Wechseln zu:Navigation, Suche
Wiki
(Die Seite wurde neu angelegt: „Kategorie:UTMv11 ==Konfiguration des Mail-Relay== Betreibt man im internen Netzwerk einen Mailserver, dann besteht die Möglichkeit, Mails ohne den Umwe…“)
 
Keine Bearbeitungszusammenfassung
Zeile 2: Zeile 2:




==Konfiguration des Mail-Relay==
==Konfiguration des Mailrelay==


Betreibt man im internen Netzwerk einen Mailserver, dann besteht die Möglichkeit, Mails ohne den Umweg über einen vom Provider betriebenen Server zu senden und auch zu empfangen. Die Securepoint Appliance kann in diesem Falle als Mail-Relay dienen, das heißt, sie nimmt Mails entgegen, prüft sie auf [http://wiki.securepoint.de/index.php/Spamfilter Spam] und Viren und leitet sie dann an den internen Mailserver weiter.
Betreibt man im internen Netzwerk einen Mailserver, dann besteht die Möglichkeit, Mails ohne den Umweg über einen vom Provider betriebenen Server zu senden und auch zu empfangen. Die Securepoint Appliance kann in diesem Falle als Mailrelay dienen, das heißt, sie nimmt Mails entgegen, prüft sie auf [http://wiki.securepoint.de/index.php/Spamfilter_V11 Spam] und Viren und leitet sie dann an den internen Mailserver weiter.


===Voraussetzungen===
===Voraussetzungen===
Zeile 17: Zeile 17:
'''''Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!'''''
'''''Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!'''''


Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, kann die Verwendung einer Appliance mit CF-Karte (Black Dwarf, Piranja) als Mail-Relay nicht empfohlen werden. Je nach Mail-Aufkommen empfiehlt sich ein Minimum von 30 GB Festplattenspeicher.
Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, empfiehlt sich je nach Mail-Aufkommen ein Minimum von 30 GB Festplattenspeicher.


===Grundkonfiguration des Mail Relay zum Empfang von Mails===
===Grundkonfiguration des Mail Relay zum Empfang von Mails===
Zeile 23: Zeile 23:
====Regelwerk====
====Regelwerk====


'''Das Wichtigste zuerst:''' Sollte neben der Internetverbindung mit der IP, über die der Mailversand stattfindet, keine weitere verfügbar sein, dann ist es unbedingt notwendig, daß NUR dem Mailserver der Versand von Mail per SMTP erlaubt wird. Sonst könnte ein einziger von einem Trojaner kompromittierter Rechner im Netzwerk das Versenden von Mails empfindlich stören oder gar gänzlich unmöglich machen, weil dieser mit der öffentlichen IP Spams und Malware verbreitet und diese innerhalb kürzester Zeit auf entsprechenden Blacklisten für Spammer gelistet wird.
'''Das Wichtigste zuerst:''' Sollte neben der Internetverbindung mit der IP, über die der Mailversand stattfindet, keine weitere verfügbar sein, sollten sie dafür sorgen, dass NUR dem Mailserver der Versand von Mail per SMTP erlaubt wird. Sonst könnte ein einziger von einem Trojaner kompromittierter Rechner im Netzwerk das Versenden von Mails empfindlich stören oder gar gänzlich unmöglich machen, weil dieser mit der öffentlichen IP Spams und Malware verbreitet und diese innerhalb kürzester Zeit auf entsprechenden Blacklisten für Spammer gelistet wird.


Um nun anderen Mailservern die Zustellung von Mails auf das Mail-Relay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:
Um anderen Mailservern die Zustellung von Mails auf das Mail-Relay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:


[[Datei:UTM_V114_PFMR1.png|800px|thumb|center|Portfilterregel für eingehende Mails]]


[[Datei:UTM_V114_PFMR1.png|800px|thumb|center|Portfilterregel für eingehende Mails]]
Achten sie darauf, dass keine Portweiterleitung für SMTP existiert. Diese würde dafür sorgen, dass die Mails am Mailrelay vorbeigeleitet werden.


====Mail-Relay====
====Mail-Relay====
Zeile 34: Zeile 35:
Die Konfiguration des Mail-Relay findet unter Anwendungen -> Mail Relay statt.  
Die Konfiguration des Mail-Relay findet unter Anwendungen -> Mail Relay statt.  


