E-Mail Transport Settings

Die Konfigurationsmöglichkeiten in den E-Mail Transport Einstellungen umfassen SMTP Empfangs und Transport Richtlinien, Externe Domänen Richtlinien, akzeptierte Domänen, Weiterleitungen an interne MailServer, Einstellungen zur Verbindungssicherheit und vertrauenswürdige Netze.

Über die lokalen Netzwerke bestimmen Sie, - von welchen Hosts - oder aus welchen Netzwerken – E-Mails über die REDDOXX versendet werden dürfen.

Steht vor Ihrer REDDOXX-Appliance ein Mail Relay oder eine Firewall mit einem SMTP-Serverdienst oder einem POP3-Collector Service, der zuerst die E-Mails annimmt, darf diese NICHT in den lokalen Netzwerken stehen, da sonst weder eine Validierung auf Spam erfolgen kann und keine Empfängerprüfung möglich ist.

Folgende Schritte zur Konfiguration Lokaler Netzwerke sind notwendig:

  1. Klicken Sie auf Netzwerk Hinzufügen
  2. Tragen Sie einen beschreibenden Namen ein
  3. Tragen Sie die IP Adresse des lokalen Netzwerkes oder eines einzelnen Hosts im CIDR Format ein
  4. Übernehmen Sie den Eintrag mit "Save"

Über die Lokalen Internetdomänen (Local Domains) können Sie interne E-Mail-Domänen anlegen, für welche die REDDOXX Appliance E-Mails empfangen soll.
Zusätzlich ist es möglich, eine Empfängerüberprüfung einzurichten, damit die Appliance bei Eingang einer E-Mail prüfen kann, ob der Empfänger existiert.
Die Prüfung findet dann über die der Appliance bekannten (lokal angelegte oder via LDAP synchronisierte) Empfänger statt.
Damit kann Spam an nicht existierende Adressen im Unternehmen herausgefiltert werden.

Folgende Schritte sind notwendig, um eine Lokale Internetdomäne anzulegen (Die Schritte 4-12 sind dabei Optional):

  1. Klicken Sie auf Domäne Hinzufügen
  2. Geben Sie die Domäne an, für die Sie E-Mails empfangen möchten
  3. Wählen Sie ob die Empfängerüberprüfung genutzt werden soll (Activate recipient validation)
  4. Für Domänen die bei Microsoft 365 liegen, kann hier "enable Hosted Exchange support" aktiviert werden, damit erkennt die Appliance dann anhand der DKIM Signatur der E-Mail,
    dass es sich um eine ausgehende E-Mail handelt (auch ohne Trusted Network Eintrag für die Microsoft 365 Netze).
    Voraussetzung hierbei ist, dass für die Domäne DKIM aktiviert sein muss (https://security.microsoft.com/dkimv2)
  5. Speichern Sie die Einstellungen mit "save"
  6. Optional können Sie im Reiter DKIM konfigurieren, dass ausgehende E-Mails mit einer DKIM Signatur versehen werden
  7. Wählen Sie zunächst "Select DKIM key" und fügen mit Add Key einen neuen DKIM Key hinzu
  8. Geben Sie dabei die Domäne, den Selector (z.B. einfach "v1") und den DKIM Private Key an (oder erstellen via Generate new key einen über die Appliance).
  9. Mit "Erstellen" schließen Sie die Erstellung des DKIM key ab
  10. Sie können nun weitere DKIM Keys für anderen Domänen / Selektoren erstellen und abschließend einen aus der Liste via "Select key" auswählen
  11. Setzen Sie entsprechend den DNS TXT Eintrag auf ihrer Domain und prüfen dann in der Appliance mit "Update status" ob die DNS Einstellungen korrekt ausgelesen werden können
  12. Erst dann sollten Sie auf "Enable DKIM" klicken und den Dialog mit "Save" beenden
    Aktivieren Sie DKIM erst, wenn die DNS Einstellungen gesetzt sind und funktionieren (andernfalls könnten empfangende Systeme, welche DKIM unterstützen und eine DKIM signierte E-Mail der Appliance erhalten, die E-Mails ablehnen).

  • In den External Domain Policies werden Richtlinien für die Verbindung mit spezifischen Domains festgelegt
  • Hierbei können ein oder mehrere öffentliche Zertifikate der Gegenstelle ausgewählt, das TLS Verhalten sowie eine etwaige Benutzerauthentifizierung gefordert werden
  • Die Einstellungen sind nur bei wenigen Kommunikationspartnern notwendig, die dann im Vorfeld auch die entsprechenden Zertifikate zur Verfügung stellen
  • External Domain Policies haben Vorrang vor SMTP Transport Policies und dienen auch dem Schutz vor versehentlicher Fehlkonfiguration der SMTP Transport Policies für bestimmte Domains
  • Für die Verwendung der MTLs Richtlinien muss im entsprechenden SMTP Receive Connector ausgewählt sein, dass das Client Zertifikat angefordert wird (Request Client certificate in TLS Settings)

