Konfiguration des Mailrelays
Letzte Anpassung zur Version: 11.8.4
- Bemerkung:
-
- Smarthost: TLS implizit verwenden (ab 11.8.4)
- Smarthost Verifikation: Mailserver können mittels Zertifikat (pki oder dane) auf Echtheit überprüft werden.
- TLS-Einstellungen als Server und als Client separat konfigurierbar.
- TLS-Einstellungen erweitert für dane-konforme Server
- Maximale Anzahl an Prozessen lässt sich im Reiter Erweitert einstellen.
Vorherige Versionen: 11.7 / 11.8
Konfiguration des Mailrelay
Die Securepoint UTM Appliance kann mithilfe des Mailrelays E-Mails entgegennehmen und an einen Mailserver im internen Netzwerk weiterleiten. Das Mailrelay prüft die empfangenen E-Mails und teilt diese in eine entsprechende Kategorie ein. Anhand der Kategorie, wird entschieden ob eine E-Mail an den internen Mailserver weitergeleitet wird oder nicht.
Zum Schutz vor Spam bzw. zur Entlastung des Mailfilters lassen sich weitere Optionen konfigurieren. So stammt weit über 90% des Spams nicht von regulären Mailservern, sondern vielmehr von durch Viren und Trojaner kompromittierten Privat- und Arbeitsplatzrechner. Dagegen haben sich die Überprüfung der Ziel E-Mail-Adressen, das Greylisting und die Greeting Pause als wirksame Funktionen erwiesen.
Voraussetzungen
Providerseitige Einstellungen
Um eine reibungslose Teilnahme am Mailverkehr zu gewährleisten, müssen einige Voraussetzungen erfüllt sein:
- Eine feste IP-Adresse.
- Einen A-Record auf dem DNS-Server des Providers, der auf diese IP auflöst (z.B. mail.firma.de).
- Einen MX-Record, der festlegt, unter welcher Adresse der Mailserver einer Domain erreichbar ist (z.B. mail.firma.de).
- Einen PTR-Record, der die feste IP auf den MX-Record zurückauflöst (reverse DNS).
Dies sind alles Einstellungen, die providerseitig vorgenommen werden müssen und NICHT auf der Securepoint Appliance!
Hinweis: Da für abgewiesene Mails bzw. Mails, die noch nicht an den internen Mailserver zugestellt werden konnten, ein gewisses Maß an Speicherplatz zur Verfügung stehen muss, sollten die Hardware-Empfehlungen unbedingt berücksichtigt werden!
Regelwerk
Um anderen Mailservern die Zustellung von Mails auf das Mailrelay zu ermöglichen, muss im Portfilter der Zugriff auf das externe Interface mit dem Protokoll SMTP erlaubt werden:
Hinweis: Sollte neben der Internetverbindung mit der IP, über die der Mailversand stattfindet, keine weitere verfügbar sein, muss dafür gesorgt werden, dass NUR dem Mailserver der Versand von Mail per SMTP erlaubt wird. Sonst könnte ein einziger von einem Trojaner kompromittierter Rechner im Netzwerk das Versenden von Mails empfindlich stören oder gar gänzlich unmöglich machen, weil dieser mit der öffentlichen IP Spams und Malware verbreitet und diese innerhalb kürzester Zeit auf entsprechenden Blacklisten für Spammer gelistet wird.
Wichtig: Es darf keine Portweiterleitung für SMTP existieren. Diese würde dafür sorgen, dass die Mails am Mailrelay vorbeigeleitet werden!
E-Mail-Adresse
Unter Globale E-Mail Adresse: sollte unbedingt eine Postmaster-Adresse konfiguriert werden. Sonst verbleiben nicht zustellbare Mails auf dem Festplattenspeicher. Dies kann dazu führen, dass der verfügbare Speicher irgendwann nicht mehr ausreicht und keine Mails mehr angenommen werden.
