Menü „Proxy“

Ein Proxyserver ist ein System, das sich zwischen einem Client (der eine Webseite oder Ressource anfordert) und anderen Netzwerken befindet. Seine Aufgabe besteht darin, alle Client-Anfragen entgegenzunehmen, die angeforderten Ressourcen abzurufen und diese an den Client zu senden. Der größte Vorteil eines Proxyservers ist, dass alle angeforderten Seiten lokal zwischengespeichert werden können, wodurch spätere Anfragen für dieselben Seiten schneller beantwortet werden.

Transparenter Proxy

Bei einem transparenten Proxy handelt es sich um ein System aus Proxy und Gateway. Neben dem Abrufen und Zwischenspeichern können von einem transparenten Proxy viele nützliche Aufgaben für die vom Client angefragte Webseite oder Ressource ausgeführt werden: Filtern der Inhalte, Überprüfen auf Viren oder auch Blockieren von Informationen durch Kombination verschiedener Dienste, die auf dem Gateway ausgeführt werden. Dies alles wird erreicht, ohne dass der vom Benutzer verwendete Client konfiguriert werden muss.

Bei nicht transparenten Proxys ist dagegen eine manuelle Konfiguration des Clients erforderlich, damit auf das Internet zugegriffen werden kann (z. B. Konfiguration der Proxyeinstellungen im Webbrowser).

Zur Verbesserung der Online-Sicherheit verfügt die Panda GateDefender-Appliance über mehrere Dienste, deren Funktionen mit denen des Proxys kombiniert werden. Mithilfe des Untermenüs auf der linken Seite kann auf die entsprechenden Seiten und Konfigurationsoptionen zugegriffen werden. Diese sind im Folgenden zusammengefasst:

• HTTP – Webproxy: Zugriffsrichtlinien, Authentifizierung, Inhaltsfilter und Antivirus
• POP3 – Proxy für den E-Mail-Abruf: Spamfilter und Antivirus
• FTP – per FTP heruntergeladene Dateien: Antivirus
• SMTP – Proxy für den E-Mail-Abruf oder -Versand: Spamfilter und Antivirus
• DNS – zwischenspeichernder DNS: Anti-Spyware

Jeder Proxydienst kann eigenständig konfiguriert, aktiviert und deaktiviert werden. Sind für eine ordnungsgemäße Funktion weitere Dienste erforderlich, werden diese gestartet. Wird beispielsweise der SMTP-Proxy konfiguriert und gestartet, wird auch der SMTP-Dienst gestartet, sofern er nicht bereits ausgeführt wird. Daher muss zunächst der SMTP-Dienst konfiguriert werden, bevor der SMTP-Proxy verwendet wird.

HTTP

In der Panda GateDefender-Appliance wird als HTTP-Proxy Squid verwendet. Seine Hauptfunktion besteht im Zwischenspeichern von Webanfragen zur Beschleunigung späterer Anfragen derselben Seite. Squid verfügt jedoch über viele weitere Funktionalitäten, durch die eine nahtlose Integration in die anderen in diesem Abschnitt beschriebenen Dienste ermöglicht wird. Die Seite für die HTTP-Proxy-Einstellungen enthält zahlreiche Optionen, die auf sechs Registerkarten aufgeteilt sind: Konfiguration, Zugriffsrichtlinien, Authentifizierung, Webfilter, AD-Beitritt und HTTPS-Proxy.

Konfiguration

Der HTTP-Proxy wird durch Klicken auf den Schalter HTTP Proxy aktivieren aktiviert. Nach einigen Sekunden, die für das Starten aller benötigten Dienste erforderlich sind, werden auf der Registerkarte Konfiguration Steuerelemente angezeigt, die in sechs Bereiche gruppiert sind. Jeder Bereich verfügt über einen Titel gefolgt von einem ? mit einem Tooltip. Durch Klicken auf die - bzw. Symbole links neben der Beschriftung können die Bereiche jeweils erweitert oder reduziert werden.

Mit der ersten Einstellung wird ausgewählt, wie die Benutzer in einer aktivierten Zone (GRÜN, ORANGE, BLAU) auf den Proxy zugreifen können. Die Auswahl erfolgt aus einem Dropdown-Menü, das nur für aktivierte Zonen verfügbar ist:

nicht transparent

Der Proxyserver ist ohne Anmeldung für jedermann verfügbar. Auf den Clients muss eine manuelle Konfiguration des Browsers oder eine Proxysuche im Browser ausgeführt werden (Verwendung des PAC- oder des WPAD-Protokolls zum Einrichten der Proxyeinstellungen).

transparent

Der Proxyserver ist für jedermann verfügbar. Eine Konfiguration des Browsers ist nicht erforderlich. Sämtlicher HTTP-Datenverkehr wird unterbrochen und an den Proxyserver weitergeleitet, der angeforderte Webseiten abruft und sie den Clients bereitstellt.

Bemerkung

Von manchen Browsern, z. B. Internet Explorer und Firefox, können Proxyserver mithilfe von WPAD automatisch erkannt werden. Von den meisten Browsern wird über eine besondere URL auch PAC unterstützt. Bei Verwendung einer Panda GateDefender-Appliance als Proxyserver sieht die URL folgendermaßen aus: http://<GREENIP>/proxy.pac.

Zonenweises Deaktivieren des HTTP-Proxys

Zum vollständigen Deaktivieren des Proxys für eine bestimmte Zone muss der Proxy der Zone auf „transparent“ eingestellt werden. Außerdem muss das Subnetz der Zone im Bereich Transparenten Proxy umgehen im Feld Transparenten Proxy von SUBNETZ/IP/MAC umgehen hinzugefügt werden. Der entsprechende Wert kann unter :menuselection: Menüleiste –> Dienste –> DHCP Server gefunden werden.

Proxyeinstellungen

Der Bereich Proxyeinstellungen enthält die folgenden globalen Konfigurationsoptionen für Proxydienste:

Port der vom Proxy verwendet wird

Der TCP-Port, der vom Proxyserver auf Verbindungen abgehört wird. Der Standardport ist 8080.

Fehler Sprache

Die Sprache, in der Fehlermeldungen angezeigt werden. Als Standardwert wird die unter Menüleiste ‣ System ‣ GUI Einstellungen ausgewählte Sprache verwendet.

Sichtbarer Hostname des Proxy

Der Hostname des Proxyservers. Dieser wird auch im unteren Teil von Fehlermeldungen angezeigt.

Emailadresse für Benachrichtigungen (Cache Admin)

Die E-Mail-Adresse, die vom Proxyserver in Fehlermeldungen angezeigt wird.

Maximale Download-Größe (eingehend in KB)

Die maximale Größe für Dateien, die über HTTP heruntergeladen werden können. Der Wert „0“ steht für unbegrenzte Größe.

Maximale Upload-Größe (eingehend in KB)

Die maximale Größe für Dateien, die über HTTP hochgeladen werden können (z. B. für HTML-Formulare). Der Wert „0“ steht für unbegrenzte Größe.

Erlaubte Ports und SSL Ports

Mit den folgenden Konfigurationsoptionen werden die Ports festgelegt, die von Clients für die Internetnutzung verwendet werden dürfen:

Erlaubte Ports (vom Client)

Die TCP-Zielports, für die der Proxyserver bei Verwendung von HTTP Verbindungen akzeptiert. Pro Zeile ist ein Port oder Portbereich gestattet. Kommentare sind zulässig und müssen mit einem #-Zeichen beginnen.

Erlaubte SSL Ports (vom Client)

Die TCP-Zielports, für die der Proxyserver bei Verwendung von HTTPS Verbindungen akzeptiert. Pro Zeile ist ein Port oder Portbereich gestattet. Kommentare sind zulässig. Sie müssen mit einem #-Zeichen beginnen und enden am Zeilenende.

Log-Einstellungen

Mit den folgenden Konfigurationsoptionen wird für die entsprechende Auswahl die Protokollierung aktiviert:

HTTP Proxy Protokollierung

Protokollieren aller URLs, auf die über den Proxy zugegriffen wird. Hierbei handelt es sich um eine Master-Option, d. h. die anderen Optionen werden nur aktiviert und können nur konfiguriert werden, wenn die Protokollierung aktiv ist. Um Speicherplatz auf der Panda GateDefender-Appliance zu sparen, ist die Protokollierung standardmäßig nicht aktiv.

Suchbegriffe protokollieren

Protokollieren von URL-Parametern (z. B. ?id=123).

Benutzeragent Protokollierung

Protokollieren des Werts Benutzer-Agent, der von den Browsern gesendet wird.

Protokollierung des Inhaltsfilters

Protokollieren der Inhaltsfilterung für Webseiten.

Firewall Protokollierung (nur bei transparentem Proxy)

Protokollieren der ausgehenden Webzugriffe (Zugriffe über die ROTE Schnittstelle auf das Internet) durch die Firewall. Diese Option ist nur für transparente Proxys anwendbar.

Transparenten Proxy umgehen

In diesem Bereich können Ausnahmen für den transparenten Proxy (siehe auch weiter oben) definiert werden, d. h. welche Quellen (Clients) und Ziele (Remote-Server) vom Proxy ignoriert werden sollen, auch wenn er für die entsprechende Zone aktiviert ist.

Transparenten Proxy von SUBNETZ/IP/MAC umgehen

Die Quellen, auf die der transparente Proxy nicht angewendet werden soll.

Transparenten Proxy nach SUBNET/IP umgehen

Die Ziele, auf die der transparente Proxy nicht angewendet wird.

