein. <br>Beispiel: Absender <code>user@ttt-point.de</code> sendet über den Mailserver <code>smtp.anyideas.de</code>
| }}
{{var|170|Empfänger
| }}
{{var|171|Hier können einzelne Empfänger hinzugefügt werden z.B.:
| }}
{{var|172|Absender
| }}
{{var|173|Hier können einzelne Absender hinzugefügt werden z.B.:<code>MailSender@ttt-point.de</code><br>Um alle Absender einer E-Mail Domain in die Whitelist mit aufzunehmen, wird dieser Eintrag als [[:UTM/APP/Regex |Regulärer Ausdruck]] eingetragen: <code>/.*@ttt-point\.de/</code>
| }}
{{var|174|Einstellungen
| }}
{{var|175|Beschriftung
| }}
{{var|176|Beschreibung
| }}
{{var|177|Greylisting aktivieren:
| }}
{{var|178|aktiviert die Funktion
| }}
{{var|179|SPF aktivieren:
| }}
{{var|180|Wenn das [https://de.wikipedia.org/wiki/Sender_Policy_Framework Sender Policy Framework] der Absenderdomain korrekt im DNS eingetragen ist, wird die Mail ohne Verzögerung zugestellt.
| }}
{{var|181|Automatisches Whitelisten für:
| }}
{{var|182|Tage<small>(Default)</small> : Für diesen Zeitraum werden Mails sofort entgegengenommen.
| }}
{{var|183|Verzögerung:
| }}
{{var|184|Minuten<small>(Default)</small>: Zeitraum, der dem sendenden Mailserver vorgegeben wird, um einen weiteren Zustellversuch vorzunehmen.
| }}
{{var|185|Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden
| }}
{{var|186|Positiv:
| }}
{{var|187|Wird ein größerer Wert für {{Beschriftung |Verzögerung}} von z.B.: {{ ic | 30 | c }} Minuten gewählt, kann die Scan-Engine bei der erneuten Zustellung mit zwischenzeitlich aktualisierten  Virensignaturen eine höhere Erkennungswahrscheinlichkeit bei neuen Outbreaks aufweisen.
| }}
{{var|188|Domain Mapping
| }}
{{var|189|Domains können gemappt werden, um eingehende um Mails an z.B. <code>user@anyideas.net</code> auch unter <code>user@anyideas.de</code> zu empfangen.
| }}
{{var|190|Mit {{Button|+ Domain Mapping hinzufügen}} kann das Mapping zwischen zwei Domains aktiviert werden.
| }}
{{var|191|Dazu muss jeweils eine {{Beschriftung|Quell-Domain:}} und eine {{Beschriftung| Ziel-Domain:}} angegeben werden.
| }}
{{var|192|Erweiterte Einstellungen
| }}
{{var|193|Erweitert
| }}
{{var|194|UTM_v11-8-2_Mailrelay_Erweitert.png
| }}
{{var|195|Erweiterte Einstellungen des Mail Relay
| }}
{{var|196|Hier befinden sich weitere Optionen zur Vermeidung von Spam, die jeweils einzeln aktiviert werden können:
| }}
{{var|197|Funktion
| }}
{{var|198|Beschreibung
| }}
{{var|199|Greeting Pause
| }}
{{var|200|Status:
| }}
{{var|201|aktiviert die Funktion.
| }}
{{var|202|Dauer:
| }}
{{var|203|Milisekunden (Standardwert). Zeit, die das Mailrelay die Grußbotschaft verzögert. Sendet der verbundene Client vor Ablauf dieser Zeit SMTP Kommandos, wird sein Request beim RCPT TO-Kommando mit einem "Protocol Error" abgewiesen.<br>{{Button|Ausnahmen}} können für bekannte Mailserver als Netzwerk- oder Host-IP-Adresse definiert werden.
| }}
{{var|204|Erfolgreich wartende Mailserver werden außerdem automatisch für einen Tag in die Whitelist aufgenommen.
| }}
{{var|205|Empfänger-Beschränkung
| }}
{{var|206|Limit:
| }}
{{var|207|Empfänger
| }}
{{var|208|Diese Option blockiert Mails, die mehr als eine einstellbare Zahl Empfängeradressen aufweisen
| }}
{{var|209|Beschränkung pro Client
| }}
{{var|210|Verbindungen limitieren:
| }}
{{var|211|Ausnahmen
| }}
{{var|212|können für bekannte Mailserver als Netzwerk- oder Host-IP-Adresse definiert werden.<br>Konfiguration, wenn ein einzelner Mailserver (identifiziert anhand seiner IP-Adresse) maximal eine Verbindung zur UTM Appliance und maximal 5 Verbindungen nacheinander pro Minute aufbauen dürfen soll:
| }}
{{var|213|Erlaubte Verbindungen:
| }}
{{var|214|Anzahl der Verbindungen, je verbundenem Mailserver (Client).
| }}
{{var|215|Zugriffskontrolle aktivieren:
| }}
{{var|216|Beschränkt die Anzahl der Verbindungen je verbundenem Mailserver (Client) innerhalb eines Zeitfensters.
| }}
{{var|217|Zeitfenster:
| }}
{{var|218|Sekunden
| }}
{{var|219|Verbindungen pro Zeitfenster:
| }}
{{var|220|Sonstige
| }}
{{var|221|HELO benötigt:
| }}
{{var|222|Sollte unbedingt aktiviert bleiben (Standard) Dieser Schalter existiert, um Abwärtskompatibilität zu gewähleisten.
| }}
{{var|223|Reverse DNS lookup benötigt:
| }}
{{var|224|Verlangt, dass für verbundene Mailserver ein Reverse-Lookup(Address) existiert. Der Forward Lookup muss wieder die IP-Adresse ergibt.
| }}
{{var|225|Unauflösbare Domains akzeptieren:
| }}
{{var|226|Erlaubt Absenderadressen, deren Domäne nicht per DNS auflösbar ist.
| }}
{{var|227|Maximale Anzahl an Prozessen:
| }}
{{var|228|Steuert die globale Anzahl gleichzeitiger Verbindungen zum Mailrelay (und anhängender Filter und Spamabwehr-Prozesse)
| }}
{{var|229|Konfiguration des Mailrelays für ausgehende Mails
| }}
{{var|230|Um wirklich sicherzugehen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mailrelay auch für ausgehende Mails verwendet werden.
| }}
{{var|231|Regelwerk
| }}
{{var|232|Um den Zugriff auf das Mailrelay zu erlauben, muss den zum Mailversand berechtigten Hosts der Zugriff auf die entsprechende Schnittstelle der Securepoint Appliance (abhängig von der Zone, in der sich die Hosts befinden) über das Protokoll SMTP erlaubt werden. Dies kann je nach Anforderung ein einzelner Host (z.B. der Mailserver), eine Gruppe von Hosts oder das gesamte Netzwerk sein. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mailrelay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben.
| }}
{{var|233|UTM_V11-8_PFMR2.png
| }}
{{var|234|Firewall-Regel für ausgehende Mails aus dem internen Netz
| }}
{{var|235|Um z.B. dem internen Netzwerk den Zugriff auf das Mailrelay zu gestatten, kann das Regelwerk mit den vordefinierten Netzwerkgruppen erstellt werden:
| }}
{{var|236|UTM_V11-8_PFMR Serverobjekt.png
| }}
{{var|237|Netzwerkobjekt Mailserver
| }}
{{var|238|Soll nur der Mailserver Mails versenden können, muss dieser zunächst als Netzwerkobjekt angelegt werden:
| }}
{{var|239|UTM_V118_PFMR3.png
| }}
{{var|240|Firewall-Regel für ausgehende Mails des Mailservers
| }}
{{var|241|Dieses Objekt kann dann in der Firewall-Regel verwendet werden:
| }}
{{var|242|Soll einer bestimmten Gruppe von Rechnern im internen Netzwerk gestattet sein, das Mailrelay zu benutzen, dann müssen diese Rechner jeweils als Netzwerkobjekt angelegt werden. Diese können dann in einer Gruppe zusammengefasst werden (z.B. "SMTP-Berechtigte").
| }}
{{var|243|Konfiguration Relaying
| }}
{{var|244|Damit das Mailrelay die Mails aus dem internen Netz bzw. vom Mailserver auch annimmt, müssen die Einstellungen im Reiter {{Reiter|Relaying}} um einen entsprechenden Eintrag ergänzt werden. Als Kriterium dient die Netzwerkadresse des entsprechenden Subnetzes bzw. die IP-Adresse des betreffenden Rechners:
| }}
{{var|245|Domain / Host hinzufügen
| }}
{{var|246|Domain
| }}
{{var|247|oder
| }}
{{var|248|Dieses sind Beispiel-IPs für die internen Mailserver. Diese müssen durch individuelle Adressen ersetzt werden!
| }}
{{var|249|Option
| }}
{{var|250|Aktion
| }}
{{var|251|Ergebnis
| }}
{{var|252|Die UTM kann jetzt eingehende und ggf. auch ausgehende Mails auf Spam und Viren überprüfen.
| }}
 
</div>{{DISPLAYTITLE:{{#var:display|Mailrelay}}}}{{TOC2}}
<p>'''{{#var:1|Konfiguration des Mailrelays}}'''</p>
<p>{{#var:2|Letzte Anpassung zur Version:}} '''11.8.4''' <small>(07.2019)</small></p>
<p>{{ td | {{#var:3|Bemerkung:}} |
* {{#var:4|Smarthost: TLS implizit verwenden (ab 11.8.4)}}
* {{#var:5|Smarthost Verifikation: Mailserver können mittels Zertifikat (pki oder dane) auf Echtheit überprüft werden.}}
* {{#var:6|TLS-Einstellungen als Server und als Client separat konfigurierbar.}}
* {{#var:7|TLS-Einstellungen erweitert für dane-konforme Server}}
* {{#var:8|Maximale Anzahl an Prozessen lässt sich im Reiter {{Reiter|Erweitert}} einstellen.}}
| w=80px }}
| w=80px }}
</p>
</p>


<p>++9°°Vorherige Versionen:__ [[UTM/APP/Mailrelay| '''11.7''']] / [[UTM/APP/MailRelay_11.8 | '''11.8''']] / [[UTM/APP/MailRelay_11.8.2 | '''11.8.2''']]</p>
<p>{{#var:9|Vorherige Versionen:}} [[UTM/APP/Mailrelay_11.7| '''11.7''']] / [[UTM/APP/MailRelay_11.8 | '''11.8''']] / [[UTM/APP/Mailrelay_11.8.2 | '''11.8.2''']]</p>
----
----
=== ++10°°Konfiguration des Mailrelay__ ===
=== {{#var:10|Konfiguration des Mailrelay}} ===




<p>++11°°Die Securepoint UTM Appliance kann mithilfe des Mailrelays E-Mails entgegennehmen und an einen Mailserver im internen Netzwerk weiterleiten. Das Mailrelay prüft die empfangenen E-Mails und teilt diese in eine entsprechende Kategorie ein. Anhand der Kategorie, wird entschieden ob eine E-Mail an den internen Mailserver weitergeleitet wird oder nicht.</p>
<p>{{#var:11|Die Securepoint UTM Appliance kann mithilfe des Mailrelays E-Mails entgegennehmen und an einen Mailserver im internen Netzwerk weiterleiten. Das Mailrelay prüft die empfangenen E-Mails und teilt diese in eine entsprechende Kategorie ein. Anhand der Kategorie, wird entschieden ob eine E-Mail an den internen Mailserver weitergeleitet wird oder nicht.</p>
Zum Schutz vor Spam bzw. zur Entlastung des [http://wiki.securepoint.de/index.php/Spamfilter_V11 Mailfilters] lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierten Privat- und Arbeitsplatzrechner. Dagegen haben sich die Überprüfung der Ziel E-Mail-Adressen, das Greylisting und die Greeting Pause als wirksame Funktionen erwiesen.__
Zum Schutz vor Spam bzw. zur Entlastung des [http://wiki.securepoint.de/index.php/Spamfilter_V11 Mailfilters] lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierten Privat- und Arbeitsplatzrechner. Dagegen haben sich die Überprüfung der Ziel E-Mail-Adressen, das Greylisting und die Greeting Pause als wirksame Funktionen erwiesen.}}


