Menü „Proxy“¶

Auf dieser Seite finden Sie folgende Informationen:

Zur Verbesserung der Online-Sicherheit verfügt die Panda GateDefender-Appliance über mehrere Dienste, deren Funktionen mit denen des Proxys kombiniert werden. Mithilfe des Untermenüs auf der linken Seite kann auf die entsprechenden Seiten und Konfigurationsoptionen zugegriffen werden. Diese sind im Folgenden zusammengefasst:

HTTP – Webproxy: Zugriffsrichtlinien, Authentifizierung, Inhaltsfilter und Virenschutz
POP3 – Proxy für den E-Mail-Abruf: Spamfilter und Virenschutz
FTP – über FTP heruntergeladene Dateien: Virenschutz
SMTP – Proxy für den E-Mail-Abruf oder -Versand: Spamfilter und Virenschutz
DNS – zwischenspeichernder DNS: Anti-Spyware

Jeder Proxydienst kann eigenständig konfiguriert, aktiviert und deaktiviert werden. Sind für eine ordnungsgemäße Funktion weitere Dienste erforderlich, werden diese gestartet. Wird beispielsweise der SMTP-Proxy konfiguriert und gestartet, wird auch der SMTP-Dienst gestartet, sofern er nicht bereits ausgeführt wird. Daher muss zunächst der SMTP-Dienst konfiguriert werden, bevor der SMTP-Proxy verwendet wird.

Mit Version 5.50 wurde die gesamte Proxy-Architektur geändert.

Die alte und neue HTTP-Proxy-Architektur

Mit der Veröffentlichung von Version 5.50 der Panda GateDefender-Appliance wurde eine leichtere aber leistungsfähigere Architektur für den HTTP-Proxy implementiert und bereitgestellt.

Die zuvor verwendete HTTP-Proxy-Architektur basierte auf dem so genannten Proxy Chaining. Hierbei fand ein Prozess aus 5 Schritten statt, wenn ein Client eine Remote-Quelle anforderte, die zuvor nicht zwischengespeichert wurde.

Der HTTP-Proxy (Squid) verschickte eine GET-Anfrage zum Server und erhielt eine HTML-Seite als Antwort.
Die gesamte Seite wurde zur Inhaltsfilterung (DansGuardian) an das Daemon gesendet und dort analysiert.
DansGuardian wiederum leitete die Seite zur Analyse auf Viren und andere Malware zum Anti-Virus-Daemon (HAVP) weiter.
Ließ sich kein Virus oder bösartiger Inhalt finden, wurde die gesamte HTML-Seite zurück zu Squid gesendet. Anderenfalls wurde die Originalseite durch eine HTML-Fehlermeldung (Fehlerseite) ersetzt.
Squid speicherte die HTML-Seite (oder die Fehlerseite) für zukünftige Anfragen und lieferte diese an den Client, der sie ursprünglich angefordert hatte.

Der große Nachteil – und Engpass – dieser Architektur ist der intensive Ressourcenverbrauch. Die gesamte HTML-Seite wurde sequentiell durch die gesamte Kette geleitet, Schritt für Schritt, ohne Möglichkeit den Vorgang zu beschleunigen. Die HTML-Seite wurde von Squid abgerufen und zur Inhaltsanalyse an DansGuardian gesendet. Selbst wenn der Inhaltsfilter an diesem Punkt bösartigen Inhalt fand (die Seite also nicht an den anfordernden Client geleitet werden konnte), wurde sie weiter in der Kette an HAVP und dann zurück an Squid geleitet. Erst an diesem Punkt wurde die Fehlerseite an den ursprünglichen Client gesendet.

Daher wurde entschieden, dieses Problem anders anzugehen und einen völlig neuen Ansatz zu verwenden, der zuverlässiger und sehr viel ressourcenschonender ist. Der HTTP-Proxy wird nun durch einen ICAP-Server abgesichert. Wenngleich dies zunächst als komplexere Architektur erscheint, stellt es eine signifikante Leistungsverbesserung dar.

Kurz gesagt ist ICAP ein Protokoll, das in RFC 3507 definiert ist und es ermöglicht, den Inhalt von Webseiten zu verändern und diese dann zurück an den Client zu leiten. Diese Funktion kann unterschiedlich ausgenutzt werden. Auf der Panda GateDefender-Appliance wird sie mit C-ICAP bereitgestellt, um Inhaltsfilterungen und Anti-Virus-Scans von Remote-Quellen zu ermöglichen (HTML-Seiten, aber auch Audio-, Video-, Text- und Bilddateien).

Dank C-ICAP gibt es zwei Bereiche, deren Leistung gesteigert wurde:

Von Squid zu C-ICAP:

C-ICAP erhält zwei parallele Anfragen vom HTTP-Proxy
Zwischen C-ICAP und den Daemons:

Siehe auch

Weitere Informationen zum Thema „ICAP“ zusammen mit den zugehörigen Spezifikationen stehen auf der Webseite ICAP-Forum zur Verfügung.

HTTP ¶

In der Panda GateDefender-Appliance wird Squid als HTTP-Proxy verwendet. Seine Hauptfunktion besteht im Zwischenspeichern von Webanfragen zur Beschleunigung späterer Anfragen derselben Seite. Squid verfügt jedoch über viele weitere Funktionalitäten, durch die eine nahtlose Integration in die anderen in diesem Abschnitt beschriebenen Dienste ermöglicht wird. Die Seite für die HTTP-Proxy-Einstellungen enthält zahlreiche Optionen, die auf sechs Registerkarten aufgeteilt sind: Konfiguration, Zugriffsrichtlinien, Authentifizierung, Webfilter, AD-Beitritt und HTTPS-Proxy.

Konfiguration ¶

Der HTTP-Proxy wird durch Klicken auf den Schalter HTTP Proxy aktivieren aktiviert. Nach einigen Sekunden, die für das Starten aller benötigten Dienste erforderlich sind, werden auf der Registerkarte Konfiguration Steuerelemente angezeigt, die in sechs Bereiche gruppiert sind. Jeder Bereich verfügt über einen Titel gefolgt von einem ? mit einem Tooltip. Durch Klicken auf die - bzw. -Symbole links neben der Beschriftung können die Bereiche jeweils erweitert oder reduziert werden.

Mit der ersten Einstellung wird ausgewählt, wie die Benutzer in einer aktivierten Zone (GRÜN, ORANGE, BLAU) auf den Proxy zugreifen können. Die Auswahl erfolgt aus einem Dropdown-Menü, das nur für aktivierte Zonen verfügbar ist:

nicht transparent: Der Proxyserver ist ohne Anmeldung für jedermann verfügbar. Auf den Clients muss eine manuelle Konfiguration des Browsers oder eine Proxysuche im Browser ausgeführt werden (Verwendung des PAC- oder des WPAD-Protokolls zum Einrichten der Proxyeinstellungen).
transparent: Der Proxyserver ist für jedermann verfügbar. Eine Konfiguration des Browsers ist nicht erforderlich. Sämtlicher HTTP-Datenverkehr wird unterbrochen und an den Proxyserver weitergeleitet, der angeforderte Webseiten abruft und sie den Clients bereitstellt.

Hinweis

Manche Browser, einschließlich Internet Explorer und Firefox, können Proxy-Server durch Verwendung von WPAD automatisch erkennen. Die meisten Browser unterstützen außerdem PAC über eine spezielle URL. Bei Verwendung einer Panda GateDefender-Appliance als Proxyserver sieht die URL folgendermaßen aus: http://<GREENIP>/proxy.pac.

Zonenweises Deaktivieren des HTTP-Proxys

Zum vollständigen Deaktivieren des Proxys für eine bestimmte Zone muss der Proxy der Zone auf „transparent“ eingestellt werden. Außerdem muss das Subnetz der Zone im Bereich Transparenten Proxy umgehen im Feld Transparenten Proxy von SUBNETZ/IP/MAC umgehen hinzugefügt werden. Der entsprechende Wert kann unter Menüleiste ‣ Dienste ‣ DHCP Server gefunden werden.

Proxyeinstellungen

Der Bereich Proxyeinstellungen enthält die folgenden globalen Konfigurationsoptionen für Proxydienste:

Port der vom Proxy verwendet wird: Der TCP-Port, der vom Proxyserver auf Verbindungen abgehört wird. Der Standardport ist 8080.
Fehlersprache: Die Sprache, in der Fehlermeldungen angezeigt werden. Als Standardwert wird die unter Menüleiste ‣ System ‣ GUI Einstellungen ausgewählte Sprache verwendet.
Sichtbarer Hostname des Proxy: Der Hostname des Proxyservers. Dieser wird auch im unteren Teil von Fehlermeldungen angezeigt.

Emailadresse für Benachrichtigungen (Cache Admin): Die E-Mail-Adresse, die vom Proxyserver in Fehlermeldungen angezeigt wird.
Maximale Download-Größe (eingehend in KB): Die maximale Größe für Dateien, die über HTTP heruntergeladen werden können. Der Wert „0“ steht für eine unbegrenzte Größe.
Maximale Upload-Größe (ausgehend in KB): Die maximale Größe für Dateien, die über HTTP hochgeladen werden können (z. B. für HTML-Formulare). Der Wert „0“ steht für eine unbegrenzte Größe.

Erlaubte Ports und SSL-Ports

Mit den folgenden Konfigurationsoptionen werden die Ports festgelegt, die von Clients für die Internetnutzung verwendet werden dürfen:

Erlaubte Ports (vom Client): Die TCP-Zielports, für die der Proxyserver bei Verwendung von HTTP Verbindungen akzeptiert. Pro Zeile ist ein Port oder Portbereich gestattet. Kommentare sind zulässig und müssen mit einem #-Zeichen beginnen.
Erlaubte SSL-Ports (vom Client): Die TCP-Zielports, für die der Proxyserver bei Verwendung von HTTPS Verbindungen akzeptiert. Pro Zeile ist ein Port oder Portbereich gestattet. Kommentare sind zulässig. Sie müssen mit einem #-Zeichen beginnen und enden am Zeilenende.

Log-Einstellungen

Mit den folgenden Konfigurationsoptionen wird für die entsprechende Auswahl die Protokollierung aktiviert:

HTTP Proxy Protokollierung: Protokollieren aller URLs, auf die über den Proxy zugegriffen wird. Hierbei handelt es sich um eine Master-Option, d. h. die folgenden vier Optionen werden nur aktiviert und können nur konfiguriert werden, wenn die Protokollierung aktiv ist. Um Speicherplatz auf der Festplatte der Panda GateDefender-Appliance zu sparen, ist die Protokollierung standardmäßig nicht aktiv.
Suchbegriffe protokollieren: Protokollieren von URL-Parametern (z. B. ?id=123).
Benutzeragent-Protokollierung: Von jedem Browser gesendeten Benutzeragenten protokollieren
Protokollierung des Inhaltsfilters: Protokollieren der Inhaltsfilterung für Webseiten.
Firewall-Protokollierung (nur bei transparentem Proxy): Protokollieren der ausgehenden Webzugriffe (Zugriffe über die ROTE Schnittstelle auf das Internet) durch die Firewall. Diese Option ist nur für transparente Proxys anwendbar.