Cache Verwaltung

Mit den folgenden Konfigurationsoptionen werden der Festplattenspeicher für die Zwischenspeicherung und die Größe der gespeicherten Objekte festgelegt:

Zwischenspeichergröße auf der Festplatte (MB)

Die Größe des Festplattenspeichers in Megabyte, den der Proxy für das Zwischenspeichern von Webseiten zuweisen soll.

Zwischenspeichergröße im Speicher (MB)

Die Größe des Systemspeichers in Megabyte, den der Proxy für das Zwischenspeichern von Webseiten zuweisen soll.

Maximale Objektgröße (KB)

Die maximale Größe für ein zwischenzuspeicherndes Objekt in Kilobyte.

Minimale Objekt-Größe (KB)

Die minimale Größe für ein zwischenzuspeicherndes Objekt in Kilobyte.

Bemerkung

Objekte, deren Größe außerhalb des definierten Bereichs liegt, werden nicht auf der Festplatte gespeichert, sondern bei jeder Client-Anfrage erneut heruntergeladen.

Aktiviere Offline Modus

Wenn diese Option aktiviert ist, werden vom Proxy keine Aktualisierungsversuche für zwischengespeicherte Objekte vom Upstream-Webserver unternommen. Von Clients können dann selbst nach Ausfall des Uplinks zwischengespeicherte, statische Websites genutzt werden.

Warnung

Diese Option ist für die Internetnutzung bei ausgefallenem Uplink nützlich, sofern die angeforderten Seiten zuvor zwischengespeichert wurden. Sie kann jedoch – selbst mit funktionierendem Uplink – bei Aktualisierungsversuchen für Seiten zu Problemen führen, da vom HTTP-Proxy stets zwischengespeicherte Seiten bereitstellt werden. In diesem Fall muss für aktualisierte Versionen von Webseiten der Cache des Proxyservers gelöscht werden.

Lösche Zwischenspeicher

Beim Klicken auf diese Schaltfläche wird der Zwischenspeicher des Proxys gelöscht.

Diese Ziele nicht zwischenspeichern

Die Domains, deren Ressourcen nicht zwischengespeichert werden sollen.

Vorgelagerter Proxy

Ist innerhalb des LAN ein weiterer Proxyserver vorhanden, kann dieser vor der Anfrage der Original-Ressource kontaktiert werden. Dieser Bereich enthält die folgenden Konfigurationsoptionen für die Verbindung zwischen der Panda GateDefender-Appliance und dem vorgelagerten Proxy:

Vorgelagerter Proxy

Durch Aktivieren dieses Kontrollkästchens werden ein vorgelagerter Proxy aktiviert und weitere Optionen angezeigt. Bei aktiviertem Kontrollkästchen werden Webseiten, die nicht bereits vom Proxy der Panda GateDefender-Appliance zwischengespeichert wurden, zunächst beim vorgelagerten Proxy angefragt, bevor sie vom Remote-Server abgerufen werden.

Upstream Server

Der Hostname oder die IP-Adresse des Upstream-Servers.

Upstream Port

Der Port, der vom Proxy auf dem Upstream-Server abgehört wird.

Proxy Benutzername / Proxy Passwort

Anmeldeinformationen, falls für den vorgelagerten Proxy eine Anmeldung erforderlich ist.

Client Benutzernamen weiterleiten / Client IP Adressen weiterleiten

Weiterleiten des Benutzernamens bzw. der Client-IP-Adresse an den vorgelagerten Proxy.

Zugriffsrichtlinien

Die Zugriffsrichtlinien werden unabhängig von der Authentifizierung auf alle Clients angewendet, von denen über den Proxy eine Verbindung hergestellt wird. Bei einer Zugriffsrichtlinienregel handelt es sich um ein zeitbasiertes Modell, nach dem Zugriffe erlaubt oder verweigert werden. Dies geschieht auf Basis verschiedener Parameter zu den Benutzern (z. B. Quelle und Ziel des Datenverkehrs) sowie den verwendeten Clients oder heruntergeladenen Inhalten (z. B. Benutzer-Agent, MIME-Typen, Virenscannen und Inhaltsfilterung).

Auf der Seite wird eine Liste der bereits definierten Regeln angezeigt. Durch eine Regel kann angegeben werden, ob der Webzugriff blockiert oder erlaubt ist. Ist er erlaubt, kann ein Filtertyp aktiviert und ausgewählt werden. Klicken Sie zum Hinzufügen einer neuen Zugriffsrichtlinie einfach auf Zugriffsrichtlinie hinzufügen: Im daraufhin geöffneten Formular können für die Regel die folgenden Parameter konfiguriert werden:

Quelltyp

Die Quellen des Datenverkehrs, für die diese Regel gilt. Dabei kann es sich um den Wert <ANY>, eine Zone, eine Liste von Netzwerken, IP-Adressen oder MAC-Adressen handeln.

Zieltyp

Die Ziele des Datenverkehrs, auf die diese Regel angewendet wird. Dabei kann es sich um den Wert <ANY>, eine Zone oder eine Liste von Netzwerken, IP-Adressen oder Domänen handeln.

Authentifizierung

Die Art der Authentifizierung, die auf die Clients angewendet werden soll. Die verfügbaren Optionen sind deaktiviert (keine Authentifizierung erforderlich), gruppenbasierend und benutzerbasierend. In der angezeigten Liste können vorhandene Benutzer oder Gruppen ausgewählt werden, auf die die Richtlinie angewendet werden soll.

Zeitbeschränkung

Festlegen der Gültigkeit der Regel für bestimmte Tage und/oder einen bestimmten Zeitraum. Standardmäßig ist eine Regel dauerhaft aktiv. Ihre Gültigkeit kann jedoch auf ein Intervall oder bestimmte Tage der Woche beschränkt werden. In der Auswahlliste Aktive Tage werden die Tage ausgewählt. Stunde und Minute für Beginn und Ende können aus den Dropdown-Menüs ausgewählt werden, die nach Aktivieren des Kontrollkästchens angezeigt werden.

Benutzeragents

Die erlaubten Clients und Browser, die anhand der Benutzer-Agent-Zeichenkette identifiziert werden.

MIME Typen

Eine Liste von MIME-Typen für zu blockierende eingehende Dateien mit einem Eintrag pro Zeile. MIME-Typen können blockiert (d. h. in eine Blacklist aufgenommen), aber nicht erlaubt (d. h. in eine Whitelist aufgenommen) werden. Daher ist diese Option nur für Richtlinien verfügbar, durch die Zugriffe verweigert werden. Mithilfe dieser Option können Dateien blockiert werden, die nicht der Unternehmensrichtlinie entsprechen (z. B. Multimediadateien).

Bemerkung

Die Liste der verfügbaren MIME-Typen kann in der Datei /etc/mime.types auf jedem Linux-System, auf der offiziellen IANA-Webseite sowie in RFC 2045 und RFC 2046 gefunden werden.

Zugriffsrichtlinie

Auswahl aus einem Dropdown-Menü, ob der Webzugriff durch die Regel erlaubt oder verweigert werden soll. Bei Auswahl von Zugriff verweigern wird die nachfolgend beschriebene Option MIME Typen aktiviert.

Filterprofil

Auswahl der Prüfungen, die durch die Regel ausgeführt werden sollen. Das Dropdown-Menü ist verfügbar, wenn für die Zugriffsrichtlinie die Option Zugriff erlauben ausgewählt wurde. Folgende Optionen sind verfügbar: keine für keine Prüfung und Nur Virenerkennung für eine ausschließliche Prüfung auf Viren. Außerdem kann ein Inhaltsfilterprofil auf die Regel angewendet werden, sofern eines erstellt wurde (siehe unten).

Richtlinienstatus

Auswahl, ob die Regel aktiviert oder deaktiviert ist. Deaktivierte Regeln werden nicht angewendet. Standardmäßig werden Regeln aktiviert.

Position

Die Position, an der die neue Regel eingefügt werden soll. Niedrigere Positionen haben eine höhere Priorität.

Die für die Regeln in der Liste verfügbaren Aktionen sind Ändern der Priorität, Bearbeiten, Deaktivieren bzw. Aktivieren und Löschen.

Authentifizierung

Vom Proxy der Panda GateDefender-Appliance werden vier verschiedene Authentifizierungstypen unterstützt, die in einem Dropdown-Menü am oberen Ende der Seite angezeigt werden: Lokale Authentifizierung (NCSA), LDAP (v2, v3, Novell eDirectory, AD), Windows Active Directory (NTLM) und RADIUS. Bei NCSA werden die Anmeldeinformationen für den Zugriff auf der Panda GateDefender-Appliance gespeichert. Die anderen Methoden sind auf einen externen Server angewiesen. In diesen Fällen müssen alle Informationen angegeben werden, die für den Zugriff auf den Server erforderlich sind.

Unter dem Dropdown-Menü für die Auswahl des Authentifizierungstyps befinden sich zwei Bereiche. Der obere Bereich Authentifizierungs Einstellungen enthält gemeinsame Konfigurationselemente. Im unteren Bereich werden abhängig von der Auswahl des Authentifizierungstyps jeweils die spezifischen Einstellungen für eine Methode angezeigt.

Authentifzierungs Einstellungen

In diesem Bereich können die folgenden gemeinsamen Elemente konfiguriert werden:

Authentication Realm

Der Text, der beim Beitreten zu einer Active Directory-Domäne im Authentifizierungsdialog angezeigt und als Bereich für Kerberos oder Winbind verwendet wird. Bei Verwendung von Windows Active Directory für die Authentifizierung sollte der FQDN des PDC verwendet werden.

Anzahl an Authentifizierungsprozessen

Die maximale Anzahl der gleichzeitig ausgeführten Authentifizierungsprozesse.

