Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Einrichtung IMAP/POP EMail Scans

Hallo,

ich versuche, mit einer Sophos XGS126 mit SFOS 19.0.1 die eingehenden Mails zu scannen, nur will das nicht.

0 - Aufbau ist: Clients rufen via Outlook hinter der XGS Mails stehend Mails von einem extern gehosteten Mailserver ab (IMAP 993 / SMTP 465). Einen internen Mailserver gibt es nicht, die Clients gehen also durch die XGS (Gateway) ins Netz zum externen Mailprovider. Also ein generell recht simples Netz was das angeht.

0.1 - Eine Firewall Regel für IMAP(s), POP(s) und SMTP(s) habe ich natürlich eingerichtet und entspr. an erste Position gesetzt, auch habe ich das Sophos CA Cert bei den Clients korrekt installiert.

1 - Nun habe ich schon eine Weile rumgetestet mit dem Legacy Mode sowie MTA Mode, beides scheint mir aber rein für Szenarien mit internem Mailserver hinter der XGS zu sein. Backupmails, welche authentifiziert über den ext. Mailserver von der XGS versandt werden, tauchen im MTA Mail Log auf, jedoch nur die von der XGS selbst versandten Mails. Mailverkehr aller anderen Geräte taucht nicht auf.

2 - Wofür gibt es dann aber in den Firewall Regeln die Möglichkeit, IMAP(s), POP(s) und SMTP(s) zu scannen? 

Aktuell herrscht bei mir Verwirrung, ob der hier beschriebene Aufbau überhaupt in Sachen IMAP/SMTP von der XGS zu überwachen ist und Malwarefunde z.B. abgelehnt werden können. Vielleicht kann mich ja jemand ein wenig aufklären ob und wie das geht.

Vielen Dank schonmal für jegliche Hilfe!



This thread was automatically locked due to age.
Parents
  • Ich habe mich nun vergangenen Freitag und Montag endlich wieder nach langer Pause in Ruhe dran gesetzt. Ich finds immer Super, wenn der Threadersteller die Lösung dann zwar hat aber nie preis gibt, um das hier anders zu machen hier die Punkte die ich generell noch gemacht hatte und mich zur Lösung gebracht haben:

    - Von MTA wieder zu Legacy Modus gewechselt (Hatte zuvor beides ausprobiert; Zuletzt MTA)

    - SSL Default Cert der XGS ordentlich eingerichtet und neu ausgestellt (Certificates -> Certificate Authorities -> Default -> Edit-Button; Konnte mal ne SSL VPN Config nicht speichern bis ich das CA Cert gescheit eingerichtet hatte, deshalb das hier gemacht)

          - Das  SecurityAppliance_SSL_CA über das Zahnradsymbol neu ausgestellt, exportiert und bei Clients nochmal unter vertrauenswürdige Stammzertifizierungsstellen hinterlegt

          - Unter Reiter Certificates auch direkt das ApplianceCertificate neu gemacht, was hiermit aber nix mit zu tun hat  

    - Generell unter EMail alles durchgegangen und hier und da einiges angepasst / korrigiert

    - Firewall Regel für IMAP/POP/IMAP Scanning geprüft und nur für einen Client aktiv gesetzt

          - Definition für Port 465 erstellt und der FW Regel unter Services hinzugefügt (Outlooks machen 993 / 465; XGS hat als SMTPs aber nur 587 also vorsicht)

          - Kontrolle im Log Viewer (Mail Datenverkehr nutzt die FW Regel korrekt aber EMail Log kommt nichts)

          - Bräsiger Fehler: NAT der Firewallregel nicht auf Maskierung (MASQ) gestellt; Das korrigiert; Siehe da, Mail Log füllt sich nun.....

    - Ab hier dann einfach noch Konfigurationssachen gemacht und Verhalten getestet

    Vielen Dank für eure Hilfe!

Reply
  • Ich habe mich nun vergangenen Freitag und Montag endlich wieder nach langer Pause in Ruhe dran gesetzt. Ich finds immer Super, wenn der Threadersteller die Lösung dann zwar hat aber nie preis gibt, um das hier anders zu machen hier die Punkte die ich generell noch gemacht hatte und mich zur Lösung gebracht haben:

    - Von MTA wieder zu Legacy Modus gewechselt (Hatte zuvor beides ausprobiert; Zuletzt MTA)

    - SSL Default Cert der XGS ordentlich eingerichtet und neu ausgestellt (Certificates -> Certificate Authorities -> Default -> Edit-Button; Konnte mal ne SSL VPN Config nicht speichern bis ich das CA Cert gescheit eingerichtet hatte, deshalb das hier gemacht)

          - Das  SecurityAppliance_SSL_CA über das Zahnradsymbol neu ausgestellt, exportiert und bei Clients nochmal unter vertrauenswürdige Stammzertifizierungsstellen hinterlegt

          - Unter Reiter Certificates auch direkt das ApplianceCertificate neu gemacht, was hiermit aber nix mit zu tun hat  

    - Generell unter EMail alles durchgegangen und hier und da einiges angepasst / korrigiert

    - Firewall Regel für IMAP/POP/IMAP Scanning geprüft und nur für einen Client aktiv gesetzt

          - Definition für Port 465 erstellt und der FW Regel unter Services hinzugefügt (Outlooks machen 993 / 465; XGS hat als SMTPs aber nur 587 also vorsicht)

          - Kontrolle im Log Viewer (Mail Datenverkehr nutzt die FW Regel korrekt aber EMail Log kommt nichts)

          - Bräsiger Fehler: NAT der Firewallregel nicht auf Maskierung (MASQ) gestellt; Das korrigiert; Siehe da, Mail Log füllt sich nun.....

    - Ab hier dann einfach noch Konfigurationssachen gemacht und Verhalten getestet

    Vielen Dank für eure Hilfe!

Children
  • Hallo TechnikBingo,

    ich frage nur weil der Teufel ein Eichhörnchen ist :).

    1.) Gültige Mail-Protection Lizenz?

    Ich habe es jetzt nochmal aktive getestet, es reicht eine Firewall-Regel zu erstellen. Oder es kann die verwendet werden die von den betroffenen Systemen als LAN -> WAN konfiguriert ist. 

    Hast du zum Beispiel eine Regel WAN_ALLE kannst du diese auch nehmen, falls für alle gescant werden soll. Hacke unten die Mail-Dienste an.

    POP/s IMAP/s und konfiguriere unter Mail die Scanregel. Die 2te regel kann dan z.B. lauten wenn es 100% spam ist blocke es!

    Viele Grüße

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Hallo Patrick,

    vielen Dank für deine Antwort; Habe es seit dem letzten Post vom 09.03.23 am Laufen, passt so nun. Slight smile

    Ich hab die Mail Scanning Firewallregel an erster Stelle von LAN->WAN gesetzt und das darüber eingerichtet, so kann man im Fehlerfall mal eben das Scanning deaktivieren ohne was an den Regeln selbst einzustellen. 

    Vom Grundprinzip ja nun auch keine irre aufwändige Sache, aber es wollt einfach nicht, irgendwann verheddert man sich auch mal wenn man testet und irgendwo grundlegende Fehler hat (NAT Maskierung.......).

    N bisschen Schade ist aber, dass mit IMAP nicht so viel angefangen werden kann wie mit SMTP, aber naja so ist es halt. So definitiv erheblich besser als das (zumindest unkomplizierte) Konzept "Durchzug".

    Viele Grüße

    TechnikBingo