Diese Anleitung beschäftigt sich mit der Einrichtung der Email Protection auf der Sophos UTM. Ziel ist es, den E-Mailverkehr auf Spam und Schadsoftware zu prüfen. Darüber hinaus bildet die Konfiguration die Grundlage für E-Mail Encryption und SPX-Verschlüsselung.
Voraussetzung für das weitere Vorgehen ist eine fixe, öffentliche Adresse der UTM. Für diese Adresse wird mindestens ein A- bzw. AAAA-Record benötigt. Außerdem müssen ein Reverse DNS-Eintrag (PTR-Record) und der MX-Record angelegt werden, die auf den A- bzw. AAAA-Record zeigen. Das sollte soweit klar sein.
Die Anleitung erfolgt am Beispiel eines Domaincontrollers und eines Exchange-Servers.
Allgemein und Routing
Unter Email Protection -> SMTP müsst Ihr den SMTP-Proxy zunächst mit dem Schieber aktivieren. Der einfache Modus sollte in den meisten Fällen ausreichend sein.
Auf der Registerkarte Routing muss man die Domänen eintragen, für die Euer interner Mailserver zuständig ist. Der Mailserver muss dann in der Hostliste eingetragen werden.
Die Empfängerverifizierung kann entweder per Serveranfrage oder via AD konfiguriert werden. Wer das im Active Directory realisieren möchte, findet hier eine Anleitung: Authentication Servers und SSO für Sophos UTM einrichten.
Malware und Antispam
Auf der Registerkarte Malware könnt Ihr das Verhalten der UTM bezüglich Schadsoftware festlegen. Die Optionen sind selbsterklärend.
Der Zweifachscan und die Aktivierung von Sandstorm sollte hier die Faustregel sein. Falls Ihr bestimmte MIME-Typen unter Quarantäne stellen möchtet, könnt Ihr folgende, empfohlene Einträge verwenden.
application/msexcel application/msword application/vnd.openxmlformats-officedocument.spreadsheetml.sheet application/vnd.openxmlformats-officedocument.wordprocessingml.document application/vnd.ms-excel application/vnd.ms-word application/vnd.ms-word.document.macroEnabled.12 application/vnd.ms-word.template.macroEnabled.12 application/vnd.ms-excel.sheet.macroEnabled.12 application/vnd.ms-excel.template.macroEnabled.12 application/vnd.ms-excel.addin.macroEnabled.12 application/vnd.ms-excel.sheet.binary.macroEnabled.12 application/vnd.ms-powerpoint.addin.macroEnabled.12 application/vnd.ms-powerpoint.presentation.macroEnabled.12 application/vnd.ms-powerpoint.template.macroEnabled.12 application/vnd.ms-powerpoint.slideshow.macroEnabled.12 application/vnd.ms-powerpoint.slide.macroEnabled.12 application/zip application/x-rar-compressed application/x-7z-compressed application/x-dosexec application/x-msdownload application/exe application/x-exe application/dos-exe vms/exe application/x-winexe application/msdos-windows application/x-msdos-program
Auch im Bereich Antispam können die meisten Einstellungen so übernommen werden, wie im Schaubild zu sehen.
Miit folgenden Extra-RBL-Zonen habe ich gute Erfahrungen gemacht. Falls Ihr weitere gute RBLS kennt, dann hinterlasst einen Kommentar!
bl.spamcop.net dnsbl-1.uceprotect.net ix.dnsbl.manitu.net
Update: Noch zwei weitere gute RBLs. Danke an Alexander Busch:
b.barracudacentral.org zen.spamhaus.org
Hier habe ich noch eine weitere Liste: RBL.txt. Die Einträge sind allerdings ungeprüft und könnten nicht aktuell sein.
Relaying und Erweitert
Damit die UTM Nachrichten von Eurem Mailserver weiterleitet, kann man z.B. ein hostbasiertes Relay konfigurieren. Die Einstellung findet man unter Email Protection -> SMTP -> Relaying. Dort trägt man den internen Mailserver ein.
Anschließend muss man den Sendeconntector auf dem internen Mailserver anpassen. Dieser zeigt nun auf die interne Adresse der UTM. Bei Exchange sieht das folgendermaßen aus.
Falls ausgehende E-Mails nicht geprüft werden müssen, kann man den Haken unter Email Protection -> SMTP -> Relaying raus nehmen.
In den erweiterten Einstellungen solltet Ihr ein entsprechendes, öffentlich signiertes Zertifikat auswählen. Ab UTM 9.600-5 ist das mit Lets Encrypt ja kein Problem mehr. Möchtet Ihr ein anderes Zertifikat einrichten, findet Ihr z.B. hier eine Anleitung: Zertifikat public SSL für Sophos UTM.
Laut DSGVO ist es erforderlich, TLS v 1.2 zu verwenden. Anschließend setzt man den SMTP-Hostnamen, welcher dem A (AAAA)-Record entspricht.
Damit ist die Einrichtung der E-Mail Protection grundsätzlich abgeschlossen.
Falls Ihr mit einem Smarthost arbeiten müsst, tragt Ihr den unter Email Protection -> SMTP -> Erweitert ein.
Ausnahmen
Wann immer E-Mails nicht durchgestellt werden, ist der Mailmanager eine echte Hilfe. Den Mailmanager findet man unter Email Protection -> Mailmanger. Hier lässt sich ziemlich gut nachforschen, warum bestimmte E-Mails nicht ankommen.
Der häufigste Grund ist ein Blacklisteintrag des Empfängers oder bestimmte Dateitypen als Anhang werden gesperrt. Bei vertrauenswürdigen Absender kann man dann Ausnahmen deklarieren. Es ist ratsam, mehrere Whitelisten anzulegen, die bestimmte Prüfungen auslassen, siehe folgend.
