Email Protection für Sophos UTM einrichten…

Diese Anleitung beschäftigt sich mit der Einrichtung der Email Protection auf der Sophos UTM. Ziel ist es, den E-Mailverkehr auf Spam und Schadsoftware zu prüfen. Darüber hinaus bildet die Konfiguration die Grundlage für E-Mail Encryption und SPX-Verschlüsselung.

Voraussetzung für das weitere Vorgehen ist eine fixe, öffentliche Adresse der UTM. Für diese Adresse wird mindestens ein A- bzw. AAAA-Record benötigt. Außerdem müssen ein Reverse DNS-Eintrag (PTR-Record) und der MX-Record angelegt werden, die auf den A- bzw. AAAA-Record zeigen. Das sollte soweit klar sein.

Die Anleitung erfolgt am Beispiel eines Domaincontrollers und eines Exchange-Servers.

Allgemein und Routing

Unter Email Protection -> SMTP müsst Ihr den SMTP-Proxy zunächst mit dem Schieber aktivieren. Der einfache Modus sollte in den meisten Fällen ausreichend sein.Auf der Registerkarte Routing muss man die Domänen eintragen, für die Euer interner Mailserver zuständig ist. Der Mailserver muss dann in der Hostliste eingetragen werden.Die Empfängerverifizierung kann entweder per Serveranfrage oder via AD konfiguriert werden. Wer das im Active Directory realisieren möchte, findet hier eine Anleitung: Authentication Servers und SSO für Sophos UTM einrichten.

 

Malware und Antispam

Auf der Registerkarte Malware könnt Ihr das Verhalten der UTM bezüglich Schadsoftware festlegen. Die Optionen sind selbsterklärend.Der Zweifachscan und die Aktivierung von Sandstorm sollte hier die Faustregel sein. Falls Ihr bestimmte MIME-Typen unter Quarantäne stellen möchtet, könnt Ihr folgende, empfohlene Einträge verwenden.

application/msexcel
application/msword
application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
application/vnd.openxmlformats-officedocument.wordprocessingml.document
application/vnd.ms-excel
application/vnd.ms-word
application/vnd.ms-word.document.macroEnabled.12
application/vnd.ms-word.template.macroEnabled.12
application/vnd.ms-excel.sheet.macroEnabled.12
application/vnd.ms-excel.template.macroEnabled.12
application/vnd.ms-excel.addin.macroEnabled.12
application/vnd.ms-excel.sheet.binary.macroEnabled.12
application/vnd.ms-powerpoint.addin.macroEnabled.12
application/vnd.ms-powerpoint.presentation.macroEnabled.12
application/vnd.ms-powerpoint.template.macroEnabled.12
application/vnd.ms-powerpoint.slideshow.macroEnabled.12
application/vnd.ms-powerpoint.slide.macroEnabled.12
application/zip
application/x-rar-compressed
application/x-7z-compressed
application/x-dosexec 
application/x-msdownload
application/exe
application/x-exe
application/dos-exe
vms/exe
application/x-winexe
application/msdos-windows
application/x-msdos-program

Auch im Bereich Antispam können die meisten Einstellungen so übernommen werden, wie im Schaubild zu sehen. Miit folgenden Extra-RBL-Zonen habe ich gute Erfahrungen gemacht. Falls Ihr weitere gute RBLS kennt, dann hinterlasst einen Kommentar!

bl.spamcop.net
dnsbl-1.uceprotect.net
ix.dnsbl.manitu.net

Update: Noch zwei weitere gute RBLs. Danke an Alexander Busch:

b.barracudacentral.org
zen.spamhaus.org

Hier habe ich noch eine weitere Liste: RBL.txt. Die Einträge sind allerdings ungeprüft und könnten nicht aktuell sein.

