Zum Inhalt

Einrichten von Sophos EMS

Verwenden Sie Sophos EMS (Email Monitoring System), um Sophos Central mit E-Mail-Services von Drittanbietern zu verbinden, z. B. Microsoft Defender oder Google Workspace Security. EMS überwacht nur den E-Mail-Verkehr und die Berichtsdaten. Es werden keine Schutzmaßnahmen angewendet und Richtlinien für die Nachrichten werden nicht durchgesetzt.

Stattdessen stellt Ihnen EMS nur beobachtungsbasierte Urteile bereit, die zeigen, welche Maßnahmen Sophos Email vorgenommen hätte, wenn die Lösung diese Nachrichten bearbeitet hätte. EMS scannt sowohl eingehende als auch ausgehende E-Mails, protokolliert, was angezeigt wird, und aktualisiert Berichte, ohne Maßnahmen zu ergreifen. Anhand dieser Urteile können Sie sehen, wie Sophos Email-Richtlinien funktionieren, ohne die Art und Weise zu ändern, wie Ihr aktueller E-Mail-Service arbeitet.

Bei Verwendung mit Microsoft 365 unterstützt EMS zudem manuelle E-Mail-Rückrufe über API-Integration.

Sophos EMS ergänzt auch Sophos MDR und Sophos XDR, indem E-Mail-Daten an den Sophos Data Lake gesendet werden. Für MDR- und XDR-Kunden bietet dies wertvollen Kontext, um Bedrohungen besser zu erkennen, und verbessert die Reaktionsmöglichkeiten auf Vorfälle.

Vorbereitende Schritte

Es ist wichtig, die folgenden Punkte zu verstehen, bevor Sie Sophos EMS einrichten.

  • Sophos EMS-Lizenz


    Sophos EMS ist ein separates Produkt und eine Alternative zu Sophos Email Advanced. Sie können beide Produkte nicht zur gleichen Zeit verwenden.

    EMS dient nur zur Überwachung. Die Lösung scannt und protokolliert E-Mails, ergreift jedoch keine Maßnahmen.

  • Sophos EMS-Modus


    Wenn der EMS-Modus aktiviert ist, wird auf einigen Seiten in Sophos Central ein Warnbanner angezeigt, das besagt, dass E-Mails nur überwacht werden und keine Maßnahmen ergriffen werden.

  • Nicht konfigurierbare Einstellungen und Richtlinien


    Wenn der EMS-Modus aktiviert ist, sind einige Einstellungen und Funktionen deaktiviert, einschließlich SMTP-Routing, Time of Click, Self Service Portal usw. EMS arbeitet mit einer Journalkopie von E-Mails und unterstützt daher keine Verschlüsselung.

    Secure-Message-Richtlinien sind ebenfalls nicht verfügbar. Sie können Email-Security- und Data Control-Richtlinien konfigurieren, aber die konfigurierten Aktionen dienen nur zu Berichtszwecken und werden nicht auf die E-Mails angewendet.

Verfahren Sie wie folgt, um die Sophos EMS einzurichten:

Sicherstellen, dass der EMS-Modus aktiviert ist

Wenn Sie Ihre Sophos EMS-Lizenz zu Ihrem Konto hinzufügen, ist der EMS-Modus standardmäßig aktiviert. Um Sophos EMS zu verwenden, müssen Sie sicherstellen, dass der EMS-Modus aktiviert ist.

Gehen Sie dazu wie folgt vor:

  1. Melden Sie sich bei Sophos Central an.
  2. Klicken Sie auf Ihr Profilsymbol Profilsymbol. und anschließend auf Kontoeinstellungen.
  3. Stellen Sie im Sophos Email Monitoring System (EMS) sicher, dass der Nur-beobachten-Modus (EMS) aktiviert ist.

    Ist der EMS-Modus deaktiviert, aktivieren Sie ihn.

    Informationen zum EMS-Modus finden Sie unter Sophos Email Monitoring System (EMS).

