E-Mail Transport Settings

Die Konfigurationsmöglichkeiten in den E-Mail Transport Einstellungen umfassen SMTP Empfangs und Transport Richtlinien, Externe Domänen Richtlinien, akzeptierte Domänen, Weiterleitungen an interne MailServer, Einstellungen zur Verbindungssicherheit und vertrauenswürdige Netze.

Über die lokalen Netzwerke bestimmen Sie, - von welchen Hosts - oder aus welchen Netzwerken – E-Mails über die REDDOXX versendet werden dürfen.

Steht vor Ihrer REDDOXX-Appliance ein Mail Relay oder eine Firewall mit einem SMTP-Serverdienst oder einem POP3-Collector Service, der zuerst die E-Mails annimmt, darf diese NICHT in den lokalen Netzwerken stehen, da sonst weder eine Validierung auf Spam erfolgen kann und keine Empfängerprüfung möglich ist.

Folgende Schritte zur Konfiguration Lokaler Netzwerke sind notwendig:

  1. Klicken Sie auf Netzwerk Hinzufügen
  2. Tragen Sie einen beschreibenden Namen ein
  3. Tragen Sie die IP Adresse des lokalen Netzwerkes oder eines einzelnen Hosts im CIDR Format ein
  4. Übernehmen Sie den Eintrag mit "Save"

Über die Lokalen Internetdomänen (Local Domains) können Sie interne E-Mail-Domänen anlegen, für welche die REDDOXX Appliance E-Mails empfangen soll.
Zusätzlich ist es möglich, eine Empfängerüberprüfung einzurichten, damit die Appliance bei Eingang einer Mail prüfen kann, ob der Empfänger existiert.
Die Prüfung findet dann über die der Appliance bekannten (lokal angelegte oder via LDAP synchronisierte) Empfänger statt.
Damit kann Spam an nicht existierende Adressen im Unternehmen herausgefiltert werden.

Folgende Schritte sind notwendig, um eine Lokale Internetdomäne anzulegen (Die Schritte 4-12 sind dabei Optional):

  1. Klicken Sie auf Domäne Hinzufügen
  2. Geben Sie die Domäne an, für die Sie E-Mails empfangen möchten
  3. Wählen Sie ob die Empfängerüberprüfung genutzt werden soll (Activate recipient validation)
  4. Für Domänen die bei Microsoft 365 liegen, kann hier "enable Hosted Exchange support" aktiviert werden, damit erkennt die Appliance dann anhand der DKIM Signatur der E-Mail,
    dass es sich um eine ausgehende E-Mail handelt (auch ohne Trusted Network Eintrag für die Microsoft 365 Netze).
    Voraussetzung hierbei ist, dass für die Domäne DKIM aktiviert sein muss (https://security.microsoft.com/dkimv2)
  5. Speichern Sie die Einstellungen mit "save"
  6. Optional können Sie im Reiter DKIM konfigurieren, dass ausgehende E-Mails mit einer DKIM Signatur versehen werden
  7. Wählen Sie zunächst "Select DKIM key" und fügen mit Add Key einen neuen DKIM Key hinzu
  8. Geben Sie dabei die Domäne, den Selector und den DKIM Private Key an (oder erstellen via Generate new key einen über die Appliance).
  9. Mit "Erstellen" schließen Sie die Erstellung des DKIM key ab
  10. Sie können nun weitere DKIM Keys für anderen Domänen / Selektoren erstellen und abschließend einen aus der Liste via "Select key" auswählen
  11. Setzen Sie entsprechend den DNS TXT Eintrag auf ihrer Domain und prüfen dann in der Appliance mit "Update status" ob die DNS Einstellungen korrekt ausgelesen werden können
  12. Erst dann sollten Sie auf "Enable DKIM" klicken und den Dialog mit "Save" beenden
    Aktivieren Sie DKIM erst, wenn die DNS Einstellungen gesetzt sind und funktionieren (andernfalls könnten empfangende Systeme, welche DKIM unterstützen und eine DKIM signierte Mail der Appliance erhalten, die E-Mails ablehnen).

  • In den External Domain Policies werden Richtlinien für die Verbindung mit spezifischen Domains festgelegt
  • Hierbei können ein oder mehrere öffentliche Zertifikate der Gegenstelle ausgewählt, das TLS Verhalten sowie eine etwaige Benutzerauthentifizierung gefordert werden
  • Die Einstellungen sind nur bei wenigen Kommunikationspartnern notwendig, die dann im Vorfeld auch die entsprechenden Zertifikate zur Verfügung stellen
  • External Domain Policies haben Vorrang vor SMTP Transport Policies und dienen auch dem Schutz vor versehentlicher Fehlkonfiguration der SMTP Transport Policies für bestimmte Domains
  • Für die Verwendung der MTLs Richtlinien muss im entsprechenden SMTP Receive Connector ausgewählt sein, dass das Client Zertifikat angefordert wird (Request Client certificate in TLS Settings)

Falls Sie mit bestimmte Verbindungsspezifische Sicherheitsanforderungen für einen oder mehrere Kommunikationspartner unbedingt erfüllen müssen, gehen Sie wie folgt vor:

  1. Klicken Sie auf "Add policy"
  2. Vergeben Sie im Reiter Allgemein einen Namen und eine Beschreibung für die Richtlinie und geben die Domains an, für die diese Richtlinie verwendet werden soll
  3. Setzen Sie in den Reitern Outbound Policy und Inbound Policy die geforderten Sicherheitsrichtlinien des Kommunikationspartners um
  4. Wählen Sie ob TLS verwendet werden soll und inwiefern eine Überprüfung der Zertifikate stattfinden muss
    Dabei besteht die Auswahl zwischen:
    • Jedes Zertifikat akzeptieren (Accept any certificate - no validation)
    • Jedes gültige Zertifikat akzeptieren (Accept any valid certificate)
    • Die Verbindung akzeptieren wenn innerhalb der übermittelten Zertifikatskette ein Zertifikat mit einem hinterlegten Zertifikat übereinstimmt (Accept if a certificate in the chain matches one of the listed certificates)
    • Die Verbindung akzeptieren, wenn das Zertifikat mit einem der hinterlegten Zertifikate übereinstimmt (Accept if the certificate matches one of the listed certificates)
  5. Wählen Sie, ob für die Verbindung eine Benutzeranmeldung erforderlich ist
  6. Fügen Sie die vom Kommunikationspartner bereitgestellten Zertifikate hinzu (diese müssen im Vorfeld im Bereich der Öffentliche Zertifikate - Public TLS Certificates eingespielt werden)
  7. Speichern Sie die Einstellungen mit "Save"

  • Passen Sie hier die Einstellungen für den (Default, bzw Migrated) Empfangsconnector an, dieser ist per Default an alle Interfaces und Port 25 gebunden.
  • Sie können weitere Connectoren hinzufügen, achten Sie dabei dann darauf, dass jeder Empfangsconnector nur an ein Netzwerkgerät gebunden sein kann
  • Sie können den Hostname, TLS Einstellungen, Authentifizierungsparameter sowie SPF, DKIM, DMARC konfigurieren
  • In den RBL Filter Einstellungen werden die Filter Listen definiert und nötigenfalls auch Ausnahmen für Mail-Relays, falls eingehende E-Mails über ein Relay geschickt werden, welches nicht gegen den RBL Filter geprüft werden soll.
    Den Namen des Relays kann man über die Header der E-Mail (Received from) ermitteln.
    Aktuell Empfehlungen zu den RBL Filter Listen finden Sie im FAQ
    Es wird empfohlen einen lokalen DNS Server zu verwenden, da einige Blacklist Filter bei Verwendung von Öffentlichen DNS Servern keine korrekten Ergebnisse liefern.
  • Wechseln Sie in den Reiter AntiSpoofing, wenn E-Mails mit gefälschten Absendern direkt während dem SMTP Verbindungsaufbau abgelehnt werden sollen.
    Als Ausnahmen können hierbei Absender Adressen (z.B. für Webshops) hinterlegt werden, eine Adresse je Zeile.
  • Im Bereich Limits können Sie die Anzahl Maximal paralleler Verbindungen, Größe der Mails, Empfänger und Anzahl ungültiger Empfänger angeben

Der Internal SMTP connector kann nicht angepasst werden, da er für die Kommunikation der Services untereinander bestimmt ist.

  • Richten Sie hier eine neue Transport Policy ein (via Hinzufügen)
  • Hier wird über die Absender / Empfänger Filterung im Feld Adressen in Verbindung mit den Smarthost Einstellungen aus dem Transport Feld definiert, wohin E-Mails weitergeleitet werden sollen
  • Zusätzlich können hier TLS Einstellungen, Authentifizierung und der FQDN gesetzt werden der über ein Helo Command mitgeschickt wird.
  • Die Regeln werden der Reihenfolge nach abgearbeitet
  • Für jede Local Domain sollte entsprechend der Transport zu einem SmartHost (interner Mailserver) konfiguriert werden, da sonst ohne explizite Regel die Default transport policy greifen würde und die Mails via DNS an den MX weitergeleitet werden (womit es dann zu einer Mailloop kommen würde)
  • Zusätzlich können für andere Domains Transportregeln erstellt werden, die von einer DNS Abfrage abweichend verwendet werden sollen

Die Filter Einstellungen dienen dem expliziten Sperren oder Zulassen von SMTP Verbindungen.
Je nach Netzmaske kann hier ein einzelner Host oder ein komplettes Netz konfiguriert werden.

Die Liste der gesperrten IP Adressen wird von verwendeten RBL Filtern automatisch gefüllt, wenn die Funktion in den SMTP Empfangs Konnektoren genutzt ist.
Der SMTP Verbindungsaufbau wird hierbei direkt geblockt, wenn eine IP aus der gesperrten Liste mit der Appliance kommunizieren möchte.
Insbesondere bei Spamangriffen ist dies von Vorteil, da die Appliance keine Validierungen mehr durchführen muss.

Sollte in den Blacklist Einstellungen eine IP auftauchen, mit der eine Kommunikation erwünscht ist, kann dieser Eintrag editiert und von einem Blacklist in einen Whitelist Eintrag geändert werden.

Folgende Schritte sind zum erstellen eines Blacklist oder Whitelist Eintrages für gesperrte oder zugelassenen IP Adressen notwendig:

  1. Wählen Sie den entsprechenden Reiter aus, je nachdem ob eine zugelassene(Whitelist) oder gesperrte (Blacklist) Adresse hinzugefügt werden soll
  2. Klicken Sie auf Hinzufügen
  3. Tragen Sie die Werte für Netzwerk (in CIDR Notation), Gültigkeitsdauer und Beschreibung ein
  4. Übernehmen Sie die Einstellungen mit "Save"

Über den Button "Flush RBL filters" können alle automatisch erstellten Blacklist Einträge auf einmal gelöscht werden.
Dies ist insbesondere dann von Vorteil, wenn ein großer Provider mit mehreren IP Adressen kurzzeitig auf einer Blacklist stand.