eMail-Verkehr durch Sophos-Firewall

[owl2010]

Hallo,

ich nutze in meinem Netzwerk Outlook und darüber insgesamt vier verschiedene eMail-Konten von vier verschiedenen Anbietern.

1) Microsoft Exchange

2) gmx

3) googlemail

4) 1und1

Bisher habe ich folgende Regel in meiner Sophos Firewall erstellt:

Ich weiß, dass es nicht so sein soll, dass als Ziel "any" steht.

Um das einzuschränken müsste ich als Ziel von jedem der vier Anbieter den Mailserver eintragen?

Gibt es auch die Möglichkeit, dass die Mails die von außen dann hineinkommen von der Firewall nochmal gescannt werden? Und in diesem Zuge verdächtige/nicht reingelassene Mails irgendwo angezeigt werden bzw. man benachrichtigt wird? Oder geht dieses nur, wenn man einen physischen Mailserver im Netzwerk hat?



Dank und Gruß!

 

[gaym0r]

Um das einzuschränken müsste ich als Ziel von jedem der vier Anbieter den Mailserver eintragen?

Ach wenns nur einer wäre... :-)
Aber prinzipiell korrekt. Weiß aber nicht ob die IP-Adressen sich nicht ab und zu ändern.

Gibt es auch die Möglichkeit, dass die Mails die von außen dann hineinkommen von der Firewall nochmal gescannt werden?

Kenne mich mit Sophos im speziellen nicht aus, sollte aber gehen. Stichwort POP3/IMAP/SMTP-Proxy.

 

[owl2010]

Danke für deine schnelle Antwort.
Wenn ich es auf any stehen lasse, wäre das zu riskant oder?

 

[Zensai]

Das ist eine Outbound Regel, daher nicht Ansatzweise so schlimm für das bisschen was du machst. Die inbound Regel wäre viel wichtiger..

 

[h00bi]

Wenn ich es auf any stehen lasse, wäre das zu riskant oder?

Das ist eine AUSGEHENDE Regel. Jeder Heimrouter der Welt steht ausgehend auf "any".
Üblicherweise macht man ausgehende Regeln auf Emaildienste nur aus 2 Gründen:
1) Versand von SPAM aus deinem Netz verhindern über 3rd Party Server.
2) Verhindern dass Mitarbeiter ihre privaten Mails ins Firmennetzwerk holen.

Gibt es auch die Möglichkeit, dass die Mails die von außen dann hineinkommen von der Firewall nochmal gescannt werden?

Das hat nichts mit einer Firewall zu tun, das ist Antivirus. Ob deine Sophos das kann weiß ich nicht.

 

[owl2010]

Wo sehe ich denn dann die Ibound-Regeln?

 

[gaym0r]

Das ist eine Outbound Regel, daher nicht Ansatzweise so schlimm für das bisschen was du machst. Die inbound Regel wäre viel wichtiger..

Ich gehe mal nicht davon aus, dass @owl2010 inbound-regeln hat.

mMn kannst du das auf "any" stehen lassen.

 

[Scirca]

Ist die Sophos Firewall nicht eigentlich nur im Business Bereich?

 

[owl2010]

Warum gehst du davon aus, dass ich keine inbound-regeln habe?
Also ist meine Firewall nach außen hin zu bzw. von außen nach innen kann dann niemand?

 

[Trase]

Gibt es auch die Möglichkeit, dass die Mails die von außen dann hineinkommen von der Firewall nochmal gescannt werden? Und in diesem Zuge verdächtige/nicht reingelassene Mails irgendwo angezeigt werden bzw. man benachrichtigt wird? Oder geht dieses nur, wenn man einen physischen Mailserver im Netzwerk hat?

Hi,

ja ist Möglich, wenn du die E-Mail Protection aktivierst und konfigurierst.

Du würdest dann einen Quarantine Report bekommen, in dem die Spam Emails gelistet sind. Diese kannst du dann freigeben.

Ich denke ein physischer Mailserver ist nicht unbedingt nötig.

Aus dem Sophos Forum:

In a nutshell:

1) Go to Email Protection > POP3. On the Global Tab, enter the allowed networks that the clients will be connecting from. On the Advanced Tab, enter the pop3 servers that will be used. Set other settings throughout the POP3 section as you wish.

2) Enable the User Portal at Management > User Portal.

3) Ensure that each user has an account on the UTM, either by creating manually (Definitions & Users > Users & Groups) or by using automatic creation (Definitions & Users > Authentication Services > Global Settings).

4) Each user should now log into the user portal and on the POP3 Accounts Tab, they will need to add their pop3 account details.

Quelle: Hotmail and Gmail Setup for Email Protection in Sophos Home UTM

Ergänzung (4. März 2020)

Ist die Sophos Firewall nicht eigentlich nur im Business Bereich?

Nein gibt auch eine Home Lizenz für bis zu 50 IP-Adressen

Sophos UTM Home

 

[h00bi]

Also ist meine Firewall nach außen hin zu bzw. von außen nach innen kann dann niemand?

Es ist das Grundprinzip einer Firewall dass alles zu ist außer du erlaubst es per Regel.

Der Mailserver schiebt dir die Mails ja nicht in dein Outlook rein sondern dein Outlook verbindet sich nach außen und holt diese ab.
Würdest du einen eigenen Mailserver betreiben, dann müssten andere Mailserver diesem Mails zuschieben können, er muss also nach außen hin offen sein.

 

[owl2010]

Ok, also kann ich die ausgehende Regel erst einmal so lassen ohne mir Sorgen um meine Sicherheit zu machen?

