UTM/APP/Mailrelay-Best Practice v12.2: Unterschied zwischen den Versionen

{{DISPLAYTITLE:Mail Security - Empfohlene Einstellungen 2019}}

{{h3 | Mailrelay | {{Menu | Mailrelay |n}} }}<br><br>

<p>Unter {{Menu| Anwendungen | Mailrelay}} ist die Konfiguration so einzustellen, dass nur E-Mails an die Empfänger-Adresse angenommen werden. </p>

{{KastenGrau|Relaying-Liste}}

{{pt |UTM_11-8_Mailrelay_Relaying_Domain_hinzufügen.png | hochkant=1}}Konfigurieren mit {{Button |+ Domain / Host hinzufügen}}<p></p>

<p>Mails,die an Domain ''anyideas.de'' gerichtet sind, sollen vom Mailrelay weitergeleitet werden:</p>

{{td |{{Beschriftung|Domain:}} |<code>anyideas.de</code> | w=100px | m=1px }}

{{td |{{Beschriftung|Option:}} |{{Button | To | dr | w=80px}} | w=100px }}

{{td |{{Beschriftung|Aktion:}} |{{Button | Relay | dr | w=80px}} | w=100px }}

{{Kasten|Einstellungen}}<br>

{{ td | {{Beschriftung | TLS Verschlüsselung als Server:}} | {{ButtonAn|Ein}} Die TLS-Verschlüsselung für das Mailrelay ist zu aktivieren, andernfalls werden Mails über unverschlüsselte Verbindungen entgegengenommen. Siehe hierzu auch die Hinweise des [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_BSI_TLS_Version_2_0.pdf BSI zur Verwendung von TLS.] |w=250px;}}

{{ td | {{ b | Zertifikat }} | {{ td | {{ Button | default | dr | w=80px}} | Der Import eines Zertifikats, dessen CN dem Hostnamen der UTM entspricht, ist optional. Wird ein solches Zertifikat nicht importiert, verwendet das Mailrelay ein selbst-signiertes Zertifikat zum Zweck der Transportverschlüsselung. | w=90px }} |w=250px;}}

{{ td | {{ b | TLS Verschlüsselung als Client: }} | {{ Button | encrypt | dro | w=80px }} Stellt sicher, daß Mails in jedem Falle über eine verschlüsselte Verbindung versendet werden. | w=250px }}

===={{Reiter|SMTP Routen}}====

{{Hinweis | Der Mailserver sollte Mails an Adressen ohne Postfach während des SMTP-Dialogs ablehnen. | gelb}}

Abschnitt: {{Kasten|Einstellungen}}

Die Validierung der Empfänger auf gültige E-Mail Adressen ist zu aktivieren. Dadurch werden nur E-Mails angenommen, welche an einen Empfänger gehen, der auch auf dem Mail-Server vorhanden ist.

{{ td | {{Beschriftung| E-Mail-Adresse überprüfen: }} | Es stehen folgende {{MenuD|Werte}} zur Verfügung:<br>

*{{ td | {{MenuD|SMTP}} | Die Securepoint Appliance fragt im Hintergrund den internen Mailserver ab.<br>{{Hinweis|Hinweis: | gelb}} Die Validierung muss ebenso am Mailserver aktiv sein! (Recipient Verification z.B. bei einem Exchange-Server) | w=100px }}

*{{ td | {{MenuD | LDAP}} | Die Securepoint Appliance fragt beispielsweise den Active Directory-Server ab.<br>Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter [[UTM/AUTH/AD_Anbindung|{{Menu | Authentifizierung | AD/LDAP Authentifzierung}}]] konfiguriert werden. Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten. | w=100px }}

*{{ td | {{MenuD | Lokale E-Mail-Adressliste}} |Hier stehen alle bekannten Adressen.| w=170px }}

{{ td ||Mit {{Button | Lokale E-Mail-Adressliste bearbeiten}} können Mail-Adressen hinzugefügt und entfernt werden. | w=125px }} | w=200px }}

===={{Reiter|Greylisting}}====

Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird. <br>Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.<br>Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen.<p></p>

<p>Neben der Abwehr von einfachen Spam-Bots durch das Greylisting, wird auch wertvolle Zeit gewonnen um neuen Definitionen zu laden und so etwaige neue SPAM-Wellen zu erkennen.</p>

{{Kasten|Einstellungen}}

{{td |{{Beschriftung |Greylisting aktivieren: }} | {{ButtonAn|Ein}} Greylisting sollte aktiviert werden.| w=240px| m=3px}}

{{td |{{Beschriftung |SPF aktivieren:}} | {{ButtonAn|Ein}} Wenn das [https://de.wikipedia.org/wiki/Sender_Policy_Framework Sender Policy Framework] der Absenderdomain korrekt im DNS eingetragen ist, wird die Mail ohne Verzögerung zugestellt. <p>Im SPF-Record werden alle Mailserver IP-Adressen des Absenders eingetragen, die zum Versand von E-Mails berechtigt sind. Der Empfänger prüft dann anhand des Mail Header Feldes „Mail From“ oder des „HELO“ Kommandos, welche Domain dort eingetragen ist oder genannt wird und ob diese mit einer der IP-Adressen im SPF-Record übereinstimmt. Stimmt die IP-Adresse des Absenders nicht mit denen des SPF-Record überein, geht die Mail in das Greylisting.</p> | w=240px| m=3px}}

