UTM9 SMTP Transparent Mode?

Hallo Florian,

der transparente Modus für den SMTP-Proxy ermöglicht es ALLEN internen Clients (PCs, Laptops, Smartphones im WLAN, Tablets im WLAN usw...) ungehindert "raus zu gehen" ins Internet , um dort einen beliebigen Mailserver zu nutzen. Der verwendete Mailclient bekommt davon dann nichts mit, deshalb "transparent".

Genau das würde ich aber als einen Hauptzweck eines SMTP-(Sicherheits-) Gateways ansehen, das zu verhindern. Das wird der Grund sein, warum einige empfehlen "Bloß nicht einschalten"!
Legitime Versender vom Mails können den internen Mailserver nutzen (und dessen Authentifizierungsmethoden), anstatt selbst direkt per SMTP an den Empfänger zu versenden.

Im Prinzip hast du es ja intuitiv richtig gemacht; die internen Server, die erlaubt werden sollem, von der Regel auszunehmen.
Hier würde ich jedoch nochmal hinterfragen, warum du für die Scan2Mail Geräte nicht einen Empfangsconnector im Exchangeserver konfigurierst, warum der ERP Server den Exchange nicht nutzt und warum die Telefonalage "direkt gehen" muss.

Einen Link als Empfehlung zur weiteren Info: https://www.frankysweb.de/sophos-utm-konfiguration-der-email-protection-fuer-exchange/

Ich persönlich würde SMTP und POP3/IMAP nur in einem Gastnetz zulassen, wenn überhaupt.

(2x editiert wegen Typos und Link herausgesucht)

Moin Philipp,

was genau ist denn aus den Augen der UTM "intern"? Wir haben unterschiedliche Umgebungen mit unterschiedlichen IP Netzen und VLANs, welche alle nicht im selben Segment stecken wie die UTM. Für mich wäre intern nur alles, was im selben Netz steckt wie die UTM selbst.

Was mich hier irritiert ist die Formulierung:

Ich kann den "Transparenten Modus" aktivieren, wodurch alles was an irgendeinem Interface der UTM auf (in diesem fall) Port 25 ankommt, durch den SMTP Proxy der UTM gejagd wird.

Dann habe ich die Option Hosts und Netze einzutragen, die "nicht" davon betroffen sein sollen, was im Umkehrschluss für mich heißt: Die gehen nicht durch den SMTP Proxy.

Wozu existiert dann noch zusätzlich das Auswahlfeld "Allow SMTP traffic for listed hosts/nets"? Also was passiert mit dem Traffic, wenn der Haken nicht gesetzt ist?

Oder steht das alles eigentlich nur im Zusammenhang mit den Firewall-Regeln?

Transparenter Modus = Firewall ist offen für alle Ports die du anhakst. (In meinem Bsp. nur Port 25)

Skip Trans. Modus = Diese Systeme dürfen die angehakten Ports aber nicht ungehindert nutzen. Erst wenn du manuell Regeln dafür baust.

Allow SMTP Traff.. = Äh, ne, Moment. Klar dürfen die das und das sogar ohne Überwachung/Protokollierung.

Würde wieder bedeuten, wenn ich aus "Skip Mode" alles entferne und für diese Systeme eine eigene Firewall-Regel erstelle, die Port 25 erlaubt, sollte es das selbe in Grün sein, nur eben kontrollierter?

Im Exchangeserver existiert ein Empfangsconnector wobei die UTM als Smarthost eingetragen ist. Diese blockiert die Anfragen allerdings, wenn z.B. die Scan2Mail Geräte nicht in "Skip..." eingetragen sind während der Haken bei "Allow SMTP Traffic" gesetzt ist.

Unsere ERP-Systeme können angeblich nicht anders arbeiten und Telefonanlagen müssen nur zwischen unterschiedlichen VLANs kommunizieren.

Danke nochmals im Voraus.

LG

Hallo Florian,

ich versuche es einmal anders:

Zitat: "When using transparent mode, the system will intercept traffic on selected ports, and re-route it to the proxy. Host and Networks listed in the Skip transparent mode hosts/nets box will not be subject to the transparent interception of SMTP traffic. If you want to allow unproxied SMTP traffic for the listed hosts or networks, make sure that the appropriate checkbox is checked."

Ich übersetze das mal in normale Sprache: "intercept" bedeutet, der betreffende Port ist offen, es ist keine weitere Firewallregel notwendig UND der Traffic wird an den PROXY-Dämon für den SMTP weitergeleitet.
Das heisst, die Sophos UTM kümmert sich um den Verbindungsaufbau mit dem externen Kommunikationspartner, der sich aus der Ziel-IP ergibt. Man erhält also eine Trennung zwischen "innen" und "außen", weil der interne Client nur mit dem Proxy "spricht". Dennoch bleibt die Bewertung Pflicht, ob man das überhaupt zulassen möchte.

Für den internen Exchangeserver, der die Sophos UTM als "smarthost" nutzen möchte, spielt das "Proxying" überhaupt keine Rolle, da hier Relaying betrieben wird. Weder ist hier unter  "Transparent Mode" ein Port  nötig, noch muss man einen Eintrag bei SKIP einfügen

Ich mache das ausschliesslich so - fertig.

.

Zusatzinfo:

wenn man keinen Smarthost beim Provider der Internet-Leitung nutzen darf, aber eine fixe IP-Adresse besitzt (wovon ich bei einem internen Exchangeserver ausgehe), dann MUSS sowohl der A-record und MX-Eintrag, als auch der reverse-DNS für die externe IP korrekt gesetzt sein, sonst hagelt es Zustellungsfehler beim Versenden. Unter Umständen sind das Einstellungen bei zwei verschiedenen Providern, denn der reverse-DNS kann nur für die IP vom Leitungsprovider gesetzt werden!

Zusatzinfo:

wenn man keinen Smarthost beim Provider der Internet-Leitung nutzen darf, aber eine fixe IP-Adresse besitzt (wovon ich bei einem internen Exchangeserver ausgehe), dann MUSS sowohl der A-record und MX-Eintrag, als auch der reverse-DNS für die externe IP korrekt gesetzt sein, sonst hagelt es Zustellungsfehler beim Versenden. Unter Umständen sind das Einstellungen bei zwei verschiedenen Providern, denn der reverse-DNS kann nur für die IP vom Leitungsprovider gesetzt werden!