Authentifizierungscache TTL (in Minuten)

Der Zeitraum in Minuten, für den die Authentifizierungsdaten zwischengespeichert werden sollen, bevor sie gelöscht werden.

Anzahl der unterschiedlichen IP Adressen pro Benutzer

Die maximale Anzahl der IP-Adressen, von denen ein Benutzer gleichzeitig Verbindungen mit dem Proxy herstellen kann.

Benutzer / Ip Cache TTL (in Minuten)

Der Zeitraum in Minuten, für den eine IP-Adresse dem angemeldeten Benutzer zugeordnet ist.

Nach Einrichtung der gemeinsamen Konfiguration können die spezifischen Einstellungen für den ausgewählten Authentifizierungstyp konfiguriert werden: Lokale Authentifizierung (NCSA), Windows Active Directory (NTLM), LDAP (v2, v3, Novell eDirectory, AD) oder RADIUS.

Parameter für die NCSA-Authentifizierung

NCSA Benutzerverwaltung

Durch Klicken auf die Schaltfläche Benutzer verwalten wird die Benutzerverwaltung geöffnet. In dieser wird eine Liste der ggf. vorhandenen Benutzer und der Link NCSA Benutzer hinzufügen für das Hinzufügen weiterer Benutzer angezeigt. Ein Benutzer wird hinzugefügt, indem Benutzername und Passwort in das Formular eingegeben werden. Später kann dieser bearbeitet oder gelöscht werden.

NCSA Gruppenverwaltung

Durch Klicken auf die Schaltfläche Gruppen verwalten wird die Gruppenverwaltung geöffnet. In dieser wird eine Liste der ggf. vorhandenen Gruppen und deren Mitglieder sowie der Link NCSA Gruppe hinzufügen für das Hinzufügen weiterer Gruppen angezeigt. Eine Gruppe wird erstellt, indem ein Gruppenname eingegeben wird und Benutzer für die Gruppe ausgewählt werden. Ein Benutzer kann mehreren Gruppen angehören.

Warnung

Ein Benutzer kann mehreren Gruppen angehören. Dabei muss beachtet werden, dass durch die Gruppen, denen der Benutzer angehört, keine widersprüchlichen Zugriffsrichtlinien definiert werden. Im Folgenden ein Beispiel: Ein Benutzer ist Mitglied zweier Gruppen. Für eine Gruppe gilt die Richtlinie, dass auf die Website „www.example.org“ zugegriffen werden kann. Durch die Richtlinie der zweiten Gruppe wird der Zugriff auf diese Website blockiert. In diesem Fall kann nicht ohne weiteres vorhergesagt werden, ob der Benutzer Zugriff auf die Website erhält. Die Handhabung solcher Konflikte liegt in der Verantwortung der Person, die die Zugriffsrichtlinien konzipiert.

Min. Passwortlänge

Die Mindestlänge für das Passwort eines lokalen Benutzers.

Parameter für die Windows Active Directory-Authentifizierung

Domainname des AD Servers

Die Active Directory-Domäne für den Beitritt. Es sollte der FQDN des Servers verwendet werden.

AD-Domain beitreten

Durch Klicken auf die Schaltfläche Domain beitreten erfolgt der Beitritt zur Domäne. Diese Aktion sollte erst ausgeführt werden, wenn die Authentifizierungseinstellungen gespeichert und angewendet wurden.

PDC Hostname des AD Servers und PDC IP Adresse des AD Servers

Der Hostname und die IP-Adresse des PDC. Zum Erstellen des DNS-Eintrags sind sowohl der Hostname als auch die IP-Adresse erforderlich.

BDC Hostname des AD Servers und BDC IP Adresse des AD Servers

Der Hostname und die IP-Adresse des BDC. Zum Erstellen des DNS-Eintrags sind sowohl der Hostname als auch die IP-Adresse erforderlich.

Anforderungen für das Verwenden von NTLM

Für das Verwenden der systemeigenen Windows-Authentifizierung mit Active Directory (NTLM) müssen die folgenden Bedingungen erfüllt sein:

• Die Authentifizierungseinstellungen müssen gespeichert und angewendet sein, bevor der Beitritt zur Domäne erfolgt.
• Es muss ein Beitritt der Panda GateDefender-Appliance zur Domäne erfolgen.
• Die Systemuhren der Panda GateDefender-Appliance und des Active Directory-Servers müssen synchronisiert sein.
• Als „Authentication Realm“ muss ein FQDN verwendet werden.
• Als PDC-Hostname muss der NetBIOS-Name des Active Directory-Servers festgelegt sein.

Bemerkung

Die Uhr der Panda GateDefender-Appliance kann mit der des Active Directory-Servers synchronisiert werden, indem in der Shell der folgende Befehl ausgeführt wird:

net time set -S IP_OF_AD_SERVER

NTLM-Authentifizierung mit Windows Vista und Windows 7

Vom HTTP-Proxy der Panda GateDefender-Appliance wird ausgehandeltes NTLMv2 verwendet. Für Windows Vista und Windows 7 ist jedoch standardmäßig nur direktes NTLMv2 zugelassen. In der Folge können Clients, auf denen eines dieser Betriebssysteme installiert ist, möglicherweise nicht erfolgreich am HTTP-Proxy authentifiziert werden, obwohl korrekte Anmeldeinformationen angegeben wurden. Um eine ordnungsgemäße Authentifizierung zu ermöglichen, muss die Konfiguration der Clients auf folgende Weise geändert werden:

1. Klicken Sie auf Start, und führen Sie „gpedit.msc“ als Administrator aus.
2. Wechseln Sie zu Computerkonfiguration ‣ Windows-Einstellungen ‣ Sicherheitseinstellungen ‣ Lokale Richtlinien ‣ Sicherheitsoptionen
3. Suchen Sie die Konfigurationsoption Netzwerksicherheit: LAN MANAGER-Authentifizierungsebene
4. Wählen Sie den Wert „LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt)“ aus.

Nachdem die Änderung angewendet wurde, sollte der Browser des Clients mithilfe der Active Directory-Anmeldeinformationen ordnungsgemäß am HTTP-Proxy authentifiziert werden.

Parameter für die LDAP-Authentifizierung.

LDAP Server

Die IP-Adresse oder der FQDN des LDAP-Servers.

Port des LDAP Servers

Der Port, der vom Server abgehört wird. Der Standardwert ist 389.

Bind DN Einstellungen

Der Basis-DN (Base Distinguished Name) als Startpunkt für die Suche.

LDAP-Typ

Auswahl des Authentifizierungsservertyps aus einem Dropdown-Menü: Active Directory, Novell eDirectory, LDAP v2 oder LDAP v3.

Bind DN Benutzername

Der FDN (Fully Distinguished Name) eines Bind-DN-Benutzers mit der Berechtigung zum Lesen von Benutzerattributen.

Bind DN Passwort

Das Passwort des Bind-DN-Benutzers.

Objekt-Klasse der Benutzer

Die Objekt-Klasse, der der Bind-DN-Benutzer angehören muss.

Objekt-Klasse der Gruppe

Die Objekt-Klasse, der die Bind-DN-Gruppe angehören muss.

Parameter für die RADIUS-Authentifizierung.

Radius Server

Die Adresse des RADIUS-Servers.

Port des RADIUS-Servers

Der Port, der vom RADIUS-Server abgehört wird.

Kennung

Eine zusätzliche Kennung.

Shared Secret

Das Passwort, das verwendet werden soll.

Webfilter

Die Inhaltsfilterfunktionen der Panda GateDefender-Appliance basieren auf der URL-Filterlösung von Commontouch. Von dieser werden zwei Filtertechniken verwendet, die für Filterprofile definiert werden können.

Die erste besteht aus erweiterten Methoden für die Kategorisierung von Webseiten basierend auf dem Inhalt. Die zweite Methode verwendet eine Kombination aus White- und Blacklist-URLs und Domains: Alle von Clients angeforderten URLs werden in der Liste nachgeschlagen und nur bereitgestellt, wenn sie in der Whitelist gefunden werden.

Für die Verwendung des Inhaltsfilters wird ein Profil benötigt. Ein Standardprofil, durch das der Zugriff für alle Webseiten erlaubt wird, und das nicht gelöscht werden kann, ist bereits verfügbar. Zusätzliche Profile, die bei der Definition einer Zugriffsrichtlinie benötigt werden, können leicht erstellt werden. Deshalb können Zugriffsrichtlinien, die ein bestimmtes Profil benötigen, nur nach dem Profil erstellt werden.

Auf der Seite befindet sich eine Liste der existierenden Profile mit einem darüber befindlichen Link Profil erstellen. Beim Klicken auf den Link wird der Profileditor geöffnet, mit dem neue Profile konfiguriert werden können. Die Liste der vorhandenen Profile wird dabei an das untere Seitenende verschoben. Im Profileditor können die folgenden Einstellungen definiert werden:

Profilname

Der Name des Profils.

Virenscanner aktivieren

Aktivieren des Inhaltsfilters als auch des HAVP.

Die nachfolgenden Einstellungen befinden sich in Bereichen, die mithilfe der Symbole und links neben ihren Titeln erweitert oder reduziert werden können. Von einem kleinen Pfeil ganz auf der rechten Seite wird angezeigt, ob die enthaltenen Elemente alle, zum Teil oder nicht erlaubt sind. Durch Klicken auf diese Pfeile kann der Status der enthaltenen Elemente auf schnelle Weise umgeschaltet werden.

