Regel für Mailserver (SMTP) hinzufügen

Auf dieser Seite ist beschrieben, wie Sie Regeln für Mailserver (SMTP) konfigurieren können.

  1. Gehen Sie zu Firewall und wählen Sie mithilfe des Standardfilters entweder IPv4 oder IPv6 aus.
  2. Klicken Sie nun auf +Firewallregel hinzufügen und wählen Sie Geschäftsanwendungsregel.
  3. Legen Sie die allgemeinen Regel-Details fest.
    Anwendungsvorlage
    Wählen Sie Mailserver (SMTP), um Regeln für E-Mail-Anwendungen auf SMTP-Basis zu konfigurieren.
    Beschreibung
    Geben Sie eine Beschreibung für die Richtlinie ein.
    Position der Regel
    Geben Sie die Position der Regel an.
    Verfügbare Optionen:
    • Oben
    • Unten
    Regelgruppe
    Geben Sie die Regelgruppe an, zu der die Firewallregel hinzugefügt werden soll. Sie können auch eine neue Regelgruppe erstellen, indem Sie Neu erstellen aus der Liste auswählen.
    Wenn Sie Automatisch auswählen, wird die Firewallregel zu einer bestehenden Gruppen hinzugefügt, basierend auf dem ersten Treffer beim Regeltyp und Quell-Zielzonen.
    Regelname
    Geben Sie einen Namen ein, um die Richtlinie zu identifizieren.
  4. Geben Sie Details zur Quelle ein.
    Quellzonen
    Anklicken, um die Quellzone auszuwählen. Klicken Sie auf Neues Element hinzufügen, um eine neue LAN- oder DMZ-Zone zu definieren.
    Zugelassene Client-Netzwerke
    Wählen Sie zugelassene Hosts aus oder fügen Sie neue hinzu, indem Sie auf Neues Element hinzufügen klicken.
    Blockierte Client-Netzwerke
    Wählen Sie das/die blockierte/n Host/s oder Netzwerk/e aus.
  5. Legen Sie die Details für Ziel & Dienst fest.
    Zielhost/-netzwerk
    Wählen Sie einen Zielhost oder ein Zielnetzwerk aus, um die Regel anzuwenden. Dies ist die öffentliche IP-Adresse, über welche die Benutzer auf den internen Server/Host über das Internet zugreifen können.
    Verfügbare Optionen:
    • IP-Adresse: Die angegebene IP-Adresse wird der entsprechenden einzelnen IP-Adresse oder IP-Adressbereich zugeordnet. Wenn eine einzelne IP-Adresse einem IP-Adressbereich zugeordnet wird, verwendet die Appliance einen Round-Robin-Algorithmus, um die Last der Anfragen auszugleichen.
    • IP-Bereich: Der angegebene IP-Adressbereich wird dem entsprechenden Bereich von zugeordneten IP-Adressen zugewiesen. Der IP-Bereich legt den Start und das Ende des Adressbereichs fest. Der Start des Bereichs muss kleiner als das Ende des Bereichs sein.
    • Schnittstellen-IP: (Nur bei IPv4). Wählen Sie diese Option, wenn ein Port der Appliance, ein Alias oder eine virtuelle LAN (VLAN)-Subschnittstelle dem Zielhost oder Zielnetzwerk zugeordnet werden muss.
    Weiterleitungsart
    Wählen Sie aus den verfügbaren Optionen den Typ des externen Ports aus.
    Verfügbare Optionen:
    • Port
    • Portbereich
    • Portliste
    • Alles
    Wenn die Option Alle ausgewählt ist, werden alle Ports weitergeleitet. Wählen Sie andere Optionen aus, um die eigene Portweiterleitung zu aktivieren, und legen Sie die Details für die Portweiterleitung fest.
    Weitergeleitete(r) Service-Port(s) (nicht verfügbar, wenn als Weiterleitungsart Alles ausgewählt ist)
    Geben Sie die öffentliche Nummer des Ports an, den Sie für die Portweiterleitung konfigurieren möchten.