=== ++12°°Voraussetzungen__ ===
=== {{#var:12|Voraussetzungen}} ===
==== ++13°°Providerseitige Einstellungen__ ====
==== {{#var:13|Providerseitige Einstellungen}} ====
++14°°Um eine reibungslose Teilnahme am Mailverkehr zu gewährleisten, müssen einige Voraussetzungen erfüllt sein:__
{{#var:14|Um eine reibungslose Teilnahme am Mailverkehr zu gewährleisten, müssen einige Voraussetzungen erfüllt sein:}}


* ++15°°Eine feste IP-Adresse.__
* {{#var:15|Eine feste IP-Adresse.}}
* ++16°°Einen A-Record auf dem DNS-Server des Providers, der auf diese IP auflöst (z.B. mail.ttt-point.de).__
* {{#var:16|Einen A-Record auf dem DNS-Server des Providers, der auf diese IP auflöst (z.B. mail.ttt-point.de).}}
* ++17°°Einen MX-Record, der festlegt, unter welcher Adresse der Mailserver einer Domain erreichbar ist (z.B. mail.ttt-point.de).__
* {{#var:17|Einen MX-Record, der festlegt, unter welcher Adresse der Mailserver einer Domain erreichbar ist (z.B. mail.ttt-point.de).}}
* ++18°°Einen PTR-Record, der die feste IP auf den MX-Record zurückauflöst (reverse DNS).__
* {{#var:18|Einen PTR-Record, der die feste IP auf den MX-Record zurückauflöst (reverse DNS).}}


'''''++19°°Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!__'''''
'''''{{#var:19|Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!}}'''''


{{Hinweis | ++20°°Hinweis:__}} ++21°°Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, sollten die [https://www.securepoint.de/produkte/utm-firewalls/appliances.html Hardware-Empfehlungen] unbedingt berücksichtigt werden!__<br><br>
{{Hinweis | {{#var:20|Hinweis:}}}} {{#var:21|Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, sollten die [https://www.securepoint.de/produkte/utm-firewalls/appliances.html Hardware-Empfehlungen] unbedingt berücksichtigt werden!}}<br><br>


==== ++22°°Regelwerk__ ====
==== {{#var:22|Regelwerk}} ====


{{pt2| ++23°°UTM_V11-8_PFMR.png__|hochkant=2|++24°°Portfilterregel für eingehende Mails__}}
{{pt2| {{#var:23|UTM_V11-8_PFMR.png}}|hochkant=2|{{#var:24|Portfilterregel für eingehende Mails}}}}
++25°°Um anderen Mailservern die Zustellung von Mails auf das Mailrelay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:__
{{#var:25|Um anderen Mailservern die Zustellung von Mails auf das Mailrelay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:}}




{{Hinweis|{{#var:20|Hinweis:}} }} ++26°°Sollte neben der Internetverbindung mit der IP, über die der Mailversand stattfindet, keine weitere verfügbar sein, muss dafür gesorgt werden, dass NUR dem Mailserver der Versand von Mail per SMTP erlaubt wird. Sonst könnte ein einziger von einem Trojaner kompromittierter Rechner im Netzwerk das Versenden von Mails empfindlich stören oder gar gänzlich unmöglich machen, weil dieser mit der öffentlichen IP Spams und Malware verbreitet und diese innerhalb kürzester Zeit auf entsprechenden Blacklisten für Spammer gelistet wird.__
{{Hinweis|{{#var:20|Hinweis:}} }} {{#var:26|Sollte neben der Internetverbindung mit der IP, über die der Mailversand stattfindet, keine weitere verfügbar sein, muss dafür gesorgt werden, dass NUR dem Mailserver der Versand von Mail per SMTP erlaubt wird. Sonst könnte ein einziger von einem Trojaner kompromittierter Rechner im Netzwerk das Versenden von Mails empfindlich stören oder gar gänzlich unmöglich machen, weil dieser mit der öffentlichen IP Spams und Malware verbreitet und diese innerhalb kürzester Zeit auf entsprechenden Blacklisten für Spammer gelistet wird.}}


{{Hinweis | ! 27°°Wichtig:__}} ++28°°Es darf keine Portweiterleitung für SMTP existieren. Diese würde dafür sorgen, dass die Mails am Mailrelay vorbeigeleitet werden!__
{{Hinweis | ! {{#var:w|Wichtig:}}}} {{#var:28|Es darf keine Portweiterleitung für SMTP existieren. Diese würde dafür sorgen, dass die Mails am Mailrelay vorbeigeleitet werden!}}
<br><br clear=all>
<br><br clear=all>


==== ++29°°E-Mail-Adresse__ ====
==== {{#var:29|E-Mail-Adresse}} ====
++30°°Unter {{Menu| Netzwerk | Servereinstellungen}} {{Beschriftung|Globale E-Mail Adresse:}} sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.__
{{#var:30|Unter {{Menu| Netzwerk | Servereinstellungen}} {{Beschriftung|Globale E-Mail Adresse:}} sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.}}
<br><br>
<br><br>


=== ++31°°Grundkonfiguration des Mail Relay zum Empfang von Mails__ ===
=== {{#var:31|Grundkonfiguration des Mail Relay zum Empfang von Mails}} ===


++32°°Die Konfiguration des Mailrelay findet unter {{Menu| Anwendungen | Mailrelay}} statt.__
{{#var:32|Die Konfiguration des Mailrelay findet unter {{Menu| Anwendungen | Mailrelay}} statt.}}
<br clear=all>
<br clear=all>




{{pt2| ++33°°UTM 11-8 Mailrelay Allgemein.png__|hochkant=1.5|++34°°Allgemeine Einstellungen des Mail Relay__ | {{ h4| ++35°°Allgemein__ | {{Reiter|{{#var:35|Allgemein}} }} }} }}<br clear=all>
{{pt2| {{#var:33|UTM 11-8 Mailrelay Allgemein.png}}|hochkant=1.5|{{#var:34|Allgemeine Einstellungen des Mail Relay}} | {{ h4| {{#var:35|Allgemein}} | {{Reiter|{{#var:35|Allgemein}} }} }} }}<br clear=all>
{|  class="spgridtr" style="--me-nn:3; --me-width-2: 35%; --me-n:1;" <!-- class="wikitable2" -->
{|  class="spgridtr" style="--me-nn:3; --me-width-2: 35%; --me-n:1;" <!-- class="wikitable2" -->
! ++36°°Funktion__ !! ++37°°Wert__ !! ++38°°Beschreibung__
! {{#var:36|Funktion}} !! {{#var:37|Wert}} !! {{#var:38|Beschreibung}}
|-
|-
| style="min-width:190px;" | {{Beschriftung|++39°°Mailfilter aktivieren:__}} || {{mobilstyle| style-mon=min-width: 180px;}} | {{ ButtonAn | ++40°°Ein__}} || ++41°°aktivieren__
| style="min-width:190px;" | {{Beschriftung|{{#var:39|Mailfilter aktivieren:}}}} || {{mobilstyle| style-mon=min-width: 180px;}} | {{ ButtonAn | {{#var:40|Ein}}}} || {{#var:41|aktivieren}}
|-
|-
| {{Beschriftung|++42°°Postmaster-Adresse:__}} || admin-mail@anyideas.de || ++43°°Hier muss eine korrekte Mail-Adresse hinterlegt sein.<br>Diese E-Mail-Adresse wird im Dialog {{Menu| Netzwerk | &ensp;Servereinstellungen}} im Feld {{ b | Globale E-Mail Adresse}} festgelegt. Änderungen sind nur dort möglich.__
| {{Beschriftung|{{#var:42|Postmaster-Adresse:}}}} || admin-mail@anyideas.de || {{#var:43|Hier muss eine korrekte Mail-Adresse hinterlegt sein.<br>Diese E-Mail-Adresse wird im Dialog {{Menu| Netzwerk | &ensp;Servereinstellungen}} im Feld {{ b | Globale E-Mail Adresse}} festgelegt. Änderungen sind nur dort möglich.}}
|-
|-
| {{Beschriftung| ++44°°Maximale Nachrichtengröße:__}} || {{ ic | 20 | c|w=70px}} || ++45°°Maximale Größe der Mails in  Megabytes, die vom Mailrelay angenommen werden.__
| {{Beschriftung| {{#var:44|Maximale Nachrichtengröße:}}}} || {{ ic | 20 | c|w=70px}} || {{#var:45|Maximale Größe der Mails in  Megabytes, die vom Mailrelay angenommen werden.}}
|-
|-
| {{Beschriftung| ++46°°Ausgehende IP-Adresse:__ }} || {{ic| |w=70px}} || ++47°°Bei Multipath-Routing kann hier eine ausgehende Schnittstelle durch die IP-Adresse angegeben werden.<br>{{Hinweis | !}}Auch die Kommunikation aus dem internen Netz läuft dann über diese IP-Adresse. Auf dem Mailserver und seiner Firewall müssen weitere Einstellungen vorgenommen werden,  damit Mails von dieser IP-Adresse angenommen werden.__
| {{Beschriftung| {{#var:46|Ausgehende IP-Adresse:}} }} || {{ic| |w=70px}} || {{#var:47|Bei Multipath-Routing kann hier eine ausgehende Schnittstelle durch die IP-Adresse angegeben werden.<br>{{Hinweis | !}}Auch die Kommunikation aus dem internen Netz läuft dann über diese IP-Adresse. Auf dem Mailserver und seiner Firewall müssen weitere Einstellungen vorgenommen werden,  damit Mails von dieser IP-Adresse angenommen werden.}}
|}
|}
<br clear=all>
<br clear=all>