URL-Filter

Die Kategorien zum Aktivieren der Ausführung des Inhaltsfilters. Jede Kategorie enthält zusätzliche Unterkategorien, die einzeln zugelassen oder nicht zugelassen werden können. Ein grüner Pfeil bedeutet, dass die Elemente der (Unter-)Kategorie für den Inhaltsfilter verwendet werden. Ein roter Pfeil bedeutet, dass diese nicht verwendet werden. Ein grün/roter Pfeil neben dem Namen der Kategorie zeigt an, dass nur einige der zugehörigen Unterkategorien für die Inhaltsfilterung verwendet werden.

Benutzerdefinierte Black- und Whitelists

Hier können benutzerdefinierte Listen von Webseiten hinzugefügt werden, die entweder immer an den Client weitergeleitet werden (Whitelist) , oder nie an den Client weitergeleitet werden (Blacklist).

Eine Inhaltsfilterung kann sowohl zu positiven als auch negativen Fehltreffern führen. An dieser Stelle kann daher eine Liste von Domänen eingegeben werden, die grundsätzlich blockiert bzw. erlaubt werden sollen. Diese Richtlinie wird unabhängig von den Ergebnissen der Inhaltsfilteranalyse angewendet.

AD-Beitritt

In diesem Abschnitt können die Anmeldeinformationen angegeben werden, die für den Beitritt zum Active Directory-Server erforderlich sind. Dies ist nur möglich, wenn auf der Registerkarte Authentifizierung die Option Windows Active Directory (NTLM) ausgewählt wurde.

Benutzername des ADS-Administrators

Der Benutzernamen des Active-Directory-Servers.

Kennwort des ADS-Administrators

Das Kennwort des Active-Directory-Servers. Es wird standardmäßig nicht angezeigt, kann aber durch Aktivieren des Kontrollkästchens rechts vom Textfeld angezeigt werden.

HTTPS-Proxy

Auf dieser Seite können Sie den Proxy-Server für die Überwachung von SSL-verschlüsseltem Datenverkehr konfigurieren, d. h. Verkehr über Port 443. Wenn diese Option aktiviert ist, werden alle Client-Anfragen über Squid abgefangen und an den Remote-Server weitergeleitet, beispielsweise im Falle von HTTP-Anfragen. Der einzige Unterschied besteht darin, dass für HTTPS-Anfragen ein „zwischenzeitliches“ Zertifikat für den Client benötigt wird, um sich über HTTPS mit der Panda GateDefender-Appliance zu verbinden. Diese kann dann die Anfrage zustellen, die Remote-Quelle abfragen, diese steuern und dann an den anfragenden Client senden.

Auf dieser Seite gibt es drei verfügbare Einstellungen, die in zwei Teile gegliedert sind: Die Erste ermöglicht die Einrichtung des HTTPS-Proxys, die Zweite dient zur Verwaltung des Zertifikats der Panda GateDefender-Applicance.

HTTPS-Proxy aktivieren

Durch Aktivieren dieses Kontrollkästchens wird der HTTPS-Proxy aktiviert. Die nächste Option wird angezeigt.

Jedes Zertifikat akzeptieren

Mit dieser Option kann die Panda GateDefender-Appliance automatisch alle Zertifikate vom Remote-Server akzeptieren, selbst solche, die ungültig oder veraltet sind.

Klicken Sie zur Aktivierung des HTTPS-Proxys auf Speichern, und warten Sie einige Sekunden.

Der untere Bereich kann verwendet werden, um ein Zertifikat hochzuladen, das von der Panda GateDefender-Appliance verwendet wird, oder um ein neues zu generieren, das ein bereits existierendes ersetzt.

Proxy-Zertifikat hochladen

Klicken Sie zur Verwendung eines existierenden Zertifikats auf Durchsuchen..., und wählen Sie das Zertifikat von der lokalen Festplatte aus. Klicken Sie dann auf Hochladen, um eine Kopie an die Panda GateDefender-Appliance zu senden.

Neues Zertifikat erstellen

Klicken Sie auf diese Schaltfläche, um ein neues Zertifikat zu erstellen. Ein Bestätigungsdialogfeld wird angezeigt, das eine Bestätigung erfordert. Klicken Sie auf OK, um fortzufahren, oder auf Abbrechen, um das Dialogfeld zu schließen und einen Schritt zurückzugehen.

Nachdem das Zertifikat hochgeladen oder erstellt wurde, ist neben Proxy-Zertifikat hochladen eine neue Option in Form eines Hyperlinks verfügbar:

Download

Klicken Sie auf diesen Hyperlink, um das von den Clients benötigte Zertifikat herunterzuladen.

POP3

Diese Seite enthält Konfigurationsoptionen für den SpamAssassin-E-Mail-Filter sowie für die Behandlung von E-Mails, die als Spam erkannt wurden.

Globale Einstellungen

Auf dieser Seite können durch Aktivieren der entsprechenden Kontrollkästchen folgende globale Konfigurationseinstellungen des POP3-Proxys aktiviert werden:

Aktiviert für GRÜN, Aktiviert für BLAU und Aktiviert für ORANGE

Aktivieren des POP3-E-Mail-Scanners für die GRÜNE, BLAUE bzw. ORANGE Zone. Die Optionen werden nur angezeigt, wenn die entsprechende Zone aktiviert ist.

Virusscanner

Aktivieren des Virenscanners.

Spamfilter

Aktivieren des Spamfilters für E-Mails.

SSL/TLS-verschlüsselte Verbindungen nicht abfangen

Wenn dieses Kontrollkästchen aktiviert ist, werden Verbindungen über SSL/TLS nicht überwacht.

Firewall protokolliert ausgehende Verbindungen

Protokollieren aller ausgehenden Verbindungen durch die Firewall.

Spamfilter

Auf dieser Seite kann konfiguriert werden, wie vom POP3-Proxy beim Entdecken einer Spam-E-Mail vorgegangen werden soll.

Bemerkung

E-Mails werden auch dann dem ursprünglichen Empfänger zugestellt, wenn sie als Spam markiert wurden. Eine Nichtzustellung würde gegen RFC 2821 verstoßen, da diese besagt, dass einmal angenommene E-Mails dem Empfänger zugestellt werden müssen.

Spam Betreffzeile

Das Präfix, das dem Betreff von E-Mails hinzugefügt wird, die als Spam erkannt wurden.

Benötigte Punktezahl

Die Anzahl der Punkte, die für das Einstufen einer Nachricht als Spam erforderlich ist.

Unterstützung für japanische Emails aktivieren

Durch Aktivieren dieses Kontrollkästchens werden japanische Zeichensätze in E-Mails unterstützt, um die Suche nach entsprechendem Spam zu ermöglichen.

Prüfsummenbasierte Spamerkennung aktivieren (pyzor)

Erkennen von Spam-E-Mails mithilfe von Pyzor. Dabei werden Spam-E-Mails in eine eindeutige Digest-Nachricht konvertiert, die zur Erkennung weiterer entsprechender Spam-E-Mails verwendet werden kann.

Warnung

Durch Aktivierung dieser Option kann der POP3-Proxy deutlich verlangsamt werden.

Whitelist

Eine Liste von E-Mail-Adressen oder ganzen Domänen, die mithilfe von Wildcards angegeben werden können (z. B. *@example.com), mit einem Eintrag pro Zeile. E-Mails, die von diesen Adressen und Domänen gesendet wurden, werden nicht auf Spam überprüft.

Blacklist

Eine Liste von E-Mail-Adressen oder ganzen Domänen, die mithilfe von Wildcards angegeben werden können (z. B. *@example.com), mit einem Eintrag pro Zeile. E-Mails, die von diesen Adressen und Domänen gesendet wurden, werden immer als Spam markiert.

Durch Klicken auf die Schaltfläche Speichern werden die Einstellungen gespeichert.

Verschlüsselte E-Mails

E-Mails, die über eine POP3-SSL-Verbindung gesendet wurden, können von der Panda GateDefender-Appliance nicht überprüft werden, da es sich um einen verschlüsselten Kanal handelt.

Damit von Clients POP3 über SSL-Verbindungen verwendet werden kann, muss dies entsprechend konfiguriert und die Verschlüsselung zwischen Clients und Panda GateDefender-Appliance deaktiviert werden. Die Verschlüsselung wird zwar deaktiviert (d. h. keine Verwendung von SSL), aber der Port für den POP3-Datenverkehr im Nur-Text-Format wird vom Standardport 110 auf Port 995 geändert.

Nach Abschluss dieser Konfiguration bleibt die Verbindung zwischen Clients und der Panda GateDefender-Appliance weiterhin auf „Nur-Text“ eingestellt. Es wird jedoch Port 995 verwendet, wodurch von der Panda GateDefender-Appliance eine verschlüsselte POP3-SSL-Verbindung mit dem POP3-Server eingerichtet wird.

FTP

Der FTP-Proxy ist nur als transparenter Proxy in den aktivierten Zonen verfügbar. Er kann zur Virenprüfung für Dateien verwendet werden, die über FTP heruntergeladen wurden. Als FTP-Proxy der Panda GateDefender-Appliance wird „frox“ verwendet.

Bemerkung

An den Proxy werden nur Verbindungen mit dem Standardport für FTP (Port 21) umgeleitet. Ist ein Client so konfiguriert, dass der HTTP-Proxy auch für das FTP-Protokoll verwendet wird, werden die Einstellungen für den FTP-Proxy umgangen.

Folgende Optionen können auf dieser Seite konfiguriert werden:

Aktiviert für GRÜN, Aktiviert für BLAU und Aktiviert für ORANGE

Aktivieren des FTP-Proxys für die jeweilige Zone. Diese Option ist nur für die aktivierten Zonen verfügbar.

Firewall protokolliert ausgehende Verbindungen

Protokollieren der ausgehenden Verbindungen in der Firewall.

