Guest User!

You are not Sophos Staff.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 8 replies
  • Answers 1 answer
  • Subscribers 4 subscribers
  • Views 2152 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM9 SMTP Transparent Mode?

Florian Bartsch

Moin zusammen,

ich brauche mal bitte Hilfe dabei den SMTP Transparent Modus technisch zu verstehen.

Es gibt diverse Infos im Netz allerdings kriege ich da lediglich zwei Infos raus:

1. Erspart einem die Einrichtung diverse Firewall-Regeln

2. Bloß nicht einschalten.

 

Aber ich kann keinen Eintrag finden indem das, was dieser Modus macht, im Detail erklärt wird und was es für Auswirkungen es hat, wenn man es ein/aus schaltet.

Vllt. hat auch jemand einen Link der detailierte Infos biete, ich aber nicht finden konnte. :-)

 

Derzeit sieht die Config bei uns so aus:

- Exchange Server in Webserver Protection eingepflegt

- SMTP Profile Modus aktiviert

 

- Host Based Relay: 

Exchange Server und ERP Server eingetragen

 

- Advanced - Transparent Mode:

Port 25 angehakt

Skip Transparent (ERP Server, Scan2Mail Geräte, Telefonanlagen usw.)

Allow SMTP for... angehakt

 

Danke im Voraus für alle hilfreichen Tipps und Infos, um mein Verständnis für die Funktion zu verbessern.

 

LG,

Flo



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Florian,

    der transparente Modus für den SMTP-Proxy ermöglicht es ALLEN internen Clients (PCs, Laptops, Smartphones im WLAN, Tablets im WLAN usw...) ungehindert "raus zu gehen" ins Internet , um dort einen beliebigen Mailserver zu nutzen. Der verwendete Mailclient bekommt davon dann nichts mit, deshalb "transparent".

    Genau das würde ich aber als einen Hauptzweck eines SMTP-(Sicherheits-) Gateways ansehen, das zu verhindern. Das wird der Grund sein, warum einige empfehlen "Bloß nicht einschalten"!
    Legitime Versender vom Mails können den internen Mailserver nutzen (und dessen Authentifizierungsmethoden), anstatt selbst direkt per SMTP an den Empfänger zu versenden.

    Im Prinzip hast du es ja intuitiv richtig gemacht; die internen Server, die erlaubt werden sollem, von der Regel auszunehmen.
    Hier würde ich jedoch nochmal hinterfragen, warum du für die Scan2Mail Geräte nicht einen Empfangsconnector im Exchangeserver konfigurierst, warum der ERP Server den Exchange nicht nutzt und warum die Telefonalage "direkt gehen" muss.

    Einen Link als Empfehlung zur weiteren Info: https://www.frankysweb.de/sophos-utm-konfiguration-der-email-protection-fuer-exchange/

    Ich persönlich würde SMTP und POP3/IMAP nur in einem Gastnetz zulassen, wenn überhaupt.

    (2x editiert wegen Typos und Link herausgesucht)

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Moin Philipp,

    was genau ist denn aus den Augen der UTM "intern"? Wir haben unterschiedliche Umgebungen mit unterschiedlichen IP Netzen und VLANs, welche alle nicht im selben Segment stecken wie die UTM. Für mich wäre intern nur alles, was im selben Netz steckt wie die UTM selbst.

     

    Was mich hier irritiert ist die Formulierung:

    Ich kann den "Transparenten Modus" aktivieren, wodurch alles was an irgendeinem Interface der UTM auf (in diesem fall) Port 25 ankommt, durch den SMTP Proxy der UTM gejagd wird.

    Dann habe ich die Option Hosts und Netze einzutragen, die "nicht" davon betroffen sein sollen, was im Umkehrschluss für mich heißt: Die gehen nicht durch den SMTP Proxy.

    Wozu existiert dann noch zusätzlich das Auswahlfeld "Allow SMTP traffic for listed hosts/nets"? Also was passiert mit dem Traffic, wenn der Haken nicht gesetzt ist?

     

    Oder steht das alles eigentlich nur im Zusammenhang mit den Firewall-Regeln?

    Transparenter Modus = Firewall ist offen für alle Ports die du anhakst. (In meinem Bsp. nur Port 25)

    Skip Trans. Modus = Diese Systeme dürfen die angehakten Ports aber nicht ungehindert nutzen. Erst wenn du manuell Regeln dafür baust.

    Allow SMTP Traff.. = Äh, ne, Moment. Klar dürfen die das und das sogar ohne Überwachung/Protokollierung.

     

    Würde wieder bedeuten, wenn ich aus "Skip Mode" alles entferne und für diese Systeme eine eigene Firewall-Regel erstelle, die Port 25 erlaubt, sollte es das selbe in Grün sein, nur eben kontrollierter?

