Richtlinien (Policies)
MailGuard-Richtlinien definieren, wie eingehende E-Mails analysiert, bewertet und behandelt werden. Hier erfahren Sie alle Konfigurationsmöglichkeiten.
Was sind MailGuard-Richtlinien?
Eine Richtlinie (Policy) ist ein umfassendes Regelwerk, das festlegt, wie eingehende E-Mails analysiert und bewertet werden. Jede Richtlinie kombiniert mehrere Schutzmodule — von Spam-Erkennung über Link-Analyse bis zur Anhangsfilterung — und definiert Schwellwerte und Aktionen für verschiedene Bedrohungsstufen.
Ein Mandant kann mehrere Richtlinien haben, die über Routing-Regeln auf bestimmte Absender, Empfänger oder Domänen angewendet werden.
Richtlinie erstellen
- Navigieren Sie zu MailGuard > Richtlinien.
- Klicken Sie auf + um eine neue Richtlinie zu erstellen.
- Konfigurieren Sie die Module (siehe unten).
- Speichern Sie die Richtlinie.
Allgemeine Einstellungen
| Einstellung | Beschreibung |
|---|---|
| Richtlinienname | Eindeutiger Name zur Identifikation (z.B. "Standard-Policy", "Streng – Finanzen") |
| Aktiviert | Richtlinie ein-/ausschalten ohne sie zu löschen |
| Maximale Nachrichtengröße | E-Mails über dieser Größe (in MB) werden abgelehnt |
Scoring & Schwellwerte
Jeder E-Mail wird ein Spam-Score zugewiesen. Je höher der Score, desto wahrscheinlicher handelt es sich um eine Bedrohung. Sie konfigurieren zwei Schwellwerte:
| Schwellwert | Wirkung | Empfohlener Bereich |
|---|---|---|
| Markierungsschwelle | E-Mail wird markiert (Header, Betreff-Prefix) | 5–15 |
| Blockschwelle | E-Mail wird blockiert oder in Quarantäne verschoben | 20–30 |
Aktionen bei Markierung
- Header setzen:
X-Conbool-Flag: YESwird im E-Mail-Header gesetzt. Der Mailserver kann darauf reagieren. - Betreff ergänzen: Ein konfigurierbarer Prefix (z.B.
[SPAM]) wird dem Betreff vorangestellt. - Alternative Zustellung: E-Mail an eine Sammeladresse weiterleiten (z.B.
spam@ihredomain.de). - In Quarantäne verschieben: E-Mail wird direkt in Quarantäne verschoben (gegenseitig ausschließend mit Header/Betreff-Markierung).
Aktionen bei Blockierung
- Quarantäne: E-Mail wird isoliert, Empfänger erhält eine Quarantäne-Benachrichtigung.
- Ablehnung: E-Mail wird abgelehnt (Bounce an Absender mit optionaler Rejection-Vorlage).
Schutzmodule einer Richtlinie
Jede Richtlinie kann folgende Module aktivieren:
1. Content-Filter
Prüft den E-Mail-Inhalt auf verdächtige Begriffe und Muster.
| Einstellung | Beschreibung |
|---|---|
| Aktiviert | Content-Filter ein-/ausschalten |
| Aktion | Score erhöhen, Quarantäne oder Blockieren |
| Score-Delta | Punkte, die bei Treffer zum Spam-Score addiert werden |
Filterregeln:
- Keyword-Regeln: Liste von Spam-Wörtern (z.B. "Gewinnspiel", "Bitcoin", "Rechnung überfällig"). Jedes Keyword hat eine Position zur Priorisierung.
- Regex-Regeln: Reguläre Ausdrücke für komplexere Muster (z.B.
\b(?:paypal|amazo[n])\bfür Phishing-Erkennung).
2. Header-Schutz
Analysiert E-Mail-Header auf Manipulationsversuche.
| Prüfung | Beschreibung |
|---|---|
| Reply-To-Mismatch | Erkennt, wenn die Reply-To-Adresse nicht zum Absender passt (häufig bei Phishing) |
| Display-Name-Spoofing | Erkennt, wenn der Anzeigename einen internen Mitarbeiter imitiert |
| Homograph-Domains | Erkennt Look-alike-Domains mit Unicode-Zeichen (z.B. сonbool.com statt conbool.com) |
| Einstellung | Beschreibung |
|---|---|
| Aktiviert | Header-Schutz ein-/ausschalten |
| Aktion | Score erhöhen, Quarantäne oder Blockieren |
| Score-Delta | Punkte bei erkannter Manipulation |
3. Netzwerk- & Geo-Filter
Filtert E-Mails basierend auf der Netzwerkherkunft.
IP-Regeln:
- IP-Blocklist: Einzelne IP-Adressen oder Ranges blockieren.
- IP-Whitelist: Nur von diesen IPs akzeptieren.