Falls Sie bestimmte Verbindungsspezifische Sicherheitsanforderungen für einen oder mehrere Kommunikationspartner unbedingt erfüllen müssen, gehen Sie wie folgt vor:

  1. Klicken Sie auf "Add policy"
  2. Vergeben Sie im Reiter Allgemein einen Namen und eine Beschreibung für die Richtlinie und geben die Domains an, für die diese Richtlinie verwendet werden soll
  3. Setzen Sie in den Reitern Outbound Policy und Inbound Policy die geforderten Sicherheitsrichtlinien des Kommunikationspartners um
  4. Wählen Sie ob TLS verwendet werden soll und inwiefern eine Überprüfung der Zertifikate stattfinden muss
    Dabei besteht die Auswahl zwischen:
    • Jedes Zertifikat akzeptieren (Accept any certificate - no validation)
    • Jedes gültige Zertifikat akzeptieren (Accept any valid certificate)
    • Die Verbindung akzeptieren wenn innerhalb der übermittelten Zertifikatskette ein Zertifikat mit einem hinterlegten Zertifikat übereinstimmt (Accept if a certificate in the chain matches one of the listed certificates)
    • Die Verbindung akzeptieren, wenn das Zertifikat mit einem der hinterlegten Zertifikate übereinstimmt (Accept if the certificate matches one of the listed certificates)
  5. Wählen Sie, ob für die Verbindung eine Benutzeranmeldung erforderlich ist
  6. Fügen Sie die vom Kommunikationspartner bereitgestellten Zertifikate hinzu (diese müssen im Vorfeld im Bereich der Öffentliche Zertifikate - Public TLS Certificates eingespielt werden)
  7. Speichern Sie die Einstellungen mit "Save"

  • Passen Sie hier die Einstellungen für den (Default, bzw Migrated) Empfangsconnector an, dieser ist per Default an alle Interfaces und Port 25 gebunden.
  • Im Cluster Betrieb muss zwingend "Any" genutzt werden, da sonst bei einem Failover der MailEmpfang nicht funktionieren kann.
  • Sie können weitere Connectoren hinzufügen, achten Sie dabei dann darauf, dass jeder Empfangsconnector nur an ein Netzwerkgerät gebunden sein kann
  • Sie können den Hostname, TLS Einstellungen, Authentifizierungsparameter sowie SPF, DKIM, DMARC konfigurieren
    • Für SMTP Auth muss sich der Versender an der Appliance mit Login und Passwort anmelden.
      Der Login setzt sich aus dem Benutzernamen des Users und dem zugehörigen Realm zusammen.
      Wenn es einen lokalen Benutzer "test" gibt, lautet der Login entsprechend test@local.
      Wenn es einen AD Benutzer "kklammer" gibt, der zum Realm "msad" gehört, wäre der Login kklammer@msad.
    • Wird "Reject mails with invalid DKIM signature" angehakt, wird die Ablehnung von nicht validierbaren Signaturen erzwungen.
    • Fehlerhaft Signierte und nicht Signierte E-Mails (für deren Domain eine DKIM Signatur vorgesehen ist) werden abgelehnt, während E-Mails mit gültiger DKIM Signatur sowie nicht Signierte E-Mails (für deren Domain keine DKIM Signatur vorgesehen ist) zugelassen werden.
  • In den RBL Filter Einstellungen werden die Filter Listen definiert und nötigenfalls auch Ausnahmen für E-Mail Relays, falls eingehende E-Mails über ein Relay geschickt werden, welches nicht gegen den RBL Filter geprüft werden soll.
    Den Namen des Relays kann man über die Header der E-Mail (Received from) ermitteln.
    Aktuell Empfehlungen zu den RBL Filter Listen finden Sie im FAQ
    Es wird empfohlen einen lokalen DNS Server zu verwenden, da einige Blacklist Filter bei Verwendung von Öffentlichen DNS Servern keine korrekten Ergebnisse liefern.
    Steht die IP Adresse eines Absenders auf einer der RBL Filter Listen, so wird diese IP in die Liste der IP-Address Filter gesetzt und eine Kommunikation für 24 Stunden abgelehnt. Danach wird erneut geprüft ob der Absender auf einer Blacklist steht.
  • Wechseln Sie in den Reiter AntiSpoofing, wenn E-Mails mit gefälschten Absendern direkt während dem SMTP Verbindungsaufbau abgelehnt werden sollen.
    Als Ausnahmen können hierbei Absender Adressen (z.B. für Webshops) hinterlegt werden, eine Adresse je Zeile.
  • Im Bereich Limits können Sie die Anzahl Maximal paralleler Verbindungen, Größe der E-Mail, Empfänger und Anzahl ungültiger Empfänger angeben

Der Internal SMTP connector kann nicht angepasst werden, da er für die Kommunikation der Services untereinander bestimmt ist.

