Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 9 subscribers
  • Views 4634 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XG 19.5 im Legacy Mail Modus ...

mipo

Hallo zusammen,

notgedrungen muss ich einige Kunden Sophos UTM Firewalls in frühestens einem Jahr auf die XG umstellen.

Als Testobjekt habe ich eine XG Home Version (bei mir zuhause) installiert. Ein Mailserver befindet sich im LAN, der einzelne E-Mail Postfächer beim Provider per POP3 Downloader abholt und intern den Postfächern zustellt. Also 1:1. Funktionierte mit der UTM seit Jahren einwandfrei. Also eine direkte Zustellung über Port 25 findet also in meinem Falle nicht statt! Daher habe ich den Sophos XG "Legacy Mail Mode" gewählt.

Mir stellt sich nur die Frage, wie ich

a) Spammails effektiv über die Firewall in Quarantäne schicke
b) Diese in Quarantäne befindlichen Spammails einsehen und ggf. als "false positive" freigeben kann
c) Eine Whitelist für vertrauenswürdige Absender definieren kann

Im Moment werde ich nahezu von Spams erschlagen. Domain gibts seit 2000, die ist recht bekannt - wenn auch privat. Wird also so gut wie nichts gefiltert.

Gibt es ein gute HowTo zu diesem Thema und "Legacy Mode"? Ich bin erstaunt, die Einrichtung der WAF war bei der UTM eigentlich die Kür (also recht komplex),
das funktionierte bei der XG dank dem superguten HowTo (KB Artikel) problemlos. Nur bei dem Mailkram scheitere ich wohl bisher ....

Könnt ihr mir hier einen wirklich guten Tip geben? Oder einen gut dokumentierten Konfigurationsvorschlag "zum nachbauen"?


lG Michael



This thread was automatically locked due to age.
Parents
  • 0

    Mail an sich ist kein einfaches Thema.

    Ich verwende immer den MAT Mode, wo die Firewall einen "richtigen" Mailserver für eingehende Mails darstellt.

    Wenn die typischen Spam-.Methoden richtig konfiguriert sind (Graylisting, SPF, RBL, ... ) hällt sich das Spam-Aufkommen in Grenzen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • 0

    Mail an sich ist kein einfaches Thema.

    Ich verwende immer den MAT Mode, wo die Firewall einen "richtigen" Mailserver für eingehende Mails darstellt.

    Wenn die typischen Spam-.Methoden richtig konfiguriert sind (Graylisting, SPF, RBL, ... ) hällt sich das Spam-Aufkommen in Grenzen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
  • 0 in reply to dirkkotte
    dirkkotte said:
    Ich verwende immer den MAT Mode, wo die Firewall einen "richtigen" Mailserver für eingehende Mails darstellt.

    Das funktioniert doch wohl nur, wenn Du lediglich einen Mail User Client verwendest. Mit einen eigenen Mailserver im LAN (z.B. Tobit David) wird das doch nichts, den hängt man dann doch offen ins Web?

  • 0 in reply to R Richter

    nee,

    ich habe ganze Firmen/Stadtverwaltungen hinter dem MTA-Mode hängen.

    MTA ist mehr "old scool". Da wird noch jede Mail an den MAT ausgeliefert, welche darüber nachdenkt und sie dann (evtl) weiterleitet. 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Den MTA Mode möchte ich gerade vermeiden. Wenn die DSL Leitung mal länger ausfällt, gehen Mails als unzustellbar zurück. Ausserdem hat jeder Kunde einen ISP mit Mailpostfächern. Sind kleine Firmen wie Steuerbüros. etc.

  • 0 in reply to mipo

    Na gut, aber bei SMTP muss die Leitung schon eine ganze Weile tot sein, bis eine Mail als unzustellbar zurückgeht.

    Und wenn die Mails eh beim Provider liegen, wird doch bestimmt mit POP3/IMAP und nicht SMTP gearbeitet.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo Dirk,
    das ist doch (eines) meiner Probleme. Die Mails liegen beim Provider (sollen nach Möglichkeit auch dort liegen bleiben) und werden per POP3 dort abgeholt. Die Sophos XG unterstützt dies im "Legacy Mode" (MTA Mode setzt ja dem Empfang per SMTP voraus). Für den Legacy Mode suche ich eine gute Konfigurationsanleitung, so dass Spam auch hier wirksam gefilter bzw. in Quarantäne geschickt werden. Ist Dir / Euch hier irgendwas bekannt? Bei der UTM keinerlei Problem bei diesem "Wunsch", nur die gibts ja nicht mehr lange ...

    Bin ich wirklich der Einzige, der mit dem Verlust des POP3 Mailproxy und dessen Features der Sophos XG (UTM) Probleme hat, dies in der Sophos XG abzubilden? Ich kann mir beim besten Willen nicht vorstellen, dass hier *alle* kleineren Kunden, die bisher eine Sophos SG eingesetzt haben, die Mails per SMTP zugestellt bekommen. Bei größeren Firmen keine Frage, aber in Deutschland, in der digitalen Wüste ist das doch (lokal) nicht der Regelfall.

    @all gibts hier User/Admins die die Sophos XG im Legacy Mode nutzen?

    lG Michael


  • 0 in reply to mipo

    Das Thema ist, dieses Konzept, dass du dort machst, ist ein Relikt aus der Vergangenheit. Diese kleinen Kunden migrieren zur Zeit immer mehr in Richtung M365, da dort eben alles abbildbar ist, was Kunden heutzutage brauchen und man sich das ganze POP3 und Popcon etc. spart. 

    Vielleicht auf lange Sicht ist das auch für deine kleineren Kunden der bessere Weg. 

    POP3 Scanning in SFOS wird im Stream gemacht, dort wird eine Email analysiert, wenn diese per POP3 abgerufen wird. Dafür musst du in der Regel auch das Zertifikat installieren, damit die Firewall ein MiTM machen kann (POP3S). 

    __________________________________________________________________________________________________________________

  • 0 in reply to mipo

    Ich betreibe meinen SMTP-mail-Proxy im MTA Mode und POPe trotzdem.

    Ich denke, Legacy-/MTA-Mode ist nur für SMTP interessant.

    Unter logviewer/email sehe ich die eingehenden POP-mails. Da mein ISP gut filtert, kann ich selber nichts geblocktes sehen.

    Ich habe eine ganz normale Firewall-Rule, in welcher POPs erlaubt und scan POP/POPs angehakt ist. 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte
    dirkkotte said:
    Ich denke, Legacy-/MTA-Mode ist nur für SMTP interessant.

    Aber auch selbst im Legacy-Modus werden SMTP-Mails gescannt:

  • 0 in reply to R Richter

    Aber wo landen die gescannten Spam und Virenverseuchten Mails die per POP3 "gescannt" werden?
    Bei der Sophos XG waren in dem Quarantänereport und ich konnte "false Positive" freigeben.

  • 0 in reply to mipo

    Ich glaube, die XG hat keine POP3 Quarantaine. Spam wird max. als solcher markiert und ungewollte (oder evtl. verseuchte) Dateianhänge werden durch einen xyz.txt Hinweis ersetzt.
    Unter EMAIL ist ja auch nur die "SMTP Quarantaine" zu finden.

    vergleiche auch "select action" in https://docs.sophos.com/nsg/sophos-firewall/19.5/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Email/PoliciesExceptions/EmailPOPIMAPScanPolicyAdd/index.html


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Unfiltered HTML