Transparenten Proxy umgehen

Zulassen von Quellen (linker Textbereich) bzw. Zielen (rechter Textbereich) unter der jeweiligen Beschriftung, die nicht vom FTP-Proxy überprüft werden sollen.

FTP-Proxy und aktiver/passiver Modus von FTP-Clients

Die Verwendung von frox als transparentem FTP-Proxy wird von der Panda GateDefender-Appliance nur bei direkter Verbindung mit dem Internet unterstützt.

Probleme können zudem auftreten, wenn sich bei aktiviertem transparenten FTP-Proxy ein NAT-Gerät zwischen der Panda GateDefender-Appliance und dem Internet befindet. Bei einer solchen Konfiguration werden FTP-Verbindungen mit einem Remote-FTP-Standort blockiert und nach gewisser Zeit mit einem Timeout beendet. Die Protokolle enthalten dann Meldungen wie die folgende:

Mo, 2. März 2009, 11:32:02 frox[18450] Verbindungszeitüberschreitung beim
 Versuch, eine Verbindung mit <IP Ihres FTP-Client> herzustellen
Mon Mar  2 11:32:02 2009 frox[18450] Failed to contact client data port

Zur Vermeidung solcher Probleme sollte der FTP-Client so konfiguriert werden, dass als Übertragungsmodus der passive Modus (PASV) verwendet wird. Zusätzlich muss unter :menuselection: Menüleiste –> Firewall –> Systemzugriff eine Regel erstellt werden, durch die der Datenverkehr über die Ports 50000 bis 50999 für das NAT-Gerät zugelassen wird. Aus Sicherheitsgründen sollten diese Ports jedoch nur bei Bedarf aktiviert werden. Zum besseren Verständnis des Zwecks einer solchen Konfiguration folgt eine ausführlichere Beschreibung der Funktionsweise von aktiven und passiven Modi und deren Zusammenspiel mit dem FTP-Proxy.

Beim aktiven Modus muss die Datenverbindung mit dem Client vom Server (in diesem Fall der FTP-Proxy) hergestellt werden. Befindet sich zwischen Client und Proxy ein NAT-Gerät, kann der Client vom Server aber nicht erreicht werden. Aus diesem Grund muss vom Client der passive Modus verwendet werden.

Beim passiven Modus muss die Verbindung mit dem Server (wieder der FTP-Proxy) vom Client hergestellt werden. Dafür wird ein dynamischer Port verwendet, der über die Steuerverbindung ausgehandelt wurde. Der entsprechende Port wird vom FTP-Proxy abgehört. Datenverkehr für diesen Port muss jedoch von der Systemzugriffsfirewall erlaubt werden.

Da Zugriffsversuche auf den FTP-Proxy durch mehrere Datenverbindungen gleichzeitig erfolgen können, müssen Verbindungen für einen gesamten Portbereich zugelassen werden. Dies bedeutet, dass alle Ports, die für passive Datenverbindungen reserviert sind (Ports 50000 bis 50999), von der Systemzugriffsfirewall erlaubt werden müssen.

SMTP

Mithilfe des SMTP-Proxys kann E-Mail-Verkehr vermittelt und gefiltert werden, der von den Clients an die Mailserver gesendet wird.

Der SMTP-Proxy dient dazu, den SMTP-Datenverkehr zu steuern und zu optimieren und die lokalen Netzwerke bei der Verwendung des SMTP-Protokolls vor Bedrohungen zu schützen. SMTP wird immer dann verwendet, wenn eine E-Mail von einem lokalen E-Mail-Client an einen Remote-Mailserver gesendet wird, d. h. für den ausgehenden E-Mail-Verkehr. SMTP wird auch verwendet, wenn sich ein Mailserver im LAN (in der GRÜNEN Zone) oder in der DMZ (in der ORANGEN Zone) befindet und E-Mails von außerhalb des lokalen Netzwerks (eingehende Anforderungen) über diesen gesendet werden können, den Clients also das Senden von E-Mails von der ROTEN Schnittstelle gestattet ist.

Zum Herunterladen von E-Mails von einem Remote-Mailserver zu einem lokalen E-Mail-Client wird das POP3- oder das IMAP-Protokoll verwendet. Um auch diesen Datenverkehr zu schützen, kann der POP3-Proxy unter Menüleiste ‣ Proxy ‣ POP3 aktiviert werden.

Warnung

Das Überprüfen von IMAP-Datenverkehr wird derzeit nicht unterstützt.

Mithilfe der Funktionen des E-Mail-Proxys kann sowohl eingehender als auch ausgehender E-Mail-Verkehr auf Viren, Spam und andere Bedrohungen überprüft werden. Falls erforderlich werden E-Mails blockiert und Empfänger und Administrator darüber benachrichtigt. Da die Möglichkeit besteht, eingehende E-Mails zu überprüfen, können mithilfe des E-Mail-Proxys eingehende Verbindungen von der ROTEN Schnittstelle bearbeitet und E-Mails an interne Mailserver weitergeleitet werden. Dadurch wird ein eigener Mailserver hinter der Firewall ermöglicht, ohne dass entsprechend definierte Portweiterleitungsregeln erforderlich sind.

Die Konfiguration des SMTP-Proxys ist auf fünf bzw. sechs Registerkarten aufgeteilt (je nach Verfügbarkeit von Commtouch), von denen jeweils ein Aspekt des SMTP-Proxys abgedeckt wird.

Konfiguration

Hierbei handelt es sich um die Hauptseite für die Konfiguration des SMTP-Proxys. Durch Klicken auf den Umschalter kann der SMTP-Proxy aktiviert werden. Ist der SMTP-Proxy aktiviert, kann mithilfe der folgenden Optionen für jede aktivierte Zone dessen Status ausgewählt werden:

aktiv

Der SMTP-Proxy ist für diese Zone aktiviert und nimmt über Port 25 Anfragen entgegen.

transparenter Modus

Ist der transparente Modus aktiviert, werden alle Anfragen mit dem Zielport 25 unterbrochen und an den SMTP-Proxy weitergeleitet, ohne dass die Konfiguration der Clients geändert werden muss. Diese Option ist für die ROTE Zone nicht verfügbar.

inaktiv

Der SMTP-Proxy ist für diese Zone nicht aktiviert.

Es sind weitere Optionen verfügbar. Die vier Bereiche, in denen sie gruppiert sind, können durch Klicken auf das Symbol erweitert werden.

Spameinstellungen

In diesem Bereich können SpamAssassin und „amavisd-new“ konfiguriert werden. Diese beiden Softwareanwendungen werden von der Panda GateDefender-Appliance verwendet, um Spam zu erkennen und zu filtern. Es können folgende Optionen konfiguriert werden:

Mails auf SPAM prüfen

Aktivieren des E-Mail-Spamfilters. Darunter werden weitere Optionen angezeigt, die konfiguriert werden können.

Commtouch Spam-Engine

Aktivieren Sie die Anti-Spam-Engine von Commtouch, um E-Mails zu filtern.

Spambehandlung auswählen

Drei Aktionen können mit E-Mails durchgeführt werden, die als Spam erkannt wurden:

• in die Standard-Quarantäne verschieben: Spam-E-Mails werden an den Standardspeicherort verschoben.
• an die Quarantäne-Emailadresse senden: Spam-E-Mails werden an eine benutzerdefinierte E-Mail-Adresse weitergeleitet. Diese kann im Textfeld Emailadresse für Spam Quarantäne angegeben werden, das bei Auswahl dieser Option angezeigt wird.
• als Spam markieren: Die E-Mails werden vor ihrer Zustellung als Spam markiert.

Prefix für Betreffzeile

Dem Betreff aller E-Mails, die als Spam markiert wurden, wird ein Präfix hinzugefügt.

Emailadresse zur Benachrichtigung von SPAM (SPAM Admin)

Die E-Mail-Adresse, an die bei jeder verarbeiteten Spam-E-Mail eine Benachrichtigung gesendet wird.

Spam Kennzeichnungsstufe

Wenn die SpamAssassin-Punktzahl über diesem Wert liegt, werden der E-Mail die Header X-Spam-Status und X-Spam-Level hinzugefügt.

Spam Markierungsstufe

Wenn die SpamAssassin-Punktzahl über diesem Wert liegt, werden der E-Mail die Header Spam subject und X-Spam-Flag hinzugefügt.

Spam Quarantäne Level

E-Mails, deren Spampunktzahl über diesem Wert liegt, werden an den Quarantäneort verschoben.

Maximale SPAM Punktezahl für Senderbenachrichtigung

E-Mail-Benachrichtigungen werden nur gesendet, wenn die Spampunktzahl unter diesem Wert liegt.

Spamfilterung

Aktivieren Sie die Option Spam-Greylisting, um die folgende Option anzuzeigen.

Die Verzögerung für Greylisting in Sekunden.

Der Wert darf zwischen 30 und 3600 liegen.

Japanization

Durch Aktivieren dieses Kontrollkästchens werden japanische Zeichensätze in E-Mails unterstützt und entsprechende Spam-E-Mails gefiltert.

Bemerkung

Da die einfachsten und gängigsten Spamnachrichten sowie E-Mails von bekannten Spamhosts blockiert werden, passen die Absender von Spam ihre Nachrichten fortlaufend so an, dass Spamfilter umgangen werden. Daher ist es absolut notwendig, auch den Spamfilter fortlaufend zu trainieren, damit dieser personalisiert und leistungsfähiger wird (Bayes-Filter).

Viruseinstellungen

In diesem Bereich können die folgenden Optionen zur Behandlung erkannter Viren konfiguriert werden:

Mails nach Viren durchsuchen

Aktivieren Sie den Virenfilter für E-Mails, um weitere Virenfilteroptionen anzuzeigen.

