Allgemeine Einstellungen
Konfigurieren Sie die allgemeinen Einstellungen für E-Mail-Routing und Mailserver im MTA-Modus.
SMTP-Bereitstellungsmodus
Die Firewall befindet sich standardmäßig im MTA-Modus. Wenn Ihre Firewall im Legacy-Modus ist, klicken Sie hier. In den MTA-Modus wechseln.
Einstellungen für ausgehende Banner
Sie können ausgehenden E-Mails ein Banner hinzufügen. Einstellungen für ausgehende Banner haben folgende Einstellungen:
E-Mail-Banner-Modus: Die Methode zum Hinzufügen eines Banners zu ausgehenden E-Mails.
Folgende Optionen stehen zur Verfügung:
- Inline, keine Konvertierung: Füge das Banner in alle ausgehenden Nachrichten ein.
- MIME-Teil: Füge das Banner als separaten MIME-Teil für alle ausgehenden Nachrichten hinzu.
- Aus: Fügen Sie ausgehenden Nachrichten kein Banner hinzu.
Notiz
Um ein Banner hinzuzufügen, müssen Sie in den Firewall-Regeln die SMTP- und SMTPS-Überprüfung auswählen.
E-Mail-Banner: Text, der ausgehenden E-Mails hinzugefügt wurde.
Sie können nur Textbanner hinzufügen.
Beispiel
This email contains confidential information. You aren't authorized to copy the contents without the sender's consent. Print this email only if it's necessary. Spread environmental awareness. Wenn Sie ausgehenden E-Mails ein Banner hinzufügen, wird der E-Mail-Text verändert. Diese Änderung führt zu einem Fehler im DKIM-Hash, wodurch die DKIM-Verifizierung beim empfangenden Mailserver fehlschlägt.
SMTP-Einstellungen
SMTP-Hostname: SMTP-Hostname, der in HELO- und SMTP-Banner-Strings verwendet wird. Standard-Hostname: SMTP.
Notiz
Gilt nur für systemgenerierte Benachrichtigungs-E-Mails.
Scannen Sie keine E-Mails, die größer als: Maximale Dateigröße (KB) für den Scan. Über SMTP/S empfangene Dateien, die diese Größe überschreiten, werden nicht gescannt. 0 Die maximale Dateigröße beträgt 51.200 KB.
Maßnahmen gegen übergroße E-Mails: Maßnahmen für E-Mails, die die angegebene Größe überschreiten.
| Einstellung | Beschreibung |
|---|---|
| Akzeptieren | Wird ohne Scan an den Empfänger weitergeleitet. |
| Ablehnen | Lehnt die E-Mail ab und benachrichtigt den Absender. |
| Fallen | Verwirft die E-Mail, ohne den Absender zu benachrichtigen. |
Ablehnung aufgrund der IP-Reputation: E-Mails mit schlechter Absender-IP-Reputation ablehnen.
Notiz
Die Sophos Firewall prüft die IP-Reputation des Absenders, bevor die in der SMTP-Richtlinie festgelegten Spam-Prüfungen durchgeführt werden.
SMTP-DoS-Einstellungen: Schützen Sie das Netzwerk vor SMTP-Denial-of-Service-Angriffen. Geben Sie die folgenden Einstellungen an:
| Einstellung | Beschreibung | Standard | Akzeptabler Bereich |
|---|---|---|---|
| Maximale Verbindungen | Verbindungen zum Mailserver. Wird automatisch auf einen Maximalwert basierend auf RAM- und Prozessorleistung eingestellt. | ||
| Maximale Verbindungen pro Host | Verbindungen vom Host zum Mailserver. Automatische Festlegung auf einen Maximalwert basierend auf RAM- und Prozessorleistung. | ||
| Maximale Anzahl E-Mails pro Verbindung | E-Mails, die über eine Verbindung versendet werden können. | 1000 | 1 bis 1000 |
| Maximale Empfänger pro E-Mail | Empfänger einer einzelnen E-Mail. | 100 | 1 bis 512 |
| E-Mails bewerten | E-Mails vom Gastgeber in einer Minute. | 1000 | 1 bis 1000 |
| Verbindungsrate | Verbindungen vom Host zum Mailserver in einer Sekunde. | 100 | 1 bis 100 |
Notiz
Die Sophos Firewall migriert die angegebenen Werte für E-Mail- und Verbindungsrate, sofern diese im zulässigen Bereich liegen. Überschreiten die Werte den Maximalwert, werden sie automatisch auf den Standardwert zurückgesetzt.
POP/S- und IMAP/S-Einstellungen
Scannen Sie keine E-Mails, die größer als: Maximale E-Mail-Größe (in KB) für den Scan. Per POP/IMAP empfangene E-Mails, die diese Größe überschreiten, werden nicht gescannt. 0 Die maximale Dateigröße wird auf 10.240 KB festgelegt.
Empfänger-Header: Die Headerwerte werden gescannt, um die in POP/IMAP-Richtlinien angegebenen Empfänger zu ermitteln. Standard: Delivered-To, Received, X-RCPT-TO
Häfen
Die Sophos Firewall verwendet für E-Mails die folgenden Standardports:
- SMTP: Port 25
- SMTPS: Port 465
- POP3: Verbindung auf SSL/TLS mit der STARTTLS-Erweiterung auf Port 110 aktualisiert
- POP3S: SSL/TLS über POP3 auf Port 995
- IMAP: Die Verbindung wurde mithilfe der STARTTLS-Erweiterung auf Port 143 auf SSL/TLS aktualisiert.
- IMAPS: SSL/TLS über POP3 auf Port 993
STARTTLS wertet ungesicherte POP3/IMAP-Verbindungen auf SSL/TLS-Sitzungen auf demselben Port auf.
Notiz
Sie können die E-Mail-Prüfung auch für andere Ports als die Standardports 25, 587 und 465 konfigurieren.
SMTP-TLS-Konfiguration
Legen Sie die Einstellungen zur Sicherung des SMTP-Datenverkehrs fest.
Warnung
Die Firewall stellt eine TLS-Verbindung über die IP-Adresse der Domain anstelle des Domainnamens her. Wenn Sie mehrere Domains mit derselben IP-Adresse verwenden, schlägt die Zertifikatsvalidierung fehl. In diesem Fall empfehlen wir die Verwendung von Sophos Email Security. Siehe Sophos E-Mail-Sicherheit.
TLS-Zertifikat: CA-Zertifikat oder Serverzertifikat zum Scannen des SMTP-Verkehrs über SSL.
Ungültiges Zertifikat zulassen: Aktivieren Sie diese Option, um SMTP-Verkehr über SSL-Verbindungen mit einem ungültigen Zertifikat vom Mailserver zuzulassen. Um solche Verbindungen abzulehnen, deaktivieren Sie das Kontrollkästchen.
Deaktivierung veralteter TLS-Protokolle: Wählen Sie diese Option, um Protokolle vor TLS 1.1 zu deaktivieren.
Notiz
Um TLS-Sicherheitslücken zu minimieren, empfehlen wir Ihnen, veraltete TLS-Protokolle zu deaktivieren.
TLS-Aushandlung erforderlich: Wählen Sie Remote-Hosts (Mailserver) oder Netzwerke aus, für deren Verbindungen die TLS-Verschlüsselung erzwungen werden soll. Die Sophos Firewall stellt dann TLS-gesicherte Verbindungen für E-Mails her, die an die ausgewählten Hosts oder Netzwerke gesendet werden. Sie können bis zu 512 Host-Einträge angeben.
Notiz
Wenn TLS erzwungen wird, aber keine Verbindung hergestellt werden kann, verwirft die Sophos Firewall E-Mails an den angegebenen Remote-Host oder das Netzwerk.
Absender-E-Mail-Domänen erforderlich: Geben Sie die Absenderdomäne an, um die TLS-Verschlüsselung für E-Mail-Verbindungen zu erzwingen. Sie können bis zu 512 Hosteinträge angeben.
Notiz
Wenn TLS erzwungen wird, aber keine Verbindung hergestellt werden kann, verwirft die Sophos Firewall E-Mails von diesen Absenderdomänen.