    Protokoll (nicht verfügbar wenn als Weiterleitungsart Alles ausgewählt ist)
    Wählen Sie aus, ob das Protokoll TCP oder UDP von weitergeleiteten Paketen verwendet werden soll.
  6. Legen Sie die Details für Weiterleiten an fest.
    Geschützte(r) Server
    Wählen Sie aus den verfügbaren Optionen, auf welchem der Mailserver bereitgestellt werden soll.
    Verfügbare Optionen:
    • IP-Adresse: Die externe IP-Adresse wird der angegebenen IP-Adresse zugeordnet.
    • IP-Bereich: Der externe IP-Adressbereich wird dem angegebenen IP-Adressbereich zugeordnet.
    • IP-Liste: Die externe IP-Adresse wird der angegebenen IP-Liste zugeordnet.
    • FQDN: (Nur für virtuelle IPv4-Hosts). Die externe IP-Adresse wird dem angegebenen FQDN zugeordnet. Der intern zugeordnete Server kann über den FQDN aufgerufen werden.
    Zugeordneter Port
    Geben Sie die Nummer des im Zielnetzwerk zugewiesenen Ports an, welchem die öffentliche Portnummer zugeordnet wird. Zugeordneter Port muss dieselbe Anzahl an Ports haben, wie sie im öffentlichen Dienst festgelegt ist, oder mindestens einen Port haben. Zugeordneter Port ist deaktiviert, wenn:
    • Kein TCP/UDP-Dienst ausgewählt ist
    • Mehrere Dienste ausgewählt sind
    • Dienstgruppe ausgewählt ist
    • Der ausgewählte Dienst eine TCP/UDP-Kombination ist.
    Geschützte Zone
    Wählen Sie die Zone, für welche die Mailserverregel gilt.
  7. Legen Sie die Details für Lastverteilung fest.
    Lastverteilung (nur verfügbar wenn der gewählte Geschützte Server IP-Bereich oder IP-Liste oder der/das gewählte Ziel-Host/Netzwerk IP-Adresse ist)
    Wählen Sie aus den verfügbaren Optionen die Methode für den Lastausgleich aus.
    Verfügbare Optionen:
    • Round-robin: Bei dieser Methode werden die Anfragen sequenziell abgearbeitet, wobei die erste Anfrage an den ersten Server, die zweite Anfrage an den zweiten Server usw. weitergeleitet wird. Wenn eine Anfrage empfangen wird, prüft die Appliance, welchem Server zuletzt eine Anfrage zugewiesen wurde. Die neue Anfrage wird anschließend dem nächsten verfügbaren Server zugewiesen. Diese Methode empfiehlt sich, wenn eine gleichmäßige Verteilung des Datenverkehrs, aber keine Sitzungsbindung notwendig ist.
    • First Alive: Alle eingehenden Anfragen werden vom ersten Server bedient (die erste IP-Adresse, die im IP-Bereich konfiguriert ist). Dieser Server wird als der primäre Server betrachtet, alle anderen Server als Backup. Nur, wenn der erste Server ausfällt, werden die Anfragen an den nächsten Server in der Reihe weitergeleitet. Diese Methode empfiehlt sich für Failover-Szenarien.
    • Zufällig: Anfragen werden zufällig an die Server weitergeleitet. Dennoch ist auch hier sichergestellt, dass die Last gleichmäßig auf alle konfigurierten Server verteilt wird. Daher wird dies auch Uniform Random Distribution (gleichmäßige zufällige Verteilung) genannt. Diese Methode empfiehlt sich, wenn eine gleichmäßige Verteilung des Datenverkehrs, aber keine Sitzungsbindung noch eine bestimmte Reihenfolge der Verteilung notwendig ist.
    • Permanente IP: In Kombination mit der Round-Robin-Verteilung des Datenverkehrs wird der eingehende Verkehr gemäß der IP-Adresse der Quelle weitergeleitet. Der gesamte Datenverkehr von einer bestimmten Quelle wird ausschließlich an den ihr zugeordneten Server weitergeleitet. Das bedeutet, dass alle Anfragen von einer bestimmten Quellen-IP an dieselbe Instanz des Anwendungsservers gesendet werden. Diese Methode ist nützlich, wenn alle Anfragen oder Sitzungen von ein und demselben Server verarbeitet werden müssen. Zum Beispiel: Webseiten von Banken, E-Commerce-Webseiten.
