Sophos Firewall, Email Protection MTA Mode…

Die Konfiguration der Email Protection unter SFOS ist in wenigen Schritten erledigt. Wer dies bereits unter Sophos UTM eingerichtet hat, wird unter Sophos Firewall keine Schwierigkeiten haben. In diesem Artikel werde ich das Setup einmal nachbauen und lehne mich stark an das Howto Configure email protection in MTA mode von docs.sophos.com.

Wer meinen Beitrag Email Protection für Sophos UTM einrichten gelesen hat, kennt die Mindestanforderung an dieser Stelle. Falls der MTA-Mode nicht eingestellt ist, schaltet Ihr ihn vorbereitend unter Protect -> Email -> General Settings -> SMTP deployment mode an.

Sobald der MTA Mode aktiv ist, werden automatisch Regeln erstellt, um SMTP/SMTPS-Datenverkehr zuzulassen. Diese Regeln sollten an erster Stelle Eures Regelwerks bestehen bleiben.

SMTP Route und Scan

Unter Protect -> Email -> Policies & exceptions erstellt Ihr als nächstes Eure SMTP-Policy. Tragt unter Protected domain Eure Email-Domänen ein, die zu Eurem internen Mailserver geroutet werden sollen. In meinem Konfigurationsbeispiel verwende ich für das Routing als statischen Host einen Exchange Server, den ich in der Hostliste erstellt und ausgewählt habe.

Bei der Spam protection überspringe ich bewusst die Prüfung von BATV, weil es Probleme mit Autorespondern geben kann. Die Empfängerverifizierung belasse ich auf Callout. Wer das via Active Directory machen möchte, kann sich die Anleitung Sophos Firewall, Authentication Server mit Active Directory als Hilfestellung nehmen.

Weiter geht es mit der Malware- und File protection. Beim Scanning sollte Dual anti-virus obligatorisch sein. Falls Ihr die Lizenz für Sandstorm habt, setzt Ihr den Haken bei Detect zero-day threats with Sandstorm. Sophos empfiehlt, unscanbaren Content in Quarantäne zu schieben.

Je nachdem, was Eure IT-Richtlinien vorschreiben, könnt Ihr in der File protection entsprechende Dateitypen sperren. In meinem Setup blockiere ich ausführbare-, scriptdynamische- und gepackte Dateien.

Relaying und Erweitert

Als Vorbereitung für Euren internen Mailserver, SFOS als MTA zu verwenden, erstellt Ihr unter Protect -> Email -> Relay settings ein hostbasiertes Relay.

Anschließend werden die SMTP Settings unter Protect -> Email -> Gerneral settings angepasst. Dazu habe ich den SMTP Hostname auf mail.sult.eu geändert, der für HELO und SMTP greetings verwendet werden soll. In der TLS Configuration verwende ich ein Wildcard-Zertifikat, welches ich zuvor unter System -> Certificates hinzugefügt habe. Es ist auf *.sult.eu ausgestellt und passt somit auf dem eingetragenen SMTP Hostname.

In den Erweiterten SMTP-Einstellungen ganz unten, verwerfe ich Sessions bei fehlendem ReverseDNS-Eintrag und fehlerhaften HELOs. Dies ist eine RFC-konforme Schutzmaßnahme, die zusätzlich vor dubiosen Mailservern schützt.

Damit der Sendeconnector Eures internen Mailservers den MTA nutzen kann, muss unter Configure -> Network -> Zones der zuvor konfigurierte SMTP Relay in dem Netzareal erlaubt sein.

An dieser Stelle ist die Grundeinrichtung der Email Protection unter Sophos Firewall bereits abgeschlossen.

RBL und Ausnahmen

Sophos verwendet unter SFOS in den Premium- und Standard RBL Services Uceprotect 😉 und Spamcop. Diese lassen sich unter Protect -> Email -> Address group erweitern und ändern. Ich persönlich nutze die zusätzlichen RBLs ix.dnsbl.manitu.net, b.barracudacentral.org und zen.spamhaus.org, mit denen ich ganz gute Erfahrungen gemacht habe.

Solltet Ihr unter Protect -> Email -> Mail logs feststellen, dass Emails fälschlicherweise blockiert werden, könnt Ihr Ausnahmen erstellten. In der Mail logs data Liste kann man sehr leicht den Grund für ein Reject einer Email in der Spalte Status via Maushover ermitteln.

Navigiert dann zu Protect -> Email -> Policies & execptions und überspringt nötige Spam-Prüfungen. Als Beispiel wird folgend der RBL-Check für die Senderadresse [email protected] ausgelassen.

Dieser Vorgang sollte allerdings nicht die Regel sein. Es ist immer besser, die Ursachen bei Zustellungsproblemen zu beheben bzw. beheben zu lassen. Es empfiehlt sich, mehrere Ausnahmen für verschiedene Skipchecks zu erstellen.

Abschlussbemerkung

Wie auch in meiner Anleitung zur Einrichtung der Email Protection unter UTM bin ich auch hier bewusst und aus selben Grund nicht auf das Thema Datenschutz eingegangen. Falls Euch das Thema interessiert, verweise ich auf das Dokument Encrypt outbound emails in MTA mode. Solltet Ihr weitere Fragen haben, hinterlasst einen Kommentar oder schreibt mir eine Email.

5 Gedanken zu „Sophos Firewall, Email Protection MTA Mode…

  1. Kai Dietrich

    Kleiner TIP. Benutzt nicht DKIM mit der XG. Der Check scheint (noch) sehr Buggy zu sein. WIr haben den noch aktiv und es werden dadurch viele korrekte Mails geblockt. In 80-90% der Fälle scheint Microsoft der Übeltäter zu sein, die offensichtlich DKIM Signierte Emails verändern oder einfach anstatt der richtigen DKIM Domäne die MS Domäne verwenden. Aber leider blockt die SOPHOS Box auch DKIM Emails, der DKIM Check bei einer Externen Gegenorüfung OK ist. Und, obwohl ich diesen Fehler schon im Oktober an Sophos gemeldet habe, wurde nur mein Ticket geschlossen, aber ein Update ist bis heute nicht erschienen.
    In übrigen habe ich mit der XG inzwischen auch öfter den Fall, das etwas wegen RBL geblockt wurde, aber ich in keiner Liste was sehen kann. Hier vermute ich ja einen Hardwarefehler in der XGS2100 da ich ab und an Timeouts habe, aber auch hier war der SOPHOS Support mehr daran interessiert, das Ticket zu schließen, als mir zu helfen. Aktuell weiß ich nicht, ob ich SOPHOS noch einmal für MTA Email Security holen würde.

    Antworten
      1. Kai Dietrich

        Danke für den Tip. Das ‚problem‘ ist aber eher, das gefühlt mit der XG viel mehr durch RBL geblockt wird als früher mit der UTM. Und, es ist halt 1 Tag später nicht mehr Nachvollziehbar, ob wir here einen False-Positve Fall haben oder ob die IP wirklich auf einer Blacklist stand.

        Antworten
          1. Kai Dietrich

            Die XG hat ja die UTM ersetzt und bei beiden ist/war RBL auf SOPHOS Default. Wie gesagt, ist auch eher ein Bauchgefühl, was aber wahrscheinlich eher daher kommt, das ich die XG aktuell viel mehr beobachte als ich es die letzten Jahre mit der UTM gemacht habe.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.