     

    Im Exchangeserver existiert ein Empfangsconnector wobei die UTM als Smarthost eingetragen ist. Diese blockiert die Anfragen allerdings, wenn z.B. die Scan2Mail Geräte nicht in "Skip..." eingetragen sind während der Haken bei "Allow SMTP Traffic" gesetzt ist.

    Unsere ERP-Systeme können angeblich nicht anders arbeiten und Telefonanlagen müssen nur zwischen unterschiedlichen VLANs kommunizieren.

     

    Danke nochmals im Voraus.

     

    LG

  • +1 in reply to Florian Bartsch

    Hallo Florian,

    ich versuche es einmal anders:

    Zitat: "When using transparent mode, the system will intercept traffic on selected ports, and re-route it to the proxy. Host and Networks listed in the Skip transparent mode hosts/nets box will not be subject to the transparent interception of SMTP traffic. If you want to allow unproxied SMTP traffic for the listed hosts or networks, make sure that the appropriate checkbox is checked."

    Ich übersetze das mal in normale Sprache: "intercept" bedeutet, der betreffende Port ist offen, es ist keine weitere Firewallregel notwendig UND der Traffic wird an den PROXY-Dämon für den SMTP weitergeleitet.
    Das heisst, die Sophos UTM kümmert sich um den Verbindungsaufbau mit dem externen Kommunikationspartner, der sich aus der Ziel-IP ergibt. Man erhält also eine Trennung zwischen "innen" und "außen", weil der interne Client nur mit dem Proxy "spricht". Dennoch bleibt die Bewertung Pflicht, ob man das überhaupt zulassen möchte.

    Für den internen Exchangeserver, der die Sophos UTM als "smarthost" nutzen möchte, spielt das "Proxying" überhaupt keine Rolle, da hier Relaying betrieben wird. Weder ist hier unter  "Transparent Mode" ein Port  nötig, noch muss man einen Eintrag bei SKIP einfügen

    Ich mache das ausschliesslich so - fertig.

    .

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Reply
  • +1 in reply to Florian Bartsch

    Hallo Florian,

    ich versuche es einmal anders:

    Zitat: "When using transparent mode, the system will intercept traffic on selected ports, and re-route it to the proxy. Host and Networks listed in the Skip transparent mode hosts/nets box will not be subject to the transparent interception of SMTP traffic. If you want to allow unproxied SMTP traffic for the listed hosts or networks, make sure that the appropriate checkbox is checked."

    Ich übersetze das mal in normale Sprache: "intercept" bedeutet, der betreffende Port ist offen, es ist keine weitere Firewallregel notwendig UND der Traffic wird an den PROXY-Dämon für den SMTP weitergeleitet.
    Das heisst, die Sophos UTM kümmert sich um den Verbindungsaufbau mit dem externen Kommunikationspartner, der sich aus der Ziel-IP ergibt. Man erhält also eine Trennung zwischen "innen" und "außen", weil der interne Client nur mit dem Proxy "spricht". Dennoch bleibt die Bewertung Pflicht, ob man das überhaupt zulassen möchte.

    Für den internen Exchangeserver, der die Sophos UTM als "smarthost" nutzen möchte, spielt das "Proxying" überhaupt keine Rolle, da hier Relaying betrieben wird. Weder ist hier unter  "Transparent Mode" ein Port  nötig, noch muss man einen Eintrag bei SKIP einfügen

    Ich mache das ausschliesslich so - fertig.

    .

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Children
  • 0 in reply to jprusch

    Zusatzinfo:

    wenn man keinen Smarthost beim Provider der Internet-Leitung nutzen darf, aber eine fixe IP-Adresse besitzt (wovon ich bei einem internen Exchangeserver ausgehe), dann MUSS sowohl der A-record und MX-Eintrag, als auch der reverse-DNS für die externe IP korrekt gesetzt sein, sonst hagelt es Zustellungsfehler beim Versenden. Unter Umständen sind das Einstellungen bei zwei verschiedenen Providern, denn der reverse-DNS kann nur für die IP vom Leitungsprovider gesetzt werden!

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Moin Philipp,

    ich denke so langsam wird ein Schuh draus. Scheinbar habe ich mich zu sehr damit aufgehangen, dass ich die Funktion zu sehr mit den Relay-Servern in Verbindung gebracht habe.

    Intercept bedeutet halt übersetzt nur, dass die UTM den Traffic abfängt und gesondert behandelt. Weitere Infos fehlen einfach.

    Ich habe häufig das Problem, dass ich Dinge erst als "verstanden" abhaken kann, wenn ich den technischen Hintergrund verstehe und dass ein Firewall-Anbieter nur sehr vorsichtig mit solchen Informationen hausieren geht, ist zawr nicht hilfreich aber auch verständlich. :-)

    Wir arbeiten nämlich schon mit MX und DNS Einträgen, weshalb das außer Frage steht.

