Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 9 subscribers
  • Views 4634 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XG 19.5 im Legacy Mail Modus ...

mipo

Hallo zusammen,

notgedrungen muss ich einige Kunden Sophos UTM Firewalls in frühestens einem Jahr auf die XG umstellen.

Als Testobjekt habe ich eine XG Home Version (bei mir zuhause) installiert. Ein Mailserver befindet sich im LAN, der einzelne E-Mail Postfächer beim Provider per POP3 Downloader abholt und intern den Postfächern zustellt. Also 1:1. Funktionierte mit der UTM seit Jahren einwandfrei. Also eine direkte Zustellung über Port 25 findet also in meinem Falle nicht statt! Daher habe ich den Sophos XG "Legacy Mail Mode" gewählt.

Mir stellt sich nur die Frage, wie ich

a) Spammails effektiv über die Firewall in Quarantäne schicke
b) Diese in Quarantäne befindlichen Spammails einsehen und ggf. als "false positive" freigeben kann
c) Eine Whitelist für vertrauenswürdige Absender definieren kann

Im Moment werde ich nahezu von Spams erschlagen. Domain gibts seit 2000, die ist recht bekannt - wenn auch privat. Wird also so gut wie nichts gefiltert.

Gibt es ein gute HowTo zu diesem Thema und "Legacy Mode"? Ich bin erstaunt, die Einrichtung der WAF war bei der UTM eigentlich die Kür (also recht komplex),
das funktionierte bei der XG dank dem superguten HowTo (KB Artikel) problemlos. Nur bei dem Mailkram scheitere ich wohl bisher ....

Könnt ihr mir hier einen wirklich guten Tip geben? Oder einen gut dokumentierten Konfigurationsvorschlag "zum nachbauen"?


lG Michael



This thread was automatically locked due to age.
  • 0 in reply to mipo

    Ich glaube, die XG hat keine POP3 Quarantaine. Spam wird max. als solcher markiert und ungewollte (oder evtl. verseuchte) Dateianhänge werden durch einen xyz.txt Hinweis ersetzt.
    Unter EMAIL ist ja auch nur die "SMTP Quarantaine" zu finden.

    vergleiche auch "select action" in https://docs.sophos.com/nsg/sophos-firewall/19.5/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Email/PoliciesExceptions/EmailPOPIMAPScanPolicyAdd/index.html


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte
    dirkkotte said:
    Ich glaube, die XG hat keine POP3 Quarantaine. Spam wird max. als solcher markiert und ungewollte (oder evtl. verseuchte) Dateianhänge werden durch einen xyz.txt Hinweis ersetzt.

    Quarantäne kann diese nur im MTA-Modus.

    Was mit den gescannten und als "gefählich" erkannten Mails (egal welches Protokoll) passiert, kann man unter Emails/Richtlinien ziemlich dedailiert anpassen:

    Man kann die Sache so streng einstellen, dass Spam überhaupt nicht mehr durchkommt, es sei, man will es.

  • 0 in reply to R Richter

    ja, aber hier geht es nicht um SMTP. Da kann man alles sehr granular einrichten ...

    ... aber guck doch mal in die POP3 Rules ... wo findest du da Quarantäne oder verwerfen?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to LuCar Toni

    Hallo LuCar Toni,

    Du wirst (vielleicht) Recht haben, mein Szenario ist ein Relikt aus der Vergangenheit. Muss schon bei dem Gedanken fast lachen, da es mich an die Microsoft Lehrgänge zur Zeiten NT 3.51 und NT 4.0 erinnert. Da sprach man immer von AD Szenarien, von ACME Standorten (musstest ermal schnallen, dass ACME = Firma heißt) Paria, Lodon, Tokio und New York. - Aber alles an der Anwenderstruktur mindestens einmal in Deutschland vollkommen vorbei gedacht. Auch ein kleines Steuerbüro hat ein AD mit seinen 3 Usern ...

    Astaro hatte da eigentlich mit der SG die, für den deutschen Bereich, perfekte Lösung: Proxy's die auf funtionierten für WEB, POP3, SMTP und WAF ... Und dann kam Sophos und bergab ging es. Simpelste Dinge wie den DNS Host sind (meines Wissens, lasse mich gerne korrigieren) nicht in der XG implementiert. Hier muss ich statische IP Adressen hinterlegen um z.B. den Zugriff aus dem Internet auf die XG Admin Console zu sperren. Let's Encrypt fehlt ... usw. usw. usw.

