Allgemeine Einstellungen

Mit den allgemeinen Einstellungen können Sie XG Firewall in einen Mail Transfer Agent (MTA) oder einen transparenten Mail-Proxy umwandeln.

Anmerkung Der MTA-Modus ist nur bei den folgenden Modellen und höher verfügbar: XG105, Cyberoam CR25iNG, SG105.

SMTP-Einsatzmodus

Um zwischen MTA- und Legacy-Modus zu wechseln, klicken Sie auf die Schaltfläche.

Im MTA-Modus leitet XG Firewall E-Mails geschützter Domänen von mehr als einem Mailserver weiter und schützt sie. Sie können ein- und ausgehende E-Mail-Relays festlegen sowie Verschlüsselungs- und Quarantäneeinstellungen konfigurieren. Sie können auch die Ursache von Verzögerungen bei der E-Mail-Zustellung und E-Mail-Protokolle anzeigen.

Anmerkung Wenn Sie den MTA-Modus einschalten, wird automatisch eine Firewallregel erstellt, die SMTP/SMTPS-Verkehr zulässt. Wir empfehlen, diese Regel ganz oben in der Firewallregeltabelle zu belassen.

Im Legacy-Modus (transparenter Mail-Proxy) können Sie Richtlinien zum Schutz von E-Mails vor Spam, Schadprogrammen und Datenlecks festlegen. Sie können auch Verschlüsselungseinstellungen festlegen.

Anmerkung Wenn Sie von CyberoamOS oder SFOSv15 nach SFOSv16 migriert haben, ist der Legacy-Modus aktiviert.

Fußzeilen-Einstellungen ausgehend

E-Mail-Fußzeilenmodus
Die Methode zum Hinzufügen eines Banners zu ausgehenden E-Mails.
Anmerkung Um ein Banner hinzuzufügen, müssen Sie SMTP und SMTPS-Scannen in Firewallregeln auswählen.
E-Mail-Fußzeile
Text zu ausgehenden E-Mails hinzugefügt.
Anmerkung Sie können nur Textbanner hinzufügen.

Beispiel:

Diese E-Mail enthält vertrauliche Informationen. Sie sind nicht berechtigt, die Inhalte ohne Zustimmung des Absenders zu kopieren. Drucken Sie diese E-Mail nur aus, wenn dies erforderlich ist. Tun Sie etwas für die Umwelt.

Anmerkung Wenn Sie ausgehenden E-Mails ein Banner hinzufügen, ändert dies den E-Mail-Textkörper. Die Änderung zerstört den DKIM-Hash, was zu einem DKIM-Überprüfungsfehler beim Empfänger-MTA führt.

SMTP-Einstellungen

SMTP-Hostname
Legen Sie fest, welcher SMTP-Hostname in HELO- und SMTP-Fußzeilen-Strings verwendet werden soll. Standard-Hostname: Sophos.
Keine E-Mails scannen, die größer sind als
Maximale Dateigröße (KB) für Scans fest. Über SMTP/S empfangene Dateien, die diese Größe überschreiten, werden nicht gescannt. 0 legt die maximale Dateigröße auf 51,200 KB fest.
Maßnahme bei übergroßen E-Mails
Maßnahme für E-Mails, die die angegebene Größe überschreiten.

Name

Beschreibung

Annehmen

Weiterleitung an den Empfänger ohne Scannen.

Ablehnen Lehnt die E-Mail ab und benachrichtigt den Absender.
Verwerfen Verwirft die E-Mail, ohne Nachricht an den Absender.
Aufgrund der IP-Reputation zurückweisen
E-Mails mit einer schlechten Absender-Reputation ablehnen.
Anmerkung XG Firewall überprüft die IP-Reputation des Absenders vor den Spam-Prüfungen, die in der SMTP-Richtlinie festgelegt sind.
SMTP-DoS-Einstellungen
Schützen Sie das Netzwerk vor SMTP-Denial-of-Service-Angriffen.

Einstellungen

Beschreibung

Zulässiger Bereich

Max. Anzahl Verbindungen

Verbindungen mit dem Mailserver. Automatisch auf den Maximalwert gesetzt, basierend auf RAM und Prozessorkapazität.

Max. Anzahl Verbindungen/Host

Verbindungen von einem Host zum Mailserver. Automatisch auf den Maximalwert gesetzt, basierend auf RAM und Prozessorkapazität.

Max. Anzahl E-Mails/Verbindung

E-Mails, die über eine Verbindung gesendet werden können

1 bis 1000

Max. Anzahl Empfänger/E-Mail Empfänger einer einzelnen E-Mail

1 bis 512

E-Mail-Durchsatz E-Mails von einem Host in einer Minute

1 bis 1000

Verbindungsrate Verbindungen von einem Host zum Mailserver in einer Sekunde

1 bis 100

Anmerkung Wenn Sie auf 17.5 oder höher aktualisieren, migriert XG Firewall die festgelegten Werte von des E-Mails Durchsatzes und der Verbindungsrate, wenn sich diese im zulässigen Bereich befinden. Wenn die Werte die Obergrenze überschreiten, werden sie automatisch auf den Standardwert gesetzt.

POP/S- und IMAP/S-Einstellungen

Keine E-Mails scannen, die größer sind als
Maximale E-Mail-Größe (in KB) für Scans. Über POP/IMAP empfangene E-Mails, die diese Größe überschreiten, werden nicht gescannt. 0 setzt die Größenbeschränkung auf 10,240 KB.
Empfänger-Header
Kopfzeilenwerte werden gescannt, um die in POP/IMAP-Richtlinien angegebenen Empfänger zu erkennen. Standard: Delivered-To, Received, X-RCPT-TO

SMTP-TLS-Konfiguration

Geben Sie die Einstellungen zum Sichern des SMTP-Datenverkehrs an.

TLS-Zertifikat
CA-Zertifikat oder Serverzertifikat zum Scannen des SMTP-Datenverkehrs über SSL.
Ungültiges Zertifikat zulassen
Wählen Sie diese Option aus, um SMTP-Datenverkehr über SSL-Verbindungen mit einem ungültigen Zertifikat vom Mailserver zuzulassen. Um solche Verbindungen abzulehnen, deaktivieren Sie das Kontrollkästchen.
Veraltete TLS-Protokolle deaktivieren
Wählen Sie diese Option, um Protokolle vor TLS 1.1 zu deaktivieren.
Anmerkung Um TLS-Verwundbarkeiten zu vermeiden, empfehlen wir die Deaktivierung von veralteten TLS-Protokollen.
TLS-Aushandlung erforderlich
Wählen Sie Remote-Hosts (Mailserver) oder Netzwerke aus, um die TLS-Verschlüsselung für ihre Verbindungen zu erzwingen. XG Firewall initiiert TLS-gesicherte Verbindungen für E-Mails, die an die ausgewählten Hosts oder Netzwerke gesendet werden. Sie können bis zu 512 Hosteinträge angeben.
Anmerkung Wenn TLS erzwungen wird, aber keine Verbindung hergestellt werden kann, verwirft XG Firewall E-Mails an den angegebenen Remote-Host oder das angegebene Netzwerk.
Absender-E-Mail-Domänen erforderlich
Geben Sie die Absenderdomäne an, für die TLS-Verschlüsselung bei E-Mail-Verbindungen erzwungen werden soll. Sie können bis zu 512 Hosteinträge angeben.
Anmerkung Wenn TLS erzwungen wird, aber keine Verbindung hergestellt werden kann, verwirft XG Firewall E-Mails von diesen Absenderdomänen.
TLS-Aushandlung auslassen
Wählen Sie die Remote-Hosts (Mailserver) oder Netzwerke aus, die die TLS-Verschlüsselung bei ihren Verbindungen auslassen sollen. XG Firewall stellt unverschlüsselte SMTP-Verbindungen zu diesen Hosts her. Sie können bis zu 512 Hosteinträge angeben.

