Allgemeine Einstellungen
Konfigurieren Sie allgemeine Einstellungen für E-Mail-Routing und Mailserver im MTA-Modus.
SMTP-Bereitstellungsmodus
Standardmäßig befindet sich die Firewall im MTA-Modus. Wenn Ihre Firewall im Legacy-Modus ist, klicken Sie auf Wechseln Sie in den MTA-Modus.
Outbound-Banner-Einstellungen
Sie können ausgehenden E-Mails ein Banner hinzufügen. Outbound-Banner-Einstellungen haben die folgenden Einstellungen:
E-Mail-Banner-Modus: Die Methode zum Hinzufügen eines Banners zu ausgehenden E-Mails.
Folgende Optionen stehen zur Verfügung:
- Inline, keine Konvertierung: Hängen Sie das Banner inline für alle ausgehenden Nachrichten an.
- MIME-Teil: Hängen Sie das Banner als separaten MIME-Teil für alle ausgehenden Nachrichten an.
- Aus: Kein Banner für ausgehende Nachrichten anhängen.
Notiz
Um ein Banner hinzuzufügen, müssen Sie in den Firewall-Regeln SMTP- und SMTPS-Scans auswählen.
E-Mail-Banner: Text, der ausgehenden E-Mails hinzugefügt wird.
Sie können nur Textbanner hinzufügen.
Beispiel
This email contains confidential information. You aren't authorized to copy the contents without the sender's consent. Print this email only if it's necessary. Spread environmental awareness.
Wenn Sie ausgehenden E-Mails ein Banner hinzufügen, ändert sich der E-Mail-Text. Durch die Änderung wird der DKIM-Hash zerstört, was zu einem DKIM-Verifizierungsfehler beim MTA des Empfängers führt.
SMTP-Einstellungen
SMTP-Hostname: SMTP-Hostname, der in HELO- und SMTP-Banner-Strings verwendet wird. Standard-Hostname: SMTP.
Notiz
Gilt nur für systemgenerierte Benachrichtigungs-E-Mails.
Scannen Sie keine E-Mails, die größer sind als: Maximale Dateigröße (KB) für den Scan. Über SMTP/S empfangene Dateien, die diese Größe überschreiten, werden nicht gescannt. 0 setzt die Dateigrößenbeschränkung auf 51.200 KB.
Maßnahmen bei übergroßen E-Mails: Aktion für E-Mails, die die angegebene Größe überschreiten.
| Name | Beschreibung |
|---|---|
| Akzeptieren | Leitet die Nachricht ohne Scannen an den Empfänger weiter. |
| Ablehnen | Lehnt die E-Mail ab und benachrichtigt den Absender. |
| Fallen | Verwirft die E-Mail, ohne den Absender zu benachrichtigen. |
Ablehnung aufgrund der IP-Reputation: E-Mails mit schlechter Absender-IP-Reputation ablehnen.
Notiz
Die Sophos Firewall prüft die IP-Reputation des Absenders vor den in der SMTP-Richtlinie festgelegten Spam-Prüfungen.
SMTP-DoS-Einstellungen: Schützen Sie das Netzwerk vor SMTP-Denial-of-Service-Angriffen. Geben Sie die folgenden Einstellungen an:
| Einstellungen | Beschreibung | Akzeptabler Bereich |
|---|---|---|
| Maximale Verbindungen | Verbindungen mit dem Mailserver. Wird automatisch auf einen Maximalwert basierend auf RAM und Prozessorkapazität eingestellt. | |
| Maximale Verbindungen/Host | Verbindungen von einem Host zum Mailserver. Wird automatisch auf einen Maximalwert basierend auf RAM und Prozessorkapazität eingestellt. | |
| Maximale E-Mails/Verbindung | E-Mails, die über eine Verbindung gesendet werden können. | 1 bis 1000 |
| Maximale Empfänger/E-Mail | Empfänger einer einzelnen E-Mail. | 1 bis 512 |
| E-Mail-Rate | E-Mails von einem Host in einer Minute. | 1 bis 1000 |
| Verbindungsrate | Verbindungen von einem Host zum Mailserver in einer Sekunde. | 1 bis 100 |
Notiz
Die Sophos Firewall migriert die angegebenen Werte für E-Mail- und Verbindungsrate, sofern sie im zulässigen Bereich liegen. Überschreiten die Werte den Höchstwert, werden sie automatisch auf den Standardwert zurückgesetzt.