Domain-Regeln:
- Domain-Blocklist: E-Mails von bestimmten Domains blockieren.
- Match-Scope:
Absender-Domain,Header-From-DomainoderReply-To-Domain.
Länder-Regeln:
- Geo-Filter: E-Mails aus bestimmten Ländern blockieren (basierend auf GeoIP-Lookup der Absender-IP).
- Verwendet ISO-Ländercodes (z.B.
RU,CN,NG).
4. Link-Schutz
Analysiert alle Links in der E-Mail auf Bedrohungen. Siehe die separate Dokumentation unter Link-Schutz für alle Details.
Kurzübersicht der Funktionen:
- URL-Auflösung und Redirect-Verfolgung
- Domain-Reputationsprüfung
- QR-Code-Erkennung und -Entschärfung
- Login-Seiten-Erkennung (Credential Harvesting)
- URL-Shortener-Erkennung
- Tracking-Parameter-Erkennung und -Entfernung
- Click-Time-Recheck (Links werden beim Klick erneut geprüft)
5. Anhangsfilter
Prüft Dateianhänge auf Bedrohungen. Konfigurierbar pro Dateikategorie:
| Kategorie | Beispiel-Dateitypen | Verfügbare Aktionen |
|---|---|---|
| Office-Dateien | .docx, .xlsx, .pptx | Score erhöhen, Blockieren, Anhänge entfernen, Sanitisieren |
| Archive | .zip, .rar, .7z | Sanitisieren (Entpacken und Inhalt prüfen) |
| Skripte & Batch | .js, .vbs, .bat, .ps1 | Score erhöhen, Blockieren, Anhänge entfernen |
| Ausführbare Dateien | .exe, .dll, .msi | Score erhöhen, Blockieren, Anhänge entfernen |
| HTML-Dateien | .html, .htm | Score erhöhen, Blockieren, Anhänge entfernen |
| PDF-Dateien | Score erhöhen, Blockieren, Anhänge entfernen, Sanitisieren | |
| Benutzerdefiniert | Eigene Dateitypen und Dateinamen-Muster | Score erhöhen, Blockieren, Anhänge entfernen |
Office-spezifische Optionen:
- Makro-Erkennung und -Entfernung (Schalter)
- Aktion bei fehlgeschlagener Sanitisierung: Score erhöhen, Anhänge entfernen oder Blockieren
PDF-spezifische Optionen:
- Aktive Inhalte entfernen (Skripte, Formulare)
- Externe Referenzen entfernen
- Aktion bei fehlgeschlagener Sanitisierung: Score erhöhen, Anhänge entfernen oder Blockieren
Archiv-spezifische Optionen:
- Archiv-Inspektion (ZIP/RAR entpacken und Inhalt prüfen)
- Maximale Entpackungstiefe (1–50, Standard: 5)
- Aktion bei überschrittener Tiefe: Score erhöhen, Erlauben, Anhänge entfernen oder Blockieren
- Aktion bei fehlgeschlagener Sanitisierung: Score erhöhen, Anhänge entfernen oder Blockieren
Benutzerdefinierte Regeln:
- Dateityp-Regeln: Eigene Regeln basierend auf Dateiendungen (z.B.
.scr,.cab). - Dateinamen-Muster: Eigene Regeln basierend auf Dateinamen-Mustern (z.B.
*.scr,invoice_*.exe).
6. Quarantäne-Integration
Konfiguriert, wie E-Mails in Quarantäne behandelt werden.
| Einstellung | Beschreibung |
|---|---|
| Quarantäne aktiviert | Quarantäne für diese Richtlinie ein-/ausschalten |
| Absenderadresse | Von-Adresse für Quarantäne-Benachrichtigungen |
| Betreff | Betreffzeile der Quarantäne-Benachrichtigung |
| HTML-Vorlage | Benutzerdefinierte Benachrichtigungsvorlage mit Platzhaltern |
| Admin-Freigabe-Schwelle | Maximaler Score, bis zu dem Benutzer selbst freigeben können |
| Zustellmodus | notify (Benachrichtigung per E-Mail) oder portal_only (nur über Portal) |
Rejection-Vorlage: Wenn eine E-Mail durch die Richtlinie blockiert (nicht quarantiniert) wird, kann eine Ablehnungsbenachrichtigung an den Absender gesendet werden:
- Rejection-Betreff: Betreffzeile der Ablehnungsmail.
- Rejection-HTML-Vorlage: Benutzerdefiniertes Template mit Informationen zur Ablehnung.
Richtlinien-Priorität
Richtlinien werden über Routing-Regeln zugewiesen. Wenn mehrere Richtlinien auf eine E-Mail zutreffen, wird die Richtlinie mit der höchsten Priorität (niedrigster Index) angewendet.
Erforderliche Berechtigungen
- Anzeigen: Owner, Operator, Analyst, Auditor
- Konfigurieren: Owner, Operator