Virusbehandlung auswählen

Abhängig vom Typ der Panda GateDefender-Appliance können für E-Mails, bei denen Viren erkannt wurden, drei oder vier verschiedene Aktionen ausgeführt werden. Sie sind mit denen, die zuvor unter Spameinstellungen beschrieben wurden, größtenteils identisch:

• In die Standard-Quarantäne verschieben: Virenbehaftete E-Mails werden an den Standardspeicherort verschoben.
• an die Quarantäne-Emailadresse senden: Virenbehaftete E-Mails werden an eine benutzerdefinierte E-Mail-Adresse weitergeleitet. Diese kann im Textfeld Quarantäne Emailadresse für Viren angegeben werden, das bei Auswahl dieser Option angezeigt wird.
• an den Empfänger schicken (unabhängig von schädlichen Inhalten): Virenbehaftete E-Mails werden auf normale Weise zugestellt.

Mailadresse zur Virus Benachrichtigung (Virus Admin)

Die E-Mail-Adresse, an die bei jeder verarbeiteten virenbehafteten E-Mail eine Benachrichtigung gesendet wird.

Dateieinstellungen

Dieser Bereich enthält Einstellungen, durch die bestimmte E-Mail-Anhänge anhand ihrer Dateierweiterungen blockiert werden. Wird bei einem Anhang eine bestimmte Dateierweiterung erkannt, wird die ausgewählte Aktion ausgeführt.

Blockiere Dateien nach Erweiterung

Aktivieren des Dateierweiterungsfilters und Anzeigen der weiteren Filteroptionen.

Behandlung von blockierten Dateien auswählen

Abhängig vom Typ der Panda GateDefender-Appliance können für blockierte E-Mails drei oder vier verschiedene Aktionen ausgeführt werden.l Sie sind mit denen, die zuvor unter Spameinstellungen und Viruseinstellungen beschrieben wurden, größtenteils identisch:

• In die Standard-Quarantäne verschieben: E-Mails mit blockierten Dateien werden an den Standardspeicherort verschoben.
• an die Quarantäne-Emailadresse senden: E-Mails mit blockierten Dateien werden an eine benutzerdefinierte E-Mail-Adresse weitergeleitet. Diese kann im Textfeld Emailadresse zur Benachrichtigung gesperrter Dateien angegeben werden, das bei Auswahl dieser Option angezeigt wird.
• An den Empfänger schicken (unabhängig von blockierten Dateien): E-Mails mit blockierten Dateien werden auf normale Weise zugestellt.

Zu blockierende Dateitypen auswählen (anhand der Erweiterung)

Die Erweiterungen für Dateien, die blockiert werden sollen.

Emailadresse zur Benachrichtigung gesperrter Dateien (Datei Admin)

Die E-Mail-Adresse, an die bei jeder verarbeiteten E-Mail mit blockierten Anhängen eine Benachrichtigung gesendet wird.

Dateien mit doppelten Endungen blockieren

Aktivieren der Blockierung von Dateien mit doppelten Erweiterungen.

Bemerkung

Bei Dateien mit doppelten Erweiterungen handelt es sich in der Regel um böswillige Dateien, die z. B. als harmlose Bilder oder Dokumente getarnt sind. Wenn sie angeklickt werden, wird eine Anwendung ausgeführt, die eine Beschädigung des Computers oder den Diebstahl persönlicher Daten zum Ziel hat. Dateien mit doppelten Erweiterungen unterscheiden sich von normalen Dateien nur dadurch, dass ihrem Namen noch ein .exe, .com, .vbs, .pif, .scr, .bat, .cmd oder .dll angehängt ist. Beispielsweise wird so aus dem Dateinamen image.jpg der Dateiname image.jpg.exe.

Es muss konfiguriert werden, für welche E-Mail-Domänen die lokalen Server jeweils zuständig sein sollen. Die entsprechende Liste der Zuordnungen von Domänen und SMTP-Servern kann unter :menuselection: Menüleiste –> Proxy –> SMTP –> Eingehende Domains definiert werden.

Transparenten Proxy umgehen

Im letzten Bereich können folgende benutzerdefinierte Listen von Domänen definiert werden, für die der transparente Proxy deaktiviert werden soll:

Transparenten Proxy von SUBNETZ/IP/MAC umgehen

Die Quellen für E-Mails, auf die der transparente Proxy nicht angewendet wird.

Transparenten Proxy nach SUBNET/IP umgehen

Auf E-Mails, die an diese Ziele gesendete werden, wird der transparente Proxy nicht angewendet.

Black- & Whitelists

Auf dieser Seite befinden sich vier Bereiche: Drei Bereiche dienen der Definition verschiedener benutzerdefinierter Blacklists und Whitelists und einer der Auswahl und Verwendung vorhandener RBLs.

Akzeptierte Mails (Black & Whitelisten)

Im ersten Bereich kann eine beliebige Anzahl von Domänen, Unterdomänen oder einzelnen E-Mail-Adressen angegeben werden, die in eine Blacklist oder Whitelist aufgenommen werden sollen. Dazu können für die entsprechende Blacklist oder Whitelist jeweils beliebig viele Absender, Empfänger oder Clients in die folgenden Textbereiche eingegeben werden:

Whitelist Absender

Alle E-Mails, die von diesen Adressen oder Domänen gesendet wurden, werden akzeptiert. Diese Liste bezieht sich auf das E-Mail-Feld From:.

Blacklist Absender

Alle E-Mails, die von diesen Adressen oder Domänen gesendet wurden, werden abgelehnt. Diese Liste bezieht sich auf das E-Mail-Feld From:.

Whitelist Empfänger

Alle E-Mails, die an diese Adressen oder Domänen gesendet wurden, werden akzeptiert. Diese Liste bezieht sich auf das E-Mail-Feld To:.

Blacklist Empfänger

Alle E-Mails, die an diese Adressen oder Domänen gesendet wurden, werden abgelehnt. Diese Liste bezieht sich auf das E-Mail-Feld To:.

Whitelist Client

Alle E-Mails, die von diesen IP-Adressen oder Hosts gesendet wurden, werden akzeptiert.

Blacklist Client

Alle E-Mails, die von diesen IP-Adressen oder Hosts gesendet wurden, werden abgelehnt.

Beispiele für Blacklist- und Whitelisteinträge für Absender und Empfänger

Vollständige Domänen oder Unterdomänen und einzelne Adressen können auf folgende Weise in eine Blacklist oder Whitelist aufgenommen werden:

• Eine Domäne einschließlich ihrer Unterdomänen: example.com
• Nur die Unterdomänen einer Domäne: example.com
• Eine einzelne Adresse: info@example.com, admin@example.com

Clients können auf folgende Weise in eine Blacklist oder Whitelist aufgenommen werden:

• Eine Domäne oder IP-Adresse: example.com, 10.10.121.101, 192.168.100.0/24

Echtzeit Blacklist (RBL)

Eine gängige Methode zum Blockieren von Spam-E-Mails sind die sogenannten RBLs. Ihre Verwendung kann in diesem zweiten Bereich konfiguriert werden. Die Listen werden von verschiedenen Organisationen erstellt, verwaltet und aktualisiert, deren Ziel das zügige Erkennen und Blockieren neuer SMTP-Server ist, die für den Spamversand verwendet werden. E-Mails von Domänen oder IP-Adressen, die in einer dieser Blacklists stehen, werden ohne jeden Hinweis abgelehnt. Die Verwendung von RBLs schont die Bandbreite, da entsprechende E-Mails nicht angenommen und wie legitime E-Mails verarbeitet, sondern sofort verworfen werden, wenn die IP-Adresse oder Domäne des Absenders in einer der Blacklists gefunden wird. Von der Panda GateDefender-Appliance werden zahlreiche IP-basierte und domänenbasierte RBLs verwendet. Die Blacklists der einzelnen Kategorien können durch Klicken auf das Symbol angezeigt werden. Gemeinsam aktiviert oder deaktiviert werden sie durch Klicken auf den roten bzw. grünen Pfeil ganz oben in der Liste. Alternativ können sie auch einzeln aktiviert oder deaktiviert werden. Wird der Name einer Liste angeklickt, wird die Homepage der Organisation aufgerufen, die diese Liste pflegt. Folgende Blacklists sind u. a. installiert:

bl.spamcop.net

Eine Blacklist, die auf Beiträgen ihrer Nutzer beruht.

zen.spamhaus.org

Diese Liste ist der Nachfolger von „sbl-xbl.spamhaus.org“. Sie enthält die „Spamhaus Block List“, die „Exploits Block List“ und die „Policy Block List“ von Spamhaus.

cbl.abuseat.org

Die CBL-Liste bezieht ihre Quelldaten von sehr großen Spamfallen. Es werden nur IP-Adressen aufgeführt, die spezifische Eigenschaften unterschiedlicher offener Proxys (z. B. HTTP, SOCKS, AnalogX oder WinGate) aufweisen, die für das Versenden von Spam, Würmern, Viren mit eigenem direkten E-Mail-Versand oder von manchen Arten von trojanischen Pferden oder Stealth-Spamware missbraucht wurden. Die offenen Proxys werden dabei nicht überprüft.

