Allgemeine Einstellungen

Einschränkung: Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mit gültigem Email-Protection-Abonnement aktiviert.
Hinweis: Der MTA-Modus ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR25iNG, Sophos UTM SG105 und höheren Modellen.

SMTP-Einsatzmodus

Um in den MTA-Modus zu wechseln, klicken Sie auf die Schaltfläche.

Im MTA-Modus agiert die Firewall als Mail-Transfer-Agent (MTA). Im Legacy-Modus agiert sie als transparenter Proxy.

Als ein MTA, XG Firewall routet E-Mails der geschützten Mailserver. Sie können ein- und ausgehenden Mail-Relay konfigurieren, SMTP-Profile erstellen, um mehrere Domänen auf dem internen Mailserver oder mehrere Mailserver zu schützen, E-Mails sehen, die auf Auslieferung warten oder einen Fehler verursacht haben, und E-Mail-Protokolle ansehen.

Standard: Der MTA-Modus ist aktiviert.

Hinweis:
  • Wenn Sie den MTA-Modus einschalten, wird automatisch eine Firewallregel erstellt, die SMTP/SMTPS-Verkehr zulässt.
  • Wenn Sie von CyberoamOS oder SFOSv15 nach SFOSv16 migriert haben ist der Legacy-Modus automatisch aktiviert.

Fußzeilen-Einstellungen ausgehend

E-Mail-Fußzeilenmodus
Wählen Sie aus, wie Fußzeilen an ausgehende E-Mails angehängt werden sollen.
Hinweis: Damit eine Fußzeile angehängt wird, wählen Sie SMTP scannen und SMTPS scannen unter Scans in der betreffenden Geschäftsanwendungsregel aus.
E-Mail-Fußzeile
Legen Sie eine Fußzeile fest, die an ausgehende E-Mails angehängt wird. Es sind nur Textbanner zulässig.

Beispiel:

Diese E-Mail enthält vertrauliche Informationen. Sie sind nicht berechtigt, die Inhalte ohne Zustimmung des Absenders zu kopieren. Drucken Sie diese E-Mail nur aus, wenn dies unbedingt notwendig ist. Tun Sie etwas für die Umwelt.

SMTP-Einstellungen

SMTP-Hostname
Legen Sie fest, welcher SMTP-Hostname in HELO- und SMTP-Fußzeilen-Strings verwendet werden soll. Standardmäßig verwendet XG Firewall „Sophos“ als Hostnamen.
Keine E-Mails scannen, die größer sind als
Legen Sie die maximale Dateigröße (in KB) für die Scans fest. Dateien, die über SMTP/S eingehen und diese Größe überschreiten, werden nicht gescannt.

Standard: 1024 KB

Geben Sie 0 ein, um die Standard-Größenbeschränkung für Scans auf 51200 KB zu erhöhen.

Maßnahme bei übergroßen E-Mails
Legen Sie die Maßnahme bei übergroßen E-Mails fest.

Verfügbare Optionen:

Annehmen: Alle übergroßen E-Mails werden ohne Scan an den Empfänger weitergeleitet. Ablehnen: Alle übergroßen E-Mails werden abgewiesen und der Absender wird benachrichtigt. Verwerfen: Alle übergroßen E-Mails werden verworfen, ohne dass der Absender benachrichtigt wird.
Aufgrund der IP-Reputation zurückweisen
Auswählen, um E-Mails mit einer schlechten Absender-Reputation abzulehnen.
Hinweis: Die Firewall überprüft die IP-Reputation des Absenders vor den Spam-Prüfungen, die in der SMTP-Routing- und -Scanrichtlinien festgelegt sind.
SMTP-DoS-Einstellungen
Aktivieren Sie diese Option, um die SMTP-DoS-Einstellungen zu konfigurieren, die das Netzwerk vor SMTP-DoS-Angriffen schützen.

Wird diese Option aktiviert, legen Sie Werte für Max. Anzahl Verbindungen, Max. Anzahl Verbindungen/Host, Max. Anzahl E-Mails/Verbindung, Max. Anzahl Empfänger/E-Mail, E-Mail-Durchsatz je Minute/Host und Verbindungsdurchsatz je Sekunde/Host fest.