=====Allgemeine Einstellungen=====
=====Allgemeine Einstellungen und Smarthost=====
[[Datei:UTM_V114_MRAllg.png|250px|thumb|right|Allgemeine Einstellungen des Mail Relay]]
[[Datei:UTM_V114_MRAllg.png|400px|thumb|right|Allgemeine Einstellungen des Mail Relay]]


Auf der Registerkarte "Allgemein" sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.
Auf der Registerkarte "Allgemein" sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.
Zeile 44: Zeile 45:




[[Datei:UTM_V114_MRSH.png|250px|thumb|right|Smarthost Einstellungen des Mail Relay]]
 
[[Datei:UTM_V114_MRSH.png|400px|thumb|right|Smarthost Einstellungen des Mail Relay]]
Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist.
Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist.




Zeile 59: Zeile 63:


=====Relaying=====
=====Relaying=====
[[Datei:UTM_V114_MRRDanl.png|250px|thumb|right|Konfiguration Relaying]]
[[Datei:UTM_V114_MRRDanl.png|400px|thumb|right|Konfiguration Relaying]]
Die wichtigste Einstellung ist sicherlich, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.  
Die wichtigste Einstellung ist sicherlich, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.  


Zeile 77: Zeile 81:


Um also alle Mails zu relayen, die für Empfänger der eigenen Domain bestimmt sind, würden wir einen Eintrag mit der Domain "firma.de", der Option "To:" und der Aktion "RELAY" konfigurieren.
Um also alle Mails zu relayen, die für Empfänger der eigenen Domain bestimmt sind, würden wir einen Eintrag mit der Domain "firma.de", der Option "To:" und der Aktion "RELAY" konfigurieren.




=====Mail Routing=====
=====Mail Routing=====
[[Datei:UTM_V114_MRMRRanl.png|250px|thumb|right|Konfiguration des Mail Routings]]
[[Datei:UTM_V114_MRMRRanl.png|400px|thumb|right|Konfiguration des Mail Routings]]
Hier muss eingestellt werden, an welchen Mailserver eine entgegengenommene Mail weitergeleitet werden soll. Falls dies nicht geschieht, wertet das Mail-Relay den MX-Record der Empfänger-Domain aus - der auf das Relay selbst zeigt! Es wird dann ein sogenannter "Loopback" erkannt, durch den die Annahme der Mail mit einer entsprechenden Fehlermeldung abgebrochen wird. Im Folgenden können dann auch weitere Domains auf den gleichen oder auf andere Mailserver weitergeleitet werden.
Hier muss eingestellt werden, an welchen Mailserver eine entgegengenommene Mail weitergeleitet werden soll. Falls dies nicht geschieht, wertet das Mail-Relay den MX-Record der Empfänger-Domain aus - der auf das Relay selbst zeigt! Es wird dann ein sogenannter "Loopback" erkannt, durch den die Annahme der Mail mit einer entsprechenden Fehlermeldung abgebrochen wird. Im Folgenden können dann auch weitere Domains auf den gleichen oder auf andere Mailserver weitergeleitet werden.


Zeile 88: Zeile 90:
Die Grundkonfiguration ist damit beendet. Die Securepoint Appliance ist nun voll funktional als Mail-Relay mit Spam- und Virenschutz für eingehende E-Mails einsetzbar. Soll das Mail-Relay auch für ausgehende Mails verwendet werden, sind [http://wiki.securepoint.de/index.php/Mail_Relay_V11#Konfiguration_des_Mail_Relay_f.C3.BCr_ausgehende_Mails weitere Konfigurationsschritte] notwendig.
Die Grundkonfiguration ist damit beendet. Die Securepoint Appliance ist nun voll funktional als Mail-Relay mit Spam- und Virenschutz für eingehende E-Mails einsetzbar. Soll das Mail-Relay auch für ausgehende Mails verwendet werden, sind [http://wiki.securepoint.de/index.php/Mail_Relay_V11#Konfiguration_des_Mail_Relay_f.C3.BCr_ausgehende_Mails weitere Konfigurationsschritte] notwendig.


====Weitere Einstellungen====


Zum Schutz vor Spam bzw. zur Entlastung des [http://wiki.securepoint.de/index.php/Spamfilter Spamfilters] lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierte Privat- und Arbeitsplatzrechner. Gelingt es, Mails von diesen illegitimen Versendern bereits im Vorfeld auszusortieren, muss tatsächlich nur noch ein Bruchteil der eingehenden Mails  von der Spamfilter-Engine bearbeitet werden.


=====Relay Blocklisten=====


Auf der Registerkarte "Relaying" findet sich die Möglichkeit, folgende Relay-Blocklisten abzufragen:


*bl.spamcop.net
====Weitere Einstellungen====
*dialups.mail-abuse.org


Mails von einem auf einer dieser Listen geführten Sender werden abgelehnt.
Zum Schutz vor Spam bzw. zur Entlastung des [http://wiki.securepoint.de/index.php/Spamfilter_V11 Mailfilters] lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierte Privat- und Arbeitsplatzrechner.  


