SMTP-Routing und -Scanrichtlinie hinzufügen

SMTP-Routing und -Scanrichtlinien werden nur angezeigt, wenn der MTA-Modus (Mail Transfer Agent) aktiviert ist. Der MTA-Modus ist nur verfügbar in Sophos Firewall XG105, Cyberoam CR25iNG, Sophos UTM SG105 und höheren Modellen.

Diese Funktion erfordert ein Abonnement. Sie kann konfiguriert werden, ist aber erst mit gültigem Email Protection-Abonnement aktiviert.

SMTP-Routing und -Scanrichtlinie ermöglicht es Ihnen, E-Mails vor Spam und Schadprogrammen zu schützen, E-Mails mit SPX zu verschlüsseln, und bietet Schutz für Daten und Dateien.

  1. Gehen Sie zu E-Mail > Richtlinien und Ausnahmen und klicken Sie auf Richtlinie hinzufügen. Klicken Sie auf SMTP-Routing & -Scans.
  2. Geben Sie einen Namen ein.
  3. Geben Sie Details unter Domänen und Routenziel an.
    Geschützte Domäne

    Wählen Sie die Domänen aus. Die Richtlinie gilt für E-Mails an und von den gewählten Domänen. Um eine neue Domäne hinzuzufügen, klicken Sie auf Neu erstellen.

    E-Mails, die von Benutzern der geschützten Domänen empfangen werden, sind Eingehende E-Mails.

    E-Mails, die von Benutzern der geschützten Domänen gesendet werden, sind Ausgehende E-Mails.

    E-Mails, die unter Benutzern der geschützten Domänen versendet werden, sind Interne E-Mails.

    Hinweis: Sie können keine E-Mail-Adressen angeben. Bei bestehenden oder migrierten E-Mail-Adressen wendet XG Firewall weiterhin die festgelegten Einstellungen an, aber Sie können diese Adressen nicht bearbeiten.
    Route nach
    Wählen Sie den Mailserver, an den die E-Mails weitergeleitet werden sollen. Wählen Sie aus den folgenden Servertypen aus:

    Verfügbare Optionen:

    Statischer Host: Wählen Sie aus der Hostliste die statische IP-Adresse des internen Mailservers aus. Wenn der erste Host in der gewählten Liste nicht erreichbar ist, leitet die Appliance die E-Mails an den jeweils nächsten Host weiter bis das Ende der Liste erreicht ist. Um einen neuen Host hinzuzufügen, klicken Sie auf Erstellen. DNS-Host Wählen Sie DNS-Hostname und geben Sie ihn an, z.B. mailserver.example.com. Bei einem DNS-Namen mit mehreren A-Einträgen, liefert die Firewall die E-Mails zufällig an die verschiedenen Server aus. Fälllt ein Server aus, leitet die Firewall die E-Mails automatisch an die anderen Server um. MX: Wählen Sie diese Option, um E-Mails basierend auf MX-Einträgen zu routen.
    Globale Maßnahme
    Wählen Sie die Maßnahme aus.Annehmen: Nimmt alle E-Mails an, die an die definierten Domänen adressiert sind. Sie können SPX-Verschlüsselung auf ausgehende E-Mails anwenden, indem Sie eine SPX-Vorlage aus der Auswahlliste auswählen. Ablehnen: Lehnt alle E-Mails ab, die an die definierten Domänen adressiert sind. Der Absender wird darüber informiert.
  4. Schalten Sie Spamschutz ein.
    1. Wählen Sie Auf eingehenden Spam prüfen aus.
    2. Wählen Sie Greylisting verwenden aus, wenn Sie wollen, dass die Firewall eingehende E-Mails von IP-Adressen von unbekannten Mailservern vorübergehend ablehnt. Legitime Server versuchen abgelehnte E-Mails in regelmäßigen Abständen erneut zu senden, und die Firewall nimmt diese E-Mails an, wobei sie die Absender-IP-Adresse für einen bestimmten Zeitraum auf die Greylist setzt.
    3. Wählen Sie Aufgrund von SPF zurückweisen aus. Mithilfe des Sender Policy Framework (SPF) verifiziert die Firewall die IP-Adresse des Mailservers des Absenders in DNS-Einträgen und lehnt E-Mails von unautorisierten Servern ab.
    4. Wählen Sie Aufgrund der RBL zurückweisen aus und wählen Sie die RBL-Dienste aus, um E-Mails von negativ eingestuften IP-Adressen abzulehnen.
    5. Legen Sie die Einstellungen für Empfängerverifizierung fest.
      Verfügbare Maßnahmen:
      • Aus
      • Mit Callout. Prüft die Empfänger-E-Mail-Adresse auf Übereinstimmung mit dem Benutzerkonto auf dem Zielmailserver. Die Firewall lehnt E-Mail an nicht vorhandene Benutzer ab. Sie nimmt E-Mails für Empfänger an, wenn der Mailserver für einen bestimmten Zeitraum nicht erreichbar ist.
      • In Active Directory. Verifiziert Empfänger von eingehenden E-Mails auf dem AD-Server über die Protokolle Simple, SSL und STARTTLS. Geben Sie den AD-Server, Bind-DN und BaseDN an.
      Hinweis: Die Verifizierung läuft nach 30 Sekunden ab.
      Hinweis: Bind-DN ist der vollständige Distinguished Name (DN), einschließlich dem allgemeinen Namen (common name, CN) des Administrator-Benutzers, der auf dem angegebenen AD-Server konfiguriert ist.
      CN=Administrator,CN=Users,DC=example,DC=com
      Hinweis: BaseDN ist der Base Distinguished Name (DN), welches der Ausgangspunkt von Suchen auf dem AD-Server ist.
      DC=example,DC=com
    6. Wählen Sie Spam-Maßnahme aus und Maßnahme bei wahrscheinlichem Spam, wenn Sie die obigen Einstellungen anwenden wollen.
      Hinweis: Diese Maßnahmen gelten nicht für SPF- und RBL-Prüfungen. Wenn die Prüfungen fehlschlagen, lehnt die Firewall die E-Mail ab.
    Verfügbare Maßnahmen:
    • Kein

    • Warnen: Die E-Mail wird an den Empfänger zugestellt, nachdem ein Präfix zum Betreff hinzugefügt wurde. Geben Sie das Präfix bei Präfix im Betreff einfügen an.
    • Isolieren

    • Verwerfen: Verwirft die E-Mail, ohne Nachricht an den Absender.
    Standard: Verwerfen
  5. Schalten Sie Malware Protection ein.
    Scannen

    Wählen Sie die Scan-Maßnahme aus.

    Verfügbare Maßnahmen:

    Deaktivieren: E-Mails werden nicht gescannt. Aktivieren: E-Mails werden von der Antiviren-Engine der Appliance gescannt.
    Hinweis:

    In Sophos Firewall XG105, Cyberoam CR500iNG, Sophos UTM SG105 und höheren Modellen sind anstelle von Aktivieren folgende Optionen verfügbar.

    Einzelne Antiviren-Engine: Die primäre Antiviren-Engine scannt die E-Mails.

    Zwei Antiviren-Engines: Die erste und die zweite Engine scannen E-Mails nacheinander.

    Gehen Sie zu E-Mail > Allgemeine Einstellungen > Malware Protection und wählen Sie Primäre Antiviren-Engine aus.

    Zero-Day-Bedrohungen mit Sandstorm erkennen (Sandstorm-Modul erforderlich)
    Aktivieren, um E-Mails zur Sandstorm-Analyse zu schicken. E-Mails, die von Sandstorm als unbedenklich eingestuft wurden, werden an die Empfänger ausgeliefert. Bei den als schädlich eingestuften E-Mails wird die festgelegte Maßnahme durchgeführt.
    Hinweis: Sie können Sandstorm nicht mit der Einstellung „Einzelne Antiviren-Engine“ aktivieren, wenn Avira die primäre Antiviren-Engine ist. Um die Engine zu wechseln, gehen Sie zu Allgemeine Einstellungen > Malware Protection oder Systemdienste > Malware Protection.
    Gescannte Dateigröße (verfügbar wenn „Zero-Day-Bedrohungen mit Sandstorm erkennen“ aktiviert ist)
    Geben Sie die Größe der Dateien an, die durch Sandstorm analysiert werden können. Dateien, die größer sind, werden nicht analysiert.
    Antiviren-Maßnahme
    Wählen Sie die Maßnahme, die für bösartige E-Mails durchgeführt werden soll.

