Voraussetzung für das weitere Vorgehen ist eine fixe, öffentliche Adresse der UTM. Für diese Adresse wird mindestens ein A- bzw. AAAA-Record benötigt. Außerdem müssen ein Reverse DNS-Eintrag (PTR-Record) und der MX-Record angelegt werden, die auf den A- bzw. AAAA-Record zeigen. Das sollte soweit klar sein.
Die Anleitung erfolgt am Beispiel eines Domaincontrollers und eines Exchange-Servers.
Allgemein und Routing
Unter Email Protection -> SMTP müsst Ihr den SMTP-Proxy zunächst mit dem Schieber aktivieren. Der einfache Modus sollte in den meisten Fällen ausreichend sein.
Malware und Antispam
Auf der Registerkarte Malware könnt Ihr das Verhalten der UTM bezüglich Schadsoftware festlegen. Die Optionen sind selbsterklärend.
application/msexcel application/msword application/vnd.openxmlformats-officedocument.spreadsheetml.sheet application/vnd.openxmlformats-officedocument.wordprocessingml.document application/vnd.ms-excel application/vnd.ms-word application/vnd.ms-word.document.macroEnabled.12 application/vnd.ms-word.template.macroEnabled.12 application/vnd.ms-excel.sheet.macroEnabled.12 application/vnd.ms-excel.template.macroEnabled.12 application/vnd.ms-excel.addin.macroEnabled.12 application/vnd.ms-excel.sheet.binary.macroEnabled.12 application/vnd.ms-powerpoint.addin.macroEnabled.12 application/vnd.ms-powerpoint.presentation.macroEnabled.12 application/vnd.ms-powerpoint.template.macroEnabled.12 application/vnd.ms-powerpoint.slideshow.macroEnabled.12 application/vnd.ms-powerpoint.slide.macroEnabled.12 application/zip application/x-rar-compressed application/x-7z-compressed application/x-dosexec application/x-msdownload application/exe application/x-exe application/dos-exe vms/exe application/x-winexe application/msdos-windows application/x-msdos-program
Auch im Bereich Antispam können die meisten Einstellungen so übernommen werden, wie im Schaubild zu sehen.
bl.spamcop.net dnsbl-1.uceprotect.net ix.dnsbl.manitu.net
Update: Noch zwei weitere gute RBLs. Danke an Alexander Busch:
b.barracudacentral.org zen.spamhaus.org
Hier habe ich noch eine weitere Liste: RBL.txt. Die Einträge sind allerdings ungeprüft und könnten nicht aktuell sein.
Relaying und Erweitert
Damit die UTM Nachrichten von Eurem Mailserver weiterleitet, kann man z.B. ein hostbasiertes Relay konfigurieren. Die Einstellung findet man unter Email Protection -> SMTP -> Relaying. Dort trägt man den internen Mailserver ein.
Laut DSGVO ist es erforderlich, TLS v 1.2 zu verwenden. Anschließend setzt man den SMTP-Hostnamen, welcher dem A (AAAA)-Record entspricht.
Falls Ihr mit einem Smarthost arbeiten müsst, tragt Ihr den unter Email Protection -> SMTP -> Erweitert ein.
Ausnahmen
Wann immer E-Mails nicht durchgestellt werden, ist der Mailmanager eine echte Hilfe. Den Mailmanager findet man unter Email Protection -> Mailmanger. Hier lässt sich ziemlich gut nachforschen, warum bestimmte E-Mails nicht ankommen.
Abschlussbemerkung
In dieser Anleitung bin ich bewußt nicht auf die Einstellung Datenschutz eingegangen. Das würde den Rahmen doch etwas sprengen. Noch kurz zur Info, die Antispam Prüfung BATV kann Probleme bei Autorepond-Nachrichten bereiten. Weiter Informationen findet Ihr in der Sophos Community.
Wer Unterstüzung für Office 365 benötigt, findet hier ein Konfigurationsbeispiel: Sophos UTM Email Protection und Office365. Bei weiteren Fragen hinterlasst Ihr bitte einen Kommentar!