Max. Anzahl Verbindungen
Automatisch auf den Maximalwert gesetzt, basierend auf RAM und Prozessorkapazität.
Max. Anzahl Verbindungen/Host
Automatisch auf den Maximalwert gesetzt, basierend auf RAM und Prozessorkapazität.
Max. Anzahl E-Mails/Verbindung
Legen Sie die maximale Anzahl von E-Mails fest, die in einer einzelnen Verbindung geschickt werden können.

Standard: 1000

Zulässiger Bereich: 1 bis 1000

Max. Anzahl Empfänger/E-Mail
Legen Sie die maximale Anzahl an Empfängern einer E-Mail fest.

Standard: 100

Zulässiger Bereich: 1 bis 512

E-Mail-Durchsatz
Legen Sie die Anzahl von E-Mails fest, die innerhalb einer Minute von einem Host gesendet werden können.

Standard: 1000

Zulässiger Bereich: 1 bis 1000

Verbindungsrate
Legen Sie die Anzahl von Verbindungen fest, die innerhalb einer Sekunde von einem Host zum Mailserver aufgebaut werden dürfen.

Standard: 100

Zulässiger Bereich: 1 bis 100

Hinweis: Wenn Sie SFOS auf Version 17.5 oder später aktualisieren, migriert XG Firewall die festgelegten Werte von E-Mail-Durchsatz und Verbindungsrate, wenn sich diese im zulässigen Bereich befinden. Stellt automatisch den Standardwert ein, wenn die festgelegten Werte die Obergrenze überschreiten.

POP/S- und IMAP/S-Einstellungen

Keine E-Mails scannen, die größer sind als
Legen Sie die maximale Dateigröße (in KB) für die Scans fest. Dateien, die über POP/IMAP eingehen und diese Größe überschreiten, werden nicht gescannt.

Standard: 1024 KB

Geben Sie 0 ein, um die Standard-Größenbeschränkung auf 10240 KB zu erhöhen.

Empfänger-Header
Legen Sie den Header zur Ermittlung des Empfängers für POP3/IMAP fest.

Standard: Delivered-To, Received, X-RCPT-TO

SMTP-TLS-Konfiguration

TLS-Zertifikat
Wählen Sie aus den verfügbaren Optionen das CA-Zertifikat oder Server-Zertifikat für die Prüfung des SMTP-Datenverkehrs über SSL aus.

Verfügbare Optionen:

Default Appliance-Zertifikat SecurityAppliance_SSL_CA Liste eigener CAs und Server-Zertifikaten, falls vorhanden. Sie können eine eigene CA unter Zertifikate > Zertifizierungsstellen (CA) erstellen und ein eigenes Server-Zertifikat unter Zertifikate > Zertifikate.
Ungültiges Zertifikat zulassen
Ist diese Option aktiviert, werden SMTP-über-SSL-Verbindungen mit ungültigem Zertifikat vom Mailserver zugelassen. Deaktivieren Sie diese Option, wenn solche Verbindungen abgewiesen werden sollen.

Standard: Aktiviert

Veraltete TLS-Protokolle deaktivieren
Ist diese Option aktiviert, werden Protokolle vor TLS Version 1.1 deaktiviert. Um TLS-Verwundbarkeiten zu vermeiden, empfehlen wir die Deaktivierung von veralteten TLS-Protokollen.

Standard: Deaktivieren

TLS-Aushandlung erfordern
Wählen Sie aus den verfügbaren Optionen den Remote-Host (Mailserver) oder das Netzwerk aus, bei dem TLS-Verschlüsselung eingesetzt werden soll. Mit anderen Worten, die Appliance initiiert immer TLS-gesicherte Verbindungen, wenn E-Mails an ausgewählte Hosts/Netzwerke geschickt werden sollen. Wenn TLS durchgesetzt wird, aber die Verbindung nicht hergestellt werden kann, werden E-Mails an den betreffenden Host/das Netzwerk verworfen.
Absender-E-Mail-Domänen erfordern
Geben Sie die Absenderdomäne an, für die TLS-Verschlüsselung bei E-Mail-Verbindungen erzwungen werden soll. Die Absender-Domäne ist die Domäne des E-Mail-Absenders. E-Mails von der festgelegten Absender-Domäne werden nur über TLS-verschlüsselte Verbindungen gesendet. Wenn TLS eingesetzt wird, aber die Verbindung nicht hergestellt werden kann, werden E-Mails von der betreffenden Absender-Domäne verworfen.
TLS-Aushandlung auslassen
Wählen Sie aus den verfügbaren Optionen den entfernten Host (Mailserver) oder das Netzwerk aus, bei dessen Verbindungen die TLS-Verschlüsselung übersprungen oder umgangen werden soll. Sofern konfiguriert, werden SMTP-Verbindungen zu ausgewählten Hosts in Klartext und unverschlüsselt hergestellt.