[name].dnsbl.sorbs.net und rhsbl.dnsbl.sorbs.net

Von dieser Organisation werden mehrere Blacklists bereitgestellt (z. B. „safe“ oder „relays“ anstelle von [name]). Sie können einzeln oder durch Aktivieren der Blacklist dsnbl.sorbs.net auch gemeinsam aktiviert werden.

uceprotect.net

Listen, in denen Domänen bekannter Spamquellen für höchstens sieben Tage aufbewahrt werden. Nach Ablauf dieses Zeitraums werden sie aus den Listen ausgetragen. Bei wiederholten Verletzungen werden jedoch strengere Richtlinien angewendet.

dsn.rfc-ignorant.org

Diese Liste enthält Domänen oder IP-Netzwerke, die nicht gemäß den RFC-Standards für das Internet administriert werden.

Bemerkung

Die Website „rfc-ignorant.org“ hat am 30.11.2012 den Dienst eingestellt (siehe Ankündigung), aber ihre Arbeit wird unter http://www.rfc-ignorant.de/ fortgeführt. Klicken Sie auf diesen Link, um diese RBL weiter zu verwenden, und lesen Sie die darin aufgeführten Anweisungen.

Warnung

Gelegentlich werden IP-Adressen oder Domänen von RBL-Betreibern irrtümlich aufgeführt. Dies kann die Kommunikation stören, da auch legitime E-Mails von entsprechenden Domänen abgelehnt werden, ohne dass sie wiederhergestellt werden können. Da es keine Möglichkeit gibt, direkten Einfluss auf die RBLs zu nehmen, müssen vor ihrer Verwendung die Richtlinien der Organisationen berücksichtigt werden, die sie verwalten. Panda ist nicht für E-Mails verantwortlich, die bei der Verwendung von RBLs verloren gehen könnten.

Bemerkung

Fortgeschrittene Benutzer können die Liste über die CLI modifizieren, indem sie die Datei /var/efw/smtpscan/settings bearbeiten und die RBL-Variable anpassen.

Greylisting für Spam

Im dritten Bereich können Whitelists für Greylisting erstellt werden, indem Empfänger, IP-Adressen oder Netzwerke in den folgenden beiden Textbereichen eingetragen werden. Auf diese wird kein Greylisting angewendet:

Whitelist Empfänger

Alle E-Mail-Adressen oder Domains in diesem Textbereich (z. B. „test@example.com“ oder „example.com“) werden als sicher angesehen. Von dort empfangene E-Mails werden nicht auf Spam überprüft.

Whitelist Client

Alle Adressen des Mailservers in diesem Textbereich werden als sicher betrachtet. E-Mails, die von dieser Serveradresse gesendet wurden, werden nicht auf Spam überprüft.

Greylisting

Greylisting ist eine von MTAs verwendete Methode, mit der die Legitimität von E-Mails überprüft wird. Dabei wird eine E-Mail zunächst abgelehnt und ihre erneute Zustellung abgewartet. Wird sie kein zweites Mal empfangen, wird der Absender als Spam-Quelle betrachtet. Beim Greylisting wird davon ausgegangen, dass für den Massenversand verwendete Spam-Bots abgelehnte E-Mails nicht noch einmal senden und nur legitime E-Mails ein zweites Mal gesendet werden.

Spam (Black- & Whitelists)

Im letzten Bereich werden die folgende Blacklist und die folgende Whitelist für den Spamfilter explizit definiert:

Whitelist Absender

Die E-Mail-Adressen oder Domänen in diesem Textbereich (z.B. „test@example.com“ oder „example.com“) werden in die Whitelist aufgenommen. Sie werden nicht als Absender von Spam erkannt.

Blacklist Absender

Die E-Mail-Adressen oder Domänen in diesem Textbereich (z.B. „test@example.com“ oder „example.com“) werden in die Blacklist aufgenommen. Sie werden immer als Absender von Spam klassifiziert.

Eingehende Domains

Wenn eingehende E-Mails aktiviert wurden, können von Clients, die sich außerhalb der ROTEN Schnittstelle befinden, E-Mails über einen lokalen SMTP-Server gesendet werden. Sollen zu sendende E-Mails an einen Mailserver hinter der Panda GateDefender-Appliance (typischerweise in der ORANGEN Zone) weitergeleitet werden, muss angegeben werden, an welchen Mailserver die Weiterleitung der eingehenden E-Mails erfolgen soll und welche Domains vom SMTP-Proxy akzeptiert werden. Dabei können mehrere Mailserver hinter der Panda GateDefender-Appliance für jeweils unterschiedliche Domänen angegeben werden.

Auf der Seite wird ggf. eine Liste von Domänen mit den jeweils zuständigen Mailservern angezeigt. Durch Klicken auf die Schaltfläche Eine Domain hinzufügen kann eine neue Domäne hinzugefügt werden. Daraufhin wird ein einfaches Formular geöffnet, in dem die Zuordnung von Domäne und Mailserver erstellt werden kann. Es enthält die folgenden Optionen:

Domain

Die Domäne, für die dieser Mailserver zuständig ist.

Mailserver IP

Die IP-Adresse des Mailservers.

Der neu erstellte Eintrag wird unten in der Liste angezeigt.

Mailrouting

Mithilfe dieser Option können BCCs von E-Mails an eine angegebene Adresse gesendet werden. Sie wird auf alle E-Mails angewendet, die entweder von einer bestimmten Absenderadresse oder an einem bestimmten Empfänger gesendet wurden. In der Liste werden ggf. vorhandene Einträge mit der Richtung, der Adresse und der BCC-Adresse angezeigt. Durch Klicken auf die Schaltfläche Eine Mailroute hinzufügen kann eine neue Mailroute hinzugefügt werden. Im daraufhin geöffneten Formular können die folgenden Optionen konfiguriert werden:

Richtung

Auswahl aus einem Dropdown-Menü, ob die Mailroute für einen E-Mail-Absender oder E-Mail-Empfänger definiert werden soll.

Mailadresse

Je nach ausgewählter Richtung die E-Mail-Adresse des Absenders oder Empfängers, auf den die Route angewendet werden soll.

BCC Adresse

Die E-Mail-Adresse, an die Kopien der E-Mails gesendet werden sollen.

Warnung

Absender und Empfänger werden nicht darüber benachrichtigt, dass eine Kopie an einen Dritten gesendet wird. In den meisten Ländern ist es hochgradig illegal, private Nachrichten anderer mitzulesen. Daher darf diese Funktion nicht zweckentfremdet und keinesfalls missbraucht werden.

Erweitert

Die letzte Konfigurationsseite für den SMTP-Proxy enthält Optionen für erweiterte Einstellungen. Diese sind in vier Bereichen gruppiert, die durch Klicken auf die Symbole und links neben den Bereichstiteln ein- oder ausgeblendet werden können.

Smarthost Konfiguration

Im ersten Bereich kann ein Smarthost aktiviert und konfiguriert werden. Verfügt der SMTP-Server über eine dynamische IP-Adresse, z. B. bei einer ISDN- oder DSL-Einwahlverbindung, können Probleme beim Senden von E-Mails an andere Mailserver auftreten. Die IP-Adresse kann in einer RBL aufgeführt sein (siehe weiter oben unter Black- & Whitelisten), wodurch gesendete E-Mails von Remote-Mailservern möglicherweise abgelehnt werden. Dadurch wird es erforderlich, für den E-Mail-Versand einen Smarthost zu verwenden.

Smarthost für Zustellung

Durch Aktivieren dieses Kontrollkästchens wird für die Zustellung von E-Mails ein Smarthost aktiviert, und es werden weitere Optionen angezeigt.

Smarthost Adresse

Die Adresse des Smarthosts.

Smarthost Port

Der Port, der vom Smarthost abgehört wird. Der Standardport ist 25.

Smarthost benötigt Authentifizierung

Dieses Kontrollkästchen muss aktiviert werden, wenn für den Smarthost eine Authentifizierung erforderlich ist. In diesem Fall werden die drei nachfolgenden Zusatzoptionen angezeigt.

Smarthost Benutzername

Der Benutzername für die Authentifizierung beim Smarthost.

Smarthost Passwort

Das Passwort für die Authentifizierung beim Smarthost.

Authentifizierungsmethode auswählen

Die erforderlichen Authentifizierungsmethoden für den Smarthost. Unterstützt werden PLAIN, LOGIN, CRAM-MD5 und DIGEST-MD5. Bei gedrückter Taste STRG kann durch Anklicken der gewünschten Methoden eine Mehrfachauswahl getroffen werden.

Bemerkung

Kurz zusammengefasst ist ein Smarthost ein Mailserver, der vom SMTP-Proxy als ausgehender SMTP-Server verwendet wird. Der Smarthost muss die E-Mails annehmen und vermittelt sie dann. In der Regel wird als Smarthost der providereigene SMTP-Server verwendet, da von diesem die E-Mails zur Vermittlung angenommen werden, was bei anderen Mailservern nicht der Fall ist.

IMAP Server für die SMTP Authentifizierung

Dieser Bereich enthält Konfigurationsoptionen für den IMAP-Server, der beim Senden von E-Mails zur Authentifizierung verwendet werden soll. Die Einstellungen sind besonders wichtig für eingehende SMTP-Verbindungen, die aus der ROTEN Zone geöffnet werden. Die folgenden Einstellungen können konfiguriert werden:

SMTP Authentifizierung mit IMAP Server aktivieren

Durch Aktivieren dieses Kontrollkästchens wird die IMAP-Authentifizierung aktiviert, und es werden weitere Optionen angezeigt.

Anzahl der Authentifikations Daemons wählen

Die Anzahl der gleichzeitig möglichen Anmeldungen über die Panda GateDefender-Appliance.

IMAP Authentifizierungsserver

Die Adresse des IMAP-Servers.

IMAP Authentifizierungsport

er Port, der vom IMAP-Server abgehört wird. Der Standardport ist 143 (einfaches IMAP) bzw. 993 (IMAP über SSL).

