Diese Anleitung beschäftigt sich mit der Einrichtung der Email Protection auf der Sophos UTM. Ziel ist es, den E-Mailverkehr auf Spam und Schadsoftware zu prüfen. Darüber hinaus bildet die Konfiguration die Grundlage für E-Mail Encryption und SPX-Verschlüsselung.
Voraussetzung für das weitere Vorgehen ist eine fixe, öffentliche Adresse der UTM. Für diese Adresse wird mindestens ein A- bzw. AAAA-Record benötigt. Außerdem müssen ein Reverse DNS-Eintrag (PTR-Record) und der MX-Record angelegt werden, die auf den A- bzw. AAAA-Record zeigen. Das sollte soweit klar sein.
Die Anleitung erfolgt am Beispiel eines Domaincontrollers und eines Exchange-Servers.
Allgemein und Routing
Unter Email Protection -> SMTP müsst Ihr den SMTP-Proxy zunächst mit dem Schieber aktivieren. Der einfache Modus sollte in den meisten Fällen ausreichend sein.
Auf der Registerkarte Routing muss man die Domänen eintragen, für die Euer interner Mailserver zuständig ist. Der Mailserver muss dann in der Hostliste eingetragen werden.
Die Empfängerverifizierung kann entweder per Serveranfrage oder via AD konfiguriert werden. Wer das im Active Directory realisieren möchte, findet hier eine Anleitung: Authentication Servers und SSO für Sophos UTM einrichten.
Malware und Antispam
Auf der Registerkarte Malware könnt Ihr das Verhalten der UTM bezüglich Schadsoftware festlegen. Die Optionen sind selbsterklärend.
Der Zweifachscan und die Aktivierung von Sandstorm sollte hier die Faustregel sein. Falls Ihr bestimmte MIME-Typen unter Quarantäne stellen möchtet, könnt Ihr folgende, empfohlene Einträge verwenden.
application/msexcel application/msword application/vnd.openxmlformats-officedocument.spreadsheetml.sheet application/vnd.openxmlformats-officedocument.wordprocessingml.document application/vnd.ms-excel application/vnd.ms-word application/vnd.ms-word.document.macroEnabled.12 application/vnd.ms-word.template.macroEnabled.12 application/vnd.ms-excel.sheet.macroEnabled.12 application/vnd.ms-excel.template.macroEnabled.12 application/vnd.ms-excel.addin.macroEnabled.12 application/vnd.ms-excel.sheet.binary.macroEnabled.12 application/vnd.ms-powerpoint.addin.macroEnabled.12 application/vnd.ms-powerpoint.presentation.macroEnabled.12 application/vnd.ms-powerpoint.template.macroEnabled.12 application/vnd.ms-powerpoint.slideshow.macroEnabled.12 application/vnd.ms-powerpoint.slide.macroEnabled.12 application/zip application/x-rar-compressed application/x-7z-compressed application/x-dosexec application/x-msdownload application/exe application/x-exe application/dos-exe vms/exe application/x-winexe application/msdos-windows application/x-msdos-program
Auch im Bereich Antispam können die meisten Einstellungen so übernommen werden, wie im Schaubild zu sehen.
Miit folgenden Extra-RBL-Zonen habe ich gute Erfahrungen gemacht. Falls Ihr weitere gute RBLS kennt, dann hinterlasst einen Kommentar!
bl.spamcop.net dnsbl-1.uceprotect.net ix.dnsbl.manitu.net
Update: Noch zwei weitere gute RBLs. Danke an Alexander Busch:
b.barracudacentral.org zen.spamhaus.org
Hier habe ich noch eine weitere Liste: RBL.txt. Die Einträge sind allerdings ungeprüft und könnten nicht aktuell sein.
Relaying und Erweitert
Damit die UTM Nachrichten von Eurem Mailserver weiterleitet, kann man z.B. ein hostbasiertes Relay konfigurieren. Die Einstellung findet man unter Email Protection -> SMTP -> Relaying. Dort trägt man den internen Mailserver ein.
Anschließend muss man den Sendeconntector auf dem internen Mailserver anpassen. Dieser zeigt nun auf die interne Adresse der UTM. Bei Exchange sieht das folgendermaßen aus.
Falls ausgehende E-Mails nicht geprüft werden müssen, kann man den Haken unter Email Protection -> SMTP -> Relaying raus nehmen.
In den erweiterten Einstellungen solltet Ihr ein entsprechendes, öffentlich signiertes Zertifikat auswählen. Ab UTM 9.600-5 ist das mit Lets Encrypt ja kein Problem mehr. Möchtet Ihr ein anderes Zertifikat einrichten, findet Ihr z.B. hier eine Anleitung: Zertifikat public SSL für Sophos UTM.
Laut DSGVO ist es erforderlich, TLS v 1.2 zu verwenden. Anschließend setzt man den SMTP-Hostnamen, welcher dem A (AAAA)-Record entspricht.
Damit ist die Einrichtung der E-Mail Protection grundsätzlich abgeschlossen.
Falls Ihr mit einem Smarthost arbeiten müsst, tragt Ihr den unter Email Protection -> SMTP -> Erweitert ein.
Ausnahmen
Wann immer E-Mails nicht durchgestellt werden, ist der Mailmanager eine echte Hilfe. Den Mailmanager findet man unter Email Protection -> Mailmanger. Hier lässt sich ziemlich gut nachforschen, warum bestimmte E-Mails nicht ankommen.
Der häufigste Grund ist ein Blacklisteintrag des Empfängers oder bestimmte Dateitypen als Anhang werden gesperrt. Bei vertrauenswürdigen Absender kann man dann Ausnahmen deklarieren. Es ist ratsam, mehrere Whitelisten anzulegen, die bestimmte Prüfungen auslassen, siehe folgend.
Damit die Mitarbeiter eigenständig auf Ihre unter Qurantäne gestellten E-Mails zugreifen können ist der Quarantänereport nicht schlecht. Dazu könnt Ihr folgende Anleitung verwenden: Quarantänebericht für Sophos UTM einrichten. Alternativ schaltet man das Userportal frei, das per Webbrowser erreichbar ist.
Abschlussbemerkung
In dieser Anleitung bin ich bewußt nicht auf die Einstellung Datenschutz eingegangen. Das würde den Rahmen doch etwas sprengen. Noch kurz zur Info, die Antispam Prüfung BATV kann Probleme bei Autorepond-Nachrichten bereiten. Weiter Informationen findet Ihr in der Sophos Community.
Wer Unterstüzung für Office 365 benötigt, findet hier ein Konfigurationsbeispiel: Sophos UTM Email Protection und Office365. Bei weiteren Fragen hinterlasst Ihr bitte einen Kommentar!