    Zustandsprüfung (nur wenn Lastverteilung aktiviert ist)
    Anklicken, um die Statusprüfung bei Failover zu aktivieren. Geben Sie die Parameter an (siehe Beschreibung unten).
    • Port: Port, auf dem der Serverzustand überwacht wird.
    • Intervall: Zeit in Sekunden, nach welcher der Zustand überwacht wird.
    • Testverfahren: Verwendete Methode, um den Zustand des Servers zu prüfen.
    • Zeitüberschreitung: Zeit in Sekunden, innerhalb derer der Server antworten muss.
    • Erneute Versuche: Anzahl der Versuche den Serverzustand zu prüfen, bevor der Server als unerreichbar eingestuft wird.
  8. Geben Sie Details zur Identität an.
    Übereinstimmung mit bekannten Benutzern
    Mit der Option Übereinstimmung mit bekannten Benutzern können Sie prüfen, ob der/die angegebene Benutzer/Benutzergruppe aus der ausgewählten Zone auf den gewählten Dienst zugreifen darf oder nicht.
    Anklicken, um die Benutzeridentität anzuhängen.
    Unbekannten Benutzern das Captive-Portal anzeigen
    Aktivieren Sie das Auswahlkästchen um Verkehr von unbekannten Benutzern zuzulassen. Die Captive-Portal-Seite wird dem Benutzer angezeigt. Dort kann er sich anmelden, um auf das Internet zuzugreifen.
    Deaktivieren Sie das Auswahlkästchen um Verkehr von unbekannten Benutzern zu verwerfen.
    Benutzer oder Gruppen (nur verfügbar, wenn Übereinstimmung mit bekannten Benutzern aktiviert ist)
    Wählen Sie die Benutzer oder Gruppen aus der Liste der verfügbaren Optionen.
    Diese Benutzeraktivität von der Datenverarbeitung ausschließen (nur verfügbar wenn Übereinstimmung mit bekannten Benutzern ausgewählt ist)
    Anklicken, um den Benutzerverkehrsaktivität in die Datenverarbeitung ein- oder auszuschließen.
    Standardmäßig wird der Netzwerkdatenverkehr des Benutzers bei der Datenverarbeitung berücksichtigt. Aktivieren Sie diese Option, um bestimmten Traffic von der Verarbeitung der Benutzerdaten auszuschließen. Der Datenverkehr, der von dieser Firewallregel zugelassen wird, wird für den Benutzer nicht als Datentransfer betrachtet.
  9. Legen Sie die Details zum Schadprogramm-Scan fest.
    SMTP scannen
    Klicken, um das Scannen von SMTP-Traffic zu aktivieren/deaktivieren.
    SMTPS scannen
    Klicken, um das Scannen von SMTPS-Traffic zu aktivieren/deaktivieren.
  10. Legen Sie die Details für die Erweiterten Einstellungen fest.
    1. Legen Sie Richtlinien für Geschäftsanwendungen fest.
      Angriffsvorbeugung
      Wählen Sie die erforderliche IPS-Richtlinie. Wenn Regel auf Basis der Benutzeridentität zuordnen aktiviert ist, wird die IPS-Richtlinie des Benutzers automatisch angewendet, aber erst wirksam, wenn das entsprechende Modul abonniert wird.
      Eine neue IPS-Richtlinie kann direkt auf dieser Seite oder über die Seite Angriffsvorbeugung > IPS-Richtlinien erstellt werden.
      Traffic-Shaping-Richtlinie (nicht verfügbar wenn Übereinstimmung mit bekannten Benutzern ausgewählt ist)
      Wählen Sie die erforderliche IPS-Richtlinie. Wenn Regel auf Basis der Benutzeridentität zuordnen aktiviert ist, wird die QoS-Richtlinie automatisch angewendet.
