In einer zunehmend digitalisierten Welt ist der Schutz Ihrer E-Mail-Kommunikation unerlässlich. Die Sophos XG Firewall bietet eine zuverlässige Lösung zum Schutz vor E-Mail-basierten Bedrohungen wie Spam, Malware und Phishing. In diesem Artikel zeigen wir Ihnen, wie Sie die E-Mail-Schutzfunktion in Sophos XG einrichten, um Ihre Organisation vor potenziellen Risiken zu schützen.
Voraussetzungen
Bevor Sie mit der Einrichtung beginnen, sollten Sie sich der folgenden Anforderungen bewusst sein:
- Abonnement erforderlich: Um die E-Mail-Schutzfunktionen von Sophos XG zu nutzen, benötigen Sie ein entsprechendes Abonnement.
- SSL-Zertifikat für TLS: Die Nutzung von TLS erfordert ein SSL-Zertifikat, das auf der Sophos XG importiert werden muss.
Es ist wichtig, sowohl den eingehenden als auch den ausgehenden E-Mail-Verkehr richtig zu konfigurieren, um die Sicherheit Ihrer E-Mails zu gewährleisten.
Schritt 1: Allgemeine Einstellungen
1.1 SMTP-Modus wählen
Gehen Sie in der Verwaltungskonsole von Sophos XG zu Protect -> Email -> General Settings. Im Bereich „SMTP Deployment Mode“ empfehlen wir, den MTA-Modus auszuwählen, da dieser für die meisten Szenarien am besten geeignet ist.
1.2 SMTP-Hostname konfigurieren
Tragen Sie den Hostnamen ein, über den die Sophos XG antworten soll. Zum Beispiel:mail.contoso.com
1.3 TLS-Konfiguration anpassen
Für eine sichere Kommunikation über TLS müssen Sie das SSL-Zertifikat unter System -> Certificates importieren und es in der TLS-Konfiguration verwenden.
1.4 Invalid Certificates zulassen
Wenn Sie auf Server stoßen, die ein ungültiges Zertifikat verwenden, können Sie die Option Allow Invalid Certificates aktivieren. Dies ist häufig bei älteren Servern der Fall.
1.5 TLS-Verhandlung überspringen
Falls der interne Mailserver TLS nicht korrekt unterstützt, können Sie die TLS-Verhandlung überspringen, indem Sie Skip TLS negotiation aktivieren. Ein häufiger Fehler, der dies erforderlich macht, ist etwa: TLS negotiation failed im Exchange-Log.
1.6 Smarthost-Einstellungen
Falls ein Smarthost für den ausgehenden E-Mail-Verkehr verwendet wird, konfigurieren Sie diesen hier. Andernfalls versendet die Sophos XG die E-Mails direkt.
Schritt 2: Eingehender E-Mail-Verkehr
2.1 SMTP-Relay aktivieren
Gehen Sie zu System -> Administration und aktivieren Sie das SMTP Relay auf der WAN-Seite, um eingehende E-Mails korrekt zu empfangen.
2.2 SMTP-Routen & Spam-Schutz konfigurieren
Gehen Sie zu Protect -> Email -> Policies und erstellen Sie eine neue Policy mit der Bezeichnung SMTP Route & Scan. Füllen Sie die Felder wie folgt aus:
- Protected Domain: Geben Sie den Domänennamen ein (z. B.
contoso.com). - Route By: Wählen Sie Static Host und fügen Sie den Mailserver hinzu.
- Spam Protection: Aktivieren Sie den Spam-Schutz, um unerwünschte E-Mails herauszufiltern.
- Recipient Verification: Aktivieren Sie die Option With Callout, um zu überprüfen, ob die E-Mail-Adresse des Empfängers existiert.
Aktivieren Sie zudem die Malware Protection und, falls lizenziert, Sandstorm, um Malware- und Zero-Day-Angriffe zu verhindern.
2.3 Dateitypschutz aktivieren
Unter Optional: File Protection können Sie auswählen, welche Dateitypen blockiert werden sollen. Zu den häufig blockierten Typen gehören Executable Files, System Files und Plugin Files. Halten Sie die Ctrl-Taste gedrückt, um mehrere Dateitypen auszuwählen.
Schritt 3: Ausgehender E-Mail-Verkehr
3.1 SMTP-Relay für den LAN-Verkehr aktivieren
Navigieren Sie zu System -> Administration und aktivieren Sie das SMTP Relay auf der LAN-Seite, um den ausgehenden Verkehr über die Sophos XG zu leiten.
3.2 Interne Mailserver einrichten
Gehen Sie zu Protect -> Email -> Relay Settings und tragen Sie den internen Mailserver ein, der als Smarthost fungiert.
Schritt 4: Firewall-Regel anpassen
Beim Aktivieren des MTA-Modus wird automatisch eine Firewall-Regel erstellt, die alle Netzwerkclients dazu zwingt, die Sophos XG als SMTP-Server zu verwenden. Diese Regel könnte jedoch dazu führen, dass externe Dienste wie Gmail nicht mehr über Outlook gesendet werden können. Wir empfehlen, diese Regel zu löschen, um unnötige Einschränkungen zu vermeiden.
Schritt 5: Quarantine Digest einrichten
Damit Benutzer einen täglichen Bericht über E-Mails erhalten, die in der Quarantäne gelandet sind, gehen Sie zu Protect -> Email -> Quarantine Digest und aktivieren Sie die Option. Stellen Sie die folgenden Einstellungen ein:
- E-Mail Frequency: Täglich um 10:00 Uhr
- From:
quarantine@contoso.com - Display Name: Quarantine Digest
- Reference User Portal IP: Port1 (der LAN-Port der Sophos XG)
Wichtig: Unter Change User’s Quarantine Digest Settings müssen alle Benutzer eingetragen werden, die den Bericht erhalten sollen.
Schritt 6: Exchange-spezifische Anpassungen
Wenn Sie Exchange in Ihrer Umgebung verwenden, können Sie mithilfe von Exchange PowerShell den MTA in die Whitelist setzen und den Exchange ContentFilter sowie den SenderID-Agent deaktivieren. Verwenden Sie die folgenden Befehle:
Get-ContentFilterConfig
Set-ContentFilterConfig -Enabled $false
Set-ContentFilterConfig -ExternalMailEnabled $false
Add-IPAllowListEntry -IPAddress X.X.X.X
Get-SenderIDconfig
Set-SenderIDconfig -enabled $false
Set-SenderIDconfig -externalmailenabled $false
Fazit
Die richtige Konfiguration des E-Mail-Schutzes in der Sophos XG Firewall ist entscheidend für den Schutz Ihrer Organisation vor E-Mail-basierten Bedrohungen. Mit den oben beschriebenen Schritten stellen Sie sicher, dass sowohl der eingehende als auch der ausgehende E-Mail-Verkehr sicher und effizient abgewickelt wird. Schützen Sie Ihr Unternehmen noch heute mit einer robusten E-Mail-Schutzlösung!