Reddoxx Apliance hinter Sophos Firewall

[Gerber_]

Hi zusammen,

hätte mal eine allgemeine Frage beezüglich einer Reddoxx Appliance und der Integration in das bestehende Netzwerk.

Folgendes Szenario:

Internet -> Sophos UTM Firewall -> Roddoxx -> Exchange Server -> LAN

Hat jemand Erfahrungen mit dem Einsatz der Roddoxx Appliance?
Ich stelle mir die Frage nach der korrekten Platzierung der Roddoxx Appliance.

- Sollte die Appliance in der DMZ platziert werden ?

- Sollte auf der UTM die Email Protection aktiviert sein und in der Email Protection die Emails an die Reddoxx und danach an den Email Server weitergeleitet werden?

- Oder sollte die Appliance hinter der Firewall im internen LAN platziert werden und auf der Firewall eine Portweiterleitung, bzw. der Emailverkehr an die Reddoxx weitergeleitet werden?

Danke im Voraus für eure Hilfe.

Grüße Phil

 

[BFF]

Willst Du das Teil fuer einen Kunden einsetzen?

Wenn ja -> alles lesen was es dazu gibt oder jemanden beauftragen der das kann.
Wenn nein -> administrator.de

Ich kenne Reddox nicht. Aber die da werben fuer sich das sie eine rechtssichere Archivierung usw. anbieten.
Heisst fuer mich, dass die Archivierung den Krams vom Mailserver kopiert bevor der Benutzer die Mail sieht.

BFF

 

[kamblars]

In die DMZ, die Appliance soll doch E-Mails prüfen oder?

 

[visioo]

wenn es geht auf jeden Fall in die DMZ. Dann hier bzw. mit Sophos die Mails prüfen und ab zum Exchange.

Da ich Reddox zwar kenne aber selbst noch nie eingesetzt habe kann ich dir nicht sagen wie gut/schlecht der Malware und Spamfilter ist.

Grundsätzlich kannst du ihn aber auch auf beiden einschalten (Sophos + Reddox).
Kann am Anfang ein wenig hakelig sein, sollte sich aber mit der Zeit legen - und auf jedenfall Officedokumente abschneiden

Quasi:

MX -> IP ->Firewall (Malwarefilter) -> Reddox in der DMZ (Malwarefilter) -> Exchange

 

[Gerber_]

Danke euch für die Antworten.

@BFF: naja ich kenne die Reddoxx ebenfalls noch nicht, weswegen man auch in einem Forum nach Erfahrungen fragen darf, oder?

Die Reddoxx Appliance wird vor erst Intern aber später auch bei den Kunden platziert. Aus diesem Grund ich wollte ich mich etwas darüber informieren . Im Netz findet man leider auch oft, dass die Appliance direkt im internen LAN platziert wird, in der Firewall ein Port Forwarding konfiguriert wird und der Mailflow in der Reddoxx im LAN weiter zum Exchange geht.

Ich persönlich hätte diese auch direkt in der DMZ platziert.

Die Voraussetzungen, bzw das Wissen, dies zu Installieren und konfigurieren sind vorhanden keine Angst.
Alles was ich wissen wollte sind Erfahrungen, bzw. Best Practice der Reddoxx.

Auch für ein Training bei Reddoxx bin ich bereits angemeldet.

@kamblars: Danke. Jap die Reddoxx sollte in diesem Fall die Mails prüfen, archivieren und auch für die Verschlüsselung dienen. Momentan läuft alles auf der UTM "Email Subscription" (bis auf die Archivierung der Emails).

@visioo: Danke. Genau so werde ich es auch aufbauen.

Grüße Phil

 

[kamblars]

Archivierung kann ich dir sonst Mailstore empfehlen.

Liebe Grüße

 

[Gerber_]

@visioo: habe gerade deinen überarbeiteten Thread gesehen. Laut Netz soll der Spam/Antispam in der Reddoxx ziemlich gut funktionieren. Hierzu kann ich in den nächsten Wochen mehr sagen...

Den Punkt mit dem Anispam auf beiden Geräten, hatte ich mir auch schon überlegt. Ich werde sowieso auf der UTM die Email Subscription aktiviert lassen, um den eingehenend Traffic zur REddoxx und zurück zu leiten.

Ich muss es mir anschauuen, wie lange bzw. wie schwergängig die beiden Geräte zusammenarbeiten.

Die Officedokumente sind bei der momentanen Plage sowieso deaktiviert ;-).

@kamblars: Mailstore kenne ich und finde ich auch ein Klasse Produkt. Allerdings haben wir uns in diesem Fall für Reddoxx entschieden, zwecks der Kombination von "AntiSpam, Verschüsselung und Archivierung".

Grüße Phil

 

[visioo]

Wir filtern unsere Mails drei mal auf Spam und Malware. Erstes mal in einer Cloudlösung, zweites mal in der DMZ und ein drittes mal am Exchange.