{{pt2| ++48°°UTM_v11.8.4_Anwendungen_Mailrelay_Smarthost.png__| ++49°°Smarthost Einstellungen des Mailrelay__ | {{h4 | ++50°°Smarthost__ | {{Reiter|{{#var:50|Smarthost}} }} }} }}
{{pt2| {{#var:48|UTM_v11.8.4_Anwendungen_Mailrelay_Smarthost.png}}| {{#var:49|Smarthost Einstellungen des Mailrelay}} | {{h4 | {{#var:50|Smarthost}} | {{Reiter|{{#var:50|Smarthost}} }} }} }}
++51°°Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist. Das ist z.B. der Fall, wenn kein eigener Mailserver betrieben wird oder keine feste öffentliche IP-Adresse vorliegt.__
{{#var:51|Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist. Das ist z.B. der Fall, wenn kein eigener Mailserver betrieben wird oder keine feste öffentliche IP-Adresse vorliegt.}}
<br clear=all>
<br clear=all>
{| class="spgridtr" style="--me-width-2: 25%; --me-nn:3; --me-n:1;"
{| class="spgridtr" style="--me-width-2: 25%; --me-nn:3; --me-n:1;"
! ++52°°Beschriftung__ !! ++53°°Wert__ !! ++54°°Beschreibung__
! {{#var:52|Beschriftung}} !! {{#var:53|Wert}} !! {{#var:54|Beschreibung}}
|-
|-
| {{Beschriftung| ++55°°Smarthost aktivieren:__ }} || {{ ButtonAn | ++ein°°Ein__}} || ++56°°aktiviert die Smarthost-Funktion.__
| {{Beschriftung| {{#var:55|Smarthost aktivieren:}} }} || {{ ButtonAn | {{#var:ein|Ein}}}} || {{#var:56|aktiviert die Smarthost-Funktion.}}
|-
|-
| {{Beschriftung| ++57°°Smarthost:__}} || style="min-width: 120px;" |{{mobil| |<code>smtp.anyideas.de</code>}} || {{mobil|<code>smtp.anyideas.de</code><br>}}++58°°Externer Mailserver <small>(Beispieladresse)</small>__
| {{Beschriftung| {{#var:57|Smarthost:}}}} || style="min-width: 120px;" |{{mobil| |<code>smtp.anyideas.de</code>}} || {{mobil|<code>smtp.anyideas.de</code><br>}}{{#var:58|Externer Mailserver <small>(Beispieladresse)</small>}}
|-
|-
| {{Beschriftung|++59°°Port:__}} || {{ ic | 465 | c |w=50px}} || ++60°°Mail-Port für externen Mail-Server<br> 25: Standardport für smtp (Default)<br>465: Standardport für implzites TLS<br>587: Standardport für STARTTLS__
| {{Beschriftung|{{#var:59|Port:}}}} || {{ ic | 465 | c |w=50px}} || {{#var:60|Mail-Port für externen Mail-Server<br> 25: Standardport für smtp (Default)<br>465: Standardport für implzites TLS<br>587: Standardport für STARTTLS}}
|-
|-
| style="border-bottom: 0;" | {{b | ++61°°TLS implizit verwenden__}}<br>{{Hinweis|++62°°Neu ab__ 11.8.4|11.8.4}} || {{ButtonAus|++aus°°Aus__}} || ++63°°Per Default (deaktiviert) wird eine Verbindung zunächst über smtp aufgebaut und anschließend versucht mit der Gegenstelle eine TLS-Verschlüsselung zu initiieren.
| style="border-bottom: 0;" | {{b | {{#var:61|TLS implizit verwenden}}}}<br>{{Hinweis|{{#var:62|Neu ab}} 11.8.4|11.8.4}} || {{ButtonAus|{{#var:aus|Aus}}}} || {{#var:63|Per Default (deaktiviert) wird eine Verbindung zunächst über smtp aufgebaut und anschließend versucht mit der Gegenstelle eine TLS-Verschlüsselung zu initiieren.
|-
|-
| class="sichtbar_monitor" style="border-top:0;"| || {{ButtonAn|{{#var:ein|Ein}} }} || ++64°°Bei Aktivierung wird die Verbindung erst mit TLS verschlüsselt, bevor die smtp-Kommunikation aufgebaut wird. Beherrscht die Gegenstelle kein TLS kommt keine Verbindung zu Stande. Die TLS-Version wird unter {{Menu|Authentifizierung|Verschlüsselung}} konfiguriert.__
| class="sichtbar_monitor" style="border-top:0;"| || {{ButtonAn|{{#var:ein|Ein}} }} || {{#var:64|Bei Aktivierung wird die Verbindung erst mit TLS verschlüsselt, bevor die smtp-Kommunikation aufgebaut wird. Beherrscht die Gegenstelle kein TLS kommt keine Verbindung zu Stande. Die TLS-Version wird unter {{Menu|Authentifizierung|Verschlüsselung}} konfiguriert.}}
|-
|-
| style="border-bottom: 0;" | {{ b | ++65°°Smarthost Verifikation:__}}<br>{{Hinweis | ++66°°Neu in__ 11.8.2 | 11.8.2}} || {{ td | {{Button | ++67°°Keine__ | dr|w=60px}} || ++68°°Es wird keine Verifikation des Smarthosts vorgenommen.__
| style="border-bottom: 0;" | {{ b | {{#var:65|Smarthost Verifikation:}}}}<br>{{Hinweis | {{#var:66|Neu in}} 11.8.2 | 11.8.2}} || {{ td | {{Button | {{#var:67|Keine}} | dr|w=60px}} || {{#var:68|Es wird keine Verifikation des Smarthosts vorgenommen.}}
|-
|-
| class="sichtbar_monitor" style="border-top:0; border-bottom:0;"|  ||{{Button | pki | dr | w=55px }} || ++69°°Der Smarthost wird anhand von standardmäßig installierten Root-CAs oder einer selbstsignierten CA verifiziert.<br> {{ b | CA:}} {{Button | SystemCAs |dr}} (Default) Alternativ kann eine (zuvor unter {{Menu | Authentifizierung | Zertifikate }} erstellte oder importierte ) CA zur Authentifizierung ausgewählt werden.__
| class="sichtbar_monitor" style="border-top:0; border-bottom:0;"|  ||{{Button | pki | dr | w=55px }} || {{#var:69|Der Smarthost wird anhand von standardmäßig installierten Root-CAs oder einer selbstsignierten CA verifiziert.<br> {{ b | CA:}} {{Button | SystemCAs |dr}} (Default) Alternativ kann eine (zuvor unter {{Menu | Authentifizierung | Zertifikate }} erstellte oder importierte ) CA zur Authentifizierung ausgewählt werden.}}
|-
|-
|class="sichtbar_monitor" style="border-top:0;"| || {{Button | dane | dr | w=55px }} || ++70°°Der Smarthost wird ausschließlich mittels DANE Protokoll (RFC 6698) verifiziert und muss dieses unterstützen__. <br>
|class="sichtbar_monitor" style="border-top:0;"| || {{Button | dane | dr | w=55px }} || {{#var:70|Der Smarthost wird ausschließlich mittels DANE Protokoll (RFC 6698) verifiziert und muss dieses unterstützen}}. <br>
{{ Hinweis | ! }} ++71°°Das DANE-Protokoll erfordert zwingend  die Aktivierung von__ [[UTM/APP/Nameserver-Allgemein_DNSSEC | DNSSEC]].  
{{ Hinweis | ! }} {{#var:71|Das DANE-Protokoll erfordert zwingend  die Aktivierung von}} [[UTM/APP/Nameserver-Allgemein_DNSSEC | DNSSEC]].  
|-
|-
| style="min-width:190px;" |{{Beschriftung| ++72°°Authentifizierung aktivieren:__ }} || {{ButtonAn |{{#var:ein|Ein}} }} || ++73°°Erfordert die Authentifizierung am Smarthost-Mailserver.__
| style="min-width:190px;" |{{Beschriftung| {{#var:72|Authentifizierung aktivieren:}} }} || {{ButtonAn |{{#var:ein|Ein}} }} || {{#var:73|Erfordert die Authentifizierung am Smarthost-Mailserver.}}
|-
|-
| {{Beschriftung| ++74°°Benutzer__:}} || || <Code>++75°°Zugangsdaten__</code>  
| {{Beschriftung| {{#var:74|Benutzer}}:}} || || <Code>{{#var:75|Zugangsdaten}}</code>  
|-
|-
| {{Beschriftung|++76°°Passwort__}} || || <code>{{#var:75|Zugangsdaten}}</code>
| {{Beschriftung|{{#var:76|Passwort}}}} || || <code>{{#var:75|Zugangsdaten}}</code>
|}
|}
<br clear=all>
<br clear=all>


{{h4 | ++77°°Relaying__ | {{Reiter| {{#var:77|Relaying}} }} }}
{{h4 | {{#var:77|Relaying}} | {{Reiter| {{#var:77|Relaying}} }} }}<br>
{{ pt2 | ++78°°UTM v11-8-2 Mailrelay Relaying.png__ | ++79°°Konfiguration Relaying__ | {{h5 | ++80°°Relaying-Liste__ | {{KastenGrau | {{#var:80|Relaying-Liste}} }} }} }}
{{ pt2 | {{#var:78|UTM v11-8-2 Mailrelay Relaying.png}} | {{#var:79|Konfiguration Relaying}} | {{h5 | {{#var:80|Relaying-Liste}} | {{KastenGrau | {{#var:80|Relaying-Liste}} }} }} }}
++81°°Hier wird konfiguriert, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.__
{{#var:81|Hier wird konfiguriert, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.}}
<br clear=all>
<br clear=all>
{{ pt2 | ++82°°UTM 11-8 Mailrelay Relaying Domain hinzufügen.png__ | hochkant=1 | ++83°°Domain / Host hinzufügen Dialog__}}
{{ pt2 | {{#var:82|UTM 11-8 Mailrelay Relaying Domain hinzufügen.png}} | hochkant=1 | {{#var:83|Domain / Host hinzufügen Dialog}}}}
++84°°Hinzufügen eines Eintrags mit dem Button {{Button|+ Domain / Host hinzufügen}}__
{{#var:84|Hinzufügen eines Eintrags mit dem Button {{Button|+ Domain / Host hinzufügen}}}}
{| class="spgridtr" style="--me-nn:3; --me-width-2: 42%; --me-n:1;"
{| class="spgridtr" style="--me-nn:3; --me-width-2: 42%; --me-n:1;"
|+ ++85°°Angabe folgender Werte:__
|+ {{#var:85|Angabe folgender Werte:}}
! ++86°°Beschriftung__ !! ++87°°Wert__ !! ++88°°Beschreibung__
! {{#var:86|Beschriftung}} !! {{#var:87|Wert}} !! {{#var:88|Beschreibung}}
|-
|-
| {{Beschriftung|++89Domain:__}} || || <code>++90°°E-Mail-Domainname oder IP-Adresse__</code>
| {{Beschriftung|{{#var:89| Domain:}}}} || || <code>{{#var:90|E-Mail-Domainname oder IP-Adresse}}</code>
|-
|-
| style="border-bottom:0;" | {{Beschriftung | Option}} || {{Button | NONE | dr | w=105px}} || Die Aktion wird auf alle Ereignisse angewendet.
| style="border-bottom:0;" | {{Beschriftung | {{#var:91|Option}}}} || {{Button | NONE | dr | w=105px}} || {{#var:92|Die Aktion wird auf alle Ereignisse angewendet.}}
|-
|-
| class="sichtbar_monitor" style="border-top:0; border-bottom:0;"| || {{ Button | From | dr | w=105px}} || Hier wird die Absender-Domain ausgewertet. Beispiel: Domain: partnerfirma.de -  Betrifft alle Mails mit der Domain <code>partnerfirma.de</code> im Absender. <br>{{c|{{ Hinweis | ! Da sich die Absender-Domain leicht fälschen lässt, ist diese Option nur nach sorgfältiger Prüfung einzusetzen.| gelbbd}}| fs=10px | lh=1.7}}
| class="sichtbar_monitor" style="border-top:0; border-bottom:0;"| || {{ Button | From | dr | w=105px}} || {{#var:93|Hier wird die Absender-Domain ausgewertet. Beispiel: Domain: ttt-point.de -  Betrifft alle Mails mit der Domain <code>ttt-point.de</code> im Absender.}} <br>{{c|{{ Hinweis | ! {{#var:94|Da sich die Absender-Domain leicht fälschen lässt, ist diese Option nur nach sorgfältiger Prüfung einzusetzen.}}| gelbbd}}| fs=10px | lh=1.7}}
|-
|-
| class="sichtbar_monitor" style="border-top:0; border-bottom:0;"| || {{ Button | To | dr | w=105px}} || Hier wird die Empfänger-Domain ausgewertet. Beispiel: Domain: firma.de - Betrifft alle Mails mit der Domain <code>firma.de</code> im Empfänger.
| class="sichtbar_monitor" style="border-top:0; border-bottom:0;"| || {{ Button | To | dr | w=105px}} || {{#var:95|Hier wird die Empfänger-Domain ausgewertet. Beispiel: Domain: anyideas.de - Betrifft alle Mails mit der Domain <code>anyideas.de</code> im Empfänger.}}
|-
|-
| class="sichtbar_monitor" style="border-top:0; border-bottom:0;"| || {{ Button | Connect | dr | w=105px}} || Hier wird die IP, der Hostname oder die Domain des Mail'''servers''' ausgewertet, der die Mail zustellen möchte. Beispiel: Domain: <code>partnerfirma.de</code> - Betrifft alle Mails, von Mailservern aus der Domain <code>partnerfirma.de</code> - unabhängig vom Sender oder Empfänger der Mail.
| class="sichtbar_monitor" style="border-top:0; border-bottom:0;"| || {{ Button | Connect | dr | w=105px}} || {{#var:96|Hier wird die IP, der Hostname oder die Domain des Mail'''servers''' ausgewertet, der die Mail zustellen möchte. Beispiel: Domain: <code>ttt-point.de</code> - Betrifft alle Mails, von Mailservern aus der Domain <code>ttt-point.de</code> - unabhängig vom Sender oder Empfänger der Mail.
|-
|-
| style="border-bottom:0;" | {{Beschriftung|Aktion}} || {{Button | RELAY | dr | w=105px}} || Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet.
| style="border-bottom:0;" | {{Beschriftung|{{#var:97|Aktion}}}} || {{Button | RELAY | dr | w=105px}} || {{#var:98|Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet.}}
|-
|-
| class="sichtbar_monitor" style="border-top:0; border-bottom:0;"| || {{Button | ABGELEHNT | dr | w=105px}} || Mails werden abgewiesen.
| class="sichtbar_monitor" style="border-top:0; border-bottom:0;"| || {{Button | {{#var:99|ABGELEHNT}} | dr | w=105px}} || {{#var:100|Mails werden abgewiesen.}}
|-
|-
| class="sichtbar_monitor" style="border-top:0;"| || {{Button | OK | dr | w=105px}} || Mails werden angenommen und an ein lokales Postfach zugestellt, aber nicht weitergeleitet.
| class="sichtbar_monitor" style="border-top:0;"| || {{Button | OK | dr | w=105px}} || {{#var:101|Mails werden angenommen und an ein lokales Postfach zugestellt, aber nicht weitergeleitet.}}
|}
|}




