Email Security

Verwenden Sie diese Richtlinie, um Sicherheitseinstellungen auf E-Mails anzuwenden.

Die folgenden Einstellungen gelten nur für eingehende E-Mails, mit Ausnahme der Option Erweiterte Überprüfung auf Content und Dateieigenschaften, die eingehende und ausgehende E-Mails betrifft.

Spam-Filter

Jede E-Mail wird analysiert und mit einem Spam-Score versehen. Je höher der Score, desto wahrscheinlicher handelt es sich bei der E-Mail um Spam. E-Mails mit den höchsten Spam-Scores werden als Bestätigter Spam eingestuft.

E-Mails werden anhand ihres Spam-Scores kategorisiert. Sie können festlegen, wie die Kategorien verarbeitet werden sollen. E-Mails werden unterteilt in:

  • Bestätigter Spam: E-Mails, die bekannten und verifizierten Spammustern entsprechen.
  • Bulk: Dies sind angeforderte Nachrichten, die per Massenversand versendet werden, zum Beispiel Newsletter die an eine Mailingliste gesendet werden.
  • Spamverdacht: E-Mails, die als verdächtig identifiziert wurden.

Wählen Sie für jede Kategorie eine Aktion aus.

Die Standardeinstellungen sind:

  • Bestätigter Spam: Quarantäne
  • Bulk: Quarantäne
  • Spamverdacht: Zustellen

Einstellungen für Endbenutzernachrichten

Wenn Sie Smart Banner aktivieren, wird bei eingehenden E-Mail-Nachrichten oben angezeigt, ob die E-Mail vertrauenswürdig ist.

Anmerkung Smart Banner werden nur eingefügt, wenn E-Mails von außerhalb des Unternehmens empfangen werden. Wenn ein interner Mitarbeiter eine solche E-Mail an einen anderen internen Mitarbeiter weiterleitet, bleibt das Banner in der weitergeleiteten E-Mail.

E-Mails von Sophos, zum Beispiel Quarantäne-Übersicht E-Mails, zeigen keine Banner an.

Warnung Wir empfehlen dringend, ausgehende E-Mails über Sophos Central zu leiten, bevor Sie Smart Banner aktivieren. Wenn Sie dies nicht tun, sehen externe Empfänger das Banner in Antworten oder weitergeleiteten E-Mails und können die Listen für „Erlauben“ und „Blockieren“ der Endnutzer bearbeiten.

Sie können die folgenden Bannertypen aktivieren und deaktivieren:

  • Zuverlässig: Die E-Mail wurde von einem erlaubten Absender gesendet und die DNS-Authentifizierung (SPF, DKIM oder DMARC) war erfolgreich.
  • Unbekannt: Die E-Mail wurde von außerhalb Ihres Unternehmens gesendet.
  • Nicht vertrauenswürdig: Die E-Mail wurde von außerhalb Ihrer Organisation gesendet und die DNS-Authentifizierung (SPF, DKIM oder DMARC) war nicht erfolgreich.

Quarantäne-Einstellungen

Sie können eine Nachricht mit einer Quarantänezusammenfassung an jeden geschützten Posteingang senden. Die Nachricht enthält eine Tabelle mit Spamnachrichten, die seit der letzten Zusammenfassung unter Quarantäne gestellt wurden. Sie können einen Zeitplan festlegen, nach dem die Nachrichten gesendet werden.

Benutzer können unter Quarantäne gestellte Spamnachrichten freigeben oder löschen, indem sie in der Quarantänezusammenfassung auf den entsprechenden Link klicken.

So richten Sie Quarantänezusammenfassungen ein:

  1. Aktivieren Sie E-Mail mit Quarantäne-Übersicht senden.
  2. Wählen Sie aus, wann die Nachrichten gesendet werden sollen.
    Tipp Standardmäßig sind alle Tage ausgewählt. Klicken Sie auf einen Tag, um die Auswahl aufzuheben.
  3. Standardmäßig wird ein Zeitfenster angezeigt. Durch klicken auf Weitere Uhrzeit hinzufügen können Sie bis zu drei weitere hinzufügen. Um ein Zeitfenster zu löschen, klicken Sie auf das Löschen-Symbol neben dem Zeitfenster.
    Anmerkung Das voreingestellte Zeitfenster kann nicht gelöscht werden.