POP/S- und IMAP/S-Einstellungen
Scannen Sie keine E-Mails, die größer sind als: Maximale E-Mail-Größe (in KB) für die Prüfung. Über POP/IMAP empfangene E-Mails, die diese Größe überschreiten, werden nicht geprüft. 0 setzt die Größenbeschränkung auf 10.240 KB.
Empfängerheader: Header-Werte werden gescannt, um die in den POP/IMAP-Richtlinien angegebenen Empfänger zu erkennen. Standard: Delivered-To, Received, X-RCPT-TO
Häfen
Die Sophos Firewall verwendet die folgenden Standardports für E-Mails:
- SMTP: Port 25
- SMTPS: Port 465
- POP3: Verbindung mit STARTTLS-Erweiterung auf Port 110 auf SSL/TLS aktualisiert
- POP3S: SSL/TLS über POP3 auf Port 995
- IMAP: Verbindung mit STARTTLS-Erweiterung auf Port 143 auf SSL/TLS aktualisiert
- IMAPS: SSL/TLS über POP3 auf Port 993
STARTTLS rüstet ungesicherte POP3/IMAP-Verbindungen auf SSL/TLS-Sitzungen auf demselben Port auf.
Notiz
Sie können die E-Mail-Überprüfung auch für andere Ports als die Standardports 25, 587 und 465 konfigurieren.
SMTP-TLS-Konfiguration
Geben Sie die Einstellungen zum Sichern des SMTP-Verkehrs an.
Warnung
Die Firewall stellt eine TLS-Verbindung über die IP-Adresse der Domäne statt über den Domänennamen her. Bei mehreren Domänen mit derselben IP-Adresse schlägt die Zertifikatsvalidierung fehl. In diesem Fall empfehlen wir die Verwendung von Sophos Email Security. Siehe Sophos E-Mail-Sicherheit.
TLS-Zertifikat: CA-Zertifikat oder Serverzertifikat zum Scannen des SMTP-Verkehrs über SSL.
Ungültiges Zertifikat zulassen: Wählen Sie diese Option, um SMTP-Verkehr über SSL-Verbindungen mit einem ungültigen Zertifikat vom Mailserver zuzulassen. Um solche Verbindungen abzulehnen, deaktivieren Sie das Kontrollkästchen.
Deaktivieren älterer TLS-Protokolle: Wählen Sie diese Option, um Protokolle vor TLS 1.1 zu deaktivieren.
Notiz
Um TLS-Schwachstellen zu minimieren, empfehlen wir Ihnen, ältere TLS-Protokolle zu deaktivieren.
TLS-Aushandlung erforderlich: Wählen Sie Remote-Hosts (Mailserver) oder Netzwerke aus, deren Verbindungen TLS-verschlüsselt werden sollen. Die Sophos Firewall stellt TLS-gesicherte Verbindungen für E-Mails her, die an die ausgewählten Hosts oder Netzwerke gesendet werden. Sie können bis zu 512 Host-Einträge angeben.
Notiz
Wenn TLS erzwungen wird, aber keine Verbindung hergestellt werden kann, verwirft die Sophos Firewall E-Mails an den angegebenen Remote-Host oder das angegebene Remote-Netzwerk.
Absender-E-Mail-Domänen erforderlich: Geben Sie die Absenderdomäne an, um die TLS-Verschlüsselung für E-Mail-Verbindungen zu erzwingen. Sie können bis zu 512 Host-Einträge angeben.
Notiz
Wenn TLS erzwungen wird, aber keine Verbindung hergestellt werden kann, verwirft die Sophos Firewall E-Mails von diesen Absenderdomänen.