=====Validierung=====
=====Validierung=====


Auf der Registerkarte "Mail Routing" kann eine Adressvalidierung konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.
Auf der Registerkarte "Mail Routing" kann daher die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.


Die Validierung kann erfolgen:
Die Validierung kann erfolgen:


*über eine lokale Datei, in der alle bekannten Adressen stehen.
*über eine lokale Liste, in der alle bekannten Adressen stehen.
*über SMTP, indem die Securepoint Appliance im Hintergrund den internen Mailserver abfragt.
*über SMTP, indem die Securepoint Appliance im Hintergrund den internen Mailserver abfragt.
*über LDAP, indem die Securepoint Appliance beispielsweise den Active Directory-Server abfragt.
*über LDAP, indem die Securepoint Appliance beispielsweise den Active Directory-Server abfragt.




[[Datei:Email-validierung.png|800px|thumb|center|Konfiguration der Email-Validierung]]
[[Datei:UTM_V114_MRMVSMTP.png|800px|thumb|center|Konfiguration der E-Mail-Validierung]]





Version vom 16. Oktober 2014, 09:38 Uhr


Konfiguration des Mailrelay

Betreibt man im internen Netzwerk einen Mailserver, dann besteht die Möglichkeit, Mails ohne den Umweg über einen vom Provider betriebenen Server zu senden und auch zu empfangen. Die Securepoint Appliance kann in diesem Falle als Mailrelay dienen, das heißt, sie nimmt Mails entgegen, prüft sie auf Spam und Viren und leitet sie dann an den internen Mailserver weiter.

Voraussetzungen

Um eine reibungslose Teilnahme am Mailverkehr zu gewährleisten, müssen einige Voraussetzungen erfüllt sein:

  • Eine feste IP-Adresse.
  • Einen A-Record auf dem DNS-Server des Providers, der auf diese IP auflöst (z.B. mail.firma.de).
  • Einen MX-Record, der festlegt, unter welcher Adresse der Mailserver einer Domain erreichbar ist (z.B. mail.firma.de).
  • Einen PTR-Record, der die feste IP auf den MX-Record zurückauflöst (reverse DNS).

Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!

Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, empfiehlt sich je nach Mail-Aufkommen ein Minimum von 30 GB Festplattenspeicher.

Grundkonfiguration des Mail Relay zum Empfang von Mails

Regelwerk

Das Wichtigste zuerst: Sollte neben der Internetverbindung mit der IP, über die der Mailversand stattfindet, keine weitere verfügbar sein, sollten sie dafür sorgen, dass NUR dem Mailserver der Versand von Mail per SMTP erlaubt wird. Sonst könnte ein einziger von einem Trojaner kompromittierter Rechner im Netzwerk das Versenden von Mails empfindlich stören oder gar gänzlich unmöglich machen, weil dieser mit der öffentlichen IP Spams und Malware verbreitet und diese innerhalb kürzester Zeit auf entsprechenden Blacklisten für Spammer gelistet wird.

Um anderen Mailservern die Zustellung von Mails auf das Mail-Relay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:

Portfilterregel für eingehende Mails

Achten sie darauf, dass keine Portweiterleitung für SMTP existiert. Diese würde dafür sorgen, dass die Mails am Mailrelay vorbeigeleitet werden.

Mail-Relay

Die Konfiguration des Mail-Relay findet unter Anwendungen -> Mail Relay statt.

Allgemeine Einstellungen und Smarthost
Allgemeine Einstellungen des Mail Relay

Auf der Registerkarte "Allgemein" sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.




Smarthost Einstellungen des Mail Relay

Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist.








Relaying
Konfiguration Relaying

Die wichtigste Einstellung ist sicherlich, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.

Zusätzlich sind bestimmte Optionen konfigurierbar:

  • From: Hier wird die Absender-Domain ausgewertet. Beispiel: Domain: partnerfirma.de - Option: From: - Aktion: RELAY - Alle Mails mit der Domain partnerfirma.de im Absender werden angenommen.
  • To: Hier wird die Empfänger-Domain ausgewertet. Beispiel: Domain: firma.de - Option: To: - Aktion: RELAY - Alle Mails mit der Domain firma.de im Empfänger werden angenommen.
  • Connect: Hier wird die IP, der Hostname oder die Domain des Mailservers ausgewertet, der die Mail zustellen möchte. Beispiel: Domain: partnerfirma.de - Option: Connect - Aktion: RELAY - alle Mails, die von Mailservern aus der Domain partnerfirma.de zugestellt werden, werden angenommen - unabhängig vom Sender oder Empfänger der Mail.

Unter "Aktion" sind folgende Optionen konfigurierbar:

  • RELAY: Mails, die die entsprechenden Bedingungen erfüllen, werden angenommen und weitergeleitet.
  • OK: Mails werden angenommen und an ein lokales Postfach zugestellt, aber nicht weitergeleitet.
  • REJECT: Mails werden abgewiesen.

Da es einerseits keine lokalen Postfächer auf der Securepoint Appliance gibt und andererseits alle Mails, für die kein Relay-Eintrag existiert, ohnehin abgewiesen werden, ist "RELAY" an dieser Stelle die einzig sinnvolle Option.

Um also alle Mails zu relayen, die für Empfänger der eigenen Domain bestimmt sind, würden wir einen Eintrag mit der Domain "firma.de", der Option "To:" und der Aktion "RELAY" konfigurieren.


Mail Routing
Konfiguration des Mail Routings

Hier muss eingestellt werden, an welchen Mailserver eine entgegengenommene Mail weitergeleitet werden soll. Falls dies nicht geschieht, wertet das Mail-Relay den MX-Record der Empfänger-Domain aus - der auf das Relay selbst zeigt! Es wird dann ein sogenannter "Loopback" erkannt, durch den die Annahme der Mail mit einer entsprechenden Fehlermeldung abgebrochen wird. Im Folgenden können dann auch weitere Domains auf den gleichen oder auf andere Mailserver weitergeleitet werden.


Die Grundkonfiguration ist damit beendet. Die Securepoint Appliance ist nun voll funktional als Mail-Relay mit Spam- und Virenschutz für eingehende E-Mails einsetzbar. Soll das Mail-Relay auch für ausgehende Mails verwendet werden, sind weitere Konfigurationsschritte notwendig.



Weitere Einstellungen

Zum Schutz vor Spam bzw. zur Entlastung des Mailfilters lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierte Privat- und Arbeitsplatzrechner.

Validierung

Auf der Registerkarte "Mail Routing" kann daher die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.

Die Validierung kann erfolgen:

  • über eine lokale Liste, in der alle bekannten Adressen stehen.
  • über SMTP, indem die Securepoint Appliance im Hintergrund den internen Mailserver abfragt.
  • über LDAP, indem die Securepoint Appliance beispielsweise den Active Directory-Server abfragt.


Konfiguration der E-Mail-Validierung


Im Falle der Authentifizierung über LDAP muss der entsprechende Server unter Authentifizierung -> externe Authentifzierung konfiguriert werden:


Konfiguration des LDAP-Servers


Der Benutzer muss nicht zwingend der Administrator sein, es reicht ein Benutzer mit Leserechten.

Greylisting

Das weltweite Spam-Aufkommen stammt zum größten Teil (über 90%) nicht von regulären Mailservern, sondern von durch Viren und Trojaner kompromittierten Privat- und Arbeitsplatzrechnern. Greylisting macht sich zu Nutze, dass in diese Spambots das SMTP-Protokoll nicht gänzlich implementiert wurde.

Greylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird. Da Spambots i.d.R. keine weiteren Zustellversuche unternehmen, wurde damit die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste. Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen. Im Weiteren wird er für einen einstellbaren Zeitraum automatisch in eine Whitelist übernommen, das heißt, weitere Mails werden innerhalb dieses Zeitraums sofort entgegengenommen.

Daraus ergibt sich allerdings ein möglicher Nachteil: Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (i.d.R. 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden. Alternativ kann auch auf den Einsatz der Greeting Pause ausgewichen werden.


Konfiguration von Greylisting
Erweiterte Einstellungen

Auf der Registerkarte "Erweitert" befinden sich weitere Optionen zur Vermeidung von Spam:


Erweiterte Einstellungen des Mail Relay


Greeting Pause

Ähnlich wie das Greylisting macht sich die Greetingpause zu Nutze, dass in durch Viren und Trojaner verbreitete Spambots das SMTP-Protokoll nicht zur Gänze implementiert ist, um diese von regulären Mailservern zu unterscheiden. Das Greeting ist eine Textzeile, die vom Mail-Relay an den sendenden Mailserver übermittelt wird. Sie könnte z.B. so aussehen:

  • 220 firewall.foo.local ESMTP Sendmail 8.14.4/8.14.4; Tue, 8 Mar 2011 14:29:30 +0100

Bei vollständig implementiertem SMTP-Protokoll wird ein Mailserver diese Begrüßungszeile abwarten und auswerten, bevor er SMTP-Kommandos sendet, um die Mailzustellung einzuleiten. Ein Spambot wird sofort nach erfolgtem TCP-Handshake beginnen, Kommandos zu senden, da dieser Aspekt des SMTP-Protokolls aus Platzgründen höchstwahrscheinlich ebenso wenig wie ein wiederholter Zustellungsversuch (siehe Greylisting) implementiert ist. In diesem Fall wird das Mail-Relay keine Kommandos mehr entgegennehmen.

