Die Einrichtung des Qurantäneberichts auf der Sophos UTM ist ziemlich einfach. Es gibt auch hier ein paar Dinge die beachtet werden müssen. Ausgangslage ist selbstverständlich eine vollständig konfigurierte E-Mailprotection auf der Sophos UTM, damit es funktioniert.
Falls das noch nicht geschehen ist, findet Ihr hier eine Anleitung: Email Protection für Sophos UTM einrichten. Zudem muss der Spamfilter auch so eingestellt sein, dass zumindest eine Spamaktion E-Mails in Quarantäne schiebt.
Der erste Schritt ist die Aktivierung des Qurantäneberichts unter Email Protection -> Qurantänebericht -> Allgemein.
Wer den Quarantänebericht öfter als zweimal am Tag benötigt, muss ein bischen tricksen. Man kann die beiden vordefinierten Zeiten mithilfe der Cron regelmäßig ändern lassen.
Folgende Einträge könnt Ihr der Datei /etc/crontab-static auf der UTM hinzufügen, um z.B.stündliche Reports zu erhalten:
59 23 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 00:00:00 59 23 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 01:00:00 59 01 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 02:00:00 59 01 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 03:00:00 59 03 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 04:00:00 59 03 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 05:00:00 59 05 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 06:00:00 59 05 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 07:00:00 59 07 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 08:00:00 59 07 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 09:00:00 59 09 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 10:00:00 59 09 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 11:00:00 59 11 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 12:00:00 59 11 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 13:00:00 59 13 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 14:00:00 59 13 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 15:00:00 59 15 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 16:00:00 59 15 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 17:00:00 59 17 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 18:00:00 59 17 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 19:00:00 59 19 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 20:00:00 59 19 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 21:00:00 59 21 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 22:00:00 59 21 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 23:00:00
Das wird allerdings nicht von Sophos supported. Weitere Informationen dazu findet Ihr in der Sophos Community.
Abschließend stellt man unter Email Protection -> Qurantänebericht -> Erweitert den Hostnamen ein, unter der die UTM erreichbar ist.Der Port für die Freigablinks ist hier mit 3840 vorbelegt und Ihr könnt ihn bei Bedarf ändern. Genauso gibt man die Netze unter Zugelassene Netzwerke an.
Seit UTM 9.510-5 hat Sophos die Freigabe- und Whitelistlinks übrigens auf HTTPS umgestellt. Ihr solltet also ein entsprechendes Zertifikat auf der UTM hinterlegen, dass auf o.g. Hostnamen ausgestellt ist. Ab UTM 9.600-5 ist das mit Lets Encrypt ja kein Problem mehr.
Hab Ihr unter Zugelassene Netzwerke nur Eure internen Netze eingetragen, müsst Ihr mit Split-DNS den Hostnamen auf die interne Adresse der UTM auflösen lassen.
Und so sieht dann der Quarantäne Bericht per E-Mail aus.
Falls Ihr weitere Fragen habt, hinterlasst einen Kommentar!