Transparenten Proxy umgehen

In diesem Bereich können Ausnahmen für den transparenten Proxy (siehe auch weiter oben) definiert werden, d. h. welche Quellen (Clients) und Ziele (Remote-Server) vom Proxy ignoriert werden sollen, auch wenn er für die entsprechende Zone aktiviert ist.

Transparenten Proxy von SUBNETZ/IP/MAC umgehen: Die Quellen, auf die der transparente Proxy nicht angewendet werden soll.
Transparenten Proxy nach SUBNET/IP umgehen: Die Ziele, auf die der transparente Proxy nicht angewendet wird.

Tipp

CIDR Notation verwenden, um Subnetze einzugeben

Cache-Verwaltung

Mit den folgenden Konfigurationsoptionen werden der Festplattenspeicher für die Zwischenspeicherung und die Größe der gespeicherten Objekte festgelegt:

Zwischenspeichergröße auf der Festplatte (MB): Die Größe des Festplattenspeichers in Megabyte, den der Proxy für das Zwischenspeichern von Websites zuweisen soll.
Zwischenspeichergröße im Speicher (MB): Die Größe des Systemspeichers in Megabyte, den der Proxy für das Zwischenspeichern von Websites zuweisen soll.
Maximale Objektgröße (KB): Die maximale Größe für ein zwischenzuspeicherndes Objekt in Kilobyte.
Minimale Objektgröße (KB): Die minimale Größe für ein zwischenzuspeicherndes Objekt in Kilobyte.

Hinweis

Objekte, deren Größe außerhalb des definierten Bereichs liegt, werden nicht auf der Festplatte gespeichert, sondern bei jeder Client-Anfrage erneut heruntergeladen.

Aktiviere Offline-Modus: Wenn diese Option aktiviert ist, werden vom Proxy keine Aktualisierungsversuche für zwischengespeicherte Objekte vom Upstream-Webserver unternommen. Von Clients können dann selbst nach Ausfall des Uplinks zwischengespeicherte, statische Websites genutzt werden.

Warnung

Diese Option ist für die Internetnutzung bei ausgefallenem Uplink nützlich, sofern die angeforderte Seite zuvor zwischengespeichert wurde. Sie kann jedoch – selbst mit funktionierendem Uplink – bei Aktualisierungsversuchen für Seiten zu Problemen führen, da vom HTTP-Proxy stets die zwischengespeicherte Seite bereitstellt wird. In diesem Fall muss für eine aktualisierte Version einer Webseite der Cache des Proxyservers gelöscht werden.
Lösche Zwischenspeicher: Beim Klicken auf diese Schaltfläche wird der Zwischenspeicher des Proxys gelöscht.
Diese Ziele nicht zwischenspeichern: Die Domänen, deren Ressourcen nicht zwischengespeichert werden sollen.

Vorgelagerter Proxy

Ist innerhalb des LAN ein weiterer Proxyserver vorhanden, kann dieser vor der Anfrage der Originalressource kontaktiert werden. Dieser Bereich enthält die folgenden Konfigurationsoptionen für die Verbindung zwischen der Panda GateDefender-Appliance und dem vorgelagerten Proxy:

Vorgelagerter Proxy: Durch Aktivieren dieses Kontrollkästchens werden ein vorgelagerter Proxy aktiviert und weitere Optionen angezeigt. Bei aktiviertem Kontrollkästchen wird eine Webseite, die nicht bereits vom Proxy der Panda GateDefender-Appliance zwischengespeichert wurde, zunächst beim vorgelagerten Proxy angefragt, bevor sie vom Remote-Server abgerufen wird.
Upstream Server: Der Hostname oder die IP-Adresse des Upstream-Servers.
Upstream Port: Der Port, der vom Proxy auf dem Upstream-Server abgehört wird.
Proxy-Benutzername / Proxy-Passwort: Anmeldeinformationen, falls für den vorgelagerten Proxy eine Anmeldung erforderlich ist.
Client Benutzernamen weiterleiten: Aktivieren Sie das Kontrollkästchen, um den Benutzernamen an den vorgelagerten Proxy weiterzuleiten.
Client IP Adressen weiterleiten: Aktivieren Sie das Kontrollkästchen, um die IP-Adresse des Clients an den vorgelagerten Proxy weiterzuleiten.

Zugriffsrichtlinien ¶

Die Zugriffsrichtlinien werden unabhängig von der Authentifizierung auf alle Clients angewendet, von denen über den Proxy eine Verbindung hergestellt wird. Bei einer Zugriffsrichtlinienregel handelt es sich um ein zeitbasiertes Modell, nach dem Zugriffe erlaubt oder verweigert werden. Dies geschieht auf Basis verschiedener Parameter zu den Benutzern (z. B. Quelle und Ziel des Datenverkehrs) sowie den verwendeten Clients oder heruntergeladenen Inhalten (z. B. Benutzeragent, MIME-Typen, Virenscannen und Inhaltsfilterung).

Auf der Seite wird eine Liste der bereits definierten Regeln angezeigt. Durch eine Regel kann angegeben werden, ob der Webzugriff blockiert oder erlaubt ist. Ist er erlaubt, kann ein Filtertyp aktiviert und ausgewählt werden. Die Tabelle enthält die folgenden Informationen für jede dort aufgelistete Regel: Die aufsteigende Identifikationsnummer (#), den Namen (``), die Quelle und das vorgesehene Ziel, der Authentifizierungstyp, falls erforderlich die aktiven Zeiträume, die passenden Benutzeragenten und die verfügbaren Aktionen:

– Richtlinie ändern
– Richtlinie entfernen
– Richtlinien nach oben oder unten in der Liste verschieben
– Aktivieren oder Deaktivieren der Richtlinie

Klicken Sie zum Hinzufügen einer neuen Zugriffsrichtlinie einfach auf Zugriffsrichtlinie hinzufügen: Im daraufhin geöffneten Formular können für die Regel die folgenden Parameter konfiguriert werden:

Ressourcentyp: Die Quellen des Datenverkehrs, für die diese Regel gilt. Dabei kann es sich um den Wert <ANY>, eine Zone, eine Liste von Netzwerken, IP-Adressen oder MAC-Adressen handeln.
Zieltyp: Die Ziele des Datenverkehrs, auf die diese Regel angewendet wird. Dabei kann es sich um den Wert <ANY>, eine Zone oder eine Liste von Netzwerken, IP-Adressen oder Domänen handeln.
Authentifizierung: Die Art der Authentifizierung, die auf die Clients angewendet werden soll. Die verfügbaren Optionen sind deaktiviert (keine Authentifizierung erforderlich), gruppenbasierend und benutzerbasierend. In der angezeigten Liste können vorhandene Benutzer oder Gruppen ausgewählt werden, auf welche die Richtlinie angewendet werden soll.

Tipp

Die Authentifizierung erfolgt nur lokal, weshalb auf der Registerkarte Authentifizierung mindestens ein Benutzer oder eine Gruppe erstellt werden muss, bevor diese verwendet werden kann.
Zeitbeschränkung: Festlegen der Gültigkeit der Regel für bestimmte Tage und/oder einen bestimmten Zeitraum. Standardmäßig ist eine Regel dauerhaft aktiv. Ihre Gültigkeit kann jedoch auf ein Intervall oder bestimmte Tage der Woche beschränkt werden. Durch Aktivieren des Kontrollkästchens werden die folgenden Optionen verfügbar:
Aktive Tage: Wählen Sie einen oder mehrere Wochentage.

Tipp

Halten Sie zum Auswählen mehrerer Tage die Taste Strg gedrückt, und klicken Sie mit der Maustaste auf den Namen des Tages.
Startstunde, Stopstunde, Startminute, Stopminute: Wählen Sie für eine feinere Unterteilung des Tagesintervalls, zu dem die Zugriffsrichtlinie aktiv ist, aus den Dropdown-Menüs die Start- und Endzeiten aus.
Benutzeragents: Die zugelassenen Clients und Browser, wie sie durch ihren Benutzeragenten identifiziert werden, d. h. ihrer Zeichenfolge für die Identifizierung.
MIME Typen: Eine Liste von MIME-Typen für zu blockierende eingehende Dateien mit einem Eintrag pro Zeile. MIME-Typen können blockiert (d. h. in eine Blacklist aufgenommen), aber nicht erlaubt (d. h. in eine Whitelist aufgenommen) werden. Daher ist diese Option nur für Richtlinien verfügbar, durch die Zugriffe verweigert werden. Mithilfe dieser Option können Dateien blockiert werden, die nicht der Unternehmensrichtlinie entsprechen (z. B. Multimediadateien).

Hinweis

Die Liste der verfügbaren MIME-Typen kann in der Datei /etc/mime.types auf jedem Linux-System, auf der offiziellen IANA-Webseite sowie in RFC 2045 und RFC 2046 gefunden werden.
Zugriffsrichtlinie: Auswahl aus einem Dropdown-Menü, ob der Webzugriff durch die Regel erlaubt oder verweigert werden soll. Falls Ablehnen eingestellt ist, wird die darüber befindliche Option MIME Typen aktiviert.
Filterprofil: Das Dropdown-Menü ist verfügbar, wenn für die Zugriffsrichtlinie die Option Zugriff erlauben ausgewählt wurde. Es ermöglicht die Auswahl der Prüfungen, die durch die Regel ausgeführt werden sollen. Folgende Optionen sind verfügbar: keine für keine Prüfung und Nur Virenerkennung für eine ausschließliche Prüfung auf Viren. Außerdem kann ein Inhaltsfilterprofil auf die Regel angewendet werden, sofern eines erstellt wurde (siehe unten).
Richtlinienstatus: Auswahl, ob die Regel aktiviert oder deaktiviert ist. Deaktivierte Regeln werden nicht angewendet. Standardmäßig werden Regeln aktiviert.
Position: Die Position, an der die neue Regel eingefügt werden soll. Niedrigere Positionen haben eine höhere Priorität.

Die für die Regeln in der Liste verfügbaren Aktionen sind „Ändern der Priorität“, „Bearbeiten“, „Deaktivieren“ bzw. „Aktivieren“ und „Löschen“.

Authentifizierung ¶

Vom Proxy der Panda GateDefender-Appliance werden vier verschiedene Authentifizierungstypen unterstützt, die in einem Dropdown-Menü am oberen Ende der Seite angezeigt werden: Lokale Authentifizierung (NCSA), LDAP (v2, v3, Novell eDirectory, AD), Windows Active Directory (NTLM) und RADIUS. Bei NCSA werden die Anmeldeinformationen für den Zugriff auf der Panda GateDefender-Appliance gespeichert. Die anderen Methoden sind auf einen externen Server angewiesen. In diesen Fällen müssen alle Informationen angegeben werden, die für den Zugriff auf den Server erforderlich sind.

Unter dem Dropdown-Menü für die Auswahl des Authentifizierungstyps befinden sich zwei Bereiche. Der obere Bereich Authentifizierungs Einstellungen enthält gemeinsame Konfigurationselemente. Im unteren Bereich werden abhängig von der Auswahl des Authentifizierungstyps jeweils die spezifischen Einstellungen für eine Methode angezeigt.

Authentifzierungs Einstellungen

In diesem Bereich können die folgenden gemeinsamen Elemente konfiguriert werden:

Authentication Realm: Der Text, der beim Beitreten zu einer Active Directory-Domäne im Authentifizierungsdialog angezeigt und als Bereich für Kerberos oder Winbind verwendet wird. Bei Verwendung von Windows Active Directory für die Authentifizierung sollte der FQDN des PDC verwendet werden.

Tipp

Wenn der Servername localauth lautet, und der Domänenname beispiel.org ist, dann lautet der FQDN localauth.beispiel.org.
Anzahl an Authentifizierungsprozessen: Die maximale Anzahl der gleichzeitig ausgeführten Authentifizierungsprozesse.
Authentifizierungscache TTL (in Minuten): Der Zeitraum in Minuten, für den die Authentifizierungsdaten zwischengespeichert werden sollen, bevor sie gelöscht werden.
Anzahl der unterschiedlichen IP Adressen pro Benutzer: Die maximale Anzahl der IP-Adressen, von denen ein Benutzer gleichzeitig Verbindungen mit dem Proxy herstellen kann.
Benutzer / Ip Cache TTL (in Minuten): Der Zeitraum in Minuten, für den eine IP-Adresse dem angemeldeten Benutzer zugeordnet ist.

Nach Einrichtung der gemeinsamen Konfiguration können die spezifischen Einstellungen für den ausgewählten Authentifizierungstyp konfiguriert werden: Lokale Authentifizierung (NCSA), Windows Active Directory (NTLM), LDAP (v2, v3, Novell eDirectory, AD) oder RADIUS.

Parameter für die NCSA-Authentifizierung

NCSA Benutzerverwaltung: Durch Klicken auf die Schaltfläche Benutzer verwalten wird die GUI zur Benutzerverwaltung geöffnet, die aus einer einfachen Liste evtl. vorhandener Benutzer und aus dem Link NCSA Benutzer hinzufügen zum Hinzufügen weiterer Benutzer besteht. Ein Benutzer wird hinzugefügt, indem Benutzername und Passwort in das Formular eingegeben werden. Später kann dieser bearbeitet oder gelöscht werden.

Tipp

Das Passwort muss mindestens 6 Zeichen lang sein.
NCSA Gruppenverwaltung: Durch Klicken auf die Schaltfläche Gruppen verwalten wird die GUI zur Gruppenverwaltung geöffnet, die aus einer einfachen Liste der bestehenden Gruppen und ihren eventuell erstellten Mitglieder und dem Link NCSA Gruppe hinzufügen zum Hinzufügen weiterer Gruppen besteht. Eine Gruppe wird erstellt, indem ein Gruppenname eingegeben wird und Benutzer für die Gruppe ausgewählt werden. Ein Benutzer kann mehreren Gruppen angehören.

Warnung

Obwohl ein Benutzer mehreren Gruppen angehören kann, muss dabei beachtet werden, dass durch die Gruppen, denen der Benutzer angehört, keine widersprüchlichen Zugriffsrichtlinien definiert werden. Im Folgenden ein Beispiel: Ein Benutzer ist Mitglied zweier Gruppen. Für eine Gruppe gilt die Richtlinie, dass auf die Website „www.example.org“ zugegriffen werden kann. Durch die Richtlinie der zweiten Gruppe wird der Zugriff auf diese Website blockiert. In diesem Fall kann nicht ohne Weiteres vorhergesagt werden, ob der Benutzer Zugriff auf die Website erhält. Die Handhabung solcher Konflikte liegt in der Verantwortung der Person, die die Zugriffsrichtlinien konzipiert.
Min. Passwortlänge: Die Mindestlänge für das Passwort eines lokalen Benutzers.

Parameter für die Windows Active Directory-Authentifizierung

Domainname des AD Servers: Die Active Directory-Domäne für den Beitritt. Es sollte der FQDN des Servers verwendet werden.
AD Domain beitreten: Durch Klicken auf die Schaltfläche Domain beitreten erfolgt der Beitritt zur Domäne. Diese Aktion sollte erst ausgeführt werden, wenn die Authentifizierungseinstellungen gespeichert und angewendet wurden.
PDC Hostname des AD Servers und PDC IP Adresse des AD Servers: Der Hostname und die IP-Adresse des PDC. Sowohl der Hostname als auch die IP-Adresse sind für die Erstellung des DNS-Eintrags erforderlich.
BDC Hostname des AD Servers und BDC IP Adresse des AD Servers: Der Hostname und die IP-Adresse des BDC. Zum Erstellen des DNS-Eintrags sind sowohl der Hostname als auch die IP-Adresse erforderlich.

Anforderungen für das Verwenden von NTLM

Für das Verwenden der systemeigenen Windows-Authentifizierung mit Active Directory (NTLM) müssen die folgenden Bedingungen erfüllt sein:

Die Authentifizierungseinstellungen müssen gespeichert und angewendet sein, bevor der Beitritt zur Domäne erfolgt.
Die Panda GateDefender-Appliance muss der Domäne beitreten.
Die Systemuhren der Panda GateDefender-Appliance und des Active Directory-Servers müssen synchronisiert sein.
Als „Authentication Realm“ muss ein FQDN verwendet werden.
Als PDC-Hostname muss der NetBIOS-Name des Active Directory-Servers festgelegt sein.

Tipp

Die Uhr der Panda GateDefender-Appliance kann mit der des Active Directory-Servers synchronisiert werden, indem in der Shell der folgende Befehl ausgeführt wird:

net time set -S IP_OF_AD_SERVER

NTLM-Authentifizierung mit Windows Vista und Windows 7

Vom HTTP-Proxy der Panda GateDefender-Appliance wird ausgehandeltes NTLMv2 verwendet. Für Windows Vista und Windows 7 ist jedoch standardmäßig nur direktes NTLMv2 zugelassen. In der Folge können Clients, auf denen eines dieser Betriebssysteme installiert ist, möglicherweise nicht erfolgreich am HTTP-Proxy authentifiziert werden, obwohl korrekte Anmeldeinformationen angegeben wurden. Um eine ordnungsgemäße Authentifizierung zu ermöglichen, muss die Konfiguration der Clients auf folgende Weise geändert werden:

Klicken Sie auf Start, und führen Sie „gpedit.msc“ als Administrator aus.

Öffnen Sie: Computerkonfiguration ‣ Windows-Einstellungen ‣ Sicherheitseinstellungen ‣ Lokale Richtlinien ‣ Sicherheitsoptionen.

Suchen Sie die Konfigurationsoption Netzwerksicherheit: LAN MANAGER-Authentifizierungsebene

Wählen Sie den Wert „LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt)“ aus.

Nachdem die Änderung angewendet wurde, sollte der Browser des Clients mithilfe der Active Directory-Anmeldeinformationen ordnungsgemäß am HTTP-Proxy authentifiziert werden.

Parameter für die LDAP-Authentifizierung

LDAP-Server: Die IP-Adresse oder der FQDN des LDAP-Servers.
Port des LDAP Servers: Der Port, der vom Server abgehört wird. Der Standardwert ist 389.
Bind DN Einstellungen: Der Basis-DN (Base Distinguished Name) als Startpunkt für die Suche.
LDAP Typ: Auswahl des Authentifizierungsservertyps aus einem Dropdown-Menü: Active Directory, Novell eDirectory, LDAP v2 oder LDAP v3.
Bind DN Benutzername: Der FDN (Fully Distinguished Name) eines Bind-DN-Benutzers mit der Berechtigung zum Lesen von Benutzerattributen.
Bind DN Passwort: Das Passwort des Bind-DN-Benutzers.
Objekt-Klasse der Benutzer: Die Objekt-Klasse, welcher der Bind-DN-Benutzer angehören muss.
Objekt-Klasse der Gruppe: Die Objekt-Klasse, der die Bind-DN-Gruppe angehören muss.

Parameter für die RADIUS-Authentifizierung

RADIUS Server: Die IP-Adresse oder URL des RADIUS-Servers
Port des RADIUS Servers: Der Port, der vom RADIUS-Server abgehört wird.
Kennung: Eine zusätzliche Kennung.
Shared Secret: Das Passwort, das verwendet werden soll.

Webfilter ¶

Die Inhaltsfilterfunktionen der Panda GateDefender-Appliance basieren auf der URL-Filterlösung von Commtouch. Von dieser werden zwei Filtertechniken verwendet, die für Filterprofile definiert werden können.

Die erste besteht aus erweiterten Methoden für die Kategorisierung von Webseiten basierend auf dem Inhalt. Die zweite Methode verwendet eine Kombination aus White- und Blacklist-URLs und Domänen: Alle von Clients angeforderten URLs werden in der Liste nachgeschlagen und nur bereitgestellt, wenn sie in der Whitelist gefunden werden.

Für die Verwendung des Inhaltsfilters wird ein Profil benötigt. Ein Standardprofil ist verfügbar, das den Zugriff auf jede Webseite ermöglicht und nicht gelöscht werden darf. Zusätzliche Profile, die bei der Definition einer Zugriffsrichtlinie benötigt werden, können leicht erstellt werden. Deshalb können Zugriffsrichtlinien, die ein bestimmtes Profil benötigen, nur nach dem Profil erstellt werden.

Auf der Seite befindet sich eine Liste bestehender Profile zusammen mit einer Anmerkung und den verfügbaren Aktionen:

– Profil bearbeiten
– Profil löschen

Oberhalb der Tabelle befindet sich der Link Profil erstellen: Beim Klicken auf den Link wird der Profileditor geöffnet, mit dem neue Profile konfiguriert werden können. Die Liste der vorhandenen Profile wird dabei an das untere Seitenende verschoben. Im Profileditor können die folgenden Einstellungen definiert werden:

Profilname: Der Name des Profils.
Virenscanner aktivieren: Aktivieren Sie den Virenschutz im Inhaltsfilter.

Die nachfolgenden Einstellungen befinden sich in Bereichen, die mithilfe der Symbole und links neben ihren Titeln erweitert oder reduziert werden können. Von einem kleinen Pfeil ganz auf der rechten Seite wird angezeigt, ob die enthaltenen Elemente alle, zum Teil oder nicht erlaubt sind. Durch Klicken auf diese Pfeile kann der Status der enthaltenen Elemente auf schnelle Weise umgeschaltet werden.