TLS-Aushandlung überspringen: Wählen Sie die Remote-Hosts (Mailserver) oder Netzwerke aus, deren Verbindungen ohne TLS-Verschlüsselung erfolgen sollen. Die Sophos Firewall stellt unverschlüsselte SMTP-Verbindungen zu diesen Hosts her. Sie können bis zu 512 Host-Einträge angeben.
POP- und IMAP-TLS-Konfiguration
Geben Sie die Einstellungen zum Sichern des POP/IMAP-Verkehrs an.
TLS-Zertifikat: CA-Zertifikat zum Scannen von POP- und IMAP-Verkehr über SSL.
Ungültiges Zertifikat zulassen: Wählen Sie diese Option, um POP- und IMAP-Verkehr über SSL-Verbindungen mit einem ungültigen Zertifikat vom Mailserver zuzulassen. Um solche Verbindungen abzulehnen, deaktivieren Sie das Kontrollkästchen.
Deaktivieren älterer TLS-Protokolle: Wählen Sie diese Option, um Protokolle vor TLS 1.1 zu deaktivieren.
Notiz
Um TLS-Schwachstellen zu minimieren, empfehlen wir Ihnen, ältere TLS-Protokolle zu deaktivieren.
Blockierte Absender
Geben Sie die zu blockierenden E-Mail-Adressen ein.
Notiz
Sie können nur eingehende E-Mails blockieren.
Malware-Schutz
Die Sophos Firewall bietet Scans durch zwei Antiviren-Engines.
Primäre Antiviren-Engine
Wählen Sie aus den folgenden Optionen die primäre Antiviren-Engine zum Scannen des Datenverkehrs aus:
- Sophos
- Avira. Wenn Sie diese Option auswählen, deaktiviert die Sophos Firewall den Zero-Day-Schutz in SMTP-Richtlinien mit einem einzelnen Antivirenscan.
Notiz
Wenn Sie in der SMTP-Richtlinie die duale Antivirus-Funktion ausgewählt haben, scannt zuerst die primäre Engine den Datenverkehr, dann die sekundäre Engine. Wenn Sie die einfache Antivirus-Funktion ausgewählt haben, scannt nur die primäre Engine den Datenverkehr.
Smarthost-Einstellungen
Smarthost ist ein MTA, der als Zwischenserver zwischen den Mailservern von Absender und Empfänger fungiert. Wählen Sie Smarthost-Einstellungen, um ausgehende E-Mails über den angegebenen Server zu leiten.
Hostname: Wählen Sie den Smarthost aus.
Notiz
Geben Sie für den Smarthost nicht die Schnittstellen-IP-Adresse der Sophos Firewall an. Dies führt zu einer Routing-Schleife.
Hafen: Geben Sie die Portnummer ein. Standard: 25
Authentifizieren des Geräts mit Smarthost: Wählen Sie diese Option, wenn die Sophos Firewall den Smarthost vor dem Weiterleiten von E-Mails authentifizieren soll. Geben Sie die Anmeldedaten ein.
Notiz
Sophos Firewall unterstützt die Authentifizierungsprotokolle PLAIN und LOGIN.
DKIM-Verifizierung
Mit DKIM können Sie den Quelldomänennamen und die Nachrichtenintegrität durch kryptografische Authentifizierung validieren und so E-Mail-Spoofing verhindern. Sie können die DKIM-Verifizierung auf eingehende E-Mails anwenden.
Wenn Sie die DKIM-Verifizierung aktivieren, sucht die Sophos Firewall nach dem öffentlichen Schlüssel im TXT-Eintrag der sendenden Domäne, um die DKIM-Signatur zu verifizieren.
| Einstellungen | Beschreibung |
|---|---|
| DKIM-Verifizierung fehlgeschlagen | Es gab eine Nichtübereinstimmung des Body-Hashes mit der Signatur, was auf eine Änderung des E-Mail-Textes während der Übertragung hindeutet. Alternativ konnte die Sophos Firewall die Signatur nicht verifizieren, was auf eine gefälschte Signatur oder Header-Änderung hindeutet. |
| Ungültige DKIM-Signatur | Die Sophos Firewall konnte den öffentlichen Schlüssel der sendenden Domäne im TXT-Eintrag nicht finden oder hat eine ungültige Syntax für den öffentlichen Schlüssel festgestellt. |
| Keine DKIM-Signatur gefunden | Die E-Mail hat keine DKIM-Signatur für diese Domäne. |
Notiz
Die Sophos Firewall stellt DKIM-signierte E-Mails unter Quarantäne, die RSA SHA-1 verwenden oder eine Schlüssellänge von weniger als 1024 oder mehr als 2048 Bit haben.
