Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 5 subscribers
  • Views 388 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XG Migration von UTM ...

mipo

Hallo Experten,

ich setze seit ~2007 bei mir eine Sophos UTM privat mit Homelizenz ein als auch bei Kunden eben natürlich unter normaler Lizenz.

Aller Anfang fällt schwer und nach Abkündigung der UTM stellt sich die Frage der "Migration" meines Netzwerkes auf die neue Sophos XG. Einige Dinge wie z.B. Letsencrypt Support sind wohl weggefallen. Doch das bereitet mir nicht besonders viel Sorgen, da die LE Geschichte auf der UTM mehr schlecht als recht lief und
dies bei sehr vielen Kunden.

Problem 1:
Ich betreibe einen Microsoft Exchange 2019 Server der seine E-Mails nicht direkt via SMTP über das Internet -> UTM SMTP Proxy - bekommt sondern über eine auf dem Server installierten POP3 Downloader. Hier wird ja der UTM POP3 Proxy angesprochen und über Pre-Fetch Mode landen SPAM Mails sehr schön in der Quarantäne des Sophos UTM Proxy's. Funktioniert perfekt. Natürlich musste man kritische E-Mailabsender in eine Whitelist übernehmen.

Analog zum POP3 Proxy der UTM scheint mir ja der XG Legacy Mode der passende zu sein. Doch mir ist es bisher ein Rätsel, wie ich z.B. eine Whitelist für die "vertrauenswürdigen Absenderadressen" implementieren kann?! Im MTA Mode gibt es ja den "Exceptions" Bereich. Wie ist diese Funktion im Legacy Mode abzubilden? Habt ihr hier ggf. Tips für mich?

Problem 2:
Gibt es in der XG auch einen Quarantäne Report und eine Webgui wie den "Mailmanager" mit dem ich oder der Kunde E-Mails, die sich in Quarantäne befinden freigeben und/loder löschen kann?


Problem 3:
Viele Kleinkunden, die trotzdem eine Sophos UTM betreiben für einen Web- und E-Mail Schutz betreiben die Firewall an einen DSL Anschluss mit dynamischer IP Adresse. Hier gab es ein sehr schönes Feature den "DNS Host" um z.B. den Admin Webzugang nur von bestimmten Quell IP Adressen freizugeben. Denn dummerweise ist auch mein DSL Anschluss zuhause einer mit Dyn IP. Einen DNS Host, also bei dem ich den DNS Namen anstelle der IP Adresse z.B. für Allow Regeln freigeben kann, gibt es in der XG offensichtlich nicht. Gibt es hier irgendeinen Workaround um dieses Problem zu lösen?


Gibt es eine deutsche Doku für die XG Firewall OS 19.x?


Ich freue mich über hoffentlich zahlreiche und hilfreiche Tips! Vielen Dank im Voraus!

Gruß
Michael



This thread was automatically locked due to age.
  • 0

    Zum Problem 1 würde ich generell das Konzept Pop3 im Business Umfeld hinterfragen. Kann man das nicht besser / anders lösen? SFOS unterstützt nur einen direkten Download von einem Client (Client to Server). Popcon und andere Techniken sind ein Workaround aus einer älteren Zeit um diese Emails zu fetchen. Daher hat man sich aktiv dagegen entschieden, solche Technologien weiter zu unterstützen. Besonders, da die meisten Kunden, die POP3 eingesetzt haben, auf IMAP gewechselt sind bzw. auf HTTPS (via Outlook bspw). Ich kann zum Legacy Mode nichts sagen, da ich das seit 5 Jahren nicht einmal aktiv gesehen habe, wie das ein Kunde eingesetzt hat. 

    Bei Problem 2 geht es Primär auch wieder da rum, was du genau abbilden möchtest. Der Weg von SFOS geht in Richtung Central Email für Email Technologien. Central Email unterstützt jedoch nur SMTP (MTA). Das bedeutet, wenn du nun mit einem Kunden arbeiten möchtest, der noch so eine Lösung einsetzt, dann kann ich dir da nicht weiterhelfen. In SMTP Bereich solltest du auf jeden Fall bei Central Email rein schauen als Lösung im Vergleich zu Email Protection auf UTM oder SFOS. 

    Bei Problem 3 würde ich dir Central Management empfehlen. Darüber kannst du via SSO kostenfrei auf die Firewalls zugreifen. Das kannst du auch für alle Kunden einrichten und du als Partner kannst das dann über das Partner Dashboard steuern. Dafür musst du nur sicher stellen, dass der Central Account vom Kunden auch von dir administriert werden kann. Das ist sicherer als eine direkte Freigabe auf die Firewall. 

    __________________________________________________________________________________________________________________

Unfiltered HTML