URL-Filter

Die Kategorien zum Aktivieren der Ausführung des Inhaltsfilters. Jede Kategorie enthält zusätzliche Unterkategorien, die einzeln zugelassen oder nicht zugelassen werden können. Ein grüner Pfeil bedeutet, dass die Elemente der (Unter-)Kategorie für den Inhaltsfilter verwendet werden. Ein roter Pfeil bedeutet, dass diese nicht verwendet werden. Das Symbol neben dem Namen der Kategorie zeigt an, dass nur einige der zugehörigen Unterkategorien für die Inhaltsfilterung verwendet werden.

Benutzerdefinierte Black- und Whitelists

Hier können benutzerdefinierte Listen von Webseiten hinzugefügt werden, die entweder immer an den Client weitergeleitet werden (Whitelist), oder nie an den Client weitergeleitet werden (Blacklist).

Eine Inhaltsfilterung kann sowohl zu positiven als auch negativen Fehltreffern führen. An dieser Stelle kann daher eine Liste von Domänen eingegeben werden, die grundsätzlich blockiert bzw. erlaubt werden sollen. Diese Richtlinie wird unabhängig von den Ergebnissen der Inhaltsfilteranalyse angewendet.

AD-Beitritt ¶

In diesem Bereich können Anmeldeinformationen eingegeben werden, um dem Active Directory-Server beizutreten. Dieser Vorgang ist nur möglich, wenn auf der Registerkarte Authentifizierung die Option Windows Active Directory (NTLM) ausgewählt wurde.

Benutzername des ADS-Administrators: Der Benutzernamen des Active Directory-Servers.
Passwort des ADS Administrators: Das Kennwort des Active Directory-Servers. Es wird standardmäßig nicht angezeigt, kann aber durch Aktivieren des Kontrollkästchens rechts vom Textfeld angezeigt werden.

HTTPS-Proxy ¶

Auf dieser Seite können Sie den Proxy-Server für die Überwachung von SSL-verschlüsseltem Datenverkehr konfigurieren, d. h. Verkehr über Port 443. Wenn diese Option aktiviert ist, werden alle Client-Anfragen über Squid abgefangen und an den Remote-Server weitergeleitet, beispielsweise im Falle von HTTP-Anfragen. Der einzige Unterschied besteht darin, dass für HTTPS-Anfragen ein „zwischenzeitliches“ Zertifikat für den Client benötigt wird, um sich über HTTPS mit der Panda GateDefender-Appliance zu verbinden. Diese kann dann die Anfrage zustellen, die Remote-Quelle abfragen, diese steuern und dann an den anfragenden Client senden.

Auf dieser Seite gibt es drei verfügbare Einstellungen, die in zwei Teile gegliedert sind: Die Erste ermöglicht die Einrichtung des HTTPS-Proxys, die Zweite dient zur Verwaltung des Zertifikats der Panda GateDefender-Appliance.

HTTPS-Proxy aktivieren: Durch Aktivieren dieses Kontrollkästchens wird der HTTPS-Proxy aktiviert. Die nächste Option wird angezeigt.
Jedes Zertifikat akzeptieren: Mit dieser Option kann die Panda GateDefender-Appliance automatisch alle Zertifikate vom Remote-Server akzeptieren, selbst solche, die ungültig oder veraltet sind.

Klicken Sie zur Aktivierung des HTTPS-Proxys auf Speichern, und warten Sie einige Sekunden.

Der untere Bereich kann verwendet werden, um ein Zertifikat hochzuladen, das von der Panda GateDefender-Appliance verwendet wird, oder um ein neues zu generieren, das ein bereits existierendes ersetzt.

Proxy Zertifikat hochladen: Klicken Sie zur Verwendung eines existierenden Zertifikats auf Durchsuchen..., und wählen Sie das Zertifikat von der lokalen Festplatte aus. Klicken Sie dann auf Hochladen, um eine Kopie an die Panda GateDefender-Appliance zu senden.
Erzeuge ein neues Zertifikat: Klicken Sie auf diese Schaltfläche, um ein neues Zertifikat zu erstellen. Ein Bestätigungsdialogfeld wird angezeigt, das eine Bestätigung erfordert. Klicken Sie auf OK, um fortzufahren, oder auf Abbrechen, um das Dialogfeld zu schließen und einen Schritt zurückzugehen.

Nachdem das Zertifikat hochgeladen oder erstellt wurde, ist neben Proxy-Zertifikat hochladen eine neue Option in Form eines Hyperlinks verfügbar:

Herunterladen: Klicken Sie auf diesen Hyperlink, um das von den Clients benötigte Zertifikat herunterzuladen.

POP3 ¶

Diese Seite enthält Konfigurationsoptionen für den SpamAssassin-E-Mail-Filter sowie für die Behandlung von E-Mails, die als Spam erkannt wurden.

Globale Einstellungen ¶

Auf dieser Seite können durch Aktivieren der entsprechenden Kontrollkästchen folgende globale Konfigurationseinstellungen des POP3-Proxys aktiviert werden:

Aktiviert für GRÜN, Aktiviert für BLAU und Aktiviert für ORANGE: Aktivieren des POP3-E-Mail-Scanners für die GRÜNE, BLAUE bzw. ORANGE Zone. Die Optionen werden nur angezeigt, wenn die entsprechende Zone aktiviert ist.
Virusscanner: Aktivieren des Virenscanners.
Spam-Filter: Aktivieren des Spam-Filters für E-Mails.
SSL/TLS verschlüsselte Verbindungen abfangen: Wenn dieses Kontrollkästchen aktiviert ist, werden Verbindungen über SSL/TLS überwacht.
Firewall protokolliert ausgehende Verbindungen: Protokollieren aller ausgehenden Verbindungen durch die Firewall.

Spam-Filter ¶

Auf dieser Seite kann konfiguriert werden, wie der POP3-Proxy beim Entdecken einer Spam-E-Mail vorgehen soll.

Hinweis

E-Mails werden auch dann dem ursprünglichen Empfänger zugestellt, wenn sie als Spam markiert wurden. Eine Nichtzustellung würde gegen RFC 2821 verstoßen, da diese besagt, dass einmal angenommene E-Mails dem Empfänger zugestellt werden müssen.

Spam Betreffzeile: Das Präfix, das dem Betreff von E-Mails hinzugefügt wird, die als Spam erkannt wurden.
Spam Report in Inhalt der Mail einfügen: Aktivieren Sie das Kontrollkästchen, um in jeder Spam-E-Mail den Textkörper der ursprünglichen Nachricht gegen einen Bericht des Daemons SpamAssassin auszutauschen und eine Zusammenfassung der Funde einzufügen, d. h. mit dem Grund, warum die E-Mail als Spam gemeldet wurde.
Benötigte Punktezahl: Die Anzahl der Punkte, die für das Einstufen einer Nachricht als Spam erforderlich ist.
Unterstützung für japanische Emails aktivieren: Durch Aktivieren dieses Kontrollkästchens werden japanische Zeichensätze in E-Mails unterstützt, um die Suche nach entsprechendem Spam zu ermöglichen.
Prüfsummenbasierte Spamerkennung aktivieren (pyzor): Erkennen von Spam-E-Mails mithilfe von Pyzor. Dabei werden Spam-E-Mails in eine eindeutige Digest-Nachricht konvertiert, die zur Erkennung weiterer entsprechender Spam-E-Mails verwendet werden kann.

Warnung

Durch Aktivierung dieser Option kann der POP3-Proxy deutlich verlangsamt werden.
Whitelist: Eine Liste von E-Mail-Adressen oder ganzen Domänen, die mithilfe von Wildcards angegeben werden können (z. B. *@example.com), mit einem Eintrag pro Zeile. E-Mails, die von diesen Adressen und Domänen gesendet wurden, werden nicht auf Spam überprüft.
Blacklist: Eine Liste von E-Mail-Adressen oder ganzen Domänen, die mithilfe von Wildcards angegeben werden können (z. B. *@example.com), mit einem Eintrag pro Zeile. E-Mails, die von diesen Adressen und Domänen gesendet wurden, werden immer als Spam markiert.

Durch Klicken auf die Schaltfläche Speichern werden die Einstellungen gespeichert.

Verschlüsselte E-Mails

E-Mails, die über eine POP3-SSL-Verbindung gesendet wurden, können von der Panda GateDefender-Appliance nicht überprüft werden, da es sich um einen verschlüsselten Kanal handelt.

Damit von Clients POP3 über SSL-Verbindungen verwendet werden kann, muss dies entsprechend konfiguriert und die Verschlüsselung zwischen Clients und der Panda GateDefender-Appliance deaktiviert werden. Die Verschlüsselung wird zwar deaktiviert (d. h. keine Verwendung von SSL), aber der Port für den POP3-Datenverkehr im Nur-Text-Format wird vom Standardport 110 auf Port 995 geändert.

Nach Abschluss dieser Konfiguration bleibt die Verbindung zwischen Clients und der Panda GateDefender-Appliance weiterhin auf „Nur-Text“ eingestellt. Es wird jedoch Port 995 verwendet, wodurch von der Panda GateDefender-Appliance eine verschlüsselte POP3-SSL-Verbindung mit dem POP3-Server eingerichtet wird.

FTP ¶

Der FTP-Proxy ist nur als transparenter Proxy in den aktivierten Zonen verfügbar. Er kann zur Virenprüfung für Dateien verwendet werden, die über FTP heruntergeladen wurden. Als FTP-Proxy der Panda GateDefender-Appliance wird „frox“ verwendet.

Hinweis

An den Proxy werden nur Verbindungen mit dem Standardport für FTP (Port 21) umgeleitet. Ist ein Client so konfiguriert, dass der HTTP-Proxy auch für das FTP-Protokoll verwendet wird, werden die Einstellungen für den FTP-Proxy umgangen.

Folgende Optionen können auf dieser Seite konfiguriert werden:

Aktiviert für GRÜN, Aktiviert für BLAU und Aktiviert für ORANGE: Aktivieren des FTP-Proxys für die jeweilige Zone. Diese Option ist nur für die aktivierten Zonen verfügbar.
Firewall protokolliert ausgehende Verbindungen: Protokollieren der ausgehenden Verbindungen in der Firewall.
Umgehe den transparenten Proxy von folgenden Quellen: Zulassen von Quellen unter dem jeweiligen Textfeld, die nicht vom FTP-Proxy überprüft werden sollen.
Umgehe den transparenten Proxy für folgende Ziele: Zulassen von Zielen unter dem jeweiligen Textfeld, die nicht vom FTP-Proxy überprüft werden sollen.

FTP-Proxy und aktiver/passiver Modus von FTP-Clients

Die Verwendung von frox als transparentem FTP-Proxy wird von der Panda GateDefender-Appliance nur bei direkter Verbindung mit dem Internet unterstützt.

Probleme können zudem auftreten, wenn sich bei aktiviertem transparenten FTP-Proxy ein NAT-Gerät zwischen der Panda GateDefender-Appliance und dem Internet befindet. Bei einer solchen Konfiguration werden FTP-Verbindungen mit einem Remote-FTP-Standort blockiert und nach gewisser Zeit mit einem Timeout beendet. Die Protokolle enthalten dann Meldungen wie die folgende:

Mo, 2. März 2009, 11:32:02 frox[18450] Verbindungszeitüberschreitung beim
 Versuch, eine Verbindung mit <IP Ihres FTP-Client> herzustellen
Mo, 2. März 2009, 11:32:02 frox[18450] Kontaktieren des Client-Datenports fehlgeschlagen.

Zur Vermeidung solcher Probleme sollte der FTP-Client so konfiguriert werden, dass als Übertragungsmodus der passive Modus (PASV) verwendet wird. Zusätzlich muss unter Menüleiste ‣ Firewall ‣ Systemzugriff eine Regel erstellt werden, durch die der Datenverkehr über die Ports 50000 bis 50999 für das NAT-Gerät zugelassen wird. Aus Sicherheitsgründen sollten diese Ports jedoch nur bei Bedarf aktiviert werden. Zum besseren Verständnis des Zwecks einer solchen Konfiguration folgt eine ausführlichere Beschreibung der Funktionsweise von aktiven und passiven Modi und deren Zusammenspiel mit dem FTP-Proxy.

Beim aktiven Modus muss die Datenverbindung mit dem Client vom Server (in diesem Fall der FTP-Proxy) hergestellt werden. Befindet sich zwischen Client und Proxy ein NAT-Gerät, kann der Client vom Server aber nicht erreicht werden. Aus diesem Grund muss vom Client der passive Modus verwendet werden.

Beim passiven Modus muss die Verbindung mit dem Server (wieder der FTP-Proxy) vom Client hergestellt werden. Dafür wird ein dynamischer Port verwendet, der über die Steuerverbindung ausgehandelt wurde. Der entsprechende Port wird vom FTP-Proxy abgehört. Datenverkehr für diesen Port muss jedoch von der Systemzugriffsfirewall erlaubt werden.

Da Zugriffsversuche auf den FTP-Proxy durch mehrere Datenverbindungen gleichzeitig erfolgen können, müssen Verbindungen für einen gesamten Portbereich zugelassen werden. Dies bedeutet, dass alle Ports, die für passive Datenverbindungen reserviert sind (Ports 50000 bis 50999), von der Systemzugriffsfirewall erlaubt werden müssen.

SMTP ¶

Mithilfe des SMTP-Proxys kann E-Mail-Verkehr vermittelt und gefiltert werden, der von den Clients an die Mailserver gesendet wird.

Der SMTP-Proxy dient dazu, den SMTP-Datenverkehr zu steuern und zu optimieren und die lokalen Netzwerke bei der Verwendung des SMTP-Protokolls vor Bedrohungen zu schützen. SMTP wird immer dann verwendet, wenn eine E-Mail von einem lokalen E-Mail-Client an einen Remote-Mailserver gesendet wird, d. h. für den ausgehenden E-Mail-Verkehr. SMTP wird auch verwendet, wenn sich ein Mailserver im LAN (in der GRÜNEN Zone) oder in der DMZ (in der ORANGEN Zone) befindet und E-Mails von außerhalb des lokalen Netzwerks (eingehende Anforderungen) über diesen gesendet werden können, den Clients also das Senden von E-Mails von der ROTEN Schnittstelle gestattet ist.

Zum Herunterladen von E-Mails von einem Remote-Mailserver zu einem lokalen E-Mail-Client wird das POP3- oder das IMAP-Protokoll verwendet. Um auch diesen Datenverkehr zu schützen, kann der POP3-Proxy unter Menüleiste ‣ Proxy ‣ POP3 aktiviert werden.

Warnung

Das Überprüfen von IMAP-Datenverkehr wird derzeit nicht unterstützt.

Mithilfe der Funktionen des E-Mail-Proxys kann sowohl eingehender als auch ausgehender E-Mail-Verkehr auf Viren, Spam und andere Bedrohungen überprüft werden. Falls erforderlich werden E-Mails blockiert und Empfänger und Administrator darüber benachrichtigt. Da die Möglichkeit besteht, eingehende E-Mails zu überprüfen, können mithilfe des E-Mail-Proxys eingehende Verbindungen von der ROTEN Schnittstelle bearbeitet und E-Mails an interne Mailserver weitergeleitet werden. Dadurch wird ein eigener Mailserver hinter der Firewall ermöglicht, ohne dass entsprechend definierte Portweiterleitungsregeln erforderlich sind.

Die Konfiguration des SMTP-Proxys ist auf sechs Registerkarten aufgeteilt, von denen jeweils ein Aspekt des SMTP-Proxy abgedeckt wird.

Konfiguration ¶

Hierbei handelt es sich um die Hauptseite für die Konfiguration des SMTP-Proxys. Durch Klicken auf den Schalter kann der SMTP-Proxy aktiviert werden. Ist der SMTP-Proxy aktiviert, kann mithilfe der folgenden Optionen für jede aktivierte Zone dessen Status ausgewählt werden:

aktiv: Der SMTP-Proxy ist für diese Zone aktiviert und nimmt über Port 25 Anfragen entgegen.
transparenter Modus: Ist der transparente Modus aktiviert, werden alle Anfragen mit dem Zielport 25 unterbrochen und an den SMTP-Proxy weitergeleitet, ohne dass die Konfiguration der Clients geändert werden muss. Diese Option ist für die ROTE Zone nicht verfügbar.
inaktiv: Der SMTP-Proxy ist für diese Zone nicht aktiviert.

Zusätzliche Optionen sind verfügbar, die in fünf Bereiche gruppiert sind. Jeder Bereich kann durch Klicken auf das Symbol erweitert oder durch Klicken auf das Symbol ausgeblendet werden.

Spameinstellungen

In diesem Bereich können die von der Panda GateDefender-Appliance zur Erkennung und Filterung von Spam verwendeten Softwareanwendungen konfiguriert werden. Folgende Optionen sind konfigurierbar:

Mails auf SPAM prüfen

Aktivieren des E-Mail-Spamfilters. Darunter werden weitere Optionen angezeigt, die konfiguriert werden können.

Spambehandlung auswählen

Drei Aktionen können mit E-Mails durchgeführt werden, die als Spam erkannt wurden:

in die Standard-Quarantäne verschieben: Spam-E-Mails werden an den Standardspeicherort verschoben.
an die Quarantäne-Emailadresse senden: Spam-E-Mails werden an eine benutzerdefinierte E-Mail-Adresse weitergeleitet. Diese kann im Textfeld Emailadresse für Spam Quarantäne angegeben werden, das bei Auswahl dieser Option angezeigt wird.
als Spam markieren: Die E-Mails werden vor ihrer Zustellung als Spam markiert.
Email verwerfen: Die Spam-E-Mail wird sofort gelöscht.

Präfix für Betreffzeile

Dem Betreff aller E-Mails, die als Spam markiert wurden, wird ein Präfix hinzugefügt.

Emailadresse zur Benachrichtigung von SPAM (SPAM Admin): Die E-Mail-Adresse, an die bei jeder verarbeiteten Spam-E-Mail eine Benachrichtigung gesendet wird.
Spam Kennzeichnungsstufe: Wenn die SpamAssassin-Punktzahl über diesem Wert liegt, werden der E-Mail die Header X-Spam-Status und X-Spam-Level hinzugefügt.
Spam Markierungsstufe: Wenn die SpamAssassin-Punktzahl über diesem Wert liegt, werden der E-Mail die Header Spam subject und X-Spam-Flag hinzugefügt.
Spam Quarantäne Level: E-Mails, deren Spampunktzahl über diesem Wert liegt, werden an den Quarantäneort verschoben.
Maximale SPAM Punktezahl für Senderbenachrichtigung: E-Mail-Benachrichtigungen werden nur gesendet, wenn die Spampunktzahl unter diesem Wert liegt.
Spamfilterung: Aktivieren Sie die Option Spam-Greylisting, um die folgende Option anzuzeigen.
Verzögerung für Greylisting (Sek): Der Wert darf zwischen 30 und 3600 liegen.
Spam-Bericht: Aktivieren Sie dieses Kontrollkästchen, um dem Textkörper von E-Mails, die als Spam erkannt wurden, einen Bericht hinzuzufügen.
Japanization: Durch Aktivieren dieses Kontrollkästchens werden japanische Zeichensätze in E-Mails unterstützt und entsprechende Spam-E-Mails gefiltert.

Hinweis

Da die einfachsten und gängigsten Spamnachrichten sowie E-Mails von bekannten Spamhosts blockiert werden, passen die Absender von Spam ihre Nachrichten fortlaufend so an, dass Spamfilter umgangen werden. Daher ist es absolut notwendig, auch den Spamfilter fortlaufend zu trainieren, damit dieser personalisiert und leistungsfähiger wird (Bayes-Filter).

Viruseinstellungen

In diesem Bereich können die folgenden Optionen zur Behandlung erkannter Viren konfiguriert werden:

Mails nach Viren durchsuchen

Aktivieren Sie den Virenfilter für E-Mails, um weitere Virenfilteroptionen anzuzeigen.

Virusbehandlung auswählen

Abhängig vom Typ der Panda GateDefender-Appliance können für E-Mails, bei denen Viren erkannt wurden, drei oder vier verschiedene Aktionen ausgeführt werden. Sie sind mit denen, die zuvor unter Spameinstellungen beschrieben wurden, identisch:

in die Standard-Quarantäne verschieben: Virenbehaftete E-Mails werden an den Standardspeicherort verschoben.
an die Quarantäne-Emailadresse senden: Virenbehaftete E-Mails werden an eine benutzerdefinierte E-Mail-Adresse weitergeleitet. Diese kann im Textfeld Quarantäne Emailadresse für Viren angegeben werden, das bei Auswahl dieser Option angezeigt wird.
an den Empfänger schicken (unabhängig von schädlichen Inhalten): Virenbehaftete E-Mails werden auf normale Weise zugestellt.
Email verwerfen: Die E-Mail mit dem Virus wird sofort gelöscht.

Mailadresse zur Virus Benachrichtigung (Virus Admin): Die E-Mail-Adresse, an die bei jeder verarbeiteten virenbehafteten E-Mail eine Benachrichtigung gesendet wird.

Dateieinstellungen

Dieser Bereich enthält Einstellungen, durch die bestimmte E-Mail-Anhänge anhand ihrer Dateierweiterungen blockiert werden. Wird bei einem Anhang eine bestimmte Dateierweiterung erkannt, wird die ausgewählte Aktion ausgeführt.

Blockiere Dateien nach Erweiterung

Aktivieren des Dateierweiterungsfilters und Anzeigen der weiteren Filteroptionen.

Behandlung von blockierten Dateien auswählen

Abhängig vom Typ der Panda GateDefender-Appliance können für blockierte E-Mails drei oder vier verschiedene Aktionen ausgeführt werden. (Sie sind mit denen, die zuvor unter Spameinstellungen und Viruseinstellungen beschrieben wurden, identisch):

in die Standard-Quarantäne verschieben: E-Mails mit blockierten Dateien werden an den Standardspeicherort verschoben.
an die Quarantäne-Emailadresse senden: E-Mails mit blockierten Dateien werden an eine benutzerdefinierte E-Mail-Adresse weitergeleitet. Diese kann im Textfeld Emailadresse zur Benachrichtigung gesperrter Dateien angegeben werden, das bei Auswahl dieser Option angezeigt wird.
an den Empfänger schicken (unabhängig von blockierten Dateien): E-Mails mit blockierten Dateien werden auf normale Weise zugestellt.