{{td |{{Beschriftung |Automatisches Whitelisten für:}} | {{ ic | 60 | c }} Der Wert kann auf 60 Tage erhöht werden.| w=240px| m=3px}}

{{td | {{Beschriftung |Verzögerung: }} | Vorgabe {{ ic | 2 | c }} Minuten: Zeitraum, der dem sendenden Mailserver vorgegeben wird, um einen weiteren Zustellversuch vorzunehmen. | w=240px| m=3px}}

{{td | |<p></p>{{Hinweis | !| gelb}} Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden.<p></p>

{{Hinweis | Positiv | grün}} Wird ein größerer Wert für {{Beschriftung |Verzögerung}} von z.B.: {{ ic | 30 | c }} Minuten gewählt, kann die Scan-Engine bei der erneuten Zustellung mit zwischenzeitlich aktualisierten  Virensignaturen eine höhere Erkennungswahrscheinlichkeit bei neuen Outbreaks aufweisen.| w=240px| m=3px}}

===={{Reiter|Erweitert}}====

{| xclass="wikitable"

!  {{ Kasten | Greeting Pause }}  

| style="vertical-align: top; width: 240px; padding:5px 0px;" | {{Beschriftung| Status}} || {{ButtonAn |Ein}} Ähnlich wie das Greylisting macht sich die Greeting Pause zu Nutze, dass in Spam-Bots das SMTP-Protokoll nicht zur Gänze implementiert ist. Damit lassen sich diese von regulären Mailservern unterscheiden.<br>

<code>220 firewall.foo.local ESMTP Ready</code><br>

Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er weitere SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spam-Bot wird sofort nach erfolgtem TCP-Handshake beginnen Kommandos zu senden. In diesem Fall wird das Mailrelay keine weiteren Kommandos entgegennehmen und die Verbindung abbrechen.

! <br>{{ Kasten | Empfänger-Beschränkung }}

| style="vertical-align: top; padding:5px 0px;" | {{Beschriftung| Status}} || {{ButtonAn |Ein}} Die Option blockiert Mails, die mehr als eine definierte Anzahl Empfängeradressen aufweisen. {{a|5}} {{ b | Limit }} {{ic |25 | c }} Empfänger  <small>(Default-Wert belassen.)</small>

!<br> {{ Kasten | Beschränkungen pro Client}}

| style="vertical-align: top; padding:5px 0px;" | {{Beschriftung |Verbindungen limitieren}} || {{ButtonAn |Ein}} Hier kann eingestellt werden, wie viele Verbindungen das Mailrelay gleichzeitig annimmt. {{a|5}}{{Button|Ausnahmen}} können für bekannte Mailserver als Host-Liste definiert werden.<br>  {{ b | Erlaubte Verbindungen:}} {{ic|1|c}} <small>(Default-Wert belassen.)</small><br> Das Verbindungslimit wirkt möglichen DDOS-Attacken entgegen.

| style="vertical-align: top; padding:5px 0px;" | {{Beschriftung | Zugriffskontrolle aktivieren}} || {{ButtonAn | Ein }}<br>{{ td | {{ b | Zeitfenster: }} | {{ic | 60 | c }} Sekunden  | w=200px }} {{ td | {{ b |  Verbindungen pro Zeitfenster: }} | {{ ic | 5 | c }}  | w=200px}} Möglichen DOS-Attacken wird durch die Zugriffskontrolle entgegengewirkt. <br>Sollen ausgehende Mails ebenfalls über das Mailrelay der UTM gesendet werden, sollten für die entsprechenden Mailserver {{Button|Ausnahmen}} hinzugefügt werden.

! <br>{{ Kasten | Sonstige }}  

| style="vertical-align: top; padding:5px 0px;" | {{Beschriftung |HELO benötigt}} || {{ButtonAn |Ein}} Ist HELO aktiviert, wird vom SMTP Client gefordert seinen Namen zu nennen.<br>Sollte unbedingt aktiviert bleiben (Standard) Dieser Schalter existiert, um Abwärtskompatibilität zu gewähleisten.

===Mailfilter===

Unter {{Menu | Anwendungen | Mailfilter}} sollten verschieden {{Reiter|Filterregeln}} angepasst bzw. neu erstellt werden:

===={{Reiter|Filterregeln}}====

{{h6|Filterregel "ist als SPAM klassifiziert / SMTP"}}

{{td |{{KastenGrau|Spam_SMTP}} | '''Filterkriterien: Protokoll ist "SMTP" und ist als Spam klassifiziert.'''<br>Mail-Server oder Absender deren E-Mails als SPAM klassifiziert werden, sind in der Vergangenheit als SPAM-Quelle aufgefallen. E-Mails von diesen Systemen sollte auf gar keinen Fall angenommen werden.<br>Die Annahme solcher E-Mails (auch wenn diese danach in Quarantäne genommen werden) macht die E-Mail-Domäne für potentielle SPAM- und Viren-Versender nur interessanter.<br>{{Hinweis | Securepoint empfiehlt, dass diese Mails <u>abgelehnt</u> werden. | grün}} {{a | 3}}'''Filterregel bearbeiten:''' {{Beschriftung|Aktion ausführen:}} {{MenuD|E-Mail ablehnen}} <p>{{ kl | Default: Ausführen: '''''E-Mail in Quarantäne nehmen.''''' }} </p>}}