Grundkonfiguration des Mail Relay zum Empfang von Mails
Die Konfiguration des Mailrelay findet unter
Allgemein
Funktion | Wert | Beschreibung |
---|---|---|
Mailfilter aktivieren: | Ein | aktivieren |
Postmaster-Adresse: | admin-mail@anyideas.de | Hier muss eine korrekte Mail-Adresse hinterlegt sein. Diese E-Mail-Adresse wird im Dialog im Feld Globale E-Mail Adresse festgelegt. Änderungen sind nur dort möglich. |
Maximale Nachrichtengröße: | 20 | Maximale Größe der Mails in Megabytes, die vom Mailrelay angenommen werden. |
Ausgehende IP-Adresse: | Bei Multipath-Routing kann hier eine ausgehende Schnittstelle durch die IP-Adresse angegeben werden. Auch die Kommunikation aus dem internen Netz läuft dann über diese IP-Adresse. Auf dem Mailserver und seiner Firewall müssen weitere Einstellungen vorgenommen werden, damit Mails von dieser IP-Adresse angenommen werden. |
Smarthost
Einstellungen für einen Smarthost werden nur benötigt, wenn ein solcher für ausgehende Mails nötig ist. Das ist z.B. der Fall, wenn kein eigener Mailserver betrieben wird oder keine feste öffentliche IP-Adresse vorliegt.
Beschriftung | Wert | Beschreibung |
---|---|---|
Smarthost aktivieren: | Ein | aktiviert die Smarthost-Funktion. |
Smarthost: | Externer Mailserver (Beispieladresse) | |
Port: | 465 | Mail-Port für externen Mail-Server 25: Standardport für smtp (Default) 465: Standardport für implzites TLS 587: Standardport für STARTTLS |
TLS implizit verwenden Neu ab 11.8.4 |
Aus | Per Default (deaktiviert) wird eine Verbindung zunächst über smtp aufgebaut und anschließend versucht mit der Gegenstelle eine STARTTLS-Verbindung herzustellen. |
Ein | Bei Aktivierung wird die Verbindung ausschließlich über TLS aufgebaut. Beherrscht die Gegenstelle kein TLS kommt keine Verbindung zu stande. Welche Verison TLS? | |
Smarthost Verifikation: Neu in 11.8.2 |
Es wird keine Verifikation des Smarthosts vorgenommen. | |
Der Smarthost wird anhand von standardmäßig installierten Root-CAs oder einer selbstsignierten CA verifiziert. CA: (Default) Alternativ kann eine (zuvor unter erstellte oder importierte ) CA zur Authentifizierung ausgewählt werden. | ||
Der Smarthost wird ausschließlich mittels DANE Protokoll (RFC 6698) verifiziert und muss dieses unterstützen. Das DANE-Protokoll erfordert zwingend die Aktivierung von DNSSEC. | ||
Authentifizierung aktivieren: | Ein | Erfordert die Authentifizierung am Smarthost-Mailserver. |
Benutzer: | Zugangsdaten
| |
Passwort | Zugangsdaten
|
Relaying
Relaying-Liste
Hier wird konfiguriert, welche Mails von der Securepoint Appliance angenommen und an den internen Mailserver weitergeleitet werden. Das Relaying kann bestimmten Hosts oder bestimmten Domains erlaubt werden.
Hinzufügen eines Eintrags mit dem Button
Beschriftung | Wert | Beschreibung
TLS Einstellungen TLS Einstellungen
SMTP RoutenSMTP Routen-Liste SMTP Routen-Liste
Mit dem Button werden weitere Routen angelegt.Erforderliche Angaben dabei:
Einstellungen Einstellungen
In dieser Rubrik kann die Überprüfung der Ziel E-Mail-Adresse konfiguriert werden. Sie bewirkt, dass Mails an unbekannte Empfänger abgelehnt werden. So wird einerseits der Versuch, Spam an "erfundene" Empfänger zuzustellen, wirkungsvoll unterbunden, zum anderen erhalten eigentlich legitime Absender ein Feedback, dass ihre Mail nicht zugestellt werden konnte, beispielsweise weil sie sich bei der Empfängeradresse verschrieben haben.