  • Richten Sie hier eine neue Transport Policy ein (via Hinzufügen)
  • Hier wird über die Absender / Empfänger Filterung im Feld Adressen in Verbindung mit den Smarthost Einstellungen aus dem Transport Feld definiert, wohin E-Mails weitergeleitet werden sollen
  • Zusätzlich können hier TLS Einstellungen, Authentifizierung und der FQDN gesetzt werden der über ein Helo Command mitgeschickt wird.
  • Im Bereich Transport kann zudem die Option "Resolve Domain Part as Hostname" aktiviert werden, versucht die Appliance eine IP Adresse zum Domain-Part der E-Mail zu ermitteln (z.B. als A oder CNAME Record), wenn kein MX Record für den Host gefunden werden kann
  • Die Regeln werden der Reihenfolge nach abgearbeitet
  • Für jede Local Domain sollte entsprechend der Transport zu einem SmartHost (interner Mailserver) konfiguriert werden, da sonst ohne explizite Regel die Default transport policy greifen würde und die Mails via DNS an den MX weitergeleitet werden (womit es dann zu einer Mailloop kommen würde)
  • Zusätzlich können für andere Domains Transportregeln erstellt werden, die von einer DNS Abfrage abweichend verwendet werden sollen

Falls E-Mails mit der Meldung "Received an unexpected EOF or 0 bytes from the transport stream" nicht zugestellt werden können, unterstützt der empfangende Server die aktuellen SSL Algorithmen nicht
Hier muss (dies trifft insbesondere veraltete Exchange 2013 Server) eine Transportregel für die Zieldomain mit deaktiviertem TLS verwendet werden

Die Filter Einstellungen dienen dem expliziten Sperren oder Zulassen von SMTP Verbindungen.
Je nach Netzmaske kann hier ein einzelner Host oder ein komplettes Netz konfiguriert werden.

Die Liste der gesperrten IP Adressen wird von verwendeten RBL Filtern automatisch gefüllt, wenn die Funktion in den SMTP Empfangs Konnektoren genutzt ist.
Der SMTP Verbindungsaufbau wird hierbei direkt geblockt, wenn eine IP aus der gesperrten Liste mit der Appliance kommunizieren möchte.
Insbesondere bei Spamangriffen ist dies von Vorteil, da die Appliance keine Validierungen mehr durchführen muss.

Sollte in den Blacklist Einstellungen eine IP auftauchen, mit der eine Kommunikation erwünscht ist, kann dieser Eintrag editiert und von einem Blacklist in einen Whitelist Eintrag geändert werden.

Folgende Schritte sind zum erstellen eines Blacklist oder Whitelist Eintrages für gesperrte oder zugelassenen IP Adressen notwendig:

  1. Wählen Sie den entsprechenden Reiter aus, je nachdem ob eine zugelassene(Whitelist) oder gesperrte (Blacklist) Adresse hinzugefügt werden soll
  2. Klicken Sie auf Hinzufügen
  3. Tragen Sie die Werte für Netzwerk (in CIDR Notation), Gültigkeitsdauer und Beschreibung ein
  4. Übernehmen Sie die Einstellungen mit "Save"

Über den Button "Flush RBL filters" können alle automatisch erstellten Blacklist Einträge auf einmal gelöscht werden.
Dies ist insbesondere dann von Vorteil, wenn ein großer Provider mit mehreren IP Adressen kurzzeitig auf einer Blacklist stand.

Der POP3 und POP3s Proxy dient dem Abruf von POP3 Postfächern via Mail Clients.
Die Appliance ist dabei Zwischenstelle, nimmt die Anfragen der Clients (und Anmeldedaten) entgegen und führt dann die Anmeldung am eigentlichen POP3 Postfach durch.
Dabei werden dann im POP3 Postfach vorhandene E-Mails abgerufen (und aus dem Postfach gelöscht), auf der Appliance gegen Spam geprüft und archiviert und beim nächsten
Abruf durch den Client übermittelt.

Weitere Informationen zu der konkreten Vorgehensweise finden Sie in der Kurzanleitung.

Folgende Schritte sind notwendig um den POP3 und POP3s Proxy einzurichten:

  1. Aktivieren Sie via Enable POP3 / POP3s den bzw. die gewünschten Dienste sowie die zugehörige Schnittstelle unter denen die Dienste erreichbar sein sollen
  2. Wechseln Sie in den Reiter TLS Settings
  3. Wählen Sie hier ein in der Appliance vorliegendes TLS Zertifikat aus (ansonsten ist POP3s nicht verfügbar und im POP3 Modus nur ein Zugriff mit deaktivertem TLS Modus möglich)
  4. Wählen Sie im POP3 Proxy den gewünschten TLS Modus (disabled, STARTTLS optional oder STARTTLS required)
  5. Aktivieren Sie die gewünschten TLS Protokolle (Default sind TLS 1.2 und TLS 1.3)
  6. Speichern Sie die Einstellungen via Einstellungen übernehmen