Erweitert

Auf der Registerkarte POP3 > Erweitert können Sie Hosts und Netzwerke bestimmen, die vom Transparenzmodus des POP3Closed-Proxy ausgenommen sein sollen. Des Weiteren beinhaltet die Registerkarte die POP3-Option zum Vorabholen (engl. prefetch), welche es ermöglicht, Nachrichten von einem POP3-Server im Voraus zu holen und sie in einer Datenbank zu speichern.

Transparenzmodus-Ausnahmen

Hosts und Netzwerke, die im Feld Auszunehmende Hosts/Netze aufgeführt sind, werden vom POP3-Proxy nicht transparent überwacht. Um jedoch POP3-Verkehr für diese Hosts und Netzwerke zuzulassen, wählen Sie die Option POP3-Verkehr für aufgeführte Hosts/Netze zulassen. Wenn Sie diese Option nicht wählen, müssen Sie spezielle Firewallregeln für die hier aufgeführten Hosts und Netzwerke anlegen.

POP3-Server und Vorabholen

Sie können hier einen oder mehrere POP3-Server eintragen, die in Ihrem Netzwerk oder von Ihren Endbenutzern verwendet werden und dem Proxy bekannt sein sollen. Zusätzlich können Sie das Vorabholen (engl. prefetching) aktivieren.

Um einen POP3-Server anzulegen, gehen Sie folgendermaßen vor:

  1. Geben Sie den DNS-Namen des oder der POP3-Server ein.

    Klicken Sie im Feld POP3-Server auf das Plussymbol. Geben Sie im Dialogfenster Server hinzufügen den DNS-Namen ein und klicken Sie auf Speichern.

    Ein neuer Eintrag mit dem DNS-Namen und dem Zusatz Servers wird im Feld angezeigt. Die UTM legt automatisch eine DNS-Gruppe mit dem festgelegten DNS-Namen an und verknüpft ihn mit dem neuen POP3-Server-Eintrag.

  2. Legen Sie die Eigenschaften des POP3-Servers fest.

    Klicken Sie im Feld POP3-Server auf das Bearbeiten-Symbol vor dem POP3-Server. Das Dialogfenster Server bearbeiten wird geöffnet. Nehmen Sie die folgenden Einstellungen vor:

    Name: Ändern Sie bei Bedarf den Namen des POP3-Servers.

    Hosts: Das Feld enthält automatisch eine DNS-Gruppe mit dem oben festgelegten DNS-Namen. Fügen Sie zusätzliche Hosts oder DNS-Gruppen hinzu oder wählen Sie sie aus. Stellen Sie sicher, dass Sie nur Hosts und DNS-Gruppen hinzufügen, die dieselben POP3-Accounts bedienen. Das Hinzufügen einer Definition wird auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen > Netzwerkdefinitionen erläutert.

    TLS-Zertifikat: Wählen Sie aus der Auswahlliste ein Zertifikat zum Aushandeln der TLSClosed-erschlüsselung mit allen Gegenstellen aus, die TLS unterstützen. Sie können Zertifikate auf der Registerkarte Site-to-Site VPN > Zertifikatverwaltung > Zertifikate hinzufügen und hochladen.

    Hinweis – Damit die TLS-Verschlüsselung funktioniert, muss die Option TLS-verschlüsselten POP3-Verkehr scannen im Bereich TLS-Einstellungen aktiviert werden. Für POP3-Server, die hier nicht festgelegt sind oder die kein TLS-Zertifikat besitzen, können Sie im Bereich TLS-Einstellungen ein Standard-TLS-Zertifikat festlegen.

    Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

  3. Klicken Sie auf Speichern.

    Der POP3-Server ist angelegt.

Wenn kein POP3-Server angegeben wird und E-Mails vom Proxy abgefangen werden, ersetzt der Proxy die E-Mails sofort mit einer Benachrichtigung an den Empfänger, die ihn davon in Kenntnis setzt, dass die E-Mails unter Quarantäne gestellt wurden. E-Mails in Quarantäne können im Mail-Manager eingesehen werden, aber da sie nicht mit einem Server oder einem Konto in Verbindung gebracht werden können, können sie bei einer späteren Verbindung nicht freigegeben werden. Die Freigabe von E-Mails ist überhaupt nur möglich für E-Mails, die im Voraus abgeholt wurden („prefetching“).

Es gibt zwei Szenarien:

  • Wenn ein oder mehrere POP3-Server angegeben sind und Vorabholen deaktiviert ist, behält der Proxy die Übersicht darüber, welche E-Mails in Quarantäne zu welchem Server oder Konto gehören. Dadurch können E-Mails in Quarantäne freigegeben werden, wenn der Client die Mailbox das nächste Mal abfragt. Damit das funktioniert, muss der Proxy sicher feststellen, welche IP-Adresse zu welchem Server gehört (über deren FQDN, die Sie in Ihrem Mail-Client angegeben haben).
  • Wenn ein oder mehrere POP3-Server angegeben sind und Vorabholen aktiviert ist, überprüft der POP3-Proxy die POP3-Server periodisch auf neue Nachrichten. Wenn eine neue Nachricht angekommen ist, wird sie zum POP3-Proxy kopiert, gescannt und in einer Datenbank auf der UTM gespeichert. Die Nachricht bleibt auf dem POP3-Server. Wenn ein Client versucht, neue Nachrichten abzuholen, kommuniziert er stattdessen mit dem POP3-Proxy und holt nur die Nachrichten aus der Datenbank.

Ein POP3-Proxy, der das Vorabholen unterstützt, hat unter anderem folgende Vorteile:

  • Keine Zeitüberschreitungsprobleme zwischen Client und Proxy oder umgekehrt.
  • Die Zustellung der Nachrichten erfolgt sehr viel schneller, da die E-Mails bereits vorab gescannt wurden.
  • Blockierte Nachrichten können vom Benutzerportal aus freigegeben werden – sie werden beim nächsten Abrufen der E-Mails mit abgeholt.

Wenn eine Nachricht blockiert wurde, weil sie schädlichen Inhalt enthält oder als Spam eingestuft wurde, wird sie nicht an den Client ausgeliefert. Stattdessen wird sie unter Quarantäne gestellt. Eine Nachricht, die unter Quarantäne gestellt ist, wird im Bereich Mail-Manager im Benutzerportal gespeichert, von wo sie gelöscht oder freigegeben werden kann.

Vorabholen verwenden: Um den Vorabholenmodus zu aktivieren, markieren Sie das Auswahlkästchen und fügen Sie einen oder mehrere POP3-Server zum Feld POP3-Server hinzu.

Vorabholenintervall: Wählen Sie das Zeitintervall, in dem der POP3-Proxy den POP3-Server kontaktiert, um Nachrichten vorab zu holen.

Hinweis – Das Intervall, in dem Mail-Clients den POP3-Server kontaktieren dürfen, variiert von Server zu Server. Das Vorabholenintervall sollte deshalb nicht kürzer eingestellt werden als der POP3-Server es zulässt, sonst schlägt das Herunterladen der POP3-Nachrichten fehl, da der Zugang zum POP3-Server nicht gestattet ist.
Beachten Sie auch, dass mehrere Clients das gleiche POP3-Konto abfragen können. Jedes Mal, wenn Nachrichten erfolgreich vom POP3-Server abgerufen wurden, beginnt die Zeiterfassung von vorne, bis eine erneute Abfrage möglich ist. Wenn aus diesem Grund der POP3-Proxy den POP3-Server viermal hintereinander nicht erreichen kann (Standardeinstellung ist alle 15 Minuten), wird das Kontokennwort aus der Proxy-Mail-Datenbank gelöscht, und es werden dann solange keine E-Mails mehr abgeholt, bis ein Mail-Client das Kennwort an den POP3-Server schickt und sich wieder erfolgreich anmeldet.

Quarantäne-Nachrichten vom Server löschen: Wenn Sie diese Option wählen, werden Nachrichten in Quarantäne sofort vom POP3-Server gelöscht. Das ist nützlich, um zu verhindern, dass Benutzer Spam- oder mit Viren infizierte Nachrichten erhalten, wenn sie sich mit dem POP3-Server nicht über die UTM, sondern beispielsweise über das Webportal des POP3-Servers verbinden.

Wenn der E-Mail-Client so konfiguriert ist, dass er Nachrichten vom Server löscht, nachdem er sie abgeholt hat, wird diese Information auch in der Datenbank abgespeichert. Das nächste Mal, wenn der Proxy Nachrichten für dieses POP3-Konto vorab holt, wird er die Nachrichten vom Server löschen. Das bedeutet, so lange kein Client Nachrichten von Sophos UTM abruft und kein Löschbefehl konfiguriert ist, werden keine Nachrichten auf dem POP3-Server gelöscht. Dadurch können sie weiterhin gelesen werden, zum Beispiel über das Webportal des E-Mail-Anbieters.
Quarantäne-Nachrichten werden in folgenden Fällen vom POP3-Server gelöscht:

  • Die Nachrichten werden manuell über den Mail-Manager gelöscht.
  • Die Nachrichten werden manuell über das Benutzerportal gelöscht.
  • Die Nachricht wurde freigegeben (entweder über den Quarantänebericht oder das Benutzerportal) und der E-Mail-Client des Benutzers ist so konfiguriert, dass er Nachrichten nach der Zustellung löscht.
  • Die Benachrichtigungs-E-Mail wurde gelöscht.
  • Die Aufbewahrungsfrist ist abgelaufen (siehe Abschnitt Konfiguration im Kapitel Mail-Manager).

Im Vorabholenmodus können Nachrichten unter Quarantäne nicht direkt durch einen Client-Befehl vom POP3-Server gelöscht werden.

Hinweis – Der E-Mail-Client muss sich mindestens einmal erfolgreich mit dem POP3-Server verbunden haben, bevor das Vorabholen funktioniert. Das liegt daran, dass Sophos UTM den Namen des POP3-Servers, den Benutzernamen und das Benutzerkennwort in einer Datenbank speichern muss, um POP3-Nachrichten anstelle des Benutzers abholen zu können. Das kann jedoch nicht dadurch erreicht werden, dass die POP3-Kontozugangsdaten im Sophos Benutzerportal eingerichtet werden. Die POP3-Kontozugangsdaten im Benutzerportal werden benötigt, damit die vorab geholten Nachrichten im Benutzerportal und im täglichen Quarantänebericht des entsprechenden Benutzers erscheinen.

Hinweis für Benutzer von Fetchmail: Die TOP-Methode wird aus Sicherheitsgründen nicht unterstützt, um E-Mails vom Mailserver herunterzuladen – Nachrichten, die über TOP empfangen wurden, können nicht gescannt werden. Es funktioniert aber, wenn Sie die Option fetchall angeben (-a auf der Kommandozeile). Um weitere Informationen zu erhalten, lesen Sie bitte das Kapitel „RETR or TOP“ im Fetchmail-Handbuch.

Bevorzugter Zeichensatz

In diesem Abschnitt können Sie einen anderen Zeichensatz als UTF-8 wählen, der für jene Mail-Header verwendet werden soll, die irgendwie von der UTM verändert wurden (z.B. durch BATVClosed). Das ist nützlich, wenn Ihre Benutzer Mail-Clients verwenden, die mit UTF-8 nicht umgehen können. Im Allgemeinen ist der voreingestellte Zeichensatz eine gute Wahl, unabhängig von Ihrer Region. Deshalb sollten Sie diese Einstellung nur ändern, wenn Sie sicher sind, dass es das ist, was Sie wollen. Wenn Sie Zweifel haben, sollten Sie UTF-8 beibehalten.

TLS-Einstellungen

TLS-verschlüsselten POP3-Verkehr scannen: Wenn diese Option aktiviert ist, scannt die UTM TLS-verschlüsselten POP3-Verkehr. Damit dies funktioniert, müssen TLS-Zertifikate für die POP3-Server, auf die die POP3-Clients zugreifen, definiert werden (siehe Abschnitt POP3-Server und Vorabholen oben und Option TLS-Zertifikat unten).

Wenn die Option deaktiviert ist und ein POP3-Client versucht, über TLS auf einen POP3-Server zuzugreifen, wird die Verbindung nicht hergestellt.

TLS-Zertifikat: Wählen Sie ein Zertifikat aus der Auswahlliste. Dieses wird verwendet für die TLSClosed-Verschlüsselung mit allen POP3-Clients, die TLS unterstützen und versuchen, auf einen POP3-Server zuzugreifen, der entweder nicht im Feld POP3-Server oben enthalten ist oder kein passendes TLS-Zertifikat besitzt. Das gewählte Zertifikat wird dem POP3-Client angeboten. POP3-Clients verifizieren normalerweise, dass das vom POP3-Server angebotene TLS-Zertifikat mit dem konfigurierten POP3-Servernamen übereinstimmt. Aus diesem Grund werden die meisten POP3-Clients eine Warnung ausgeben, dass der Hostname des Zertifikats nicht mit dem erwarteten konfigurierten POP3-Servernamen übereinstimmt. Der Benutzer kann diese Warnung jedoch ignorieren und sich trotzdem verbinden. Um diese Warnung zu verhindern müssen Sie alle verwendeten POP3-Server in das Feld POP3-Server oben eingeben und für jeden der Server ein passendes TLS-Zertifikat konfigurieren.

Wenn hier kein Zertifikat ausgewählt ist und ein POP3-Client versucht, über TLS einen POP3-Server zu erreichen, der nicht im Feld POP3-Server enthalten ist oder kein passendes TLS-Zertifikat besitzt, wird die Verbindung nicht aufgebaut.

Tipp – Sie können Zertifikate auf der Registerkarte Site-to-Site VPN > Zertifikatverwaltung > Zertifikate hinzufügen und hochladen.