Relaying und Erweitert

Damit die UTM Nachrichten von Eurem Mailserver weiterleitet, kann man z.B. ein hostbasiertes Relay konfigurieren. Die Einstellung findet man unter Email Protection -> SMTP -> Relaying. Dort trägt man den internen Mailserver ein.Anschließend muss man den Sendeconntector auf dem internen Mailserver anpassen. Dieser zeigt nun auf die interne Adresse der UTM. Bei Exchange sieht das folgendermaßen aus.Falls ausgehende E-Mails nicht geprüft werden müssen, kann man den Haken unter Email Protection -> SMTP -> Relaying raus nehmen.

In den erweiterten Einstellungen solltet Ihr ein entsprechendes, öffentlich signiertes Zertifikat auswählen. Ab UTM 9.600-5 ist das mit Lets Encrypt ja kein Problem mehr. Möchtet Ihr ein anderes Zertifikat einrichten, findet Ihr z.B. hier eine Anleitung: Zertifikat public SSL für Sophos UTM.

Laut DSGVO ist es erforderlich, TLS v 1.2 zu verwenden. Anschließend setzt man den SMTP-Hostnamen, welcher dem A (AAAA)-Record entspricht.Damit ist die Einrichtung der E-Mail Protection grundsätzlich abgeschlossen.

Falls Ihr mit einem Smarthost arbeiten müsst, tragt Ihr den unter Email Protection -> SMTP -> Erweitert ein.

Ausnahmen

Wann immer E-Mails nicht durchgestellt werden, ist der Mailmanager eine echte Hilfe. Den Mailmanager findet man unter Email Protection -> Mailmanger. Hier lässt sich ziemlich gut nachforschen, warum bestimmte E-Mails nicht ankommen.Der häufigste Grund ist ein Blacklisteintrag des Empfängers oder bestimmte Dateitypen als Anhang werden gesperrt. Bei vertrauenswürdigen Absender kann man dann Ausnahmen deklarieren. Es ist ratsam, mehrere Whitelisten anzulegen, die bestimmte Prüfungen auslassen, siehe folgend.Damit die Mitarbeiter eigenständig auf Ihre unter Qurantäne gestellten E-Mails zugreifen können ist der Quarantänereport nicht schlecht. Dazu könnt Ihr folgende Anleitung verwenden: Quarantänebericht für Sophos UTM einrichten. Alternativ schaltet man das Userportal frei, das per Webbrowser erreichbar ist.

Abschlussbemerkung

In dieser Anleitung bin ich bewußt nicht auf die Einstellung Datenschutz eingegangen. Das würde den Rahmen doch etwas sprengen. Noch kurz zur Info, die Antispam Prüfung BATV kann Probleme bei Autorepond-Nachrichten bereiten. Weiter Informationen findet Ihr in der Sophos Community.

Wer Unterstüzung für Office 365 benötigt, findet hier ein Konfigurationsbeispiel: Sophos UTM Email Protection und Office365. Bei weiteren Fragen hinterlasst Ihr bitte einen Kommentar!

Thorsten Sult

Keine gewerbliche Nutzung und keine Werbung! Sämtliche Inhalte unterliegen dem Urheberrecht. Sollten Euch meine Artikel geholfen haben, wäre ich sehr dankbar für einen Kommentar. Gerne auch anonym.

Dieser Beitrag hat 13 Kommentare

  1. Hi,

    in einer anderen Anleitung auf einem anderen Blog steht, dass man TLS v1.1 verwenden soll, weil häufig auf unverschlüsselt geschwenkt wird. Das sollte doch so nicht sein oder?

    1. Ja, es findet ein Fallback auf plain statt. Das ist zwar sehr ungünstig aber nicht Dein Problem, wenn die anderen nicht TLS 1.2 anbieten. Falls Du also TLS < V1.2 einstellst, ist es nicht DSGVO-konform. Tut mir leid!

  2. Nur ein kleiner Hinweis zu dem Hinweis: “ Falls Ihr bestimmte MIME-Typen unter Quarantäne stellen möchtet, könnt Ihr folgende, empfohlene Einträge verwenden“

    Sollten diese MIME-Filter verwendet werden, werden die Dateien in der Quarantäne nicht von der Sandstorm-Umgebung gescannt, da der Filter vor Sandstorm greift. Nach dem Release findet auch kein Sandstorm-Scan statt.