POP- und IMAP-TLS-Konfiguration

Legen Sie die Einstellungen fest, um den POP/IMAP-Datenverkehr zu sichern.

TLS-Zertifikat
CA-Zertifikat zum Scannen VON POP- und IMAP-Datenverkehr über SSL.
Ungültiges Zertifikat zulassen
Wählen Sie diese Option aus, um POP- und IMAP-Datenverkehr über SSL-Verbindungen mit einem ungültigen Zertifikat vom Mailserver zuzulassen. Um solche Verbindungen abzulehnen, deaktivieren Sie das Kontrollkästchen.
Veraltete TLS-Protokolle deaktivieren
Wählen Sie diese Option, um Protokolle vor TLS 1.1 zu deaktivieren.
Anmerkung Um TLS-Verwundbarkeiten zu vermeiden, empfehlen wir die Deaktivierung von veralteten TLS-Protokollen.

Gesperrte Absender

Geben Sie die E-Mail-Adressen ein, die gesperrt werden sollen.

Schadprogrammschutz

Schadprogrammschutz ist verfügbar in Sophos Firewall XG 105, Cyberoam CR500iNG, Sophos UTM SG105 und höheren Modellen.

XG Firewall ermöglicht das Scannen mit zwei Antiviren-Modulen.

Primäres Antiviren-Modul

Wählen Sie aus den folgenden Optionen das primäre Antivirus-Modul aus, um den Datenverkehr zu scannen:

  • Sophos
  • Avira. Wenn Sie diese Option auswählen, wird XG Firewall Sandstorm in SMTP-Richtlinien mit einfachem Virenscan deaktiviert.
Anmerkung Wenn Sie in der SMTP-Richtlinie zweifachen Virenschutz ausgewählt haben, durchsucht das primäre Modul zuerst den Datenverkehr und dann das sekundäre Modul. Wenn Sie einen einfachen Virenschutz ausgewählt haben, scannt nur das primäre Modul den Datenverkehr.

Smarthost-Einstellungen

Ein Smarthost ist ein MTA (Mail Transfer Agent) der als Zwischenserver zwischen den Mailservern des Absenders und Empfängers agiert. Wählen Sie Smarthost-Einstellungen, um ausgehende E-Mails über den angegebenen Server weiterzuleiten.
Hostname
Wählen Sie den Smarthost aus.
Anmerkung Geben Sie nicht die Schnittstellen-IP-Adresse von XG Firewall für den Smarthost an. Eine Routing-Schleife wäre die Folge.
Port
Geben Sie die Portnummer an. Standard: 25
Appliance an Smarthost authentifizieren
Wählen Sie diese Option aus, wenn Sie wollen, dass XG Firewall den Smarthost vor dem Weiterleiten von E-Mails authentifiziert. Geben Sie die Zugangsdaten ein.
Anmerkung XG Firewall unterstützt die Authentifizierungsprotokolle PLAIN und LOGIN.

DKIM-Verifizierung

Mit DKIM können Sie die Integrität des Quelldomänennamens und der Nachrichten durch kryptografische Authentifizierung überprüfen und so E-Mail-Täuschungen (Spoofing) verhindern. Sie können DKIM-Verifizierung auf eingehende E-Mails anwenden.

Wenn Sie die DKIM-Verifizierung aktivieren, sucht XG Firewall den öffentlichen Schlüssel im TXT-Eintrag der sendenden Domäne, um die DKIM-Signatur zu überprüfen.

Tabelle 1. Ergebnis der Überprüfung

Einstellungen

Beschreibung

DKIM-Verifizierung fehlgeschlagen

Der Body-Hash stimmt nicht mit der Signatur überein, was auf eine Änderung des E-Mail-Textkörpers während der Übermittlung hinweist. Alternativ konnte XG Firewall die Signatur nicht überprüfen, was auf eine gefälschte Signatur oder Kopfzeilenänderung hinweist.

Ungültige DKIM-Signatur

XG Firewall konnte den öffentlichen Schlüssel der sendenden Domäne im TXT-Datensatz nicht finden oder fand eine ungültige Syntax für den öffentlichen Schlüssel.