Um also alle Mails zu relayen, die für Empfänger der eigenen Domain bestimmt sind, muss folgender Eintrag konfiguriert werden:  
{{#var:102|Um also alle Mails zu relayen, die für Empfänger der eigenen Domain bestimmt sind, muss folgender Eintrag konfiguriert werden:}}
<div class="einrücken">
<div class="einrücken">
{{ td | {{ B | Domain}} |<code>anyideas.de</code> | w=100px }}
{{ td | {{ B | Domain}} |<code>anyideas.de</code> | w=100px }}
Zeile 136: Zeile 631:
{{ td | {{ b | Aktion}} |{{Button | RELAY | dr | w=95px}} | w=100px }}</div>
{{ td | {{ b | Aktion}} |{{Button | RELAY | dr | w=95px}} | w=100px }}</div>
<br clear=all>
<br clear=all>
{{KastenGrau | Exakten Domainnamen für das Relaying verwenden:}} <br>
{{KastenGrau | {{#var:103|Exakten Domainnamen für das Relaying verwenden:}}}} <br>
<div class="einrücken">
<div class="einrücken">
{{ButtonAn |Ein}} Das Relay reagiert nur auf den in der Liste eingetragenen Domainnamen und nicht auf nicht eingetragene Subdomains oder Erweiterungen. <br>
{{ButtonAn |{{#var:ein|Ein}} }} {{#var:104|Das Relay reagiert nur auf den in der Liste eingetragenen Domainnamen und nicht auf nicht eingetragene Subdomains oder Erweiterungen.}} <br>
Beispiel: '''In die Relayliste eingetragene Domain: anyideas.de'''<br>
{{#var:105|Beispiel: '''In die Relayliste eingetragene Domain: anyideas.de'''}}<br>
 
 


<div class="sichtbar_mobil>
<div class="sichtbar_mobil>
{| class="wikitable2"
{| class="wikitable2"
! style="text-align: center;" | {{ButtonAn | Ein}} <br> vom Mailrelay akzeptiert  
! style="text-align: center;" | {{ButtonAn | {{#var:ein|Ein}} }}<br> {{#var:106|vom Mailrelay akzeptiert:}}
| style="text-align: left; padding-left: 3px;" | @anyideas.de  
| style="text-align: left; padding-left: 3px;" | @anyideas.de  
|-
|-
! style="text-align: center;" | {{ButtonAus | Aus}} <br>&ensp;vom Mailrelay akzeptiert
! style="text-align: center;" | {{ButtonAus | {{#var:aus|Aus}} }} <br>&ensp;{{#var:107|vom Mailrelay akzeptiert}}
| style="text-align: left; padding-left: 3px;" | @anyideas.de<br>@support.anyideas.de<br>@anyideas.de.com
| style="text-align: left; padding-left: 3px;" | @anyideas.de<br>@support.anyideas.de<br>@anyideas.de.com
|}</div><div class="sichtbar_monitor">
|}</div><div class="sichtbar_monitor">
{| class="wikitable"
{| class="wikitable"
! {{ButtonAn | Ein}} <br> vom Mailrelay akzeptiert !! {{ButtonAus | Aus}} <br>vom Mailrelay akzeptiert
! {{ButtonAn | {{#var:ein|Ein}} }} <br> {{#var:108|vom Mailrelay akzeptiert:}} !! {{ButtonAus | {{#var:aus|Aus}} }} <br>{{#var:109|vom Mailrelay akzeptiert:}}
|-
|-
|@anyideas.de ||  @anyideas.de<br>@support.anyideas.de<br>@anyideas.de.com
|@anyideas.de ||  @anyideas.de<br>@support.anyideas.de<br>@anyideas.de.com
Zeile 159: Zeile 652:
</div>
</div>
<br clear=all>
<br clear=all>
{{h5 | TLS Einstellungen | {{Kasten | TLS Einstellungen}} }}{{ a | 6}}
{{h5 | {{#var:110|TLS Einstellungen}} | {{Kasten | {{#var:110|TLS Einstellungen}} }} }}{{ a | 6}}
{|  class="spgridtr" style="--me-nn:3; --me-width-2: 42%; --me-n:1;"
{|  class="spgridtr" style="--me-nn:3; --me-width-2: 42%; --me-n:1;"
! Beschriftung !! Default !! Beschreibung
! {{#var:111|Beschriftung}} !! {{#var:112|Default}} !! {{#var:113|Beschreibung}}
|-
|-
| style="min-width: 220px;" | {{ Beschriftung | TLS Verschlüsselung als Server:}} || {{ButtonAn|Ein}} || Wird TLS deaktiviert, werden Mails über unverschlüsselte Verbindungen versendet!  
| style="min-width: 220px;" | {{ Beschriftung | {{#var:114|TLS Verschlüsselung als Server:}}}} || {{ButtonAn|{{#var:ein|Ein}} }} || {{#var:115|Wird TLS deaktiviert, werden Mails über unverschlüsselte Verbindungen versendet! }}
<!-- {{TabDL | {{Beschriftung | CA:}} | Auswahl der {{MenuD | öffentlichen Zertifizierungsstelle}}, wenn ein öffentliches Zertifikat einer Zertifizierungsstelle zur Verfügung steht.<br> Die UTM bringt eine eigene Zertifizierungsstelle mit eigenem Zertifikat mit, die per {{MenuD | Default}} vorgegeben sind. | w=5.5em | m=5px }} -->
<!-- {{TabDL | {{Beschriftung | CA:}} | Auswahl der {{MenuD | öffentlichen Zertifizierungsstelle}}, wenn ein öffentliches Zertifikat einer Zertifizierungsstelle zur Verfügung steht.<br> Die UTM bringt eine eigene Zertifizierungsstelle mit eigenem Zertifikat mit, die per {{MenuD | Default}} vorgegeben sind. | w=5.5em | m=5px }} -->
|-
|-
| {{ b | Zertifikat }} || {{ Button | default | dr | w=95px}} || Das Mailrelay verwendet ein selbst-signiertes Zertifikat für die Transportverschlüsselung. Optional kann ein Zertifikat, dessen CN dem Hostnamen der UTM entspricht, unter {{ Menu | Authentifizierung | &ensp;Zertifikate }} importiert werden.
| {{ b | {{#var:116|Zertifikat}} }} || {{ Button | {{#var:117|default}} | dr | w=95px}} || {{#var:118|Das Mailrelay verwendet ein selbst-signiertes Zertifikat für die Transportverschlüsselung. Optional kann ein Zertifikat, dessen CN dem Hostnamen der UTM entspricht, unter {{ Menu | Authentifizierung | &ensp;Zertifikate }} importiert werden.}}
|-
|-
| style="border-bottom:0;" | {{ b | TLS Verschlüsselung als Client:}} || {{Button | may | dr | w=95px}}|| Verwendet TLS, sofern es angeboten wird.
| style="border-bottom:0;" | {{ b | {{#var:119|TLS Verschlüsselung als Client:}}}} || {{Button | may | dr | w=95px}}|| {{#var:120|Verwendet TLS, sofern es angeboten wird.}}
|-
|-
| class="sichtbar_monitor" style="border-top:0; border-bottom:0;"| || {{Button | encrypt | dr | w=95px }} || Verwendet immer TLS. Verbindung mit Servern, die kein TLS anbieten, werden wieder abgebroch.
| class="sichtbar_monitor" style="border-top:0; border-bottom:0;"| || {{Button | encrypt | dr | w=95px }} || {{#var:121|Verwendet immer TLS. Verbindung mit Servern, die kein TLS anbieten, werden wieder abgebrochen.}}
|-
|-
| class="sichtbar_monitor" style="border-top:0;"| || {{Button | dane | dr | w=95px}} || Authentifiziert und verwendet TLS zu DANE-Konformen Servern, sofern es angeboten wird.
| class="sichtbar_monitor" style="border-top:0;"| || {{Button | dane | dr | w=95px}} || {{#var:122|Authentifiziert und verwendet TLS zu DANE-Konformen Servern, sofern es angeboten wird.}}
|}
|}


<br><br>
<br><br>


==== {{Reiter|SMTP Routen}} ====
==== {{Reiter|{{#var:123|SMTP Routen}}}} ====
{{ h5 | SMTP Routen-Liste | {{KastenGrau | SMTP Routen-Liste}} }}
{{ h5 | {{#var:124|SMTP Routen-Liste}} | {{KastenGrau | {{#var:124|SMTP Routen-Liste}} }} }}
{{pt2 | UTM 11-8 Mailrelay SMTP Routen.png|Konfiguration der SMTP Routen}}
{{pt2 | {{#var:125|UTM 11-8 Mailrelay SMTP Routen.png}} | {{#var:126|Konfiguration der SMTP Routen}}}}
Hier muss eingestellt werden, an welchen Mailserver eine entgegengenommene Mail weitergeleitet werden soll. Falls dies nicht geschieht, wertet das Mailrelay den MX-Record der Empfänger-Domain aus - der auf das Relay selbst zeigt! Es wird dann ein sogenannter "Loopback" erkannt, durch den die Annahme der Mail mit einer entsprechenden Fehlermeldung abgebrochen wird. Im Folgenden können dann auch weitere Domains auf den gleichen oder auf andere Mailserver weitergeleitet werden.</p>
{{#var:127|Hier muss eingestellt werden, an welchen Mailserver eine entgegengenommene Mail weitergeleitet werden soll. Falls dies nicht geschieht, wertet das Mailrelay den MX-Record der Empfänger-Domain aus - der auf das Relay selbst zeigt! Es wird dann ein sogenannter "Loopback" erkannt, durch den die Annahme der Mail mit einer entsprechenden Fehlermeldung abgebrochen wird. Im Folgenden können dann auch weitere Domains auf den gleichen oder auf andere Mailserver weitergeleitet werden.</p>
<p>Mit dem Button {{Button|+&nbsp;SMTP-Routing&nbsp;hinzufügen}} werden weitere Routen angelegt.</p>
<p>Mit dem Button {{Button|+&nbsp;SMTP-Routing&nbsp;hinzufügen}} werden weitere Routen angelegt.</p>}}


{| class="Wikitable"
{| class="Wikitable"
! colspan="2" | Erforderliche Angaben dabei:
! colspan="2" | {{#var:128|Erforderliche Angaben dabei:}}
|-
|-
|{{Beschriftung|Domain:}} || <code>Maildomain</code>
|{{Beschriftung|{{#var:129|Domain:}}}} || <code>anyideas.de</code> ({{#var:130|bzw. die entsprechende Maildomain}})
|-
|-
| style="vertical-align: top;" | {{Beschriftung|Mailserver:}} || <code>entweder als FQDN oder die IP-Adresse</code>  
| style="vertical-align: top;" | {{Beschriftung|{{#var:131|Mailserver:}}}} || <code>{{#var:132|entweder als FQDN oder die IP-Adresse}}</code>  
|}
|}