  4. Klicken Sie auf Speichern.

Der EMS-Modus ist jetzt für Sophos Central aktiv.

Postfächer hinzufügen

Sie können Postfächer zu Sophos Central hinzufügen, wenn Sie sich im EMS-Modus befinden.

Sie können Postfächer auf folgende Weise hinzufügen:

  • Automatisch unter Verwendung eines Verzeichnisdienstes. Sie können entweder AD-Synchronisierung oder Microsoft-Entra-ID-Synchronisierung verwenden. Anweisungen zur Einrichtung eines Verzeichnisdienstes finden Sie unter Verzeichnisdienst.
  • Manuell in der Benutzeroberfläche.
  • Manuell durch Importieren von Daten aus einer CSV-Datei.

Eine Domain hinzufügen

Sie können Ihre Domäne wie folgt hinzufügen und in Sophos EMS integrieren:

  1. Gehen Sie in Sophos Central zu Meine Produkte > Email Protection > Einstellungen > EMS-Domänen-Einstellungen/Status.
  2. Klicken Sie auf Domäne hinzufügen.
  3. Geben Sie unter E-Mail-Domäne Ihre E-Mail-Domäne ein. Beispiel: example.com.

    Sie müssen die Eigentumsrechte der Domäne überprüfen, bevor E-Mails zugestellt werden können. Fügen Sie dazu einen TXT-Eintrag zu Ihrer Domäne hinzu. Das Hinzufügen dieses Eintrags hat keine Auswirkung auf Ihre E-Mail- oder sonstigen Dienste.

  4. Klicken Sie auf Domänenbesitz verifizieren.

  5. Verwenden Sie die Details unter Domänenbesitz verifizieren, um den TXT-Eintrag zu Ihrer DNS-Konfiguration hinzuzufügen.

    Hinweis

    Es kann bis zu zehn Minuten dauern, bis der Domänenbesitz verifiziert wird.

  6. Klicken Sie auf Verifizieren.

    Warnung

    Sie können keine nicht verifizierte Domain speichern. Korrigieren Sie etwaige Probleme mit der Verifizierung des Domänenbesitzes.

  7. Wählen Sie die Richtung aus den folgenden Optionen aus:

    • Nur eingehend
    • Eingehend und ausgehend
  8. Wählen Sie aus den folgenden Optionen den IP-Bereich für die Journal-Quelle aus:

    • Microsoft Office 365
    • Google Apps Gmail
    • Benutzerdefiniertes Gateway

    Sie können einen oder mehrere E-Mail-Server einrichten, um ausgehende journalisierte Nachrichten für dieselbe Domäne zu senden.

    Wenn Sie Benutzerdefiniertes Gateway auswählen, müssen Sie mindestens eine IP-Adresse/einen CIDR (Subnetzbereich) eingeben. Klicken Sie nach jedem Eintrag auf Hinzufügen. Sie können mehrere IP-Adressen oder Bereiche hinzufügen.

  9. Klicken Sie auf Speichern, um Ihre Einstellungen zu prüfen.

    Das Dialogfeld Externe Abhängigkeiten konfigurieren wird angezeigt.

  10. Konfigurieren Sie unter Externe Abhängigkeiten konfigurieren das Journaling in Ihrem Drittanbieter-E-Mail-Service:

    Als Teil der Domänenkonfiguration müssen Sie das Journaling in Ihrem E-Mail-Service konfigurieren. Dadurch wird die Kommunikation zwischen Ihrem E-Mail-Service und EMS hergestellt, sodass EMS eine Kopie jeder E-Mail zum Scannen erhalten kann. Sie müssen diesen Schritt ausführen, damit EMS ordnungsgemäß funktioniert.

    Nachdem Sie die Journaling-Konfigurationen abgeschlossen haben, kehren Sie hierher zurück, um den Einrichtungsvorgang abzuschließen.

  11. Klicken Sie auf Schließen.

Ihre Domäne ist jetzt in Sophos EMS integriert. Sie können jederzeit weitere Domänen hinzufügen.