Damit die Mitarbeiter eigenständig auf Ihre unter Qurantäne gestellten E-Mails zugreifen können ist der Quarantänereport nicht schlecht. Dazu könnt Ihr folgende Anleitung verwenden: Quarantänebericht für Sophos UTM einrichten. Alternativ schaltet man das Userportal frei, das per Webbrowser erreichbar ist.
Abschlussbemerkung
In dieser Anleitung bin ich bewußt nicht auf die Einstellung Datenschutz eingegangen. Das würde den Rahmen doch etwas sprengen. Noch kurz zur Info, die Antispam Prüfung BATV kann Probleme bei Autorepond-Nachrichten bereiten. Weiter Informationen findet Ihr in der Sophos Community.
Wer Unterstüzung für Office 365 benötigt, findet hier ein Konfigurationsbeispiel: Sophos UTM Email Protection und Office365. Bei weiteren Fragen hinterlasst Ihr bitte einen Kommentar!
Hi,
in einer anderen Anleitung auf einem anderen Blog steht, dass man TLS v1.1 verwenden soll, weil häufig auf unverschlüsselt geschwenkt wird. Das sollte doch so nicht sein oder?
Ja, es findet ein Fallback auf plain statt. Das ist zwar sehr ungünstig aber nicht Dein Problem, wenn die anderen nicht TLS 1.2 anbieten. Falls Du also TLS < V1.2 einstellst, ist es nicht DSGVO-konform. Tut mir leid!
Nur ein kleiner Hinweis zu dem Hinweis: “ Falls Ihr bestimmte MIME-Typen unter Quarantäne stellen möchtet, könnt Ihr folgende, empfohlene Einträge verwenden“
Sollten diese MIME-Filter verwendet werden, werden die Dateien in der Quarantäne nicht von der Sandstorm-Umgebung gescannt, da der Filter vor Sandstorm greift. Nach dem Release findet auch kein Sandstorm-Scan statt.
Das kann ich mir nicht vorstellen und werde das mal beim Support nachfragen!
Hallo (noch einmal), diese Antwort habe ich vom Sophos Support erhalten. Ich habe diese tolle Seite hier entdeckt und wollte genau diese MIME-Typen ebenso eintragen, habe aber „zur Sicherheit“ über unseren Dienstleister den Sophos Support befragen lassen. Das war dann die Antwort. Grüße Heinsolo
Hi, danke für die Rückmeldung. Das habe ich so nicht gewusst. Wird denn nur Sandstorm ausgelassen oder auch das AV-Scanning an sich auch? Wenn das stimmt, was Du schreibst, sollte Sophos das ändern.
Hier nochmal die Anwort vom Support:
Hallo Thorsten,
bis jetzt bin ich mit den beiden Listen:
b.barracudacentral.org
zen.spamhaus.org
ganz gut gefahren. Aber danke für die Vorschläge, werde diese mal testen. Leider sind wirklich gute Statistiken dazu irgendwie nicht zu finden, zumal diese für uns in Europa sicherlich etwas anders aussehen als in den USA. Leider bietet die UTM zur Effektivität der RBL auch keine Statistiken an, oder?
Beste Grüße
Alex
Hi, nicht das ich wüsste. Ich hab irgend wann mal mit dem Mailmanager geguckt, welche rbl am häufigsten anspringt. Und das waren meistens nur die drei vorgestellten.
Hallo!
Ich habe nur ein Problem mit meinem Uplinkausgleich. Der eine Anschluss hat eine feste Adresse, der andere ist dynamisch. Es kommt vor, dass Mails über den dynamischen Anschluss versendet werden. Wie bekommt man es hin, dass nur über die Schnittstelle mit fester Adresse versendet wird?
Hi! Du könntest versuchen, eine Multipath-Regel für SMTP/S zu definieren. Mit Schnittstellenbindung für den Anschluss mit der fixen Adresse. Unter Erweitert nimmst Du dann den Haken bei „Regel bei Schnittstellenfehler überspringen“ raus.
Gute Anleitung, hat mir sehr geholfen.
Mit „dnsbl-1.uceprotect.net“ haben wir schlechte Erfahrungen gemacht.
Leider zuviel false positiv.
Gute Erfahrungen bei:
ix.dnsbl.manitu.net
zen.spamhaus.org
cbl.abuseat.org
bl.spamcop.net
genau die gleiche kombo nutzen wir auch 😉 nur ne andere reihenfolge, aber sollte ja egal sein 😉
wieder was gelernt heute 🙂
Wußte nicht das man das auch so machen kann mit den applications als MIME-Types.
Ne frage hierzu, gilt das sowohl für doc als auch docx etc. bei den Office-Geschichten?:
application/vnd.ms-word.document.macroEnabled.12
application/vnd.ms-word.template.macroEnabled.12
application/vnd.ms-excel.sheet.macroEnabled.12
application/vnd.ms-excel.template.macroEnabled.12
application/vnd.ms-excel.addin.macroEnabled.12
application/vnd.ms-excel.sheet.binary.macroEnabled.12
application/vnd.ms-powerpoint.addin.macroEnabled.12
application/vnd.ms-powerpoint.presentation.macroEnabled.12
application/vnd.ms-powerpoint.template.macroEnabled.12
application/vnd.ms-powerpoint.slideshow.macroEnabled.12
application/vnd.ms-powerpoint.slide.macroEnabled.12
Hi, danke für Deinen Kommentar. Ja, das gilt für alle MS-Office Typen.