<p>{{ h5 | Einstellungen |  {{Kasten| Einstellungen}} }}</p>
<p>{{ h5 | {{#var:133|Einstellungen}} |  {{Kasten| {{#var:133|Einstellungen}} }} }}</p>
<p>In dieser Rubrik kann die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.</p>
<p>{{#var:134|In dieser Rubrik kann die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.}}</p>
<br clear=all>
<br clear=all>
{| class="spgridtr" style="--me-width-2: 25%; --me-nn:3; --me-n:1;"
{| class="spgridtr" style="--me-width-2: 25%; --me-nn:3; --me-n:1;"
! Funktion !! Option !! Beschreibung
! {{#var:135|Funktion}} !! {{#var:136|Option}} !! {{#var:137|Beschreibung}}
|-
|-
| style="border-bottom:0; min-width: 180px;" | {{Beschriftung| E-Mail-Adresse überprüfen: }} || {{ Button | Aus | dr}} ||  Es findet keine Überprüfung von E-Mail-Adressen statt. Es wird versucht, alle Mails zuzustellen.
| style="border-bottom:0; min-width: 180px;" | {{Beschriftung| {{#var:138|E-Mail-Adresse überprüfen:}} }} || {{ Button | {{#var:aus|Aus}} | dr}} ||  {{#var:139|Es findet keine Überprüfung von E-Mail-Adressen statt. Es wird versucht, alle Mails zuzustellen.}}
|-
|-
| class="sichtbar_monitor" style="border-top:0; border-bottom: 0;" | || {{MenuD|SMTP}} || Die Securepoint Appliance fragt im Hintergrund den internen Mailserver ab.<br>{{Hinweis|Hinweis:}} Die Validierung muss ebenso am Mailserver aktiv sein! (Recipient Verification z.B. bei einem Exchange)
| class="sichtbar_monitor" style="border-top:0; border-bottom: 0;" | || {{MenuD|SMTP}} || {{#var:139|Die Securepoint Appliance fragt im Hintergrund den internen Mailserver ab.}}<br>{{Hinweis|{{#var:20|Hinweis:}} }} {{#var:140|Die Validierung muss ebenso am Mailserver aktiv sein! (Recipient Verification z.B. bei einem Exchange)}}
|-
|-
| class="sichtbar_monitor" style="border-top:0; border-bottom: 0;" | || {{MenuD | LDAP}} || Die Securepoint Appliance fragt beispielsweise den Active Directory-Server ab.<br>Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter [[UTM/AUTH/AD_Anbindung|{{Menu | Authentifizierung | AD/LDAP Authentifzierung}}]] konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten.
| class="sichtbar_monitor" style="border-top:0; border-bottom: 0;" | || {{MenuD | LDAP}} || {{#var:141|Die Securepoint Appliance fragt beispielsweise den Active Directory-Server ab.<br>Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter [[UTM/AUTH/AD_Anbindung|{{Menu | Authentifizierung | AD/LDAP Authentifzierung}}]] konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten.}}
|-
|-
| class="sichtbar_monitor" style="border-top:0;" | || style="min-width: 180px;" | {{MenuD | Lokale E-Mail-Adressliste}} || {{mobil|Mail-Adressliste<br>}}Hier stehen alle bekannten Adressen.
| class="sichtbar_monitor" style="border-top:0;" | || style="min-width: 180px;" | {{MenuD | {{#var:142|Lokale E-Mail-Adressliste}}}} || {{mobil|{{#var:143|Mail-Adressliste}}<br>}}{{#var:144|Hier stehen alle bekannten Adressen.}}
|}<br>
|}<br>


{{Button | Lokale E-Mail-Adressliste bearbeiten}} Hiermit können Mail-Adressen hinzugefügt und entfernt werden.
{{Button | {{#var:145|Lokale E-Mail-Adressliste bearbeiten}}}} {{#var:146|Hiermit können Mail-Adressen hinzugefügt und entfernt werden.}}


<br clear=all>
<br clear=all>
<br><br>
<br><br>


=== Optionale Einstellungen ===
=== {{#var:147|Optionale Einstellungen}} ===
Weitere Einstellungen sind empfehlenswert, aber für einen operativen Einsatz nicht zwingend notwendig:
{{#var:148|Weitere Einstellungen sind empfehlenswert, aber für einen operativen Einsatz nicht zwingend notwendig:}}
<br><br>
<br><br>


{{pt2|UTM_v11-8_Mailrelay_Greylisting-on.png|Konfiguration von Greylisting | {{h4|Greylisting | {{Reiter|Greylisting}} }} }}
{{pt2|{{#var:149|UTM_v11-8_Mailrelay_Greylisting-on.png}}|{{#var:150|Konfiguration von Greylisting}} | {{h4|{{#var:160|Greylisting}} | {{Reiter|{{#var:160|Greylisting}} }} }} }}
Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird. Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.
{{#var:161|Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird. Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.
<p>Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.</p>
<p>Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.}}</p>
<br clear=all>
<br clear=all>


{{h4 | Whitelist | {{ Reiter | Whitelist}} }}<br>
{{h4 | {{#var:162|Whitelist}} | {{ Reiter | {{#var:162|Whitelist}} }} }}<br>
Die Whitelist erlaubt folgende Einträge:
{{#var:162b|Die Whitelist erlaubt folgende Einträge:}}
{| class="wikitable2"
{| class="wikitable2"
! Reiter !! Beschreibung
! {{#var:163|Reiter}} !! {{#var:164|Beschreibung}}
|-
|-
| {{Reiter| IP / Netzwerke}} || Hier können einzelne IP-Adressen oder Netzwerke hinzugefügt werden z.B.: <code>10.0.0.0/8</code>
| {{Reiter| {{#var:165|IP / Netzwerke}} }} || {{#var:166|Hier können einzelne IP-Adressen oder Netzwerke hinzugefügt werden z.B.: }}<code>10.0.0.0/8</code>
|-
|-
| {{Reiter|Domains}} || Hier können einzelne Mail'''server'''-Domains hinzugefügt werden z.B.: <code>maildomain.ttt.point.de</code><br>{{Hinweis | Wichtig | background-color=gelb}}  Die Domain des Mailservers muss nicht  identisch mit der E-Mail Domain des Absender sein. <br>Beispiel: Absender <code>user@ttt-point.de</code> sendet über den Mailserver <code>smtp.anyideas.de</code>
| {{Reiter|{{#var:167|Domains}} }} || {{#var:168|Hier können einzelne Mail'''server'''-Domains hinzugefügt werden z.B.:}} <code>maildomain.ttt.point.de</code><br>{{Hinweis | {{#var:w|Wichtig}} | background-color=gelb}}  {{#var:169|Die Domain des Mailservers muss nicht  identisch mit der E-Mail Domain des Absender sein. <br>Beispiel: Absender <code>user@ttt-point.de</code> sendet über den Mailserver <code>smtp.anyideas.de</code>}}
|-
|-
| {{Reiter|Empfänger}} || Hier können einzelne Empfänger hinzugefügt werden z.B.: <code>MailUser@ttt.point.de</code>
| {{Reiter|{{#var:170|Empfänger}}}} || {{#var:171|Hier können einzelne Empfänger hinzugefügt werden z.B.:}} <code>MailUser@ttt.point.de</code>
|-
|-
| {{Reiter|Absender}} || Hier können einzelne Absender hinzugefügt werden z.B.: <code>MailSender@ttt-point.de</code><br>
| {{Reiter|{{#var:172|Absender}}}} || {{#var:173|Hier können einzelne Absender hinzugefügt werden z.B.:<code>MailSender@ttt-point.de</code><br>
Um alle Absender einer E-Mail Domain in die Whitelist mit aufzunehmen, wird dieser Eintrag als [[:UTM/APP/Regex |Regulärer Ausdruck]] eingetragen: <code>/.*@ttt-point\.de/</code>
Um alle Absender einer E-Mail Domain in die Whitelist mit aufzunehmen, wird dieser Eintrag als [[:UTM/APP/Regex |Regulärer Ausdruck]] eingetragen: <code>/.*@ttt-point\.de/</code>}}
|}
|}
<p></p>
<p></p>


{{h4 | Einstellungen | {{ Reiter |  Einstellungen }} }}
{{h4 | {{#var:174|Einstellungen}} | {{ Reiter |  {{#var:174|Einstellungen}} }} }}
{| class="wikitable2"
{| class="wikitable2"
! Beschriftung !! Beschreibung
! {{#var:175|Beschriftung}} !! {{#var:176|Beschreibung}}
|-
|-
| {{Beschriftung |Greylisting aktivieren: }} || aktiviert die Funktion
| {{Beschriftung | {{#var:177|Greylisting aktivieren:}} }} || {{#var:178|aktiviert die Funktion}}
|-
|-
| {{Beschriftung |SPF aktivieren:}} || Wenn das [https://de.wikipedia.org/wiki/Sender_Policy_Framework Sender Policy Framework] der Absenderdomain korrekt im DNS eingetragen ist, wird die Mail ohne Verzögerung zugestellt.
| {{Beschriftung |{{#var:179|SPF aktivieren:}} }} || {{#var:180|Wenn das [https://de.wikipedia.org/wiki/Sender_Policy_Framework Sender Policy Framework] der Absenderdomain korrekt im DNS eingetragen ist, wird die Mail ohne Verzögerung zugestellt.}}
|-
|-
| {{Beschriftung |Automatisches Whitelisten für:}} || {{ ic | 7 | c }} Tage<small>(Default)</small> : Für diesen Zeitraum werden Mails sofort entgegengenommen.
| {{Beschriftung |{{#var:181|Automatisches Whitelisten für:}} }} || {{ ic | 7 | c }} {{#var:182|Tage<small>(Default)</small> : Für diesen Zeitraum werden Mails sofort entgegengenommen.}}
|-
|-
| {{Beschriftung |Verzögerung: }} || {{ ic | 2 | c }} Minuten<small>(Default)</small>: Zeitraum, der dem sendenden Mailserver vorgegeben wird, um einen weiteren Zustellversuch vorzunehmen.
| {{Beschriftung | {{#var:183|Verzögerung:}} }} || {{ ic | 2 | c }} {{#var:184|Minuten<small>(Default)</small>: Zeitraum, der dem sendenden Mailserver vorgegeben wird, um einen weiteren Zustellversuch vorzunehmen.}}
|}<p></p>
|}<p></p>
<p>{{Hinweis | ! Hinweis| gelb}} Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden</p>
<p>{{Hinweis | ! {{#var:20|Hinweis}} | gelb}} {{#var:185|Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden}}</p>
{{Hinweis | ! Positiv: | grün}} Wird ein größerer Wert für {{Beschriftung |Verzögerung}} von z.B.: {{ ic | 30 | c }} Minuten gewählt, kann die Scan-Engine bei der erneuten Zustellung mit zwischenzeitlich aktualisierten  Virensignaturen eine höhere Erkennungswahrscheinlichkeit bei neuen Outbreaks aufweisen.
{{Hinweis | ! {{#var:186|Positiv:}} | grün}} {{#var:187|Wird ein größerer Wert für {{Beschriftung |Verzögerung}} von z.B.: {{ ic | 30 | c }} Minuten gewählt, kann die Scan-Engine bei der erneuten Zustellung mit zwischenzeitlich aktualisierten  Virensignaturen eine höhere Erkennungswahrscheinlichkeit bei neuen Outbreaks aufweisen.}}
<br><br>
<br><br>


