Die Konfiguration der Email Protection unter SFOS ist in wenigen Schritten erledigt. Wer dies bereits unter Sophos UTM eingerichtet hat, wird unter Sophos Firewall keine Schwierigkeiten haben. In diesem Artikel werde ich das Setup einmal nachbauen und lehne mich stark an das Howto Configure email protection in MTA mode von docs.sophos.com.
Wer meinen Beitrag Email Protection für Sophos UTM einrichten gelesen hat, kennt die Mindestanforderung an dieser Stelle. Falls der MTA-Mode nicht eingestellt ist, schaltet Ihr ihn vorbereitend unter Protect -> Email -> General Settings -> SMTP deployment mode an.
Sobald der MTA Mode aktiv ist, werden automatisch Regeln erstellt, um SMTP/SMTPS-Datenverkehr zuzulassen. Diese Regeln sollten an erster Stelle Eures Regelwerks bestehen bleiben.
SMTP Route und Scan
Unter Protect -> Email -> Policies & exceptions erstellt Ihr als nächstes Eure SMTP-Policy. Tragt unter Protected domain Eure Email-Domänen ein, die zu Eurem internen Mailserver geroutet werden sollen. In meinem Konfigurationsbeispiel verwende ich für das Routing als statischen Host einen Exchange Server, den ich in der Hostliste erstellt und ausgewählt habe.
Bei der Spam protection überspringe ich bewusst die Prüfung von BATV, weil es Probleme mit Autorespondern geben kann. Die Empfängerverifizierung belasse ich auf Callout. Wer das via Active Directory machen möchte, kann sich die Anleitung Sophos Firewall, Authentication Server mit Active Directory als Hilfestellung nehmen.
Weiter geht es mit der Malware- und File protection. Beim Scanning sollte Dual anti-virus obligatorisch sein. Falls Ihr die Lizenz für Sandstorm habt, setzt Ihr den Haken bei Detect zero-day threats with Sandstorm. Sophos empfiehlt, unscanbaren Content in Quarantäne zu schieben.
Je nachdem, was Eure IT-Richtlinien vorschreiben, könnt Ihr in der File protection entsprechende Dateitypen sperren. In meinem Setup blockiere ich ausführbare-, scriptdynamische- und gepackte Dateien.
Relaying und Erweitert
Als Vorbereitung für Euren internen Mailserver, SFOS als MTA zu verwenden, erstellt Ihr unter Protect -> Email -> Relay settings ein hostbasiertes Relay.
Anschließend werden die SMTP Settings unter Protect -> Email -> Gerneral settings angepasst. Dazu habe ich den SMTP Hostname auf mail.sult.eu geändert, der für HELO und SMTP greetings verwendet werden soll. In der TLS Configuration verwende ich ein Wildcard-Zertifikat, welches ich zuvor unter System -> Certificates hinzugefügt habe. Es ist auf *.sult.eu ausgestellt und passt somit auf dem eingetragenen SMTP Hostname.
In den Erweiterten SMTP-Einstellungen ganz unten, verwerfe ich Sessions bei fehlendem ReverseDNS-Eintrag und fehlerhaften HELOs. Dies ist eine RFC-konforme Schutzmaßnahme, die zusätzlich vor dubiosen Mailservern schützt.
Damit der Sendeconnector Eures internen Mailservers den MTA nutzen kann, muss unter Configure -> Network -> Zones der zuvor konfigurierte SMTP Relay in dem Netzareal erlaubt sein.
An dieser Stelle ist die Grundeinrichtung der Email Protection unter Sophos Firewall bereits abgeschlossen.
RBL und Ausnahmen
Sophos verwendet unter SFOS in den Premium- und Standard RBL Services Uceprotect 😉 und Spamcop. Diese lassen sich unter Protect -> Email -> Address group erweitern und ändern. Ich persönlich nutze die zusätzlichen RBLs ix.dnsbl.manitu.net, b.barracudacentral.org und zen.spamhaus.org, mit denen ich ganz gute Erfahrungen gemacht habe.
Solltet Ihr unter Protect -> Email -> Mail logs feststellen, dass Emails fälschlicherweise blockiert werden, könnt Ihr Ausnahmen erstellten. In der Mail logs data Liste kann man sehr leicht den Grund für ein Reject einer Email in der Spalte Status via Maushover ermitteln.
Navigiert dann zu Protect -> Email -> Policies & execptions und überspringt nötige Spam-Prüfungen. Als Beispiel wird folgend der RBL-Check für die Senderadresse someone@somewhere.com ausgelassen.
Dieser Vorgang sollte allerdings nicht die Regel sein. Es ist immer besser, die Ursachen bei Zustellungsproblemen zu beheben bzw. beheben zu lassen. Es empfiehlt sich, mehrere Ausnahmen für verschiedene Skipchecks zu erstellen.