Absenderüberprüfung

Mit der Absenderüberprüfung können Sie feststellen, ob eine E-Mail tatsächlich von dem angegebenen Absender stammt. Email Security verwendet DMARC, DKIM, und Header-Anomalien-Prüfungen, um dies zu erreichen. Absenderüberprüfungen werden in der Reihenfolge vorgenommen, in der sie in der Benutzeroberfläche angezeigt werden. Schlägt bei einer E-Mail die erste Absenderüberprüfung fehl, werden die weiteren Überprüfungen nicht mehr durchgeführt.

Sie können die Absenderüberprüfung übergehen, indem Sie Domains und E-Mail-Adressen zur Liste Erlauben hinzufügen.

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist eine E-Mail-Authentisierungsrichtlinie und ein Reporting-Protokoll. Es baut auf den Protokollen DKIM und SPF auf und erkennt bzw. verhindert E-Mai-Spoofing. Sie können steuern, wie mit E-Mails verfahren wird, die durch die DMARC-Prüfungen fallen.

Folgende Optionen stehen zur Auswahl:

  • Gemäß Absender-Richtlinie: Was mit der Nachricht geschieht, hängt davon ab, was der Absender in seiner DMARC-Richtlinie festgelegt hat. (Dies ist die Standardeinstellungen.)
  • Betreffzeile taggen: Email Security fügt der Betreffzeile der E-Mail ein Tag als Hinweis hinzu, dass es sich um eine Spoofing-Mail handelt.
  • Quarantäne: E-Mail wird in die Quarantäne verschoben.
  • Ablehnen: E-Mail wurde abgelehnt.
  • Zustellen: Sendet die E-Mail an den E-Mail-Server zur Zustellung.

DKIM (DomainKeys Identified Mail) ist ein Authentifizierungssystem für die Signierung und Validierung von E-Mails basierend auf der Domain des Absenders. Sie können steuern, wie mit E-Mails verfahren wird, die durch die DKIM-Prüfungen fallen.

Folgende Optionen stehen zur Auswahl:

  • Betreffzeile taggen: Email Security fügt der Betreffzeile der E-Mail ein Tag als Hinweis hinzu, dass es sich um eine Spoofing-Mail handelt. (Dies ist die Standardeinstellungen.)
  • Quarantäne: E-Mail wird in die Quarantäne verschoben.
  • Ablehnen: E-Mail wurde abgelehnt.
  • Zustellen: Sendet die E-Mail an den E-Mail-Server zur Zustellung.

Die Header-Anomalien-Überprüfung identifiziert E-Mails, die von Ihrer eigenen Domain zu kommen scheinen, aber von einer externen Domain stammen. Dabei wird der „Von“-Header der E-Mail mit der Empfänger-Domain und der Von-Adresse im Envelope abgeglichen.

  • Stimmt die Domain in der Von-Adresse mit der Empfänger-Domain überein, wird die E-Mail als gespooft betrachtet.
  • Wenn die Von-Adresse im Header sich von der die Von-Adresse im Envelope unterscheidet, wird die E-Mail als gespooft betrachtet.
Anmerkung Der Header muss den beiden oben genannten Kriterien entsprechen, um die Überprüfung der Header-Anomalien auszulösen.

Sie können steuern, wie mit E-Mails verfahren wird, die durch die Header-Anomalien-Prüfungen fallen.

Folgende Optionen stehen zur Auswahl:

  • Betreffzeile taggen: Email Security fügt der Betreffzeile der E-Mail ein Tag als Hinweis hinzu, dass es sich um eine Spoofing-Mail handelt. (Dies ist die Standardeinstellungen.)
  • Quarantäne: E-Mail wird in die Quarantäne verschoben.
  • Ablehnen: E-Mail wurde abgelehnt.
  • Zustellen: Sendet die E-Mail an den E-Mail-Server zur Zustellung.

Erweiterter Malware-Scan für E-Mails

Erweiterte Überprüfung auf Content und Dateieigenschaften: Dies ist unser bester Schutz vor E-Mail-Malware. Dieser ist standardmäßig aktiviert.

Diese Einstellung betrifft eingehende und ausgehende E-Mails.

Anmerkung Wird Malware in einer E-Mail entdeckt, wird diese immer verworfen.