{{h4 | Domain Mapping | {{ Reiter | Domain Mapping}} }}<br>
{{h4 | {{#var:188|Domain Mapping}} | {{ Reiter | {{#var:188|Domain Mapping}} }} }}<br>
<p>Domains können gemappt werden, um eingehende um Mails an z.B. <code>user@anyideas.net</code> auch unter <code>user@anyideas.de</code> zu empfangen.</p>
<p>{{#var:189|Domains können gemappt werden, um eingehende um Mails an z.B. <code>user@anyideas.net</code> auch unter <code>user@anyideas.de</code> zu empfangen.}}</p>
<p>Mit {{Button|+ Domain Mapping hinzufügen}} kann das Mapping zwischen zwei Domains aktiviert werden.</p>
<p>{{#var:190|Mit {{Button|+ Domain Mapping hinzufügen}} kann das Mapping zwischen zwei Domains aktiviert werden.}}</p>
<p>Dazu muss jeweils eine {{Beschriftung|Quell-Domain:}} und eine {{Beschriftung| Ziel-Domain:}} angegeben werden.</p>
<p>{{#var:191|Dazu muss jeweils eine {{Beschriftung|Quell-Domain:}} und eine {{Beschriftung| Ziel-Domain:}} angegeben werden.}}</p>
<br clear=all><br><br>
<br clear=all><br><br>


{{h4 | Erweiterte Einstellungen | {{ Reiter | Erweiterte Einstellungen}} }}<br/>
{{h4 | {{#var:192|Erweiterte Einstellungen}} | {{ Reiter | {{#var:193|Erweitert}} }} }}<br/>
{{pt2| UTM_v11-8-2_Mailrelay_Erweitert.png | Erweiterte Einstellungen des Mail Relay}}<p>Auf der Registerkarte "Erweitert" befinden sich weitere Optionen zur Vermeidung von Spam, die jeweils einzeln aktiviert werden können:</p>
{{pt2| {{#var:194|UTM_v11-8-2_Mailrelay_Erweitert.png}} | {{#var:195|Erweiterte Einstellungen des Mail Relay}}}}
<p>{{#var:196|Hier befinden sich weitere Optionen zur Vermeidung von Spam, die jeweils einzeln aktiviert werden können:}}</p>
<br clear=all>
<br clear=all>
{| class="wikitable2"
{| class="wikitable2"
! Funktion !! Beschreibung
! {{#var:197|Funktion}} !! {{#var:198|Beschreibung}}
|-
|-
| class="Leerzeile" | <br>{{ Kasten | Greeting Pause}}
| class="Leerzeile" | <br>{{ Kasten | {{#var:199|Greeting Pause}} }}
|-
|-
| style="min-width: 245px;" | {{h6 | Greeting Pause | {{Beschriftung| Status:}} }}  
| style="min-width: 245px;" | {{h6 | {{#var:199|Greeting Pause}} | {{Beschriftung| {{#var:200|Status:}} }} }}  
| {{ButtonAn | Ein}} aktiviert die Funktion.
| {{ButtonAn | {{#var:ein|Ein}} }} {{#var:201|aktiviert die Funktion.}}
|-
|-
| {{ b | Dauer:}} || {{ ic | 2000 | c}} Milisekunden (Standardwert). Zeit, die das Mailrelay die Grußbotschaft verzögert. Sendet der verbundene Client vor Ablauf dieser Zeit SMTP Kommandos, wird sein Request beim RCPT TO-Kommando mit einem "Protocol Error" abgewiesen.<br>{{Button|Ausnahmen}} können für bekannte Mailserver als Netzwerk- oder Host-IP-Adresse definiert werden. <br>{{ Hinweis | !| grün }}Erfolgreich wartende Mailserver werden außerdem automatisch für einen Tag in die Whitelist aufgenommen.
| {{ b | {{#var:202|Dauer:}}}} || {{ ic | 2000 | c}} {{#var:203|Milisekunden (Standardwert). Zeit, die das Mailrelay die Grußbotschaft verzögert. Sendet der verbundene Client vor Ablauf dieser Zeit SMTP Kommandos, wird sein Request beim RCPT TO-Kommando mit einem "Protocol Error" abgewiesen.<br>{{Button|Ausnahmen}} können für bekannte Mailserver als Netzwerk- oder Host-IP-Adresse definiert werden.}} <br>{{ Hinweis | !| grün }}{{#var:204|Erfolgreich wartende Mailserver werden außerdem automatisch für einen Tag in die Whitelist aufgenommen.}}
|-
|-
| class="Leerzeile" | <br>{{h6 | Empfänger-Beschränkung | {{ Kasten | Empfänger-Beschränkung }} }}
| class="Leerzeile" | <br>{{h6 | {{#var:205|Empfänger-Beschränkung}} | {{ Kasten | {{#var:205|Empfänger-Beschränkung}} }} }}
|-
|-
| {{ b | Status:}} || {{ButtonAus | Aus}}
| {{ b | Status:}} || {{ButtonAus | {{#var:aus|Aus}} }}
|-
|-
| {{Beschriftung| Limit:}} || {{ ic |25 | c }} Empfänger <br>Diese Option blockiert Mails, die mehr als eine einstellbare Zahl Empfängeradressen aufweisen
| {{Beschriftung| {{#var:206|Limit:}} }} || {{ ic |25 | c }} {{#var:207|Empfänger}} <br>{{#var:208|Diese Option blockiert Mails, die mehr als eine einstellbare Zahl Empfängeradressen aufweisen}}
|-
|-
| class="Leerzeile" | <br>{{h6 | Beschränkung pro Client | {{ Kasten | Beschränkung pro Client}} }}
| class="Leerzeile" | <br>{{h6 | {{#var:209|Beschränkung pro Client}} | {{ Kasten | {{#var:209|Beschränkung pro Client}} }} }}
|-
|-
|  {{ b | Verbindungen limitieren:}} || <p>{{ButtonAus |Aus}}</p><p>{{Button|Ausnahmen}} können für bekannte Mailserver als Netzwerk- oder Host-IP-Adresse definiert werden.<br>Konfiguration, wenn ein einzelner Mailserver (identifiziert anhand seiner IP-Adresse) maximal eine Verbindung zur UTM Appliance und maximal 5 Verbindungen nacheinander pro Minute aufbauen dürfen soll:<p>
|  {{ b | {{#var:210|Verbindungen limitieren:}} }} || <p>{{ButtonAus |{{#var:aus|Aus}} }}</p><p>{{Button|{{#var:211|Ausnahmen}} }}  {{#var:212|können für bekannte Mailserver als Netzwerk- oder Host-IP-Adresse definiert werden.<br>Konfiguration, wenn ein einzelner Mailserver (identifiziert anhand seiner IP-Adresse) maximal eine Verbindung zur UTM Appliance und maximal 5 Verbindungen nacheinander pro Minute aufbauen dürfen soll:}}<p>
|-
|-
| {{Beschriftung| Erlaubte Verbindungen:}} || {{ ic | 1 | c}} Anzahl der Verbindungen, je verbundenem Mailserver (Client).
| class="einrücken" | {{Beschriftung| {{#var:213|Erlaubte Verbindungen:}} }} || {{ ic | 1 | c}} {{#var:214|Anzahl der Verbindungen, je verbundenem Mailserver (Client).}}
|-
|-
| {{ b | Zugriffskontrolle aktivieren: }} || {{ ButtonAus}} Beschränkt die Anzahl der Verbindungen je verbundenem Mailserver (Client) innerhalb eines Zeitfensters.
| {{ b | {{#var:215|Zugriffskontrolle aktivieren:}} }} || {{ ButtonAus}} {{#var:216|Beschränkt die Anzahl der Verbindungen je verbundenem Mailserver (Client) innerhalb eines Zeitfensters.}}
|-
|-
| {{ b | Zeitfenster: }} || {{ic | 60 | c }} Sekunden
| class="einrücken" | {{ b | {{#var:217|Zeitfenster:}} }} || {{ic | 60 | c }} {{#var:218|Sekunden}}
|-
|-
| {{ b |  Verbindungen pro Zeitfenster: }} || {{ ic | 5 | c }}
| class="einrücken" | {{ b |  {{#var:219|Verbindungen pro Zeitfenster:}} }} || {{ ic | 5 | c }}
|-
|-
|  class="Leerzeile" | <br>{{h6 | Sonstige | {{Kasten | Sonstige }} }}
|  class="Leerzeile" | <br>{{h6 | {{#var:220|Sonstige}} | {{Kasten | {{#var:220|Sonstige}} }} }}
|-
|-
| {{Beschriftung| HELO benötigt:}} || {{ ButtonAn |Ein}} Sollte unbedingt aktiviert bleiben (Standard) Dieser Schalter existiert, um Abwärtskompatibilität zu gewähleisten.
| {{Beschriftung| {{#var:221|HELO benötigt:}}}} || {{ ButtonAn |{{#var:ein|Ein}} }} {{#var:222|Sollte unbedingt aktiviert bleiben (Standard) Dieser Schalter existiert, um Abwärtskompatibilität zu gewähleisten.}}
|-
|-
| {{Beschriftung|Reverse DNS lookup benötigt:}} || {{ButtonAus |Aus}} Verlangt, dass für verbundene Mailserver ein Reverse-Lookup(Address) existiert. Der Forward Lookup muss wieder die IP-Adresse ergibt.
| {{Beschriftung|{{#var:223|Reverse DNS lookup benötigt:}}}} || {{ButtonAus |{{#var:aus|Aus}} }} {{#var:224|Verlangt, dass für verbundene Mailserver ein Reverse-Lookup(Address) existiert. Der Forward Lookup muss wieder die IP-Adresse ergibt.}}
|-
|-
| {{Beschriftung|Unauflösbare Domains akzeptieren:}} || {{ButtonAus |Aus}} Erlaubt Absenderadressen, deren Domäne nicht per DNS auflösbar ist.
| {{Beschriftung|{{#var:225|Unauflösbare Domains akzeptieren:}}}} || {{ButtonAus |{{#var:aus|Aus}} }} {{#var:226|Erlaubt Absenderadressen, deren Domäne nicht per DNS auflösbar ist.}}
|-
|-
| {{ b |  Maximale Anzahl an Prozessen: }} || {{ ic | 10 | c }} Steuert die globale Anzahl gleichzeitiger Verbindungen zum Mailrelay (und anhängender Filter und Spamabwehr-Prozesse)
| {{ b |  {{#var:227|Maximale Anzahl an Prozessen:}} }} || {{ ic | 10 | c }} {{#var:228|Steuert die globale Anzahl gleichzeitiger Verbindungen zum Mailrelay (und anhängender Filter und Spamabwehr-Prozesse)}}
|}
|}
<br><br>
<br><br>


===Konfiguration des Mailrelays für ausgehende Mails===
=== {{#var:229|Konfiguration des Mailrelays für ausgehende Mails}} ===


Um wirklich sicherzugehen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mailrelay auch für ausgehende Mails verwendet werden.
{{#var:230|Um wirklich sicherzugehen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mailrelay auch für ausgehende Mails verwendet werden.}}


====Regelwerk====
==== {{#var:231|Regelwerk}} ====


Um den Zugriff auf das Mailrelay zu erlauben, muss den zum Mailversand berechtigten Hosts der Zugriff auf die entsprechende Schnittstelle der Securepoint Appliance (abhängig von der Zone, in der sich die Hosts befinden) über das Protokoll SMTP erlaubt werden. Dies kann je nach Anforderung ein einzelner Host (z.B. der Mailserver), eine Gruppe von Hosts oder das gesamte Netzwerk sein. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mailrelay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben.
{{#var:232|Um den Zugriff auf das Mailrelay zu erlauben, muss den zum Mailversand berechtigten Hosts der Zugriff auf die entsprechende Schnittstelle der Securepoint Appliance (abhängig von der Zone, in der sich die Hosts befinden) über das Protokoll SMTP erlaubt werden. Dies kann je nach Anforderung ein einzelner Host (z.B. der Mailserver), eine Gruppe von Hosts oder das gesamte Netzwerk sein. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mailrelay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben.}}
[[Datei:UTM_V11-8_PFMR2.png|hochkant=2|thumb|right|Firewall-Regel für ausgehende Mails aus dem internen Netz]]
{{pt2|{{#var:233|UTM_V11-8_PFMR2.png}}|hochkant=2|{{#var:234|Firewall-Regel für ausgehende Mails aus dem internen Netz}} ]]
Um z.B. dem internen Netzwerk den Zugriff auf das Mailrelay zu gestatten, kann das Regelwerk mit den vordefinierten Netzwerkgruppen erstellt werden:
{{#var:235|Um z.B. dem internen Netzwerk den Zugriff auf das Mailrelay zu gestatten, kann das Regelwerk mit den vordefinierten Netzwerkgruppen erstellt werden:}}
<br clear=all>
<br clear=all>