Abschlussbemerkung
Wie auch in meiner Anleitung zur Einrichtung der Email Protection unter UTM bin ich auch hier bewusst und aus selben Grund nicht auf das Thema Datenschutz eingegangen. Falls Euch das Thema interessiert, verweise ich auf das Dokument Encrypt outbound emails in MTA mode. Solltet Ihr weitere Fragen haben, hinterlasst einen Kommentar oder schreibt mir eine Email.
Kleiner TIP. Benutzt nicht DKIM mit der XG. Der Check scheint (noch) sehr Buggy zu sein. WIr haben den noch aktiv und es werden dadurch viele korrekte Mails geblockt. In 80-90% der Fälle scheint Microsoft der Übeltäter zu sein, die offensichtlich DKIM Signierte Emails verändern oder einfach anstatt der richtigen DKIM Domäne die MS Domäne verwenden. Aber leider blockt die SOPHOS Box auch DKIM Emails, der DKIM Check bei einer Externen Gegenorüfung OK ist. Und, obwohl ich diesen Fehler schon im Oktober an Sophos gemeldet habe, wurde nur mein Ticket geschlossen, aber ein Update ist bis heute nicht erschienen.
In übrigen habe ich mit der XG inzwischen auch öfter den Fall, das etwas wegen RBL geblockt wurde, aber ich in keiner Liste was sehen kann. Hier vermute ich ja einen Hardwarefehler in der XGS2100 da ich ab und an Timeouts habe, aber auch hier war der SOPHOS Support mehr daran interessiert, das Ticket zu schließen, als mir zu helfen. Aktuell weiß ich nicht, ob ich SOPHOS noch einmal für MTA Email Security holen würde.
Hey,
danke für den Tipp bezgl. DKIM. Die Probleme, die Du mit RBL hast, könnten an einem defekten Spam-Lookupcache liegen. Versuch diesen doch mal zurück zu setzen:
https://www.sult.eu/2019/05/29/sophos-utm-xg-false-positive-spam-cache-lookup-zuruecksetzen/
Danke für den Tip. Das ‚problem‘ ist aber eher, das gefühlt mit der XG viel mehr durch RBL geblockt wird als früher mit der UTM. Und, es ist halt 1 Tag später nicht mehr Nachvollziehbar, ob wir here einen False-Positve Fall haben oder ob die IP wirklich auf einer Blacklist stand.
Moin,
verwendest Du hier die selben RBLs bei UTM und SFOS oder unterschiedliche?
Die XG hat ja die UTM ersetzt und bei beiden ist/war RBL auf SOPHOS Default. Wie gesagt, ist auch eher ein Bauchgefühl, was aber wahrscheinlich eher daher kommt, das ich die XG aktuell viel mehr beobachte als ich es die letzten Jahre mit der UTM gemacht habe.
Ich habe sehr ähnliche Erfahrungen wie „Kai Dietrich“ gemacht. Die XG(s) sind bei höherem Preis die schlechtere Alternative. Das schon bei der UTM eher bescheidene „Mailmanagement“ ist noch bescheidener geworden. Central Email ebenfalls kaum brauchbar. Kein SMime mehr möglich, dazu ebenfalls die geschilderten Probleme bei der Spamerkennung. Sophos hat noch jede Menge Arbeit vor sich. Eine ernstzunehmende Alternative zur UTM ist es imho nicht.
Ich habe das Gefühl, das der DKIM Fehler seit dem letzten Update etwas besser geworden ist. Trotzdem bin ich immer noch nicht 100% Glücklich (OK, das ist man an sich nie). So habe ich immer wieder Fälle, wo Emails als SPAM geblockt werden wo ich absolut kein Konzept drin sehe (bis evtl. auf die Tatsache, das sie aus Russland kommen, aber Sorry, wir haben nun einmal mit Russland zu tun).
Und auch die Quarantäne Verwaltung ist irgendwie ein Rückschritt. Bei der UTM konnte ich die Listen sortieren wie ich wollte. So habe ich dann einfach nach Absender oder Subject Gefiltert und konnte so auch relativ schnell ‚Muster‘ erkennen und so den SPAM wirklich löschen. Das geht nun nicht mehr.
Und auch das HA Feature ist irgendwie schlechter geworden. Nach dem Firmwareupdate war meine zweite Box aktiv. Ist ja OK (OK, bei der UTM konnte ich eine Box als Master deklarieren). Ärgerlich ist nur, das nun die Emails von vor dem Update in den Report der SLAVE Box sind und die Emails danach in der aktuellen Master Box.
Und zum Schluss muss ich sagen, das ich mit den Support von SOPHOS auch mehr als unzufireden bin. Bis auf den DKIM Fehler (wo ich mir nicht mal 100% Sicher bin, das der Gefixt wurde, aber beim Update gab es einige Bugs bezüglich DKIM die gefixt wurde), hat SOPHOS mein Problem entweder nicht verstehen wollen, oder das Ticket einfach geschlossen, wenn ich nicht innerhalb von 24h reagiert habe (und Sorry, das ich mal im urlaub bin oder am Freitag um 17:30 Uhr schon im WE).