Nicht gescannte E-Mails: Sie können auswählen, wie mit E-Mails verfahren wird, die nicht gescannt werden können. Folgende Maßnahmen stehen zur Verfügung:

  • Quarantäne
  • Löschen
  • Betreffzeile taggen

Diese Einstellung gilt nur für eingehende E-Mails.

Time of Click URL Protection (nur Email Advanced-Lizenz): Wenn Time of Click URL Protection aktiviert ist, werden die in eingehenden E-Mails enthaltenen URLs derart umgeschrieben, dass sie auf Sophos Email anstelle des ursprünglichen Ziels verweisen.

Wird der Link angeklickt, führt Sophos Email einen SLX-Abgleich aus. Ist die URL schädlich, wird sie blockiert. Ist der Link nicht schädlich, hängt die Aktion, die beim Klicken auf den Link ausgeführt wird, von den Einstellungen ab, die Sie in der Richtlinie vorgenommen haben. Wenn Sie beispielsweise Websites mit mittlerem Risiko auf erlaubt eingestellt haben, wird der Link Sie zum ursprünglichen Ziel weiterleiten, nachdem er geprüft und als nicht schädlich eingestuft wurde.

Am Anfang der umgeschriebenen URL wird der Domänenname angezeigt, damit Sie sehen können, wohin der Link führt. Zum Beispiel d=domain.com.

Sie können die Aktion auswählen, die Sie für Websites mit folgenden Reputationsstufen durchführen möchten:

  • Hohes Risiko: Umfasst illegale Seiten und Seiten, die Malware und Phishing-Seiten enthalten.
  • Mittleres Risiko: Umfasst Seiten, die mit Spam und anonymisierenden Proxys in Verbindung gebracht werden.
  • Nicht verifiziert: Die Reputation der Website kann nicht überprüft werden.

Sie können keine Websites mit hohem Risiko zulassen.

Anmerkung URLs, die Sie der Time-of-Click-Zulassungsliste hinzufügen, werden beim Aufruf nie neu geschrieben.

Sie können auch festlegen, ob URLs in Nur-Text-Nachrichten und in sicher signierten Nachrichten umgeschrieben werden:

  • Nur-Text-Nachrichten: bezieht sich auf E-Mails ohne HTML-Formatierung. Wenn das Umschreiben von URLs aktiviert ist, wird ohne HTML-Formatierung die gesamte codierte URL in der E-Mail angezeigt. Sie können das Umschreiben von URLs in diesen E-Mails umgehen, indem Sie die Option URLs in Nur-Text-Nachrichten umschreiben. deaktivieren.
  • Sicher signierte Nachrichten: Das Umschreiben von URLs könnte die Signaturen von E-Mails, die mit S/MIME, PGP und DKIM signiert sind, beschädigen. Sie können das Umschreiben von URLs in diesen E-Mails umgehen, indem Sie die Option URLs in sicher signierten Nachrichten umschreiben. deaktivieren.
Warnung Bitte deaktivieren Sie das Umschreiben von URLs mit Bedacht, da dadurch die URLs in diesen Nachrichten ungeschützt sind.

Sandstorm (nur Email Advanced-Lizenz): Sandstorm schickt E-Mails, die aktiven schädlichen Inhalt enthalten, in eine isolierte virtuelle Umgebung, in der sie geöffnet und überprüft werden. Sofern sich die E-Mails als schädlich herausstellen, werden sie entfernt.

Wenn Sandstorm aktiviert ist, können Sie Ihren bevorzugten Sandbox-Standort auswählen.

Tipp Wählen Sie Sophos soll entscheiden (empfohlen) aus, wenn E-Mails automatisch so geroutet werden sollen, dass eine optimale Leistung gewährleistet ist.

E-Mails, die möglicherweise schädlich sind, werden in einer virtuellen Umgebung ausgeführt und näher untersucht.

E-Mails, die sauber sind, werden wie gewohnt zugestellt. E-Mails, die komplexe Bedrohungen enthalten, werden verworfen.

Impersonation Protection(nur Email Advanced-Lizenz): Diese Funktion erkennt E-Mails von bekannten Marken oder von sehr wichtigen Personen (VIPs) in Ihrem Unternehmen.

Wählen Sie aus, welche Aktion ausgeführt werden soll, wenn E-Mails von dieser Funktion erkannt werden.

In Berichten werden diese E-Mails als komplexe Bedrohung gekennzeichnet.

Sie können E-Mail Adressen von VIPs unter VIP-Verwaltung hinzufügen.