Wechseln zu:Navigation, Suche
Wiki
Zeile 133: Zeile 133:
----
----
{{h6|Filterregel "wurde vom URL-Filter erfasst"}}
{{h6|Filterregel "wurde vom URL-Filter erfasst"}}
{{td |{{Button|+Filterregel hinzufügen}}<br>{{KastenGrau|URL_Filter}} |'''Anlegen einer neuen Regel. '''<br>E-Mails die eine gefährliche URL enthalten sollten nicht angenommen werden und nicht in die Mailbox des Users zugestellt werden. Bitte dazu die Einstellungen des URL-Filters beachten.<br>{{Hinweis|Securepoint empfiehlt, dass bei diesen Mails der <u>zutreffende Inhalt entfernt</u> wird.}} {{a | 3}} {{Beschriftung|Regelname}} <code>URL_Filter</code><br>{{Beschriftung|Wenn eine E-Mail eingeht:}} {{MenuD|und wurde vom URL-Filter erfasst}} <br>{{b |Aktion ausführen:}} {{MenuD|zutreffenden Inhalt filtern}} | m=6px }}
{{td |{{Button|+Filterregel hinzufügen}}<br>{{KastenGrau|URL_Filter}} |'''Anlegen einer neuen Regel. '''<br>E-Mails die eine gefährliche URL enthalten sollten nicht angenommen werden und nicht in die Mailbox des Users zugestellt werden. Bitte dazu die Einstellungen des URL-Filters beachten.<br>{{ Positiv | Securepoint empfiehlt, dass bei diesen Mails der <u>zutreffende Inhalt entfernt</u> wird.}} {{a | 3}} {{Beschriftung|Regelname}} <code>URL_Filter</code><br>{{Beschriftung|Wenn eine E-Mail eingeht:}} {{MenuD|und wurde vom URL-Filter erfasst}} <br>{{b |Aktion ausführen:}} {{MenuD|zutreffenden Inhalt filtern}} | m=6px }}
----
----
Die aktuelle Gefährdungslage macht deutlich, dass Standard-Verfahren im Kampf gegen Malware nicht mehr mithalten können.<br>
Die aktuelle Gefährdungslage macht deutlich, dass Standard-Verfahren im Kampf gegen Malware nicht mehr mithalten können.<br>
Zeile 142: Zeile 142:
----
----
{{h6 |Filterregel: "Excel-Dokumente auf Basis des MIME-Types"}}
{{h6 |Filterregel: "Excel-Dokumente auf Basis des MIME-Types"}}
{{td |{{Button|+Filterregel hinzufügen}}<br>{{KastenGrau|Excel_MIME}} |'''Anlegen einer neuen Regel. '''<br>Damit Excel-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.<br>{{ Positiv | Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!}} {{a|3}}{{Beschriftung|Regelname}} <code>Word_Mime</code><br>{{Beschriftung|Wenn eine E-Mail eingeht:}} {{MenuD|und mit Inhalt dessen}} {{MenuD|MIME-Typ}} {{MenuD|ist}}<br>In der Klick-Box können nun MIME_Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.<br>{{r|Hier sind MIME-Types aufgeführt, die sich nicht selber in der Click-Box auswählen lassen! <br>Wir kennen die nicht, empfehlen aber die zu berücksichtigen??<br>z.B.: vnd.openxmlformats-officedocument.scodeadsheetml.template}}<br><code>application/vnd.ms-excel,application/vnd.openxmlformats-officedocument.scodeadsheetml.sheet,application/vnd.openxmlformats-officedocument.scodeadsheetml.template,application/vnd.ms-excel.sheet.macroEnabled.12,application/vnd.ms-excel.template.macroEnabled.12,application/vnd.ms-excel.addin.macroEnabled.12,application/vnd.ms-excel.sheet.binary.macroEnabled.12</code><br>{{b |Aktion ausführen:}} {{MenuD|E-Mail in Quarantäne aufnehmen und erneut filtern nach}} <code>30</code> Minuten | m=6px }}