      Eine neue Traffic-Shaping-Richtlinie kann direkt auf dieser Seite oder über die Seite Profile > Traffic Shaping erstellt werden.
    2. Legen die die Details für Security Heartbeat fest (nur verfügbar wenn IPv4 aktiviert ist).
      Minimal zulässige Quell-HBs
      Wählen Sie, welchen Systemzustand eine Quell-Appliance mindestens besitzen muss, um mit dieser Richtlinie übereinzustimmen. Der Integritätsstatus kann entweder Grün, Gelb oder Keine Beschränkung sein. Wenn ein Integritätskriterium nicht eingehalten wird, werden die in dieser Regel definierten Berechtigungen und Zugriffsrechte dem Benutzer nicht gewährt.
      Clients ohne Heartbeat blockieren
      Mit Heartbeat kompatible Geräte können so konfiguriert werden, dass sie Informationen zu ihrem Status in definierten Intervallen versenden. Diese werden Herzschlag (Heartbeat) genannt.
      Auf Basis dieser Informationen können Sie den Zugriff eines Geräts, von dem der Datenverkehr stammt, auf bestimmte Dienste und Netzwerke beschränken.
      Aktivieren/deaktivieren Sie die Option, um die Versendung von Heartbeats erforderlich zu machen.
      Minimal zulässige Ziel-HBs (nicht verfügbar, wenn als Geschützte Zone WAN ausgewählt ist)
      Wählen Sie, welchen Systemzustand eine Ziel-Appliance mindestens besitzen muss, um mit dieser Richtlinie übereinzustimmen. Der Integritätsstatus kann entweder Grün, Gelb oder Keine Beschränkung sein. Wenn ein Integritätskriterium nicht eingehalten wird, werden die in dieser Regel definierten Berechtigungen und Zugriffsrechte dem Benutzer nicht gewährt.
      Anfrage an Ziel ohne Heartbeat blockieren (nicht verfügbar wenn als Geschützte Zone WAN ausgewählt ist)
      Mit Heartbeat kompatible Geräte können so konfiguriert werden, dass sie Informationen zu ihrem Status in definierten Intervallen versenden. Diese werden Herzschlag (Heartbeat) genannt.
      Basierend auf dieser Information können Sie Anfragen zu Richtungen blockieren, die keinen Heartbeat senden.

      Aktivieren/deaktivieren Sie die Option, um die Versendung von Heartbeats erforderlich zu machen.

    3. Leben Sie die Details für das Routing fest.
      Quelladresse umschreiben (Maskieren)
      Aktivieren/deaktivieren Sie das Umschreiben der Quelladresse oder geben Sie eine NAT-Richtlinie an.
      Ausgehende Adresse verwenden (nur verfügbar, wenn Quelladresse umschreiben aktiviert ist)
      Wählen Sie, welche NAT-Richtlinie angewendet werden soll. Nutzen Sie die Liste der verfügbaren NAT-Richtlinien.
      Eine neue NAT-Richtlinie kann direkt auf dieser Seite oder über die Seite Profile > NAT erstellt werden.
      Die Standard-NAT-Richtlinie ist Maskieren.

      MASQ (Schnittstellen-Standard-IP): Die IP-Adresse der ausgewählten geschützten Zone wie sie unter Netzwerk > Schnittstellen konfiguriert ist, wird anstelle der Schnittstellen-Standard-IP angezeigt.

      Reflexive Regel erzeugen
      Wählen Sie „AN“, um für den geschützten Host automatisch eine reflexive Firewallregel zu erstellen.
      Die reflexive Regel verfügt über dieselben Richtlinien, wie sie für den gehosteten Server konfiguriert worden. Sie werden jedoch nicht auf den Datenverkehr von Quellzone zu Zielzone, sondern auf den Datenverkehr von Zielzone zu Quellzone angewendet.
      Die reflexive Regel wird standardmäßig nicht erstellt.
  11. Definieren Sie die Protokolloptionen für den Datenverkehr der Benutzeranwendung.
    Firewallverkehr protokollieren
    Anklicken, um die Protokollierung des zugelassenen und abgelehnten Datenverkehrs zu aktivieren.