     

    Wenn ich das also korrekt verstehe, sitzt die Komponente des "Transport Mode" also noch "vor" allen anderem (Firewall usw.) und fängt entsprechend angehakten Traffic schon vorher ab, um es separat zu behandeln, ohne, dass da noch etwas Anderes involviert ist?

     

    Sollte ich also im "Transparent Mode" alle Einstellungen entfernen und die dort vorher eingetragenen Clients unseren Exchangeserver sauber konfiguriert haben, dürfte das wohl keinen Unterschied machen. Abgesehen davon, dass ab dem Zeitpunkt alle anderen Clients nicht mehr einfach an irgendwelche offenen Relay-Server im Internet vermittelt werden, sollten solche angefragt werden. Korrekt?

     

    Das wäre dann zumindest auch der Grund, wieso ich die Designentscheidung bei dieser Funktion in Frage stelle. Mir fällt nämlich kein sinnvolles Szenario ein in dem ich aus betrieblicher Sicht erstmal "alles" dafür freigeben möchte, um dann mühsam zu sagen, welche Netze es "nicht" dürfen. Andersherum würde das für mich zumindest mehr Sinn ergeben.

     

    Was mache ich denn, wenn sich doch herausstellt, dass transparente Modus für 1-2 Geräte durchaus von Nöten ist, ohne das Problem zu haben immer alles eintragen zu müssen, was das eben nicht nutzen soll?

     

    Danke nochmals im Voraus für dein Geduld.

     

    LG,

    Flo

  • +1 in reply to Florian Bartsch

    Internal vs. External traffic

    UTM has no concept of Internal vs. External, (except in IPS where it is explicitly configured.)   Instead it has a set of proxies (packet filters) which are mutually exclusive.  "Firewall Rules" is the proxy of last resort. 

    Many of the proxies use an "Allowed Networks" list, which determines which Source IPs are allowed to use the packet filter.   If this configuration option exists, the packet filter is typically used for outbound traffic, and the Allowed Networks list is presumed to be internal addresses.   However, this is not required because UTM does not have the concept of security zones.

    Standard vs Transparent Mode

    For all of the proxies, Standard Mode means the proxy listens on a specific UTM-controlled IP address and port.    Traffic to irrelevent ports will be ignroed.   Traffic from Source IPs that are not on the "Allowed Networks", or destined to a different destination port, will be handled by a different Standard Mode proxy or discarded.

    Transparent Mode means that the packet is destined for an IP address not controlled by UTM, but UTM inspects traffic for specific destination ports as it passes through the device.

     

    SMTP Traffic

    SMTP has two modes:   

    • Inbound traffic from the remote mail systems will arrive from arbitrary sources.  The mail server or gateway only accepts traffic for configured destination domains.

    • Outbound traffic from mail client to mail server can use SMTP, but this is typically an authenticated connection.   As long as the session is authenticated (or the source IP is whitelisted), the mail server will accept traffic from the client for any destination domain, and forward the message as needed.

    SMTP Proxy

    The SMTP Proxy is intended for filtering mail between mail servers, not for filtering traffic between mail clients and mail servers.

    Could it be used for SMTP client to server?

    I expect that the SMTP proxy will interfere with any client authentication mechanism, causing the connection to fall, but I do not use SMTP Standard Mode so I am not certain.   Mail clients can connect to mail servers using mulitple protocolos (MAPI, ActiveSync, EWS, SMTP, web), so if you want to protect yourself from bad client submissions, the protection needs to be done by the mail server, not by an SMTP filter.  What is clear is that the SMTP proxy is only going to listen for traffic to specific destination domains, so it does not make sense for client-to-server traffic.

    Should I use SMTP in Transparent Mode?

    The big advantage of Transparent Mode is that you can insert it into an existing configuration without any changes.   Assuming that there is not translation at your network boundary, the changes are minimal so this advantage seems small.

    It also means that UTM does not add a Received: header, so the UTM is invisible in your mail headers, which I view as a disadvantage but there may be a situation where this is preferred.

    Transparent Mode also means that source-destination pairs are limited by your NAT configuration, not by an access control policy.  This occurs because the SMTP proxy does not have an Allowed Networks list, and traffic entering the SMTP proxy will bypass any Firewall Rules you may have configured.   For example, an infected internal PC can begin sending SMTP traffic to the internet.   If the SMTP Proxy does not block traffic based on content, the spam will be allowed.

    In summary, I do not recommend transparent mode for SMTP.

  • 0 in reply to DouglasFoster

    Awesome.. That is what I needed to completly get into it. ^^

    Thank you.

     

    Greetings,

    Flo

  • 0 in reply to Florian Bartsch

    Hallo Flo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

    Agreed with Doug and Philipp.

    You might get something from Basic Exchange setup with SMTP Proxy even if your mail server is not Exchange. 

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML