Zum Inhalt
Diese Seite wurde ganz oder teilweise maschinell übersetzt.
Unterstützte Migrationspfade

Konfigurieren des Sophos Firewall

Nachdem Ihre Domäne, Richtlinien und Mailboxen migriert wurden, können Sie jetzt Ihren Sophos Firewall so konfigurieren, dass E-Mails an Ihren Mailserver weitergeleitet werden. Wenn Sie Google Workspace oder Microsoft 365 verwenden und E-Mails nach Sophos Central-E-Mail nicht vom Sophos Firewall verarbeitet werden müssen, überspringen Sie diese Schritte und fahren Sie mit dem nächsten Abschnitt fort.

Voraussetzung

Vor der Konfiguration Ihrer Firewall empfehlen wir immer, eine Sicherung zu erstellen, falls Einstellungen wiederhergestellt werden müssen. Wir empfehlen, diese Änderungen außerhalb der Geschäftszeiten vorzunehmen, um größere Serviceunterbrechungen zu vermeiden.

Um eingehende E-Mails und die Zustellung an Ihren Mailserver zu verarbeiten, erfolgt dies über eine DNAT-Regel im Sophos Firewall. Bevor Sie fortfahren, notieren Sie sich die aktuelle Konfiguration Ihrer Firewall unter E-Mail > Richtlinien & Ausnahmen > Richtlinien > smtp Your Policy name.

  • Geschützte Domäne(n): Klicken Sie auf das Bleistiftsymbol, um alle aufgeführten Domänen zu überprüfen: Z. B. nsgtrain.com
  • Route nach Methode: Z. B. Statischer Host
  • Host-Liste: Beispiel: Server (192.168.1,25) und Exchange Server (192.168.25.1)

Erstellen Sie eine DNAT-Regel

Wenn ein Standard-SMTP-Port (25, 465, 587) für Ihre DNAT-Regel verwendet wird, kann Regel 1 übersprungen werden. Befolgen Sie jedoch die alternativen Anweisungen unten in Schritt 2, um eine Unterbrechung der E-Mail während des Übergangs zu vermeiden. Wenn E-Mails für „exampledomain.com“ an einen anderen internen Mailserver gesendet werden müssen, stellen Sie sicher, dass für jede eindeutige DNAT-Regel ein eindeutiger externer Port für die Übersetzung verwendet wird. Wenn derselbe interne Mailserver in beiden SMTP-Richtlinien (oder Domänen) verwendet wird, können die DNAT-Regel und Ports wiederverwendet werden.

  1. Optional: Wenn Sie einen nicht standardmäßigen Port verwenden, erstellen Sie einen neuen Service-Port, an dem Sophos Email zustellt und den Sophos Firewall für eingehende E-Mails erreicht.

    1. Gehen Sie zu Hosts und Services > Services > Hinzufügen
    2. Geben Sie einen Servicenamen an, z.B.: Sophos Email-Lieferung
    3. Wählen Sie einen Zielport, der derzeit nicht in Ihrer Firewall verwendet wird. Es wird empfohlen, einen anderen Zielport als den Zielport 25, 465, 587 zu verwenden

  2. Navigieren Sie zu Regeln und Policys > NAT-Regeln > NAT-Regel hinzufügen > neue NAT-Regel. Geben Sie die Details wie folgt ein. Die folgende Empfehlung kann jedoch an Ihre Umgebung angepasst werden. Alles, was nicht in der Tabelle aufgeführt ist, ist nicht erforderlich.

    Einstellung Details Beispiel
    Regelstatus Aus – vor dem Aktualisieren von MX-Datensätzen in den letzten Schritten kann diese Regel aktiviert werden Aus
    Regelname Geben Sie einen Namen für Administrationszwecke an Eingehende Sophos Email
    Position der Regel Zur Vermeidung von Konflikten wird empfohlen, die Position oben zu positionieren Oben
    Ursprüngliche Quelle

    Melden Sie sich bei central.sophos.com an und navigieren Sie zu E-Mail-Sicherheit > Einstellungen > Domäneneinstellungen/-Status > externe Abhängigkeiten konfigurieren. *