TLS-Aushandlung überspringen: Wählen Sie die Remote-Hosts (Mailserver) oder Netzwerke aus, deren Verbindungen nicht über TLS verschlüsselt werden sollen. Die Sophos Firewall stellt dann unverschlüsselte SMTP-Verbindungen zu diesen Hosts her. Sie können bis zu 512 Host-Einträge angeben.
POP- und IMAP-TLS-Konfiguration
Legen Sie die Einstellungen fest, um den POP/IMAP-Datenverkehr zu sichern.
TLS-Zertifikat: CA-Zertifikat zum Scannen von POP- und IMAP-Datenverkehr über SSL.
Ungültiges Zertifikat zulassen: Aktivieren Sie diese Option, um POP- und IMAP-Verkehr über SSL-Verbindungen mit einem ungültigen Zertifikat des Mailservers zuzulassen. Um solche Verbindungen abzulehnen, deaktivieren Sie das Kontrollkästchen.
Deaktivierung veralteter TLS-Protokolle: Wählen Sie diese Option, um Protokolle vor TLS 1.1 zu deaktivieren.
Notiz
Um TLS-Sicherheitslücken zu minimieren, empfehlen wir Ihnen, veraltete TLS-Protokolle zu deaktivieren.
Blockierte Absender
Geben Sie die E-Mail-Adressen ein, die blockiert werden sollen.
Notiz
Sie können nur eingehende E-Mails blockieren.
Malware-Schutz
Die Sophos Firewall bietet Scans mit zwei Antiviren-Engines.
Primäre Antiviren-Engine
Wählen Sie aus den folgenden Optionen die primäre Antiviren-Engine aus, die den Datenverkehr scannen soll:
- Sophos
- Avira. Wenn Sie diese Option auswählen, deaktiviert die Sophos Firewall den Zero-Day-Schutz in den SMTP-Richtlinien bei einem einzelnen Virenscan.
Notiz
Wenn Sie in der SMTP-Richtlinie die Option „Dualer Virenschutz“ ausgewählt haben, scannt zuerst die primäre Engine den Datenverkehr, anschließend die sekundäre Engine. Bei der Option „Einfacher Virenschutz“ scannt hingegen nur die primäre Engine den Datenverkehr.
Smarthost-Einstellungen
Ein Smarthost ist ein Mail Transfer Agent (MTA), der als Zwischenserver zwischen den Mailservern von Absender und Empfänger fungiert. Wählen Sie die Smarthost-Einstellungen, um ausgehende E-Mails über den angegebenen Server zu leiten.
Hostname: Wählen Sie den Smarthost aus.
Notiz
Geben Sie für den Smarthost nicht die Schnittstellen-IP-Adresse der Sophos-Firewall an. Dies würde eine Routing-Schleife verursachen.
Hafen: Geben Sie die Portnummer ein. Standard: 25
Gerät beim Smarthost authentifizieren: Wählen Sie diese Option, wenn die Sophos Firewall den Smarthost vor dem Weiterleiten von E-Mails authentifizieren soll. Geben Sie die Anmeldeinformationen ein.
Notiz
Die Sophos Firewall unterstützt die Authentifizierungsprotokolle PLAIN und LOGIN.
DKIM-Verifizierung
Mit DKIM können Sie den Quelldomainnamen und die Integrität der Nachricht durch kryptografische Authentifizierung überprüfen und so E-Mail-Spoofing verhindern. Sie können die DKIM-Verifizierung auf eingehende E-Mails anwenden.
Wenn Sie die DKIM-Verifizierung aktivieren, sucht die Sophos Firewall den öffentlichen Schlüssel im TXT-Eintrag der sendenden Domäne, um die DKIM-Signatur zu überprüfen.
| Einstellungen | Beschreibung |
|---|---|
| DKIM-Verifizierung fehlgeschlagen | Es gab eine Diskrepanz zwischen dem Hashwert des E-Mail-Textes und der Signatur, was auf eine Manipulation des E-Mail-Textes während der Übertragung hindeutet. Alternativ konnte die Sophos Firewall die Signatur nicht verifizieren, was auf eine gefälschte Signatur oder eine Manipulation des E-Mail-Headers schließen lässt. |
| Ungültige DKIM-Signatur | Die Sophos Firewall konnte den öffentlichen Schlüssel der sendenden Domain im TXT-Eintrag nicht finden oder hat eine ungültige Syntax für den öffentlichen Schlüssel festgestellt. |
| Keine DKIM-Signatur gefunden | Die E-Mail verfügt über keine DKIM-Signatur für diese Domain. |
Notiz
Die Sophos Firewall stellt DKIM-signierte E-Mails unter Quarantäne, die RSA SHA-1 verwenden oder deren Schlüssellänge außerhalb des Bereichs von 1024 bis 4096 Bit liegt.