    Verfügbare Maßnahmen:

    • Kein

    • Warnen: Die E-Mail wird an den Empfänger zugestellt, nachdem ein Präfix zum Betreff hinzugefügt wurde. Geben Sie das Präfix bei Präfix im Betreff einfügen an.
    • Isolieren

    • Verwerfen: Verwirft die E-Mail, ohne Nachricht an den Absender.
    Absender benachrichtigen
    Auswählen, um den Absender über die infizierte E-Mail zu benachrichtigen.
    Nicht scanbaren Inhalt isolieren

    Auswählen, um E-Mails zu isolieren, deren Inhalt nicht gescannt werden kann. Darunter fallen kaputte, verschlüsselte und komprimierte Dateien, zu große E-Mails und E-Mails, die aufgrund eines internen Fehlers nicht gescannt werden können.

  6. Schalten Sie Dateischutz ein, um bestimmte Anhänge herauszufiltern.
    Dateitypen blockieren

    Wählen Sie die Art des Anhangs, die Sie blockieren wollen: In der MIME-Whitelist werden die entsprechenden MIME-Header angezeigt.

    Um mehr als einen Dateityp auszuwählen, drücken Sie Strg + Umschalttaste.

    Die Appliance verfügt über eine Standardliste mit Dateitypen mit den relevanten Dateierweiterungen. Gehen Sie zu E-Mail

    ... > Dateityp um die Liste der Dateierweiterungen einzusehen.

    Wählen Sie Alle aus, um E-Mails mit Anhängen zu blockieren.

    Wählen Sie Keine aus, um E-Mails mit Anhängen zuzulassen.

    MIME-Whitelist
    Wählen Sie die MIME-Header aus, die während der Suche nach Schadsoftware zugelassen werden sollen. Nicht ausgewählte Header werden blockiert.
    Meldungen verwerfen, die größer sind als
    Geben Sie die maximale Dateigröße (in KB) an, die von der Appliance gescannt werden soll. Größere E-Mails werden verworfen.
    Standard: 51200 KB
  7. Schalten Sie Datenschutz ein. (Betrifft nur ausgehende E-Mails)
    Datenkontrollliste

    Wählen Sie die Liste, die verwendet werden soll, um E-Mails auf sensible Informationen zu durchsuchen.

    Datenkontrolllisten (DCL) können aus der vorkonfigurierten Sophos Inhaltskontrollliste (IKL) erstellt werden, welche übliche Datentypen zu finanziellen Informationen und persönlicher Identifikation enthält, wie Kreditkartennummern, Sozialversicherungsnummern, postalische Adressen oder E-Mail-Adressen.

    Sie können eine Liste unter E-Mail > Datenkontrollliste erstellen.

    Datenkontrolllisten-Maßnahme

    Wählen Sie die Maßnahme, die bei E-Mails mit sensiblen Informationen durchgeführt werden soll.

    Verfügbare Maßnahmen:

    Annehmen: Nimmt die E-Mail an und stellt sie an den Empfänger zu.

    Mit SPX annehmen: Nimmt die E-Mail an und verschlüsselt sie mit SPX, bevor sie an den Empfänger zugestellt wird. Wählen Sie die SPX-Vorlage aus, die für die E-Mail verwendet werden soll. Sie können SPX-Vorlagen unter E-Mail > Verschlüsselung erstellen.

    Verwerfen: Verwirft die E-Mail, ohne Nachricht an den Absender.
    Absender benachrichtigen

    Auswählen, wenn der Absender benachrichtigt werden soll, dass die E-Mail sensible Informationen enthält.