Konfigurieren von Richtlinien und Einstellungen

Um Ihre Richtlinien zu verwalten, gehen Sie zu Meine Produkte > Email Protection > Richtlinien.

Im EMS-Modus sind nur Email-Security- und Data Control-Richtlinien für die Konfiguration verfügbar. Diese Richtlinien erzwingen keine Aktionen, sondern werden verwendet, um Berichte zu Urteilen zu generieren. Für genaue Ergebnisse sollten Sie sie so konfigurieren, dass sie an den Richtlinien in Ihrer aktuellen E-Mail-Umgebung ausgerichtet sind.

Um Ihre E-Mail-Sicherheitseinstellungen zu verwalten, gehen Sie zu Meine Produkte > Allgemeine Einstellungen > Email Security.

Testen und Bestätigen des E-Mail-Flusses

Nachdem Sie Ihre Domäne integriert, Ihre Journalregeln erstellt und Richtlinien und Einstellungen konfiguriert haben, senden Sie eine Test-E-Mail von einer Adresse außerhalb Ihrer E-Mail-Domäne an ein beliebiges Ihrer Postfächer.

Die E-Mail sollte an das Postfach des Journals gesendet werden. Ebenso sollte die konfigurierte Postfach-Adresse eine Kopie der E-Mail erhalten.

Nachdem Sie die oben genannten Prozesse ausgeführt haben, können Sie die Journalregeln testen, indem Sie eingehende und ausgehende E-Mails an die Benutzer senden, für die Sie die Regel angewendet haben.

Überprüfen Sie im Bericht „Nachrichtenverlauf“, ob die E-Mail durch Sophos EMS gelaufen ist.

Gehen Sie wie folgt vor, um auf den Bericht „Nachrichtenverlauf“ zuzugreifen:

  1. Melden Sie sich bei Sophos Central an.
  2. Gehen Sie zu Meine Produkte > Email Protection > Berichte > Nachrichtenverlauf.

Wenn die E-Mails durch das System fließen, enthält der Bericht Einträge.

Wenn keine E-Mails gesendet werden, erhalten Sie keine E-Mails in Ihrem Test-Postfach. Führen Sie die folgenden Schritte aus:

  1. Stellen Sie sicher, dass Sie die Sophos Zustell-IP-Adressen richtig eingerichtet haben.
  2. Überprüfen Sie, ob das Postfach, an das Sie E-Mails senden, in Sophos Email Security vorhanden ist.

Wenn der E-Mail-Fluss für Ihre Domäne nach dem Durchführen dieser Schritte weiterhin gestört ist, wenden Sie sich bitte an den Support von Sophos.

M365-Domänen verwalten

Sie müssen Superadmin sein, um diese Funktion verwenden zu können.

Wenn Sie M365-Mandantendomänen hinzugefügt haben, können Sie die folgenden Aktionen ausführen:

  • Verbinden der Mandantendomäne, damit M365 Security ausgeführt werden kann.
  • Aktivieren der Funktion zum Schutz nach Zustellung für Ihre M365-Benutzer.

    Hinweis

    Sophos EMS unterstützt nur die On-Demand-Rückruffunktion für den Schutz nach Zustellung. Die Funktion „Automatisches Suchen und Bereinigen“ funktioniert in EMS nicht. Konfigurieren Sie den Schutz nach Zustellung, bevor Sie den On-Demand-Rückruf verwenden. Siehe Schutz nach der Zustellung.

  • Trennen Sie die Mandantendomäne.

Eine Domain bearbeiten

Klicken Sie zum Bearbeiten einer Domäne auf den Domänennamen in der Liste, nehmen Sie Ihre Änderungen vor und klicken Sie auf Speichern.

Löschen einer Domain

Um eine Domäne zu löschen, klicken Sie rechts neben der Domäne, die Sie entfernen möchten, auf das Löschsymbol Schaltfläche „Löschen“..