[[Datei:UTM_V11-8_PFMR Serverobjekt.png|hochkant=1|thumb|right|Netzwerkobjekt Mailserver]]
{{ pt2|{{#var:236|UTM_V11-8_PFMR Serverobjekt.png}}|hochkant=1|{{#var:237|Netzwerkobjekt Mailserver}} }}
Soll nur der Mailserver Mails versenden können, muss dieser zunächst als Netzwerkobjekt angelegt werden:
{{#var:238|Soll nur der Mailserver Mails versenden können, muss dieser zunächst als Netzwerkobjekt angelegt werden:}}
<br clear=all>
<br clear=all>


[[Datei:UTM_V118_PFMR3.png|hochkant=2|thumb|right|Firewall-Regel für ausgehende Mails des Mailservers]]
{{pt2|{{#var:239|UTM_V118_PFMR3.png}}|hochkant=2|{{#var:240|Firewall-Regel für ausgehende Mails des Mailservers}} }}
Dieses Objekt kann dann in der Firewall-Regel verwendet werden:
{{#var:241|Dieses Objekt kann dann in der Firewall-Regel verwendet werden:}}


Soll einer bestimmten Gruppe von Rechnern im internen Netzwerk gestattet sein, das Mailrelay zu benutzen, dann müssen diese Rechner jeweils als Netzwerkobjekt angelegt werden. Diese können dann in einer Gruppe zusammengefasst werden (z.B. "SMTP-Berechtigte").
{{#var:242|Soll einer bestimmten Gruppe von Rechnern im internen Netzwerk gestattet sein, das Mailrelay zu benutzen, dann müssen diese Rechner jeweils als Netzwerkobjekt angelegt werden. Diese können dann in einer Gruppe zusammengefasst werden (z.B. "SMTP-Berechtigte").}}


====Konfiguration Relaying====
==== {{#var:243|Konfiguration Relaying}} ====
<p>Damit das Mailrelay die Mails aus dem internen Netz bzw. vom Mailserver auch annimmt, müssen die Einstellungen im Reiter {{Reiter|Relaying}} um einen entsprechenden Eintrag ergänzt werden. Als Kriterium dient die Netzwerkadresse des entsprechenden Subnetzes bzw. die IP-Adresse des betreffenden Rechners:</p>
<p>{{#var:244|Damit das Mailrelay die Mails aus dem internen Netz bzw. vom Mailserver auch annimmt, müssen die Einstellungen im Reiter {{Reiter|Relaying}} um einen entsprechenden Eintrag ergänzt werden. Als Kriterium dient die Netzwerkadresse des entsprechenden Subnetzes bzw. die IP-Adresse des betreffenden Rechners:}}</p>
{{td | {{Button|+ Domain / Host hinzufügen}} |  
{{Button|+ {{#var:245|Domain / Host hinzufügen}} }}
{{ td | {{Beschriftung|Domain}} | <code>192.168.175.30/30</code> oder <code>192.168.175.100</code><br>{{Hinweis | Dieses sind Beispiel-IPs für die internen Mailserver. Diese müssen durch individuelle Adressen ersetzt werden! | gelb}} | w=100px }}
{| class="wikitable2"
{{ td | {{Beschriftung|Option}} | {{MenuD|None}} | w=100px }}
|-
{{ td | {{Beschriftung|Aktion}} | {{MenuD|Relay}} | w=100px }} }}
| {{Beschriftung|{{#var:246|Domain}} }} || <code>192.0.2.0/30</code> {{#var:247|oder}} <code>192.0.2.192</code><br>{{Hinweis | {{#var:248|Dieses sind Beispiel-IPs für die internen Mailserver. Diese müssen durch individuelle Adressen ersetzt werden!}} | gelb }}
|-
| {{Beschriftung|{{#var:249|Option}} }} || {{MenuD|None}}
|-
| {{Beschriftung|{{#var:250|Aktion}} }} || {{MenuD|Relay}}
|}
<br><br>
<br><br>


===Ergebnis===
=== {{#var:251|Ergebnis}} ===
Die UTM kann jetzt eingehende und ggf. auch ausgehende Mails auf Spam und Viren überprüfen.
{{#var:252|Die UTM kann jetzt eingehende und ggf. auch ausgehende Mails auf Spam und Viren überprüfen.}}

Version vom 9. August 2019, 15:15 Uhr





























































{{var|63|Per Default (deaktiviert) wird eine Verbindung zunächst über smtp aufgebaut und anschließend versucht mit der Gegenstelle eine TLS-Verschlüsselung zu initiieren.|-| class="sichtbar_monitor" style="border-top:0;"| || Ein ||

















{{var|96|Hier wird die IP, der Hostname oder die Domain des Mailservers ausgewertet, der die Mail zustellen möchte. Beispiel: Domain: ttt-point.de - Betrifft alle Mails, von Mailservern aus der Domain ttt-point.de - unabhängig vom Sender oder Empfänger der Mail.|-| style="border-bottom:0;" | {{Beschriftung|












































































Konfiguration des Mailrelays

Letzte Anpassung zur Version: 11.8.4 (07.2019)

Bemerkung:
  • Smarthost: TLS implizit verwenden (ab 11.8.4)
  • Smarthost Verifikation: Mailserver können mittels Zertifikat (pki oder dane) auf Echtheit überprüft werden.
  • TLS-Einstellungen als Server und als Client separat konfigurierbar.
  • TLS-Einstellungen erweitert für dane-konforme Server
  • Maximale Anzahl an Prozessen lässt sich im Reiter Erweitert einstellen.

Vorherige Versionen: 11.7 / 11.8 / 11.8.2


Konfiguration des Mailrelay

Die Securepoint UTM Appliance kann mithilfe des Mailrelays E-Mails entgegennehmen und an einen Mailserver im internen Netzwerk weiterleiten. Das Mailrelay prüft die empfangenen E-Mails und teilt diese in eine entsprechende Kategorie ein. Anhand der Kategorie, wird entschieden ob eine E-Mail an den internen Mailserver weitergeleitet wird oder nicht.

Zum Schutz vor Spam bzw. zur Entlastung des Mailfilters lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierten Privat- und Arbeitsplatzrechner. Dagegen haben sich die Überprüfung der Ziel E-Mail-Adressen, das Greylisting und die Greeting Pause als wirksame Funktionen erwiesen.

Voraussetzungen

Providerseitige Einstellungen

Um eine reibungslose Teilnahme am Mailverkehr zu gewährleisten, müssen einige Voraussetzungen erfüllt sein:

  • Eine feste IP-Adresse.
  • Einen A-Record auf dem DNS-Server des Providers, der auf diese IP auflöst (z.B. mail.ttt-point.de).
  • Einen MX-Record, der festlegt, unter welcher Adresse der Mailserver einer Domain erreichbar ist (z.B. mail.ttt-point.de).
  • Einen PTR-Record, der die feste IP auf den MX-Record zurückauflöst (reverse DNS).

Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!

Hinweis: Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, sollten die Hardware-Empfehlungen unbedingt berücksichtigt werden!

Regelwerk

Portfilterregel für eingehende Mails

Um anderen Mailservern die Zustellung von Mails auf das Mailrelay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:


Hinweis: Sollte neben der Internetverbindung mit der IP, über die der Mailversand stattfindet, keine weitere verfügbar sein, muss dafür gesorgt werden, dass NUR dem Mailserver der Versand von Mail per SMTP erlaubt wird. Sonst könnte ein einziger von einem Trojaner kompromittierter Rechner im Netzwerk das Versenden von Mails empfindlich stören oder gar gänzlich unmöglich machen, weil dieser mit der öffentlichen IP Spams und Malware verbreitet und diese innerhalb kürzester Zeit auf entsprechenden Blacklisten für Spammer gelistet wird.

Wichtig: Es darf keine Portweiterleitung für SMTP existieren. Diese würde dafür sorgen, dass die Mails am Mailrelay vorbeigeleitet werden!

E-Mail-Adresse

Unter → Netzwerk →Servereinstellungen Globale E-Mail Adresse: sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.

Grundkonfiguration des Mail Relay zum Empfang von Mails

Die Konfiguration des Mailrelay findet unter → Anwendungen →Mailrelay statt.


Allgemein

Allgemein
Allgemeine Einstellungen des Mail Relay



Funktion Wert Beschreibung
Mailfilter aktivieren: Ein aktivieren
Postmaster-Adresse: admin-mail@anyideas.de Hier muss eine korrekte Mail-Adresse hinterlegt sein.
Diese E-Mail-Adresse wird im Dialog → Netzwerk → Servereinstellungen im Feld Globale E-Mail Adresse festgelegt. Änderungen sind nur dort möglich.
Maximale Nachrichtengröße: 20Link= Maximale Größe der Mails in Megabytes, die vom Mailrelay angenommen werden.
Ausgehende IP-Adresse:     Bei Multipath-Routing kann hier eine ausgehende Schnittstelle durch die IP-Adresse angegeben werden.
Auch die Kommunikation aus dem internen Netz läuft dann über diese IP-Adresse. Auf dem Mailserver und seiner Firewall müssen weitere Einstellungen vorgenommen werden, damit Mails von dieser IP-Adresse angenommen werden.



Smarthost

Smarthost
Smarthost Einstellungen des Mailrelay


Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist. Das ist z.B. der Fall, wenn kein eigener Mailserver betrieben wird oder keine feste öffentliche IP-Adresse vorliegt.

Beschriftung Wert Beschreibung
Smarthost aktivieren: Ein aktiviert die Smarthost-Funktion.
Smarthost: smtp.anyideas.de smtp.anyideas.de
Externer Mailserver (Beispieladresse)
Port: 465Link= Mail-Port für externen Mail-Server
25: Standardport für smtp (Default)
465: Standardport für implzites TLS
587: Standardport für STARTTLS
TLS implizit verwenden
Neu ab 11.8.4
Aus Per Default (deaktiviert) wird eine Verbindung zunächst über smtp aufgebaut und anschließend versucht mit der Gegenstelle eine TLS-Verschlüsselung zu initiieren.
Ein Bei Aktivierung wird die Verbindung erst mit TLS verschlüsselt, bevor die smtp-Kommunikation aufgebaut wird. Beherrscht die Gegenstelle kein TLS kommt keine Verbindung zu Stande. Die TLS-Version wird unter → Authentifizierung →Verschlüsselung konfiguriert.
Smarthost Verifikation:
Neu in 11.8.2
Keine Es wird keine Verifikation des Smarthosts vorgenommen.
pki Der Smarthost wird anhand von standardmäßig installierten Root-CAs oder einer selbstsignierten CA verifiziert.
CA: SystemCAs (Default) Alternativ kann eine (zuvor unter → Authentifizierung →Zertifikate erstellte oder importierte ) CA zur Authentifizierung ausgewählt werden.
dane Der Smarthost wird ausschließlich mittels DANE Protokoll (RFC 6698) verifiziert und muss dieses unterstützen.

Das DANE-Protokoll erfordert zwingend die Aktivierung von DNSSEC.

Authentifizierung aktivieren: Ein Erfordert die Authentifizierung am Smarthost-Mailserver.
Benutzer: Zugangsdaten
Passwort Zugangsdaten


Relaying

Relaying


Relaying-Liste
 Relaying-Liste 
Konfiguration Relaying


Hier wird konfiguriert, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.

