Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 7 replies
  • Subscribers 10 subscribers
  • Views 3875 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Einrichtung IMAP/POP EMail Scans

TechnikBingo

Hallo,

ich versuche, mit einer Sophos XGS126 mit SFOS 19.0.1 die eingehenden Mails zu scannen, nur will das nicht.

0 - Aufbau ist: Clients rufen via Outlook hinter der XGS Mails stehend Mails von einem extern gehosteten Mailserver ab (IMAP 993 / SMTP 465). Einen internen Mailserver gibt es nicht, die Clients gehen also durch die XGS (Gateway) ins Netz zum externen Mailprovider. Also ein generell recht simples Netz was das angeht.

0.1 - Eine Firewall Regel für IMAP(s), POP(s) und SMTP(s) habe ich natürlich eingerichtet und entspr. an erste Position gesetzt, auch habe ich das Sophos CA Cert bei den Clients korrekt installiert.

1 - Nun habe ich schon eine Weile rumgetestet mit dem Legacy Mode sowie MTA Mode, beides scheint mir aber rein für Szenarien mit internem Mailserver hinter der XGS zu sein. Backupmails, welche authentifiziert über den ext. Mailserver von der XGS versandt werden, tauchen im MTA Mail Log auf, jedoch nur die von der XGS selbst versandten Mails. Mailverkehr aller anderen Geräte taucht nicht auf.

2 - Wofür gibt es dann aber in den Firewall Regeln die Möglichkeit, IMAP(s), POP(s) und SMTP(s) zu scannen? 

Aktuell herrscht bei mir Verwirrung, ob der hier beschriebene Aufbau überhaupt in Sachen IMAP/SMTP von der XGS zu überwachen ist und Malwarefunde z.B. abgelehnt werden können. Vielleicht kann mich ja jemand ein wenig aufklären ob und wie das geht.

Vielen Dank schonmal für jegliche Hilfe!



This thread was automatically locked due to age.
  • +1

    Also, das geht, denn der Sophos ist es egal, wer oder was im LAN die Emails händelt. Leider, aber logischer Weiße scannt die Sophos im MTA-Modus nur SMTP, bei Dir würde daher lediglich die ausgehende Post bearbeitet.

    Um auch eingehend POP3 oder IMAP scannen zu können, musst Du daher den Legacy-Modus verwenden (leider entfallen dann solche Sachen, wie Warteschlangen und Quarantäne). Hierfür musst Du die Email-Richtlinen für IMAP/POP3 bearbeiten (und ggffls. neue nach gusto anlegen) und denen sagen, für welche Emailadresse (hier sind auch Adessgruppen möglich) diese denn gelten und was sie machen sollen - eigentlich ziemlich selbsterklärend.

    Wenn Du dann noch in der den Internetverkehr regelnden FW-Regel POP3, IMAP und SMTP als zu scannend anhakst, sollte das Ergebnis z.B. so aussehen:

  • +1

    Hallo,

    als Erstes würde ich POP3/IMAP ohne SSL-decryption testen. Dazu eine SSL-Ausnahme für diese Dienste einrichten.

    Das funktioniert bei mir mit einer simplen Firewall-Rule für die Dienste POP3/POP3s/IMAP/IMAPs und aktiviertem Scanne POP/IMAP/..... (diese Rule steht zum Testen ganz oben)

    Der MTA Mode spielt da keine Rolle. Der ist bei mir parallel für diverse Domains mit eigenem internen Mailserver aktiv.

    Der SSL-Scan ist dann eine weitere/neue Herausforderung, wenn das soweit erst einmal funktioniert.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Vielen Dank an euch beiden für die Antworten! Ist mir nun unangenehm eine Frage zu stellen, es nehmen sich Leute unvergütet Zeit dafür und ich als fragender lasse das dann ins leere laufen... Sorry, hab ich nicht gut gemacht.

    Das SMTP Scanning habe ich noch nicht funktionsfähig bekommen; Das Thema ist aber aktuell aufgrund von externen Umständen erstmal nach hinten verschoben. Ist im IT Dienstleistungsbereich, somit natürlich immer in Abhängigkeiten.

  • +1 in reply to TechnikBingo

    Hallo TechnikBingo,

    so wie die beiden schon gesagt haben...Einfach in den Lagecy Modus wechseln (Mails -> Allgmeine Einstellungen) und in deinen Firewallregeln dies noch aktivieren:

    Dann sollten deine E-Mails gescannt werden.

  • 0

    Ich habe mich nun vergangenen Freitag und Montag endlich wieder nach langer Pause in Ruhe dran gesetzt. Ich finds immer Super, wenn der Threadersteller die Lösung dann zwar hat aber nie preis gibt, um das hier anders zu machen hier die Punkte die ich generell noch gemacht hatte und mich zur Lösung gebracht haben:

    - Von MTA wieder zu Legacy Modus gewechselt (Hatte zuvor beides ausprobiert; Zuletzt MTA)

    - SSL Default Cert der XGS ordentlich eingerichtet und neu ausgestellt (Certificates -> Certificate Authorities -> Default -> Edit-Button; Konnte mal ne SSL VPN Config nicht speichern bis ich das CA Cert gescheit eingerichtet hatte, deshalb das hier gemacht)

          - Das  SecurityAppliance_SSL_CA über das Zahnradsymbol neu ausgestellt, exportiert und bei Clients nochmal unter vertrauenswürdige Stammzertifizierungsstellen hinterlegt

          - Unter Reiter Certificates auch direkt das ApplianceCertificate neu gemacht, was hiermit aber nix mit zu tun hat  

    - Generell unter EMail alles durchgegangen und hier und da einiges angepasst / korrigiert

    - Firewall Regel für IMAP/POP/IMAP Scanning geprüft und nur für einen Client aktiv gesetzt

          - Definition für Port 465 erstellt und der FW Regel unter Services hinzugefügt (Outlooks machen 993 / 465; XGS hat als SMTPs aber nur 587 also vorsicht)

          - Kontrolle im Log Viewer (Mail Datenverkehr nutzt die FW Regel korrekt aber EMail Log kommt nichts)

          - Bräsiger Fehler: NAT der Firewallregel nicht auf Maskierung (MASQ) gestellt; Das korrigiert; Siehe da, Mail Log füllt sich nun.....

    - Ab hier dann einfach noch Konfigurationssachen gemacht und Verhalten getestet

    Vielen Dank für eure Hilfe!

  • 0 in reply to TechnikBingo

    Hallo TechnikBingo,

    ich frage nur weil der Teufel ein Eichhörnchen ist :).

    1.) Gültige Mail-Protection Lizenz?

    Ich habe es jetzt nochmal aktive getestet, es reicht eine Firewall-Regel zu erstellen. Oder es kann die verwendet werden die von den betroffenen Systemen als LAN -> WAN konfiguriert ist. 

    Hast du zum Beispiel eine Regel WAN_ALLE kannst du diese auch nehmen, falls für alle gescant werden soll. Hacke unten die Mail-Dienste an.

    POP/s IMAP/s und konfiguriere unter Mail die Scanregel. Die 2te regel kann dan z.B. lauten wenn es 100% spam ist blocke es!

    Viele Grüße

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • 0 in reply to Patrick81

    Hallo Patrick,

    vielen Dank für deine Antwort; Habe es seit dem letzten Post vom 09.03.23 am Laufen, passt so nun. Slight smile

    Ich hab die Mail Scanning Firewallregel an erster Stelle von LAN->WAN gesetzt und das darüber eingerichtet, so kann man im Fehlerfall mal eben das Scanning deaktivieren ohne was an den Regeln selbst einzustellen. 

    Vom Grundprinzip ja nun auch keine irre aufwändige Sache, aber es wollt einfach nicht, irgendwann verheddert man sich auch mal wenn man testet und irgendwo grundlegende Fehler hat (NAT Maskierung.......).

    N bisschen Schade ist aber, dass mit IMAP nicht so viel angefangen werden kann wie mit SMTP, aber naja so ist es halt. So definitiv erheblich besser als das (zumindest unkomplizierte) Konzept "Durchzug".

    Viele Grüße

    TechnikBingo

Unfiltered HTML