Die Konfiguration der Email Protection unter SFOS ist in wenigen Schritten erledigt. Wer dies bereits unter Sophos UTM eingerichtet hat, wird unter Sophos Firewall keine Schwierigkeiten haben. In diesem Artikel werde ich das Setup einmal nachbauen und lehne mich stark an das Howto Configure email protection in MTA mode von docs.sophos.com.
Wer meinen Beitrag Email Protection für Sophos UTM einrichten gelesen hat, kennt die Mindestanforderung an dieser Stelle. Falls der MTA-Mode nicht eingestellt ist, schaltet Ihr ihn vorbereitend unter Protect -> Email -> General Settings -> SMTP deployment mode an.
Sobald der MTA Mode aktiv ist, werden automatisch Regeln erstellt, um SMTP/SMTPS-Datenverkehr zuzulassen. Diese Regeln sollten an erster Stelle Eures Regelwerks bestehen bleiben.
SMTP Route und Scan
Unter Protect -> Email -> Policies & exceptions erstellt Ihr als nächstes Eure SMTP-Policy. Tragt unter Protected domain Eure Email-Domänen ein, die zu Eurem internen Mailserver geroutet werden sollen. In meinem Konfigurationsbeispiel verwende ich für das Routing als statischen Host einen Exchange Server, den ich in der Hostliste erstellt und ausgewählt habe.
Bei der Spam protection überspringe ich bewusst die Prüfung von BATV, weil es Probleme mit Autorespondern geben kann. Die Empfängerverifizierung belasse ich auf Callout. Wer das via Active Directory machen möchte, kann sich die Anleitung Sophos Firewall, Authentication Server mit Active Directory als Hilfestellung nehmen.
Weiter geht es mit der Malware- und File protection. Beim Scanning sollte Dual anti-virus obligatorisch sein. Falls Ihr die Lizenz für Sandstorm habt, setzt Ihr den Haken bei Detect zero-day threats with Sandstorm. Sophos empfiehlt, unscanbaren Content in Quarantäne zu schieben.
Je nachdem, was Eure IT-Richtlinien vorschreiben, könnt Ihr in der File protection entsprechende Dateitypen sperren. In meinem Setup blockiere ich ausführbare-, scriptdynamische- und gepackte Dateien.
Relaying und Erweitert
Als Vorbereitung für Euren internen Mailserver, SFOS als MTA zu verwenden, erstellt Ihr unter Protect -> Email -> Relay settings ein hostbasiertes Relay.
Anschließend werden die SMTP Settings unter Protect -> Email -> Gerneral settings angepasst. Dazu habe ich den SMTP Hostname auf mail.sult.eu geändert, der für HELO und SMTP greetings verwendet werden soll. In der TLS Configuration verwende ich ein Wildcard-Zertifikat, welches ich zuvor unter System -> Certificates hinzugefügt habe. Es ist auf *.sult.eu ausgestellt und passt somit auf dem eingetragenen SMTP Hostname.
In den Erweiterten SMTP-Einstellungen ganz unten, verwerfe ich Sessions bei fehlendem ReverseDNS-Eintrag und fehlerhaften HELOs. Dies ist eine RFC-konforme Schutzmaßnahme, die zusätzlich vor dubiosen Mailservern schützt.
Damit der Sendeconnector Eures internen Mailservers den MTA nutzen kann, muss unter Configure -> Network -> Zones der zuvor konfigurierte SMTP Relay in dem Netzareal erlaubt sein.
An dieser Stelle ist die Grundeinrichtung der Email Protection unter Sophos Firewall bereits abgeschlossen.
RBL und Ausnahmen
Sophos verwendet unter SFOS in den Premium- und Standard RBL Services Uceprotect 😉 und Spamcop. Diese lassen sich unter Protect -> Email -> Address group erweitern und ändern. Ich persönlich nutze die zusätzlichen RBLs ix.dnsbl.manitu.net, b.barracudacentral.org und zen.spamhaus.org, mit denen ich ganz gute Erfahrungen gemacht habe.
Solltet Ihr unter Protect -> Email -> Mail logs feststellen, dass Emails fälschlicherweise blockiert werden, könnt Ihr Ausnahmen erstellten. In der Mail logs data Liste kann man sehr leicht den Grund für ein Reject einer Email in der Spalte Status via Maushover ermitteln.
Navigiert dann zu Protect -> Email -> Policies & execptions und überspringt nötige Spam-Prüfungen. Als Beispiel wird folgend der RBL-Check für die Senderadresse someone@somewhere.com ausgelassen.
Dieser Vorgang sollte allerdings nicht die Regel sein. Es ist immer besser, die Ursachen bei Zustellungsproblemen zu beheben bzw. beheben zu lassen. Es empfiehlt sich, mehrere Ausnahmen für verschiedene Skipchecks zu erstellen.
Abschlussbemerkung
Wie auch in meiner Anleitung zur Einrichtung der Email Protection unter UTM bin ich auch hier bewusst und aus selben Grund nicht auf das Thema Datenschutz eingegangen. Falls Euch das Thema interessiert, verweise ich auf das Dokument Encrypt outbound emails in MTA mode. Solltet Ihr weitere Fragen haben, hinterlasst einen Kommentar oder schreibt mir eine Email.