Domain / Host hinzufügen Dialog

Hinzufügen eines Eintrags mit dem Button + Domain / Host hinzufügen

Angabe folgender Werte:
Beschriftung Wert Beschreibung
Domain: E-Mail-Domainname oder IP-Adresse
Option NONE Die Aktion wird auf alle Ereignisse angewendet.
From Hier wird die Absender-Domain ausgewertet. Beispiel: Domain: ttt-point.de - Betrifft alle Mails mit der Domain ttt-point.de im Absender.
Da sich die Absender-Domain leicht fälschen lässt, ist diese Option nur nach sorgfältiger Prüfung einzusetzen.
To Hier wird die Empfänger-Domain ausgewertet. Beispiel: Domain: anyideas.de - Betrifft alle Mails mit der Domain anyideas.de im Empfänger.
Connect Hier wird die IP, der Hostname oder die Domain des Mailservers ausgewertet, der die Mail zustellen möchte. Beispiel: Domain: ttt-point.de - Betrifft alle Mails, von Mailservern aus der Domain ttt-point.de - unabhängig vom Sender oder Empfänger der Mail.
Aktion RELAY Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet.
ABGELEHNT Mails werden abgewiesen.
OK Mails werden angenommen und an ein lokales Postfach zugestellt, aber nicht weitergeleitet.


Um also alle Mails zu relayen, die für Empfänger der eigenen Domain bestimmt sind, muss folgender Eintrag konfiguriert werden:

Domain
anyideas.de
Option
To
Aktion
RELAY


 Exakten Domainnamen für das Relaying verwenden: 

Ein Das Relay reagiert nur auf den in der Liste eingetragenen Domainnamen und nicht auf nicht eingetragene Subdomains oder Erweiterungen.
Beispiel: In die Relayliste eingetragene Domain: anyideas.de

Ein
vom Mailrelay akzeptiert:
@anyideas.de
Aus
 vom Mailrelay akzeptiert
@anyideas.de
@support.anyideas.de
@anyideas.de.com
Ein
vom Mailrelay akzeptiert:
Aus
vom Mailrelay akzeptiert:
@anyideas.de @anyideas.de
@support.anyideas.de
@anyideas.de.com


TLS Einstellungen
TLS Einstellungen

Beschriftung Default Beschreibung
TLS Verschlüsselung als Server: Ein Wird TLS deaktiviert, werden Mails über unverschlüsselte Verbindungen versendet!
Zertifikat default Das Mailrelay verwendet ein selbst-signiertes Zertifikat für die Transportverschlüsselung. Optional kann ein Zertifikat, dessen CN dem Hostnamen der UTM entspricht, unter → Authentifizierung → Zertifikate importiert werden.
TLS Verschlüsselung als Client: may Verwendet TLS, sofern es angeboten wird.
encrypt Verwendet immer TLS. Verbindung mit Servern, die kein TLS anbieten, werden wieder abgebrochen.
dane Authentifiziert und verwendet TLS zu DANE-Konformen Servern, sofern es angeboten wird.



SMTP Routen

SMTP Routen-Liste
 SMTP Routen-Liste 

Konfiguration der SMTP Routen

Hier muss eingestellt werden, an welchen Mailserver eine entgegengenommene Mail weitergeleitet werden soll. Falls dies nicht geschieht, wertet das Mailrelay den MX-Record der Empfänger-Domain aus - der auf das Relay selbst zeigt! Es wird dann ein sogenannter "Loopback" erkannt, durch den die Annahme der Mail mit einer entsprechenden Fehlermeldung abgebrochen wird. Im Folgenden können dann auch weitere Domains auf den gleichen oder auf andere Mailserver weitergeleitet werden.

Mit dem Button + SMTP-Routing hinzufügen werden weitere Routen angelegt.

Erforderliche Angaben dabei:
Domain: anyideas.de (bzw. die entsprechende Maildomain)
Mailserver: entweder als FQDN oder die IP-Adresse

Einstellungen
Einstellungen

In dieser Rubrik kann die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.


Funktion Option Beschreibung
E-Mail-Adresse überprüfen: Aus Die Securepoint Appliance fragt im Hintergrund den internen Mailserver ab.
SMTP Die Securepoint Appliance fragt im Hintergrund den internen Mailserver ab.
Hinweis: Die Validierung muss ebenso am Mailserver aktiv sein! (Recipient Verification z.B. bei einem Exchange)
LDAP Die Securepoint Appliance fragt beispielsweise den Active Directory-Server ab.
Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter → Authentifizierung →AD/LDAP Authentifzierung konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten.
Lokale E-Mail-Adressliste Mail-Adressliste
Hier stehen alle bekannten Adressen.


Lokale E-Mail-Adressliste bearbeiten Hiermit können Mail-Adressen hinzugefügt und entfernt werden.




Optionale Einstellungen

Weitere Einstellungen sind empfehlenswert, aber für einen operativen Einsatz nicht zwingend notwendig:

Greylisting

Greylisting
Konfiguration von Greylisting


Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird. Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.

Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.


Whitelist

Whitelist


Die Whitelist erlaubt folgende Einträge:

Reiter Beschreibung
IP / Netzwerke Hier können einzelne IP-Adressen oder Netzwerke hinzugefügt werden z.B.:10.0.0.0/8
Domains Hier können einzelne Mailserver-Domains hinzugefügt werden z.B.: maildomain.ttt.point.de
Wichtig: Die Domain des Mailservers muss nicht identisch mit der E-Mail Domain des Absender sein.
Beispiel: Absender user@ttt-point.de sendet über den Mailserver smtp.anyideas.de
Empfänger Hier können einzelne Empfänger hinzugefügt werden z.B.: MailUser@ttt.point.de
Absender Hier können einzelne Absender hinzugefügt werden z.B.:MailSender@ttt-point.de
Um alle Absender einer E-Mail Domain in die Whitelist mit aufzunehmen, wird dieser Eintrag als Regulärer Ausdruck eingetragen: /.*@ttt-point\.de/

Einstellungen

Einstellungen
Beschriftung Beschreibung
Greylisting aktivieren: aktiviert die Funktion
SPF aktivieren: Wenn das Sender Policy Framework der Absenderdomain korrekt im DNS eingetragen ist, wird die Mail ohne Verzögerung zugestellt.
Automatisches Whitelisten für: 7Link= Tage(Default) : Für diesen Zeitraum werden Mails sofort entgegengenommen.
Verzögerung: 2Link= Minuten(Default): Zeitraum, der dem sendenden Mailserver vorgegeben wird, um einen weiteren Zustellversuch vorzunehmen.

Hinweis: Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden

Positiv: Wird ein größerer Wert für Verzögerung von z.B.: 30Link= Minuten gewählt, kann die Scan-Engine bei der erneuten Zustellung mit zwischenzeitlich aktualisierten Virensignaturen eine höhere Erkennungswahrscheinlichkeit bei neuen Outbreaks aufweisen.

Domain Mapping

Domain Mapping


Domains können gemappt werden, um eingehende um Mails an z.B. user@anyideas.net auch unter user@anyideas.de zu empfangen.

Mit + Domain Mapping hinzufügen kann das Mapping zwischen zwei Domains aktiviert werden.

Dazu muss jeweils eine Quell-Domain: und eine Ziel-Domain: angegeben werden.




Erweiterte Einstellungen

Erweitert


Erweiterte Einstellungen des Mail Relay

Hier befinden sich weitere Optionen zur Vermeidung von Spam, die jeweils einzeln aktiviert werden können:


Funktion Beschreibung

Greeting Pause
Greeting Pause
Status:
Ein aktiviert die Funktion.
Dauer: 2000Link= Milisekunden (Standardwert). Zeit, die das Mailrelay die Grußbotschaft verzögert. Sendet der verbundene Client vor Ablauf dieser Zeit SMTP Kommandos, wird sein Request beim RCPT TO-Kommando mit einem "Protocol Error" abgewiesen.
Ausnahmen können für bekannte Mailserver als Netzwerk- oder Host-IP-Adresse definiert werden.
Erfolgreich wartende Mailserver werden außerdem automatisch für einen Tag in die Whitelist aufgenommen.

Empfänger-Beschränkung
Empfänger-Beschränkung
Status: Aus
Limit: 25Link= Empfänger
Diese Option blockiert Mails, die mehr als eine einstellbare Zahl Empfängeradressen aufweisen

Beschränkung pro Client
Beschränkung pro Client
Verbindungen limitieren:

Aus

Ausnahmen können für bekannte Mailserver als Netzwerk- oder Host-IP-Adresse definiert werden.
Konfiguration, wenn ein einzelner Mailserver (identifiziert anhand seiner IP-Adresse) maximal eine Verbindung zur UTM Appliance und maximal 5 Verbindungen nacheinander pro Minute aufbauen dürfen soll:

Erlaubte Verbindungen: 1Link= Anzahl der Verbindungen, je verbundenem Mailserver (Client).
Zugriffskontrolle aktivieren: Beschränkt die Anzahl der Verbindungen je verbundenem Mailserver (Client) innerhalb eines Zeitfensters.
Zeitfenster: 60Link= Sekunden
Verbindungen pro Zeitfenster: 5Link=

Sonstige
Sonstige
HELO benötigt: Ein Sollte unbedingt aktiviert bleiben (Standard) Dieser Schalter existiert, um Abwärtskompatibilität zu gewähleisten.
Reverse DNS lookup benötigt: Aus Verlangt, dass für verbundene Mailserver ein Reverse-Lookup(Address) existiert. Der Forward Lookup muss wieder die IP-Adresse ergibt.
Unauflösbare Domains akzeptieren: Aus Erlaubt Absenderadressen, deren Domäne nicht per DNS auflösbar ist.
Maximale Anzahl an Prozessen: 10Link= Steuert die globale Anzahl gleichzeitiger Verbindungen zum Mailrelay (und anhängender Filter und Spamabwehr-Prozesse)



Konfiguration des Mailrelays für ausgehende Mails

Um wirklich sicherzugehen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mailrelay auch für ausgehende Mails verwendet werden.

Regelwerk

Um den Zugriff auf das Mailrelay zu erlauben, muss den zum Mailversand berechtigten Hosts der Zugriff auf die entsprechende Schnittstelle der Securepoint Appliance (abhängig von der Zone, in der sich die Hosts befinden) über das Protokoll SMTP erlaubt werden. Dies kann je nach Anforderung ein einzelner Host (z.B. der Mailserver), eine Gruppe von Hosts oder das gesamte Netzwerk sein. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mailrelay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben. {{pt2|UTM_V11-8_PFMR2.png|hochkant=2|Firewall-Regel für ausgehende Mails aus dem internen Netz ]] Um z.B. dem internen Netzwerk den Zugriff auf das Mailrelay zu gestatten, kann das Regelwerk mit den vordefinierten Netzwerkgruppen erstellt werden:

Netzwerkobjekt Mailserver

Soll nur der Mailserver Mails versenden können, muss dieser zunächst als Netzwerkobjekt angelegt werden:

Firewall-Regel für ausgehende Mails des Mailservers

Dieses Objekt kann dann in der Firewall-Regel verwendet werden:

Soll einer bestimmten Gruppe von Rechnern im internen Netzwerk gestattet sein, das Mailrelay zu benutzen, dann müssen diese Rechner jeweils als Netzwerkobjekt angelegt werden. Diese können dann in einer Gruppe zusammengefasst werden (z.B. "SMTP-Berechtigte").

Konfiguration Relaying

Damit das Mailrelay die Mails aus dem internen Netz bzw. vom Mailserver auch annimmt, müssen die Einstellungen im Reiter Relaying um einen entsprechenden Eintrag ergänzt werden. Als Kriterium dient die Netzwerkadresse des entsprechenden Subnetzes bzw. die IP-Adresse des betreffenden Rechners:

+ Domain / Host hinzufügen

Domain 192.0.2.0/30 oder 192.0.2.192
Dieses sind Beispiel-IPs für die internen Mailserver. Diese müssen durch individuelle Adressen ersetzt werden!
Option None
Aktion Relay



Ergebnis

Die UTM kann jetzt eingehende und ggf. auch ausgehende Mails auf Spam und Viren überprüfen.