Ergänzung (4. März 2020)

Ich habe jetzt gerade mal geschaut und die folgenden beiden Inbound-Regeln gefunden:

Das wären ja Beispiele für eingehenden Verkehr, der auf jeweils einen Port in der Firewall freigegeben ist - richtig?

 

[gaym0r]

@owl2010
Ich bin davon ausgegangen, weil du gefragt hast wo du diese Regeln siehst.

Und zu deiner letzten Frage: Ja, richtig. Andere Anfragen von Extern werden geblockt. Antwortpakete auf Verbindungen die von internen Geräten initiiert wurden, gehen natürlich auch durch.

 

[snaxilian]

Das ist keine Firewallregel sondern eine NAT-Regel. Das sind zwei Paar Schuhe.
Mit NAT ermöglichst du technisch die Erreichbarkeit eines Servers bzw. Dienstes von "außen".
Mit der Firewall erlaubst du zusätzlich diese Nutzung.

Mit IPv6 wäre bzw. ist das ganze NAT-Geraffel dann nicht mehr notwendig und man hat wieder nur noch die Firewall zu konfigurieren.

Deine zwei NAT-Regeln erlauben zwei Dinge. Die erste ermöglicht Zugriff aus dem Internet auf die öffentliche IP der Sophos unter Nutzung des Ports 6619, die zweite Regel für Port 8802. Ohne weitere Details der Regeln zu sehen kann man nicht mehr dazu sagen, z.B. ob auch der Zugriff erlaubt sein soll, auf welche Endgeräte die Verbindungen dann weiter gegeben werden, etc)

 

[owl2010]

Hallo snaxilian,
danke für deine ausführliche Antwort.
Hier einmal die beiden NAT-Regeln im Detail:

Ist es fahrlässig hier mit "any" zu arbeiten?

 

[snaxilian]

Jain. Du erlaubst so jedem aus dem Internet sich auf deine TK-Anlage an Port 8802 zu verbinden und jedem aus dem Internet sich auf Port 6619 mit dem System OS4X zu verbinden. Ob das sicher ist oder nicht hängt davon ab ob du irgendeine Art von Authentisierung an den Diensten nutzt und ob die Dateiübermittlung verschlüsselt läuft und das du keine Fehler bei der Konfiguration der Dienste gemacht hast und dass diese keine ausnutzbaren Sicherheitslücken haben und ob du eben zeitnah Updates einspielst sollten dort Lücken bekannt werden.
Wenn man das alles nicht sicher stellen kann (oder will), dann muss man entweder mit dem Risiko und allen damit verbundenen Folgen leben können oder betreibt solche Dienste eben nicht aus dem Internet erreichbar. Eine Lösung wäre dann, sich per VPN mit dem eigenen Netz zuhause zu verbinden und diese Dienste nur per VPN zu verwenden. Damit ist eine Authentisierung und Verschlüsselung dann gegeben.

Wenn die sich verbindenden Gegenstellen aus dem Internet statische IPs haben, die nicht wechseln dann macht es Sinn, dies von any auf die konkreten IPs zu ändern damit Unbefugte gar nicht erst eine Verbindung aufbauen können.

 

[owl2010]

Moin und danke für deine Antwort!
Wir greifen per Handy auf die TK-Anlage zu.
Leider ist es an der Sophos nicht möglich statt "any" z.B. die MAC-Adresse des Handys zu hinterlegen oder?

 

[snaxilian]

Korrekt denn MAC Adressen sind zum einen änderbar und damit nicht eindeutig und zum anderen nur auf Layer 2 relevant. Traffic zwischen irgendwelchen Netzen ist Layer 3 und damit abhängig von IP-Adressen.
Da eure Handys wohl kaum überall auf der Welt statische IP-Adressen haben macht die Einstellung mit Any Sinn. Daher ist es ja auch so wichtig, die öffentlich erreichbaren Anwendungen entsprechend abzusichern und Zugriffe abzusichern. IT-Sicherheit ist seit Jahren nicht mehr nur "firewall hinstellen, paketbasierte Regeln einrichten, fertig".

 

[owl2010]

Danke!
Dann werde ich es versuchen über einen VPN-Zugang mit den Handys zu realisieren.
Dann bekomme ich auch das relativ unsichere und universelle "any" raus.
Macht dann Sinn oder?

 

[snaxilian]

Wie so oft in der IT: Das kommt drauf an. Wenn deine Handys als VPN-Client im selben Subnetz landen wie die TK-Anlage ist die Firewall raus, da keine Subnetz-übergreifende Kommunikation stattfindet.
Wenn deine VPN-Clients in einem anderen Subnetz landen, dann brauchst du eine Firewall Regel vom VPN-Client-Netz ins Netz der TK-Anlage. Entweder Freischaltung des Netzes wenn die VPN-Clients dynamische und wechselnde IPs bekommen oder du stellst ein, dass diese Endgeräte immer die gleichen IPs bekommen. Dann brauchst nur diese IPs freigeben.
Da das Ganze nach geschäftlichem Einsatz klingt habe ich ein wenig Bedenken bei der ganzen Sache denn es klingt ja so, also wärst du der Verantwortliche für die IT aber dir fehlen viele Grundlagen. Ist nicht schlimm da niemand allwissend geboren wurde bisher aber du/ihr solltet ernsthaft darüber nachdenken, dafür einen Fachmann kommen zu lassen. Im besten Fall löcherst du ihn währenddessen mit Fragen und lässt dir jede Einstellung erklären denn ganz ehrlich: Du kannst nie wissen ob dir jemand in einem Forum Quatsch erzählst und du durch irgendwelche Tipps nicht euer Netz noch weiter öffnest. Aber das musst am Ende du wissen ob du als offenbar dafür Verantwortlicher das Risiko tragen möchtest und kannst.