    Warum gibt es keinen KB Artikel, der die Einrichtung der E-Mail Geschichte für die beiden Szenarien:
    Legacy
    MTA

    wirklich gut beschreibt. Vor- und Nachteile aufzeigt.

    Wie ich oben schrieb, als kompliziertesten Migratispunkt sah ich die WAF für den Mailserver (Exchange in meiner Testumgebung) an. Die EInrichtung funktioniere auf Anhieb perfekt! Auch SNAT nach einigen Fehlversuchen läuft perfekt, Site2Site zu meinem Kumpel auf eine Sophos UTM perfekt ... Aber E-Mail .. Nada ..

    Bitte sei mir nicht böse, meinen Frust (nach 3 Wochen Migration) trifft Dich und damit einen der engagiertesten Menschen hier.
    Aber kannst Du mir nicht nen Tip geben, wie ich mein Problem möglichst perfekt lösen kann?

    Wie funktioniert das Regelfwerk in der Sophos XG? - Per default, Legacy Mode werden ja einige Filterregeln eingefügt. Aber wie aktiviere ich die bzw. wie funktionieren die? Ich habe das Gefühl, das die einfach nicht korrekt greifen ... Denn ich werde (gefühlt) überschüttet mir Spam.

    Auch von Seiten Sophos müsste es doch hier etwas geben?! Gibt es hier keinen KB Beitrag ähnlich "Idiotensicher" der WAF`?


    lG Michael

  • 0 in reply to mipo

    Meine persönliche Meinung ist: Lass vom POP3 los. Es ist keine Lösung mehr für die Zukunft. 

    Sophos baut KBAs für UseCases, die auch eingesetzt werden. POP3 wie auch IMAP sind Home Anwender UseCases. Ich weiß, dass es noch vereinzelt im Business Umfeld genutzt wird, aber die Zahlen werden immer kleiner bzw. verschwinden durch die Migrationen zu M365 und anderen Dienstleister, die einfach POP3 überholt haben. 

    SFOS arbeitet Stream basiert - Das bedeutet, wenn ein User eine Verbindung zu einem POP3 Server aufbaut, dann wird dort die Email im Stream überprüft und blockiert. Dabei existiert keine Quarantäne oder ähnliches - Die UTM hat das mittels einem POP3 Proxy gelöst. Das ist der Grund, warum SFOS IMAP und POP3 kann - dort wird beides mittels Stream gelöst. Auf der UTM ist ein POP3 Proxy, der eigenständig Emails abruft und andere Dinge tut. 

    Diese Technologie in SFOS zu integrieren hat keine Zukunft - Wenn du Abseits von Deutschland schaust (und das ist auch ein großer Markt), ist POP3 und IMAP nicht existent. Nur Deutschland hält an den eigenen Servern fest. https://www.statista.com/statistics/986367/worldwide-microsoft-exchange-server-mailbox-deployment/

    Erschreckend ist das: https://www.shodan.io/search/report?query=http.title%3Aoutlook+exchange Wir haben mehr Exchange Server mit OWA im Internet als USA. Wahrscheinlich sogar alleine mehr als die ganzen anderen EU Länder zusammen. 

    Ich sehe dein Problem in der Art, wie du Email betrachtest. Du solltest als MTA erst die Email filtern. Danach an einen Email Server weitergeben. Erstmal alles auf einen Email Server geben, danach es versuchen dort rauszu definieren halte ich für veraltet. Aber das wäre ein M365 Gespräch an dieser Stelle und hat mir Sophos nicht mehr viel zu tun. Ich weiß nicht, wie Partner heutzutage überhaupt noch da mithalten können, bei jedem Kunden, bei dem ein Exchange Server steht, da muss doch jede 1-2 Monate Patches installiert werden. Wenn ich das hochrechne, kostet das doch viel Zeit? Wer bezahlt das eigentlich? 

    __________________________________________________________________________________________________________________

Unfiltered HTML