Nachfolgend finden Sie Informationen zur Benutzung des Sandbox-Service in NoSpamProxy. Allgemeine Hinweise bezüglich der Funktionsweise einer Cloud Sandbox, der Lizenzierung oder des Datenschutzes finden Sie unter Informationen zum NoSpamProxy Sandbox-Service.

Hinweis

Seit 2018 empfehlen wir NoSpamProxy-Kunden dringend, bei der Inhaltsfilterung auf einen Whitelisting-Ansatz zu setzen (Stichwort: E-Mail Firewall). Diese Empfehlung betrifft insbesondere die Benutzung des NoSpamProxy Sandbox-Service.

Ein Beispiel: Auch wenn eine „Ausführbare Datei für Windows“ von der Sandbox unterstützt wird, stellt sich die Frage, ob man diesen potenziell gefährlichen Dateityp überhaupt für das eigene Unternehmen erlauben will. Es ist in diesem Fall sinnvoller, diesen Dateityp generell abzulehnen und sich so auch den Upload zur Sandbox zu sparen.

Falls eine Datei vom Sandbox-Service als unverdächtig eingestuft werden sollte, wird die jeweilige E-Mail zugestellt.

Sandbox-Hashabfrage

Das Abfragen der Hashwerte von der Datenbank der Sandbox kann uneingeschränkt und ohne Abzug von gekauften Lizenzen durchgeführt werden. Hierzu muss der entsprechende Haken bei Frage die Sandbox ob die Anhänge der eingehenden E-Mails als bösartig bekannt sind in der Inhaltsfilteraktion gesetzt sein.

Diese Prüfung kann auf alle Dateitypen angewendet werden

Sandbox-Upload

Der Upload von Dateien ist auf 20 Dateien pro Benutzer und Monat beschränkt.

Es handelt bei diesem Wert um den Gesamtwert der zulässigen Uploads; eine strenge Benutzerprüfung erfolgt nicht. Das bedeutet beispielsweise für eine 50-User-Lizenz, dass die jeweilige NoSpamProxy-Installation in einem Monat 1000 Dateien zur Sandbox hochladen darf. Bei Überschreiten des Limits können Kosten entstehen.

Um die Sandboxprüfung auf einzelne Dateitypen einzuschränken, sollte eine zusätzliche Inhaltsfilteraktion erstellt werden, die nur auf bestimmte Dateitypen angewendet wird.
Um den Upload zu ermöglichen, muss die Option Unbekannte Dateien zur Sandbox für die Analyse hochladen aktiviert werden.

Vom Sandbox-Service unterstützte Dateitypen

• Ausführbare Dateien
  • Ausführbare Datei für Windows
• Office – Word
  • <alle>
• Office – Excel
  • <alle>
• Office – PowerPoint
  • <alle>
• Video
  • Adobe Flash (SWF)
  • Adobe Flash Video (FLV)
• Text
  • Rich-Text-Format
  • Rich-Text-Format mit OLE-Objekten
  • PDF-Dokument
  • PDF-Dokument mit URLs
• Archive und komprimierte Dateien
  • ZIP-komprimierte Datei
  • GZIP-komprimierte Datei
  • TAR-Archiv
  • GZIP-komprimiertes TAR-Archiv
  • 7Zip-komprimierte Datei
• Skripte (Konfiguration über Dateinamen)
  • .js
  • .vbs
  • .wsf
  • .ps
  • .py
  • .hta
  • .perl
  • .php
  • .sh

Zustellverzögerung

Wenn eine Datei zur Sandbox hochgeladen werden muss (Sandbox-Upload), wird die E-Mail im ersten Schritt nicht angenommen sondern temporär abgewiesen, sodass der absendende E-Mail-Server diese noch einmal zustellt.

Die temporäre Abweisung wird hier verwendet, da die Analyse auf dem Sandbox-Array eine gewisse Zeit in Anspruch nimmt, diese aber beim erneuten Zustellversuch nach regulär 5 Minuten abgeschlossen sein sollte.

Dies bedeutet für die Zustellung eine Zustellverzögerung, die entsprechend beachtet werden muss. Somit empfehlen wir genau zu prüfen, welche Dateien wirklich zur Sandbox gesendet werden sollen. Beachten Sie die folgende Option, falls zeitkritische Prozesse oder Postfächer im Unternehmen existieren:

• Ist eine Sandbox-Hashabfrage statt einer vollständigen Analyse (Sandbox-Upload) ausreichend?
• Es besteht im Inhaltsfilter die Möglichkeit, unterschiedliche Aktionen zu erstellen, um für „Vertrauenswürdige E-Mails“ und „Nicht vertrauenswürdige E-Mails“ zwischen einen Sandbox-Upload und einer Sandbox-Hashabfrage unterschiedliche Aktionen für einen Inhaltsfilter-Eintrag zu konfigurieren.
• Office-Dokumente können gegebenenfalls durch das NoSpamProxy Content Disarming in ein sicheres PDF-Dokument umgewandelt werden.