Zu blockierende Dateitypen auswählen (anhand der Erweiterung)

Die Erweiterungen für Dateien, die blockiert werden sollen.

Tipp

Halten Sie die Taste Strg gedrückt, und klicken Sie mit der linken Maustaste, um mehrere Erweiterungen auszuwählen.

Emailadresse zur Benachrichtigung gesperrter Dateien (Datei Admin): Die E-Mail-Adresse, an die bei jeder verarbeiteten E-Mail mit blockierten Anhängen eine Benachrichtigung gesendet wird.
Dateien mit doppelten Endungen blockieren: Aktivieren der Blockierung von Dateien mit doppelten Erweiterungen.

Hinweis

Bei Dateien mit doppelten Erweiterungen handelt es sich in der Regel um böswillige Dateien, die z. B. als harmlose Bilder oder Dokumente getarnt sind. Wenn sie angeklickt werden, wird eine Anwendung ausgeführt, die eine Beschädigung des Computers oder den Diebstahl persönlicher Daten zum Ziel hat. Eine Datei mit doppelter Erweiterung entspricht einer normalen Datei, wobei der Name (z. B. image.jpg) von .com, .vbs .exe, .scr, .bat, .pif, .dll oder .cmd gefolgt ist (z. B. image.jpg.exe).

Es muss konfiguriert werden, für welche E-Mail-Domänen die lokalen Server jeweils zuständig sein sollen. Die entsprechende Liste der Zuordnungen von Domänen und SMTP-Servern kann unter Menüleiste ‣ Proxy ‣ SMTP –> Eingehende Domains definiert werden.

Quarantäneeinstellungen

In diesem Bereich ist nur eine Option verfügbar:

Speicherzeit der Quarantäne (in Tagen): Die Anzahl der Tage, die eine E-Mail in der Quarantäne auf der Panda GateDefender-Appliance gespeichert wird, bevor sie gelöscht wird.

Tipp

Die in der Quarantäne gespeicherten E-Mails können über Mail Quarantäne unter Menüleiste ‣ Dienste ‣ Mail Quarantäne verwaltet werden

Transparenten Proxy umgehen

Im letzten Bereich können folgende benutzerdefinierte Listen von Domänen definiert werden, für die der transparente Proxy deaktiviert werden soll:

Transparenten Proxy von SUBNETZ/IP/MAC umgehen: Die Quellen für E-Mails, auf die der transparente Proxy nicht angewendet wird.
Transparenten Proxy nach SUBNET/IP umgehen: Auf E-Mails, die an diese Ziele gesendet werden, wird der transparente Proxy nicht angewendet.

Black- & Whitelisten ¶

Auf dieser Seite befinden sich vier Bereiche: Drei Bereiche dienen der Definition verschiedener benutzerdefinierter Blacklists und Whitelists und einer der Auswahl und Verwendung vorhandener RBLs.

Vollständige Domänen oder Unterdomänen und einzelne Adressen können auf folgende Weise in eine Blacklist oder Whitelist aufgenommen werden:

Eine Domäne einschließlich ihrer Unterdomänen: example.com
Nur die Unterdomänen einer Domäne: beispiel.com
Eine einzelne Adresse: info@beispiel.com, admin@beispiel.com

Clients können auf folgende Weise in eine Blacklist oder Whitelist aufgenommen werden:

Eine Domäne oder IP-Adresse: beispiel.com, 10.10.121.101, 192.168.100.0/24

Akzeptierte Mails (Black & Whitelisten)

Im ersten Bereich kann eine beliebige Anzahl von Domänen, Unterdomänen oder einzelnen E-Mail-Adressen angegeben werden, die in eine Blacklist oder Whitelist aufgenommen werden sollen. Dazu können für die entsprechende Blacklist oder Whitelist jeweils beliebig viele Absender, Empfänger oder Clients in die folgenden Textbereiche eingegeben werden:

Whitelist Absender: Alle E-Mails, die von diesen Adressen oder Domänen gesendet wurden, werden akzeptiert. Diese Liste bezieht sich auf das E-Mail-Feld From:.
Blacklist Absender: Alle E-Mails, die von diesen Adressen oder Domänen gesendet wurden, werden abgelehnt. Diese Liste bezieht sich auf das E-Mail-Feld From:.
Whitelist Empfänger: Alle E-Mails, die an diese Adressen oder Domänen gesendet wurden, werden akzeptiert. Diese Liste bezieht sich auf das E-Mail-Feld To:.
Blacklist Empfänger: Alle E-Mails, die an diese Adressen oder Domänen gesendet wurden, werden abgelehnt. Diese Liste bezieht sich auf das E-Mail-Feld To:.
Whitelist Client: Alle E-Mails, die von diesen IP-Adressen oder Hosts gesendet wurden, werden akzeptiert.
Blacklist Client: Alle E-Mails, die von diesen IP-Adressen oder Hosts gesendet wurden, werden abgelehnt.

Echtzeit Blacklist (RBL)

Eine gängige Methode zum Blockieren von Spam-E-Mails sind die sogenannten RBLs. Ihre Verwendung kann im zweiten Bereich konfiguriert werden. Die Listen werden von verschiedenen Organisationen erstellt, verwaltet und aktualisiert, deren Ziel das zügige Erkennen und Blockieren neuer SMTP-Server ist, die für den Spamversand verwendet werden. E-Mails von Domänen oder IP-Adressen, die in einer dieser Blacklists stehen, werden ohne jeden Hinweis abgelehnt. Die Verwendung von RBLs schont die Bandbreite, da entsprechende E-Mails nicht angenommen und wie legitime E-Mails verarbeitet, sondern sofort verworfen werden, wenn die IP-Adresse oder Domäne des Absenders in einer der Blacklists gefunden wird. Von der Panda GateDefender-Appliance werden zahlreiche IP-basierte und domänenbasierte RBLs verwendet. Die Blacklists der einzelnen Kategorien können durch Klicken auf das Symbol angezeigt werden. Gemeinsam aktiviert oder deaktiviert werden sie durch Klicken auf den roten bzw. grünen Pfeil ganz oben in der Liste. Alternativ können sie auch einzeln aktiviert oder deaktiviert werden. Wird der Name einer Liste angeklickt, wird die Homepage der Organisation aufgerufen, die diese Liste pflegt.

Warnung

Gelegentlich werden IP-Adressen oder Domänen von RBL-Betreibern irrtümlich aufgeführt. Dies kann die Kommunikation stören, da auch legitime E-Mails von entsprechenden Domänen abgelehnt werden, ohne dass sie wiederhergestellt werden können. Da es keine Möglichkeit gibt, direkten Einfluss auf die RBLs zu nehmen, müssen vor ihrer Verwendung die Richtlinien der Organisationen berücksichtigt werden, die sie verwalten. Panda ist nicht für E-Mails verantwortlich, die bei der Verwendung von RBLs verloren gehen könnten.

Folgende Blacklists sind u. a. installiert:

bl.spamcop.net: Eine Blacklist, die auf Beiträgen ihrer Nutzer beruht.
zen.spamhaus.org: Diese Liste ist der Nachfolger von „sbl-xbl.spamhaus.org“. Sie enthält die „Spamhaus Block List“, die „Exploits Block List“ und die „Policy Block List“ von Spamhaus.
cbl.abuseat.org: Die CBL-Liste bezieht ihre Quelldaten von sehr großen Spamfallen. Es werden nur IP-Adressen aufgeführt, die spezifische Eigenschaften unterschiedlicher offener Proxys (z. B. HTTP, SOCKS, AnalogX oder WinGate) aufweisen, die für das Versenden von Spam, Würmern, Viren mit eigenem direkten E-Mail-Versand oder von manchen Arten von trojanischen Pferden oder Stealth-Spamware missbraucht wurden. Die offenen Proxys werden dabei nicht überprüft.
[name].dnsbl.sorbs.net und rhsbl.dnsbl.sorbs.net: Von dieser Organisation werden mehrere Blacklists bereitgestellt (z. B. „safe“ oder „relays“ anstelle von [name]). Sie können einzeln oder durch Aktivieren der Blacklist dsnbl.sorbs.net auch gemeinsam aktiviert werden.
uceprotect.net: Listen, in denen Domänen bekannter Spamquellen für höchstens sieben Tage aufbewahrt werden. Nach Ablauf dieses Zeitraums werden sie aus den Listen ausgetragen. Bei wiederholten Verletzungen werden jedoch strengere Richtlinien angewendet.
dsn.rfc-ignorant.org: Diese Liste enthält Domänen oder IP-Netzwerke, die nicht gemäß den RFC-Standards für das Internet administriert werden.

Hinweis

Die Website „rfc-ignorant.org“ hat am 30.11.2012 den Dienst eingestellt (siehe Ankündigung), aber ihre Arbeit wird unter http://www.rfc-ignorant.de/ fortgeführt. Diese Arbeit hat bis jetzt (November 2013) jedoch noch nicht zu funktionierenden RBLs geführt.

Die RBLs werden in zwei Feldern gruppiert. Auf der linken Seite befinden sich IP-basierte RBLs, während sich auf der rechten Seite domänenbasierte RBLs befinden. Klicken Sie zur Aktivierung aller RBLs in einem Feld auf das Symbol neben der Titelleiste des Feldes (das Symbol wird zu ). Klicken Sie zur Aktivierung einzelner RBLs auf das Symbol neben dem jeweiligen Namen der RBL. In diesem Fall wird das Symbol oder in der Titelleiste durch das Symbol ersetzt.

Greylisting für Spam

Im dritten Bereich können Whitelists für Greylisting erstellt werden, indem Empfänger, IP-Adressen oder Netzwerke in den folgenden beiden Textbereichen eingetragen werden. Auf diese wird kein Greylisting angewendet:

Whitelist Empfänger: Alle E-Mail-Adressen oder Domänen in diesem Textbereich (z. B. „test@example.com“ oder „example.com“) werden als sicher angesehen. Von dort empfangene E-Mails werden nicht auf Spam überprüft.
Whitelist Client: Alle Adressen des Mailservers in diesem Textbereich werden als sicher betrachtet. E-Mails, die von dieser Serveradresse gesendet wurden, werden nicht auf Spam überprüft.

Greylisting

Greylisting ist eine von MTAs verwendete Methode, mit der die Legitimität von E-Mails überprüft wird. Dabei wird eine E-Mail zunächst abgelehnt und ihre erneute Zustellung abgewartet. Wird sie kein zweites Mal empfangen, wird der Absender als Spam-Quelle betrachtet. Beim Greylisting wird davon ausgegangen, dass für den Massenversand verwendete Spam-Bots abgelehnte E-Mails nicht noch einmal senden und nur legitime E-Mails ein zweites Mal gesendet werden.