{{td |{{Button|+Filterregel hinzufügen}}<br>{{KastenGrau|Excel_MIME}} |'''Anlegen einer neuen Regel. '''<br>Damit Excel-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.<br>{{ Positiv | Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!}} {{a|3}}{{Beschriftung|Regelname}} <code>Word_Mime</code><br>{{Beschriftung|Wenn eine E-Mail eingeht:}} {{MenuD|und mit Inhalt dessen}} {{MenuD|MIME-Typ}} {{MenuD|ist}}<br>In der Klick-Box können nun MIME_Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.<br><code>application/vnd.ms-excel,application/vnd.openxmlformats-officedocument.scodeadsheetml.sheet,application/vnd.openxmlformats-officedocument.scodeadsheetml.template,application/vnd.ms-excel.sheet.macroEnabled.12,application/vnd.ms-excel.template.macroEnabled.12,application/vnd.ms-excel.addin.macroEnabled.12,application/vnd.ms-excel.sheet.binary.macroEnabled.12</code><br>{{b |Aktion ausführen:}} {{MenuD|E-Mail in Quarantäne aufnehmen und erneut filtern nach}} <code>30</code> Minuten '''Neu in 11.8'''| m=6px }}
----
----
{{h6 | Filterregel: "Office-Dokumente auf Basis der Dateiendung"}}
{{h6 | Filterregel: "Office-Dokumente auf Basis der Dateiendung"}}
{{td |{{Button|+Filterregel hinzufügen}}<br>{{KastenGrau|Office_Extension}} | Damit Office-Dokumente anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.<br>{{Hinweis|Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!}}<br>Anlegen einer neuen Regel: <br>{{Beschriftung|Regelname}} <code>Office_Extension</code><br>{{Beschriftung|Wenn eine E-Mail eingeht:}} {{MenuD|und mit Inhalt dessen}} {{MenuD|Dateiname}} {{MenuD|endet auf}}<br>In der Klick-Box können nun Datei-Endungen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.<br><code>doc,dot,docx,docm,dotx,dotm,docb,xls,xlsx,xlt,xlm,xlsb,xla,xlam,xll,xlw, ppt,pot,pps,pptx,pptm,potx,potm,ppam,ppsx,ppsm,sldx,sldm,pub</code><br>{{b | Aktion ausführen:}} {{MenuD | E-Mail in Quarantäne aufnehmen und erneut filtern nach }} <code>30</code> Minuten | m=6px }}
{{td |{{Button|+Filterregel hinzufügen}}<br>{{KastenGrau|Office_Extension}} |'''Anlegen einer neuen Regel. '''<br>Damit Office-Dokumente anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.<br>{{ Positiv | Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!}} {{nf | Neue Filter-Aktion in 11.8 }} {{a | 3}}{{Beschriftung|Regelname}} <code>Office_Extension</code><br>{{Beschriftung|Wenn eine E-Mail eingeht:}} {{MenuD | und mit Inhalt dessen}} {{MenuD | Dateiname}} {{MenuD | endet auf}}<br>In der Klick-Box können nun Datei-Endungen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.<br><code>doc,dot,docx,docm,dotx,dotm,docb,xls,xlsx,xlt,xlm,xlsb,xla,xlam,xll,xlw, ppt,pot,pps,pptx,pptm,potx,potm,ppam,ppsx,ppsm,sldx,sldm,pub</code> {{a | 3}}{{b | Aktion ausführen:}} {{MenuD | E-Mail in Quarantäne aufnehmen und erneut filtern nach }} <code>30</code> Minuten | m=6px }}
----
----
{{h6 | Filterregel: "Komprimierte Dateien auf Basis des MIME-Type"}}
{{h6 | Filterregel: "Komprimierte Dateien auf Basis des MIME-Type"}}