POP- und IMAP-TLS-Konfiguration

TLS-Zertifikat
Wählen Sie aus den verfügbaren Optionen die CA für die Prüfung des POP- und IMAP-Datenverkehrs über SSL aus.

Verfügbare Optionen:

Default SecurityAppliance_SSL_CA Liste eigener CAs, sofern hinzufügt. Sie können eine eigene CA unter Zertifikate > Zertifizierungsstellen (CA) erstellen.
Ungültiges Zertifikat zulassen
Ist diese Option aktiviert, werden POP- und IMAP-Verbindungen über SSL mit ungültigem Zertifikat vom Mailserver zugelassen. Deaktivieren Sie diese Option, wenn solche Verbindungen abgelehnt werden sollen.

Standard: Aktiviert

Veraltete TLS-Protokolle deaktivieren
Ist diese Option aktiviert, werden Protokolle vor TLS Version 1.1 deaktiviert. Um TLS-Verwundbarkeiten zu vermeiden, empfehlen wir die Deaktivierung von veralteten TLS-Protokollen.

Standard: Deaktivieren

Blockierte Absender

Um E-Mail-Adressen zu blockieren, fügen Sie sie hier hinzu.

Malware Protection

Malware Protection ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR500iNG, Sophos UTM SG105 und höheren Modellen.

Sophos XG Firewall bietet duale Viren-Scans an, bei welchen der Datenverkehr von zwei (2) Anti-Virus-Engines geprüft wird. Zuerst wird der Datenverkehr von der primären Engine gescannt und anschließend von der sekundären Engine.
Primäre Antiviren-Engine
Wählen Sie die primäre Anti-Virus-Engine zur Prüfung des Datenverkehrs aus. Bei dualen Scans werden die Pakete erst von der primären Anti-Virus-Engine gescannt, dann von der sekundären. Beim Einzelscan wird nur die primäre Engine verwendet.

Verfügbare Optionen:

Sophos Avira
Hinweis: Die Auswahl von Avira deaktiviert Sandstorm in allen SMTP-Richtlinien mit einem einfachem Antivirenscan.

Smarthost-Einstellungen

Ein Smarthost ist ein MTA (Mail Transfer Agent) der als Zwischenserver zwischen den Mailservern des Absenders und Empfängers agiert. Wenn Sie einen Smarthost konfigurieren, leitet die Appliance ausgehende E-Mails an den festgelegten Server weiter, der sie dann an den Mailserver des Empfängers routet. Aktivieren Sie Smarthost verwenden.
Hostname
Wählen Sie den Host aus, der als Smarthost agieren wird.
Hinweis: Sie können für den Smarthost nicht die Schnittstellen-IP-Adresse der Appliance verwenden. Eine Routing-Schleife wäre die Folge.
Port
Geben Sie die Portnummer an.

Standard: 25

Appliance an Smarthost authentifizieren
Wählen Sie, ob die Appliance sich erst am Smarthost authentifizieren muss, bevor er E-Mails routet. Sowohl Plain als auch Login werden als Authentifizierungsmethode unterstützt. Geben Sie Benutzername und Kennwort ein.

Erweiterte SMTP-Einstellungen (nur im MTA-Modus)

Ungültige HELO oder fehlende RDNS ablehnen
Wählen Sie diese Option, wenn Sie Hosts ablehnen wollen, die ungültige HELO/EHLO-Argumente senden oder bei denen rDNS-Einträge fehlen. Wählen Sie Strikte rDNS-Prüfungen durchführen, wenn Sie zusätzlich E-Mails von Hosts mit ungültigen rDNS-Einträgen ablehnen wollen. Ein rDNS-Eintrag ist ungültig wenn der gefundene Hostname nicht zurück zur originalen IP-Adresse auflöst.
Ausgehende Mails scannen
Aktivieren Sie das Scannen des gesamten ausgehenden E-Mail-Verkehrs. Die E-Mail wird isoliert, wenn Sie mit Schadprogrammen infiziert oder als Spam markiert ist.