Spam (Black- & Whitelists)

Im letzten Bereich werden die folgende Blacklist und die folgende Whitelist für den Spam-Filter explizit definiert:

Whitelist Absender: Die E-Mail-Adressen oder Domänen in diesem Textbereich (z. B. „test@example.com“ oder „example.com“) werden in die Whitelist aufgenommen. Sie werden nicht als Absender von Spam erkannt.
Blacklist Absender: Die E-Mail-Adressen oder Domänen in diesem Textbereich (z. B. „test@example.com“ oder „example.com“) werden in die Blacklist aufgenommen. Sie werden immer als Absender von Spam klassifiziert.

Eingehende Domains ¶

Wenn eingehende E-Mails aktiviert wurden, können von Clients, die sich außerhalb der ROTEN Schnittstelle befinden, E-Mails über einen lokalen SMTP-Server gesendet werden. Sollen zu sendende E-Mails an einen Mailserver hinter der Panda GateDefender-Appliance (typischerweise in der ORANGEN Zone) weitergeleitet werden, muss angegeben werden, an welchen Mailserver die Weiterleitung der eingehenden E-Mails erfolgen soll und welche Domänen vom SMTP-Proxy akzeptiert werden. Dabei können mehrere Mailserver hinter der Panda GateDefender-Appliance für jeweils unterschiedliche Domänen angegeben werden.

Auf der Seite wird ggf. eine Liste von Domänen mit den jeweils zuständigen Mailservern angezeigt. Durch Klicken auf die Schaltfläche Eine Domain hinzufügen kann eine neue Domäne hinzugefügt werden. Daraufhin wird ein einfaches Formular geöffnet, in dem die Zuordnung von Domäne und Mailserver erstellt werden kann. Es enthält die folgenden Optionen:

Domäne: Die Domäne, für die dieser Mailserver zuständig ist.
Mailserver IP: Die IP-Adresse des Mailservers.

Der neu erstellte Eintrag wird unten in der Liste angezeigt. Die für jede Domäne verfügbaren Aktionen sind:

– Eigenschaften der Domäne ändern
– Domäne entfernen

Warnung

Sie werden nach dem Klicken auf das Symbol löschen nicht zur Bestätigung aufgefordert. Die Domäne wird sofort entfernt.

Domainrouting ¶

Die Seite zeigt eine Liste von Domänen zusammen mit zuständigen Smarthost für die E-Mail-Zustellung an oder den E-Mail-Empfang von diesen Domänen. Die Informationen in der Liste sind dieselben, die beim Hinzufügen einer neuen Domäne bereitgestellt werden müssen. Folgende Aktionen sind verfügbar:

– Domainrouting ändern
– Domainrouting entfernen

Durch Klicken auf die Schaltfläche Eine neue Domainroute hinzufügen kann eine neue Domainroute hinzugefügt werden. Daraufhin wird ein einfaches Formular geöffnet, in dem die Zuordnung von Domäne und Mailserver erstellt werden kann. Es enthält die folgenden Optionen:

Richtung: Legen Sie fest, ob die Richtlinie für die mit dem Sender oder dem Empfänger verbundene Domäne gelten soll.
Domäne: Die Domäne, für die dieser Mailserver zuständig ist.
Ausgehende Adresse: Die Schnittstelle oder IP-Adresse des Uplinks, durch den die E-Mails gesendet werden, auswählbar aus dem Dropdown-Menü. Wird dieses Feld leer gelassen, legt der Smarthost den zu verwendenden Uplink und die IP-Adresse fest.
Smarthost: Durch Aktivieren dieses Kontrollkästchens werden eine oder mehrere Optionen zum Überschreiben des Smarthost des Systems durch einen externen Smarthost angezeigt. Die Optionen entsprechen denen unter Smarthost-Konfiguration weiter unten.

Regelpriorität

Nehmen Sie an, Sie haben zwei Regeln für das Domainrouting erstellt: Eine mit der Domäne „mydomain.com“ als Sender und dem Uplink main als Route und eine zweite mit der Domäne „example.org“ als Empfänger und dem Uplink secondary als Route. Was passiert mit einer E-Mail, die vom Server „foo.mydomain.com“ an einen Benutzer auf „bar.example.org“ gesendet wird? Die Antwort liegt in der Verarbeitung der Regeln zum Senden der E-Mails durch das MTA Postfix der Panda GateDefender-Appliance. Zunächst werden alle Regeln gelesen, welche die Quellen betreffen, dann die der Empfänger. Daher wird die von „foo.mydomain.com“ an „bar.myexample.org“ gesendete E-Mail durch den Uplink secondary geroutet.

Mailrouting ¶

Mithilfe dieser Option können BCCs von E-Mails an eine angegebene Adresse gesendet werden. Sie wird auf alle E-Mails angewendet, die entweder von einer bestimmten Absenderadresse oder an einem bestimmten Empfänger gesendet wurden. Die Liste zeigt die Richtung, die Adresse, und falls vorhanden die BCC-Adresse, sowie die verfügbaren Aktionen:

– Mailrouting ändern
– Mailrouting entfernen

Durch Klicken auf die Schaltfläche Eine Mailroute hinzufügen kann eine neue Mailroute hinzugefügt werden. Im daraufhin geöffneten Formular können die folgenden Optionen konfiguriert werden:

Richtung: Auswahl aus einem Dropdown-Menü, ob die Mailroute für einen E-Mail-Absender oder E-Mail-Empfänger definiert werden soll.
Mailadresse: Je nach ausgewählter Richtung die E-Mail-Adresse des Absenders oder Empfängers, auf den die Route angewendet werden soll.
BCC Adresse: Die E-Mail-Adresse, an die Kopien der E-Mails gesendet werden sollen.

Warnung

Absender und Empfänger werden nicht darüber benachrichtigt, dass eine Kopie an einen Dritten gesendet wird. In den meisten Ländern ist es hochgradig illegal, private Nachrichten anderer mitzulesen. Daher darf diese Funktion nicht zweckentfremdet und keinesfalls missbraucht werden.

Erweitert ¶

Die letzte Konfigurationsseite für den SMTP-Proxy enthält Optionen für erweiterte Einstellungen. Diese sind in vier Bereichen gruppiert, die durch Klicken auf die Symbole und links neben den Bereichstiteln ein- oder ausgeblendet werden können.

Smarthost Konfiguration

Im ersten Bereich kann ein Smarthost aktiviert und konfiguriert werden. Verfügt der SMTP-Server über eine dynamische IP-Adresse, z. B. bei einer ISDN- oder DSL-Einwahlverbindung, können Probleme beim Senden von E-Mails an andere Mailserver auftreten. Die IP-Adresse kann in einer RBL aufgeführt sein (siehe weiter oben unter Black- und Whitelists), wodurch gesendete E-Mails von Remote-Mailservern möglicherweise abgelehnt werden. Dadurch wird es erforderlich, für den E-Mail-Versand einen Smarthost zu verwenden.

Smarthost für Zustellung: Durch Aktivieren dieses Kontrollkästchens wird für die Zustellung von E-Mails ein Smarthost aktiviert, und es werden weitere Optionen angezeigt.
Smarthost Adresse: Die IP-Adresse oder der Hostname des Smarthost
Smarthost Port: Der Port, der vom Smarthost abgehört wird. Der Standardport ist 25.
Smarthost Authentifizierung: Dieses Kontrollkästchen muss aktiviert werden, wenn für den Smarthost eine Authentifizierung erforderlich ist. In diesem Fall werden die drei nachfolgenden Zusatzoptionen angezeigt.
Smarthost Benutzername: Der Benutzername für die Authentifizierung beim Smarthost.
Smarthost Passwort: Das Passwort für die Authentifizierung beim Smarthost.
Authentifizerungsmethode auswählen: Die erforderlichen Authentifizierungsmethoden für den Smarthost. Unterstützt werden PLAIN, LOGIN, CRAM-MD5 und DIGEST-MD5. Bei gedrückter Taste STRG kann durch Anklicken der gewünschten Methoden eine Mehrfachauswahl getroffen werden.

Hinweis

Kurz zusammengefasst ist ein Smarthost ein Mailserver, der vom SMTP-Proxy als ausgehender SMTP-Server verwendet wird. Der Smarthost muss die E-Mails annehmen und vermittelt sie dann. In der Regel wird als Smarthost der providereigene SMTP-Server verwendet, da von diesem die E-Mails zur Vermittlung angenommen werden, was bei anderen Mailservern nicht der Fall ist.

IMAP Server für die SMTP Authentifizierung

Dieser Bereich enthält Konfigurationsoptionen für den IMAP-Server, der beim Senden von E-Mails zur Authentifizierung verwendet werden soll. Die Einstellungen sind besonders wichtig für eingehende SMTP-Verbindungen, die aus der ROTEN Zone geöffnet werden. Die folgenden Einstellungen können konfiguriert werden:

SMTP Authentifizierung: Durch Aktivieren dieses Kontrollkästchens wird die IMAP-Authentifizierung aktiviert, und es werden weitere Optionen angezeigt.
Anzahl der Authentifikations Daemons wählen: Die Anzahl der gleichzeitig möglichen Anmeldungen über die Panda GateDefender-Appliance.
IMAP Authentifierungsserver: Die IP-Adresse des IMAP-Servers
IMAP Authentifizierungsport: Der Port, der vom IMAP-Server abgehört wird. Der Standardport ist 143 (einfaches IMAP) bzw. 993 (IMAP über SSL).

Mailserver-Einstellungen

In diesem Bereich können die folgenden zusätzlichen Parameter des SMTP-Servers definiert werden:

SMTP HELO: Wenn dieses Kontrollkästchen aktiviert ist, muss von Clients, von denen eine Verbindung hergestellt wird, zu Beginn einer SMTP-Sitzung ein HELO-Befehl (oder EHLO-Befehl) gesendet werden.
Ungültiger Hostname: Clients, von denen eine Verbindung hergestellt wird, werden abgewiesen, wenn durch ihre HELO- oder EHLO-Parameter ein ungültiger Hostname übermittelt wird.
SMTP HELO Name: Der Hostname, der mit dem HELO- oder EHLO-Befehl gesendet werden soll. Der Standardwert ist die ROTE IP-Adresse. Es kann aber auch eine benutzerdefinierte IP-Adresse oder ein benutzerdefinierter Hostname angegeben werden.
Immer BCC an Adresse: Eine E-Mail-Adresse, an die BCCs aller Nachrichten gesendet werden, die den SMTP-Proxy passieren.
Sprache für die Mailvorlage auswählen: Die Sprache, in der die Fehlermeldungen versendet werden sollen. Möglich sind: Englisch, Deutsch, Italienisch und Japanisch.
Empfängeradresse überprüfen: Aktivieren der Überprüfung auf gültige Empfänger-Adressen vor dem Senden von Nachrichten.
Limite für schwerwiegende Fehler auswählen: Die maximale Anzahl von Fehlern, die von einem Remote-SMTP-Client erzeugt werden darf, ohne dass eine E-Mail übermittelt wird. Wird dieses Limit überschritten, wird die Verbindung vom SMTP-Proxyserver getrennt. Der Standardwert beträgt 20.
Maximalgröße des Email-Inhaltes auswählen: Die maximal zulässige Größe für einzelne E-Mails. Mehrere vordefinierte Werte können aus den Dropdown-Menü ausgewählt werden. Durch Auswählen der Option Benutzerdefinierte Größe des E-Mail-Inhalts wird die nächste Option angezeigt.
Benutzerdefinierte Maximalgröße des Email-Inhaltes (in KB): Die maximale E-Mail-Größe in Megabyte, die vom SMTP-Server akzeptiert wird.
DSN in Zonen aktivieren: Wählen Sie aus den verfügbaren Zonen diejenigen aus, die eine Unzustellbarkeitsnachricht (d. h. eine DSN-Nachricht) für nicht zustellbare E-Mails oder nicht korrekt versendbare E-Mails senden. Anders gesagt ist es nur möglich, Zustellungsbenachrichtigungen für E-Mails von den hier ausgewählten Zonen zu erhalten.