{{td |{{Button|+Filterregel hinzufügen}}<br>{{KastenGrau|Compressed_MIME}} | Damit Komprimierte Dateien anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.<br>{{Hinweis|Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!}}<br>Anlegen einer neuen Regel: <br>{{Beschriftung|Regelname}} <code>Word_Mime</code><br>{{Beschriftung|Wenn eine E-Mail eingeht:}} {{MenuD|und mit Inhalt dessen}} {{MenuD|MIME-Typ}} {{MenuD|ist}}<br>In der Klick-Box können nun MIME_Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.<br><code>application/x-zip-comcodessed,application/zip</code> | m=6px }}
{{td |{{Button|+Filterregel hinzufügen}}<br>{{KastenGrau|Compressed_MIME}} |'''Anlegen einer neuen Regel.'''<br>Damit Komprimierte Dateien anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.<br>{{ Positiv | Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!}} {{nf | Neue Filter-Aktion in 11.8 }} {{a | 3}}{{Beschriftung|Regelname}} <code>Word_Mime</code><br>{{Beschriftung|Wenn eine E-Mail eingeht:}} {{MenuD|und mit Inhalt dessen}} {{MenuD|MIME-Typ}} {{MenuD|ist}}<br>In der Klick-Box können nun MIME_Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.<br><code>application/x-zip-comcodessed,application/zip</code> {{a | 3}}{{b | Aktion ausführen:}} {{MenuD | E-Mail in Quarantäne aufnehmen und erneut filtern nach }} <code>30</code> Minuten | m=6px }}
----
----
{{h6 | Filterregel: "Komprimierte Dateien auf Basis der Endung"}}
{{h6 | Filterregel: "Komprimierte Dateien auf Basis der Endung"}}
{{td |{{Button|+Filterregel hinzufügen}}<br>{{KastenGrau|Compressed_Extension}} | Damit Komprimierte Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.<br>{{Hinweis|Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!}}<br>Anlegen einer neuen Regel: <br>{{Beschriftung|Regelname}} <code>Word_Mime</code><br>{{Beschriftung|Wenn eine E-Mail eingeht:}} {{MenuD|und mit Inhalt dessen}} {{MenuD | Dateiname}} {{MenuD | endet auf}} <br>In der Klick-Box können nun Datei-Endungen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.<br><code>zip,7z,ace,arj,cab,zz,zipx</code> | m=6px }}
{{td |{{Button|+Filterregel hinzufügen}}<br>{{KastenGrau | Compressed_Extension}} | '''Anlegen einer neuen Regel.'''<br>Damit Komprimierte Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.<br>{{ Positiv | Securepoint empfiehlt, dass Mails mit komprimierten Dateien im Anhang vorläufig Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!}} {{nf | Neue Filter-Aktion in 11.8 }} {{a | 3}}{{Beschriftung|Regelname}} <code>Word_Mime</code><br>{{Beschriftung|Wenn eine E-Mail eingeht:}} {{MenuD|und mit Inhalt dessen}} {{MenuD | Dateiname}} {{MenuD | endet auf}} <br>In der Klick-Box können nun Datei-Endungen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.<br><code>zip,7z,ace,arj,cab,zz,zipx</code> {{a | 3}}{{b | Aktion ausführen:}} {{MenuD | E-Mail in Quarantäne aufnehmen und erneut filtern nach }} <code>30</code> Minuten | m=6px }}
----
----
{{h6 | Whitelist Ausnahme Regeln erstellen }}
{{h6 | Whitelist Ausnahme Regeln erstellen }}

