E-Mail-Schutz im MTA-Modus konfigurieren
Sie können die Einstellungen so konfigurieren, dass E-Mails im MTA-Modus weitergeleitet und geschützt werden.
E-Mail-Server im MTA-Modus schützen: Netzwerkdiagramm
Im MTA-Modus leitet die Sophos Firewall E-Mails zwischen Ihren Mailservern und dem Internet weiter. Wenn Sie den MTA-Modus aktivieren, wird automatisch eine Firewall-Regel erstellt, die SMTP/SMTPS-Verkehr zulässt. Wir empfehlen, diese Regel ganz oben in der Firewall-Regeltabelle zu platzieren.
Der MX-Eintrag des Mailservers muss auf die WAN-Schnittstelle der Sophos Firewall verweisen.
In diesem Beispiel gehen wir wie folgt vor:
- Erzwingen Sie TLS und andere Sicherheitseinstellungen für eingehende und ausgehende E-Mails.
- Fügen Sie eine Adressgruppe hinzu.
- Erlauben und schützen Sie eingehende E-Mails.
- Ausgehende E-Mails zulassen.
Konfigurieren der SMTP-Sicherheitseinstellungen
Konfigurieren Sie die SMTP- und TLS-Einstellungen.
-
Gehe zu E-Mail > Allgemeine Einstellungen und klicken Sie auf Wechseln Sie in den MTA-Modus.
Notiz
Wenn Sie den MTA-Modus aktivieren, wird automatisch eine Firewall-Regel erstellt, die SMTP/SMTPS-Verkehr zulässt. Wir empfehlen, diese Regel oben in der Firewall-Regeltabelle zu belassen. Sie können diese Regel entsprechend Ihren Netzwerkanforderungen bearbeiten. Wenn Sie in den Legacy-Modus und zurück in den MTA-Modus wechseln, wird die Firewall-Regel neu erstellt.
-
Unter SMTP-Einstellungen, für SMTP-HostnameGeben Sie Ihren Domänennamen ein (Beispiel: organisation.com). Geben Sie nicht den Hostnamen Ihres Mailservers ein.
Die Firewall verwendet den SMTP-Hostnamen in HELO- und SMTP-Bannerzeichenfolgen.
Notiz
Der SMTP-Hostname gilt nur für systemgenerierte Benachrichtigungs-E-Mails.
-
Wählen Ablehnung aufgrund der IP-Reputation.
-
Gehe zu Zertifikate > Zertifikate > Zertifikat hochladen und laden Sie das Zertifikat Ihres Mailservers hoch.
Tipp
Wir empfehlen Ihnen, ein von einer öffentlichen Zertifizierungsstelle signiertes Zertifikat zu verwenden, um sicherzustellen, dass Remote-Mailserver das Zertifikat akzeptieren.
-
Gehe zu SMTP-TLS-Konfiguration, für TLS-Zertifikat, und wählen Sie Ihr Mailserver-Zertifikat aus.
-
Unter Erweiterte SMTP-Einstellungen, wählen Ausgehende E-Mails scannen.
-
Klicken Anwenden.
Hinzufügen einer Adressgruppe
Erstellen Sie eine Adressgruppe für die E-Mail-Domäne Ihrer Organisation.
- Gehe zu E-Mail > Adressgruppe und klicken Sie auf Hinzufügen.
- Überprüfen Sie, ob Gruppentyp ist eingestellt auf E-Mail-Adresse/Domäne.
- Überprüfen Sie, ob Typ ist eingestellt auf Handbuch.
-
Für E-Mail-Adresse/Domäne, geben Sie Ihre E-Mail-Domäne ein und klicken Sie auf die Schaltfläche Hinzufügen. Hier verwenden wir
example.com
.Hier ist ein Beispiel:
-
Klicken Speichern.
Zulassen und Schützen eingehender E-Mails
Sie konfigurieren die Sophos Firewall so, dass eingehende E-Mails an die E-Mail-Domäne zugelassen werden @example.com
.
Sie erlauben der Sophos Firewall, SMTP-Verkehr weiterzuleiten. Sie erstellen eine SMTP-Route und eine Scan-Richtlinie, um E-Mails an die internen Mailserver weiterzuleiten. In diesem Beispiel werden Mailserver mit statischen IP-Adressen in der DMZ verwendet. Sie legen außerdem die grundlegenden Sicherheitseinstellungen fest.
- Gehe zu E-Mail > Richtlinien und Ausnahmen und klicken Sie auf Hinzufügen einer RichtlinieKlicken Sie auf SMTP-Route und -Scan.
- Unter Geschützte DomäneWählen Sie die von Ihnen konfigurierte Adressgruppe aus.
- Satz Route von Zu Statischer Host.
-
Unter Hostliste, wählen Sie die von Ihnen konfigurierten Mailserver aus.
Sie können IP-Hosts für Mailserver konfigurieren auf Gastgeber und Dienste > IP-Host.
Hier ist ein Beispiel für die Auswahl der geschützten Domänen und Mailserver:
-
Einschalten Spamschutz.
-
Einschalten Malware-Schutz
-
Klicken Speichern.
- Gehe zu Verwaltung > Gerätezugriff.
-
Unter SMTP-RelayWählen Sie WAN aus, um Mail-Relay für eingehende E-Mails zuzulassen.
-
Klicken Anwenden.
Ausgehende E-Mails zulassen
Aktivieren Sie das SMTP-Relay für die DMZ-Zone und legen Sie die Relay-Einstellungen für die Mailserver fest. Die Sophos Firewall leitet dann ausgehende E-Mails von Ihren Mailservern an das Internet weiter.
- Gehe zu Verwaltung > Gerätezugriff.
-
Unter SMTP-Relay, wählen DMZ.
-
Gehe zu E-Mail, bewegen Sie den Mauszeiger über die Schaltfläche „Mehr“ und klicken Sie auf Relaiseinstellungen.
-
Gehe zu Hostbasiertes Relay.
-
Unter Relay von Hosts/Netzwerken zulassen, wählen Sie die Mailserver aus.
Hier ist ein Beispiel:
-
Klicken Anwenden.
Weitere Ressourcen