Hier mal ein kurzer Artikel zur Konfiguration der Sophos UTM Email Protection in Verbindung mit einem internen Exchange 2013 / 2016 Server. Diese Einstellungen verwende ich privat, der meiste SPAM wird zuverlässig gefiltert, Viren sind bisher nicht durchgekommen. Die Frage zur Konfiguration der Email Protection kam durch den Artikel “Umstellung von POP Abruf zu MX Record” auf, daher beschreibe ich hier kurz die Konfiguration.
Damit die UTM gültige und existierende EMail Adressen erkennt und Mails an ungültige Empfänger direkt abweisen kann, muss die UTM alle EMail Adressen der Organisation kennen. Seit Exchange 2013 ist dies nur noch zuverlässig durch eine Abfrage gegen das Active Directory möglich. SMTP CallOut Verfahren (in der Sophos Sprache “Serveranfrage”), wird in Verbindung mit Exchange ab Version 2013 immer ein positives Ergebnis liefern. Der Hintergrund ist, dass Exchange die Empfänger erst im Backend prüft, die UTM aber die Anfrage gegen das FrontEnd stellt und an dieser Stelle noch keine Verifizierung des Empfängers stattfindet.
Für die Empfänger Prüfung via Active Directory muss zunächst das AD als Authentifizierungsdienst hinzugefügt werden:
Als Server wird ein Domain Controller angegeben (oder mehrere Domain Controller als Host Gruppe). SSL funktioniert leider seit etlichen UTM Versionen nicht zuverlässig in Verbindung mit der EMail Protection. Als Base-DN wird der DistinguishedName der AD-Domain angegeben:
Jetzt kann die EMail Protection aktiviert werden:
Unter dem Reiter “Routing” werden nun die E-Mail Domänen angegeben, auf die die UTM reagieren soll. Diese müssen mit den akzeptierten Domänen des Exchange Servers übereinstimmen. Die Mails können anhand einer Statischen Hostliste an die Exchange Server zugestellt werden. Für die Empfänger Authentifizierung kann nun das AD verwendet werden:
Die weiteren Einstellungen habe ich in meiner Umgebung konfiguriert, manche sind auch schon im Standard konfiguriert, daher folgen hier nur ein paar Screenshots der Konfiguration:
Mit den Datenschutz Einstellungen muss etwas experimentiert werden. Ich habe zum Beispiel das Versenden von Kontoinformationen blockiert. Einige Regeln sind allerdings zu scharf und blockieren auch valide Mails:
Damit Exchange auch über die UTM verwenden kann, habe ich das Hostbasierte Relay für den Exchange Server erlaubt. Hier würde auch die Möglichkeit “Authentifiziertes Relay” funktionieren:
Damit der Mail Transport verschlüsselt funktioniert, muss die UTM über ein gültiges Zertifikate verfügen, auch die TLS Version lässt sich einstellen. Aktuell funktioniert es bei mir mit “TLS 1.1 oder höher” ganz gut. Nur TLS 1.2 hat bei mir dazu geführt, dass viele Verbindungen wieder unverschlüsselt durchgeführt wurden (Fallback auf Plain SMTP), daher lieber ein bisschen Verschlüsselung als gar keine:
Auch DKIM ist ratsam, die Konfiguration habe ich hier schon einmal beschrieben:
Zuletzt kann auch noch der Quarantänebricht aktiviert werden. Benutzer erhalten dann eine Zusammenfassung aller Mails die in der Qurantäne gelandet sind und können diese ggf. freigeben:
Ich habe hier allerdings die Quellnetzwerke eingeschränkt, sodass ein Freigeben der Mails nur aus internen Netzen möglich ist. Welche Freigabeoptionen aktiviert werden, hängt von den Anforderungen ab. Ich würde hier zunächst einmal nur “Spam” aktivieren:
Damit alle Mails zentral über die UTM geroutet werden, kann Exchange mit einem entsprechenden Sendeconnector konfiguriert werden: