Sophos XG 19.5 im Legacy Mail Modus ...

Mail an sich ist kein einfaches Thema.

Ich verwende immer den MAT Mode, wo die Firewall einen "richtigen" Mailserver für eingehende Mails darstellt.

Wenn die typischen Spam-.Methoden richtig konfiguriert sind (Graylisting, SPF, RBL, ... ) hällt sich das Spam-Aufkommen in Grenzen.

dirkkotte said:

Ich verwende immer den MAT Mode, wo die Firewall einen "richtigen" Mailserver für eingehende Mails darstellt.

Das funktioniert doch wohl nur, wenn Du lediglich einen Mail User Client verwendest. Mit einen eigenen Mailserver im LAN (z.B. Tobit David) wird das doch nichts, den hängt man dann doch offen ins Web?

nee,

ich habe ganze Firmen/Stadtverwaltungen hinter dem MTA-Mode hängen.

MTA ist mehr "old scool". Da wird noch jede Mail an den MAT ausgeliefert, welche darüber nachdenkt und sie dann (evtl) weiterleitet. 

Den MTA Mode möchte ich gerade vermeiden. Wenn die DSL Leitung mal länger ausfällt, gehen Mails als unzustellbar zurück. Ausserdem hat jeder Kunde einen ISP mit Mailpostfächern. Sind kleine Firmen wie Steuerbüros. etc.

Den MTA Mode möchte ich gerade vermeiden. Wenn die DSL Leitung mal länger ausfällt, gehen Mails als unzustellbar zurück. Ausserdem hat jeder Kunde einen ISP mit Mailpostfächern. Sind kleine Firmen wie Steuerbüros. etc.

Na gut, aber bei SMTP muss die Leitung schon eine ganze Weile tot sein, bis eine Mail als unzustellbar zurückgeht.

Und wenn die Mails eh beim Provider liegen, wird doch bestimmt mit POP3/IMAP und nicht SMTP gearbeitet.

Hallo Dirk,
das ist doch (eines) meiner Probleme. Die Mails liegen beim Provider (sollen nach Möglichkeit auch dort liegen bleiben) und werden per POP3 dort abgeholt. Die Sophos XG unterstützt dies im "Legacy Mode" (MTA Mode setzt ja dem Empfang per SMTP voraus). Für den Legacy Mode suche ich eine gute Konfigurationsanleitung, so dass Spam auch hier wirksam gefilter bzw. in Quarantäne geschickt werden. Ist Dir / Euch hier irgendwas bekannt? Bei der UTM keinerlei Problem bei diesem "Wunsch", nur die gibts ja nicht mehr lange ...

Bin ich wirklich der Einzige, der mit dem Verlust des POP3 Mailproxy und dessen Features der Sophos XG (UTM) Probleme hat, dies in der Sophos XG abzubilden? Ich kann mir beim besten Willen nicht vorstellen, dass hier *alle* kleineren Kunden, die bisher eine Sophos SG eingesetzt haben, die Mails per SMTP zugestellt bekommen. Bei größeren Firmen keine Frage, aber in Deutschland, in der digitalen Wüste ist das doch (lokal) nicht der Regelfall.

@all gibts hier User/Admins die die Sophos XG im Legacy Mode nutzen?

lG Michael

Das Thema ist, dieses Konzept, dass du dort machst, ist ein Relikt aus der Vergangenheit. Diese kleinen Kunden migrieren zur Zeit immer mehr in Richtung M365, da dort eben alles abbildbar ist, was Kunden heutzutage brauchen und man sich das ganze POP3 und Popcon etc. spart. 

Vielleicht auf lange Sicht ist das auch für deine kleineren Kunden der bessere Weg. 

POP3 Scanning in SFOS wird im Stream gemacht, dort wird eine Email analysiert, wenn diese per POP3 abgerufen wird. Dafür musst du in der Regel auch das Zertifikat installieren, damit die Firewall ein MiTM machen kann (POP3S). 

Ich betreibe meinen SMTP-mail-Proxy im MTA Mode und POPe trotzdem.

Ich denke, Legacy-/MTA-Mode ist nur für SMTP interessant.

Unter logviewer/email sehe ich die eingehenden POP-mails. Da mein ISP gut filtert, kann ich selber nichts geblocktes sehen.

Ich habe eine ganz normale Firewall-Rule, in welcher POPs erlaubt und scan POP/POPs angehakt ist. 

dirkkotte said:

Ich denke, Legacy-/MTA-Mode ist nur für SMTP interessant.

Aber auch selbst im Legacy-Modus werden SMTP-Mails gescannt:

Aber wo landen die gescannten Spam und Virenverseuchten Mails die per POP3 "gescannt" werden?
Bei der Sophos XG waren in dem Quarantänereport und ich konnte "false Positive" freigeben.

Ich glaube, die XG hat keine POP3 Quarantaine. Spam wird max. als solcher markiert und ungewollte (oder evtl. verseuchte) Dateianhänge werden durch einen xyz.txt Hinweis ersetzt.
Unter EMAIL ist ja auch nur die "SMTP Quarantaine" zu finden.

vergleiche auch "select action" in https://docs.sophos.com/nsg/sophos-firewall/19.5/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Email/PoliciesExceptions/EmailPOPIMAPScanPolicyAdd/index.html

dirkkotte said:

Ich glaube, die XG hat keine POP3 Quarantaine. Spam wird max. als solcher markiert und ungewollte (oder evtl. verseuchte) Dateianhänge werden durch einen xyz.txt Hinweis ersetzt.

Quarantäne kann diese nur im MTA-Modus.

Was mit den gescannten und als "gefählich" erkannten Mails (egal welches Protokoll) passiert, kann man unter Emails/Richtlinien ziemlich dedailiert anpassen:

Man kann die Sache so streng einstellen, dass Spam überhaupt nicht mehr durchkommt, es sei, man will es.

ja, aber hier geht es nicht um SMTP. Da kann man alles sehr granular einrichten ...

... aber guck doch mal in die POP3 Rules ... wo findest du da Quarantäne oder verwerfen?

Hallo LuCar Toni,

Du wirst (vielleicht) Recht haben, mein Szenario ist ein Relikt aus der Vergangenheit. Muss schon bei dem Gedanken fast lachen, da es mich an die Microsoft Lehrgänge zur Zeiten NT 3.51 und NT 4.0 erinnert. Da sprach man immer von AD Szenarien, von ACME Standorten (musstest ermal schnallen, dass ACME = Firma heißt) Paria, Lodon, Tokio und New York. - Aber alles an der Anwenderstruktur mindestens einmal in Deutschland vollkommen vorbei gedacht. Auch ein kleines Steuerbüro hat ein AD mit seinen 3 Usern ...

Astaro hatte da eigentlich mit der SG die, für den deutschen Bereich, perfekte Lösung: Proxy's die auf funtionierten für WEB, POP3, SMTP und WAF ... Und dann kam Sophos und bergab ging es. Simpelste Dinge wie den DNS Host sind (meines Wissens, lasse mich gerne korrigieren) nicht in der XG implementiert. Hier muss ich statische IP Adressen hinterlegen um z.B. den Zugriff aus dem Internet auf die XG Admin Console zu sperren. Let's Encrypt fehlt ... usw. usw. usw.

Warum gibt es keinen KB Artikel, der die Einrichtung der E-Mail Geschichte für die beiden Szenarien:
Legacy
MTA

wirklich gut beschreibt. Vor- und Nachteile aufzeigt.

Wie ich oben schrieb, als kompliziertesten Migratispunkt sah ich die WAF für den Mailserver (Exchange in meiner Testumgebung) an. Die EInrichtung funktioniere auf Anhieb perfekt! Auch SNAT nach einigen Fehlversuchen läuft perfekt, Site2Site zu meinem Kumpel auf eine Sophos UTM perfekt ... Aber E-Mail .. Nada ..

Bitte sei mir nicht böse, meinen Frust (nach 3 Wochen Migration) trifft Dich und damit einen der engagiertesten Menschen hier.
Aber kannst Du mir nicht nen Tip geben, wie ich mein Problem möglichst perfekt lösen kann?

Wie funktioniert das Regelfwerk in der Sophos XG? - Per default, Legacy Mode werden ja einige Filterregeln eingefügt. Aber wie aktiviere ich die bzw. wie funktionieren die? Ich habe das Gefühl, das die einfach nicht korrekt greifen ... Denn ich werde (gefühlt) überschüttet mir Spam.

Auch von Seiten Sophos müsste es doch hier etwas geben?! Gibt es hier keinen KB Beitrag ähnlich "Idiotensicher" der WAF`?

lG Michael