You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 17 Next »

Sunet Mailfilter


  • Hur loggar administratörer & användare in i Halon för att konfigurera/ändra inställningar?

All inloggning sker likt gamla Mailfilter via SWAMID / SSO. Webb-adressen till Halons kontrollpanel är https://kontrollpanelen.sunet.se


  • Vad heter de nya MX:arna som Halon tillhandahåller, och vilka nät behöver man öppna för?

De nya MX-servrarna ligger i samma "nät-block" som gamla Mailfilter, dvs. 192.36.171.200/29  samt 89.45.235.0/28 , detta för att migreringen ska kunna ske utan extra brandväggsändringar. De ny MX:arna heter: mailfilter-ng-1.sunet.se , mailfilter-ng-2.sunet.se , mailfilter-ng-3.sunet.se 


  • Hur skapar jag användare i Halon?

Användare kan skapas automatiskt i och med att de får ett epost-meddelande (men då förutsatt att man slagit på att auto-skapa användare under domän-inställningar)
Det går även att skapa användare manuellt via GUI eller API, om man behöver göra per-användarinställningar i förväg.


  • Kan man migrera sina inställningar från Canit till Halon? 

Nej, Canit och Halon är helt olika system, och regler och inställningar är inte i ett kompatibelt format för att läsas över. Däremot är principen för hur systems inställningar och funktion väldigt snarlika, så man kan ställa in liknade inställningar per domän och/eller användare.


  • Finns motsvarigheten till Custom-rules i Halon?

Ja & Nej. Då Halon inte arbetar på samma sätt som Canit så Custom-rules finns inte på samma sätt.
Vissa innehålls-matchningsfunktion finns dock, men det är inte fullt lika flexibelt som tidigare

  • Kan man (likt i CanIt) tagga viss SA spam score (5.1 - 11) , och sätta ett "tak" på SA spam score (11+) då epost ska rejectas (eller kastas)?

Korta svaret är Nej. Det längre är att Halon i dagsläget endast supporterar antingen "reject" eller "tag". Man kan justera tröskel-nivån för SA-spam score för den "action" man valt att sätta. Tanken är att ni inte ska behöva hantera det på detaljnivå, så som det behövs tidigare för att  CanIt skulle fungera någorlunda önskvärt.


  • Hur bra fungerar Halon/CYRENs antispam jämfört med CanIt

CYRENs IP-reputation & RPD (Reoccuring Pattern Detection) fungerar väldigt bra utan att man behöver gå in och "tweaka" några regel-inställningar. Deras IP-reputation skydd är en kombination av traditionell IP-blacklist och Greylisting. Om det är ett helt okänd avsändare/IP så kommer den att tempfail:as som vanlig Greylisting fungerar. Man kan snabba upp processen att få sina IP-adresser godkända genom att rapportera in dem via: http://www.cyren.com/security-center/cyren-ip-reputation-report

Det går även att undata dem från IP-reputation (Black-/whitelist → Exclude from IP reputation) och/eller RPD (Black-/whitelist → Whitelist) per domän.


  • Kan användaren själv ändra sina inställningar för antispam och antivirus?

Ja, precis som i CanIt, kan användare logga in i samma GUI som en admin, dock har de bara tillgång till en begränsad mängd inställningar

  • Kan man stänga av antivirus och/eller antispam för specifik mottagare?

Ja, en administratör kan avaktivera dessa funktioner per mottagare (per e-postadress).


  • Finns det utgående scanning också?

Ja, den kan sättas per domän. Just nu går den via samma servrar som inkommande MX, dock måste utgående skickas via port 587  (submission) .


  • Finns utgående Ratelimit?

Ja, den kan sättas per domän och kan även justeras per avsändare (epost-adress). Den är dessutom mer granulär i nya Mailfilter-ng, det går att konfigurera för all epost, per "bulk" (massutskicks)klassifierad epost och per e-post som klassas som Spam av filtret. Det gör att ett kapat användarkonto troligtvis kan fortsätta att arbeta och skicka utåtgående epost och att e-post spam:en stoppas av ratelimitingen.


  • Hur länge finns Canit kvar?

Tanken är att Mailfilter-ng (Halon) skall ha tagit över samtliga organisationer under första halvan av 2021. 
Den gamla Canit-installationen kommer finnas kvar så länge som behov finns, dock endast för att kunna hitta gammal konfiguration.

  • Kan man flytta en domän/underdomän i taget?

Ja det fungerar utmärkt. En domäns mailrouting sköts via MX-pekare så det styr ni över själva.
Lämpligt att börja med en lite domän så man ser att allt fungerar innan man styr över hela organistationen.

  • IPv6, SPF, DKIM och DMARC

Ja, Halon-MTA har IPv6 och har stöd för verifiering av SPF, DKIM samt DMARC.
Halon kan även DKIM-signera utgående epost (en per-domän inställning). Dock måste du generera din selector public/private key själv (görs enklast via opendkim-genkey från opendkim-milter paketet (som är OSS))

  • Maximal storlek på mail?

Nuvarande maxstorlek är 40MB (som i CanIt) och det styrs centralt. Det kan mao alltså inte ändras av den lokala organisationen.

  • Finns URL-filtrering "URL-proxy" ?

Ja, & Nej. Halon-MTA har en inbyggd URL-filtreringsfunktion, men den ingår inte i standardutförandet.
URL-filtrering "Time of Click Protection" köpas till (en sk. "premium"-tjänst), där kostnaden ligger på ~100kr per användare/år (användares samtliga e-postadresser ingår).


  • Finns API-access ?

Ja, det nås via kontrollpanelen (prod) / halon-eu (devops/test) via port 8443 .
Vi har lagt upp API-dokumentationen här: https://github.com/SUNET/Mailfilter-ng-APIs , vi behöver däremot skapa en API-användare (användare@realm) samt generera ett lösenord och skicka över uppgifterna till er.


  • Vad kostar det?

Kostnaden är oförändrat, dvs. priset är den samma som tidigare, se separat dokument.

  • Vem ska man prata med?

Avtalsfrågor: tomas@sunet.se
Felanmälan: noc@sunet.se
Frågor & fundering kan även postas på maillistan: mailfilter-ng@lists.sunet.se

  • No labels