HELO/EHLO und Hostname

Von fast allen Mailservern wird verlangt, dass durch Clients, von denen über SMTP eine Verbindung hergestellt wird, eine entsprechende Ankündigung mit einem gültigen Hostnamen im HELO/EHLO erfolgt. Anderenfalls wird die Verbindung getrennt. Von der Panda GateDefender-Appliance wird jedoch zur Ankündigung bei fremden Mailservern ein eigener Hostname verwendet, der im globalen DNS nicht immer öffentlich gültig ist.

In einem solchen Fall kann unter Menüleiste ‣ Proxy ‣ SMTP ‣ Erweitert ‣ Mailserver Einstellungen ‣ SMTP HELO Name ein anderer benutzerdefinierter Hostname konfiguriert werden, der vom Remote-Mailserver verstanden werden kann.

Anstelle eines benutzerdefinierten Hostnamens kann auch eine numerische IP-Adresse in Klammern angegeben werden (z. B. [192.192.192.192]). Dabei sollte es sich um die ROTE IP-Adresse handeln.

Spamabwehr

Im letzten Bereich können zusätzliche Parameter für den Spam-Filter definiert werden, indem eines oder mehrere der folgenden vier Kontrollkästchen aktiviert werden:

Ungültiger Empfänger: Eine Anforderung wird zurückgewiesen, wenn die Adresse für RCPT TO kein FQDN-Format aufweist, wie durch RFC 821 verlangt.
Ungültiger Absender: Ein Client, von dem eine Verbindung hergestellt wird, wird zurückgewiesen, wenn es sich bei dem Hostnamen, der mit dem HELO- oder EHLO-Befehl übermittelt wird, nicht um einen FQDN handelt, wie durch RFC 821 verlangt.
Unbekannte Empfänger-Domain: Eine Verbindung wird abgewiesen, wenn für die Domäne der Empfängeradresse kein A-Eintrag oder MX-Eintrag im DNS vorhanden ist.
unbekannter Absender: Eine Verbindung wird abgewiesen, wenn für die Domäne der Absenderadresse kein A-Eintrag oder MX-Eintrag im DNS vorhanden ist.

Fehlerbehebung für den SMTP-Proxy

Wird in der Protokolldatei die Meldung „Mail for xxx loops back to myself“ angezeigt, deutet dies auf eine Fehlkonfiguration beim benutzerdefinierten SMTP-HELO-Namen in der Appliance hin. Dieser ist identisch mit dem Hostnamen des internen Mailservers, an den eingehende E-Mails weitergeleitet werden sollen.

In diesem Fall enthält die SMTP-Verbindung, die vom internen Mailserver empfangen wird, einen Hostnamen (den aus der HELO-Zeile der SMTP-Proxyeinstellung), der mit dem Hostnamen des internen Mailservers identisch ist. Daher wird vom internen Mailserver angenommen, dass von ihm dieselbe E-Mail gesendet und empfangen wird, wodurch diese Fehlermeldung verursacht wird.

Die folgenden Lösungen sind möglich:

Ändern des Hostnamens des internen Mailservers.

Erstellen eines neuen, öffentlich gültigen A-Eintrags in der DNS-Zone, durch den auch auf die Panda GateDefender-Appliance verwiesen wird, und Verwenden des entsprechenden Hostnamens als HELO-Zeile im SMTP-Proxy.

Verwenden der numerischen IP-Adresse des Uplinks als HELO-Zeile.

Antispam ¶

Diese Seite enthält Konfigurationseinstellungen für die Anti-Spam-Engine. Folgende Optionen können konfiguriert werden:

Commtouch aktivieren

Aktiviert die Anti-Spam-Engine von Commtouch. Diese Option ist nur verfügbar, wenn Commtouch auf der Panda GateDefender-Appliance installiert ist.

Mit Spamassassin kurzschließen: Durch Aktivieren dieses Kontrollkästchens wird SpamAssassin übergangen, wenn von Commtouch eine Nachricht als Spam markiert wird.
IPs/Netzwerke ignorieren: Definieren von IP-Adressen und Netzwerken, die nicht von Commtouch überprüft werden sollen.

Im Abschnitt „Spam Kennzeichnungsstufe“ können die folgenden Optionen konfiguriert werden: Die gültigen Werte für jede Option liegen zwischen einschließlich -10 und 10.

BESTÄTIGT: Alle E-Mails mit einer Kennzeichnungsstufe, die über diesem Wert liegt, werden als Spam erkannt.
BULK: Alle E-Mails mit einer Kennzeichnungsstufe, die über diesem Wert liegt, werden als Massensendungen identifiziert.
SUSPEKT: Alle E-Mails mit einer Kennzeichnungsstufe, die über diesem Wert liegt, werden unter Spamverdacht gestellt.
UNBEKANNT: E-Mails mit einer Kennzeichnungsstufe, die unter diesem Wert liegt, werden als unbekannt eingestuft.
KEIN SPAM: E-Mails mit einer Kennzeichnungsstufe, die unter diesem Wert liegt, werden nicht als Spam eingestuft.

DNS ¶

Beim DNS-Proxy handelt es sich um einen Proxyserver, von dem DNS-Anfragen abgefangen und beantwortet werden, ohne dass zum Auflösen einer IP-Adresse oder eines Hostnamen ein Remote-DNS-Server kontaktiert werden muss. Wenn eine Abfrage häufig wiederholt wird, kann das Zwischenspeichern der Ergebnisse die Leistung merklich steigern. Die verfügbaren Einstellungen für den DNS-Proxy sind auf drei Registerkarten gruppiert.

DNS-Proxy ¶

Auf dieser Seite können einige Optionen für den DNS-Proxy konfiguriert werden.

Transparent auf Grün, Transparent auf Blau, Transparent auf Orange: Aktiviert dem DNS-Proxy als transparent für die GRÜNE, BLAUE bzw. ORANGE Zone. Die Optionen werden nur angezeigt, wenn die entsprechende Zone aktiviert ist.

Bestimmte Quellen und Ziele, für die der Proxy umgangen werden soll, können durch Eingeben ihrer Werte in die zwei Textbereiche eingerichtet werden.

Quellen, die den transparenten Proxy umgehen dürfen: Ermöglicht, das Quellen unter den entsprechenden Textfeldern vom DNS-Scan ausgenommen zu werden. Die Quellen können in Form von IP-Adressen, Netzwerken oder MAC-Adressen angegeben werden.
Ziele, zu welchen der transparente Proxy umgangen wird: Lässt Ziele unter dem jeweiligen Textfeld zu, die nicht vom DNS-Proxy überprüft werden sollen. Die Ziele können in Form von IP-Adressen oder Netzwerken angegeben werden.

DNS-Routing ¶

Diese Seite ermöglicht die Verwaltung benutzerdefinierter Paare von Domänen und Nameservern. Kurz gesagt: Wenn eine Subdomäne von einer Domäne abgefragt wird, wird der entsprechende Nameserver in der Liste verwendet, um die Domäne in die korrekte IP-Adresse aufzulösen.

Eine neue Kombination von Domäne und Nameserver kann durch Klicken auf den Link Einen neuen benutzerdefinierten Nameserver für eine Domain hinzufügen hinzugefügt werden. Dabei können Werte für die folgenden verfügbaren Optionen eingegeben werden:

Domäne: Die Domäne, für die der benutzerdefinierte Nameserver verwendet werden soll.
DNS Server: Die IP-Adresse des Nameservers.
Anmerkung: Ein zusätzlicher Kommentar

Für jede Domäne in der Liste können folgende Aktionen ausgeführt werden:

– Regel bearbeiten
– Regel löschen

Anti-Spyware ¶

Auf dieser Seite werden Konfigurationsoptionen angezeigt, durch die bestimmt wird, wie von der Panda GateDefender-Appliance auf Anforderungen zur Namensauflösung reagiert werden soll, wenn die angeforderte Domäne als Verteiler von Spyware oder als Phishing-Seite bekannt ist. Folgende Optionen können festgelegt werden:

Aktiviert: Die Anforderungen werden an den Localhost umgeleitet. Der Remotestandort wird also nicht kontaktiert und ist nicht erreichbar.
Erlaubte Domains: Eingeben von Domänennamen, die unabhängig vom Inhalt der Liste nicht als Spyware-Ziele behandelt werden.
Blacklist Domains: Eingeben von Domänennamen, die unabhängig vom Inhalt der Liste immer als Spyware-Ziele behandelt werden.
Spyware Domainlisten Updateintervall: Die Aktualisierungshäufigkeit für die Spyware-Domänenlisten. Die möglichen Optionen sind Täglich, Wöchentlich und Monatlich. Der genaue Zeitpunkt der Aktualisierung wird angezeigt, wenn der Mauszeiger über das entsprechende Fragezeichen geführt wird.

Tipp

Zum Herunterladen aktualisierter Signaturen muss Ihr System in der Panda Perimetral Management Console registriert sein.

Menü „Proxy“¶

HTTP ¶

Konfiguration ¶

Zugriffsrichtlinien ¶

Authentifizierung ¶

Webfilter ¶

AD-Beitritt ¶

HTTPS-Proxy ¶

POP3 ¶

Globale Einstellungen ¶

Spam-Filter ¶

FTP ¶

SMTP ¶

Konfiguration ¶

Black- & Whitelisten ¶

Eingehende Domains ¶

Domainrouting ¶

Mailrouting ¶

Erweitert ¶

Antispam ¶

DNS ¶

DNS-Proxy ¶

DNS-Routing ¶

Anti-Spyware ¶

Inhalt

Vorheriges Thema

Nächstes Thema

Navigation

Menü „Proxy“¶

Vorheriges Thema

Nächstes Thema

Schnellsuche

Navigation