    1. Das kann ich mir nicht vorstellen und werde das mal beim Support nachfragen!

      1. Hallo (noch einmal), diese Antwort habe ich vom Sophos Support erhalten. Ich habe diese tolle Seite hier entdeckt und wollte genau diese MIME-Typen ebenso eintragen, habe aber „zur Sicherheit“ über unseren Dienstleister den Sophos Support befragen lassen. Das war dann die Antwort. Grüße Heinsolo

        1. Hi, danke für die Rückmeldung. Das habe ich so nicht gewusst. Wird denn nur Sandstorm ausgelassen oder auch das AV-Scanning an sich auch? Wenn das stimmt, was Du schreibst, sollte Sophos das ändern.

          1. Hier nochmal die Anwort vom Support:

            Hallo Herr Sult,

            ich habe hier nochmal Sophos befragt zu dem Thema und folgende Antwort erhalten:

            Eine Mail wird vorerst vom Spam Daemon bewertet.

            Danach vom AntiVirus Daemon und zum Schluss vom Extension Filter.

            Anti Spam Daemon bewertet dementsprechend auch RDNS und andere Checks, die Sie in dem Spam Tab finden.

            Sandstorm kommt hier beim AntiVirus Daemon zum Zuge.

            Die Sicherheitsmechanismen werden nach dem Release einer Mail weiter abgearbeitet. Bedeutet wird eine Mail als Spam klassifiziert und vom Administrator released, überprüft die UTM danach die Mail auf Anti Virus.

            Dies wird im Log folgendermaßen klassifiziert:

            MASTER[5675]: Action: scanning mail Mail_REF after quarantine release request.

            Seit 9.3 besitzen wir die Möglichkeit, in Archive schauen zu können. Dadurch gilt eine ZIP als Transparent und die Mail wird anhand der Extension in dem ZIP vom Extension Filter bewertet.

            Zusätzlich sei gesagt, dass Sandstorm nicht bei Release gescanned wird. Hier wird nur die SAVI Engine verwendet.

  3. Hallo Thorsten,
    bis jetzt bin ich mit den beiden Listen:
    b.barracudacentral.org
    zen.spamhaus.org
    ganz gut gefahren. Aber danke für die Vorschläge, werde diese mal testen. Leider sind wirklich gute Statistiken dazu irgendwie nicht zu finden, zumal diese für uns in Europa sicherlich etwas anders aussehen als in den USA. Leider bietet die UTM zur Effektivität der RBL auch keine Statistiken an, oder?
    Beste Grüße
    Alex

    1. Hi, nicht das ich wüsste. Ich hab irgend wann mal mit dem Mailmanager geguckt, welche rbl am häufigsten anspringt. Und das waren meistens nur die drei vorgestellten.

  4. Hallo!
    Ich habe nur ein Problem mit meinem Uplinkausgleich. Der eine Anschluss hat eine feste Adresse, der andere ist dynamisch. Es kommt vor, dass Mails über den dynamischen Anschluss versendet werden. Wie bekommt man es hin, dass nur über die Schnittstelle mit fester Adresse versendet wird?

    1. Hi! Du könntest versuchen, eine Multipath-Regel für SMTP/S zu definieren. Mit Schnittstellenbindung für den Anschluss mit der fixen Adresse. Unter Erweitert nimmst Du dann den Haken bei „Regel bei Schnittstellenfehler überspringen“ raus.

  5. Gute Anleitung, hat mir sehr geholfen.

  6. Mit „dnsbl-1.uceprotect.net“ haben wir schlechte Erfahrungen gemacht.
    Leider zuviel false positiv.

    Gute Erfahrungen bei:
    ix.dnsbl.manitu.net
    zen.spamhaus.org
    cbl.abuseat.org
    bl.spamcop.net

Schreibe einen Kommentar

Menü schließen