Optionale EinstellungenWeitere Einstellungen sind empfehlenswert, aber für einen operativen Einsatz nicht zwingend notwendig:
GreylistingGreylisting bewirkt, dass der Zustellversuch eines unbekannten Mailservers zunächst abgelehnt wird. Spambots unternehmen in der Regel keine weiteren Zustellversuche, damit wurde die Zustellung von Spam bereits erfolgreich unterbunden, bevor die Mail durch die Spamfilter-Engine laufen musste.Ein regulärer Mailserver wird hingegen nach einem gewissen Zeitraum einen erneuten, diesmal erfolgreichen Zustellversuch unternehmen. WhitelistDie Whitelist erlaubt folgende Einträge:
Einstellungen
Hinweis Je nach Konfiguration des sendenden Mailservers kann sich die erneute Zustellung um weitaus mehr als den konfigurierten Zeitraum (Auslieferzustand 2 Minuten) verzögern - im Extremfall um mehrere Stunden. In diesem Falle können Sender bzw. Empfänger von besonders zeitkritischen E-Mails manuell in eine Whitelist eingetragen werden Positiv: Wird ein größerer Wert für Verzögerung von z.B.: 30 Minuten gewählt, kann die Scan-Engine bei der erneuten Zustellung mit zwischenzeitlich aktualisierten Virensignaturen eine höhere Erkennungswahrscheinlichkeit bei neuen Outbreaks aufweisen.
Domain MappingDomains können gemappt werden, um eingehende um Mails an z.B. Mit kann das Mapping zwischen zwei Domains aktiviert werden.Dazu muss jeweils eine Quell-Domain: und eine Ziel-Domain: angegeben werden.
Erweiterte EinstellungenAuf der Registerkarte "Erweitert" befinden sich weitere Optionen zur Vermeidung von Spam, die jeweils einzeln aktiviert werden können: Greeting Pause
Empfänger-Beschränkung Empfänger-Beschränkung
Beschränkung pro Client Beschränkung pro Client
Sonstige Sonstige
Konfiguration des Mailrelays für ausgehende MailsUm wirklich sicherzugehen, dass keine Spams oder Malware aus dem eigenen Netz versendet werden können, kann das Mailrelay auch für ausgehende Mails verwendet werden. RegelwerkUm den Zugriff auf das Mailrelay zu erlauben, muss den zum Mailversand berechtigten Hosts der Zugriff auf die entsprechende Schnittstelle der Securepoint Appliance (abhängig von der Zone, in der sich die Hosts befinden) über das Protokoll SMTP erlaubt werden. Dies kann je nach Anforderung ein einzelner Host (z.B. der Mailserver), eine Gruppe von Hosts oder das gesamte Netzwerk sein. Wichtig ist, dass sämtliche Anwendungen, die Mails über das Mailrelay versenden sollen, die entsprechende Schnittstelle der Firewall als SMTP-Server bzw. Smarthost eingetragen haben. Um z.B. dem internen Netzwerk den Zugriff auf das Mailrelay zu gestatten, kann das Regelwerk mit den vordefinierten Netzwerkgruppen erstellt werden:
Soll nur der Mailserver Mails versenden können, muss dieser zunächst als Netzwerkobjekt angelegt werden:
Dieses Objekt kann dann in der Firewall-Regel verwendet werden: Soll einer bestimmten Gruppe von Rechnern im internen Netzwerk gestattet sein, das Mailrelay zu benutzen, dann müssen diese Rechner jeweils als Netzwerkobjekt angelegt werden. Diese können dann in einer Gruppe zusammengefasst werden (z.B. "SMTP-Berechtigte"). Konfiguration RelayingDamit das Mailrelay die Mails aus dem internen Netz bzw. vom Mailserver auch annimmt, müssen die Einstellungen im Reiter Relaying um einen entsprechenden Eintrag ergänzt werden. Als Kriterium dient die Netzwerkadresse des entsprechenden Subnetzes bzw. die IP-Adresse des betreffenden Rechners:
ErgebnisDie UTM kann jetzt eingehende und ggf. auch ausgehende Mails auf Spam und Viren überprüfen. |
---|