Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=email-encrypt-outbound-emails

Ausgehende E-Mails im MTA-Modus verschlüsseln

Konfigurieren Sie die Sophos Firewall so, dass ausgehende E-Mails verschlüsselt werden, um vertrauliche Finanzdaten zu schützen.

Einführung

Dieses Beispiel zeigt, wie Sie E-Mails mit vertraulichen Daten verschlüsseln, die von Ihrem in der DMZ gehosteten Mailserver gesendet werden. Die Sophos Firewall befindet sich im MTA-Modus.

Wir zeigen die folgenden Beispieleinstellungen:

  • IP-Adressen und Zertifikat für die Mailserver. In diesem Beispiel werden statische Server verwendet. Bei Verwendung von MX-Einträgen muss der MX-Eintrag des Mailservers auf die WAN-Schnittstelle der Sophos-Firewall verweisen.
  • SMTP-Relay für die Mailserver.
  • SMTP-TLS-Einstellungen.
  • Datenkontrollliste zum Schutz von Finanzinformationen.
  • SPX-Verschlüsselungsvorlage.
  • E-Mail-Domäne als Adressgruppe.
  • SMTP-Routing- und Scanrichtlinie.

Wenn die Sophos Firewall geschützte Daten in E-Mails erkennt, sendet sie eine E-Mail an die Empfänger mit der Aufforderung, ein Passwort zu registrieren. Nach der Registrierung verschlüsselt die Sophos Firewall die E-Mail mit diesem Passwort und sendet sie anschließend an die Empfänger.

Mail servers network diagram.

Mailserver-Hosts und Zertifikat konfigurieren

Erstellen Sie IP-Hosts für die Mailserver. Laden Sie das Mailserver-Zertifikat hoch.

  1. Gehe zu Gastgeber und Dienstleistungen > IP-Host und klicken Hinzufügen.
  2. Geben Sie einen Namen ein.
  3. Satz Typ Zu IP.
  4. Geben Sie die IP-Adresse ein.

  5. Erstellen Sie einen weiteren IP-Host für den zweiten Server. Alternativ können Sie einen IP-Bereich oder eine IP-Liste verwenden, um einen einzelnen Host für alle Mailserver zu erstellen.

    Hier ist ein Beispiel, wie Sie eine IP-Adresse für den Mailserver erstellen:

    IP host for mail server.

  6. Gehe zu Zertifikate > Zertifikate und klicken Hinzufügen.

  7. Wählen Upload-Zertifikat.
  8. Geben Sie einen Namen ein.

  9. Laden Sie die Zertifikat Und Privater Schlüssel Dateien.

    Hier ein Beispiel:

    Upload the mail server certificate.

Ausgehende E-Mails zulassen

Aktivieren Sie das SMTP-Relay für die DMZ-Zone und legen Sie die Relay-Einstellungen für die Mailserver fest. Die Sophos Firewall leitet dann ausgehende E-Mails von Ihren Mailservern ins Internet weiter.

  1. Gehe zu Verwaltung > Gerätezugriff.

  2. Unter SMTP-Relay, DMZ auswählen.

    Allow SMTP relay.

  3. Gehe zu E-Mail: Bewegen Sie den Mauszeiger über die Schaltfläche „Mehr“ und klicken Sie auf Relais-Einstellungen.

    Relay settings menu.

  4. Gehe zu Hostbasierte Weiterleitung.

  5. Unter Weiterleitung von Hosts/Netzwerken zulassen, wählen Sie die Mailserver aus.

    Hier ein Beispiel:

    Add mail servers to allow relay.

  6. Klicken Anwenden.

SMTP-Sicherheitseinstellungen konfigurieren

Konfigurieren Sie die SMTP- und TLS-Einstellungen.

  1. Unter SMTP-Einstellungen, für SMTP-Hostname: Geben Sie den Namen des ausgehenden Mailservers ein.
  2. Wählen Ablehnung aufgrund der IP-Reputation.

  3. Wählen SMTP-DoS-Einstellungen.

    Hier ein Beispiel:

    SMTP settings.

  4. Unter SMTP-TLS-Konfiguration, für TLS-Zertifikat, wählen Sie das Mailserver-Zertifikat aus.

    Sie können das Mailserver-Zertifikat hochladen auf Zertifikate > Zertifikate > Upload-Zertifikat.

  5. Deaktivieren Sie das Kontrollkästchen Ungültiges Zertifikat zulassen.

    TLS certificate.

  6. Unter Erweiterte SMTP-Einstellungen, wählen Ausgehende E-Mails scannen.

    Scan outgoing emails.

Fügen Sie eine Datensteuerungsliste hinzu

Wählen Sie die Daten aus, die Sie in E-Mails kontrollieren möchten. Dieses Beispiel zeigt die Schutzeinstellungen für Finanzdaten.

  1. Gehe zu E-Mail > Datenkontrollliste und klicken Hinzufügen.
  2. Geben Sie einen Namen ein.
  3. Für CCLs (Steuerungsliste), setzen Typ Zu Finanzdaten.

  4. Wählen Sie die gewünschten Artikel aus der Liste aus. Scrollen Sie nach unten, um die vollständige Liste anzuzeigen.

    Hier ein Beispiel:

    Financial data control list.

  5. Klicken Speichern.

Erstellen Sie eine SPX-Vorlage

Konfigurieren Sie eine SPX-Verschlüsselungsvorlage und legen Sie die SPX-Portaleinstellungen fest. Über das SPX-Portal können Benutzer sicher auf E-Mails antworten.

  1. Gehe zu E-Mail > Verschlüsselung > SPX-Vorlagen und klicken Hinzufügen.

  2. Satz Passworttyp Zu Vom Empfänger angegeben.

    SPX password type.

  3. Wählen SPX-Antwortportal aktivieren.

  4. Wählen Fügen Sie den Originaltext in die Antwort ein..

    SPX portal settings.

  5. Klicken Speichern.

Füge eine Adressgruppe hinzu

Erstellen Sie eine Adressgruppe für die E-Mail-Domäne.

  1. Gehe zu E-Mail > Adressgruppe und klicken Hinzufügen.
  2. Prüfen Sie, ob Gruppentyp ist eingestellt auf E-Mail-Adresse/Domäne.
  3. Prüfen Sie, ob Typ ist eingestellt auf Handbuch.

  4. Für E-Mail-Adresse/Domäne: Geben Sie Ihre E-Mail-Domäne ein und klicken Sie auf die Schaltfläche „Hinzufügen“. Hier verwenden wir example.com.

    Hier ein Beispiel:

    Add email domain to address group.

  5. Klicken Speichern.

Fügen Sie eine SMTP-Route und eine Scan-Richtlinie hinzu.

Konfigurieren Sie eine SMTP-Route und eine Scan-Richtlinie, die die Datensteuerungsliste und eine SPX-Vorlage für die Liste angibt.

  1. Gehe zu E-Mail > Richtlinien und Ausnahmen und klicken Fügen Sie eine Richtlinie hinzu: Klicken SMTP-Route und Scan.
  2. Unter Geschützter Bereich: Wählen Sie die von Ihnen konfigurierte Adressgruppe aus.
  3. Satz Route by Zu Statischer Host.

  4. Unter Hostliste: Wählen Sie die von Ihnen konfigurierten Mailserver aus.

    Hier ein Beispiel:

    Email domains and routing servers.

  5. Einschalten Datenschutz.

    Hier ein Beispiel:

    Data protection.

  6. Klicken Speichern.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen