Die Konfigurationsmöglichkeiten in den E-Mail Transport Einstellungen umfassen SMTP Client und Server Einstellungen der Appliance, akzeptierte Domänen, Weiterleitungen an interne MailServer, Einstellungen zur Verbindungssicherheit und vertrauenswürdige Netze.
Vergeben Sie in den Server Einstellungen den Full Qualified Domain Name (zb mail.meinedomain.de)
Es wird dringend empfohlen, einen Hostnamen zu verwenden, der über eine Reverse-DNS Abfrage (PTR-Eintrag) auflösbar ist, sofern ausgehende Mails NICHT über einen Smarthost (Relay) geleitet werden
Passen Sie bei Bedarf den TCP-Port für die SMTP-Verbindungen der REDDOXX Appliance an. Der Standardwert "25" ist vorgegeben
Wählen Sie, ob die Appliance die Verbindung zu Gegenstellen trennen soll, die einen Schwellwert für unbekannte Empfänger pro einzelne Mail erreicht hat (Default ist 0, somit ist die Funktion deaktiviert)
Wenn also eine Mail mit mehreren ungültigen Empfängern an die Appliance geschickt wird und dies den Schwellwert übersteigt, wird die Absender IP auf die dynamische Blacklist gesetzt.
Falls gewünscht, kann TLS (Verbindungsverschlüsselung) verwendet werden, hierbei ist es möglich ein eigenes Zertifikat (falls dies der Appliance vorliegt) zu verwenden
Wenn SMTP Auth aktiviert wird, kann die Appliance über die öffentliche Adresse, also vom Internet aus, E-Mails entgegen nehmen um diese ins Internet zu versenden.
Das bedeutet, dass sich z.B. ein Mitarbeiter in einem externen Büro E-Mails über den allgemeinen Unternehmens-Mail-Server (diese Appliance) versenden kann, ohne dabei per VPN mit dem Unternehmens-Netzwerk verbunden sein muss.
Zusätzlich werden bei aktiviertem SMTP Auth E-Mail-Adressen der Empfänger automatisch auf die Adress Whitelist gesetzt, wenn der Absender via SMTP Auth eine E-Mail über die Appliance verschickt.
Für SMTP Auth muss sich der Versender an der Appliance mit Login und Passwort anmelden.
Der Login setzt sich aus dem Benutzernamen des Users und dem zugehörigen Realm zusammen.
Wenn es einen lokalen Benutzer "test" gibt, lautet der Login entsprechend test@local.
Wenn es einen AD Benutzer "kklammer" gibt, der zum Realm "msad" gehört, wäre der Login kklammer@msad.
Wenn Sie SMTP-Auth over TLS only aktivieren, muss der Versender eine verschlüsselte Übertragung mittels TLS wählen, damit er sich an der Appliance anmelden kann, um die „SMTP-Auth“-Funktion nutzen zu können.
Setzen Sie die erweiterten Einstellungen für maximale Nachrichtengröße, Verbindungs Timeouts und Maximale gleichzeitige Verbindungen
Zusätzlich können Sie auswählen, ob Neue Verbindungen zurückgewiesen werden, wenn die maximale Anzahl an Verbindungen erreicht wurde.
Wählen Sie, ob die Dynamische IP Blacklist Funktion genutzt werden soll (dafür wird eine Spamfinder Lizenz benötigt)
Ist dieses Feld aktiviert, wird bereits beim SMTP-Verbindungsaufbau für den Empfang einer E-Mail geprüft, ob die Sender-IP-Adresse auf einer RBL Blacklist steht.
Steht die IP-Adresse auf einer Blacklist, wird der Mailempfang sofort abgebrochen um die Appliance vor Spam-Attacken zu schützen.
Voraussetzung dabei ist, dass E-Mails direkt, also nicht über ein Relay, zugestellt werden.
Die Abfragen der RBL-Filter werden zwischengespeichert und sind für 7 Tage unter „Network restrictions“ gelistet.
Besätigen Sie die bisherigen Einstellung über den Button "Einstellungen übernehmen"
Konfigurieren Sie hier ebenfalls, ob TLS verwendet werden soll, wie lange die Mails in der ausgehenden Warteschlange verbleiben sollen bevor diese bei nicht erfolgreicher Zustellung gelöscht werden und ob ausgehende E-Mails über ein Relay verschickt werden müssen.
Falls für das SMTP Relay ein Port abweichend von 25 genutzt werden soll, kann die Portangabe nach einem Doppelpunkt hinter den Relay Server gesetzt werden (z.B. mail.relayserver.de:587)
In den Erweiterten Einstellungen können die Verbindungs Timeouts, Timeouts generell und die Anzahl maximal gleichzeitig ausgehender Verbindungen angepasst werden.
Diese Optionen sollten jedoch mit äußerster Vorsicht beachtet werden, da die Werte automatisch abhängig von der Appliance Performance gesetzt sind
Besätigen Sie die bisherigen Einstellung über den Button "Einstellungen übernehmen"
Wechseln Sie in den Reiter AntiSpoofing, wenn E-Mails mit gefälschten Absendern direkt während dem SMTP Verbindungsaufbau abgelehnt werden sollen.
Als Ausnahmen können hierbei Absender Adressen (z.B. für Webshops) hinterlegt werden, eine Adresse je Zeile.
Bestätigen Sie die bisherigen Einstellung über den Button "Einstellungen übernehmen" Beachten Sie, dass zusätzlich Anti Spoofing in den Local Domains / Lokalen Internet Domänen aktiviert werden muss, für diejenigen Domains für die es gewünscht ist Es sollten dann entsprechend keine Filter Profile mit aktiviertem Antispoofing eingesetzt werden (damit die Ausnahme nicht doch wieder gefiltert wird)
Wechseln Sie in den Reiter BATV (Bounce Adress Tag Validation)
Aktivieren Sie falls gewünscht den BATV (hierfür ist eine Spamfinder Lizenz notwendig) und tragen gegebenenfalls Absender Adress Ausnahmen für den Filter ein
Schliessen Sie die Konfiguration ab, in dem Sie auf den Button "Einstellungen übernehmen" klicken und Starten den SMTP Server und SMTP Client Dienst neu
Erklärung zum BATV:
Eine weitere Methode Spam zu erzeugen ist die des Bounce Address Spoofings.
Dabei wird eine E-Mail mit gefälschtem Absender (z.B. Ihre Adresse) an einen Mail-Server mit unbekanntem Empfänger gesendet.
Dieser Mailserver nimmt zunächst die E-Mail an und prüft danach die Zustellbarkeit.
Bei Unzustellbarkeit wird an den Sender eine Bounce-Mail zurück gesendet.
Da als Absender aber Ihre Adresse angegeben wurde, erhalten Sie die Bounce-Mail, die neben einer einleitenden Fehlermeldung auch den eigentlichen Spam beinhaltet.
Die BATV-Funktion prüft beim Eingang einer Bounce-Mail, ob hierfür zuvor eine E-Mail überhaupt versendet wurde.
Falls nicht, wird die E-Mail bereits bei der Zustellung abgelehnt. Sie wird nicht in die Spam-Warteschlange gestellt.
Der BATV Filter funktioniert nicht mehr im Zusammenspiel mit dem MS Exchange ab 2007 und Abwesenheitsnotizen,
da der Exchange-Server eine Abwesenheitsnotiz nicht mehr an den Envelope-Absender (Mail From),
sondern an den Return-Path aus dem Mail-Header versendet, der wiederum gar keine BATV-Signatur enthalten hat
und somit auf der Empfängerseite mit einer REDDOXX vom BATV-Filter abgefangen wird.
Für die Funktion des BATV Filters ist es notwendig, dass ausgehende E-Mails über die REDDOXX Appliance versendet werden.
Über die Lokalen Internetdomänen (Local Domains) können Sie interne E-Mail-Domänen anlegen, für welche die REDDOXX Appliance E-Mails empfangen soll.
Zusätzlich ist es möglich, über LDAP eine Empfängerüberprüfung einzurichten, damit die Appliance bei Eingang einer Mail prüfen kann, ob der Empfänger im LDAP vorhanden ist.
Damit kann Spam an nicht existierende Adressen im Unternehmen herausgefiltert werden.
Beispiel Konfigurationen sind in folgender Anleitung dokumentiert: LDAP Anbindung der REDDOXX Appliance
Folgende Schritte sind notwendig, um eine Lokale Internetdomäne anzulegen (Die Schritte 5-10 sind dabei Optional):
Klicken Sie auf Domäne Hinzufügen
Geben Sie die Domäne an, für die Sie E-Mails empfangen möchten
Wählen Sie, ob für die gesamte Domäne die Antispoofing Filterung genutzt werden soll. Hierbei ist zu beachten, dass der Antispoofing Filter in den entsprechenden Filterprofilen zugeordnet sein muss, wenn Filterprofil basiertes Antispoofing (statt STMP basiertem Antispoofing) verwendet werden soll.
Wählen Sie, ob für die gesamte Domäne die Archivierung deaktiviert werden soll, indem Sie den Haken bei "Archivierung deaktiveren" setzen.
Falls die Archivierung deaktiviert wird, werden die Standard Richtlinien entsprechend angepasst.
Wechseln Sie in den Reiter "LDAP"
Tragen Sie die Daten für die LDAP Verbindung ein, wenn das automatische Anlegen von Benutzern und die Empfängerprüfung gegen das LDAP genutzt werden soll
Sie können ebenfalls SSL für eine gesicherte Verbindung zum LDAP verwenden
Wählen Sie ob die Empfängerüberprüfung genutzt werden soll und ob die Prüfung gegen die Lokale Datenbank (Alle auf der Appliance existierenden User) oder gegen das LDAP durchgeführt wird
Konfigurieren Sie falls gewünscht das automatische Anlegen von Benutzern, dazu bietet die Dropdown Box die verfügbaren Anmeldekonfigurationen (Realms) an.
Wählen Sie bei Bedarf einen Benutzer zur automatischen Adress-Sammlung aus, dem Sie alle bisher nicht zugeordneten E-Mail-Aliase zuordnen wollen. Dies ist insbesondere für öffentliche Ordner und E-Mail-Verteileradressen hilfreich, für die kein Benutzer aus dem LDAP automatisch zuordenbar ist.
Kommen nun E-Mails an eine Verteileradresse an, wird der E-Mail-Alias diesem Benutzer zugeordnet.
Dabei wird dem E-Mail-Alias das Default-Filterprofil zugeordnet, sodass die Spam-Filterung durchlaufen wird.
Der ausgewählte Benutzer kann nun diese E-Mails in seinen Warteschlangen verwalten.
Wechseln Sie in den Reiter CISS und vergeben, falls CISS verwendet wird, eine personalisierte Signatur.
Diese optionale Signatur wird an die automatische E-Mail gehängt, die die REDDOXX Appliance zur Benachrichtigung versendet.
Die Signatur muss für jede Domäne separat eingegeben werden.
Ausserdem können Sie hier ein zuvor erstelltes CISS Theme für die Domäne verwenden.
Schliessen Sie die Konfiguration per "Speichern" ab
Über die lokalen Netzwerke (Trusted Networks) bestimmen Sie, - von welchen Hosts - oder aus welchen Netzwerken – E-Mails über die REDDOXX versendet werden dürfen.
Steht vor Ihrer REDDOXX-Appliance ein Mail Relay oder eine Firewall mit einem SMTP-Serverdienst oder einem POP3-Collector Service, der zuerst die E-Mails annimmt, darf diese NICHT in den lokalen Netzwerken stehen, da sonst weder eine Validierung auf Spam erfolgen kann und keine Empfängerprüfung / Automatisches Anlegen von Benutzern möglich ist.
Folgende Schritte zur Konfiguration Lokaler Netzwerke sind notwendig:
Klicken Sie auf Netzwerk Hinzufügen
Tragen Sie die IP Adresse des lokalen Netzwerkes oder eines einzelnen Hosts ein
Tragen Sie die zugehörige Netzmaske ein, einzelne Hosts (interne Mailserver) benötigen als Maske 255.255.255.255
Übernehmen Sie den Eintrag mit "Speichern"
Starten Sie den SMTP Server Dienst neu damit die Änderungen von der Appliance durchgeführt werden
Bei Änderungen an den Lokalen Netzwerken (über Netzwerk Bearbeiten oder Netzwerk Löschen) ist ebenfalls ein Neustart der SMTP Server Dienste notwendig.
