Email Protection - SMTP-Relay erlauben

Share

SMTP-Relay hostbasiert und per SMTP-Auth erlauben

 Die Sophos UTM (Astaro) als Smarthost bietet mehrere Möglichkeiten
den SMTP Relay für User, Hosts und Netzwerke zu   25 Minuten

erlauben. Der Zugriff von Usern kann über das AD oder über lokale User in der UTM gesteuert werden. Es ist so auch möglich Mails über SMTP nach Extern zu Senden, was der Exchange im Standard unterbindet. Die Einrichtung über das AD & UTM bzw Host-basiert über die UTM ist auch sicherer und einfach als am Exchange Server.

.
.

balken-oben
Folgende Konfiguration müssen vorher durchführt werden:
DNS Sophos UTM 9
Authentication Servers Active Directory
Grundkonfiguration Email Protection

balken-unten

.
.

Erlauben von SMTP-Relay für AD-User

Dieser AD-Gruppe wird erlaubt die UTM als Smarthost zu benutzen (so wie der Exchange Server es auch macht) und Mails nach Extern zu senden.
Dazu wird im AD eine Gruppe angelegt, die alle User enthält, die per SMTP-Auth Mails in die UTM senden dürfen. Der Name ist frei wählbar, ich benutzte immer UTM-"Funktion", in diesem Fall also 'UTM-SMTP'. Dieser AD-Gruppe werden dann unter |Mitglieder| alle User zugeordnet, denen SMTP-Relay erlaubt sein soll

 

AD Group SMTP Relay allow

 

.
.
Danach wird die Gruppe auch in der UTM erstellt unter
Definitions & Users -> Users & Groups |Groups| "+ New group.."

Diese nenne ich AD-"Funktion" damit in der UTM auf den ersten Blick zu erkennen ist, vorher die User der Gruppe kommen.
Aus dem AD wird dann die Gruppe mit der Gruppe in der UTM verknüpft, einfach aus der rechten Spalte in den unteren Bereich ziehen.

 Add Group Sophos UTM AD SMTP Relay

Man kann Gruppen auch manuell eintragen, Syntax ist in diesem Fall:
CN=UTM-SMTP,OU=Groups,OU=Neise-MS,DC=Neise,DC=de

CN=UTM-SMTP,OU=Groups,OU=Neise-MS,DC=Neise,DC=de (DC=MeineDomaine,DC=local)

.
Die Information, in welchen Gruppen ein User ist, kann man unter
Definitions & Users -> Users & Groups |Users| mit einen KLick auf info-button erfahren

Sophos UTM User Info

.
.
Danach werden unter
Definitions & Users -> Client Authentication "Allowed Networks"
die Netzwerke eingetragen aus denen sich User/Gruppen überhaupt anmelden dürfen.

Unter "Allowed Users and Groups"  werden die Gruppen eingetragen.

.
.
Unter
Definitions & Users -> Authentication Servers |Global Settings| die Option "Create users automatically" aktiviert und unter
"Automatic user creation for facilities" 'SMTP Proxy' abgehakt.

Allow-SMTP-Relay-Group

Jetzt ist der SMTP-Relay für User aus der Gruppe möglich, die Anmeldung kann sowohl über SSO, SAA als auch mit Username+Passwort erfolgen.

.
.
Zusätzlich sollte noch konfiguriert werden:

Unter -> SMTP |Relaying| "Content scan for relayed (outgoing) messages" den Haken bei 'Scan relayed (outgoing) messages', so werden auch alle durch den Sophos UTM Mailproxy versendeten Mails auf Viren gescannt.

.
.
Da die UTM Funktionen wie Greylisting und RDNS-Check nutzt, um Spamm zu erkken, muss für diese Gruppe noch eine Ausnahme definiert werden:
Email Protection ->         SMTP Profiles |Exceptions| "+New exception list..."
'RDNS/Helo checks', 'Antispam checking', 'Greylisting' sollten ausgenommen werden

User based smtp relay sophos utm execption

Es ist auch möglich, ganze interne oder alle internen Netzwerke als Ausnahme zu definieren.

.
.

 

Erlauben von Host-based SMTP-Relay

Ich lege immer eine Netzwerkgruppe 'SMTP-ALLOW' in der Sophos UTM an deren Mitgliedern es erlaubt ist, Mails in die Sophos UTM zu senden und diese als Smarthost zu benutzten, diese Gruppe arbeitet hostbasiert Das können interne Server, Kamera's oder Überwachungsgeräte sein, die Benachrichtigungen per Mail senden oder auch Multifunktionsgeräte, die Scan to Mail können.

.
Definitions & Users -> Network Definitions |Network Definitions| "+ New network definition..."

Die Host müssen in der UTM als DNS Host oder als Host mit feste IP Adresse hinterlegt sein.
Das Senden für ganze Netzwerke freigeben ist zu unsicher.
.
.

Unter -> SMTP |Relaying| “Host-based relay" werden der Exchange Server und andere Hosts eingetragen, denen es erlaubt, ist die Sophos UTM als Smarthost zu nutzen:

 

Unter -> SMTP |Relaying| "Content scan for relayed (outgoing) messages"
den Haken bei 'Scan relayed (outgoing) messages', so werden auch alle durch den Sophos UTM Mailproxy versendeten Mails auf Viren gescannt.
.

 

Lokalen User SMTP-Relay erlauben

Lokal User werden unter
Definitions & Users -> Users % Groups |Users| "+News user.." angelegt

Sophos UTM Lokale User

 

In diesem Fall ein User MFP = Multifunktionsdrucker, der bei allen Geräten eingetragen werden soll, die Scan-to-Mail unterstützen. Man kann entweder eine lokal Usergruppe anlegen oder dem Usern einzeln den Relay erlaube:

Email Protection -> SMTP |Relaying| "Authenticated relay"

Sophos UTM SMTP Relay Local User

Im Drucker wird jetzt der Modus "SMTP Authentication" gewählt und als SMTP Server die IP oder FQDNS der Sophos UTM angegeben.

 

Münster AD 2014

Share