Hinweis: Im Rahmen von Änderungen in der Infrastruktur kommen neue IP-Adressen und ein neuer FQDN zum Tragen. Damit Sie den TCP Proxy für NoSpamProxy weiter verwenden können, wurde dieser Artikel erweitert. Stellen Sie sicher, dass Sie alle Änderung vollständig vornehmen. 

Bei einigen cloudbasierten Systemen – zum Beispiel in Microsoft Azure – kann es vorkommen, dass der Port 25 ausgehend vom Anbieter blockiert wird. Port 25 wird aber zum Versand von E-Mails benötigt, was einen Betrieb von NoSpamProxy auf einem solchen System behindert.

Hierzu bieten wir eine Alternative an, um solche Systeme trotzdem zu nutzen: unseren “TCP-Proxy”. Dieses System kann auf unten beschriebene Weise in NoSpamProxy aktiviert werden. Dabei wird jede ausgehende Verbindung an eine routing-fähige IPv4-Adresse auf TCP-Ebene durch den TCP Proxy für NoSpamProxy geroutet. Die E-Mails werden dann vom Server aus über Port 443 an den TCP-Proxy gesendet und von dort dann über Port 25 weiter zum Empfängersystem geleitet.

Im Rahmen von Änderungen in der Infrastruktur kommen neue IP-Adressen und ein neuer FQDN zum Tragen. Um den TCP Proxy für NoSpamProxy weiter verwenden zu können, sind die folgenden Änderungen notwendig.

Einbinden des TCP-Proxy

1. Stoppen Sie den Dienst der Gatewayrolle über die NoSpamProxy-Konsole oder die Windows-Dienste
2. Öffnen Sie als Administrator einen Texteditor auf dem System, auf dem die Gatewayrolle installiert ist.
3. Öffnen Sie die Konfigurationsdatei Gateway Role.config aus dem Verzeichnis C:\ProgramData\Net at Work Mail Gateway\Configuration\.
4. Suchen Sie in der Datei nach “<smtpServicePointConfiguration“. Dort ändern/fügen Sie die Werte “ isProxyTunnelEnabled="true" proxyTunnelAddress="proxy.nospamproxy.com” als Attribute hinzu.
   Falls “<smtpServicePointConfiguration” nicht zu finden ist, suchen Sie bitte alternativ nach “<netatwork.nospamproxy.proxyconfiguration” und fügen die folgende Zeile direkt unter diesem Wert hinzu:
   <smtpServicePointConfiguration isProxyTunnelEnabled="true" proxyTunnelAddress="proxy.nospamproxy.com" />
5. Speichern Sie die Datei ab und schließen Sie den Editor.
6. Legen Sie das Root CA Zertifikat im Zertifikatsspeicher von Microsoft im Computerkonto unter Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate auf dem Server mit der Gatewayrolle ab.
7. Bearbeiten Sie in der NoSpamProxy-Konsole unter Konfiguration > NoSpamProxy Komponenten > Gatewayrollen die entsprechende Gatewayrolle und ändern Sie den Wert für SMTP Servername auf den Wert “outboundproxy.nospamproxy.com“.
8. Starten Sie den Gatewayrollen-Dienst wieder
9. Öffnen Sie die Datei Gateway Role.config erneut und prüfen Sie, ob der Wert beim Start erhalten geblieben ist.

Anpassen des SPF-Eintrags

• Wenn der TCP-Proxy implementiert ist, tritt dieser als absendendes System auf. Somit muss der TCP-Proxy auch mit in Ihrem SPF-Eintrag aufgenommen werden. Wir empfehlen dringend, folgenden Eintrag in Ihren SPF-Eintrag hinzuzufügen:
  include:_spf.proxy.nospamproxy.com

Importieren des Root-CA-Zertifikats

• Laden Sie das oben erwähnte Zertifikat herunter und importieren Sie es auf das System mit der NoSpamProxy-Gatewayrolle als “Vertrauenswürdiges Stammzertifikat” in die Microsoft Zertifikatsverwaltung des Computerkontos.

Ändern des SMTP-Servernamens in den Eigenschaften der Gatewayrolle 

1. Gehen Sie in der NoSpamProxy-Managementkonsole  zu Konfiguration > NoSpamProxy-Komponenten. 
2. Editieren Sie unter Gatewayrollen alle Gatewayrollen, die in Microsoft Azure betrieben werden wie folgt:
   1. Doppelklicken Sie den entsprechenden Eintrag für die Gatewayrolle.
   2. Tragen Sie unter SMTP Servername den Wert outboundproxy.nospamproxy.com ein.
3. Klicken Sie Speichern und schließen.

 Gegebenenfalls: Anpassen von Office 365

Falls Sie aus Azure heraus E-Mails an eine eigene Office-365-Instanz schicken, bei der ein Konnektor auf die IP-Adressen gebunden ist, aktualisieren Sie bitte die IP-Adressen passend zum Namen outboundproxy.nospamproxy.com. Da bei Office 365 die TLS-Zertifikate gegen die HELO-Domain geprüft werden, ist es nur mit deutlich erhöhtem Aufwand möglich, dies entsprechend umzusetzen. Wir empfehlen daher eine Validierung anhand des Namens.