Mailserver Einstellungen

In diesem Bereich können die folgenden zusätzlichen Parameter des SMTP-Servers definiert werden:

Benötigt SMTP HELO

Wenn dieses Kontrollkästchen aktiviert ist, muss von Clients, von denen eine Verbindung hergestellt wird, zu Beginn einer SMTP-Sitzung ein HELO-Befehl (oder EHLO-Befehl) gesendet werden.

Ungültiger Hostname

Clients, von denen eine Verbindung hergestellt wird, werden abgewiesen, wenn durch ihre HELO- oder EHLO-Parameter ein ungültiger Hostname übermittelt wird.

SMTP HELO Name

Der Hostname, der mit dem HELO- oder EHLO-Befehl gesendet werden soll. Der Standardwert ist die ROTE IP-Adresse. Es kann aber auch eine benutzerdefinierte IP-Adresse oder ein benutzerdefinierter Hostname angegeben werden.

Immer BCC an Adresse

Eine E-Mail-Adresse, an die BCCs aller Nachrichten gesendet werden, die den SMTP-Proxy passieren.

Sprache für die Mailvorlage auswählen

Die Sprache, in der Fehlermeldungen gesendet werden sollen.

Empfängeradresse überprüfen

Aktivieren der Überprüfung auf gültige Empfänger-Adressen vor dem Senden von Nachrichten.

Limite für schwerwiegende Fehler auswählen

Die maximale Anzahl von Fehlern, die von einem Remote-SMTP-Client erzeugt werden darf, ohne dass eine E-Mail übermittelt wird. Wird dieses Limit überschritten, wird die Verbindung vom SMTP-Proxyserver getrennt. Der Standardwert beträgt 20.

Maximalgröße des Email-Inhaltes auswählen

Die maximal zulässige Größe für einzelne E-Mails.

HELO/EHLO und Hostname

Von fast allen Mailservern wird verlangt, dass durch Clients, von denen über SMTP eine Verbindung hergestellt wird, eine entsprechende Ankündigung mit einem gültigen Hostnamen im HELO/EHLO erfolgt. Anderenfalls wird die Verbindung getrennt. Von der Panda GateDefender-Appliance wird jedoch zur Ankündigung bei fremden Mailservern ein eigener Hostname verwendet, der im globalen DNS nicht immer öffentlich gültig ist.

In einem solchen Fall kann unter Menüleiste ‣ Proxy ‣ SMTP ‣ Erweitert ‣ Mailserver Einstellungen ‣ SMTP HELO Name ein anderer benutzerdefinierter Hostname konfiguriert werden, der vom Remote-Mailserver verstanden werden kann.

Anstelle eines benutzerdefinierten Hostnamens kann auch eine numerische IP-Adresse in Klammern angegeben werden (z. B. [192.192.192.192]). Dabei sollte es sich um die ROTE IP-Adresse handeln.

Spamabwehr

Im letzten Bereich können zusätzliche Parameter für den Spamfilter definiert werden, indem eines oder mehrere der folgenden vier Kontrollkästchen aktiviert werden:

Ungültige Empfänger zurückweisen (non-FQDN)

Eine Anforderung wird zurückgewiesen, wenn die Adresse für RCPT TO kein FQDN-Format aufweist, wie durch RFC 821 verlangt.

Ungültige Absender zurückweisen (non-FQDN)

Ein Client, von dem eine Verbindung hergestellt wird, wird zurückgewiesen, wenn es sich bei dem Hostnamen, der mit dem HELO- oder EHLO-Befehl übermittelt wird, nicht um einen FQDN handelt, wie durch RFC 821 verlangt.

Unbekannte Empfänger-Domains abweisen

Eine Verbindung wird abgewiesen, wenn für die Domain der Empfängeradresse kein A-Eintrag oder MX-Eintrag im DNS vorhanden ist.

Unbekannte Absender-Domains abweisen

Eine Verbindung wird abgewiesen, wenn für die Domain der Absenderadresse kein A-Eintrag oder MX-Eintrag im DNS vorhanden ist.

Fehlerbehebung für den SMTP-Proxy

Wird in der Protokolldatei die Meldung „Mail for xxx loops back to myself“ angezeigt, deutet dies auf eine Fehlkonfiguration beim benutzerdefinierten SMTP-HELO-Namen in der Appliance hin. Dieser ist identisch mit dem Hostnamen des internen Mailservers, an den eingehende E-Mails weitergeleitet werden sollen.

In diesem Fall enthält die SMTP-Verbindung, die vom internen Mailserver empfangen wird, einen Hostnamen (den aus der HELO-Zeile der SMTP-Proxyeinstellung), der mit dem Hostnamen des internen Mailservers identisch ist. Daher wird vom internen Mailserver angenommen, dass von ihm dieselbe E-Mail gesendet und empfangen wird, wodurch diese Fehlermeldung verursacht wird.

Die folgenden Lösungen sind möglich:

• Ändern des Hostnamens des internen Mailservers.
• Erstellen eines neuen, öffentlich gültigen A-Eintrags in der DNS-Zone, durch den auch auf die Panda GateDefender-Appliance verwiesen wird, und Verwenden des entsprechenden Hostnamens als HELO-Zeile im SMTP-Proxy.
• Verwenden der numerischen IP-Adresse des Uplinks als HELO-Zeile.

Anti-Spam

Diese Seite enthält Konfigurationseinstellungen für die Anti-Spam-Engine von Commtouch. Folgende Optionen können konfiguriert werden:

Mit Spamassassin kurzschließen

Durch Aktivieren dieses Kontrollkästchens wird SpamAssassin übergangen, wenn von Commtouch eine Nachricht als Spam markiert wird.

IPs/Netzwerke ignorieren

Definieren von IP-Adressen und Netzwerken, die nicht von Commtouch überprüft werden sollen.

Im Abschnitt „SPAM Tag Level“ (Spam-Kennzeichnungsstufe) können die folgenden Optionen konfiguriert werden:

BESTÄTIGT

Alle E-Mails mit einer Kennzeichnungsstufe, die über diesem Wert liegt, werden als Spam erkannt (zwischen -10 und 10).

BULK

Alle E-Mails mit einer Kennzeichnungsstufe, die über diesem Wert liegt, werden als Massensendungen identifiziert (zwischen -10 und 10).

SUSPEKT

Alle E-Mails mit einer Kennzeichnungsstufe, die über diesem Wert liegt, werden unter Spamverdacht gestellt (zwischen -10 und 10).

UNBEKANNT

E-Mails mit einer Kennzeichnungsstufe, die unter diesem Wert liegt, werden als unbekannt eingestuft (zwischen -10 und 10).

KEIN SPAM

E-Mails mit einer Kennzeichnungsstufe, die unter diesem Wert liegt, werden nicht als Spam eingestuft (zwischen -10 und 10).

DNS

Beim DNS-Proxy handelt es sich um einen Proxyserver, von dem DNS-Anfragen abgefangen und beantwortet werden, ohne dass zum Auflösen einer IP-Adresse oder eines Hostnamen ein Remote-DNS-Server kontaktiert werden muss. Wenn eine Abfrage häufig wiederholt wird, kann das Zwischenspeichern der Ergebnisse die Leistung merklich steigern. Die verfügbaren Einstellungen für den DNS-Proxy sind auf drei Registerkarten gruppiert.

DNS-Proxy

Der DNS-Proxy kann durch Aktivieren des entsprechenden Kontrollkästchens für die GRÜNE, ORANGE und BLAUE Zone als transparent aktiviert werden, sofern die Zonen aktiv sind. Bestimmte Quellen und Ziele, für die der Proxy umgangen werden soll, können durch Eingeben ihrer Werte in dem Textbereich eingerichtet werden. Die Quellen können in Form von IP-Adressen, Netzwerken oder MAC-Adressen und die Ziele in Form von IP-Adressen oder Netzwerken angegeben werden.

DNS-Routing

Auf dieser Seite befindet sich eine Liste von benutzerdefinierten Nameservern, die für eine angegebene Domäne verwendet werden sollen. Durch Klicken auf den Link einen neuen benutzerdefinierten Nameserver für eine Domain hinzufügen können der Liste neue Zuordnungen von Nameservern und Domänen hinzugefügt werden. Dabei können Werte für die folgenden verfügbaren Optionen eingegeben werden:

Domain

Die Domäne, für die der benutzerdefinierte Nameserver verwendet werden soll.

DNS Server

Die IP-Adresse des Nameservers.

Anmerkung

Ein zusätzlicher Kommentar.

Anti-Spyware

Auf dieser Seite werden Konfigurationsoptionen angezeigt, durch die bestimmt wird, wie von der Panda GateDefender-Appliance auf Anforderungen zur Namensauflösung reagiert werden soll, wenn die angeforderte Domäne als Verteiler von Spyware bekannt ist. Folgende Optionen können festgelegt werden:

Aktiviert

Die Anforderungen werden an den Localhost umgeleitet. Der Remotestandort wird also nicht kontaktiert und ist nicht erreichbar.

Erlaubte Domains

Eingeben von Domänennamen, die unabhängig vom Inhalt der Liste nicht als Spywareziele behandelt werden.

Blacklist Domains

Eingeben von Domänennamen, die unabhängig vom Inhalt der Liste immer als Spywareziele behandelt werden.

Spyware Domainlisten Updateintervall

Die Aktualisierungshäufigkeit für die Spyware-Domänenlisten. Die möglichen Optionen sind stündlich, täglich, wöchentlich und monatlich. Der genaue Zeitpunkt der Aktualisierung wird angezeigt, wenn der Mauszeiger über das entsprechende Fragezeichen geführt wird.