Version vom 24. Januar 2019, 15:59 Uhr


Letze Anpassung zur Version: 11.8
Bemerkung: Verschlüsselung forcieren hinzugefügt, URL-Filter ergänzt.
Vorherige Versionen: 11.7.1

Einleitung

Dieser Artikel ist ein Best Practice zum Thema Mail-Security. Diese Empfehlungen beziehen sich auf folgendes Szenario:

  • Empfang der E-Mails per SMTP über das Mailrelay
  • Zustellung erfolgt direkt über MX
  • Filterung erfolgt direkt bei Eingang auf MX


Die Domain securepoint.de und die IP-Adresse 192.168.175.100 sind Beispiel Adressen.


Allgemein

Globale E-Mail Adresse

Um Benachrichtigungen im Fehlerfall zu erhalten, muss unter → Netzwerk →Servereinstellungen
Firewall
Globale E-Mail Adresse eine gültige Postmaster Adresse eingetragen werden.

Mailrelay

‌ Mailrelay 


Unter → Anwendungen →Mailrelay ist die Konfiguration so einzustellen, dass nur E-Mails an die Empfänger-Adresse angenommen werden.


Relaying

 Relaying-Liste 

UTM 11-8 Mailrelay Relaying Domain hinzufügen.png
Konfigurieren mit + Domain / Host hinzufügen
Domain:
securepoint.de
Option:
To
Aktion:
Relay


Sollen auch ausgehend Emails über das Mailrelay der UTM versendet werden, wird ein weiterer Eintrag benötigt:

Domain:
IP: 192.168.175.100
Option:
From
Aktion:
Relay


 Exakten Domainnamen für das Relaying verwenden:  Ein

Durch diese Option werden E-Mails an Empfänger innerhalb einer Subdomain nicht angenommen.

Einstellungen

TLS Verschlüsselung für das Mailrelay aktivieren: Ein

Die TLS-Verschlüsselung für das Mailrelay ist zu aktivieren.
Der Import eines Zertifikats, dessen CN dem Hostnamen der UTM entspricht, ist optional. Wird ein solches Zertifikat nicht importiert, verwendet das Mailrelay ein selbst-signiertes Zertifikat zum Zweck der Transportverschlüsselung.


SMTP Routen

Der Mailserver sollte Mails an Adressen ohne Postfach während des SMTP-Dialogs ablehnen.

Abschnitt:
Einstellungen

Die Validierung der Empfänger auf gültige E-Mail Adressen ist zu aktivieren. Dadurch werden nur E-Mails angenommen, welche an einem Empfänger gehen, der auch auf dem Mail-Server vorhanden ist.

Für E-Mail-Adresse überprüfen: Stehen folgende Werte zur Verfügung:

  • über SMTP , indem die Securepoint Appliance im Hintergrund den internen Mailserver abfragt.
    Hinweis: Die Validierung muss ebenso am Mailserver aktiv sein! (Recipient Verification z.B. bei einem Exchange)

  • über LDAP , indem die Securepoint Appliance beispielsweise den Active Directory-Server abfragt.
    Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter → Authentifizierung →AD/LDAP Authentifzierung konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten.

  • über eine Lokale E-Mail-Adressliste , in der alle bekannten Adressen stehen.


Greylisting

Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird.
Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.
Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.

Neben der Abwehr von einfachen Spam-Bots durch das Greylisting, wird auch wertvolle Zeit gewonnen um neuen Definitionen zu laden und so etwaige neue SPAM-Wellen zu erkennen.

Einstellungen
Greylisting aktivieren:
Ein Greylisting sollte aktiviert werden.
SPF aktivieren:
Ein Wenn das Sender Policy Framework der Absenderdomain korrekt im DNS eingetragen ist, wird die Mail ohne Verzögerung zugestellt.

Im SPF-Record werden alle Mailserver IP-Adressen des Absenders eingetragen, die zum Versand von E-Mails berechtigt sind. Der Empfänger prüft dann anhand des Mail Header Feldes „Mail From“ oder des „HELO“ Kommandos, welche Domain dort eingetragen ist oder genannt wird und ob diese mit einer der IP-Adressen im SPF-Record übereinstimmt. Stimmt die IP-Adresse des Absenders nicht mit denen des SPF-Record überein, geht die Mail in das Greylisting.

Automatisches Whitelisten für:
60 Der Wert kann auf 60 Tage erhöht werden.
Verzögerung:
Vorgabe 2 Minuten: Zeitraum, der dem sendenden Mailserver vorgegeben wird, um einen weiteren Zustellversuch vorzunehmen.

Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden.

Alert-green.png   Positiv:  Wird ein größerer Wert für Verzögerung von z.B.: 30 Minuten gewählt, kann die Scan-Engine bei der erneuten Zustellung mit zwischenzeitlich aktualisierten Virensignaturen eine höhere Erkennungswahrscheinlichkeit bei neuen Outbreaks aufweisen.



Erweitert

Greeting Pause
Ein Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in Spam-Bots das SMTP-Protokoll nicht zur Gänze implementiert ist. Damit lassen sich diese von regulären Mailservern zu unterscheiden.
Das Greeting ist eine Begrüßung, die vom Mailrelay an den sendenden Mailserver übermittelt wird.
Diese könnte z. B. so aussehen: 220 firewall.foo.local ESMTP Ready
Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er weitere SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spam-Bot wird sofort nach erfolgtem TCP-Handshake beginnen Kommandos zu senden. In diesem Fall wird das Mailrelay keine weiteren Kommandos entgegennehmen und die Verbindung abbrechen.
HELO benötigt
Ein Ist HELO aktiviert, wird vom SMTP Client gefordert seinen Namen zu nennen.
Sollte unbedingt aktiviert bleiben (Standard) Dieser Schalter existiert, um Abwärtskompatibilität zu gewähleisten.
Recipient flooding verhindern
Ein Viele Spammer versuchen, Spams an "erfundene" Mailempfänger einer Domain zuzustellen. Durch diese Massen können, aufgrund der verbrauchten Bandbreite, andere Internetverbindungen empfindlich gestört werden. Um dieses "Recipient Flooding" wirksam zu unterbinden, können Anfragen eines Hosts, der innerhalb kurzer Zeit eine definierte Anzahl fehlgeschlagener Zustellungsversuche (z. B. aufgrund von fehlgeschlagener E-MailAdressen Validierung) aufzuweisen hat, nur noch verzögert beantwortet werden. (Default: 2 Versuche)
Empfängerbeschränkung aktivieren
Ein Die Option blockiert Mails, die mehr als eine definierte Anzahl Empfängeradressen aufweisen (Default: 25 Empfänger).
Verbindungslimit aktivieren
Ein Hier kann eingestellt werden, wie viele Verbindungen das Mailrelay pro Sekunde annimmt (Default: 5).
Für bekannte Mailserver können Ausnahmen von dieser Limitierung ausgenommen werden. Das Verbindungslimit wirkt möglichen DDOS-Attacken entgegen..
Rate Kontrolle aktivieren
Ein Möglichen DOS-Attacken wird durch die Rate Kontrolle entgegengewirkt.
Sollen ausgehende Emails ebenfalls über das Mailrelay der UTM gesendet werden, sollten für die entsprechenden Mailserver Ausnahmen hinzugefügt werden.


Verschlüsselung

Verschlüsselung
Unter → Authentifizierung →Verschlüsselung Mailrelay kann eingestellt werden, dass die Verschlüsselung forciert wird. Wenn diese Einstellung aktiviert ist, sind nur noch verschlüsselte Verbindungen zum Mailrelay möglich und auch die Client Verbindung, die das Mailrelay zu einem Mailserver aufbaut ist verschlüsselt.

Wenn die Gegenstelle keine Verschlüsselung unterstützt, wird die Verbindung abgebrochen. Das normale Verhalten eines Mailservers wäre, das er als Fallback eine unverschlüsselte Verbindung zu lässt. Das ist dann nicht mehr möglich. Das forcieren der Verschlüsselung wirkt den Spam Mails entgegnen.

Standardwerte überschreiben:
Ein
Verschlüsselung forcieren:
Ein

Alle übrigen Einstellungen können unverändert bleiben.

Übernehmen der Einstellungen mit Speichern.


Mailfilter

Unter → Anwendungen →Mailfilter sollten verschieden Filterregeln angepasst werden:

Filterregeln

Filterregel "ist als SPAM klassifiziert / SMTP"
 Spam_SMTP 
Filterkriterien: Protokoll ist "SMTP" und ist als Spam klassifiziert.
Mail-Server oder Absender deren E-Mails als SPAM klassifiziert werden, sind in der Vergangenheit als SPAM-Quelle aufgefallen. E-Mails von diesen Systemen sollte auf gar keinen Fall angenommen werden.
Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.
Alert-green.png   Securepoint empfiehlt, dass diese Mails abgelehnt werden.

Filterregel bearbeiten: Aktion ausführen: E-Mail ablehnen

Default: Ausführen: E-Mail in Quarantäne nehmen.


Filterregel "ist als SPAM klassifiziert / POP3"
 Spam_POP3-Proxy 
Filterkriterien: Protokoll ist "POP3" und ist als Spam klassifiziert.
Alert-green.png   Securepoint empfiehlt, dass diese Mails in Quarantäne genommen werden.
Alert-red-light.png Bei Verwendung des POP3-Proxys dürfen Mails nicht abgelehnt werden!

Filterregel bearbeiten: Aktion ausführen: E-Mail in Quarantäne nehmen

Default: Ausführen: E-Mail im Betreff markieren mit [Marked as spam]


Filterregel "ist als verdächtig eingestuft"
 Possibly_Spam 
Filterkriterien: ist als verdächtig eingestuft.
E-Mails die als verdächtig eingestuft werden enthalten verdächtige Muster und Inhalte und sollten nicht in die Mailbox des Users zugestellt werden.
Alert-green.png   Securepoint empfiehlt, dass diese Mails in Quarantäne genommen werden.

Filterregel bearbeiten: Aktion ausführen: E-Mail in Quarantäne nehmen

Default: Ausführen: E-Mail im Betreff markieren mit [Marked as possibly spam]


Filterregel "enthält einen Virus"
 Virus 
Filterkriterien: enthält einen Virus.
Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.
Alert-green.png   Securepoint empfiehlt, dass diese Mails abgelehnt werden.

Filterregel bearbeiten: Aktion ausführen: E-Mail in Quarantäne nehmen
Alert-red-light.png Bei der Verwendung des Transparenten POP3-Proxys oder des Mail-Connectors darf diese Option nicht verwendet werden! Hier empfiehlt sich die Option in Quarantäne nehmen

Default: Ausführen: zutreffenden Inhalt filtern

Filterregel "mit Inhalt dessen"
 Filter_Extensions 
Filterkriterien: mit Inhalt dessen FILENAME endet auf
Ausführbare Dateien sollten nicht zugestellt werden. Sie werden anhand der Dateiendung gefiltert. Kann bei Bedarf ergänzt werden.
Alert-green.png   Securepoint empfiehlt, dass diese Mails in Quarantäne genommen werden.

Filterregel bearbeiten: Aktion ausführen: E-Mail in Quarantäne nehmen

Default: ade, adp, bat, chm, cmd, com, cpl, exe, hta, ins, isp, jar, js, jse, lib, lnk, mde, msc, msi, msp, mst, nsh, pif, scr, sct, shb, sys, vb, vbe, vbs, vxd, wsc, wsf, wsh. Ausführen: zutreffenden Inhalt filtern


Filterregel "ist eine Bulk E-Mail"
+Filterregel hinzufügen
 Bulk_Mail 
Anlegen einer neuen Regel.
E-Mails die als BULK eingestuft sind, werden aktuell massenhaft versendet und sollten nicht in die Mailbox des Users zugestellt werden. Dies könnten z. B. die ersten E-Mails einer neuen SPAM-Welle sein.
Alert-green.png   Securepoint empfiehlt, dass diese Mails in Quarantäne genommen werden.

Regelname Bulk_Mail
Wenn eine E-Mail eingeht: und ist eine Bulk E-Mail
Aktion ausführen: E-Mail in Quarantäne nehmen

Filterregel "wurde vom URL-Filter erfasst"
+Filterregel hinzufügen
 URL_Filter 
Anlegen einer neuen Regel.
E-Mails die eine gefährliche URL enthalten sollten nicht angenommen werden und nicht in die Mailbox des Users zugestellt werden. Bitte dazu die Einstellungen des URL-Filters beachten.
Alert-green.png   Securepoint empfiehlt, dass bei diesen Mails der zutreffende Inhalt entfernt wird.