Da die Menge der Spambots, die auf diesen Trick "hereinfallen", nahezu deckungsgleich mit der ist, die durch das Greylisting aussortiert werden können, bietet sich die Greetingpause als Alternative in Fällen an, in denen durch das Greylisting unzumutbar lange Zustellzeiten entstehen.

Recipient Flooding

Viele Spammer versuchen, zu hunderten (oder gar tausenden) Spams an "erfundene" Mailempfänger einer Domain zuzustellen, in der Hoffnung, dass zumindestens eine irgendwie in einem Postfach landet, gelesen und vielleicht sogar beantwortet wird. Dadurch können aufgrund der verbrauchten Bandbreite andere Internetverbindungen empfindlich gestört werden. Um dieses "Recipient Flooding" wirksam zu unterbinden, können Anfragen eines Hosts, der innerhalb kurzer Zeit eine einstellbare Anzahl fehlgeschlagener Zustellungsversuche (z.B. aufgrund von fehlgeschlagener Adressvalidierung) aufzuweisen hat, nur noch verzögert beantwortet werden. (Default: 2)

Limitierte Anzahl von Empfängern

Diese Option blockiert Mails, die mehr als eine einstellbare Zahl Empfängeradressen aufweisen (Default: 25).

Damit können auch wirkungsvoll "Spaßmails" (Mails mit angehängten lustigen Bildern, Videos oder Powerpoint-Präsentationen, die gerne an das komplette Adressbuch weitergeleitet werden) unterbunden werden.

Limitierte Verbindungen

Hier kann eingestellt werden, wie viele Verbindungen das Mail-Relay pro Sekunde annimmt (Default: 5). "Befreundete" Mailserver können in einer Ausnahmeliste von dieser Limitierung ausgenommen werden.

Rate Kontrolle

Hier kann konfiguriert werden, wie viele Verbindungen ein einzelner Host innerhalb eines einstellbaren Zeitraums aufbauen kann (Default: 5 Verbindungen in 60 Sekunden). Auch hier ist es möglich, bekannte Mailserver von dieser Limitierung auszunehmen.

Konfiguration des Mail-Relay für ausgehende Mails

Um wirklich sicherzugehen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mail-Relay auch für ausgehende Mails verwendet werden.

Regelwerk

Um den Zugriff auf das Mail-Relay zu erlauben, muss den zum Mailversand berechtigten Hosts der Zugriff auf die entsprechende Schnittstelle der Securepoint Appliance (abhängig von der Zone, in der sich die Hosts befinden) über das Protokoll SMTP erlaubt werden. Dies kann je nach Anforderung ein einzelner Host (z.B. der Mailserver), eine Gruppe von Hosts oder das gesamte Netzwerk sein. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mail-Relay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben.

Um z.B. dem internen Netzwerk den Zugriff auf das Mail-Relay zu gestatten, kann das Regelwerk mit den vordefinierten Netzwerkgruppen erstellt werden:


Firewall-Regel für ausgehende Mails aus dem internen Netz


Soll nur der Mailserver Mails versenden können, muss dieser zunächst als Netzwerkobjekt angelegt werden:


Netzwerkobjekt Mailserver


Dieses Objekt kann dann in der Firewall-Regel verwendet werden:


Firewall-Regel für ausgehende Mails des Mailservers


Soll einer bestimmten Gruppe von Rechnern im internen Netzwerk gestattet sein, das Mail-Relay zu benutzen, dann müssen diese Rechner jeweils als Netzwerkobjekt angelegt werden. Diese können dann in einer Gruppe zusammengefasst werden (z.B. "SMTP-Berechtigte").

Relaying

Damit das Mail-Relay die Mails aus dem internen Netz bzw vom Mailserver auch annimmt, müssen die Relaying-Einstellungen um einen entsprechenden Eintrag ergänzt werden. Als Kriterium dient uns die Netzwerkadresse des entsprechenden Subnetzes bzw. die IP-Adresse des betreffenden Rechners:


Konfiguration des Relaying für den internen Mailserver