Über den E-Mail-Transport (Transport Rules) können Sie festlegen, an welchen E-Mail-Server die E-Mails der eingetragenen Domäne weitergeleitet werden sollen.
Diese Transport regeln gelten sowohl für eingehenden als auch ausgehenden Mailverkehr.
Für eingehende Mail gilt: ist für die zu empfangende Domain kein Zielservereintrag vorhanden, wird der Zielserver per DNS (über den in der Konfiguration eingetragenen DNS Server) ermittelt.
Für ausgehende Mail gilt: ist für die zu empfangende Domain kein Zielservereintrag vorhanden wird zunächst geprüft ob ein SMTP Relay die Weiterleitung übernehmen soll.
Besteht kein SMTP Relay eintrag, wird der Zielserver per DNS (über den in der Konfiguration eingetragenen DNS Server) ermittelt.
Folgende Schritte sind notwendig, um einen E-Mail Transport zu konfigurieren:
Klicken Sie auf Hinzufügen
Tragen Sie den Namen der Domäne und die zugehörige IP Adresse des Zielservers ein
Bestätigen Sie die Eingabe über "Speichern"
Die Einträge können jederzeit über Bearbeiten / Löschen angepasst werden.
Um eine Mail Loop zu vermeiden, sollte für jede in den Local Domains (lokale Internetdomänen) konfigurierte Domain auch eine Transport Regel eingerichtet sein, da sonst per DNS der Zielserver ermittelt wird.
Dies führt dann in der Regel dazu (da der MX Eintrag wiederum auf die Appliance zeigt), dass die Mail als Loop erneut auf der Appliance eintrifft.
Die Netzwerk Einschränkungen (Network restrictions) dienen dem expliziten Sperren oder Zulassen von SMTP Verbindungen.
Je nach Netzmaske kann hier ein einzelner Host oder ein komplettes Netz konfiguriert werden.
Die Liste der gesperrten IP Adressen wird automatisch gefüllt, wenn die Funktion Dynamische IP Blacklist in den SMTP Einstellungen aktiviert ist.
Der SMTP Verbindungsaufbau wird hierbei direkt geblockt, wenn eine IP aus der gesperrten Liste mit der Appliance kommunizieren möchte.
Insbesondere bei Spamangriffen ist dies von Vorteil, da die Appliance keine Validierungen mehr durchführen muss.
Sollte in den Blacklist Einstellungen eine IP auftauchen, mit der eine Kommunikation erwünscht ist, muss manuell ein Whitelist Eintrag in den zugelassenen IP Adressen hinzugefügt werden.
Dabei darf die Netzmaske nicht mit der Netzmaske der gesperrten IP übereinstimmen, da sonst der Whitelist Eintrag vom Dynamischen IP Blacklist Filter wieder überschrieben wird.
Es bietet sich daher an, die Netzmaske der zugelassenen IP in dem Fall auf ein 255.255.255.0 zu setzen (Üblicherweise sind bei großen Firmen wie der Telekom nicht nur einzelne Mailserver, sondern mehrere betroffen, daher würde ein einzeln zugelassener Host mit Netzmaske 255.255.255.255 das Problem nicht beheben).
Folgende Schritte sind zum erstellen eines Blacklist oder Whitelist Eintrages für gesperrte oder zugelassenen IP Adressen notwendig:
Wählen Sie den entsprechenden Reiter aus, je nachdem ob eine zugelassene(Whitelist) oder gesperrte (Blacklist) Adresse hinzugefügt werden soll
Klicken Sie auf Hinzufügen
Tragen Sie die Werte für Netzwerk, Netzmaske, Gültigkeitsdauer und Kommentar ein
Übernehmen Sie die Einstellungen mit "Speichern"
Über den Button "Flush DynIP Blacklist entries" können alle Blacklist Einträge, deren Kommentarfeld "DynIP blacklist" beinhaltet, auf einmal gelöscht werden.
Dies ist insbesondere dann von Vorteil, wenn ein großer Provider mit mehreren IP Adressen kurzzeitig auf einer Blacklist stand.