Regelname URL_Filter
Wenn eine E-Mail eingeht: und wurde vom URL-Filter erfasst
Aktion ausführen: zutreffenden Inhalt filtern

Die aktuelle Gefährdungslage macht deutlich, dass Standard-Verfahren im Kampf gegen Malware nicht mehr mithalten können.
Potentiell gefährliche Dokumente sollten nicht in die Mailbox des Users zugestellt werden.
Die Identifizierung der Dokumente erfolgt dabei über MIME-Types und Dateiendungen.


Filterregel "Word-Dokumente auf Basis des MIME-Types"
+Filterregel hinzufügen
 Word_Mime 
Anlegen einer neuen Regel.
Damit Word-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
Alert-green.png   Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!

Regelname Word_Mime
Wenn eine E-Mail eingeht: und mit Inhalt dessen MIME-Typ ist
In der Klick-Box können nun MIME_Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
application/msword,application/vnd.openxmlformats-officedocument.wordprocessingml.document,application/vnd.openxmlformats-officedocument.wordprocessingml.template,application/vnd.ms-word.document.macroEnabled.12,application/vnd.ms-word.template.macroEnabled.12

Aktion ausführen: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten Neu in 11.8

Filterregel: "Excel-Dokumente auf Basis des MIME-Types"
+Filterregel hinzufügen
 Excel_MIME 
Anlegen einer neuen Regel.
Damit Excel-Dokumente anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
Alert-green.png   Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!

Regelname Word_Mime
Wenn eine E-Mail eingeht: und mit Inhalt dessen MIME-Typ ist
In der Klick-Box können nun MIME_Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
application/vnd.ms-excel,application/vnd.openxmlformats-officedocument.scodeadsheetml.sheet,application/vnd.openxmlformats-officedocument.scodeadsheetml.template,application/vnd.ms-excel.sheet.macroEnabled.12,application/vnd.ms-excel.template.macroEnabled.12,application/vnd.ms-excel.addin.macroEnabled.12,application/vnd.ms-excel.sheet.binary.macroEnabled.12
Aktion ausführen: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten Neu in 11.8

Filterregel: "Office-Dokumente auf Basis der Dateiendung"
+Filterregel hinzufügen
 Office_Extension 
Anlegen einer neuen Regel.
Damit Office-Dokumente anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
Alert-green.png   Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!   Neue Filter-Aktion in 11.8  

Regelname Office_Extension
Wenn eine E-Mail eingeht: und mit Inhalt dessen Dateiname endet auf
In der Klick-Box können nun Datei-Endungen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
doc,dot,docx,docm,dotx,dotm,docb,xls,xlsx,xlt,xlm,xlsb,xla,xlam,xll,xlw, ppt,pot,pps,pptx,pptm,potx,potm,ppam,ppsx,ppsm,sldx,sldm,pub

Aktion ausführen: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten

Filterregel: "Komprimierte Dateien auf Basis des MIME-Type"
+Filterregel hinzufügen
 Compressed_MIME 
Anlegen einer neuen Regel.
Damit Komprimierte Dateien anhand des MIME-Types gefiltert werden, wird eine neue Regel benötigt.
Alert-green.png   Securepoint empfiehlt, dass Mails mit Office-Dokumenten im Anhang vorläufig Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!   Neue Filter-Aktion in 11.8  

Regelname Word_Mime
Wenn eine E-Mail eingeht: und mit Inhalt dessen MIME-Typ ist
In der Klick-Box können nun MIME_Typen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
application/x-zip-comcodessed,application/zip

Aktion ausführen: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten

Filterregel: "Komprimierte Dateien auf Basis der Endung"
+Filterregel hinzufügen
 Compressed_Extension 
Anlegen einer neuen Regel.
Damit Komprimierte Dateien anhand der Dateiendung gefiltert werden, wird eine neue Regel benötigt.
Alert-green.png   Securepoint empfiehlt, dass Mails mit komprimierten Dateien im Anhang vorläufig Quarantäne genommen und nach 30 Minuten erneut gefiltert werden!   Neue Filter-Aktion in 11.8  

Regelname Word_Mime
Wenn eine E-Mail eingeht: und mit Inhalt dessen Dateiname endet auf
In der Klick-Box können nun Datei-Endungen ausgewählt werden. Als Inhalt kann diese Liste eingetragen werden.
zip,7z,ace,arj,cab,zz,zipx

Aktion ausführen: E-Mail in Quarantäne aufnehmen und erneut filtern nach 30 Minuten

Whitelist Ausnahme Regeln erstellen
+Filterregel hinzufügen
 Whitelist 
Mailfilter Whitelist-Regel
Wenn E-Mails eines bestimmten Absenders (hier von securepoint.de) in jedem Fall zugestellt werden sollen, muss hierfür eine Whiltelist-Ausnahme in dem Mailfilter Regelwerk angelegt werden.
Diese muss folgende Merkmale enthalten:

Wenn eine E-Mail eingeht:

  • und Protokoll ist SMTP
  • und ist als Spam klassifiziert
  • und Sender enthält
    » securepoint.de


Aktion ausführen: E-Mails annehmen

Speichern

Filterregel verschieben
Damit eine Regel als Whitelist-Regel funktioniert, muss die Reihenfolge definiert werden, so dass diese Regel vor der allgemeinen Spam-Quarantäne-Regel greift.

Durch klicken und halten mit der linken Maustaste auf die Whitelist-Regel (Pos. 7) in der Spalte „Pos.“, wird diese Regel nach oben über die allgemeine Spam_SMTP Filterregel verschoben. Hat die Regel die gewünschte Position erreicht, wird die Maustaste losgelassen.

Die Whitelist-Regel erhält nun entsprechend ihrer Rangfolge eine neue Positionsnummer.



Gefälschter Absender
+Filterregel hinzufügen
 fake_sender_intern 
Fake Sender
Damit E-Mails mit gefälschtem internen Absender (die gewöhnlich ein hohes Vertrauen genießen) nicht angenommen werden, empfehlen wir zwei Filterregeln nach folgendem Beispiel zu erstellen:

Die Maildomain @securepoint.de und die IP-Adresse 192.168.175.100 sind lediglich Beispieladressen und müssen ersetzt werden.

+Filterregel hinzufügen
Regelname fake_sender_intern1
Wenn eine E-Mail eingeht:
und Sender enthält » @securepoint.de
Kriterium hinzufügen +
und Quellhost ist nicht » 192.168.175.100
Aktion ausführen: E-Mail ablehnen

Speichern

+Filterregel hinzufügen
Regelname fake_sender_intern2
Wenn eine E-Mail eingeht: und Header-Feld "From" enthält » @securepoint.de
Kriterium hinzufügen +
und Quellhost ist nicht » 192.168.175.100
Aktion ausführen: E-Mail ablehnen

Speichern

URL-Filter

URL-Filter

Die folgenden Kategorien sollten in die Liste des URL-Filter mit aufgenommen werden.

+ Kategorie hinzufügen

Danger
Diese Kategorie enthält aktuell als schädlich eingestufte URLs welche Schadsoftware verbreiten und Phishing Seiten enthalten (Botnetze, Crimeware usw.)
Porno und Erotik
Diese Kategorie enthält URLs die Pornographische oder überwiegend sexuelle Inhalte bereitstellen.
Hacking
Diese Kategorie enthält URLs die Ratgeber bereitstellen zum Thema Hacking, Warez, Malware bauen, Systeme überlisten oder Abofallen.

Weitere Kategorien sind den Anforderungen des Unternehmen anzupassen.

Durch das Kicken auf Speichern wird die Filterregel hinzugefügt.


Spamreport

Spamreport

Spielwiese/UTM/APP/Mailfilter Spamreport

Hinweise

Folgende Wiki-Artikel können bei der Einrichtung hilfreich sein.