Keine DKIM-Signatur gefunden

Die E-Mail hat keine DKIM-Signatur für diese Domäne.

Anmerkung XG Firewall isoliert DKIM-signierte E-Mails, die RSA SHA-1 verwenden oder eine Schlüssellänge von weniger als 1024 oder mehr als 2048 Bit haben.

Wählen Sie die Maßnahme für das Verifizierungsergebnis aus:

  • Annehmen: Leitet an Empfänger weiter
  • Quarantäne: Isoliert E-Mails
  • Ablehnen: Verwirft E-Mails

DKIM-Signierung

XG Firewall fügt den Kopfzeilen ausgehender E-Mails eine digitale Signatur hinzu, wobei der Domänenname, der Bezeichner und der von Ihnen angegebene private RSA-Schlüssel verwendet werden. Zielserver verwenden den öffentlichen Schlüssel in den TXT-Einträgen der Domäne, um die Signatur zu überprüfen, die Domäne zu validieren und sicherzustellen, dass die E-Mail während der Übermittlung nicht geändert wurde.

Anweisungen zum Hinzufügen einer DKIM-Signatur finden Sie unter Hinzufügen einer DKIM-Signatur.

Erweiterte SMTP-Einstellungen

Ungültige HELO oder fehlende RDNS ablehnen
Wählen Sie diese Option, wenn Sie E-Mails von Hosts ablehnen wollen, die ungültige HELO/EHLO-Argumente senden oder bei denen die RDNS-Einträge fehlen.
Strikte RDNS-Prüfungen durchführen
Wählen Sie diese Option, wenn Sie E-Mails von Hosts mit ungültigen RDNS-Einträgen ablehnen wollen.
Anmerkung Ein RDNS-Eintrag ist ungültig, wenn der gefundene Hostname sich nicht zurück zur Quell-IP-Adresse auflösen lässt.
Ausgehende Mails scannen
Wählen Sie diese Option, um ausgehende E-Mails zu scannen. Isoliert Spam- und mit Schadprogrammen infizierte E-Mails.
Eingehende E-Mails durch Gateway routen

Wählen Sie diese Option aus, um eingehende E-Mails (von externen und internen Absendern) mithilfe der ursprünglichen Firewallregel an Ihre Mailserver weiterzuleiten. XG Firewall leitet standardmäßig nur ausgehende E-Mails weiter.

Verwenden Sie die Einstellung in folgenden Fällen:

  • Um eingehende E-Mails an Mailserver (vor Ort oder gehostet) in der WAN-Zone weiterzuleiten.
  • Um die ursprünglichen Firewallregeleinstellungen anzuwenden, wenn eingehende E-Mails an Mailserver im LAN oder in der DMZ weitergeleitet werden.
  • Um Ihre IP-Reputation zu erhalten, wenn Sie die Datenverkehrslast zwischen ISP-Verbindungen verteilen. XG Firewall wendet die in der ursprünglichen Firewallregel angegebenen Gateway-Einstellungen an.
BATV-Schlüssel

Geben Sie einen Schlüssel für die Bounce Address Tag Validation (BATV) ein. Wenn Sie mehr als einen MX-Eintrag für Ihre Domänen haben, können Sie den gleichen BATV-Schlüssel für alle Systeme angeben.

XG Firewall erzeugt die BATV-Signatur unter Verwendung dieses Schlüssels, des Zeitstempels und der E-Mail-Adresse des Absenders. Sie ersetzt die Adresse des Envelope-Senders durch die Signatur in ausgehenden E-Mails, die es ihr ermöglicht, abgewiesene E-Mails mit gefälschten Rücksendeadressen zu identifizieren.

Signaturformat: prvs=<tagvalue>=<E-Mail-Adresse des Absenders>

Sobald Sie den Schlüssel eingegeben haben, können Sie die BATV-Prüfung in den SMTP-Routing- und Scanrichtlinien anwenden.