    Geben Sie alle Netzwerke und IPs unter den Sophos Delivery IPs ein

    		 Zentralkonto US-West-2:
    52.41.236.76
    50.112.39.248
    198.154.181.128/26
    Ursprüngliches Ziel Die Firewalls WAN-Schnittstellen, von denen aus eingehende E-Mails angenommen werden. #PortB (WAN)
    Ursprünglicher Dienst Der Zielport Sophos Email sendet eingehende E-Mails ab Schritt 1 an. Sophos Email-Lieferung (Port 1234)
    Übersetztes Ziel (DNAT)

    Ihr Mailserver-Speicherort aus den oben aufgeführten vorausgesetzten Schritten je nach Route nach Typ/

    • statischem Host: Wenn E-Mails an mehrere Mailserver zugestellt werden, wählen Sie Hinzufügen > IP-Liste > jede Mailserver-IP angeben. Andernfalls kann der einzelne Servername ausgewählt werden.
    • DNS-Host: Wählen Sie Hinzufügen > FQDN > DNS-Hostname
    • MX: Lösen Sie den internen MX-Datensatz für Ihre Domäne auf, und geben Sie manuell den FQDN oder die IP-Adresse(n) an, in der die Domäne aufgelöst wird , indem Sie Hinzufügen > Ihre aufgelösten IPs/FQDNs auswählen.
    		 Interner Mail-Server
    Übersetzter Dienst (PAT) Wenn ein nicht-Standard-Port für den ursprünglichen Dienst (nicht Port 25) verwendet wird, ist dies wahrscheinlich erforderlich, da Ihr Mailserver wahrscheinlich auf Standard-smtp-Ports horcht (z. B. Port 25). SMTP (Port 25)
    Eingehende Schnittstelle Geben Sie alle Schnittstellen an, von denen eingehende E-Mails empfangen werden. Dies entspricht wahrscheinlich den Schnittstellen des ursprünglichen Ziels PortB
    Lastausgleichsmethode (Erweiterte Einstellungen) – Optional Wenn mehrere übersetzte Ziele oder Mailserver verwendet werden, kann die Lastausgleichsmethode definiert werden. Round-robin
    Health Check, Port 25

    Beispiel für DNAT-Regel unten

  3. Wählen Sie Speichern , sobald die Informationen bestätigt wurden.

Erstellt eine Firewallregel

Als Nächstes muss eine Firewall-Regel erstellt werden, um sicherzustellen, dass nur E-Mails von Sophos Email von der Firewall akzeptiert werden. Navigieren Sie zu Regeln und Richtlinien > Firewall-Regeln > Firewall -Regel hinzufügen > neue Firewall-Regel.

  1. Geben Sie die Details wie folgt ein. Die folgende Empfehlung kann jedoch an Ihre Umgebung angepasst werden. Alles, was nicht in der Tabelle aufgeführt ist, ist nicht erforderlich oder kann als Standard festgelegt werden.

    Einstellung Details Beispiel
    Regelstatus Aus – vor dem Aktualisieren von MX-Datensätzen in den letzten Schritten kann diese Regel aktiviert werden Aus
    Regelname Geben Sie einen Namen für Administrationszwecke an Eingehende Sophos Email
    Position der Regel Zur Vermeidung von Konflikten wird empfohlen, die Position oben zu positionieren Oben
    Quellzonen Alle der Firewall-Schnittstellen zugewiesenen Zonen, von denen aus eingehende E-Mails angenommen werden, wahrscheinlich WAN WAN
    Quellnetzwerke und -geräte Melden Sie sich bei central.sophos.com an und navigieren Sie zu E-Mail-Sicherheit > Einstellungen > Domäneneinstellungen/-Status > externe Abhängigkeiten konfigurieren. *
    Geben Sie alle Netzwerke und IPs unter den Sophos Delivery IPs ein    		 Zentralkonto US-West-2:
    52.41.236.76
    50.112.39.248
    198.154.181.128/26
    Zielzonen Die Zone, in der sich der interne Mailserver befindet, entspricht dem übersetzten Ziel aus der zuvor erstellten NAT-Regel Interner Mail-Server befindet sich in der DMZ-Zone: DMZ
    Zielnetzwerk Die Zielschnittstelle Sophos Email sendet eingehende E-Mails an, genau wie das „ursprüngliche Ziel“ in der NAT-Regel #PortB
    Dienstleistungsgewerbe Rovide die Listening Ports (Services), die der Sophos Firewall eingehende E-Mails von Sophos Email akzeptiert. In diesem Beispiel horcht der WAN-Port auf Port 1234. TCP port 1234

    Eine Beispiel-Firewall-Regel ist unten aufgeführt.