Wählen Sie die Aktion für das Verifizierungsergebnis aus:
- Akzeptieren: Weitergeleitet an den Empfänger
- Quarantäne: Quarantäne-E-Mails
- Ablehnen: Verwirft E-Mails
DKIM-Vertrag
Die Sophos Firewall fügt ausgehenden E-Mails eine digitale Signatur hinzu. Diese Signatur verwendet den Domänennamen, den Selektor und den von Ihnen angegebenen privaten RSA-Schlüssel. Zielserver nutzen den öffentlichen Schlüssel in den TXT-Einträgen der Domäne, um die Signatur zu überprüfen, die Domäne zu validieren und sicherzustellen, dass die E-Mail während der Übertragung nicht verändert wurde.
Anweisungen zum Hinzufügen einer DKIM-Signatur finden Sie hier: Fügen Sie eine DKIM-Signatur hinzu..
Erweiterte SMTP-Einstellungen
Ungültige HELO- oder fehlende RDNS-Informationen ablehnen: Wählen Sie diese Option, um E-Mails von Hosts abzulehnen, die ungültige HELO/EHLO-Argumente senden oder keine RDNS-Einträge besitzen.
Führen Sie strenge RDNS-Prüfungen durch.: Wählen Sie diese Option, um E-Mails von Hosts mit ungültigen RDNS-Einträgen abzulehnen.
Notiz
Ein RDNS-Eintrag ist ungültig, wenn der Hostname nicht zur Quell-IP-Adresse aufgelöst werden kann.
Ausgehende E-Mails scannen: Wählen Sie diese Option, um ausgehende E-Mails zu scannen. Spam- und mit Malware infizierte E-Mails werden in Quarantäne verschoben.
Leiten Sie eingehende E-Mails über das Gateway weiter.: Wählen Sie diese Option, um die ursprüngliche Firewall-Regel für die Weiterleitung eingehender E-Mails (von externen und internen Absendern) an Ihre Mailserver zu verwenden. Standardmäßig leitet die Sophos Firewall nur ausgehende E-Mails weiter.
Verwenden Sie diese Einstellung in folgenden Fällen:
- Um eingehende E-Mails an Mailserver (lokal oder gehostet) in der WAN-Zone weiterzuleiten.
- Um die ursprünglichen Firewall-Regeleinstellungen beim Weiterleiten eingehender E-Mails an Mailserver im LAN oder in der DMZ anzuwenden.
- Um Ihre IP-Reputation beim Lastausgleich des Datenverkehrs zwischen den ISP-Verbindungen aufrechtzuerhalten, wendet die Sophos Firewall die in der ursprünglichen Firewall-Regel festgelegten Gateway-Einstellungen an.
BATV-Geheimnis: Geben Sie ein Geheimnis für die Bounce Address Tag Validation (BATV) ein. Wenn Sie mehrere MX-Einträge für Ihre Domains haben, können Sie für alle Systeme dasselbe BATV-Geheimnis angeben.
Die Sophos Firewall generiert die BATV-Signatur mithilfe dieses Geheimnisses, des Zeitstempels und der Absender-E-Mail-Adresse. Sie ersetzt die Absenderadresse im E-Mail-Umschlag durch die Signatur und kann so unzustellbare E-Mails mit gefälschten Absenderadressen erkennen.
Signaturformat: prvs=<tagvalue>=<sender's email address>
Sobald Sie das Geheimnis eingegeben haben, können Sie die BATV-Prüfung in den SMTP-Routen- und Scanrichtlinien anwenden.
Weitere Ressourcen