Natürlich haben wir auch noch einen Endpoint Schutz. Am Anfang wars bisschen tricky aber jetzt läufts wie am Schnürchen. Natürlich muss man hin und wieder nacharbeiten 😀

Von den Sophos UTMs habe ich bis jetzt eigentlich nur gutes gehört. Sollte passen.

 

[Gerber_]

Denke auch ich werde mit beiden anti-spam Gateways arbeiten und doppelt filtern lasse.

Alleine in der UTM werden zwei verschiedene Antispam Engines benutz(wenn gewollt).

Deine Erfahrungen bzw. Infos zur UTM kann ich bestätigen. Wir setzten die UTM und XG bei unseren Kunden ein und sind zufrieden.

Grüße Phil

 

[visioo]

Denke auch ich werde mit beiden anti-spam Gateways arbeiten und doppelt filtern lasse.

Alleine in der UTM werden zwei verschiedene Antispam Engines benutz(wenn gewollt).

Deine Erfahrungen bzw. Infos zur UTM kann ich bestätigen. Wir setzten die UTM und XG bei unseren Kunden ein und sind zufrieden.

Grüße Phil

Genau aus dem Grund mit den verschiedenen Engines bin auch auf eine Cloudlösung gegangen.
Bei unserem Endpoint Virenscanner wäre zwar in der Lizenz auch noch ein Cloudgateway dabei - wollte ich aber nicht da ja die selbe Engine wie am Endpoint. Außerdem nur eine Engine in der Cloud.

Insgesamt wird jetzt jede Mail mit 5 verschiedenen Engines geprüft (inkl. Endpoint).

 

[ayngush]

Da die Sophos UTM ja selbst bereits E-Mails aus den Mail-Datenverkehr nach Annahme raus filtern kann (Quarantäne), für die man eigentlich Archivierungspflichtig ist, müsste das Archiv eigentlich vor die UTM...
Oder die UTM so konfigurieren, dass sie keine E-Mails auf Spam usw. prüft, dann kann man sich den Budenzauber aber auch sparen.

Jedoch E-Mails vom ersten MX annehmen, sie auf der Sophos vom Spamassasin und Filterregeln in die Quarantäne zu packen und den Rest an das Archiv zu schicken, was dann alles an den Exchange schickt erfüllt nicht alle Rechtsanforderungen, was die E-Mail-Archivierung betrifft. Im Prinzip muss man auch Spam archivieren, also müsste das Archiv als MX fungieren und alles an die Sophos senden, die dann den "Rest" an den Exchange schickt. Die Frage ist: Wie lange hält die Roddoxx das geballte Internet ohne Firewall aus. In der Praxis wird man quasi nur die Konstellation

Internet ->
MX / Firewall & SMTP-Filter (Sophos UTM) ->
Archivsystem ->
Exchange -> Outlook als Empfänger sehen.

Oder halt

Outlook ->
Exchange ->
Archivsystem ->
Smarthost / Firewall / MTA (Sophos UTM) ->
Internet -> ... als Absender.

Richtig im Sinne des Gesetztes ist das aber nicht. Aber andere Gesetze schreiben einen ja wieder eine Ordnugnsgemäße IT-Organisation und IT-Sicherheit usw. zu. Dazu gehört halt garantiert auch, dass ich mein E-Mail-Archiv nicht einfach, ohne weitere Schutzmaßnahmen davor, ins Internet klebe.

Der Königsweg wäre natürlich:

MX / Firewall ohne E-Mail Quarantäne aber mit Schutzmaßnahmen (Blacklist, Virenscan / E-Mail-Filter während Einlieferung, um die Einlieferung direkt ablehnen zu können) ->
Archivsystem ->
E-Mail-Antispam-Quarantäne + Anlagen / Compliance Filter / Virenscan ->
Exchange ->
Outlook und rückwärts halt anders herum.

 

[Gerber_]

@ayngush : Danke dir für deine ausführliche Antwort.

Du hast natürlich in allem Recht auch zwecks der Archivierung der Mails, welche in der Quarantäne landen.

Ich denke, ich werde es vorerst auch genau so einrichten, wie du es oben beschrieben hast:

Eventuell schalte ich die Quarantäne auf der UTM tatsächlich aus, dass die Reddoxx dann die Email in die Quarantäne legt.

Also so: MX -> UTM (Spam und Virenschutz usw, allerdings ohne Quarantäne) -> Reddoxx (SpamFilter und Quarantäne) -> Exchange Serverr -> Outlook Empfänger.

Ich bin auch wie gesagt demnächst auf der Schulung bei Reddoxx und werde dort den Trainer nach dem Best Practice fragen. Bzw. auch, wie es zwecks der Revisionssicheren Archivierung aussieht.

Grüße Phil