Wählen Sie die Aktion für das Überprüfungsergebnis aus:
- Akzeptieren: Weiterleitung an Empfänger
- Quarantäne: E-Mails unter Quarantäne stellen
- Ablehnen: Verwirft E-Mails
DKIM-Signierung
Die Sophos Firewall fügt den Headern ausgehender E-Mails eine digitale Signatur hinzu. Dabei wird der Domänenname, der Selektor und der von Ihnen angegebene private RSA-Schlüssel verwendet. Zielserver verwenden den öffentlichen Schlüssel in den TXT-Einträgen der Domäne, um die Signatur zu überprüfen, die Domäne zu validieren und sicherzustellen, dass die E-Mail während der Übertragung nicht verändert wurde.
Anweisungen zum Hinzufügen einer DKIM-Signatur finden Sie unter Fügen Sie eine DKIM-Signatur hinzu.
Erweiterte SMTP-Einstellungen
Ungültiges HELO oder fehlendes RDNS ablehnen: Wählen Sie diese Option aus, um E-Mails von Hosts abzulehnen, die ungültige HELO/EHLO-Argumente senden oder denen RDNS-Einträge fehlen.
Führen Sie strenge RDNS-Prüfungen durch: Wählen Sie diese Option, um E-Mails von Hosts mit ungültigen RDNS-Einträgen abzulehnen.
Notiz
Ein RDNS-Eintrag ist ungültig, wenn der Hostname nicht zurück zur Quell-IP-Adresse aufgelöst werden kann.
Ausgehende E-Mails scannen: Wählen Sie diese Option, um ausgehende E-Mails zu scannen. Spam und mit Malware infizierte E-Mails werden unter Quarantäne gestellt.
Leiten Sie eingehende E-Mails über das Gateway weiter: Wählen Sie diese Option aus, um eingehende E-Mails (von externen und internen Absendern) gemäß der ursprünglichen Firewall-Regel an Ihre Mailserver weiterzuleiten. Standardmäßig leitet die Sophos Firewall nur ausgehende E-Mails weiter.
Verwenden Sie die Einstellung in diesen Fällen:
- Um eingehende E-Mails an Mailserver (vor Ort oder gehostet) in der WAN-Zone weiterzuleiten.
- Zum Anwenden der ursprünglichen Firewall-Regeleinstellungen beim Weiterleiten eingehender E-Mails an Mailserver im LAN oder in der DMZ.
- Um Ihre IP-Reputation bei der Lastverteilung des Datenverkehrs zwischen ISP-Links aufrechtzuerhalten, wendet die Sophos Firewall die in der ursprünglichen Firewall-Regel angegebenen Gateway-Einstellungen an.
BATV-Geheimnis: Geben Sie einen geheimen Schlüssel für die Bounce Address Tag Validation (BATV) ein. Wenn Sie mehrere MX-Einträge für Ihre Domänen haben, können Sie für alle Systeme denselben BATV-Schlüssel angeben.
Die Sophos Firewall generiert die BATV-Signatur anhand dieses Geheimnisses, des Zeitstempels und der E-Mail-Adresse des Absenders. In ausgehenden E-Mails ersetzt sie die Absenderadresse durch die Signatur. So lassen sich zurückgewiesene E-Mails mit gefälschten Absenderadressen identifizieren.
Signaturformat: prvs=<tagvalue>=<sender's email address>
Sobald Sie das Geheimnis eingegeben haben, können Sie die BATV-Prüfung in den SMTP-Routen- und Scan-Richtlinien anwenden.
Weitere Ressourcen